MÖvzu informasiyanin təHLÜKƏSİZLİYİ problemləRİ


HÜCUMU AŞKAR EDƏN IDS SİSTEMİNİN TƏSNİFATI



Yüklə 18,48 Mb.
səhifə9/39
tarix18.05.2020
ölçüsü18,48 Mb.
#31216
1   ...   5   6   7   8   9   10   11   12   ...   39
4. İnformasiyanın qorunması və kriptologiyası


HÜCUMU AŞKAR EDƏN IDS SİSTEMİNİN TƏSNİFATI
Müasir hücumların aşkar edilməsində istifadə olunan IDS (Intrusion Detection System) mexanizmi bir neçə ümumi üsullardan ibarətdir. Bu üsullar bir-birini inkar etdikləri üçün bir çox sistemlərdə onların kombinasiyasından istifadə edilir.

IDS mexanizmi aşağıdakı kimi təsnifləndirilir:

  • Reaksiya vermə (əksüləməl göstərmək) üsuluna görə;

  • Hücumu aşkar etmə üsuluna görə;

  • Hücum barədə informasiyanın toplanma üsuluna görə.

Reaksiya vermə üsuluna görə IDS passiv və akltiv növə bölünür. Passiv IDS -lər hücum aktını sadəcə olaraq qeyd edir, verilənləri fayl jurnalına yazır və xəbərdarlıq edir. Aktiv IDS -lər isə şəbəkələrarası ekranın konfiqurasiyasının dəyişməsi və ya marşrutlaşdırıcıya əlyetənlik siyahısının generasiya edilməsi ilə hücuma qarşı dayanmağa cəhd göstərirlər.

Hücumu aşkar etmə üsuluna görə IDS sistemini iki qrupa ayırırlar:

  • Anomal hərəkətin aşkarlanması (anomaly-based);

  • Sui-istifadənin aşkarlanması (misuse detection və ya signa- ture-based).

Anomal hərəkətin aşkarlanması texnologiyası aşağıdakılardan ibarətdir.

İstifadəçinin anomal hərəkəti (hücum və ya hər hansısa düşmənçilik fəaliyyəti) tez-tez normal hərəkətdən sapma kimi təzahür edır. Nümunə kimi qısa müddət ərzində böyük sayda birləşmələri, mərkəzi prosessorun yüksək dərəcədə yüklənməsini və i.a. göstərmək olar.

Əgər birmənalı şəkildə istifadəçinin normal hərəkətinin profilini təsvir etmək mümkün olsaydı, onda istifadəçidən istənilən sapmanı anomal hərəkət kimi identifikasiya etmək olardı (Məsələn, çoxlu sayda şəbəkə administratorundan müvəqqəti sorğuları aşkarlama sistemi “xidmətdən imtina”nı (“denial of service”) hücum növü kimi identifikasiya edərdi).

Texnologiyadan istifadə zamanı iki təsadüf mümkündür:



  • Hücum şəkilndə olmayan, amma hücum sinifinə daxil olan anomal hücumu aşkar etmə;

  • Anomal hərəkət kimi hesab edilməyən hücumun nəzərə alınmaması (Hücum sinifinə daxil olan anomal hücuma nisbətdə bu çox qorxulu hal sayılır).

Anomal aşkar etmə texnologiyası yeni növ hücumların üzə çıxarılmasına yönəldilmişdir. Texnologiyanın çatışmazlığı onun daim öyrənilməsini tələb etməsidir. Hələlik bu texnologiya geniş yayılmamışdır, çünki o təcrübədə çətin realizə olunur.

Sui-istifadənin aşkarlanması siqnatur (signature) görkəmində olan hücumları təsvir edir və cari siqnaturu nəzarətdə olan mühitdə (şəbəkə trafiki və ya qeydiyyat jurnalı) axtarır. Hücumun siqnaturu kimi anomal fəaliyyəti xarakterizə edən fəaliyyət ülgüsü və ya simvollar sətri çıxış edə bilər. Siqnaturlar verilənlər bazasında saxlanılır, antivirus sistemlərində istifadə olunan siqnaturlara oxşardırlar. Hücumu aşkarlayan cari texnologiya virusları aşkar edən texnologiyaya çox oxşayır. Texnologiya tanınmış bütün hücumların hamısını aşkar etmək qabiliyyətinə malikdir. Nəzərə almaq lazımdır ki, texnologiya hələlik məlum olmayan, yeni yaranmış hücumları aşkar edə bilmir. Belə sistemlərdə realizə olunan sistemə yanaşma kifayət qədər sadədir. İndiki zamanda istifadəçilərə təklif edilən hücumu aşkar edən sistemlər hamısı praktiki olaraq bu sistemə əsaslanır.

Hücum barədə informasiyanın toplanma üsuluna görə populyar olanları aşağıdakı kimi təsnif olunurlar:

  • Şəbəkə səviyyəsində hücumun aşkarlanması (network-based);

  • Host səviyyəsində hücumun aşkarlanması (host-based);

  • Əlavələr səviyyəsində hücumun aşkarlanması (application-based).

Şəbəkə səviyyəsində hücumun aşkarlanması sniffer növünə uyğun (yəni, şəbəkədə trafikə “qulaq asmaqla”) işləməklə yanaşı mümkün pisniyyətli insanların fəaliyyətini də aşkarlayır. Belə sistemlər şəbəkə trafikini təhlil etmək üçün hücum siqnaturundan və “yayda hücum” təhlilindən istifadə edirlər. “Yayda hücum” təhlil üsulu real zamanda şəbəkə trafikinin monitoringinə əsaslanır və ya aşkar etmə alqoritmindən istifadə edir.

Host səviyyəsində hücumun aşkarlanması müəyyən hostda pisniyyətli insanın fəaliyyətinə reaksiyanın verilməsi, detektə edilməsi və monitoringin keçirilməsi üçün nəzərdə tutulmuşdur.

Hostun müdafiə edilməsini əsas tutaraq onlar (reaksiyanın verilməsi, detektə edilməsi və monitoringin keçirilməsi nəzərdə tutulur) sistemə qarşı istiqamətlənmiş fəaliyyəti yoxlamaqla yanaşı aşkarlayırlar. Bununla yanaşı sistem əməliyyat sisteminin qeydiyyat və ya əlavələr jurnalını da təhlil edir. Qaydaya əsasən qeydiyyat jurnalının təhlili hücumların aşkar edilməsinin digər üsullarına əlavə kimi hesab olunur (əsasəndə hücumun “yayda hücum” təhlilinə). Metoddan istifadə edilməsi hücum qeyd edildikdən sonra “uçuşun təhlili”nin aparılmasına, həmçinin gələcəkdə buna oxşar hücumlar edilərsə, oların qabağının alınması üçün effektiv ölçünün götürülməsinə imkan yaradır.



Əlavələr səviyyəsində hücumun aşkarlanması müəyyən əlavələrdə problemin axtarılmasına əsaslanır.

Hücumun aşkarlanması sisteminin (şəbəkə səviyyəsində, host səviyyəsində və əlavələr səviyyəsində) özünəməxsus üstünlükləri və çatişmazlıqları vardır. Hibrit IDS müxtəlif növ sistemlərin kombinasiyasından ibarətdir və özünə bir neçə meyarı birləşdirir.



IDS-İN ARXİTEKTURASI VƏ TƏŞKİLEDİCİLƏRİ
Hücumların tipik aşkar edilmə sistemi mövcud həllərin təhlili əsasında bir neçə təşkiledici siyahısından ibarətdir.

İzləmə modulu nəzarətdə olan sahədən (məkandan) (qeydiyyat jurnalı və ya şəbəkə trafiki) verilənlərin toplanmasını təmin edir. Aparıcı istehsalçılar üsulu özlərinə uyğun adlandırırlar: sensor (sensor), monitor (monitor), zond (probe) və buna bənzərlər.

İzləmə modulunun arxitekturasından asılı olaraq hücumları aşkar edən sistemin qurulması zamanı izləmə modulu fiziki olaraq digər təşkiledicilərdən ayrıla bilər, daha doğrusu başqa bir kompüterdə ola bilər.



Hücumları aşkar edən altsistem – sistemin əsas modulu hücumların aşkar edilməsidir. O, izləmə modulundan alınan informasiyanın təhlilini həyata keçirir. Təhlilin nəticəsində cari altsistem hücumu identifikasiya edir, hücum haqqında məlumatı verilənlər saxlancında saxlayır, reaksiya verilmə variantlarına nisbətdə qərar qəbul edir və s.

Biliklər bazası hücumları aşkar edən sistemdə istifadə olunan üsullardan asılı olaraq icazə verilməmiş fəaliyyəti xarakterizə edən hesablama sisteminin və istifadəçinin profilini, hücumların siqnaturunu və ya şübhəli sətirləri tərkibində toplaya bilər. Biliklər bazası hücumları aşkar edən sistem istehsalçıları, sistem istifadəçiləri və ya üçüncü tərəf ilə tamamlana bilər (məsələn, sistemi dəstəkləyən autsorsinq şirkəti ilə).

Verilənlərin saxlanc yeri hücumları aşkar edən sistemin işləməsi prosesində toplanmış verilənlərin saxlanmasını təmin edir.

Qrafik interfeys. Qeyd etmək lazımdır ki, əgər istənilən güclü və effektiv vəsaitdə interfeys yoxdursa, ondan istifadə olunmayacaqdır. Əməliyyat sistemlərinin rəhbərliyi altında hücumun aşkarlanmasını həyata keçirən qrafik interfeys (Windows və UNIX əməliyyat sistemləri nəzərdə tutulur) de-fakto standartına uyğun olmalıdır.

Reaksiya göstərən altsistem. Əksüləməl (reaksiya) göstərən altsistemdə hücumun aşkarlanmasına və digər nəzarətdə saxlanılan hadisələrə reaksiyanın verilməsi yerinə yetirilir. Altsistemin müəyyən sayda variantları mövcuddur.

Təşkiledicilərlə idarə edilən altsistem. Altsistem hücumu aşkar edən sistemin müxtəlif təşkiledicilərini idarə etmək üçün istifadə olunur. Burada “idarə etmə” termini kimi hücumu aşkar edən sistemin (məsələn, izləmə modulu) təşkiledicilərinin təhlükəsizlik siyasətinin dəyişmə imkanı başa düşülür. Bununla yanaşı altsistem həmin təşkiledicilərdən (məsələn, qeyd edilmiş hücum haqqında məlumat) lazım olan informasiyanı əldə edə bilir. Altsistemin idarə edilməsi həm daxili protokolların və interfeysin, həm də ki, artıq işlənib hazırlanmış standartların (məsələn, SNMP standartı) köməyilə həyata keçirilir.

Qeyd etmək lazımdır ki, hücumu aşkar edən sistem əsas iki arxitekturaya söykənərək qurulur: “avtonom agent” və “agent-menecer”. Birinci halda sistemin hər bir mühafizə olunan qovşağına və ya seqmentinə sistem agenti quraşdırılır. Agentlər öz aralarında informasiya mübadiləsini yerinə yetirirlər. Nəzərə almaq lazımdır ki, onlar mərkəzləşdirilmiş vahid konsol ilə idarə olunmurlar. Göstərilən çatışmazlıq “agent-menecer” sistemində aradan qaldırılmışdır. Bu halda iri şəbəkənin müxtəlif sahələrində yerləşən, verilənləri toplamaq üçün serverləri olan, qeyd edilmiş verilənləri təhlil edən və mərkəzləşdirilmiş şəkildə toplayan mərkəzləşdirilmiş serverdən ibarət olan çoxli sayda IDS-lərdən təşkil edilmiş, hücumu aşkar edən paylanmış sistem dIDS (distributed IDS) istifadə edilir. dIDS modulunun idarə edilməsi mərkəzi konsol ilə bir yerdə həyata keçirilir.

Qeyd etmək lazımdır ki, iri şirkətlərin müxtəlif ərazilərə paylanmış filiallarında, hətta böyük şəhərlərdə belə arxitekturadan istifadəyə tutarlı səviyyədə üstünlük verilir.

dIDS –in ümumiləşdirilmiş sxemi aşağıdakı şəkildə verilən kimidr.

Sistem müxtəlif IDS-lərdən edilən hücum haqqında mərkəzləşdirilmiş informasiyanı əldə etməklə korporativ altsistemın mühafizəsini gücləndirməyə imkan verir. dISD hücumlarının paylanmış açkar etmə sistemləri aşağıdakı altsistemlərdən ibarətdir: idarəetmə konsolu, təhlil edən serverlər, şəbəkə agentləri, hücum haqqında informasiya toplayan serverlər. Təhlil edən mərkəzi server adətən verilənlər bazasından və Veb-serverdən ibarət olur. Təhlil edən mərkəzi server hücumlar haqqında informasiyanı yaddaşında saxlamaqla yanaşı Veb-interfeysin köməyilə verilənləri manipilyasiya da edə bilir.

dIDS-in əsas təşkiledicilərindən biri şəbəkə agentidir. Şəbəkə agenti çox da böyük olmayan proqramdan ibarətdir. Şəbəkə agenti proqramın köməyilə hücum barədə məlumatı təhlil edən mərkəzi serverə ötürür. Hücum barədə informasiyanı toplayan server dIDS sisteminin bir hissəsidir. Server, məlumatı təhlil edən mərkəzi serverə məntiqi şəkildə əsaslanmaqla işləyir. Server şəbəkə agentindən alınan verilənləri qruplaşdırmaqla lazım olan parametrləri təyin edir.

Qruplaşdırılan parametrlərə daxildir:


  • IP-ünvana hücum edənlər;

  • İstifadəçinin portları;

  • Agentin nömrələri;

  • Tarix, zaman;

  • Protokolar;

  • Hücumun növlər və buna oxşarlar.


REAKSİYA VERMƏ ÜSULLARI
Hücum ancaq aşkar edilməli deyil, onun haqqında vaxtında məlumatlanmalı və ona vaxtında reaksiya verilməlidir. İndiki zamanda istifadə olunan sistemlərdə hücuma reaksiya verən müxtəlif üsillardan istifadə edilir. Onları üç kateqoriyaya bölürlər:

  • Xəbərdarlıq etmə;

  • Saxlanma;

  • Aktiv reaksiya vermə.

Bu və ya digər kateqoriyadan istifadə edilməsi çoxlu sayda faktorlardan asılıdır.

Xəbərdarlıq etmə. Xəbərdarlığın sadə və geniş yayılmış üsuludur. Üsulda hücumu aşkarlayan sistemin konsoluna edilən hücum haqqında məlumat təhlükəsizlik administratoruna istiqamətləndirilir. Konsol təhlükəsizliyin təşkilinə cavabdeh olan hər bir əməkdaş üçün qurula bilər. Ola bilsin ki, əməkdaşları ancaq təhlükəsizlik ilə bağlı bütün hadisələr maraqlandırmasın. Belə olan halda digər xəbədarlıq etmə mexanizmindən istifadə məsləhətdir. Belə mexanizmləri elektron poçtu və peycerin köməyilə və ya telefon vasitəsilə əldə etmək olar.

Bu kateqoriyaya digər sistemlərə idarəedici ardıcıllğın göndərilməsini də aid edirlər (məsələn, şəbəkə idarəetmə sistemləri və ya şəbəkələrarası ekran).



Saxlanma. Bu kateqoriya iki variantda araşdırılır:

  • Hadisələrin qeydiyyatının verilənlər bazasında aparılması;

  • Hücumların real vaxt miqyasında əks etdirilməsi.

Birinci variant digər mühafizə sistemlərində də geniş istifadə olunur. İkinci variantın realizə edilməsi üçün şirkətin şəbəkəsinə olunan hücumu “buraxmaq” lazımdır, sonra isə o qeyd olunmalıdır. Bu yanaşma təhlükəsizlik administratoruna imkan verir ki, real vaxt miqyasında (və ya müəyyən olunmuş sürətlə) baş vermiş bütün hadisələri (hücumu yerinə yetirən hadisələr nəzərdə tutulur) təqlid etsin. Sonra isə “müvəffəqiyyətlə” edilmiş hücumları təhlil etdikdən sonra həmin hücumların qarşısını alsın. Daha sonra isə əldə olunmuş (və ya toplanmış) məlumatları (verilənləri) araşdırıb onlara qarşı mübarizə tədbirləri həyata keçirsin.

Aktiv reaksiya vermə. Bu varianta aşağıdakıları aid etmək mümkündür:

  • Hücum edənin işini bloklamaq (qıfıllamaq);

  • Hücum edən qovşağın sessiyasını tamamlamaq;

  • Mühafizə vasitələrinin və şəbəkə avadanlıqlarının idarə edilməsi.

IDS bu növ reaksiya vermə variantlarını davam edə bilər: hücum edən istifadəçinin uçot qeydlərinin qıfıllanması, hücum edən qovşaq ilə sessiyanın avtomatik tamamlanması, şəbəkələrarası ekranın və marşurutlaşdırıcıların xarici görünüşünün yenidən dəyişdirilməsi və buna bənzərlər. Bu kateqoriyaya aid olanlar bir tərəfdən effektiv olsalarda, digər tərəfdən onlardan səliqəli istifadəni tələb edirlər, çünki onların düzgün istifadə olunmaması bütün korporativ informasiya sisteminin iş qabiliyyətinin pozulmasına səbə ola bilər.

Ə D Ə B İ Y Y A T

1.Əlizadə M.N. və başqaları “Kompüter sistemləri və şəbəkələrinin informasiya təhlükəsizliyi” Dərslik, MSV NƏŞR, 2017-cı il, 608 səh.

2.Əlizadə M.N. v. başqaları “İnformasiya təhlükəsizıliyi” Dərs vəsaiti, MSV NƏŞR, 2018-cı il, 392 səh.

3.Əlizadə M.N. və başqaları “Mühəndis sistemlərinin informasiya təhlükəsizıliyi ( Laborator praktikumu və seminar dərslərin aparılması üçün)” Dərs vəsaiti, MSV NƏŞR, 2018-cı il, 604 səh.

4.Əlizadə M.N. və başqaları “İnformasiyanın qorunması və kriptoqrafiya” (Magistr səviyyəsində təhsil alanlar üçün) Dərs vəsaiti, “İqtisad Universiteti” nəşrfiyyatı, 2019-cı il, 492 səh.

5.ƏlizadəM.N. və başqaları “İnformasiyanın qorunması (qısa kurs)” Dərs vəsaiti, MSV NƏŞR, 2019-cu il, 224 səh.

6.Əlizadə M.N., Hacızadə S.M. “İnformasiyanın qorunması və kriptologiya (Magistr səviyyəsində təhsil alanlar üçün)”, Dərs vəsaiti, MSV NƏŞR, 2020-ci il, 520 səh.

MÖVZU 8.


VİRUSLARDAN MÜDAFİƏ

İstifadəçi İnternetə qoşulan zaman İnternetdən fərdi kompüterə daxil olan ziyanverici viruslara qarşı həyata keçirilən müdafiə tədbirləri şəbəkələrarası ekranlaşdırıcı avadanlıqların köməkliyi ilə yerinə yetirilir. Belə avadanlıqlara nümunə olaraq şəbəkələrarası ekran proqramlarını göstərmək mümkündür. Hesablama texnikasında bu tip proqramları Brandmayer və ya Firewall adlandırırlar.

Brandmayerlərin hansı funksiyanı yerinə yetirməsi onların necə sazlanmasından asılıdır. Adətən onlar digər kompüterlərin Sizin istifadə etdiyiniz fərdi kompüterin resurslarına daxil olma cəhdinin qarşısını alır və Sizin kompüterinizdə istifadə olunan proqramlara və İnternetə göndərilən informasiyaya nəzarət edirlər. Məsələn, troya adlanan viruslar İnternetdən və ya elektron poçtundan Sizin kompüterə daxil olub kompüterinizdə olan fayllar haqqında informasiya toplayaraq pis fikirli (bədəməlli) kompüter istifadəçisinə göndərir. Burada məqsəd müxtəlif ola bilir: heç bir fəaliyyətə ziyan vurmadan mümkün kommersiya təkliflərinin qiymətləndirilməsi üçün məlumatların toplanması naminə və ya ciddi sənaye cəsusluğu ilə məşğul olmaq üçün tutarlı səviyyədə əhəmiyyət kəsb edən informasiyaların əldə olunması xatirinə. Belə proqramlar Sizin kompüterə daxil etdiyiniz parolları izləməklə yanaşı digər məxfi (konfidensial) proqramları da nəzarətdə saxlaya bilir.

Brandmayerlərdən başqa İnternetlə bağlı təhlükələrin qarşısını almaqdan ötrü (cəsus proqramların axtarılması və neytrallaşdırılması) spyware adlanan proqram təminatından da istifadə edilir.




Yüklə 18,48 Mb.

Dostları ilə paylaş:
1   ...   5   6   7   8   9   10   11   12   ...   39




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin