Конференция 26.11.2019 сборник Unicon Инф без. збекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги unicon. Uz дук фан техника ва маркетинг

Rule
set
Snort
version
Date
#
Rules
# Rules
Headers
#SA #DA #SP #DP #Prtel
R0
2.3.0 20050405 3182 323 11 13 87 173 4
R1
2.4.0 20050722 3462 340 11 13 91 183 4
R2
2.3.0 20070911 8171 589 10 14 198 316 4
R3
2.4.0 20080924 8346 594 10 14 198 320 4
R4
2.6.0 20080122 9290 613 10 13 203 330 4
R5
2.7.0 20081017 9244 594 10 13 190 327 4
R6
2.8.0 20080122 9040 600 10 14 202 321 4
R7
2.8.0 20080826 9277 620 10 13 204 336 4
R8
2.8.0 20081017 9257 597 10 13 187 332 4
R9
2.8.4 20090421 5662 609 10 13 184 344 4
1-jadval. Snort qoidalar to’plamlari statistikasi
Snort sarlavhasi qoidalari to’plami tahlili. Tarmoq paketlari qoidalari to'plamini real xarakteristikalari haqidagi tadqiqotlar bo'lsada, ularning ko’p qismi bir necha moslik uchun emas, balki eng yaxshi moslikni klassifikatsiyalash uchun qo'llaniladi. Snort sarlavhasi qoidalari to'plami hozirgi kunda eng keng tarqalgan umumfoydalanuvchi paketlarni klassifikatsiyalash qoidalari to'plami hisoblansada uning xarakteristikalari to'liq o'rganilmagan.
Ushbu ishda Snort tizimi saytidan 10 ta qoida to'plami yig'ilgan va ularning statistikasi 1-jadvalda keltirilgan. Tadqiqotda har bir element uchun unikal

121 qiymatlari hisoblanib, 1- jadvalda qayd etilgan va shunga ko'ra quyidagilarni keltirish mumkin:
−
Qoidalarning unikal sarlavhalari soniga nisbatan Snort qoidalarining soni sezilarli darajada ko'proq hisoblanadi. Boshqacha aytganda qoida sarlavhalari
Snortda ko'plab qoidalarga bo'linadi.
−
Qoidalar sarlavhasining soni muntazam oshib borayotgan bo'lsada yetarli darajada katta bo'lmagan darajada qolmoqda. Biroq 2005-yildan buyon qoidalarning unikal sarlavhalari deyarli ikki martaga oshgan.
−
Qoidalarning sarlavhalari muntazam oshib borsada, SA/DA maydonlari uchun unikal qiymatlari soni katta bo'lmagan tendentsiyaga ega, ya'ni 15 dan kam.
Protokol maydonlarining qiymatlari tcp, udp, icmp va іp bilan chegaralangan.
Shu tarzda bu maydonning unikal qiymatlari soni 4 taga teng bo'lib qoladi. Undan tashqari, port maydonlari uchun qiymatlar ro’yxatini, ma'n etish operatorini va diapazon operatorini inobatga olgan holda Snort qoidalarini taqdim etayotgan unikal funktsiyalarni qo'llanilishi ko'rib chiqilgan.
−
Portlarning ko'pgina maydonlari bitta qiymat sifatida ko'rsatilgan.
SP/DP maydonlar uchun unikal qiymatlarning 85%dan oshig'i bir qiymat bilan belgilangan, faqatgina port maydonlari qiymatining 10% gina diapozon sifatida ko'rsatiladi.
−
Ma'n etish operatori tez tez qo'llaniladi. SA/DA maydonlarida
"EXTERNAL_NET" qo'llanishli noravshan ma'n etishdan tashqari faqatgina SP ikkita ma'n etish qiymatiga ega.
−
Har bir maydon bir nechta qiymatlar ro’yxatini qo'llaydi.
SA/DA/SP/DP maydonlarda qiymatlar ro’yxatining soni mos holda 0/3/1/10ga teng.
SP/DP maydonlarida qiymatlar ro’yxati 4 tadan ko'p bo'lmagan qiymatga ega, DA maydonida qiymatlar ro’yxati 18 IP-manzilgacha o'z ichiga oladi[2].
Foydalanilgan adabiyotlar ro’yhati
1. Jun Zhang, Chao Chen, Yang Xiang, Wanlei Zhou, and Athanasios V. Vasilakos,
“An Effective Network Traffic Classification Method with Unknown Flow
Detection”, IEEE Transaction on Network and Service Management, 2013.
2. Fernanda Lima Kastensmidt Luigi Carro Ricardo Reis, “Fault-Tolerance Techniques for SRAM-based FPGAs”, Springer, 2006.
3. Angela Orebaugb, Simon Biles and Jacob Babbin,”Snort CookBook” Solutions and
examples for Snort Adminstrators, 2005.
4. M. Roughan, S. Sen, O. Spatscheck, and N. Duffield, “Class-of-service mapping for
QoS: a statistical signature-based approach to IP traffic classification”, 2004.
5. T. Karagiannis, K. Papagiannaki, and M. Faloutsos, “BLINC: multilevel traffic classification in the dark,” SIGCOMM Comput. Commun. Rev., 2005.

122
TARMOQ TRAFIGIDA SHUBHALI PAKETLARNI ANIQLASH
QOIDALARINI SHAKLLANTIRISH USULLARI
Usmanbayev D. Sh., Sayfullayev Sh.B.Muhammad al-Xorazmiy nomidagi TATU
Annotatsiya. Ushbu maqolada tarmoq hujumlarini aniqlash tizimlarining tuzilishi
va ishlashining o’ziga xos xususiyatlari hamda tarmoqlarda paketlarni tahlillovchi
algoritmlarni takomillashtirish imkonini beruvchi usullar ko’rib chiqiladi.
Kalit so’zlar: tarmoq trafigi, chiziqli raqamli avtomat, maxsus filtrlash, tahdidlar vektori.
Kirish.
Axborot texnologiyalarining rivojlanishi kommunikatsiya texnologiyalarining ham keng miqyosda rivojlanishiga olib kelishi tabiiy hol hisoblanadi. Bu esa albatta tarmoqlarning joriy qilinishisiz ilojsizdir. Tarmoqning asosi telekommunikatsiya texnologiyalari hisoblanib, ularning keng joriy qilinishi bu sohada kiberjinoyatchilikni ham kengayishiga olib keladi. Shularni hisobga olib, tarmoqda shubhali harakatlarni aniqlash, tarmoq trafigida shubhali paketlarni aniqlash masalasi dolzarb hisoblanadi. Yuqoridagilarni hisobga olib, Trafikni maxsus filtrlashda tahdidlarni aniqlashning chekli avtomat modeli ishlab chiqilgan.
Trafikni maxsus filtrlashda tahdidlarni aniqlashning chekli avtomat
modeli.Holatlar alifbosi
𝑆 = {𝑆
0
, 𝑆
1
, 𝑆
2
… 𝑆
𝑛−1
}, kirishlar alifbosi 𝑋 =
{𝑋
0
, 𝑋
1
, 𝑋
2
… 𝑋
𝑛
} va chiqishlar alifbosi 𝑌 = {𝑌
0
, 𝑌
1
, 𝑌
2
… 𝑌
𝑚
} bo‘lsa, unda 𝐴 chekli avtomat tartiblangan
< 𝑃, 𝑆, 𝑌, 𝑆
𝑛
, 𝐹 > to‘plamlar beshligi deb nomlanadi, bu yerda
𝑆
𝑛
∈ 𝑆 – boshlang‘ich holatlar to‘plami [2]. Bu vaziyatda quyidagi 𝑌 = 𝐹(𝑋[𝑛]) chiqish funksiyalari va belgilangan strukturaga ega
𝑆
𝑛
= 𝑆
0
bo‘lgan dastlabki aniq chekli avtomat qo‘rib chiqiladi. Kirishlar alifbosining harfi modelni yakka amalga oshirish uchun bitta test to‘plamidagi barcha ta’sirlarning majmuasi hisoblanadi.
Chiqishlar alifbosining harfi sinov paketida trafikni maxsus filtrlash ta’sirlari majmuasi hisoblanadi (o‘tkazib yuborish yoki olib tashlash). Holatlar alifbosining harfi sinovda tizim ta’sirini shakllantiruvchi tipik qoidalarni ifodalaydi. 𝐹 alifbo operatori
𝑆 − qoidalar sistemasini qo‘llash algoritmi tomonidan beriladi[3].
Shunday qilib, trafikni maxsus filtrlash chiziqli raqamli avtomat ko‘rinishiga keladi.
Chiziqli raqamli avtomat ishlash prinsipi quyidagi tenglamalar sistemasi yordamida tavsiflanadi:
𝑠(𝑡 + 1) = 𝐴𝑠(𝑡) + 𝐵𝑢(𝑡)(1.1)
𝑦(𝑡) = 𝐶𝑠(𝑡) + 𝐷𝑢(𝑡)(1.2)
Bu yerda
𝑢(𝑡) – kiruvchi vektor, 𝑦(𝑡) – chiquvchi vektor, 𝑠(𝑡) – avtomat holatlar vektori,
𝐴, 𝐵, 𝐶, 𝐷 −matritsalar (1-rasm).

123
1-rasm. Chiziqli raqamli avtomatning ishlash prinsipi
Chiziqli raqamli avtomat matritsasini keltiramiz:
𝐴 = ‖𝑎
𝑖𝑗
‖
𝑛×𝑛
𝐵 = ‖𝑏
𝑖𝑗
‖
𝑛×𝑙
𝐶 = ‖𝑐
𝑖𝑗
‖
𝑚×𝑛
𝐷 = ‖𝑑
𝑖𝑗
‖
𝑚×𝑙
(1.3)
Bu yerda
𝐵 = ‖𝑏
𝑖𝑗
‖
𝑛×𝑙
kiruvchi tahdidlar matritsasi bo‘lib,
𝑢(𝑡) tahdidlar vektori bilan ifodalanadi;
𝐴 = ‖𝑎
𝑖𝑗
‖
𝑛×𝑛
chiziqli raqamli avtomatning ishlashini to‘liq ifodalaydi va kiruvchi yechimlar matritsasi bo‘lib
𝐷 yechimlar vektori bilan ifodalanadi;
𝐷 = ‖𝑑
𝑖𝑗
‖
𝑚×𝑙
chiziqli raqamli avtomatning dastlabki holatini saqlaydi. Ushbu holat
𝑦(𝑡) = 𝐷𝑢(𝑡) ifoda orqali topilgan yechimlardan so‘ng olingan natijadan o‘zlashtiriladi va keyingi o‘zlashtirishga qadar saqlaydi;
𝐶 = ‖𝑐
𝑖𝑗
‖
𝑚×𝑛
𝑦(𝑡) = 𝐷𝑢(𝑡) ifoda orqali olingan natijalarni ifodalanadi.
Agar (1.1) va (1.2) tenglamalar sistemasida berilgani kabi to‘rt o‘lchamli matritsa berilgan bo‘lsa, unda har doim chiziqli raqamli avtomatda 𝑙 qirish, 𝑚 chiqish va 𝑛 to‘xtalishlar mavjud bo‘ladi va chiziqli raqamli avtomatning xarakteristik matritsasi
2-rasmda keltirilgan chiziqli raqamli avtomat sxemasiga mos keladi.
2-rasm. Chiziqli raqamli avtomat sxemasi
Trafikni maxsus filtrlashni modellovchi chiziqli raqamli avtomat kirishiga
𝑢(𝑡) tahdidlar vektori beriladi va uning uzunligi chiziqli raqamli avtomatga kirishlar soni
-
𝑙 parametrni aniqlaydi. Tahdidlarning har biriga 0 dan 𝑙 − 1 gacha bo‘lgan noyob kod beriladi.
𝑢(𝑡) kiruvchi vektor sifatida ikkilik ustun-vektordan foydalanish qulay hisoblanadi. Agar trafikni maxsus filtrlash kirishiga
𝑖 − chi kodga teng tahdid berilsa, bu vektorda bir raqami
𝑖 −chi pozitsiyaga qo‘yiladi. Tasavvur qilamiz, trafikni maxsus filtrlash to‘xtalishsiz qurilmadir, ya’ni 𝑛 = 0. Unda (1.1) va (1.2) tenglamalar sistemasi bitta tenglamaga aylanadi:
𝑦(𝑡) = 𝐷𝑢(𝑡) (1.4)
(1.4) dan ko‘rinib turibdiki, bu tenglama orqali aniqlanuvchi chiziqli raqamli avtomatning ishlashi to‘liq 𝐷 matritsani ifodalaydi va aynan unga trafikni maxsus filtrlashni sozlashlar haqidagi axborot joylashtirilishi kerak (tarmoqlararo ekran qarshi chora ko‘ruvchi tahdidlar). 𝑢(𝑡) vektori o‘lchamini hisobga olgan holda, 𝐷 matritsa
𝑙 uzunlikli vektor-satri hisoblanadi. Uning ustiga bu ikkilik vektor-satrdir
[1]. Agar trafikni maxsus filtrlashda
𝑖 −chi kodli tahdidga qarshi chora mexanizmi
𝑠(𝑡)
𝑢(𝑡)
𝑦(𝑡)
Chiziqli raqamli avtomat
𝑙
𝑚
𝑛

124 aniqlansa, bu vektordagi nol raqami,
𝑖 −chi pozitsiyaga qo‘yiladi.
𝑢(𝑡) va 𝐷 vektor o‘lchamlarini, hamda (1.4) tenglamani hisobga olgan holda, 𝑦(𝑡) − trafikni maxsus filtrlashni chiqish ta’siri 𝑙𝑥𝑙 −matritsa hisoblanadi. Bunda berilgan matritsada bizni bosh diagonal qiziqtiradi. Aynan bosh diagonal kirish ta’sirida trafikni maxsus filtrlashning chiqish reaksiyasini eltadi.
Agar
𝑢(𝑡) va 𝐷 matritsalar ikkilik matritsa ekanligini hisobga olsak, 𝑦(𝑡) matritsa ham ikkilik hisoblanadi. Bu matritsadagi
[𝑖, 𝑗] pozitsiyasida birlar mavjudligi trafikni maxsus filtrlashning
𝑖 −chi kodli tahdidlarga qarshi chora ko‘ra olmasligidan dalolat beradi. Masalan, trafikni maxsus filtrlashni kirishiga (8x1) vektor berilsin:
𝑢(𝑡) = [00011011]
𝑇
, ya’ni sakkiz turli xildagi tahdidlar xususidagi axborot joylashtiriladi.
Bunda trafikni maxsus filtrlash kirishiga 4, 5, 7 va 8 kodli tahdidlar beriladi.
𝐷 matritsa (1x8) o‘lchamli bo‘lishi lozim, bu vektorni ixtiyoriy to‘ldiramiz:
𝐷 = [00001101]
𝑇
Ushbu holatda trafikni maxsus filtrlash 5, 6 va 8 kodli tahdidlarga qarshi chora ko‘ra olmaydigan qurilma kabi aniqlanadi. (1.4) tenglamadan quyidagi chiquvchi ta’sirni olamiz:
𝑦(𝑡) = 𝐷 × 𝑢(𝑡) =
(
0 0
0 1
1 0
1 1)
× (0 0 0 0 1 1 0 1) =
(
0 0 0
0 0
0 0
0 0 0 0
0 0
0 0
0 0 0 0
0 0
0 0
0 0 0 0
0 1
1 0
1 0 0 0
0 𝟏
1 0
1 0 0 0
0 0
0 0
0 0 0 0
0 1
1 0
1 0 0 0
0 1
1 0
𝟏)
Natija. Ko‘rinib turibdiki,
𝑦(𝑡) matritsaning bosh diagonalida birlar faqat [5,5] va
[8,8] pozitsiyalarda joylashgan, ya’ni bu yerda D[5,8] matritsa orqali berilgan trafikni maxsus filtrlash 5 va 8 kodli tahdidga qarshi chora qo‘ra olmasligini anglatadi va boshqa pozitsiyalarda trafikni maxsus filtrlash tahdidlarni bartaraf etishini ko‘rish mumkin.
1-jadval. Trafikni maxsus va an’anaviy filtrlashning o‘ziga xos xususiyatlari
Trafikni an’anaviy filtrlash
Trafikni maxsus filtrlash
Filtrlovchi interfeyslarda mantiqiy va fizik adreslar.
Filtrlovchi interfeyslarda mantiqiy va fizik manzillar yo‘q.
Tarmoqlararo ekran funksiyalari integrallashmagan.
Tarmoqlararo ekran funksiyalari integrallashgan.
Ishlangan paketdagi protokollar sarlavhalari o‘zgaradi.
Ishlangan paketdagi protokollar sarlavhalari o‘zgarmaydi.

125
Hujum va tahdidlarga qarshi chora.
Hujum va tahdidlarga qarshi chora.
Marshrutizatsiya siyosatidagi o‘zgarishlar.
Marshrutizatsiya siyosati o‘zgarmaydi.
Tarmoq trafigi shaffof emas.
Tarmoq trafigi shaffof.
Yuqoridagilarni hisobga olib, tarmoq tarfigini filtrlashning an’anaviy va maxsus filtrlashlarning o’ziga xos xususiyatlari qiyoslanishi 1- jadvalda keltirilgan. Unga ko’ra tarmoq trafigini an’anaviy filtrlashda filtrlovchi interfeyslarda mantiqiy va fizik adreslar qo’llanilgan bo’lsa maxsus filtrlashda bunday manzillar qo’llanilmagan, maxsus filtrlashda tarmoqlararo ekran funksiyalari an’anaviy filtrlashdan farqli integrallashgan. Bundan tashqari an’anaviyda maxsus filtrlashdan farqli jihatlarga protokollar sarlavhalarrini o’zgarishini, marshrutizatsiya siyosatidagi o‘zgarishlar hamda Tarmoq trafigi shaffof emasligini ko’rsatish mumkin.
FOYDALANILGAN ADABIYOTLAR RO’YHATI
1.
Браницкий А.А., Котенко И.В. Анализ и классификация методов обнаружения. Труды СПИИРАН. 2016.
2.
Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей// М.: ИД«ФОРУМ»: ИНФРА-М. 2019. 416 с
3.
Markelov O., Duc V. N., Bogachev M. Statistical modeling of the
Internet traffic dynamics: To which extent do we need long-term correlations?
//Physica A: Statistical Mechanics and its Applications. – 2017.
БИОМЕТРИК АУТЕНТИФИКАЦИЯ ТИЗИМЛАРИДА МАВЖУД
ХАТОЛИКЛАР ТАҲЛИЛИ
Қурбонов Ф.Я., Содиқова Д.Ж.
Ушбу мақолада биометрик аутентификация тизимларидаги хатолар
ва уларнинг қиёсий таҳлили кўриб чиқилган.
Биометрик аутентификация тизимларида халақитлар натижасидаги катта муаммолар вужудга келади. Халақитлар рўйхатга олиш ва таниб олиш жараёнлари орасидаги фарқларни ифодалайди. Биометрик аутентификация тизимларида фойдаланувчини таниб олиш даражаси маълум чегара орқали аниқланади. Бу чегара фойдаланувчиларни иккита гуруҳга, ҳақиқий ва

126
ҳақиқий бўлмаганларига ажратади. Бироқ, биометрик тизимлар чегарани танлашда, хатолик натижасида шу чегара яқинида ноҳуш ҳолатга учрайди.
Қуйида биометрик тизимлардаги мавжуд хатоликлар тавcифланган.
Хатоликлар даражасини
ҳисоблашда
қуйидаги катталиклардан фойдаланилади:
TP – ҳақиқатдан мавжуд (True Positive);
TN – ҳақиқатдан мавжуд эмас (True Negative);
FN – ёлғондан мавжуд эмас (False Negative);
FP – ёлғондан мавжуд (False Positive).
Ёлғондан тасдиқлаш даражаси (Falce acceptance rate, FAR). Бу эҳтимоллик тизимнинг янги киритилган параметр ва шаблон орасидаги таққосланишнинг ёлғондан мувафаққиятли деб топиши даражасини белгилайди. У нотўғри таққосланишлар фоизини кўрсатади ва қуйидагича
ҳисобланади:
𝐹𝐴𝑅 =
𝐹𝑁
𝑇𝑃 + 𝐹𝑁
Ёлғондан рад этиш даражаси (Falce rejection rate, FRR). Бу эҳтимоллик тизимнинг янги киритилган параметр ва шаблон орасидаги таққослашнинг
ёлғондан мувафаққиятсиз деб топиши даражасини белгилайди. У жоиз киришларни рад этиш даражасини кўрсатади ва қуйидагича ҳисобланади:
𝐹𝑅𝑅 =
𝐹𝑃
𝑇𝑁 + 𝐹𝑃
Тенг хатолик даражаси (Equal error rate, EER). Бу хатолик даражаси тасдиқлаш ва рад этиш хатоликларининг тенг бўлган миқдори билан аниқланади. Тезкор тасдиқлаш талаб этилган вақтда бу хатоликдан кўп
ҳолларда фойдаланилади. Амалда олиб борилаётган илмий изланишлар FAR ва FRR хатоликларини нолга тенглаштиришга қаратилган бўлиб, ушбу ҳолат аутентификация жараёнини идеал даражасини белгилайди. Унинг қиймати
ROC (Receiver Operating Characteristic) графиги асосида FAR ва FRR эгри чизиқларнинг тенг қийматни қабул қилишлари асосида ҳисобланади (1-расм).
Чегара қиймат
Х
ат ол ик
FAR
FRR
1-расм. ROC эгри чизиғи

127
Ўрганиш жараёнидаги хатолик (Failure to Enroll Rate, FER). Ўрганиш жараёнида намунани ҳосил қилишдаги муваффақиятсиз уринишларнинг даражсини белгилайди. Бунда фойдаланувчи ўзининг маълумотларини тизимга ўргатиш учун киритишга ҳаракат қилади. Сифатсиз биометрик параметр киритилганида тизим рад жавобини беради ва у қуйидагича
ҳисобланади:
𝐹𝐸𝑅 =
𝐹𝐸
𝐸
,
бу ерда, FE - ўрганиш жараёнида муваффақиятсиз намуналар сони, E–
киритилган намуналар сони.
Тутиб олишдаги хатолик даражаси (Failure to Capture rate, FCR).
Автоматлаштирилган тизимларда тўғри тақдим этилган биометрик параметрни аниқлашда тизим томонидан йўл қўйиладиган хатолик даражаси.
𝐹𝐶𝑅 =
𝐹𝐶
𝑁
,
бу ерда, FC – тутиб олиш жараёнида муваффақиятсиз намуналар сони, N – тутиб олиш жараёнига киритилган намуналар сони.
Ўртача хатоликлар. Биометрик тизимларнинг самарадорлигини баҳолашда алгебраик ва геометрик ўртача хатоликлардан фойдаланилади.
Ўртача алгебраик хатолик (Half Total Error Rate, HTER)қуйидагича
ҳисобланади:
𝐻𝑇𝐸𝑅 =
𝐹𝐴𝑅 + 𝐹𝑅𝑅
2
Ўртача геометрик хатолик (Geometric Mean, GM) эса, қуйидаги формула орқали ҳисобланади:
𝐺𝑀 = √
𝑇𝑃
𝑇𝑃 + 𝐹𝑁
х
𝑇𝑁
𝑇𝑁 + 𝐹𝑃
Қурилма ва субъект орасидаги масофа (Sensor Subject Distance, SSD).
Шахс ва биометрик параметрни ўқувчи қурилма орасидаги масофа. Турли биометрик параметрлар учун ушбу масофа турлича бўлиши мумкин.
Юқорида келтирилган хатоликлар асосида мавжуд биометрик параметрларнинг
қиёсий таҳлили келтирилган
(1-жадвал).
Ушбу хатоликларнинг қийматлари тадқиқотлар асосида олинган натижаларга таянган ҳолда, ўртача қийматда ҳисобланган.

128 1-жадвал
Биометрик параметрларнинг хатоликларга асосан қиёсий таҳлили
Хатоликлар %
Биометрик параметрлар
F
AR
F
R
R
EER
F
E
R
F
C
R
HT
E
R
GM
SSD
Кўз қорачиғи
0.94 0.99 0.01 0.5 0.6 0.965 9
30 см
Кўз тўри пардаси нақши 0.99 1
0.04 0.8 0.8 0.995 10 2 см
Бармоқ изи
2 2
2 1
5 2
27 0
Қўлнинг геометрик шакли
2 2
1 1.2 6
2 33 10 см
Юз тасвири
5 4
-
2.7 18 10.5 73