Главная страница
Навигация по странице:

  • DoS атаки: глушение

  • Подслушивание

  • Диапазон перехвата прямого канала

  • Диапазон перехвата обратного канала

  • Рабочий диапазон

  • Атака ретрансляции и воспроизведения

  • Вирусные атаки

  • Список литературы

  • TARMOQ ANOMALIYALARINI ANIQLASHNING MATEMATIK MODELINI TAKOMILLASHTIRISH Usmanbayev D., Baratova Z., Karimov B. TUIT

  • Kalit so’zlar

  • Конференция 26.11.2019 сборник Unicon Инф без. збекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги unicon. Uz дук фан техника ва маркетинг


    Скачать 4.21 Mb.
    Названиезбекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги unicon. Uz дук фан техника ва маркетинг
    Дата02.03.2020
    Размер4.21 Mb.
    Формат файлаpdf
    Имя файлаКонференция 26.11.2019 сборник Unicon Инф без.pdf
    ТипДокументы
    #110488
    страница15 из 24
    1   ...   11   12   13   14   15   16   17   18   ...   24
    Скимминг - это несанкционированное взаимодействие нелегитимного читателя с легитимным тегом для получения данных, хранящихся на теге, без ведома или согласия владельца. Скимминг может происходить на большие и короткие расстояния и может собирать информацию из одного или нескольких тегов.
    Подслушивание - это оппортунистический перехват информации, которой обмениваются законный тег и законный читатель. Однако скимминг происходит, когда данные, хранящиеся на метке RFID, считываются без ведома или согласия владельца. Неавторизованный читатель взаимодействует с тегом для получения данных. Эта атака может быть осуществлена, потому что большинство тегов транслируют содержимое своей памяти без аутентификации.
    Одним из интересных проектов является проект RFID IOt Адама Лори
    [6]. В частности, RFID IOt - это библиотека с открытым исходным кодом для исследования RFID-устройств. Несколько экспериментов с читателями, работающими на 13,56 МГц и 125 / 134,2 кГц показаны. Количество стандартов, поддерживаемых библиотекой, составляет около 50. Некоторые примеры выполненных атак:
    Некоторые компании продают карты против скимминга, которые действуют как блокирующие метки. Существуют также экранирующие зажимы, которые предотвращают считывание метки, когда клип закрыт, и позволяют считывать метку только при нажатии на верхнюю часть держателя, чтобы освободить пружинный механизм, который временно отодвигает метку от защитного экрана.
    DoS атаки: глушение
    Jamming - это тип атак типа «отказ в обслуживании» (DoS), который нацелен на подсистему RF, чтобы предотвратить ее работу или ухудшить доступность системы. Атаки с помехами могут принимать две формы:
    Пассивное глушение и Активное глушение.
    Пассивное подавление используется для того, чтобы скрыть наличие допустимых тегов и не дать читателю увидеть теги в его окрестностях. Это может быть сделано с помощью блокировочным тега. Каждый раз, когда

    144 читатель хочет взаимодействовать с одним тегом, тег должен быть выделен из совокупности тегов. Можно использовать протокол антиколлизии, такой как протокол бинарного обхода дерева. Чтобы скрыть наличие допустимых тегов, блокирующий тег может имитировать полный спектр возможных тегов на этапе разделения, тем самым скрывая присутствие других тегов.
    Активное глушение достигается путем нарушения радиоканала радиочастотных сигналов. Это нарушение может быть сделано с использованием устройства, которое активно передает радиосигналы, чтобы полностью нарушить работу радиоканала, тем самым препятствуя нормальной работе считывателей RFID.
    Подслушивание
    Технология RFID работает через радио, поэтому связь может быть тайно подслушана. В работе [7], возможные расстояния, на которых злоумышленник может прослушивать сообщения, которыми обмениваются тег и читатель, классифицируются.
    Диапазон перехвата прямого канала: В канале чтения-в-метке (прямой канал) считыватель передает сильный сигнал, позволяя осуществлять мониторинг с большого расстояния.
    Диапазон перехвата обратного канала: сигнал, передаваемый в метке- считывателю (обратный канал), относительно слабый и может отслеживаться только в непосредственной близости от метки.
    Рабочий диапазон: диапазоны считывания, являются рабочим диапазоном считывания с использованием стандартных считывателей.
    Вредоносный диапазон сканирования: злоумышленник может создать свой собственный считыватель-архивирование более длинные диапазоны считывания, особенно если не соблюдаются правила, касающиеся радиоустройств. Разговор между читателем и меткой может быть перехвачен на большем расстоянии, чем это возможно при прямом общении. Например, метки, соответствующие ISO 14443, имеют расстояние считывания около 10 см (при использовании стандартного оборудования). Тем не менее, Kfir et al. показал, что это расстояние может быть увеличено до 55 см с помощью рамочной антенны и обработки сигнала [8].
    Подслушивание особенно проблематично по двум причинам:
    1.Осуществимость: это может быть достигнуто с больших расстояний.
    2. Сложность обнаружения: она является чисто пассивной и не подразумевает излучение сигнала мощности.
    Атака ретрансляции и воспроизведения

    145
    Атака воспроизведения копирует поток сообщений между двумя сторонами и передает его одной или нескольким сторонам. Обобщенное определение атаки воспроизведения может быть следующим: атака на протокол безопасности, использующая воспроизведение сообщений из другого контекста в предполагаемый (или исходный и ожидаемый) контекст, таким образом, обманывая честного участников, думая, что они успешно завершен протокол выполнения [9]. Исчерпывающая классификация повторных атак может быть найдена в работе. [10].
    Распространенными методами, позволяющими избежать атак воспроизведения, являются добавочный порядковый номер, тактовая синхронизация или одноразовый номер. В работе [11], представлен набор принципов проектирования, позволяющих избежать повторных атак в криптографических протоколах. В контексте RFID синхронизация часов невозможна, поскольку пассивные метки RFID не могут использовать часы, так как метки такого типа не имеют встроенного источника питания.
    Инкрементная последовательность, такая как маркер сеанса, может быть простым решением, если отслеживание не считается угрозой. Поэтому использование одноразовый номер является наиболее подходящим вариантом для меток RFID.
    Ряд факторов в совокупности делает возможным проведение ретрансляционных атак на технологию RFID. Метки читаются на расстоянии и активируются автоматически, когда рядом считывателем. Следовательно, злоумышленник может общаться с тегом без знания его владельца.
    В атаке ретрансляции участвуют два устройства: призрак и пиявка [8].
    Призрак - это устройство, которое подделывает карту для считывателя, а пиявка - это устройство, которое подделывает считывателя на карту. Призрак и пиявка создают быстрый канал связи между законным считывателем и карточкой жертвы:
    1. Законный читатель отправляет сообщение (А) призраку.
    2. Призрак получает и передает это сообщение (A) пиявке по каналу быстрой связи (минимальная задержка).
    3. Пиявка подделывает настоящего читателя и отправляет сообщение (А) на допустимый тег.
    4. Легитимный тег вычисляет новое сообщение (B) и передает его пиявке.
    5. Пиявка получит его и отправит это сообщение (B) призраку по каналу быстрой связи.
    6. Призрак направляет это сообщение (B) настоящему читателю.

    146
    Такая атака рассеивает предположение, что считыватели и теги должны быть очень близко связываться. Кроме того, даже если сообщения зашифрованы, атака осуществима, поскольку сообщения передаются только через быстрый канал связи, не требуя знания его содержимого. В работе [12] описана практическая релейная атака на теги, соответствующие ISO 14443.
    Вирусные атаки
    Память RFID-метки содержит уникальный идентификатор, но могут быть сохранены дополнительные данные. Размер данных меняется от нескольких байтов до нескольких килобайт. Память, в которой хранится эта дополнительная информация, перезаписывается. Информация, отправляемая тегами, является достоверной, что подразумевает некоторые угрозы безопасности [13,14]:
    1. Переполнение буфера: это один из самых распространенных источников уязвимостей в программном обеспечении.
    Языки программирования, такие как C или C++ не запоминаются. Другими словами, длина входов не проверяется. Злоумышленник может ввести ввод, который намеренно длиннее, записывая данные из буфера. Поскольку данные управления программой часто располагаются в областях памяти, смежных с буферами данных, переполнение буфера может привести к тому, что программа выполнит произвольный код. Поскольку большое количество тегов имеет жесткие ограничения на хранение, можно использовать богатые ресурсами устройства имитации тегов [15].
    2. Вставка кода. Злоумышленник может внедрить вредоносный код в приложение, используя любой язык сценариев (например, общий интерфейс шлюза, Java, Perl и т. Д.). RFID-метки с данными, написанными на языке сценариев, могут выполнять атаку такого рода. Представьте, что теги, используемые для отслеживания багажа в аэропорту, содержат место назначения аэропорта в своем поле данных. Каждый раз, когда тэг читается, внутренняя система запускает запрос: “select∗form location_table where airport
    = ” представьте, что злоумышленник хранит в одной единице багажа
    “MAD;shutdown”. Когда эти данные будут считаны, база данных будет закрыта, а система багажа выйдет из строя.
    3. Structure Query Language (SQL): это тип атаки вставкой кода, выполняющий коды SQL в базе данных, которые не были предназначены.
    Основными целями этих атак являются следующие: перечисление структуры базы данных, извлечение несанкционированных данных, внесение несанкционированных изменений или удалений и т. д. RFID-теги могут содержать данные для атаки SQL-инъекцией. Ограничение хранилища не

    147 является проблемой, так как с очень небольшим количеством SQL можно навредить. Например, в SQL «drop table » удалит указанную таблицу базы данных.
    Анализ потенциальных атак показывает, что их влияние зависит от настройки системы RFID: открытые петли более склонны к прослушиванию, а закрытые - к атакам срыва.
    Процессные и интеллектуальные риски для внедряющей компании, а также для цепочки поставок возникают в результате использования систем RFID.
    Управление этими рисками зависит от физической безопасности, дополнительной избыточности с non-RF системами и раннего обнаружения с помощью систем обнаружения вторжений. Криминалистическая экспертиза после успешной атаки на системы RFID является широко признанной проблемой в управлении рисками RFID.
    В этой статье мы классифицировали атаки на основе каждого слоя, и обсудили возможные контрмеры, которые можно использовать для борьбы с этими атаками. Мы различали их по атакам, развернутым на физическом уровне, прикладном уровне, стратегическом уровне и многоуровневых атаках.
    Наконец, мы указываем, для каких атак необходимы дальнейшие исследования, чтобы добиться адекватной защиты от них.
    Список литературы
    [1] Pedro Peris-Lopez et al, In Security in RFID and Sensor Networks
    (Wireless Networks and Mobile Communications), chapter “Attacking RFID
    Systems”, CRC Press, 2009, pp. 29-49.
    [2] A Juels. RFID security and privacy: A research survey. Manuscript, 2005.
    [3] Class-1 Generation-2 UHFairinter face protocol standard version1.0.9:
    “Gen-2”. http://www.epcglobalinc.org/standards/, 2005.
    [4] C. Lee, D. Houdeau, andR. Bergmann. Evolutionof thee-passport. http://www.homelandsecurityasia.com, September 3, 2007.
    [5] C. Swedberg. Broadcom introduces secure RFID chip. RFID Journal. http://www.rfidjournal.com, June 29, 2006.
    [6] A. Laurie. RFIDIOt project. http://www.rfidiot.org, August 5, 2007.
    [7] D.C. Ranasinghe and P.H. Cole. Confronting security and privacy threats in modern RFID systems. In Proceedings of ACSSC 06, pp. 2058–2064, Pacific
    Grove, CA, 2006.
    [8] Z. Kfir and A. Wool. Picking virtual pockets using relay attacks on contactless smartcard systems. In Proceedings of SecureComm’05. IEEE
    Computer Society, Athens, Greece, 2005.

    148
    [9] S. Malladi, S. Alves-Foss, and R. Heckendorn. On preventing replay attacks on security protocols. In Proceedings of SM’02 , pp. 77–83, CSREA Press,
    Las Vegas, NV, 2003.
    [10] P. Syverson. A taxonomy of replay attacks. In Proceedings of CSF’94 , pp. 187–191. IEEE Computer Society, Franconia, NH, 1994.
    [11] T. Aura. Strategies against replay attacks. In Proceedings of CSF’97.
    IEEE Computer Society, Rockport, MA, 1997.
    [12] G. Hancke. Practical attacks on proximity identification systems (short paper). In Proceedings of SP’06. IEEE Computer Society, Oakland, CA, 2000.
    [13] F. Thornton, B. Haines, A. Das, H. Bhargava, A. Campbell, and J.
    Kleinschmidt. RFID Security. Syngress Publishing, 2006.
    [14] M. Rieback, C. Bruno, and A. Tanenbaum. Is your car infected with a computer virus? In Proceedings of PerCom’06. IEEE Computer Society, Pisa,
    Italy, 2006.
    [15] B. Jamali, P.H. Cole, and D. Engels. In Networked RFID Systems and
    Lightweight Cryptography, chapter RFID Tag Vulnerabilities in RFID Systems , pp. 147–155. Springer, 2007.
    [16] Harold F. Tipton, In Information Security Management Handbook,
    Section 1.4 “Risk Management”, pp. 321–331, Sixth Edition, 2007.
    [17] Guttorm Sindre1 and Andreas L. Opdahl, “Templates for Misuse Case
    Description”, 2001.
    [18] Wikipedia, “Misuse case”, May 2011, http://en.wikipedia.org/wiki/Misuse_case.
    TARMOQ ANOMALIYALARINI ANIQLASHNING MATEMATIK
    MODELINI TAKOMILLASHTIRISH
    Usmanbayev D., Baratova Z., Karimov B. TUIT
    Annotatsiya. Ushbu maqolada tarmoq anomaliyalarini aniqlashning tuzilishi
    va ishlashining o’ziga xos xususiyatlari hamda matematik modelini
    takomillashtirish usullari ko’rib chiqiladi.
    Kalit so’zlar: Differensial entropiya, tarmoq anomaliyasi, anomalni aniqlash, differensial tenglamalar
    Tarmoq anomaliyalarini aniqlashning matematik modelini takomillashtirish uchun, tarmoq ko'rsatkichlarining vaqt ko'rsatkichlariga muvofiq dinamik tizimning matematik modelini qayta qurish uchun texnikadan foydalanish taklif etiladi. Bu tizim parametrlaridan birining vaqt ko'rsatkichlarini qayd qilib, tizimning murakkabligini va ayrim xususiyatlarini (masalan, dinamikasi) qayta tiklashga

    149 imkon beradi. Qayta tiklangan modeldagi parametrlarni kuzatish jarayoni kuzatilgan tizimdagi hujumlarni aniqlash imkonini beradi.
    Tavsiya etilgan uslubda anomaliyalarni aniqlash vazifasi uch bosqichda amalga oshiriladi:
    1. Tizimning tortish va rekonstruktsiyasini tiklash uchun maqbul rekonstruktsiya parametrlarini tanlash.
    2. Qayta tiklangan tortinuvchini tasvirlaydigan differensial tenglamalar tizimining parametrlarini aniqlash.
    3. Qayta tiklangan modeldagi tenglamalar parametrlarida o'zgarishlar monitoringi.
    Tahlil ob'ekti 1 sekunddan so'ng tarmoq interfeysidan o'tgan paketlar sonining ketma-ketligi.
    Eksperimental ma'lumotlarning {x} eksperimental ma'lumotlaridan dinamik tizimni tortuvchi vositani qayta qurish uchun optimal qayta qurish parametrlarini tanlash masalasini hal qilish kerak: vaqtni kechiktirish τ va ko'shish o'lchovi m.
    Qayta qurish natijasida ikkala parametrning tanloviga bog'liqdir. Optimal {m
    opt
    , τ
    opt
    }qiymatini differentsial entropiya indekslari yordamida amalga oshiriladi, chunki bu usul alternativdan farqli o'laroq ikkala parametrni bir vaqtning o'zida qo'lga kiritishga imkon beradi.
    Differensial entropiya ma'lumotlar tarqalish zichligi p(x) ma'lumotidan foydalanib, "tartibsizlikni" aniqlash uchun ishlatiladi. Amaldagi ma'lumotlarning kattaligiga nisbatan moslashuvchanlik tufayli, Yu. V. Kozachenko va G. M.
    Leonenko tomonidan tavsiya etilgan differensial entropiya uchun baholash juda tez- tez ishlatiladi:
    (𝑥) = ∑
    ln(𝑁𝑝
    𝑗
    ) + ln 2 + 𝐶
    𝐸
    𝑁
    𝑗=1
    (1.1)
    1.1- formulada n – vaqt qator uzunligi,ρ
    j
    - dan qayta qurilan vektorni eng yaqin qo'shniga yetkazish va CE ( ≈ 0.5772 ) – Eulerning doimiyligi. Vaqt oralig'ini joylashtirish uchun differensial entropiya{x}, ichki joylashish o'lchami m , vaqt kechiktirishi τ H (x, m, τ ) deb ko'rsatilgan. H (x, m, τ) - bu o'zgarishlar fazasida strukturaning teskari o'lchovidir.
    Optimal parametrlar to'plami {m
    opt
    , τ
    opt
    } haqiqiy tizimdagi dinamikani to'liq aks ettiradigan o'zgarishlar portretini olish imkonini beradi. Shunday qilib, optimal portret minimal differentsial entropiyaga (minimal "tartibsizlik") ega va optimal
    {m
    opt
    , τ
    opt
    } dan chetga chiqish "tartibsizlik"ga olib keladi. Shuning uchun, optimal parametrlarni topish uchun H (x, m, τ ) ni kamaytirish kerak .
    Tenglama (1) ning o'lchamdagi o'zgarishga nisbatan beqarorligini bartaraf etish uchun {x} dan olingan bir qator
    "
    o’rinbosar (surrogate)" signallarini ishlatish tavsiya etilgan. Ns ning kerakli miqdori {xs ,i }, i = 1,..., Ns , original vaqt oralig'ida

    150 tasodifiy o'zgarishlar bilan hosil bo'ladi. Bunday holda, signal taqsimoti o'zgarmaydi va ketma-ketlikdagi korrelyatsiya tasodifiy bo'lib qoladi. Natijada {x} original qatoriga teng taqsimlangan yangi "oqlangan" signal. Differentsial entropiya qayta ishlangan vaqtli eksperimental ma'lumotlar seriyasi va surrogatlar uchun formuladan foydalanib (1.1) doimo ortib boradigan m va τ uchun hisoblanadi. Optimal qayta qurish parametrlarini aniqlash uchun quyidagi munosabatlarni optimallashtirish kerak:
    𝐼 (𝑚, τ) =
    𝐻 (𝑥,𝑚,τ )

    𝐻 (𝑥
    𝑖,𝑠
    ,𝑚,τ )

    𝑖
    ,
    (1.2)
    bu yerda <
    ⋅> i i uchun ifoda qiymati o'rtacha degan ma'noni anglatadi. 1.1- jadvalda 10 vaqt satrlari uchun optimal rekonstruksiya parametrlarini baholash natijalari taqdim etildi. MIT Linkolnlaboratorlarining test to'plamlari bo'yicha tuzilgan 200 ta nuqta uzunligi .
    Optimal qayta qurish parametrlari 1.1-jadval
    Rent
    m
    opt
    τ
    opt
    1 2
    16 2
    2 12 3
    2 23 4
    3 15 5
    2 28 6
    5 14 7
    2 42 8
    2 34 9
    2 19 10 2 33
    MIT Linkoln Laboratoriyasining 4 va 5-haftalik kuzatuvlari bo'yicha barcha ma'lumotlarni qayta ishlash va Stavropol Davlat Universiteti Internet-kanaliga oid real ma'lumotlarga ko'ra, taxminan 80% hollarda rekonstruksiya qilingan to’rtinchi hajmi 2 ga teng bo'ladi. Bu shuni anglatadiki, tavsiflar shakli ikkinchi darajali 1.2 differentsial tenglama tizimi talab etiladi:
    ẋ 𝑖 = ∑
    𝑐
    𝑖,𝑘
    𝐹𝑖, 𝑘 (𝑥1 , 𝑥2 , . . . , 𝑥𝐷 )
    𝐾
    𝑘=1
    ,
    (1.3) bu yerda i = 1,..., D , D -tenglama darajasi, K -tenglamalar soni va ci,k - topilishi kerak bo'lgan parametrlar. Tenglama parametrlarini aniqlash (1.3) eng kichik kvadratchalar usuli yordamida amalga oshiriladi. 2 ta tenglama uchun 18 parametr qiymatlarini topish kerak.

    151
    Tavsiya etilgan usulni tekshirish MIT Linkoln kutubxonasi o'quv ma'lumotlarining 5 daqiqali qismi uchun vaqt oralig'ida amalga oshirildi.
    Tenglamani qayta ishlash kuzatuvlar paytidan boshlab oxirgi 200 nuqtada amalga oshirildi. 1.1-rasmda vaqt birligi ichida parametrlarni o'zgartirish jadvali ko'rsatilgan. Abscissa o'qi parametrlarning seriya raqami( bu erda 10-chidan 18- gacha parametrlar-navbati bilan ikkinchi tenglamaning 1–chidan-9-gacha parametrlari), ordinat o'qi-ta'mirlashning seriya raqami va aplikat o'qi parametrlarning qiymati hisoblanadi.
    1.1-rasm. Vaqt birligi ichida parametrlarni o'zgartirish jadvali
    Monitoring boshlanganidan keyin 1 daqiqadan so'ng keskin o'zgarish kuzatiladi. Barcha tenglamalar parametrlari, bu hujumni aniqlashni ko'rsatadi. Bu nuqta Linkoln kutubxonasi ma'lumotlariga to'g'ri keladi, bu vaqtda mailbomb turidagi hujum amalga oshirildi.
    Shunday qilib, anomalni aniqlash tizimini o'rganish uchun ma'lumotlarning mavjudligini talab qilmaydigan tarmoq holati ko'rsatkichlaridan birining vaqt oralig'ida tarmoq anomaliyalarini aniqlashning yangi usuli taklif etiladi.
    1   ...   11   12   13   14   15   16   17   18   ...   24


    написать администратору сайта