Конференция 26.11.2019 сборник Unicon Инф без. збекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги unicon. Uz дук фан техника ва маркетинг
Скачать 4.21 Mb.
|
АРХИТЕКТУРА БЕЗОПАСНОСТИ НА УРОВНЕ IPSес Сейдуллаев Мадияр магистр ТУИТ В данном тезисе приведена общая структура документов IPSec и сервисы, обеспечиваемые применением протоколов аутентификации. Спецификации IPSec определяются целым рядом документов. Наиболее важными из них являются следующие: RFC 2401 – Архитектура безопасности для IP; RFC 2402 – Описание расширений аутентификации пакетов IP; RFC 2406 – Описание расширений шифрования пакетов IP; RFC 2408 – Спецификации средств управления ключами. В соответствии с указанными документами средства защиты реализуются в виде заголовков расширений, которые следуют за основным заголовком IP. Заголовок расширения аутентификации называют заголовком AH (Authentication Header – заголовок аутентификации), а заголовок расширения шифрования – заголовком ESP (Encapsulating Security Payload header – заго ловок защищённого полезного груза или заголовок защищённого содержимо го). В дополнение к этим четырём документам протокол IPSec включает ещё семь групп документов. Архитектура. Содержит описание общих принципов, требований защиты, а также определения и механизмы реализации технологии IPSec. 212 Безопасное сокрытие значимых данных (ESP). Описание формата пакета и общих принципов использования ESP для шифрования и аутентификации пакетов. Заголовок аутентификации (AH). Описание формата пакета и общих принципов использования AH для аутентификации пакетов. Алгоритм шифрования. Набор документов, определяющих использование различных алгоритмов шифрования для ESP. Алгоритм аутентификации. Набор документов, определяющих использование различных алгоритмов аутентификации для AH и для опции аутентификации ESP. Управление ключами. Документы, описывающие схемы управления ключами. Область интерпретации. Содержит значения, необходимые для соответствия одних документов другим. Это, в частности, идентификаторы проверенных алгоритмов шифрования и аутентификации, а также некоторые параметры, например, продолжительность жизненного цикла ключей. IPSec обеспечивает сервис защиты на уровне IP, позволяя системе выбрать необходимые протоколы защиты, определить алгоритм для соответствующего сервиса и задать значения любых криптографических ключей, требующихся для запрашиваемого сервиса. Для защиты используется два протокола: протокол аутентификации, указанный заголовком аутентификации AH, и комбинированный протокол шифрования/аутентификации, определённый форматом пакета для протокола ESP. В таблице 1 показаны сервисы, обеспечиваемые применением указанных протоколов. Ключевым элементом реализации указанных сервисов является защищённая связь (SA – security association). Связь представляет собой одностороннее отношение между отправителем и получателем, применяющим сервис защиты к транспортному потоку. Если требуется равноправное отношение для двухстороннего защищённого обмена, необходимы две защищённые связи. Сервис защиты даёт возможность для защищённой связи использовать либо AH, либо ESP, но никак не оба протокола одновременно. Индекс параметров защиты. Строка битов, присваиваемая конкретной защищённой связи. Индекс параметров защиты передаётся в заголовках AH и ESP, чтобы принимающая система имела возможность выбрать защищённую связь, в рамках которой должен обрабатываться принимаемый пакет. Адрес IP пункта назначения. Адрес пункта назначения защищённой связи, который может представлять систему конечного пользователя или сетевой объект тапа VPN-агента. 213 Идентификатор протокола защиты. Этот идентификатор указывает, является ли данная защищённая связь защищённой связью AH или это защищённая связь ESP. Механизм управления ключами связывается с механизмами аутенти фикации и конфиденциальности только через параметры защиты. Таким образом, он может быть определён независимо от механизмов аутентификации и конфиденциальности. GIBRID TARMOQ ANOMALIYALARINI ANIQLASH ALGORITMI OVOZ BERISH TIZIMI ASOSIDA Yashnarov B. TATU magistr Annotatsiya. Ushbu maqolamda Tarmoq anomaliyalarini aniqlashning dolzarb muammolari ko'rib chiqildi. Baholash mezonlari yordamida tahlil qilingan eng keng tarqalgan tarmoq anomaliyasi aniqlash algoritmlari tahlil qilindi. Anomaliyalarni aniqlash sifatini yaxshilash uchun mavjud algoritmlarni bitta tizimda birlashtirish va o'zgartirish talab qilinadi. Tarmoq anomaliyasini aniqlashning gibrid jarayoni ishlab chiqilgan va tavsiflangan va ovoz berish tizimiga asoslangan aniqlangan anomaliya haqida birgalikda qaror qabul qilish algoritmi taklif qilingan. Kalit so'zlar: axborot xavfsizligi, tarmoq hujumi, tarmoq anomaliyasi, tarmoq anomaliyasini aniqlash algoritmi, tarmoq trafigi. Kirish. Davlat ko'plab sohalarda milliy xavfsizlikni ta'minlaydi, ammo so'nggi paytlarda eng muhimlaridan biri kiber hujumlardan himoya bo'ldi. Internet paydo bo'lgandan so'ng, jamiyatning hayoti ikki dunyoga bo'lingan: haqiqiy va virtual. Ko'p odamlar o'z vaqtlarini virtual dunyoda o'tkazadilar. Ularning katta qismi noqonuniy maqsadlar uchun Internet jamiyatidan foydalanadi. Natijada, kiber jinoyatchilik va kiber hujumlarning soni kun sayin ortib bormoqda. Kiberhujumlar bu himoya mexanizmlarini chetlab o'tib, kompyuter tizimiga noqonuniy kirib boorish va tizim ishlashini ishdan chiqaruvchi noqonuniy strategik harakatlardir. Kiber-hujumlarni aniqlashni “kompyuter tizimiga yoki tarmoqqa ruxsatsiz kirish faktlarini aniqlash muammosi” sifatida ta'riflash mumkin . Quyida keltirilgan hujumlar asosan tarmoq mexanizmlari va ularning ishlash jarayonlariga salbi ta`sir ko`rsatishga qaratilgan bo`lib ular haqida qisqacha ma`lumot keltirib o`tilgan. a) DDoS hujumlari (xizmat ko'rsatishni rad etish). 214 Tizimga DDoS hujumlari amalga oshiriladi haddan tashqari so'rovlar natijasida ishlamay qolishi va foydalanuvchi o'z manbalariga kira olmaydi. Bunday hujum tizimni o'zlashtirish uchun birinchi qadam bo'lishi mumkin. DDoS hujumlarining ko'plab variantlari mavjud, ulardan ba'zilari chalkashtirib, buzilgan paketlarni yaratishi mumkin, bularni tiklashga urinayotgan mashinaning o`z-o`zidan so`rovlarga javob berishi qiyinlashadi natijada server ishlashdan to`xtashi mumkin. Xozirgi kunda Dos hujumlarning eng mashhurlari sifatida quyidagi turlar tan olingan: TCP SYN Flood Ping of Death Tribe Flood Network (TFN); Tribe Flood Network 2000 (TFN2K); Trinco; Stacheldracht; Trinity. b) R2L hujumlari. Ular masofadan boshqariladigan kompyuterdan ruxsatsiz foydalanuvchi tomonidan kompyuterga kirish huquqi bilan tavsiflanadi. Buzg`unchi paketlarni tarmoq orqali mashinaga yuboradi va keyin zaifliklardan foydalanadi. d) Ovozli hujumlar. Bunday hujumlarni amalga oshirish uchun tajovuzkor ma'lumot olish uchun tarmoqni portlarini skanerlaydi va ma'lum tizim zaifliklarini topadi. Tarmoq portlarini skanerlashdan maqsad qaysi portlar ochiqligini va qaysi xizmatlar ishlashi mumkinligini aniqlashdan iborat. Tekshirish natijalari nafaqat tizim ma'murlari tomonidan auditlarni o'tkazish uchun foydalaniladi, balki buzg'unchilar tomonidan kim ochiq ma'lumotlardan foydalanishi haqida ma`lumotlarga ega bo`lishi kabi qulayliklarni yaratib beradi.Tarmoq anomaliyalari asosan quyidagi struktura asosida aniqlanishi mumkin. Ha Yo`q 1-rasm. Tarmoq hujumlarini aniqlash strukturasi. Ayni paytda, Internet IU-yuz yuqori ish faoliyati hisoblanadi. Dunyo bo'ylab korxonalar va tashkilotlarning muhim soni ishlab chiqarish jarayonlarini boshqarish uchun kompyuter tizimlaridan foydalanadi. Shu bilan birga, axborot Tarmoq trafigi atributlarini hisoblash va faollikning joriy profilini qurish Muvofiqlik uchun oddiy tarkibli tekshirish profili Tuzatish kiritish Tarmoq trafigi Tarmoq anomaliyasi 215 texnologiyalarining o'sishi kompyuter jinoyatchiligining tez sur'atlarda o'sishiga olib keldi, xususan, global tarmoqdan ruxsatsiz Prestup (NSD) tashqi tajovuzkordan qarshi tahdidlarning soni ko'paygan. Bunday tarmoq hujumlarining ulushi [1] ma'lumotlariga ko'ra, axborot xavfsizligi buzilishlarining 44% (ib) ga to'g'ri keladi. Shuning uchun, bugungi kunda, ayniqsa, tarmoq hujumlari va tarmoq trafik anomaliyalarini aniqlash bilan bog'liq bunday qoidabuzarliklarni[2, 3] xavfsizlik bilan bog'liq muammolar nafaqat qasddan tahdidlar, tajovuzkorlarning hujumlari natijasida, balki dasturiy ta'minot, foydalanuvchi xatolar, faoliyatning buzilishi natijasida ham yuzaga kelishi mumkinligi aniqlandi. Ushbu ish tarmoqdagi anomaliyalarni aniqlash va aniqlash uchun algoritmlarni ishlab chiqishning dolzarb muammosiga bag'ishlangan, chunki tarmoq anomaliyalari tarmoqdagi muvaffaqiyatsizliklar va yoki tajovuzkorning ishg'ol etilishining asosiy belgilaridan biridir. TARMOQ ANOMALIYASI ISHLASH STRUKTURASI. Ishlash tartibi: Tarmoq hujumlarining aksariyati avtomatik ravishda o'rnatilgan axborotni himoya qilish vositalari (xavfsizlik devori, ishonchli yuklash vositalari, tarmoq marshrutizatorlari, antivirus vositalari va boshqalar) tomonidan bloklanadi. Uning oqibatlarini blokirovka qilish yoki yumshatish uchun xodimlarning aralashuvini talab qiladigan hujumlarga DoS hujumlari kiradi. DoS hujumlarini aniqlash tarmoq trafigini tahlil qilish orqali amalga oshiriladi. Hujumning boshlanishi soxta manzillarga ega resurslarni talab qiladigan paketlar yordamida aloqa kanallarining "tiqilib qolishi" bilan tavsiflanadi. Internet- banking saytiga bunday hujum qonuniy foydalanuvchilarning kirishini qiyinlashtiradi va veb-resursga kirish mumkin bo'lmaydi. Agar hujum aniqlansa, tizim ma'muri quyidagi harakatlarni bajaradi: • kamroq band kanalni aniqlash uchun yo'riqchini zaxira kanaliga va aksincha qo'l bilan almashtiradi (kengligi kengligi bo'lgan kanal); • hujum amalga oshiriladigan IP-manzillar oralig'ini aniqlaydi; • ko'rsatilgan manzildan IP manzillarini blokirovka qilish uchun provayderga so'rov yuboradi. DoS hujumi odatda aniqlashni qiyinlashtirish uchun mijozning resurslariga muvaffaqiyatli hujumni yashirish uchun ishlatiladi. Shuning uchun, DoS hujumini aniqlanganda, noan'anaviy operatsiyalarni aniqlash, ularni blokirovka qilish (amalga oshirish) ni amalga oshirish, operatsiyalarni tasdiqlash uchun muqobil kanal orqali mijozlar bilan bog'lanish uchun so'nggi operatsiyalarni tahlil qilish kerak. Mijozdan ruxsatsiz harakatlar to'g'risida ma'lumot olinganda, barcha mavjud dalillar yozib olinadi, ichki tekshiruv o'tkaziladi va huquqni muhofaza qilish organlariga ariza yuboriladi. 216 Pastki chiziq tarmoqning normal ishlashi rejimini yozib olish va ushbu naqshning og'ishlariga javob berishdir. Tarmoqdagi "oddiy" paketlar imzolarining ma'lumotlar bazasi shaklida amalga oshirilishi mumkin va analizator ba'zi noyob xatti-harakatlarni yoki faoliyatlarni qidirganda statistik og'ishlarni aniqlash tizimi. Tizimdagi hodisalar statistik jihatdan, ko'rinishi g'ayritabiiy ko'rinadigan odamlarni topish uchun tekshiriladi. TARMOQ ANOMALIYALARINI ANIQLASH ALGORITMLARINI TAHLIL QILISH Adabiy manbalarni tahlil qilish [4-6] tarmoq anomaliyalarining asosiy algoritmlari: * diskret-konversiya asosida algoritm. W1 va W2 oynalar usuli qo'llaniladi, Real vaqt tizimida trafik qiymatlarini o'rnatib, vaqt o'qi bo'ylab harakatlanadi; * Brodskiy – Darxovskiyning algoritmi. R-disk raskadrovka usuli bilan trafikni (anomaly)"chiqarish" ga qaraydi. Ish uchun algoritm ikkita harakatlanuvchi o'rtacha farqni tekshirish usulidan foydalanadi; * kvadratchalar miqdori asosida algoritm-koeffitsientlar. Bu algoritm Mikova, vs Oladko , AA kichik ● * gibrid anomaliyalarni aniqlash algoritmi… Foydalanish anomaliyalarini aniqlash Veyvletta Haara yoki Dobeshi; * Kolmogorov-Smirnova mezoniga asoslangan algoritm. Muayyan qonunchilikni tanlash uchun tegishli bo'lgan farazlarni sinash uchun mo'ljallangan. Ko'rilgan algoritmlar tahlil qilindi va baholash mezonlari [7, 8] orqali jadval tuzildi. Anomaliyalarni aniqlashni baholash mezonlari jadvali quyidagicha: Mezonlar Mezonni aniqlash usuli Turli xil xatolar Soxta signallarning soni Ikkinchi turdagi xatolar Anomaliyaning kelib chiqishi haqida xabar beruvchi voqealar soni Oyna o`lchami Tizimdagi anomaliyalarning eng katta miqdori aniqlangan vaqt oralig'i Og`ir algoritmlar Algoritmni amalga oshirish uchun vaqt va pul miqdori qancha ko'p bo'lsa, uning murakkabligi shunchalik katta Aniqlik Algoritm tomonidan to'g'ri aniqlangan anomaliyalarning algoritm tomonidan to'g'ri 217 aniqlangan anomaliyalar va ikkinchi turdagi xatolar miqdoriga nisbati To`liqlik Algoritm tomonidan to'g'ri aniqlangan anomaliyalarning algoritm va birinchi turdagi xatolar bilan to'g'ri aniqlangan anomaliyalarning miqdoriga tengligi JADVAL [9, 10] da mualliflar tomonidan batafsil bayon etilgan tahlil natijasida, ko'rib chiqilgan algoritmlardan olingan kazh uyida birinchi turdagi xatolar yuzaga kelishi ehtimoli bor, bu esa ko'plab tahdidlarga qarshi kurashni to'liq avtomatlashtira olmaydi. Bundan tashqari, adabiy manbalarini tahlil qilish natijasida puflash algoritmlari ajratildi: Diskret Veyvletga asoslangan algoritm statistik mezonlardan (DPP), Kriteriya Kolmogorov – Smirnova (KS) va Brodskiy – Darxov (BD) anomaliyalarini aniqlash algoritmi. Bundan tashqari, tanlangan algoritmlar dasturiy ta'minotni amalga oshirishda oddiy tanlangan algoritmlarning samaradorligini baholash uchun foydalanuvchi tarmoq anomaliyalarini aniqlash uchun algoritm (oyna kattaligi) va tarmoq trafigi (anomaliyalar zichligi) parametrlarining turli qiymatlarida haqiqiy eksperimental tadqiqotlari yaratildi. Bundan tashqari, dasturiy kompleks algoritmlarning ishlash ko'rsatkichlarini, masalan, birinchi va ikkinchi turdagi xatolar, har bir algoritm bilan tarmoq anomaliyalarining klassifikatsiyasining aniqligi va to'liqligi, to'g'ri topilgan anomaliyalarning soni kabi baholashga imkon beradi. Algoritmlarni baholashda tartibga solish o'rtasida tarmoq paketlarining yuqori zichligiga ega bo'lgan transportning anomaliyalari modellangan. Tajriba interval [10;100] va interval [0; 0.15] tubining zichligi oyna hajmi qadriyatlarda amalga oshirildi. Xavfli hodisalarni o'tkazib yuborishni nazarda tutadigan ikkinchi turdagi xatolar alohida Veyvlet konvertatsiya va Brodskiy-darkhovskiyning algoritmiga asoslangan algoritmiga xosdir. Lekin anomaliyalarni aniqlashda eng aniq Brodskiy – darkhovskiyning algoritmi. Bundan tashqari, uni ishlatganda, 1 va 2-turdagi xatolar kamroq qo'llaniladi, statistik mezonlarni qo'llash bilan diskret Veyvlet konvertatsiya asosida algoritmdan foydalangan maqul ko'rildi. Shunday qilib, tarmoq anomaliyalarini aniqlashning algoritmlarini amalga oshirish va ishlatishda asosiy muammolardan biri transport xususiyatlarini tasniflash jarayonida yuzaga keladigan birinchi va ikkinchi turdagi xatolar mavjudligi. Bu chiquvchi xatolar salbiy ta'sir-natijasida aniqlash to'liqligi va aniqligi kabi sifatli parametrlar, va algoritmli ma'lumotlar asosida qurilgan, yoki ko'p sonli noto'g'ri pozitifliği aniqlangan tizimlari katta raqamiga ham olib sog'inib. Va bu, o'z navbatida, o'z-o'zidan ma'lum bo'lmagan zararli hujumga olib kelishi mumkin-nik 218 va ibning xavfini oshiradi. Shuning uchun, bu muammoni hal qilish uchun, o'rganish doirasida anomaliyalarni aniqlashning uchta eng samarali statistik usuli va ovoz berish asosida qurilgan qo'shma qaror qabul qilish tizimiga asoslangan tarmoq anomaliyalarini aniqlash uchun gibrid algoritm yaratish taklif etiladi. Shu bilan birga, har bir usulning ovozi ushbu usulning tasnifi sifat ko'rsatkichidan, ya'ni usulning tasnifi sifat ko'rsatkichi qanchalik yuqori bo'lsa, tarmoq trafikida anomaliyaning mavjudligi yoki yo'qligi to'g'risida qo'shma qaror qabul qilganda uning ovozi shunchalik og'ir bo'ladi. Xulosa Yuqorida tavsiflangan AS tarmoq anomaliyalarini aniqlash algoritmi dasturiy kompleks shaklida amalga oshirildi. Hozirgi vaqtda ishlab chiqilgan protsedura bo'yicha tarmoq trafikidagi anomaliyalarni aniqlash va oqilona parametrlarni aniqlash uchun ishlab chiqilgan dasturiy kompleksni qo'llash imkoniyatlarini baholash uchun eksperimental tadqiqotlar olib borilmoqda. Dastlabki ma'lumotlar bazasi algoritmi bilan AS algoritmini qiyosiy tahlil qilish bo'yicha tergov o'tkazildi. Inter-Valais oynasining qiymati bilan [25; 65] AS algoritmi o'rtacha 4% da eng yaxshi qiymatni ko'rsatdi, 30 oynasining kattaligi esa 17 % ga teng. Baholash aniqlash algoritmining f-o'lchov qiymati bo'yicha amalga oshirildi. Bundan tashqari, mavjud ano-Maliyani aniqlash algoritmlarining to'liqligi va sifati va taklif qilingan yechim samaradorligini baholash uchun ishlab chiqilgan modifikatsiyani solishtirish rejalashtirilgan. Yuqorida tavsiflangan AS tarmoq anomaliyalarini aniqlash algoritmi mavjud algoritmlar kompleks shaklida amalga oshirildi. Hozirgi vaqtda ishlab chiqilgan protsedura bo'yicha tarmoq trafikidagi anomaliyalarni aniqlash va oqilona parametrlarni aniqlash uchun ishlab chiqilgan algoritm asosida kompleks dastur qo'llash imkoniyatlarini baholash uchun eksperimental tadqiqotlar olib borilmoqda. Foydalanilgan adabiyotlar. 1. Ijobiy Tadqiqot 2015. Prak-Tic xavfsizligi bo'yicha tadqiqotlar to'plami / / Positive Technologies. – 2015. [Elektron resurs]. [Positive Research 2015. Amaliy xavfsizlik tadqiqotlari to'plami [onlayn]. 2. Mavjud: http://security.ru/download/PT_Positive _2015_RU_web.pdf]. 3. 4.Dos va ddos hujumlarini diskret Veyvlet-tahlil usuli bilan aniqlash / / T- Comm-telekommunikatsiya va transport. 2011. №1. C. 44-46. [O. I. Shelukhin, 4. Y. A. Ivanov, V. Y. Rogov," discrete wavelet analysis tomonidan DOS va DDOS hujumlarini aniqlash", (rus tilida), T-Comm-Telekommunikatsii I Transport, no.1, pp.44-46, 2011]. |