Конференция 26.11.2019 сборник Unicon Инф без. збекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги unicon. Uz дук фан техника ва маркетинг

24 10) Защита на серверах от спама https://habr.com/ru/company/ispsystem/blog/155043/
11) HashCash еще одна защита от спама.
2004. https://xakep.ru/2004/07/28/23222/
МЕТОДИКА ОПРЕДЕЛЕНИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ КАК ОБНАРУЖЕНИЕ РАЗЛАДКИ ПРОЦЕССА
НАБЛЮДЕНИЙ
Гуломов Шерзод Ражабоевич доцент ТУИТ
В данной статье предложена методика применения способа
обнаружения разладки процесса, а именно с предварительным обучением или
без него к обнаружению инцидентов информационной безопасности.
Аналитическое исследование множества возможных сценариев и выявление общих легитимных закономерностей имеет неприемлемую трудоемкость. Вместе с тем, фиксация или обнаружение на отрезке наблюдений момента нелегитимного изменения сценария работы во времени может дать возможность выделения инцидента информационной безопасности по этому признаку.
Априорный и апостериорный подход к обеспечению защиты
информации. Рассматривается структурные вопросы, влияющие на возможность реализации обоих подходов к обеспечению защиты информации с требуемой эффективностью. Априорная технология защиты может быть структурно разделена на четыре этапа: идентификация пользователя и процесса, установление их полномочий и прав, сравнение запроса с правами и допуск или отказ в доступе к информации. На схеме это можно изобразить в виде управляемого вентиля (рис.1.1). В дальнейшем термин («пользователь») будет подразумевать как человека, так и пользовательский процесс.
Все элементы данной схемы должны гарантированно функционировать, т.е. с определенными надежностными характеристиками выполнять возложенные на них функции, причем это требование относится как к программным, так и к аппаратным компонентам.

25
Пользователь
(Процесс)
Информация
(Процесс)
Система зашиты
Рис. 1.1. Схема априорной защиты
Апостериорная технология защиты в значительной степени лишена указанных недостатков. Схема взаимодействия пользователя, объекта защиты и системы защиты приведена ниже на рис.1.2.
Система разграничения доступа (штатная)
Информация
(Процесс)
Пользователь
(Процесс)
Система идентификации пользователя
(процесса)
Система мониторинга
Система анализа, хранения прав,
хранения данных мониторинга
1.Вентиль
Вентиль 2.
Рис. 1.2 Схема апостериорной защиты
Пунктирными линиями на рис. 1.2 обозначены объекты, работа которых может иметь отклонения от описанных режимов. Вентиль 1. - доверенный,
Вентиль 2. - не доверенный. На первый взгляд, схема на рис.1.2 значительно сложнее чем на рис.1.1. Вместе с тем, система защиты от несанкционированного доступа на рис.1.2 не требует анализа штатных механизмов разграничения доступа и функционирования обрабатывающих

26 информацию процессов, а также штатных механизмов хранения и выдачи информации.
Теоретическое обоснование эффективности предлагаемых статистик.
Предельные теоремы описывают вид соответствующего распределения при больших объемах наблюдений 𝑡 которые моделируются условием 𝑡 → ∞. В теоретических обоснованиях эффективности статистик до предельное, весьма сложное распределение заменяется на предельное, в котором рассматриваются области определения параметров и ошибки. Напомним, что гипотеза
𝐻
0
соответствует отсутствию разладки, а 𝐻
1
ее наличию.
Критерий принятия гипотезы 𝐻
0
или
𝐻
1
заключается в следующем правиле:
𝐻
0
: 𝜁 > 𝑐,
𝐻
1
: 𝜁 ≤ 𝑐, если 𝐸𝜁/𝐻
0
> 𝐸𝜁/𝐻
1
. В случае невьшолнения последнего неравенства, расположения плотностей меняются местами, и правило выбора гипотез 𝐻
0
и
𝐻
1
приобретает вид:
𝐻
0
: 𝜁 ≤ 𝑐,
𝐻
1
: 𝜁 > 𝑐
Здесь нужно ориентироваться на первый случай. В соответствии с моделью применения предельных теорем, величины ошибок первого
(𝛼 = 𝑃(𝐻
1
/𝐻
0
)) и второго рода (𝛽 = 𝑃(𝐻
0
/𝐻
1
)) определяются при больших значениях величины 𝑡 взвешенными разностями:
∆
1
=
𝐸𝜁/𝐻
0
−𝐸𝜁/𝐻
1
√𝐷𝜁/𝐻
0
и
∆
2
=
𝐸𝜁/𝐻
0
−𝐸𝜁/𝐻
1
√𝐷𝜁/𝐻
1
Рассмотрим первую разность:
∆
1
=
𝐵
0
𝑃(𝜃 = 𝑡) ∑
𝑃(𝜃 ≤ 𝛾) + (𝐵
1
− 𝐵
0
) ∑
𝑃
2
(𝜃 ≤ 𝛾)
𝑡
𝛾=1
𝑡
𝛾=1
𝜎
0
√∑
𝑃
2
(𝜃 ≤ 𝛾)
𝑡
𝛾=1
≥
(𝐵
1
− 𝐵
0
)
𝜎
0
√∑ 𝑃
2
𝑡
𝛾=1
(𝜃 ≤ 𝛾).
Отметим, что при различении двух последовательностей длины 𝑡 с набором вероятностей исходов 𝑃, П, 𝑃(𝜃 = 1) = 1 величина
∆
1
=
(𝐵
1
−𝐵
0
)
𝜎
0
√𝑡.
При фиксированном распределении
𝜃:
∆
1
√𝑡
→
(𝐵
1
−𝐵
0
)
𝜎
0
,т.е.
∆
1

27 асимптотически одинакова как при 𝑃(𝜃 = 1) = 1, так и при любом другом распределении 𝜃, что показывает высокое качество статистики 𝜁. Она не теряет информацию.
Рассмотрим вторую разность
∆
1
=
𝐵
0
𝑃(𝜃 = 𝑛) ∑
𝑃(𝜃 ≤ 𝛾) + (𝐵
1
− 𝐵
0
) ∑
𝑃
2
(𝜃 ≤ 𝛾)
𝑡
𝛾=1
𝑡
𝛾=1
√𝜎
0 2
∑
𝑃
2
(𝜃 ≤ 𝛾)
𝑡
𝛾=1
𝑃(𝛾 ≤ 𝜃 ≤ 𝑡) + 𝜎
1 2
∑
𝑃
3
(𝜃 ≤ 𝛾)
𝑡
𝛾=1
при 𝑃(𝜃 = 1) = 1 (различие двух разных полиномиальных схем на материале объема 𝑡):
∆
2
=
(𝐵
1
− 𝐵
0
)
𝜎
1
√𝑡
При фиксированном распределении 𝜃:
∆
2
√𝑡
→
(𝐵
1
− 𝐵
0
)
𝜎
1
т.к.
𝑃(𝜃 = 𝑡) → 0 при 𝑡 → ∞ и 𝑃(𝛾 ≤ 𝜃 ≤ 𝑡) → 0 при 𝛾 → ∞
Можно убедится в том, что, по крайней мере, для ряда случаев статистика 𝜁 приводит к ошибкам, которые близки к значениям ошибок, получаемых на основе статистики критерия Неймана-Пирсона.
Теперь рассматривается робастность статистики 𝜁, т.е. величины ошибок 𝛼, 𝛽 при неточном знании или оценке векторов 𝑃, П.
Можно считать, что распределения до разладки и после описываются набором вероятностей 𝑃̃ = (𝑝̃
1
, … , 𝑝̃
𝑁
) и П
̃ = (п̃
1
, … , п̃
𝑁
) и на их основе вычисляем статистику:
𝜁̃ = ∑ 𝑃(𝜃 ≤ 𝛾) ∙ ln
𝑝̃(𝜉
𝛾
)
𝜋̃(𝜉
𝛾
)
𝑡
𝛾=1
Нетрудно видеть, что величины Δ
̃
1
и Δ
̃
2
определяются равенствами:
Δ
̃
1
≥
(𝐵̃
1
− 𝐵̃
0
)
𝜎̃
0
√∑ 𝑃
2
(𝜃 ≤ 𝛾),
𝑡
𝛾=1
Δ
̃
2
≥
(𝐵̃
1
− 𝐵̃
0
) ∑
𝑃
2
(𝜃 ≤ 𝛾)
𝑡
𝛾=1
√𝜎̃
0 2
∑
𝑃
2
(𝜃 ≤ 𝛾)
𝑡
𝛾=1
𝑃(𝛾 ≤ 𝜃 ≤ 𝑡) + 𝜎̃
0 1
∑
𝑃
3
(𝜃 ≤ 𝛾)
𝑡
𝛾=1
где

28
𝐵̃
0
= ∑ 𝑝
𝑖
𝑁
𝑖=1
ln
𝜋̃
𝑖
𝑝̃
𝑖
, 𝐵̃
1
= ∑ 𝜋
𝑖
𝑁
𝑖=1
ln
𝜋̃
𝑖
𝑝̃
𝑖
,
𝜎̃
0 2
= ∑ 𝑝
𝑖
𝑁
𝑖=1
ln
2
𝜋̃
𝑖
𝑝̃
𝑖
− (∑ 𝜋
𝑖
𝑁
𝑖=1
ln
𝜋̃
𝑖
𝑝̃
𝑖
)
2
,
𝜎̃
1 2
= ∑ 𝜋
𝑖
𝑁
𝑖=1
ln
2
𝜋̃
𝑖
𝑝̃
𝑖
− (∑ 𝜋
𝑖
𝑁
𝑖=1
ln
𝜋̃
𝑖
𝑝̃
𝑖
)
2
Рассматривается, как меняются параметр статистики 𝜁̃ по сравнению с параметрами статистики 𝜁, когда параметры 𝑃̃ и П
̃ мало отличаются от 𝑃 и П соответственно. Если 𝜋̃
𝑖
= 𝜋
𝑖
(1 + Δ
̃
1
(𝑖)), 𝑝̃
𝑖
= 𝑝
𝑖
(1 + Δ
̃
0
(𝑖)), то ln
𝜋̃
𝑖
𝑝̃
𝑖
= ln
𝜋
𝑖
𝑝
𝑖
+ 𝑙𝑛
1 + Δ
1
(𝑖)
1 + Δ
0
(𝑖)
= 𝑙𝑛
𝜋
𝑖
𝑝
𝑖
+ Δ
0
(𝑖) + Δ
1
(𝑖) +
Δ
0 2
(𝑖)
2
+
Δ
1 2
(𝑖)
2
+ 0(Δ
3
).
В случае малых значений Δ
0
(𝑖) и Δ
1
(𝑖) их вклад в значение величины можно оценить:
𝐵̃
0
= 𝐵
0
+ 0(Δ); 𝐵̃
1
= 𝐵
1
+ 0(Δ);
𝜎̃
0 2
= 𝜎
0 2
+ 0(Δ); 𝜎̃
1 2
= 𝜎
1 2
+ 0(Δ), где
Δ = max
1≤𝑖≤𝑁
(∆
0
(𝑖), ∆
1
(𝑖)).
Эти соотношения показывают, что эффективность статистики 𝜁
сохраняется даже при неточных априорных данных, т.к. параметры
𝐵̃
0
, 𝐵̃
1
, 𝜎̃
0 2
, 𝜎̃
1 2
, определяющие эффективность статистики 𝜁, при отклонении - близки к начальным.
Предложенные статистики ориентированы на применение в ситуациях, когда возможно предварительное обучение в виде получения и накопления информации о распределении наблюдений до и после разладки, а также о распределении момента появления вторжения. Указанные требования по обучению в определенной мере ограничивают область возможного применения предложенных алгоритмов.

29
МЕТОДИКА ПРИМЕНЕНИЯ ПОДХОДА К ОБНАРУЖЕНИЮ
ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Насруллаев Нурбек Бахтиёрович доцент ТУИТ
В данной статье приведена методика применения подхода к
обнаружению
инцидентов
информационной
безопасности
с
предварительным обучением. Также предлагаются схема работы
преобразователя с предварительным обучением, алгоритм работы
обработчика при предварительном обучении и архитектура системы
обеспечения информационной безопасности.
Предполагается, что имеется некоторый массив трасс работы системы, в котором требуется определить наличие разладки, и два обучающих массива трасс, соответствующих состоянию системы при легитимной работе и при нештатной. Рассматривается возможный вариант использования статистики для решения подобной задачи. Предлагается разбить алгоритм применения на три этапа: преобразование, обработка и интерпретация. На этапе преобразования из входных данных производится формирование внутренних массивов данных, на этапе обработки - собственно вычисление статистики, а на этапе интерпретации - анализ полученных на втором этапе результатов и формирование отчета о присутствии разладки.
На рис.1.1 приведена схема работа «преобразователя» при предварительном обучении. На первом этапе работы преобразователя происходит обработка трасс и последующее формирование трех внутренних наборов данных: два частотных распределения обучающих данных, моделирующих корректную работу системы (массив 𝐹) и разладку (массив 𝐹′) соответственно; и последовательности наблюдений подвергаемой проверке
(массив 𝐴′).
Для последующего формирования частотных массивов обучающих данных необходимо сформировать набор встречающихся во входных обучающих наборах данных типов элементов. Так, на втором этапе работы преобразователя-формируется массив-наблюдений
Ф
′
= (𝑓
1
, 𝑓
2
, … , 𝑓
𝑁
) размера 𝑁, все элементы которого уникальны и встречаются в массивах 𝐹 =
{𝐹
0,…,
𝐹
𝑡
𝐹
} и 𝐹
′
= {𝐹
′
0,…,
𝐹
′
𝑡
𝐹′
} обучающих данных как минимум однажды.
Далее, на третьем этапе, на основании полученного набора элементов массива
Ф′ формируются массивы
𝑃
′
= {𝑝′
1
, … , 𝑝′
𝑁
}, ∑
𝑝′
𝑖
= 𝑡
𝐹
и П
′
=
𝑁
′
𝑖=1
{𝜋′
1
, … , 𝜋′
𝑁
}, ∑
𝜋′
𝑖
= 𝑡
𝐹′
𝑁
′
𝑖=1
частот встречаемости различных элементов В

30 массивах 𝐹 и 𝐹′ соответственно. Затем происходит удаление нулевых значений из массивов 𝑃′ и П′ тех элементов, которые встречаются лишь в одном из этих массивов, то есть имеющие нулевую частоту встречаемости в другом. На основании модифицированных таким образом массивов 𝑃′
𝑚𝑜𝑑
и
П′
𝑚𝑜𝑑
происходит формирование нового набора Ф = (𝑎
1
, 𝑎
2
, … , 𝑎
𝑁
) размера 𝑁 уникальных элементов, встречающихся как в распределении, соответствующем корректной работе приложения. Помимо этого, происходит вычисление оценок вероятности встречаемости элементов во входных выборках на основании тех же модифицированных частотных массивах 𝑃′
𝑚𝑜𝑑
и П′
𝑚𝑜𝑑
. Таким образом, формируются массивы 𝑃 = {𝑝
1
, … , 𝑝
𝑁
}, ∑
𝑝
𝑖
= 1
𝑁
𝑖=1
и
П = {𝜋
1
, … , 𝜋
𝑁
}, ∑
𝜋
𝑖
= 1
𝑁
𝑖=1
оценок вероятности встречаемости элементов при корректной работе и при наличии разладки соответственно, которые далее используются на этапе обработки.
Входные данные
Трассы корректной работы
Трассы работы при разладке
Проверяемый массив данных
1. Формирование внутренних массивов потока данных
Обучающие данные.
Корректная работа
Обучающие данные.
Разладка
Проверяемые данные
2. Создание массива встречаемых элементов Ф
Массив начальных типов элементов Ф
3. Формирование обучающих массивов частот встречаемости элементов и оценок вероятностей; удаление нулевых частот
Массив типов элементов Ф, имеющих ненулевые частоты
4.Формирование массива проверяемых данных при отсутствии нулевых частот
Выходные данные
Массив оценок вероятности встречаемости элементов при корректной работе
Массив оценок вероятности встречаемости элементов при разладке
Проверяемая выходная последовательность наблюдений
Рис 1.1. Схема работы преобразователя с предварительным обучением

31
Четвертый этап работы преобразователя заключается в следующем.
Проверяемые данные, содержащиеся в массиве
𝐴
′
= {𝐴
′
0
, … , 𝐴
′
𝑡
𝐴′
}, корректируются путем удаления из упомянутого массива всех элементов, не содержащихся в наборе элементов из Ф, полученного на этапе три, формируя в итоге единый массив данных 𝐴 = {𝐴
0
, … , 𝐴
𝑡
}.
Полученная последовательность для проверки работоспособности статистик в виде массива 𝐴 также используется на этапе обработки.
Таким образом, результатом работы преобразователя являются обучающие массивы оценок вероятности встречаемости элементов при корректной работе и при наличии разладки и последовательность наблюдений для проверки работоспособности, что позволяет нам перейти к описанию этапа обработки для варианта с предварительным обучением.
Применить статистику для оценки момента разладки процесса можно следующим образом. Нужно выбрать («окно» 𝐴
𝑊
некоторого фиксированного размера 𝑇, основанного на размере проверяемого массива данных 𝑡, которое будет «скользить» по упомянутому массиву от его начала к концу.
Скольжение будет происходить при помощи последовательного равномерного смещения начала («окна», обозначим его как момент 𝑘, вправо на некоторое фиксированное число 𝑚 < 𝑇). При каждом следующем перемещении должно производится вычисление статистики
𝜁
𝑘
(𝑇) = ∑ ln
𝜋(𝐴
𝛾
)
𝑝(𝐴
𝛾
)
𝑇+𝑘
𝛾=𝑘
(1) на том наборе наблюдений, который попал в «поле видимости окна», то есть на наборе 𝐴
𝑊
= {𝐴
𝑘
, … , 𝐴
𝑇+𝑘
}
. Для вычисления используются массивы оценок вероятностей 𝑃 = {𝑝
1
, … , 𝑝
𝑁
}
и П = {𝜋
1
, … , 𝜋
𝑁
} полученных на этапе преобразования. В результате, к моменту, когда («окно» переместится в конец проверяемого набора данных (𝑘 + 𝑇 > 𝑡), нами будет накоплена некоторая последовательность результатов. Проанализировав эту последовательность на предмет резких перепадов значений (например, смена знака), можно выдвинуть суждение о расположении момента разладки.
На рис.1.2 представлен алгоритм функционирования «обработчика». На этом изображении белые стрелки показывают передачу данных, а черные передачу управления. Опишем алгоритм следующим образом:
1. Исходя из размера входной последовательности наблюдений, определяется размер «окна» 𝑇 как длина входной последовательности 𝑡, деленная на некоторую константу 𝑐, 𝑇 = [
𝑡
𝑐
] Определяется шаг смещения 𝑚.
Начало «окна» устанавливается на начало входной последовательности: 𝑘 =

32
𝑘
0
. Выделяется память для массива результатов = {𝑅
0
, … , 𝑅
𝑟
}
, размер массива равен 𝑟 = [
𝑡−𝑇−𝑘
0
𝑚
] Счетчик результатов выставляется равным нулю:
𝑖 = 0 2. Создание массива наблюдений, попадающих в окно с заданными параметрами и началом в 𝑘, то есть 𝐴
𝑊
= {𝐴
𝑘
, … , 𝐴
𝑇+𝑘
}.
3. Вычисление формулы (1.9) для
𝐴
𝑊
при помощи 𝑃 и П. Занесение полученного результата в -ую ячейку массива результатов 𝑅.
4. Смещение начала окна
𝑘 на величену 𝑚 вправо. Увеличение «счетчика»
𝑖 на единицу.
5. Если величина
𝑘 + 𝑇 < 𝑡, перейти к пункту 2)
6. Завершение работы «обработчика».
Начало
Определение первоначальных параметров
Формирование массива данных попавших в «поле видимости окна»
Вычисление формулы (Т) для полученного массива
Смещение «окна»
Конец проверяемой последовательности находится в «поле видимости окна»?
Конец
Проверяемая входящая последовательность наблюдений
Массив оценок вероятности встречаемости элементов при корректной работе
Массив оценок вероятности встречаемости элементов при разладке
ВЫХОДНЫЕ ДАННЫЕ
Последовательность результатов
ПОТОК
ДАННЫХ
УПРАВЛЕНИЕ
НЕТ
ДА
Рис.1.2. Алгоритм работы обработчика при предварительном обучении

33
В результате можно получить последовательность вычисленных сумм для соответствующих наборов данных.
Данные, полученные на этапе обработки, необходимо проанализировать на третьем этапе интерпретации, чтобы выдвинуть предположение о наличии или отсутствии разладки в рассматриваемом наборе данных. Для предложенного метода с предварительным обучением целесообразным и наиболее наглядным будет построение соответствующих графиков, иллюстрирующих изменения в последовательности вычисленных сумм, полученных в результате обработки.
Основываясь на результатах, при наличии разладки в проверяемых трассах работы, наблюдается единственный резкий перепад в значениях из выходной последовательности. На рис.1.3 приведена архитектура системы обеспечения информационной безопасности.
Таким образом, если пользователь попытается внедрить вредоносное
ПО в систему или начнет выполнять иные несвойственные для системы действия, это будет обнаружено системой мониторинга с определенными вероятностными характеристиками. Возникновение какого-либо аппаратного сбоя и программной ошибки также возможно будет отследить при помощи предлагаемой системы информационной безопасности.