AXBOROT TIZIMIGA HUJUMLARNING BELGILARI VA ULARNI
ANIQLASH USULLARI
Yodgora Suyun qizi Jo'rayeva
Muhammad Al- Xorazmiy nomidagi Toshkent axborot texnologiyalari universiteti
ANNOTATSIYA
Bugungi kunda hujum va hujumlarni aniqlash tizimlari odatda kompyuter tizimida yoki tarmoqda sodir bo'lgan voqealarni nazorat qilish jarayonini avtomatlashtiradigan dasturiy yoki apparat-dasturiy yechimlardir, shuningdek, xavfsizlik muammolari belgilarini qidirishda ushbu voqealarni mustaqil ravishda tahlil qilishadi. Ushbu maqolada axborot tizimiga hujumlarning belgilari va ularni aniqlash usullari bir necha bosqichlarda ko'rstib berilgan.
Kalit so'zlar: axborot, xavfsizlik, tizim, belgi
Tarmoq hujumlarini aniqlash va axborot tizimlariga kompyuter hujumlarining belgilarini aniqlash tizimlari uzoq vaqtdan beri axborot tizimlarini himoya qilishning zarur bosqichlaridan biri sifatida ishlatilgan. Ushbu sohada axborotni muhofaza qilish tizimlarini ishlab chiquvchilar va maslahatchilar tomonidan "atrof-muhit", "statsionar" va "dinamik" himoya qilish kabi tushunchalar (jismoniy va sanoat xavfsizligini ta'minlash yo'nalishidan ko'chirilgan) o'z shartlari, masalan, "proaktiv" himoya vositalari paydo bo'ldi.
Kompyuter tarmoqlari va tizimlariga hujumlarni aniqlash bo'yicha tadqiqotlar aslida chorak asrdan ko'proq vaqt davomida butun dunyoda olib borilmoqda. Hujumlarning belgilari o'rganilmoqda, ham xavfsizlik tizimlari, ham mahalliy — mantiqiy va hatto jismoniy darajalarda ruxsatsiz kirishga urinishlarni aniqlash usullari va vositalari ishlab chiqilmoqda va boshqarilmoqda.
Quyida biz axborot tizimiga hujumlarning belgilari va ularni aniqlash usullarini ko'rib chiqamiz.
Hujumlarni aniqlash jarayonining bosqichlari quyidagilardan iborat. Hujumlarni aniqlash jarayonini amalga oshirishning birinchi bosqichi hujum tizimi va uning parametrlari haqida ma'lumot yig'ishdir. U tarmoq topologiyasini, tajovuzkor tugunning operatsion tizimining turini va versiyasini, shuningdek, mavjud tarmoq va boshqa xizmatlarning mavjudligini aniqlash kabi harakatlarni o'z ichiga oladi.
Ikkinchi bosqich - atrof-muhitni o'rganish. Ushbu bosqichda huquqbuzar belgilangan tahdidni keyinchalik amalga oshirishni hisobga olgan holda tarmoq infratuzilmasini tekshiradi. Tarmoq infratuzilmasi sohalarini tahlil qilish quyidagilarni o'z ichiga oladi: Internet-provayderning server maydoni yoki hujum qilinadigan kompaniyaning uzoq ofis tugunlari. Ushbu bosqichda huquqbuzar vakolatli
foydalanuvchilarning manzillarini, tizim axborot resurslarining egalarini, vakolatli jarayonlarini va boshqalarni aniqlaydi. Bunday xatti-harakatlarni aniqlash juda qiyin, chunki ular mudofaa vositalari (xavfsizlik devorlari, hujumlarni aniqlash tizimlari va boshqalar) tomonidan boshqariladigan tashqi maydondan ancha uzoq vaqt davomida amalga oshiriladi.
Uchinchi bosqich - tarmoq topologiyasini aniqlash. Hujumchilar tomonidan ishlatiladigan tarmoq topologiyasini (tarmoq topologiyasini aniqlash) aniqlashning ikkita usuli mavjud: TTL (TTL modulation) va "Route Record" ("Record route"). Windows uchun UNIX va tracert uchun traceroute dasturlari tarmoq topologiyasini aniqlashning birinchi usulidan foydalanadi. Ular, buni amalga oshirish uchun ip-paketning sarlavhasida "Time to Live" ("hayot vaqti") maydoni, bu tarmoq paketidan o'tgan routerlarning soniga bog'liq. Bundan tashqari, "Ping" yordam dasturidan foydalanish ICMP paketining marshrutini yozish uchun ishlatilishi mumkin. Tarmoq topologiyasini aniqlashning eng keng tarqalgan usuli ko'plab tarmoq qurilmalarida o'rnatilgan SNMP tarmoq protokolini aniqlashdan iborat bo'lib, ularning himoyasi noto'g'ri tuzilgan. RIP protokoli yordamida tarmoqdagi marshrutlash jadvali va boshqalar haqida ma'lumot olishingiz mumkin. Ushbu usullarning aksariyati tarmoq kartalarini yaratish uchun zamonaviy boshqaruv tizimlari (masalan, HP OpenView, Cabletron SPECTRUM, MS Visio va boshqalar) tomonidan ishlatiladi [2, 4].
To'rtinchi bosqich - tugunlarni aniqlash. Tugunni aniqlash (Xost detection), odatda, ICMP protokolining ECHOREQUEST buyrug'i "Ping" dasturidan foydalanib yuborish orqali amalga oshiriladi. Tegishli ECHO_REPLY xabarida tugun mavjud. Fping yoki nmap kabi ko'plab tugunlarni parallel identifikatsiya qilish jarayonini avtomatlashtiradigan va tezlashtiradigan erkin tarqatiladigan dasturlar mavjud. Bu usulning kamchiliklari tugun so'rovlar ECHOREQUEST standart vositalari sobit emas, deb hisoblanadi. Buning uchun trafikni tahlil qilish, xavfsizlik devorlari yoki hujumlarni aniqlash tizimlarini qo'llash kerak. Bu tugunlarni aniqlashning eng oson usuli. Quyidagi bu usulning kamchiliklarini ko'rish mukin:
Birinchidan, ko'plab tarmoq qurilmalari va dasturlari ICMP paketlarini bloklaydi va ularni ichki tarmoqqa o'tkazib yubormaydi. Misol uchun, MS Proksi server 2.0 ICMP protokoli orqali paketlarning o'tishiga ruxsat bermaydi. Natijada tugallanmagan rasm paydo bo'ladi. Bundan tashqari, ICMP to'plami blokirovkasi buzg'unchiga "birinchi himoya bosqichi" mavjudligi-marchrutizatorlarning mavjudligi, xavfsizlik devorlari va h.k.
Ikkinchidan, ICMP so'rovlaridan foydalanish ularning manbasini osongina aniqlash imkonini beradi, bu, albatta, tajovuzkorning vazifasiga kira olmaydi.
Tarmoq tugunlarini aniqlashning klassik usuli - bu DNS-razvedka deb ataladi, bu esa korporativ tarmoq tugunlarini vakolatli foydalanuvchi nomi serveriga murojaat qilish orqali aniqlash imkonini beradi.
Beshinchi bosqich - xizmatlarni aniqlash yoki portlarni skanerlash. Xizmatlami aniqlash (xizmatni aniqlash), odatda, ochiq portlarni aniqlash (portni skanerlash) orqali amalga oshiriladi. Bunday portlar ko'pincha TCP yoki UDP protokollariga asoslangan tizim xizmati bilan bog'liq. Misol uchun, ochiq 80 - port veb-server, 25-port pochta SMTP serveri, 12346 - troyan otining NetBus serveri va boshqalarni nazarda tutadi. Xizmatlarni aniqlash va portlarni skanerlash uchun turli dasturlar, shu jumladan erkin tarqatilishi mumkin. Masalan, nmap yoki netcat.
Oltinchi bosqich - operatsion tizimni aniqlash. OS masofaviy ta'rifining asosiy mexanizmi (OS detection) - turli xil operatsion tizimlarda turli TCP / IP-Stack dasturlarini hisobga olgan holda so'rovlarga javoblarni tahlil qilish. Har bir OS o'z-o'zidan TCP / IP protokollari to'plamini amalga oshiradi, bu ularga maxsus so'rovlar va javoblar yordamida masofaviy tugunga [2,3,4] qaysi OS o'rnatilganligini aniqlash imkonini beradi.
Yettinchi bosqich - tugun zaifliklarini aniqlash. Oxirgi qadam zaifliklarni topishdir (qidirish vulnerabilities). Ushbu qadamda, tajovuzkor turli avtomatlashtirilgan vositalar yordamida yoki hujumni amalga oshirish uchun ishlatilishi mumkin bo'lgan zaifliklarni qo'lda aniqlaydi. Bunday avtomatlashtirilgan vositalarning misoli Shadow Security Scanner, nmap, Retina dasturlari va boshqalar tomonidan ishlatilishi mumkin.
Sakkizinchi bosqich - hujumni amalga oshirish. Shu vaqtdan boshlab hujum tuguniga kirishga urinish boshlanadi. Bunday holda, kirish to'g'ridan-to'g'ri, ya'ni tugunga kirish va vositachilik qilish, masalan, "xizmatni rad etish" kabi hujumni amalga oshirishda bo'lishi mumkin. To'g'ridan-to'g'ri kirish holatlarida hujumlarni amalga oshirish ham ikki bosqichga bo'linishi mumkin: tizimga kirish va nazorat qilish.
Penetratsiya - perimetrni himoya qilish vositalarini yengib o'tishni nazarda tutadi (masalan, xavfsizlik devori). Ushbu jarayon maxfiy kontentni elektron pochta orqali (makrovirus) yuborish orqali tizim xizmatining zaifligidan foydalanish asosida amalga oshiriladi. Bu buzg'unchi kiradigan xavfsizlik devorida "teshiklar" yoki "tunnellar" ni tashkil qilishi mumkin. Xuddi shu bosqichda administrator parolini yoki boshqa vakolatli foydalanuvchini maxsus yordamchi dastur (masalan, Crack) yordamida tanlash mumkin.
Tizimni nazorat qilish - infiltratsiya qilinganidan so'ng, tajovuzkor hujum tugunini nazorat qiladi. Ushbu protsedura "troyan ot" (masalan, NetBus yoki BackOrifice) kabi dasturni amalga oshirish orqali amalga oshiriladi. Kerakli tugunni nazorat qilgandan so'ng, tajovuzkor hujum qilingan axborot tizimining axborot resurslari egasini bilmasdan barcha kerakli ruxsatsiz harakatlarni masofadan amalga oshirishi mumkin. Korporativ tarmoq tugunini nazorat qilish operatsion tizimni qayta ishga tushirgandan so'ng davom ettirilishi kerak. Ushbu jarayon yuklash fayllaridan birini almashtirish yoki boshlang'ich fayllar yoki tizim registrlarida dushman kodiga havola kiritish orqali amalga oshirilishi mumkin.
To'qqizinchi bosqich - hujumni tugatish. Hujumni yakunlash bosqichi tajovuzkor tomonidan ruxsatsiz harakatlarni yashirishdir.
Hujumlarni aniqlash. Hujumlarni aniqlash quyi tizimi har qanday NSDNI aniqlash tizimida muhim komponent hisoblanadi. Butun axborot tizimining samaradorligi bevosita ushbu jarayonlarga bog'liq va umuman, hujumlarni aniqlash uchun uchta keng tarqalgan usullardan foydalaniladi.
Hujum yoki boshqa shubhali faoliyatni tavsiflovchi imzo naqshlaridan (pattern-based signatures) foydalanishga asoslangan imzo usuli. Imzo ma'lumotlari ba'zi kalit so'zlar yoki iboralarni o'z ichiga oladi, ularning aniqlanishi hujumni ko'rsatadi. Misol uchun, ftp sessiyasidagi "cwd root" parchasi FTP serverida autentifikatsiya mexanizmini chetlab o'tish va FTP serverining ildiz katalogiga o'tishga harakat qilish faktini aniq belgilaydi. Yana bir misol, "CA FE BA BE" ning o'n olti yoshli qismiga asoslangan tarmoq trafigida Java ilovalarini aniqlashdir. Ushbu imzolar, agar ular standart port qiymatlaridan foydalansalar, yashirin turdagi PDA-troyan otlarini aniqlashga imkon beradi.
Voqealar chastotasini nazorat qilish yoki maksimal qiymatdan oshib ketishga asoslangan imzo usuli. Ushbu imzolar ma'lum bir vaqt oralig'ida sodir bo'lgan voqealarni tasvirlaydi, ularning soni oldindan belgilangan ko'rsatkichlardan oshadi. Bunday imzoga misol portni skanerlash yoki SYN Flood hujumini aniqlashdir. Birinchi holda, chegara qiymati bir vaqtning o'zida skaner qilingan portlarning soni. Ikkinchi holda - bir vaqtning o'zida tugun bilan virtual aloqani o'rnatishga urinishlar soni.
Anomaliyalarni aniqlash. Ushbu imzo usuli axborot tizimining standart ishining oldindan belgilangan xususiyatlaridan farq qiluvchi voqealarni aniqlashga imkon beradi.
Xulosa o'rnida shuni aytish mumkinki, o'rganilgan tadqiqotlar asosida IKSM axborot resurslariga tahdidlarni amalga oshirishning zamonaviy usullarini tahlil qilish bo'yicha turli xil hujum sinflarini amalga oshirishning o'ziga xos belgilari aniqlandi. O'rganilgan tadqiqotlarni tahlil qilish asosida axborot resurslariga mavjud tahdidlarni aniqlashning asosiy usullari va vositalari aniqlandi.
Hujumlarni aniqlash bosqichida imzo va xatti-harakatlar usullari orqali amalga oshirilishi mumkin. Har qanday bosqinchilik, bir tomondan, imzo shaklida ifodalanishi mumkin bo'lgan muayyan belgilar bilan tavsiflanadi, ikkinchidan, axborot tizimining muntazam xatti-harakatlaridan qanday qilib bir chetga chiqishni tasvirlash mumkin.
REFERENCES
1. https://igorosa.com/priznaki-atak-na-informacionnuyu-sistemu-i-sposoby-ix-obnaruzheniya-okonchanie/
2. https://www.ietinfo.ru/novyi-podkhod-k-zaschite-informatsii-sistemy-obnaruzheniya-kompyuternykh/
3. Сергей Куц "Технологии обнаружения компьютерных атак" https://safe-surf.ru/specialists/article/5274/656701/
4. Селин Р. Н. «Программная система и способ выявления угроз информационной безопасности в компьютерных сетях» Автореферат диссертации на соискание ученой степени кандидата технических наук. г: Ростов-на-Дону-2011