INTERNATIONAL SCIENTIFIC AND TECHNICAL CONFERENCE "DIGITAL TECHNOLOGIES: PROBLEMS AND SOLUTIONS OF PRACTICAL IMPLEMENTATION IN THE SPHERES" APRIL 27-28, 2023
DLP TIZIMLARIDA INSAYDERLARNI ANOMAL HOLATLAR ORQALI ANIQLASHNING ALGORITMI TAHLILI
Mukhammadiyev Firdavs Rudaki o'g'li1, Bozorov Asqar Xaitmurotovich2
1,2Mirzo Ulug'bek nomidagi O'zbekiston Milliy universiteti, 2-bosqich tayanch doktoranti
https://doi.org/10.5281/zenodo.7857196
Abstract. This work presents an analysis of the algorithm for detecting anomalous situations in the behavior of data leak prevention (DLP) systems after forming a typical (normal) profile of these users by studying the behavior of malicious users on their computers.
Keywords. DLP, emergency situation, system, process, status, information security, insider, information exit channels.
Hozirgi zamon axborot texnologiyalarining jadal suratlar bilan rivojlanishi, ushbu axborotlarning xavfsizligini ta'minlashga ham e'tiborni oshirib yubordi. Axborot tizimlariga bo'ladigan hujumlar soni yildan yilga oshmoqda. Ushbu hujumlar axborotning yaxlitligiga, konfidentsialligiga va foydalana olishligiga qaratilgan bo'ladi. Hujumlar dasturlar yoki insonlar tomonidan amalga oshiriladi. Insonlar yoki foydalanuvchilar tomonidan amalga oshirilgan hujumlar tashkilotlar uchun juda katta zarar yetkazishi mumkin, chunki hujum tizimda ro'yhatdan o'tgan foydalanuvchi (insayder) tomonidan amalga oshiriladi.
Odatda hujumlarni aniqlash tizimlari (HAT) da hujumlarni aniqlashda signaturali (belgili) usuldan foydalaniladi, ushbu usulning asosiy mohiyati shundaki, u tizimdagi ro'y berayotgan hodisalarni o'zining ma'lumotlar omborida saqlanadigan, oldindan aniqlangan hujumlar namunalari bilan solishtirib chiqadi. Agar hodisa o'sha namunaga mos ravishda bo'lsa hujumni aniqlash tizimi administratorga tizim hujumga uchragani to'g'risida ogohlantirish beradi. Ushbu usul yoki metodning asosiy 2 ta kamchiligi mavjum, bular HAT faqat ma'lumotlar omborida mavjud hujumlarni aniqlay oladi, 2-kamchiligi u yangi hujum turlarini aniqlay olmaydi.
Yaratilayotgan yangi tizimlar himoyalashning yangi usullarini signaturalarga bog'liq bo'lmagan, avtonom, yangi tizimlarga moslashuvchan va o'zini o'zi o'rgatadigan xususyatlar ni talab etmoqda.
Shu ko'rinishdagi himoya tizimlari quydagi vazifalarni yechishi zarur:
• Foydalanuvchi va tizmda o'rnatilgan dasturning ishlashi to'g'risidagi ma'lumotni to'plash va uni intellektual yo'l orqali analiz qilish.
• Foydalanuvchi odatiy ishlash holati modelini yaratish.
• Foydalanuvchi va dasturning ishlash jarayonida anomal holatni aniqlash.
• Ichki hujum turlarini aniqlash.
Axborot xavfsizligi sohasidan kelib chiqqan holda, anomal holatlar bu - foydalanuvchi harakatlarining odatiy holatdan chiqib ketishini anglatadi. Masalan, foydalanuvchi ma'lum vaqt davomida kompyuter protsessori yuklamasi 50% tashkil etdi. Lekin bir kun kelib, u kompyuter protsessori yuklamasidan 90% foydalana boshladi, ushbu ko'rinishdagi holat anomal holat bo'lishi mumkin. Anomal holatlarni aniqlash orqali g'araz niyatli foydalanuvchining niyatini amalga oshirishni oldindan bilish mumkin.
Anomal holatlarni aniqlash vaqt bilan bog'langan. Tahlil etilayotgan algoritm yoki usul foydalanuvchining hatti-harakatini vaqt oralig'ida tekshirib turadi (1-rasm). Vaqt oralig'i 1 soat, 3 soat yoki ixtiyoriy qilib belgilanishi mumkin.
INTERNATIONAL SCIENTIFIC AND TECHNICAL CONFERENCE "DIGITAL TECHNOLOGIES: PROBLEMS AND SOLUTIONS OF PRACTICAL IMPLEMENTATION IN THE SPHERES" APRIL 27-28, 2023
Foydalanuvchi kompyuterlarida ishlash natijasida yaratiladigan muhim hodisa ma'lumotlarini o'qib olishi zarur. Ushbu hodisa ma'lumotlari kompyuterdagi turli xil manbalardan (operatsion tizim manbalaridan) olinadi.
Potentsial insayderlar aynan kompyuterlardan olinadigan hodisa ma'lumotlari orqali aniqlanadi. Quyida operatsion tizimning (Windows) qaysi manbalaridan hodisa ma'lumotlarni yig'ishi keltirilgan:
• faol dastur jarayonlari;
• faol va yangi foydalanuvchi;
• ma'lumot uzatish kanallari;
• reestrlar;
• tizim sozlamalarini o'zgartirishga harakat qilish;
• fayllar (tizim fayllari va foydalanuvchi hujjatlari fayllari);
• kompyuter parametrlari.
Anomal holatlarni haqiqatdan anomal ekanligini aniqlash foydalanuvchining odatiy holati orqali amalga oshiriladi. Odatiy holatni belgilash ikki xil usul orqali amalga oshiriladi:
1. Foydalanuvchining 2-3 oy davomida hatti harakatlarini tahlil qilish orqali odatiy holat qurib olinadi.
2. Oldindan o'rnatilgan qoidalar asosida. Ushbu qoidalar muassasaning axborot xavfsizligi siyosatida berilgan qoidalar yoki ichki qoidalar orqali amalga oshiriladi.
Anomal holatlarni aniqlashda hozirgi kunda intellektual usullardan foydalanilmoqda. Sababi, ushbu usullar oldingi statistik usullarga qaraganda samarali hisoblanadi. Intellektual usullardan foydalanish aniq qo'yilgan maqsadga qarab tanlanishi lozim. Intellektual usullarning sun'iy neyron to'rlari, yechim daraxtlari, belgili qoidalar, k-eng yaqin qo'shni, chiziqli regressiya, cheklangan tanlash usuli va h.k. foydalanish mumkin.
Ushbu metodlar orqali sun'iy intellekt modellari qurib olinadi. Qurilgan modellardagi metodlarga hodisa ma'lumotlari yuboriladi. Masalan jarayonlar bilan bog'liq bo'lgan hodisa ma'lumotlari, faol dastur jarayonlari modeliga yuboriladi. Model odatiy holat bilan tekshirib, hodisa asosida anomal holat mavjud bo'lsa bloklaydi va tizim administratoriga habar beradi.
Algorim ikkta rejimda ishlaydi:
1. o'rganish;
2. bloklash.
INTERNATIONAL SCIENTIFIC AND TECHNICAL CONFERENCE "DIGITAL TECHNOLOGIES: PROBLEMS AND SOLUTIONS OF PRACTICAL IMPLEMENTATION IN THE SPHERES" APRIL 27-28, 2023
O'rganish rejmida barcha yuz bergan anomal holatlar ma'lumotlar omboriga qayt etib boriladi. Bu qayt qilinishlar tizimni o'zini o'qitishga kerak bo'ladi. O'rganish rejimi asosan tizim endi o'rnatilgan kompyuterlarda ishlatiladi. O'rganish natijasida foydalanuvchining odatiy holati qurib olinadi va ishlash davomida yangilanib boriladi.
Holatlarni tahlil qilish natijasida anomal holat aniqlansa bloklash rejimi ishlaydi. Barcha odatiy holat hisoblanmagan holatlar administrator tomonidan bloklanadi. Ushbu rejmning o'zi
INTERNATIONAL SCIENTIFIC AND TECHNICAL CONFERENCE "DIGITAL TECHNOLOGIES: PROBLEMS AND SOLUTIONS OF PRACTICAL IMPLEMENTATION IN THE SPHERES" APRIL 27-28, 2023
administrator aralashuvisiz faqat tahlil natijasida barcha parametrlar anomal holatni ko'rsatgandagina jarayonni bloklaydi. Bloklagandan so'ng tizim administratoriga xabar beradi.
Intellektual tahlil natijasida anomal holat aniqlanmasa ushbu hodisa to'g'risida ma'lumotlar omboroga yozib qo'yiladi. Ushbu ma'lumotlarning yozilishiga sabab, yuqorida ta'kidlanganidek, tizim odatiy holatni qurishda o'zini o'zi o'rgatib boradi.
Xulosa qilib aytganda tahlil etilayotgan algoritm asosida yaratiladigan DLP tizimlarda foydalanuvchining harakatlarini o'rganish natijasida konfidentsial ma'lumotlarni chiqib ketishini oldini olishda qo'shimcha imkoniyat sifatida foydalanish mumkin.
REFERENCES
1. Bozorov O.N. Problems of ensuring the confidentiality of data objects of informatization // Abstracts of the Uzbekistan-Malaysia international online conference Computational models and technologies. -T., -2020. p.104.
2. Bozorov O.N., Sharofov D.O. Protection of System from an Unauthorized Leak of Confidential Information. // International Journal of Advanced Research in Science, Engineering and Technology Vol. 6 November 2019. R.11795- 11798.
3. Bozorov O.N. Chastotali tahlil usulidan foydalangan holda ochiq matnlarning o'xshashligni tahlil qilish // Ilm sarchashmalari. 2021. Vol. 8, № 1. P. 12-17.