Uot 004. 09 İmamverdiyev Y. N



Yüklə 96,36 Kb.

tarix17.10.2017
ölçüsü96,36 Kb.


İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89 

 

       www.jpis.az                                                                      81 



UOT 004.09 

İmamverdiyev Y.N.

1

Nəbiyev B.R.

1,2


AMEA İnformasiya Texnologiyaları İnstitutu, Bakı, Azərbaycan  

1

yadigar@lan.ab.az,



 2

babek@iit.ab.az 



ŞƏBƏKƏ TƏHLÜKƏSİZLİYİNİN İNTELLEKTUAL MONİTORİNQİ ÜÇÜN 

KONSEPTUAL MODEL 

Məqalədə  şəbəkə  təhlükəsizliyinin  prinsipial  baxımdan  yeni  və  daha  effektli  olan  intellektual 

monitorinqinin  konseptual  modeli  təklif  olunur.  Modeldə  monitorinq  prosesinin  ümumi 

intellektual  arxitekturuna,  funksional  bloklarına,  emal  proseslərinə  və  tətbiq  istiqamətlərinə 

baxılır. Bundan başqa, monitorinq sisteminin boşluqları və zəif nöqtələri araşdırılır.

 

Göstərilən 

problemlərin  aradan  qaldırılması  üçün  təklif  olunan  model  problemyönümlü  informasiya 

monitorinqi, 

toplanan 

verilənlərin 

ilkin  emalı,  verilənlərin  indeksləşdirilməsi  və 

strukturlaşdırılması, toplanan informasiyanın saxlanılması və idarə olunması, qərar qəbul edən 

şəxslərin tələblərinə uyğun informasiyanın seçilməsi və oxunaqlı, analiz edilə bilən hesabatların 

generasiyası kimi funksional imkanları özündə birləşdirir.  

Açar sözlər: şəbəkə təhlükəsizliyi, 

monitorinq, süni intellekt, şəbəkə trafiki, konseptual model.

 

Giriş 

Şəbəkə  təhlükəsizliyinin  intellektual  monitorinqi  kompüter  şəbəkəsinin  təhlükəsizliyini 

təhdid  edən  müxtəlif  müdaxilələri  aşkarlamaq  və  cavab  tədbirləri  görmək  üçün  əlamətlərin  və 

xəbərdarlıqların  analizidir.  Bu  sistemin  əsas  üstünlüklərindən  biri,  adından  göründüyü  kimi, 

intellektual olmasıdır. İntellektual dedikdə, süni intellekt metodlarının istifadəsi nəzərdə tutulur. 

Şəbəkə təhlükəsizliyinin monitorinqi süni intellekt metodları tətbiq olunmadan da həyata keçirilə 

bilər,  amma  bunun  üçün  çoxlu  maddi  vəsait  və  insan  resursları  tələb  olunur.  Süni  intellekt 

metodlarının tətbiqi ilə bu prosesi məqsədəuyğun olaraq qismən və ya tamamilə avtomatlaşdıraraq 

maddi  vəsaitlərə  və  insan  əməyinə  qənaət  etmək  olar.  Xüsusi  olaraq,  şəbəkə  təhlükəsizliyinin 

intellektual  monitorinqi  sistemində  sensorlardan  başlayaraq,  qərarların  qəbul  edilməsinə  qədər 

bütün prosesləri süni intellekt metodlarına əsaslanan aparat və proqram təminatlarının tətbiqi ilə 

reallaşdırmaq məqsədəuyğundur. 

Kompüter şəbəkələrinin fəaliyyəti və təhlükəsizliyi haqqında lazımi verilənlərin toplanması, 

dəqiq  analiz  edilməsi  və  şəbəkə  təhlükəsizliyinin  təmin  edilməsi  haqqında  əsaslandırılmış 

qərarların  qəbul  edilməsi  üçün  şəbəkə  təhlükəsizliyinin  monitorinqi  zamanı  verilənlərin 

intellektual analizi texnologiyalarından istifadə edilməsi aktuallıq kəsb edir [1]. 

Bu  istiqamətdə  bir  çox  elmi-praktiki  işlər  aparılmışdır.  Aparılan  işlərin  arasında  təhdidlərin 

aşkarlanması  və  aradan  qaldırılması  üçün  aşağıdakı  yanaşmaları  misal  göstərmək  olar: 

təhlükəsizlik əməliyyatları mərkəzləri (ingiliscə - security operation center, SOC), təhlükəsizlik 

informasiyasının  və  hadisələrinin  idarə  olunması  (ingiliscə  -  security  information  and  event 



management, SIEM) və kompüter təhlükəsizliyi insidentlərinə cavabvermə komandaları (ingiliscə 

Computer Security Incident Response Team, CSIRT). 

Şəbəkə  təhlükəsizliyi  məsələlərinin  idarə  olunması  sistemləri  anomal  hadisələrin 

identifikasiyası və müxtəlif növ böyükhəcmli verilənlərin emalı prosesinin reallaşdırılması zamanı 

çətinliklərlə  üzləşir.  Belə  olduğu  halda,  alınan  məlumatların  və  verilən  qərarların  dolğunluğu 

şübhə doğurur. Şəbəkə təhlükəsizliyi monitorinqinin konseptual modelinin əsas vəzifəsi bu prosesi 

asanlaşdırmağa və qərar qəbul edilməsinə kömək edərək, hesablama resurslarına və insan əməyinə 

qənaət etməkdir. Bunun üçün də müxtəlif aparat, proqram və alət vasitələrindən istifadə olunur. 

Bu işdə şəbəkə təhlükəsizliyinin intellektual monitorinqi üçün konseptual model təklif edilir.  



İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89 

 

82                                                                  www.jpis.az 



Şəbəkə təhlükəsizliyi sistemləri 

Şəbəkə təhlükəsizliyinin intellektual monitorinqi kompleks bir sistemdir. Bu cür sistemlər 

daha geniş verilənlərlə və böyük miqyasda işlədiyi üçün hazır həllərin tapılması çox çətindir.   

Şəbəkə təhlükəsizliyi üzrə birləşmiş sistemlər mərkəzləşdirilmiş, paylanmış və ya qismən 

mərkəzləşmiş struktura malik ola bilərlər. Mərkəzləşdirilmiş sistemlərdə seqmentlər üzrə toplanan 

bütün verilənlər analiz üçün mərkəzə ötürülür. Bu strukturun üstün cəhəti ondadır ki, verilənlər 

tam ötürüldüyü üçün daha dəqiq cavab əldə etmək mümkündür. Mənfi cəhəti isə odur ki, analiz 

aparatı mərkəzləşmiş olduğu üçün yüklənmə yüksək olduqda xidmətdən imtina qaçılmaz ola bilər. 

Bu növ sistemlərdə yeganə imtina nöqtəsinin olması qəbulolunmazdır. Digər tərəfdən baxdıqda 

isə,  paylanmış,  yəni  verilənlərin  analizi  üçün  yeganə  mərkəzə  bağlı  olmayan  strukturlar 

mövcuddur.  Paylanmış  sistem  tam  və  ya  qismən  mərkəzləşdirilmiş  ola  bilər.  Tam  paylanmış 

strukturda ayrı-ayrılıqda bütün seqmentlər və onların fəaliyyət blokları eynihüquqludur. Yəni bir 

seqmentin  sıradan  çıxması  ümumi  strukturun  iş  fəaliyyətinə  cuzi  təsir  göstərəcək.  Buna 

baxmayaraq,  verilənlərin  və  analiz  prosesinin  lokal  seqmentlə  məhdudluğu  nəticələrin 

dolğunluğuna mənfi təsir göstərir. Qismən mərkəzləşdirilmiş strukturda isə müəyyən hallarda bir 

və ya bir neçə seqment analiz prosesini öz üzərinə götürür. Amma bu halda da analiz prosesini öz 

üzərinə  götürmüş  seqment  digərlərinə  nisbətən  daha  çox  yüklənmiş  olur.  Bunun  üçün  də  tam 

paylanmış və mərkəzləşdirilmiş sistemlər arasında balanslaşdırılmış və qismən mərkəzləşdirilmiş 

sistem qurulması vacibdir. 

Şəbəkə təhlükəsizliyinin təmin olunması üçün artıq lokal tədbirlərin lazımi qədər effektli 

olmadığı  [2]-də  göstərilmişdir.  Məsələn,  artıq  klassik  müdaxilələrin  aşkarlanması  sistemlərinin 

(ingiliscə - Intrusion Detection System, IDS) kifayət qədər effektli olmadığı məlumdur və bunun 

üçün  müdaxilələrin  aşkarlanması  şəbəkəsinin  qurulması  labüddür.  Buna  [3]-də  qeyd  olunan 

DOMINO Overlay qlobal müdaxilələrin aşkarlanması şəbəkəsini misal göstərmək olar. DOMINO 

Overlay müdaxilələrin aşkarlanması üzrə əməkdaşlıq sistemi olub, böyükmiqyaslı və genişzolaqlı 

İnternet  qovşaqlarında  müdaxilələrin  aşkarlanması  prosesinə  cavabdehdir.  Bu  sistem  coğrafi 

baxımdan müxtəlif yerlərdə yerləşib və iyerarxik-heterogen struktura malikdir, buna baxmayaraq, 

şəbəkə aktorları arasında informasiya mübadiləsi mövcuddur. 

Şəbəkə  təhlükəsizliyi  hadisələrinin  aşkarlanması  və  aradan  qaldırılması  üçün  daha  bir 

yanaşma SIEM-dir. SIEM vendorların təklif etdiyi həllərə uyğun olaraq müxtəlif funksionallıqda 

ola bilər. Amma bütün bu SIEM-lərin hamısının ortaq cəhətləri vardır. SIEM-in fundamental və ya 

aparıcı hissələri aşağıdakı kimidir: toplama, analiz/aqreqasiya, saxlama.  

Təhlükəsizlik  əməliyyatları  mərkəzləri  təşkilati  və  texniki  təhlükəsizlik  məsələləri  ilə 

məşğul  olan  mərkəzlərdir.  Bu  mərkəzin  əməliyyat  qabiliyyəti  isə  aşağıdakı  bloklar  əsasında 

realizasiya olunur: verilənlərin generatoru olan sensorlar, verilənlərin saxlanılması üçün toplama 

bloku,  ümumi  formata  uyğunlaşdırılmış  verilənlər  bazası,  insidentlərin  analizi,  biliklər  bazası, 

qərar və hesabat. 

CSIRT informasiya təhlükəsizliyi insidentlərinə cavabvermə qrupudur. Onun əsas məqsədi 

korporativ  şəbəkədə  informasiya  təhlükəsizliyi  risklərinin  qəbul  edilmiş  səviyyədə  idarə 

edilməsini  təmin  etməkdir.  Bu  məqsədlə  CSIRT  informasiya  təhlükəsizliyinin  pozulmasına 

yönəlmiş  hərəkətlərin  aşkarlanması,  qarşısının  alınması  və  istifadəçilərin  məlumatlandırılması 

prosesini  yerinə  yetirir.  CSIRT  korporativ  şəbəkədə  ziyanlı  proqramların  yayılması  və  şəbəkə 

hücumları ilə əlaqədar statistik verilənlərin toplanmasını, saxlanılmasını və analizini həyata keçirir 

[5].  Qarşıya  qoyulmuş  vəzifələrin  yerinə  yetirilməsi  üçün  CSIRT  informasiya  təhlükəsizliyi 

sahəsində fəaliyyət göstərən digər təşkilatlarla qarşılıqlı əlaqə saxlamalıdır. 

Yuxarıda informasiya təhlükəsizliyinin təmin olunması üçün təşkilati və praktiki sistemlər 

göstərilmişdir.  Bu  sistemlərin  əsas  tərkib  hissəsi,  monitorinq  və  onun  nəticəsində  əldə  olunan 

məlumatlardır. Bu məqalədə təklif olunan konseptual model daha operativ və dolğun nəticələr əldə 

etməyə şərait yaradacaqdır. 




İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89 

 

       www.jpis.az                                                                      83 



Konseptual modelin qurulması prinsipləri 

Şəbəkə  təhlükəsizliyinin  intellektual  monitorinqi  şəbəkə  haqqında  informasiyanın 

toplanması,  analizi  və  nəticələri  haqqında  məlumatları  əlaqədar  şəxslər  və  ya  sistemlərə 

yönləndirən, müasir tələbləri ödəyən, proqram və aparat komplekslərindən ibarət olan mürəkkəb 

bir sistemdir. Monitorinq sistemi bir çox funksiyaların yerinə yetirilməsini təmin edir ki, bu da 

şəbəkənin səmərəliliyinin artırılmasına gətirib çıxarır.  

Bu  sistem  lazım  olan  informasiyanı  sensorların  köməyi  ilə  kompüter  şəbəkəsindən, 

kompüter  sistemlərindən,  istifadəçilərdən  və  s.  məlumat  mənbələrindən  toplayır.  Həmin 

məlumatların  toplanması,  saxlanması,  emal  olunması  və  vizuallaşdırılması  ayrı-ayrılıqda  ağır, 

çətin və çoxlu insan əməyi tələb edən prosesdir. Amma heç də az vacib olmayan məsələlərdən biri 

də verilənlərin düzgün interpretasiya olunmasıdır. Yuxarıda qeyd etdiyimiz kimi, burada da insan 

amili, şübhəsiz, müstəsna əhəmiyyətə malikdir. Belə olduğu halda, tələb olunur ki, müdaxilələrin 

aşkarlanması  sistemi  təhlükələri  nəyə  əsasən  təyin  etdiyini  düzgün  interpretasiya  etsin.  Bu 

mərhələdə buraxılan hər hansı səhv kompüter şəbəkəsinin təhlükəsizliyinə nəzarətin itirilməsinə 

gətirib çıxara bilər.  

Şəbəkə  təhlükəsizliyinin  intellektual  monitorinqi  vəzifələrinə  gəldikdə  isə,  əsas  siyasət 

müəyyən olunmalıdır. Bu siyasət istifadəçilərin qlobal və lokal şəbəkədən istifadəsini etibarlı və 

təhlükəsiz etməklə yanaşı, informasiyanın toplanaraq analiz edilməsi üçün  də vacibdir. Bu, baş 

verəcək  hadisənin  qarşısını  almaq  və  ya  baş  vermiş  hadisəni  tədqiq  etmək  üçün  olduqca 

əhəmiyyətlidir. 

Yuxarıda  deyilənləri  nəzərə  alaraq,  ilk  növbədə,  bu  sistemin  konseptual  arxitekturunun 

qurulması vacibdir. Bu, konseptual arxitektur əsasında hər blok üzrə tələblər müəyyən olunaraq, 

reallaşdırma  prosesinə asan keçid təmin olunacaq. 

İntellektuallıq bloklarda ayrı-ayrılıqda süni intellekt modelinin tətbiqi ilə bitmir. Konseptual 

arxitektur bir çox lokal, regional və bir qlobal mərkəzi özündə birləşdirir, bu isə iyerarxik quruluş 

yaradır. Konseptual modeldə eyniranqlı bloklar müəyyən olunaraq onların arasında informasiya 

mübadiləsinə  şərait  yaradılsa,  problemin  daha  aşağı  səviyyələrdə  həll  olunması  mümkün  olur. 

Yəni səviyyəsindən asılı olaraq, baş verən problemlərin operativ və minimal maddi zərərlə aradan 

qaldırılması üçün, ilkin olaraq, lokal səviyyədə həll olunmağa cəhd edilməlidir. 

Şəbəkə  təhlükəsizliyinin  intellektual  monitorinqinin  konseptual  arxitekturu  vəzifə  və 

funksiyalar,  proseslər  və  sensorlar,  sistemlər,  istifadə  edilən  müasir  texnologiyalar  da  daxil 

olmaqla yaradılır. Şəkil 1-dən göründüyü kimi, arxitektur ümumi olaraq toplama, analiz və qərar 

bloklarından ibarətdir. Hər bir blok tərkibində müəyyən funksiyaları yerinə yetirən alt bloklardan 

ibarətdir. Bunları geniş formada aşağıda izah etməyə çalışacağıq. 

 

Şəkil 1. Şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual arxitekturu. 




İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89 

 

84                                                                  www.jpis.az 



Toplama bloku 

Toplama  (Sensorlar)  -  Şəbəkə  haqqında  informasiyanın  toplanması  üçün  müxtəlif  növ 

sensorlar istifadə olunur. Bu sensorlar avtonom fəaliyyət göstərə və ya bir mərkəzdən idarə oluna 

bilərlər. Sensorların sayları və növləri monitorinqi aparılan şəbəkənin profilinə və miqyasına görə 

dəyişə  bilər.  Sensorların  sinfi  onların  topladığı  verilənlərin  xarakterinə  görə  müəyyən  olunur. 

Ümumi formada sensorları 2 sinfə bölmək olar: aparat sensorları və proqram sensorları. Amma bu 

sensorlar da toplanan informasiyanın tipinə görə altsiniflərə bölünürlər (trafik, proses, istifadəçi 

aktivliyi sensorları və s.). Aparat sensorları dedikdə, ümumi qəbul olunmuş monitorinq sensoru 

olan  SNMP



IPFIX,  sFlow

  və  s.  nəzərdə  tutulur.  İstehsalçıya  aid  xüsusi  aparat  sensorları  da 

mövcuddur, məsələn: Cisco-netflowMicrosoft - Windows Network Card Sensor və s. Proqram 

sensorlarına, PRTG - Packet Sniffer SensorCore Health SensorClusterState Sensor və s. misal 

göstərmək  olar.  Bu  sensorlar  müəyyən  olunmuş  mənbələrdən  generasiya  olunan  aktivliyi 

loqlaşdırmaq üçündür. 

Genişzolaqlı şəbəkələrin monitorinqi üçün trafik axınının toplanması və analizi çox yayılmış 

metodlardan  biridir.  Bu  yanaşma  provayderlər  səviyyəsində  daha  çox  aktualdır.  Trafik  axının 

toplanması  üçün  NetFlow,  IPFIX  və  s.  protokolları  istifadə  olunur.  Trafik  axınının  monitorinq 

mərhələləri bir-biri ilə sıx əlaqəlidir və hər bir mərhələ diqqətlə öyrənilməlidir [6]. Bu mərhələlərə 

paketin müşahidəsi, axının ölçülməsi və ötürülməsi, verilənlərin toplanması və analizi aiddir. 

Şəbəkədə  yerləşdirilən  sensorlar  vasitəsilə  trafiki  paketlər  səviyyəsində  analiz  etmək 

mümkündür.  Paketlər  əsasında  monitorinq,  daha  genişmiqyaslı  trafik  axınının  monitorinqi 

metoduna tam əks olan metoddur və daha detallı informasiya əldə etməyə imkan verir. Amma bu 

prosesin reallaşdırılması istifadəçilərin şəxsi məlumatlarına təhlükə yaradır və emal prosesi üçün 

güclü prosessor, böyük əməli yaddaş tələb edir. [7]-də paketin yalnız birinci dörd baytını qeyd 

etməklə daha az resurs tələb edən monitorinq metodu təklif olunur.  

İlkin emal verilənlər müxtəlif sensorlardan və müxtəlif formatlarda generasiya olunduğu 

üçün, ilkin olaraq, aqreqasiya prosesindən keçirilir və bir qayda olaraq, bütün verilənlər bir formata 

çevrilir. Bu proses konsalidasiya adlanır. Aqreqasiya prosesindən keçən verilənləri korrelyasiya 

edərək, hücumun müxtəlif hissələrini eyni şəkildə toplayaraq dolğun məlumat almaq mümkündür.  



Saxlama - alınan məlumatlar korporativ siyasətə əsasən, müəyyən vaxt ərzində saxlanılır. 

Şəbəkə strukturunun, xidmətlərin və istifadəçilərin generasiya etdiyi informasiya zaman keçdikcə 

böyük informasiya kütləsinə çevriləcəyi hamıya məlumdur. Bunu bildiyimiz üçün oflayn rejimdə 

informasiyanın  saxlanılması  üçün  müəyyən  təsnifat  rejimindən  keçərək  qüvvədə  olan  siyasətə 

uyğun olan və anomaliya aşkarlanmayan verilənlər daimi yaddaşda saxlanılmır.  

Yalnız anomallıq aşkarlanan verilənlərin yaddaşda saxlanılması verilənlərin yenidən analizi 

zamanı müəyyən informasiya çatışmazlıqlarına gətirib çıxara bilər, amma bu son nəticədə limitsiz 

olmayan resursların düzgün istifadəsi üçün yararlı olacaqdır.  

Şəbəkə  trafiki  verilənlərinin  toplanması  və  saxlanması  şəbəkələrin  böyüməsi  və 

sürətlənməsi ilə əlaqədar olaraq daha çətin olur, SQL verilənlər bazası və xüsusi binar format kimi 

həllər,  daxil  olan  verilənlərin  artma  tempinə  uyğun  genişlənə  bilmirlər.  [8]-də  nProbe  şəbəkə 

trafikinin  toplanması  alətinin  və  FastBit  verilənlər  bazasının  sintezindən yaradılmış  açıq  kodlu 

proqram təminatıdır. Bu metod vasitəsilə Gbit sürətə qədər şəbəkə trafiki axınının toplanılması və 

lazımi anda hər hansı bir informasiyanın axtarılması və tapılması mümkün olur. 



Vizuallaşdırma – şəbəkə trafiki haqqında ümumi ədədi məlumatların başa düşülməsi üçün 

əyani görünüş forması olub, operatorlar üçün ilkin müşahidə vasitəsidir. Buna CactiNagios və s. 

açıq  kodlu  proqram  təminatlarını  misal  göstərmək  olar.  Bu  alətlər  kompüter  şəbəkəsi  trafikini, 

hesablama nöqtələrinin vəziyyətini və avadanlıqlar haqqında statistik informasiyanı müəyyən vaxt 

intervalında SNMP vasitəsilə toplayaraq qrafiklər yaradır (Şəkil 2). 

 



İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89 

 

       www.jpis.az                                                                      85 



 

 

Şəkil 2. Şəbəkə trafikinin diaqram formasında vizuallaşdırılması 



Analiz bloku 

Şəbəkə  trafikinin  identifikasiyası  və  kateqoriyalaşdırılması  onun  idarə  olunmasının  əsas 

elemetlərindən biridir. Buna axının prioritetləşdirilməsi, trafikin formalaşdırılması və diaqnostik 

monitorinqi misal göstərmək olar. 

İnternet trafikinin ölçmələrini, adətən, yüksək hesablama gücünə malik olan serverdə həyata 

keçirilir. Server trafik axını və paketləri toplayır və analiz edir. Nəzərə alsaq ki, uzunmüddətli, 

böyükhəcmli və böyükmiqyaslı statistik verilənlərin monitorinqi zamanı Tera və Peta bayt həcmdə 

verilənlər generasiya olunur və bu emal prosesinin bir serverdə aparılması məqsədəuyğun deyil. 

Adətən, böyük həcmdə informasiyanın sıxılması üçün diskretizasiya və ya aqreqasiya metodları 

istifadə  edilir,  bu  halda  trafik  axınının  müəyyən  verilənləri  ixtisar  olunur.  Son  zamanlar  bu 

məsələnin həlli üçün bulud hesablama texnologiyaları və klaster fayl sistemlərindən istifadə edilir. 

Buna  misal  olaraq,  İnternet  trafikinin  analizi  üçün  bulud  hesablamaları  əsasında  MapReduce 

proqram  platformasının  istifadə  olunması  təklif  olunur  [9].  Açıq  kodlu  proqram  təminatı  olan 

MapReduce və Hadoop əsasında aparılan təcrübələrə əsasən müəyyən olunmuşdur ki, bir serverli 

hesablama alətinə nisbətən statistik trafikin hesablaması zamanı nəticə 72% daha sürətli əldə edilir. 




İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89 

 

86                                                                  www.jpis.az 



Şəbəkənin  idarə  olunması  və  şəbəkə  təhlükəsizliyinin  səmərəliliyinin  yüksəldilməsinə 

yönəlmiş  tədqiqatlarda  trafikin  klassifikasiyasından  və  klasterləşdirilməsindən  geniş  istifadə 

olunur.  İnternetdən  geniş  istifadə  olunması,  protokolların  və  tətbiqi  proqramların  inkişafı  ilə 

trafikin analizi  sahəsində də  tədqiqatların  aparılması  aktuallaşmışdır.  İnformasiya təhlükəsizliyi 

hadisələrinin  və  ya  anomaliyalarının  aşkarlanması  üçün  klassifikasiya  və  klasterləşdirmə 

metodlarından  geniş  istifadə  olunur.  Misal  olaraq,  [10]-da  Naive  Bayes  və  neyron  şəbəkə 

metodlarından  istifadə  edərək  operativliyi  və  ya  dəqiqliyi  azaltmadan  klassifikasiya 

xarakteristikalarını yüksəltmək məqsədilə iki mərhələli ardıcıl klassifikator təklif edilir.  

Məlumdur ki, təhlükələrin yaranmasının əsas səbəblərindən biri şəbəkə trafikində anomal və 

tematik  profilə  uyğun  olmayan  trafikin  generasiya  olunmasıdır.  Bunları  nəzərə  alaraq  [11]-də 

şəbəkə  trafikində  davranış  profilinin  müəyyən  olunması  üçün  vasitə  işlənib  hazırlanmışdır. 

Davranış profilinin müəyyən olunması üçün k-ortalar klasterizasiya metodu tətbiq olunmuşdur. 

[12]-da  isə  şəbəkə  trafikinin  real  vaxt  rejimində  identifikasiyası  və  klassifikasiyası 

prosesinin  reallaşdırma  metodu  təklif  olunur.  Bunun  üçün  altı  maşın  təlimi  alqoritmi 

(

AdaboostM1,  C4.5,  Random  Forest  tree,  MLP,  RBF  və  Polykernel  ilə  SVM

)  tətbiq  edilir.  Bu 

reallaşdırma göstərir ki, ağac tipli maşın təlimi metodu trafikin klassifikasiyası və identifikasiyası 

üçün effektlidir və İnternet trafikinin klassifikasiya dəqiqliyi 99.76.16% təşkil edir.

 

Qərar bloku

 

Qərarların qəbul olunması

 - İnformasiya təhlükəsizliyinin emalı üzrə qəbul edilmiş qərarlar 

bir  çox  halda  əvvəllər  qazanılmış  təcrübəyə  və  qəbul  edilmiş  qərarlara  əsaslanır,  onları  yeni 

situasiya üçün adaptasiya edir. Bunları nəzərə alaraq, insanın iştirakını minimuma endirmək və 

reaksiyanın operativliyinin yüksəldilməsi məqsədi ilə ekspert sistemlərindən istifadə olunmalıdır. 

Bizim  təklif  etdiyimiz  arxitektur  daxilində  bu  prosesin  idarə  olunması  üçün  presedentlər 

nəzəriyyəsi (ing., Case-Based Reasoning, CBR) seçilmişdir.  

CBR  metodologiyasının  mahiyyəti  aşağıdakından  ibarətdir:  Faktiki  olaraq,  presedent 

  cütüdür.  Zaman  keçdikcə  meydana  çıxan  situasiyalar  və  onların  həlli 

yolları xüsusi bazada – presedentlər bazasında saxlanılır. Yeni situasiya yarandıqda presedentlər 

bazasında  oxşar  situasiya  axtarılıb  tapılır  və  onun  həll  metodu  baxılan  situasiyaya  adaptasiya 

olunur.  CBR  metodologiyası  diaqnostika,  proqnozlaşdırma,  müxtəlif  predmet  sahələrində 

planlaşdırma və layihələndirmə işlərində və bir çox klassifikasiya məsələlərinin həllində istifadə 

edilir.  CBR  informasiya  təhlükəsizliyinin  müxtəlif  aspektlərinə  [13]-də  baxılmış,    risklərin 

qiymətləndirilməsinə, müdaxilələrin aşkarlanmasına, şəbəkə təhlükəsizliyi vəziyyətinin analizinə 

də tətbiq edilmişdir.  

Presedentlər bazası – əvvəlcədən aşkarlanmış və müvafiq tədbir görülmüş insidentlərin həlli 

yolları  bu  bazada  yerləşdirilir.  Yəni,  hazır  həllər  yaddaşı  kimi  mərkəzdə  presedentlər  bazası 

yerləşdirilib.  Yeni  bir  problem  baş  verdikdə  o  əlamətlərin  vektor  funksiyası  ilə  bazada 

qeydiyyatdan  keçirilir,  bu  da  presedentlər  bazasından  problemlərin  axtarılmasını  təmin  edir. 

Aydındır ki, funksiyaların oxşarlıq səviyyəsi nə qədər çox olarsa, presedentlərin axtarış effektivliyi 

də bir o qədər yüksək olar. 



Qərarları qəbul edən şəxs və ya qrup

 – presedentlər bazasında uyğun presedent tapılmadığı 

halda qərar əvvəlcədən müəyyən olunmuş ekspertlər tərəfindən qəbul olunur. 

 

Qərarlara dəstək sistemi hər iki halda – uyğun presedent tapıldığı və tapılmadığı halda qəbul 

olunmuş qərarı təhlükəni zərərsizləşdirmək üçün proseslərə və eyni zamanda, hesabat formasında 

aidiyyatı şəxslərə ötürür. Yeni insidentlər və onların həlləri dəqiqləşdirildikdən sonra bu həllər 

yekun qərar vermək hüququ olan aidiyyatı şəxslər tərəfindən hazır həllər bazasına ötürülür. 

 

 



 


İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89 

 

       www.jpis.az                                                                      87 



Konseptual modelin makro-arxitekturu

 

Yuxarıda  göstərilən  şəbəkə  təhlükəsizliyinin  intellektual  monitorinqinin  konseptual 



modelinin arxitekturunun təsir dairəsi bir lokal şəbəkə daxilindədir. Buna görə də, bir lokal şəbəkə 

daxilində baş verən proseslərə nəzarət və ona uyğun qərarlar generasiya edə bilir. Bir korporativ 

şəbəkə altında müxtəlif şəbəkələrin varlığını nəzərə alsaq, baş vermiş insident ya ümumiyyətlə, 

vəziyyət  haqqında  şəbəkələrarası  monitorinq  verilənlərinin  mübadiləsinin,  informasiya 

təhlükəsizliyi nöqteyi nəzərindən vacib olduğunu başa düşərik. Yuxarıda deyilənlərə əsaslanaraq, 

iyerarxik  struktura  malik  olan  şəbəkə  təhlükəsizliyinin  intellektual  monitorinqinin  konseptual 

modelinin makro-arxitekturunun formalaşması vacibdir. 

Şəkil  3-də  konseptual  modelin  iyerarxik  makro-arxitekturu  göstərilmişdir  və  onun  iki 

səviyyəsi  vardır:  korporativ  və  lokal.  Təklif  olunan  konseptual  model  hər  bir  səviyyə  və  onun 

seqmentləri üzrə ayrı-ayrılıqda tətbiq olunur. Lokal səviyyədə  yerləşən blokların hər biri ayrıca 

korporativ şəbəkəni təmsil edir və müxtəlif böyüklükdə ola bilməklə yanaşı, müxtəlif regionda, 

müxtəlif  saat  qurşaqlarında  yerləşə  bilər.  Bundan  asılı  olmayaraq,  hər  bir  blok  ayrı-ayrılıqda 

avtonom fəaliyyəti və informasiya mübadilə qabiliyyəti ilə təmin olunmalı və bütün infrastruktura 

inteqrasiya edilməlidir. Yəni, bloklar ayrı-ayrılıqda lokal bir strukturun tərkib hissəsi olsalar da, 

hər  bir  blok  bütün  konseptual  arxitektur  üzrə  özünün  analoqu  olan  bloklara  aktiv  informasiya 

mübadiləsi edərək, anomallıq və özü haqqında aktual informasiyanı paylaşa bilməlidir. 

 

Şəkil 3. Şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual makro-arxitekturu 



Şəkil 3-dən göründüyü kimi, qlobal səviyyədə yerləşən blokun toplama funksiyası yoxdur. 

Bu blokun  əsas vəzifələri aşağı səviyyəli blokların iş fəaliyyətinə nəzarət, xüsusi hallarda lokal 

səviyyədə yerləşən blokların emal edə bilmədiyi hadisələrə reaksiya vermək və həllər generasiya 

etməkdir.  



Nəticə 

Bu  məqalədə  korporativ  şəbəkənin  bütün  elementlərini,  istifadəçilərini,  texnologiyalarını, 

verilənlərini  əhatə  edən  və  informasiya  təhlükəsizliyi  hadisələrinin  müəyyən  olunmasını  təmin 

edən  şəbəkə  təhlükəsizliyinin  intellektual  monitorinqinin  konseptual  modeli  təklif  edilir.  Əsas 

məqsəd  bütün  korporativ  şəbəkəni  və  onun  altşəbəkələrini  real  zaman  anında  əhatə  edərək, 

şəbəkənin hər hansı bir yerində baş verə biləcək hadisəyə anında və dolğun reaksiya verməkdir. 

Aktual  olan  şəbəkə  təhlükəsizliyi  məsələlərinin  idarə  olunması  kommersiya  məhsullarının 

aşkarlama, emal etmə və qərar vermə proseslərini realizasiya etmək qabiliyyətindədir.  




İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89 

 

88                                                                  www.jpis.az 



Ədəbiyyat 

1.

 



Əliquliyev  R.M.,  İmamverdiyev  Y.N.,  Nəbiyev  B.R.  Şəbəkə  təhlükəsizliyinin  monitorinqi 

metodlarının analizi // İnformasiya Texnologiyaları Problemləri, 2014, № 1, s. 60–68. 

2.

 

Fung C.J.,  Boutaba R. Design and management of collaborative intrusion detection networks 



/ International Symposium on Integrated Network Management, 2013, pp. 955-961. 

3.

 



Yegneswaran  V.,  Barford  P.,  Jha  S.  Global  Intrusion  Detection  in  the  DOMINO  Overlay 

System / Proc. of the Network and Distributed System Security Symposium, 2004, pp.1–17. 

4.

 

Fataliyev Z., Imamverdiyev Y.N. Security Operation Center Architecture for E-government 



based  on  Big  Data  Analysis  /  Elektron  dövlət  quruculuğu  problemləri  I  Respublika  elmi-

praktiki konfransı. Bakı, 2014. pp. 140–144. 

5.

 

Hofstede  R.,  Celeda  P.,  Trammell  B.,  Drago  I.,  Sadre  R.,  Sperotto  A.,  Pras  A.  Flow 



Monitoring  Explained:  From  Packet  Capture  to  Data  Analysis  with  NetFlow  and  IPFIX  // 

IEEE Communications Surveys & Tutorials, 2014, vol. 16, pp. 2037-2064. 

6.

 

Deri  L.,  Lorenzetti  V., Mortimer  S.,  Collection and  Exploration  of  Large  Data  Monitoring 



Sets  Using  Bitmap  Databases  /  Second  International  Workshop  Traffic  Monitoring  and 

Analysis, 2010, pp 73–86. 

7.

 

Giura P., Memon N., NetStore: An Efficient Storage Infrastructure for Network Forensics and 



Monitoring  /  Proc.  of  the  International  Symposium  on  Recent  Advances  in  Intrusion 

Detection, 2010, pp. 277–296. 

8.

 

Lee Y., Kang W., Son H., An Internet Traffic Analysis Method with MapReduce // Proc. of 



the  IEEE/IFIP  Network  Operations  and  Management  Symposium  Workshops  (NOMS 

Wksps), 2010, pp. 357 – 361. 

9.

 

İmamverdiyev  Y.N.,  Nəbiyev  B.R.  Şəbəkə  trafiki  üçün  multi-klassifikator  modeli  // 



İnformasiya Texnologiyaları Problemləri, 2014, № 2, s. 60–68. 

10.


 

Nəbiyev  B.R.  Şəbəkə  trafikinin  klasterizasiya  metodu  haqqında  /  Beynəlxalq 

telekommunikasiya  İttifaqının  150  illiyinə  həsr  olunmuş  İnformasiya  təhlükəsizliyinin 

multidissiplinar problemləri üzrə II respublika elmi-praktiki konfransı, Bakı, 2015, s. 213–215. 

11.

 

Jaiswal  R.  C.,  Lokhande  S.  D.  Machine  learning  based  internet  traffic  recognition  with 



statistical approach / Proc. of the Annual IEEE India Conference, 2013, pp. 1–16. 

12.


 

İmamverdiyev Y.N., Nəbiyev B.R. Presedentlər nəzəriyyəsi əsasında şəbəkə təhlükəsizliyinin 

monitorinqi üzrə qərarların qəbulu metodu // İnformasiya Texnologiyaları Problemləri, 2012, 

№ 2, s. 53–58. 



 


İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89 

 

       www.jpis.az                                                                      89 



УДК 004.09 

Имамвердиев Ядигар Н.

1

, Набиев Бабек Р.

2

 

1,2


Институт Информационных Технологий НАНА, Баку, Азербайджан 

1

yadigar@lan.ab.az,



 2

babek@iit.ab.az 



Концептуальная модель интеллектуального мониторинга сетевой безопасности 

В  этой  статье  предлагается  принципиально  новая  и  более  эффективная  концептуальная 

модель  интеллектуального  мониторинга  сетевой  безопасности.  В  этой  статье 

рассматриваются интеллектуальная модель процесса мониторинга, функциональные блоки, 

процессы и тенденции в области применения. Кроме того, рассматриваются уязвимости и 

недостатки системы мониторинга. Предложенная модель для устранения вышеупомянутых 

проблем  сочетает  в  себе  функциональные  возможности,  мониторинг  проблемно-

ориентированных  информаций,  первоначальную  обработку  собранных  данных, 

индексацию  данных,  структурирование  данных,  хранение  и  управление  собранной 

информацией, предоставление отчетов, которые могут быть проанализированы по запросам 

лиц, принимающих решения. 

Ключевые слова: сетевая безопасность, мониторинг, искусственный интеллект, сетевой 

трафик, концептуальная модель. 

 

Yadigar N. İmamverdiyev



1

, Babek R. Nabiyev

2

  

1,2


Institute of Information Technology of ANAS, Baku, Azerbaijan 

1

yadigar@lan.ab.az,



 2

babek@iit.ab.az 



Conceptual model of intelligent network security monitoring 

This  paper  proposes  fundamentally  new  and  more  effective  conceptual  model  of  intelligent 

network  security  monitoring.  General  intellectual  model  of  the  monitoring  process,  functional 

blocks,  processes  and  trends  in  the  application  are  considered.  In  addition,  the  gaps  and  weak 

points of monitoring system are considered. The proposed model for the elimination of the above-

mentioned problems combines functional capabilities such as the monitoring of problem-oriented 

information,  initial  processing  of  gathered  data,  data  indexation  and  structuring,  storage  and 

management  of  collected  information,  selection  of  information  in  accordance  with  decision 



makers’ requirements generation of readable information that can be analyzed. 

Keywords: network security, monitoring, artificial intelligence, network traffic, conceptual model. 

 



Dostları ilə paylaş:


Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©genderi.org 2019
rəhbərliyinə müraciət

    Ana səhifə