Uot 004. 09 İmamverdiyev Y. N
Yüklə 96,36 Kb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- ŞƏBƏKƏ TƏHLÜKƏSİZLİYİNİN İNTELLEKTUAL MONİTORİNQİ ÜÇÜN KONSEPTUAL MODEL
- Açar sözlər
- Şəbəkə təhlükəsizliyi sistemləri
- Konseptual modelin qurulması prinsipləri
- Toplama bloku Toplama (Sensorlar)
- Qərar bloku
- Konseptual modelin makro-arxitekturu
- УДК 004.09 Имамвердиев Ядигар Н. 1 , Набиев Бабек Р. 2
- Ключевые слова
| İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
www.jpis.az 81 UOT 004.09 İmamverdiyev Y.N. 1 , Nəbiyev B.R. 2 1,2
AMEA İnformasiya Texnologiyaları İnstitutu, Bakı, Azərbaycan 1 yadigar@lan.ab.az, 2 babek@iit.ab.az ŞƏBƏKƏ TƏHLÜKƏSİZLİYİNİN İNTELLEKTUAL MONİTORİNQİ ÜÇÜN KONSEPTUAL MODEL Məqalədə şəbəkə təhlükəsizliyinin prinsipial baxımdan yeni və daha effektli olan intellektual monitorinqinin konseptual modeli təklif olunur. Modeldə monitorinq prosesinin ümumi intellektual arxitekturuna, funksional bloklarına, emal proseslərinə və tətbiq istiqamətlərinə baxılır. Bundan başqa, monitorinq sisteminin boşluqları və zəif nöqtələri araşdırılır. Göstərilən problemlərin aradan qaldırılması üçün təklif olunan model problemyönümlü informasiya monitorinqi, toplanan verilənlərin ilkin emalı, verilənlərin indeksləşdirilməsi və strukturlaşdırılması, toplanan informasiyanın saxlanılması və idarə olunması, qərar qəbul edən şəxslərin tələblərinə uyğun informasiyanın seçilməsi və oxunaqlı, analiz edilə bilən hesabatların generasiyası kimi funksional imkanları özündə birləşdirir. Açar sözlər: şəbəkə təhlükəsizliyi, monitorinq, süni intellekt, şəbəkə trafiki, konseptual model. Giriş Şəbəkə təhlükəsizliyinin intellektual monitorinqi kompüter şəbəkəsinin təhlükəsizliyini təhdid edən müxtəlif müdaxilələri aşkarlamaq və cavab tədbirləri görmək üçün əlamətlərin və xəbərdarlıqların analizidir. Bu sistemin əsas üstünlüklərindən biri, adından göründüyü kimi, intellektual olmasıdır. İntellektual dedikdə, süni intellekt metodlarının istifadəsi nəzərdə tutulur. Şəbəkə təhlükəsizliyinin monitorinqi süni intellekt metodları tətbiq olunmadan da həyata keçirilə bilər, amma bunun üçün çoxlu maddi vəsait və insan resursları tələb olunur. Süni intellekt metodlarının tətbiqi ilə bu prosesi məqsədəuyğun olaraq qismən və ya tamamilə avtomatlaşdıraraq maddi vəsaitlərə və insan əməyinə qənaət etmək olar. Xüsusi olaraq, şəbəkə təhlükəsizliyinin intellektual monitorinqi sistemində sensorlardan başlayaraq, qərarların qəbul edilməsinə qədər bütün prosesləri süni intellekt metodlarına əsaslanan aparat və proqram təminatlarının tətbiqi ilə reallaşdırmaq məqsədəuyğundur. Kompüter şəbəkələrinin fəaliyyəti və təhlükəsizliyi haqqında lazımi verilənlərin toplanması, dəqiq analiz edilməsi və şəbəkə təhlükəsizliyinin təmin edilməsi haqqında əsaslandırılmış qərarların qəbul edilməsi üçün şəbəkə təhlükəsizliyinin monitorinqi zamanı verilənlərin intellektual analizi texnologiyalarından istifadə edilməsi aktuallıq kəsb edir [1]. Bu istiqamətdə bir çox elmi-praktiki işlər aparılmışdır. Aparılan işlərin arasında təhdidlərin aşkarlanması və aradan qaldırılması üçün aşağıdakı yanaşmaları misal göstərmək olar: təhlükəsizlik əməliyyatları mərkəzləri (ingiliscə - security operation center, SOC), təhlükəsizlik informasiyasının və hadisələrinin idarə olunması (ingiliscə - security information and event management, SIEM) və kompüter təhlükəsizliyi insidentlərinə cavabvermə komandaları (ingiliscə - Computer Security Incident Response Team, CSIRT). Şəbəkə təhlükəsizliyi məsələlərinin idarə olunması sistemləri anomal hadisələrin identifikasiyası və müxtəlif növ böyükhəcmli verilənlərin emalı prosesinin reallaşdırılması zamanı çətinliklərlə üzləşir. Belə olduğu halda, alınan məlumatların və verilən qərarların dolğunluğu şübhə doğurur. Şəbəkə təhlükəsizliyi monitorinqinin konseptual modelinin əsas vəzifəsi bu prosesi asanlaşdırmağa və qərar qəbul edilməsinə kömək edərək, hesablama resurslarına və insan əməyinə qənaət etməkdir. Bunun üçün də müxtəlif aparat, proqram və alət vasitələrindən istifadə olunur. Bu işdə şəbəkə təhlükəsizliyinin intellektual monitorinqi üçün konseptual model təklif edilir.
İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
82 www.jpis.az Şəbəkə təhlükəsizliyi sistemləri Şəbəkə təhlükəsizliyinin intellektual monitorinqi kompleks bir sistemdir. Bu cür sistemlər daha geniş verilənlərlə və böyük miqyasda işlədiyi üçün hazır həllərin tapılması çox çətindir. Şəbəkə təhlükəsizliyi üzrə birləşmiş sistemlər mərkəzləşdirilmiş, paylanmış və ya qismən mərkəzləşmiş struktura malik ola bilərlər. Mərkəzləşdirilmiş sistemlərdə seqmentlər üzrə toplanan bütün verilənlər analiz üçün mərkəzə ötürülür. Bu strukturun üstün cəhəti ondadır ki, verilənlər tam ötürüldüyü üçün daha dəqiq cavab əldə etmək mümkündür. Mənfi cəhəti isə odur ki, analiz aparatı mərkəzləşmiş olduğu üçün yüklənmə yüksək olduqda xidmətdən imtina qaçılmaz ola bilər. Bu növ sistemlərdə yeganə imtina nöqtəsinin olması qəbulolunmazdır. Digər tərəfdən baxdıqda isə, paylanmış, yəni verilənlərin analizi üçün yeganə mərkəzə bağlı olmayan strukturlar mövcuddur. Paylanmış sistem tam və ya qismən mərkəzləşdirilmiş ola bilər. Tam paylanmış strukturda ayrı-ayrılıqda bütün seqmentlər və onların fəaliyyət blokları eynihüquqludur. Yəni bir seqmentin sıradan çıxması ümumi strukturun iş fəaliyyətinə cuzi təsir göstərəcək. Buna baxmayaraq, verilənlərin və analiz prosesinin lokal seqmentlə məhdudluğu nəticələrin dolğunluğuna mənfi təsir göstərir. Qismən mərkəzləşdirilmiş strukturda isə müəyyən hallarda bir və ya bir neçə seqment analiz prosesini öz üzərinə götürür. Amma bu halda da analiz prosesini öz üzərinə götürmüş seqment digərlərinə nisbətən daha çox yüklənmiş olur. Bunun üçün də tam paylanmış və mərkəzləşdirilmiş sistemlər arasında balanslaşdırılmış və qismən mərkəzləşdirilmiş sistem qurulması vacibdir. Şəbəkə təhlükəsizliyinin təmin olunması üçün artıq lokal tədbirlərin lazımi qədər effektli olmadığı [2]-də göstərilmişdir. Məsələn, artıq klassik müdaxilələrin aşkarlanması sistemlərinin (ingiliscə - Intrusion Detection System, IDS) kifayət qədər effektli olmadığı məlumdur və bunun üçün müdaxilələrin aşkarlanması şəbəkəsinin qurulması labüddür. Buna [3]-də qeyd olunan
İnternet qovşaqlarında müdaxilələrin aşkarlanması prosesinə cavabdehdir. Bu sistem coğrafi baxımdan müxtəlif yerlərdə yerləşib və iyerarxik-heterogen struktura malikdir, buna baxmayaraq, şəbəkə aktorları arasında informasiya mübadiləsi mövcuddur. Şəbəkə təhlükəsizliyi hadisələrinin aşkarlanması və aradan qaldırılması üçün daha bir yanaşma SIEM-dir. SIEM vendorların təklif etdiyi həllərə uyğun olaraq müxtəlif funksionallıqda ola bilər. Amma bütün bu SIEM-lərin hamısının ortaq cəhətləri vardır. SIEM-in fundamental və ya aparıcı hissələri aşağıdakı kimidir: toplama, analiz/aqreqasiya, saxlama. Təhlükəsizlik əməliyyatları mərkəzləri təşkilati və texniki təhlükəsizlik məsələləri ilə məşğul olan mərkəzlərdir. Bu mərkəzin əməliyyat qabiliyyəti isə aşağıdakı bloklar əsasında realizasiya olunur: verilənlərin generatoru olan sensorlar, verilənlərin saxlanılması üçün toplama bloku, ümumi formata uyğunlaşdırılmış verilənlər bazası, insidentlərin analizi, biliklər bazası, qərar və hesabat.
korporativ şəbəkədə informasiya təhlükəsizliyi risklərinin qəbul edilmiş səviyyədə idarə edilməsini təmin etməkdir. Bu məqsədlə CSIRT informasiya təhlükəsizliyinin pozulmasına yönəlmiş hərəkətlərin aşkarlanması, qarşısının alınması və istifadəçilərin məlumatlandırılması prosesini yerinə yetirir. CSIRT korporativ şəbəkədə ziyanlı proqramların yayılması və şəbəkə hücumları ilə əlaqədar statistik verilənlərin toplanmasını, saxlanılmasını və analizini həyata keçirir [5]. Qarşıya qoyulmuş vəzifələrin yerinə yetirilməsi üçün CSIRT informasiya təhlükəsizliyi sahəsində fəaliyyət göstərən digər təşkilatlarla qarşılıqlı əlaqə saxlamalıdır. Yuxarıda informasiya təhlükəsizliyinin təmin olunması üçün təşkilati və praktiki sistemlər göstərilmişdir. Bu sistemlərin əsas tərkib hissəsi, monitorinq və onun nəticəsində əldə olunan məlumatlardır. Bu məqalədə təklif olunan konseptual model daha operativ və dolğun nəticələr əldə etməyə şərait yaradacaqdır. İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
www.jpis.az 83 Konseptual modelin qurulması prinsipləri Şəbəkə təhlükəsizliyinin intellektual monitorinqi şəbəkə haqqında informasiyanın toplanması, analizi və nəticələri haqqında məlumatları əlaqədar şəxslər və ya sistemlərə yönləndirən, müasir tələbləri ödəyən, proqram və aparat komplekslərindən ibarət olan mürəkkəb bir sistemdir. Monitorinq sistemi bir çox funksiyaların yerinə yetirilməsini təmin edir ki, bu da şəbəkənin səmərəliliyinin artırılmasına gətirib çıxarır. Bu sistem lazım olan informasiyanı sensorların köməyi ilə kompüter şəbəkəsindən, kompüter sistemlərindən, istifadəçilərdən və s. məlumat mənbələrindən toplayır. Həmin məlumatların toplanması, saxlanması, emal olunması və vizuallaşdırılması ayrı-ayrılıqda ağır, çətin və çoxlu insan əməyi tələb edən prosesdir. Amma heç də az vacib olmayan məsələlərdən biri də verilənlərin düzgün interpretasiya olunmasıdır. Yuxarıda qeyd etdiyimiz kimi, burada da insan amili, şübhəsiz, müstəsna əhəmiyyətə malikdir. Belə olduğu halda, tələb olunur ki, müdaxilələrin aşkarlanması sistemi təhlükələri nəyə əsasən təyin etdiyini düzgün interpretasiya etsin. Bu mərhələdə buraxılan hər hansı səhv kompüter şəbəkəsinin təhlükəsizliyinə nəzarətin itirilməsinə gətirib çıxara bilər. Şəbəkə təhlükəsizliyinin intellektual monitorinqi vəzifələrinə gəldikdə isə, əsas siyasət müəyyən olunmalıdır. Bu siyasət istifadəçilərin qlobal və lokal şəbəkədən istifadəsini etibarlı və təhlükəsiz etməklə yanaşı, informasiyanın toplanaraq analiz edilməsi üçün də vacibdir. Bu, baş verəcək hadisənin qarşısını almaq və ya baş vermiş hadisəni tədqiq etmək üçün olduqca əhəmiyyətlidir. Yuxarıda deyilənləri nəzərə alaraq, ilk növbədə, bu sistemin konseptual arxitekturunun qurulması vacibdir. Bu, konseptual arxitektur əsasında hər blok üzrə tələblər müəyyən olunaraq, reallaşdırma prosesinə asan keçid təmin olunacaq. İntellektuallıq bloklarda ayrı-ayrılıqda süni intellekt modelinin tətbiqi ilə bitmir. Konseptual arxitektur bir çox lokal, regional və bir qlobal mərkəzi özündə birləşdirir, bu isə iyerarxik quruluş yaradır. Konseptual modeldə eyniranqlı bloklar müəyyən olunaraq onların arasında informasiya mübadiləsinə şərait yaradılsa, problemin daha aşağı səviyyələrdə həll olunması mümkün olur. Yəni səviyyəsindən asılı olaraq, baş verən problemlərin operativ və minimal maddi zərərlə aradan qaldırılması üçün, ilkin olaraq, lokal səviyyədə həll olunmağa cəhd edilməlidir. Şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual arxitekturu vəzifə və funksiyalar, proseslər və sensorlar, sistemlər, istifadə edilən müasir texnologiyalar da daxil olmaqla yaradılır. Şəkil 1-dən göründüyü kimi, arxitektur ümumi olaraq toplama, analiz və qərar bloklarından ibarətdir. Hər bir blok tərkibində müəyyən funksiyaları yerinə yetirən alt bloklardan ibarətdir. Bunları geniş formada aşağıda izah etməyə çalışacağıq.
Şəkil 1. Şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual arxitekturu. İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
84 www.jpis.az Toplama bloku Toplama (Sensorlar) - Şəbəkə haqqında informasiyanın toplanması üçün müxtəlif növ sensorlar istifadə olunur. Bu sensorlar avtonom fəaliyyət göstərə və ya bir mərkəzdən idarə oluna bilərlər. Sensorların sayları və növləri monitorinqi aparılan şəbəkənin profilinə və miqyasına görə dəyişə bilər. Sensorların sinfi onların topladığı verilənlərin xarakterinə görə müəyyən olunur. Ümumi formada sensorları 2 sinfə bölmək olar: aparat sensorları və proqram sensorları. Amma bu sensorlar da toplanan informasiyanın tipinə görə altsiniflərə bölünürlər (trafik, proses, istifadəçi aktivliyi sensorları və s.). Aparat sensorları dedikdə, ümumi qəbul olunmuş monitorinq sensoru olan SNMP, IPFIX, sFlow və s. nəzərdə tutulur. İstehsalçıya aid xüsusi aparat sensorları da mövcuddur, məsələn: Cisco-netflow, Microsoft - Windows Network Card Sensor və s. Proqram sensorlarına, PRTG - Packet Sniffer Sensor, Core Health Sensor, ClusterState Sensor və s. misal göstərmək olar. Bu sensorlar müəyyən olunmuş mənbələrdən generasiya olunan aktivliyi loqlaşdırmaq üçündür. Genişzolaqlı şəbəkələrin monitorinqi üçün trafik axınının toplanması və analizi çox yayılmış metodlardan biridir. Bu yanaşma provayderlər səviyyəsində daha çox aktualdır. Trafik axının toplanması üçün NetFlow, IPFIX və s. protokolları istifadə olunur. Trafik axınının monitorinq mərhələləri bir-biri ilə sıx əlaqəlidir və hər bir mərhələ diqqətlə öyrənilməlidir [6]. Bu mərhələlərə paketin müşahidəsi, axının ölçülməsi və ötürülməsi, verilənlərin toplanması və analizi aiddir. Şəbəkədə yerləşdirilən sensorlar vasitəsilə trafiki paketlər səviyyəsində analiz etmək mümkündür. Paketlər əsasında monitorinq, daha genişmiqyaslı trafik axınının monitorinqi metoduna tam əks olan metoddur və daha detallı informasiya əldə etməyə imkan verir. Amma bu prosesin reallaşdırılması istifadəçilərin şəxsi məlumatlarına təhlükə yaradır və emal prosesi üçün güclü prosessor, böyük əməli yaddaş tələb edir. [7]-də paketin yalnız birinci dörd baytını qeyd etməklə daha az resurs tələb edən monitorinq metodu təklif olunur.
üçün, ilkin olaraq, aqreqasiya prosesindən keçirilir və bir qayda olaraq, bütün verilənlər bir formata çevrilir. Bu proses konsalidasiya adlanır. Aqreqasiya prosesindən keçən verilənləri korrelyasiya edərək, hücumun müxtəlif hissələrini eyni şəkildə toplayaraq dolğun məlumat almaq mümkündür. Saxlama - alınan məlumatlar korporativ siyasətə əsasən, müəyyən vaxt ərzində saxlanılır. Şəbəkə strukturunun, xidmətlərin və istifadəçilərin generasiya etdiyi informasiya zaman keçdikcə böyük informasiya kütləsinə çevriləcəyi hamıya məlumdur. Bunu bildiyimiz üçün oflayn rejimdə informasiyanın saxlanılması üçün müəyyən təsnifat rejimindən keçərək qüvvədə olan siyasətə uyğun olan və anomaliya aşkarlanmayan verilənlər daimi yaddaşda saxlanılmır. Yalnız anomallıq aşkarlanan verilənlərin yaddaşda saxlanılması verilənlərin yenidən analizi zamanı müəyyən informasiya çatışmazlıqlarına gətirib çıxara bilər, amma bu son nəticədə limitsiz olmayan resursların düzgün istifadəsi üçün yararlı olacaqdır. Şəbəkə trafiki verilənlərinin toplanması və saxlanması şəbəkələrin böyüməsi və sürətlənməsi ilə əlaqədar olaraq daha çətin olur, SQL verilənlər bazası və xüsusi binar format kimi həllər, daxil olan verilənlərin artma tempinə uyğun genişlənə bilmirlər. [8]-də nProbe şəbəkə trafikinin toplanması alətinin və FastBit verilənlər bazasının sintezindən yaradılmış açıq kodlu proqram təminatıdır. Bu metod vasitəsilə Gbit sürətə qədər şəbəkə trafiki axınının toplanılması və lazımi anda hər hansı bir informasiyanın axtarılması və tapılması mümkün olur. Vizuallaşdırma – şəbəkə trafiki haqqında ümumi ədədi məlumatların başa düşülməsi üçün əyani görünüş forması olub, operatorlar üçün ilkin müşahidə vasitəsidir. Buna Cacti, Nagios və s. açıq kodlu proqram təminatlarını misal göstərmək olar. Bu alətlər kompüter şəbəkəsi trafikini, hesablama nöqtələrinin vəziyyətini və avadanlıqlar haqqında statistik informasiyanı müəyyən vaxt intervalında SNMP vasitəsilə toplayaraq qrafiklər yaradır (Şəkil 2).
İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
www.jpis.az 85 Şəkil 2. Şəbəkə trafikinin diaqram formasında vizuallaşdırılması Analiz bloku Şəbəkə trafikinin identifikasiyası və kateqoriyalaşdırılması onun idarə olunmasının əsas elemetlərindən biridir. Buna axının prioritetləşdirilməsi, trafikin formalaşdırılması və diaqnostik monitorinqi misal göstərmək olar. İnternet trafikinin ölçmələrini, adətən, yüksək hesablama gücünə malik olan serverdə həyata keçirilir. Server trafik axını və paketləri toplayır və analiz edir. Nəzərə alsaq ki, uzunmüddətli, böyükhəcmli və böyükmiqyaslı statistik verilənlərin monitorinqi zamanı Tera və Peta bayt həcmdə verilənlər generasiya olunur və bu emal prosesinin bir serverdə aparılması məqsədəuyğun deyil. Adətən, böyük həcmdə informasiyanın sıxılması üçün diskretizasiya və ya aqreqasiya metodları istifadə edilir, bu halda trafik axınının müəyyən verilənləri ixtisar olunur. Son zamanlar bu məsələnin həlli üçün bulud hesablama texnologiyaları və klaster fayl sistemlərindən istifadə edilir. Buna misal olaraq, İnternet trafikinin analizi üçün bulud hesablamaları əsasında MapReduce proqram platformasının istifadə olunması təklif olunur [9]. Açıq kodlu proqram təminatı olan
hesablama alətinə nisbətən statistik trafikin hesablaması zamanı nəticə 72% daha sürətli əldə edilir. İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
86 www.jpis.az Şəbəkənin idarə olunması və şəbəkə təhlükəsizliyinin səmərəliliyinin yüksəldilməsinə yönəlmiş tədqiqatlarda trafikin klassifikasiyasından və klasterləşdirilməsindən geniş istifadə olunur. İnternetdən geniş istifadə olunması, protokolların və tətbiqi proqramların inkişafı ilə trafikin analizi sahəsində də tədqiqatların aparılması aktuallaşmışdır. İnformasiya təhlükəsizliyi hadisələrinin və ya anomaliyalarının aşkarlanması üçün klassifikasiya və klasterləşdirmə metodlarından geniş istifadə olunur. Misal olaraq, [10]-da Naive Bayes və neyron şəbəkə metodlarından istifadə edərək operativliyi və ya dəqiqliyi azaltmadan klassifikasiya xarakteristikalarını yüksəltmək məqsədilə iki mərhələli ardıcıl klassifikator təklif edilir. Məlumdur ki, təhlükələrin yaranmasının əsas səbəblərindən biri şəbəkə trafikində anomal və tematik profilə uyğun olmayan trafikin generasiya olunmasıdır. Bunları nəzərə alaraq [11]-də şəbəkə trafikində davranış profilinin müəyyən olunması üçün vasitə işlənib hazırlanmışdır. Davranış profilinin müəyyən olunması üçün k-ortalar klasterizasiya metodu tətbiq olunmuşdur. [12]-da isə şəbəkə trafikinin real vaxt rejimində identifikasiyası və klassifikasiyası prosesinin reallaşdırma metodu təklif olunur. Bunun üçün altı maşın təlimi alqoritmi (
) tətbiq edilir. Bu reallaşdırma göstərir ki, ağac tipli maşın təlimi metodu trafikin klassifikasiyası və identifikasiyası üçün effektlidir və İnternet trafikinin klassifikasiya dəqiqliyi 99.76.16% təşkil edir.
- İnformasiya təhlükəsizliyinin emalı üzrə qəbul edilmiş qərarlar bir çox halda əvvəllər qazanılmış təcrübəyə və qəbul edilmiş qərarlara əsaslanır, onları yeni situasiya üçün adaptasiya edir. Bunları nəzərə alaraq, insanın iştirakını minimuma endirmək və reaksiyanın operativliyinin yüksəldilməsi məqsədi ilə ekspert sistemlərindən istifadə olunmalıdır. Bizim təklif etdiyimiz arxitektur daxilində bu prosesin idarə olunması üçün presedentlər nəzəriyyəsi (ing., Case-Based Reasoning, CBR) seçilmişdir.
cütüdür. Zaman keçdikcə meydana çıxan situasiyalar və onların həlli yolları xüsusi bazada – presedentlər bazasında saxlanılır. Yeni situasiya yarandıqda presedentlər bazasında oxşar situasiya axtarılıb tapılır və onun həll metodu baxılan situasiyaya adaptasiya olunur. CBR metodologiyası diaqnostika, proqnozlaşdırma, müxtəlif predmet sahələrində planlaşdırma və layihələndirmə işlərində və bir çox klassifikasiya məsələlərinin həllində istifadə edilir. CBR informasiya təhlükəsizliyinin müxtəlif aspektlərinə [13]-də baxılmış, risklərin qiymətləndirilməsinə, müdaxilələrin aşkarlanmasına, şəbəkə təhlükəsizliyi vəziyyətinin analizinə də tətbiq edilmişdir.
yolları bu bazada yerləşdirilir. Yəni, hazır həllər yaddaşı kimi mərkəzdə presedentlər bazası yerləşdirilib. Yeni bir problem baş verdikdə o əlamətlərin vektor funksiyası ilə bazada qeydiyyatdan keçirilir, bu da presedentlər bazasından problemlərin axtarılmasını təmin edir. Aydındır ki, funksiyaların oxşarlıq səviyyəsi nə qədər çox olarsa, presedentlərin axtarış effektivliyi də bir o qədər yüksək olar. Qərarları qəbul edən şəxs və ya qrup – presedentlər bazasında uyğun presedent tapılmadığı halda qərar əvvəlcədən müəyyən olunmuş ekspertlər tərəfindən qəbul olunur.
olunmuş qərarı təhlükəni zərərsizləşdirmək üçün proseslərə və eyni zamanda, hesabat formasında aidiyyatı şəxslərə ötürür. Yeni insidentlər və onların həlləri dəqiqləşdirildikdən sonra bu həllər yekun qərar vermək hüququ olan aidiyyatı şəxslər tərəfindən hazır həllər bazasına ötürülür.
İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
www.jpis.az 87 Konseptual modelin makro-arxitekturu
Yuxarıda göstərilən şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual modelinin arxitekturunun təsir dairəsi bir lokal şəbəkə daxilindədir. Buna görə də, bir lokal şəbəkə daxilində baş verən proseslərə nəzarət və ona uyğun qərarlar generasiya edə bilir. Bir korporativ şəbəkə altında müxtəlif şəbəkələrin varlığını nəzərə alsaq, baş vermiş insident ya ümumiyyətlə, vəziyyət haqqında şəbəkələrarası monitorinq verilənlərinin mübadiləsinin, informasiya təhlükəsizliyi nöqteyi nəzərindən vacib olduğunu başa düşərik. Yuxarıda deyilənlərə əsaslanaraq, iyerarxik struktura malik olan şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual modelinin makro-arxitekturunun formalaşması vacibdir. Şəkil 3-də konseptual modelin iyerarxik makro-arxitekturu göstərilmişdir və onun iki səviyyəsi vardır: korporativ və lokal. Təklif olunan konseptual model hər bir səviyyə və onun seqmentləri üzrə ayrı-ayrılıqda tətbiq olunur. Lokal səviyyədə yerləşən blokların hər biri ayrıca korporativ şəbəkəni təmsil edir və müxtəlif böyüklükdə ola bilməklə yanaşı, müxtəlif regionda, müxtəlif saat qurşaqlarında yerləşə bilər. Bundan asılı olmayaraq, hər bir blok ayrı-ayrılıqda avtonom fəaliyyəti və informasiya mübadilə qabiliyyəti ilə təmin olunmalı və bütün infrastruktura inteqrasiya edilməlidir. Yəni, bloklar ayrı-ayrılıqda lokal bir strukturun tərkib hissəsi olsalar da, hər bir blok bütün konseptual arxitektur üzrə özünün analoqu olan bloklara aktiv informasiya mübadiləsi edərək, anomallıq və özü haqqında aktual informasiyanı paylaşa bilməlidir.
Şəkil 3. Şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual makro-arxitekturu Şəkil 3-dən göründüyü kimi, qlobal səviyyədə yerləşən blokun toplama funksiyası yoxdur. Bu blokun əsas vəzifələri aşağı səviyyəli blokların iş fəaliyyətinə nəzarət, xüsusi hallarda lokal səviyyədə yerləşən blokların emal edə bilmədiyi hadisələrə reaksiya vermək və həllər generasiya etməkdir. Nəticə Bu məqalədə korporativ şəbəkənin bütün elementlərini, istifadəçilərini, texnologiyalarını, verilənlərini əhatə edən və informasiya təhlükəsizliyi hadisələrinin müəyyən olunmasını təmin edən şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual modeli təklif edilir. Əsas məqsəd bütün korporativ şəbəkəni və onun altşəbəkələrini real zaman anında əhatə edərək, şəbəkənin hər hansı bir yerində baş verə biləcək hadisəyə anında və dolğun reaksiya verməkdir. Aktual olan şəbəkə təhlükəsizliyi məsələlərinin idarə olunması kommersiya məhsullarının aşkarlama, emal etmə və qərar vermə proseslərini realizasiya etmək qabiliyyətindədir. İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
88 www.jpis.az Ədəbiyyat 1.
Əliquliyev R.M., İmamverdiyev Y.N., Nəbiyev B.R. Şəbəkə təhlükəsizliyinin monitorinqi metodlarının analizi // İnformasiya Texnologiyaları Problemləri, 2014, № 1, s. 60–68. 2.
/ International Symposium on Integrated Network Management, 2013, pp. 955-961. 3.
Yegneswaran V., Barford P., Jha S. Global Intrusion Detection in the DOMINO Overlay System / Proc. of the Network and Distributed System Security Symposium, 2004, pp.1–17. 4.
based on Big Data Analysis / Elektron dövlət quruculuğu problemləri I Respublika elmi- praktiki konfransı. Bakı, 2014. pp. 140–144. 5.
Monitoring Explained: From Packet Capture to Data Analysis with NetFlow and IPFIX // IEEE Communications Surveys & Tutorials, 2014, vol. 16, pp. 2037-2064. 6.
Sets Using Bitmap Databases / Second International Workshop Traffic Monitoring and Analysis, 2010, pp 73–86. 7.
Monitoring / Proc. of the International Symposium on Recent Advances in Intrusion Detection, 2010, pp. 277–296. 8.
the IEEE/IFIP Network Operations and Management Symposium Workshops (NOMS Wksps), 2010, pp. 357 – 361. 9.
İnformasiya Texnologiyaları Problemləri, 2014, № 2, s. 60–68. 10.
Nəbiyev B.R. Şəbəkə trafikinin klasterizasiya metodu haqqında / Beynəlxalq telekommunikasiya İttifaqının 150 illiyinə həsr olunmuş İnformasiya təhlükəsizliyinin multidissiplinar problemləri üzrə II respublika elmi-praktiki konfransı, Bakı, 2015, s. 213–215. 11.
statistical approach / Proc. of the Annual IEEE India Conference, 2013, pp. 1–16. 12.
İmamverdiyev Y.N., Nəbiyev B.R. Presedentlər nəzəriyyəsi əsasında şəbəkə təhlükəsizliyinin monitorinqi üzrə qərarların qəbulu metodu // İnformasiya Texnologiyaları Problemləri, 2012, № 2, s. 53–58. İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
www.jpis.az 89 УДК 004.09 Имамвердиев Ядигар Н. 1 , Набиев Бабек Р. 2 1,2
Институт Информационных Технологий НАНА, Баку, Азербайджан 1 yadigar@lan.ab.az, 2 babek@iit.ab.az Концептуальная модель интеллектуального мониторинга сетевой безопасности В этой статье предлагается принципиально новая и более эффективная концептуальная модель интеллектуального мониторинга сетевой безопасности. В этой статье рассматриваются интеллектуальная модель процесса мониторинга, функциональные блоки, процессы и тенденции в области применения. Кроме того, рассматриваются уязвимости и недостатки системы мониторинга. Предложенная модель для устранения вышеупомянутых проблем сочетает в себе функциональные возможности, мониторинг проблемно- ориентированных информаций, первоначальную обработку собранных данных, индексацию данных, структурирование данных, хранение и управление собранной информацией, предоставление отчетов, которые могут быть проанализированы по запросам лиц, принимающих решения.
1 , Babek R. Nabiyev 2 1,2
Institute of Information Technology of ANAS, Baku, Azerbaijan 1 yadigar@lan.ab.az, 2 babek@iit.ab.az Conceptual model of intelligent network security monitoring This paper proposes fundamentally new and more effective conceptual model of intelligent network security monitoring. General intellectual model of the monitoring process, functional blocks, processes and trends in the application are considered. In addition, the gaps and weak points of monitoring system are considered. The proposed model for the elimination of the above- mentioned problems combines functional capabilities such as the monitoring of problem-oriented information, initial processing of gathered data, data indexation and structuring, storage and management of collected information, selection of information in accordance with decision makers’ requirements generation of readable information that can be analyzed. Keywords: network security, monitoring, artificial intelligence, network traffic, conceptual model. Yüklə 96,36 Kb. Dostları ilə paylaş:
|