75
Alfraganus University
ИНТEЛЛEКТУАЛ
ТEХНОЛОГИЯЛАР
АЛГОРИТМЛАРИНИ
ТАРМОҚ
ҲУЖУМЛАРИНИ
АНИҚЛАШ ВА
ОЛДИНИ ОЛИШ
ТИЗИМЛАРИДА
ҚЎЛЛАШ
ПРИМЕНЕНИЕ
АЛГОРИТМОВ ИНТЕЛ
-
ЛЕКТУАЛЬНЫХ
ТЕХНОЛОГИЙ В
СИСТЕМЕ
ОБНАРУЖЕНИЕ И
ПРЕДОТВРАЩЕНИЕ
СЕТЕВЫХ АТАК
APPLICATION
OF INTELLIGENT
TECHNOLOGY
ALGORITHMS IN
THE SYSTEM OF
DETECTION
AND PREVENTION
OF NETWORK
ATTACKS
Комил Ахматович Ташев
1
Абдуазиз Абдугаффарович Абдурахманов
2
1
т.ф.н., доцент. Мухаммад ал-Хоразмий номидаги Тошкент ахборот технологиялари университети ил
-
мий ишлар проректори, Тошкент, Ўзбекистон. э-почта: k.tashev@tuit.uz. ORCID: 0009-0004-5666-9667
2
Рақамли технологиялар кафедраси мудири, ALFRAGANUS UNIVERSITY, Тошкент, Ўзбекистон. По
-
чта: a.abduraxmanov@gmail.com. ORCID: 0009-0009-4425-3943
76
Alfraganus University
Аннотация
армоқ ҳужумларини аниқлаш ва бартараф этиш (IDS,IDPS) тизим
-
лари тармоқлардаги зарарли ҳужумларга қарши жорий қилинган асосий ечимлардан би
-
ридир. IDS ва IDPS тизимларини жорий қилиш жуда қийин, чунки тажовузкорлар доимо
фойдаланадиган воситалар ва усулларни ўзгартирадилар. Мақолада ҳужумларни барта
-
раф этишда Data mining технологияларин фойдаланишнинг муаммо ва афзалликлари
келтирилган. Data Mining усуллари асосида сиқилиб киришларни аниқлаш тизимини ша
-
кллантириш сигнатураларни қидириш ва аномалияларни аниқлаш тизимларининг баъзи
маълум камчиликлардан қутилишга имконини берувчи, реал режимида таҳлиллаш, сама
-
рали реакция кўрсатиш усул ва воситалари ишлаб чиқилган.
Т
Аннотация
истемы обнаружения и предотврашение вторжений (IDS, IDPS) -
одно из решений, реализованных против вредоносных сетевых атак. Внедрение системы
IDS и IDPS затруднено, поскольку злоумышленники постоянно меняют инструменты и
методы, которые они используют. В статье представлены проблемы и преимущества ис
-
пользования технологий интеллектуального анализа данных для устранения сетевых атак.
Разработаны методы и средства при формировании системы обнаружения вторжений на
основе интеллектуального анализа данных оперативного анализа и эффективного реагиро
-
вания, позволяющие избавиться от некоторых известных недостатков систем сигнатурного
поиска и обнаружения аномалий.
С
Abstract
ntrusion Detection and prevention System (IDS, IDPS) is one of the solutions
implemented against malicious network attacks. Implementing an IDS and IDPS systems is
difficult because attackers are constantly changing the tools and methods they use. This article
presents the challenges and benefits of using data mining technologies to mitigate network attacks.
Methods and tools have been developed for the formation of an intrusion detection system based
on data mining of operational analysis and effective response, allowing to get rid of some known
shortcomings of signature search and anomaly detection systems.
I
Калит сўзлар:
IDS, IDPS, Data mining, машинани ўрганиш алгоритми, J48,
Random Forest, Random Tree, Decision Table, MLP, Naive Bayes и Bayes
Network.
Ключевые слова:
IDS, IDPS, классификатор машинного обучения, алгоритм ма
-
шинного обучения, J48, Random Forest, Random Tree, Decision Table, MLP,
Naive Bayes и Bayes Network.
Key words:
IDS, IDPS, KDD dataset, machine learning algorithm, J48, Random
Forest, Random Tree, Decision Table, MLP, Naive Bayes и Bayes Network.
77
Alfraganus University
КИРИШ
Р
ақамли технологияларнинг тобора оммалашиб бораётгани кибержиноятлар со
-
нини оширмоқда. Жаҳон Иқтисодий Форуми (WEF) ҳисоб-китобларига кўра, ки
-
берҳужумлар йирик корхоналарга ҳар бир ҳодиса учун ўртача 3,6 миллион долларга туша
-
ди. Компанияларнинг бундай кўринишларни аниқлаш қобилиятининг пастлиги ташвиш
уйғотади. Қайд этилганидек, киберҳужумни аниқлаш ва унга жавоб қайтариш учун ўртача
280 кун керак бўлади. Қолаверса, малакали кадрлар етишмаслиги муаммоси ҳам бор эди.
2023-йилга келиб яна 1,8 миллион киберхавфсизлик бўйича мутахассис керак бўлади.
Гартнер консалтинг компанияси 2022-йилда киберхавфсизликка сарфланадиган хара
-
жатлар 172 миллиард долларни ташкил этишини тахмин қилди. 2025-йилга бориб жами
харажатлар 1,75 триллион долларга этади.
“Касперский лабораторияси” маълумотларига кўра, Ўзбекистонда ҳар куни ўртача 67
та янги тўлов дастури ҳужуми аниқланган. Шунингдек, уйдирма ёрдам бўлими билан боғ
-
лиқ фирибгарлик ҳолатлари ҳам кўпайган, бу ерда жабрланувчилардан чет элдаги ҳисоб
рақамларига банк ўтказмаларини амалга ошириш ёки олдиндан тўланган карталар билан
катта миқдорда харид қилиш сўралган. Бундай фирибгарликлардан кўрилган зарар 347
миллион доллардан ортиқни ташкил этди, бу 2020-йилга нисбатан 137 фоизга кўпдир.
Юридик шаҳсларга ҳужумлар таъмагир дастурлар ёрдамида, физик шахсларга ай
-
ғоқчи-дастурлар ёрдамида амалга оширилади. 2022 йилнинг VI-чорагида зарарли дастур
таъминотидан фойдаланиб амалга оширилган барча ҳужумларнинг ичида айғоқчи-дастур
-
ларнинг улуши 58% ни ташкил этган (1- расм).
1-расм. Ҳужумчиларнинг мақсади (ҳужумлар кесимида)
Бунга пандемия имкон яратди: компаниялар шошилинч тарзда, илгари фақат локал
тармоқдан фойдалана оладиган сервисларни периметрга узатдилар. Натижада периметр
ўзгарар эди. Ҳамма ҳам ушбу сервислар хавфсизлигига эътибор бермас эди ва кўпчилик
уларнинг ишончли ҳимоясини таъминлашга улгурмас эди. Аксарият компаниялар ҳали
-
гача тўлиқ ёки қисман масофавий режимда ишлайди, шу сабабли улар учун ташқаридан
фойдаланувчи ресурсларнинг инвентаризациялаш ва заифликларни бошқариш жараёни
-
ни самарали барпо этиш масалалари кескин туради.
Ҳужумларни таснифлашга ёндашувлар. Бузғунчилар томонидан масофавий тармоқ
ҳужумларини амалга оширишда ишлатилувчи кўпгина технологиялар мавжуд. Тармоқ
ҳужумларини алоҳида камдан-кам ишлатилади ва аксарият ҳолларда ҳужумчи мақсади
-
78
Alfraganus University
га эришиш учун биргаликда қўлланилади[3]. 1-жадвалда масофавий ҳужумларнинг кенг
тарқалган таснифлаш келтирилган.
Тармоқ хужумларини аниқлаш усуллари ва воситалари. Ҳисоблаш тармоқларини ҳи
-
моялашда қуйидаги кенг тарқалган усуллар ва воситалардан фойдаланилади:
- корпоратив тармоқ хавфсизлиги сиёсати;
- тармоқлараро экранлар;
- маршрутизаторлар сатҳида ҳимоя;
- тармоқ аудити;
- суқилиб киришларни аниқлаш тизимлари;
- аниқланган хужумларга жавоб бериш тартиби.
Экспертларнинг фикрича, киберхавфсизликнинг аксарият бузилишлари қонуний
фойдаланувчиларнинг фаолияти билан боғлиқ. Бу фойдаланувчи харакатларини янада
юқори сатҳда назоратлаш заруриятини тақозо этади. Суқилиб киришларни аниқлаш ти
-
зими ушбу муаммонинг ечимларидан бири ҳисобланади. Суқилиб киришларни аниқлаш
тизимлари ўз фаолиятида нафақат тармоқ трафиги ва қоидалар наборига, балки тизим
аудитига, турли журналларга, операцион тизим ишлаши кўрсаткичларига ва х.к. хам амал
қилади. Нафақат суқилиб киришнинг содир бўлган фактини аниқловчи, балки, тармоқ
уланишини узиб, фойдаланувчининг ёки, хатто маъмурнинг шубҳали активлигини бло
-
кировкалаб, оқибатларини минималлаштиришга имкон берувчи тизимлар ҳам мавжуд.
79
Alfraganus University
Компьютер тизимлари ва тармоқ ресурсларидан рухсатсиз фойдаланишни бартараф
этишнинг энг самарали усули – кўп сатҳли ҳимояни мададлаш. Бунга биноан, тармоқла
-
раро экранлар, суқилиб киришларни аниқлаш тизимлари, аудит тизимлари, хавфсизлик
сиёсати ва бошқа ҳимоя воситалари биргаликда ишлатилади.
Суқилиб киришларни аниқлаш тизимлари. Суқилиб киришларни аниқлаш тизим
-
лари(IDS, Intrusion Detection Sustem) - ҳисоблаш тизимидан ёки тармоқдан рухсатсиз фой
-
даланиш(суқилиб кириш ёки тармоқ ҳужуми) фактини аниқлашга мўлжалланган дасту
-
рий ёки дастурий-аппарат восита[6]. 2-Жадвалада суқилиб кириш тизимларининг таснифи
келтирилган[5].
Суқилиб киришларни аниқлашнинг сигнатура тизимлари.
Тармоқ ҳужумларини
аниқлаш тизимлари ахборотни тармоқ трафиги пакетларидан, тизим журналларидан ва
тизим ишлаш кўрсаткичларидан йиғади. Тармоқ ҳужумларини аниқлашнинг анъанавий
тизимлари сигнатура ёндашувида қурилади: экспертлар томонидан шакллантирилувчи
ва ечувчи қоидалар базасига жойлаштирилувчи қоидалар ёки сигнатуралар набори ёр
-
дамида ҳужумларнинг бўлиши мумкин бўлган сценарийлари ва ўзига хос хусусиятлари
тавсифланади.
Статистик аномалияларни аниқлаш.
Фараз қилинадики, ҳужум вақтида тизим хат
-
ти-ҳаракати ва тармоқ трафиги нормал фаолиятдан фарқланади ва бу тафовут тизим
томонидан кузатилади. Аномалияларни аниқлаш учун хостларнинг, фойдаланувчилар
-
нинг ва тармоқ трафигининг нормал хатти-ҳаракати профиллари яратилади[5,6]. Ушбу
профиллар тизимнинг нормал ишлаши вақтидаги журналлар, қайд этилган тармоқ дам
-
плари асосида яратилади. Профиль, тизим ёки фойдаланувчи хатти-ҳаракати характери
-
стикаларидан ташкил топган метрикалар тўпламидан иборат. Аномалияларни аниқлаш
тизимлари ҳодисалар хусусида маълумотларни йиғади ва турли метрикалардан фойдала
-
ниб, хатти-ҳаракатнинг нормалидан фарқланиши даражасини аниқлайди.
Суқилиб киришларни аниқлаш тизимларининг камчиликлари.
Суқилиб киришларни
аниқлашнинг мавжуд тизимлари сигнатура ёндашувига ва аномалияларни қидириш ён
-
дашувига асосланган. Янги ҳужум турларини ва маълум ҳужумларнинг сифатий ўзгари
-
шларини аниқлашнинг умуман мумкин эмаслиги сигнатура тизимларининг асосий кам
-
чилиги ҳисобланади[4].
Ҳужумлардан ҳимоялаш воситаларининг таҳлили асосида хулоса келтириш мумкин
-
ки, тармоқ инфраструктурасини ҳимоялашнинг етарлича даражасини таҳминлаш учун,
тармоқлараро экранлар ва антивирус воситалари ишлатилиши билан бир қаторда, вақт
-
нинг реал режимида таҳлиллаш, самарали реакция кўрсатиш ва.х. каби омилларни ҳисоб
-
га олиш зарур.
80
Alfraganus University
Тармоқ ҳужумларидан химоялашни ташкил этишнинг замонавий усуллари.
Юқорида қайд этилган, сигнатурани қидириш ёндашувидаги ва статистик аномалиялар
-
нинг аниқлашдаги, муаммолар мутаххассисларни тармоқ ҳужумларидан ҳимояланишни
ташкил этиш учун альтернатив усулларни қидиришга мажбур этади.
Data Mining (маълумотларни интеллектуал таҳлиллаш) усуллари.
Ушбу усуллар
асосида тизимдаги барча қонуний активликни математик модель кўринишида ифодала
-
ниши мумкинлиги фарази ётади. Тармоқ ҳужумларини аниқлашда ишлатилувчи Data
Mining усуллари қуйидаги мақсадларни бирини кўзлайди:
- бузилишларни аниқлаш;
- аномалияларни аниқлаш.
Биринчиси ҳужумларни моделлайди ва таснифлаш воситаларини ишлатади, иккин
-
чиси нормал хатти-ҳаракатларни моделлайди ва истисноларни қидиради.
Тармоқ ҳужумларини аниқлаш учун Data Mining усулларидан фойдаланишда қуйи
-
даги муаммоларни ажратиш мумкин:
- аниқлаш тизимлари таҳлиллайдиган маълумотлар катта ўлчамли ва ҳажмга эга;
- маълумотларнинг вақтнинг реал режимида ишланиши талаби;
- маълумотларни интеллектуал таҳлиллаш усулларининг ноадекват реакциясини тўл
-
дирувчи, ишланувчи маълумотлардаги шовқинлар ва чиқиндилар сонининг кўплиги.
Яширин марков модели ёрдамида ҳужумларни аниқлаш.
Яширин марков модели стати
-
стик модель бўлиб, унда тизим номаълум параметрли марков жараёни сифатида модел
-
ланади. Усулни вазифаси кузатилувчи параметрларга асосланиб, яширин параметрларни
баҳолашдан иборат. Тизимнинг нормал амалларидан йиғилган ҳодисаларнинг тадрижий
-
лиги, яширин марков модели параметрларини баҳолашда ўқитиш маълумотлари сифати
-
да ишлатилади. Яширин марков моделининг ўқитилишидан сўнг эҳтимолли баҳолашлар,
тест маълумотларидаги тармоқ аномалияларини идентификациялаш учун, бошланғич
қиймат сифатида ишлатилади. Тармоқ аномалиялари аниқланганида трафик назорати,
яширин марков моделини ўқитишда ишлатилувчи, маълумотларни шакллантиради[102].
Яширин марков моделининг аномалияларни аниқлашда ишлатилишининг қуйидаги му
-
аммолари мавжуд:
Байес тармоғи ёрдамида ҳужумларни аниқлаш.
Байес тармоғи атрибутлар орасидаги
алоқадорлик эхтимолликларини кодловчи модел. Асосий усул артибутлар орасидаги му
-
стақилликни кўзда тутади. Тармоқ аномалликларини аниқлаш учун Байес тармоғини қўл
-
лашнинг бир неча варианти таклиф этилган[5]. Аксариат вариантлар, Байеснинг мураккаб
тармоқларидан фойдаланиб, атрибутлар орасидаги шартли боғлиқликни шаклланти
-
ришга йўналтирилган[7]. Байес усуллари кўпинча таснифлаш ва нотўғри ишлашларни
бўғиш муолажаларида ишлатилади.
Кластерлаш усуллари ёрдамида ҳужмларни аниқлаш.
Кластерлаш усули маълумотлар
-
ни, объектларнинг бир-бирига ўхшашлиги асосида гуруҳлайди. Кластерлашнинг аксарият
усулларида кластерлаш, хар бир кластер учун марказий нуқтани танлашдан бошланади,
элементлар тўплами эса кластерларга тақсимланади. Сўнгра марказларга тузатиш кири
-
тилади, элементлар эса қайта тақсимланади. Кластерлаш, синфларнинг аниқ тўпламини
ёки аномалликлар турини талаб қилмай, аномалияларни ўрганиш ва аниқлаш мумкин,
яъни аномалияларни аниқлашда ўқитувчи тўплам талаб этилмайди. Кластерлаш тармоқ
аномалияларини аниқлашда кенг қўлланилади[5,9].
Таянч векторлар усули асосида ҳужумларни аниқлаш.
Таянч векторлари усули тас
-
нифлашнинг энг оммабоп усулларидан бири ҳисобланади. Усулга биноан, нормал ва ано
-
мал элементларни ажратувчи, характеристикалар фазоси w * x-b=0 да оптимал гипертекс
-
лик қурилади[3]. Натижада, масалани квадратик дастурлашга келтириш мумкин:
81
Alfraganus University
бу ерда
ξ
i
– x
i
объектларидаги хатолик катталиги.
Параметр хатолик қиймати орқали аниқланувчи модел тавфсифининг
аниқлиги ва чегара қиймати орқали аниқланувчи, моделнинг умумийлаштириш
имконияти орасидаги муроса ҳисобланади.
Таянч векторлари ёрдамида ҳужумларни аниқлашда маълум камчиликлар мавжуд:
- ечиш функцияси
f(x)
нинг олдиндан ўрнатилувчи параметрга боғлиқлиги;
- шовқин ва чиқиндилар мавжудлигига сезувчанликнинг юқорилиги;
- ҳужумлар муҳитининг рутбалаш имкониятининг мавжуд эмаслиги.
Тармоқ ҳужумларини аниқлаш тизимининг функционал компонентлари.
Суқилиб киришларни аниқлаш тизимининг анъанавий модели тўртта блокдан: маълу
-
мотларни йиғиш, ечиш қоидалари блоки, таҳлиллагич ва реакция блокиларидан ташкил
топлган. Тадқиқотнинг мақсади, суқилиб киришларни аниқлаш тизимлари компонентла
-
ри ва уларнинг қисмларини тармоқнинг турли узеллари бўйлаб тарқатиш имкониятлари
орқали, ҳисоблаш тармоқларини ҳимоялашни ташкил этиш ҳисобланади.
Аксарият мавжуд суқилиб киришларни аниқлаш тизимлари монолит структурага эга,
яъни тизимнинг ҳисоблаш юкламасини самарали тақсимлаш имконияти йўқ. 2-расмда
ҳисоблаш тармоқлари узеллари бўйлаб тарқалиши мумкин бўлган, суқилиб киришлар
-
ни аниқлашнинг анъанавий моделининг компоненталари белгиланган.
2-расм. Суқилиб киришларни аниқлаш тизими моделининг
компоненталарини тақсимлаш.
Ҳисоблаш тармоғининг алоҳида узеллари ва тармоқ ускуналарининг дастурий аппа
-
рат-тузилишига боғлиқ ҳолда, сенсорларнинг аниқлаш модулларининг ва маълумотлар
базаси компонентларининг турли таркибини жойлаштириш мумкин. Суқилиб кири
-
шларни аниқлаш тизимларининг узелларда самарали ишлаши учун қуйидаги шартлар
қаноатлантирилиши лозим:
- аниқлаш модулининг таркиби бўлиши мумкин бўлганҳужумлар тури тўпламига
мос бўлиши лозим. Бу хостда ишланувчи ахборот ва ўрнатилган дастурий таъминот асо
-
сида аниқланиши мумкин;
- сенсорлар таркиби таҳлилланувчи ахборот оқимларига мос бўлиши ва фақат, ҳу
-
жумнинг амалга оширилишига имкон берувчи, тармоқ протоколлари ишланиши лозим;
- маълумотлар базасининг ички структураси иштирок этувчи сенсорларга ва аниқлаш
-
82
Alfraganus University
модулларига мос бўлиши лозим.
3-расмда суқилиб киришларни аниқлаш тизими компоненталарини ҳисоблаш тар
-
моғига жойлаштириш вариантлари келтирилган[1].
Суқилиб киришларни аниқлаш тизимимнинг узелга ҳисоблаш юкламаси, бир неча
узеллар учун ягона маълумотлар базасини яратиш ва фақат сенсорлар блокининг айрим
узелларига жойлаштириш эвазига, ўзгариши мумкин. Бундай ёндашишда, таркибида
маълумотларнинг умумий базаси бўлган, узелга тармоқ трафиги ҳажми ошади ва ўзининг
таҳлиллаш блокига эга бўлмаган узелларга хизмат кўрсатишдан воз кечишга ундаш(DoS)
ҳужумининг амалга оширилиши риски ошади.
3-расм. Суқилиб киришларни аниқлаш тизими компоненталарини
ҳисоблаш тармоғига жойлаштириш.
Юқорида келтирилган Data Mining усуллари асосида, тармоқ ҳужумларини аниқлаш
жараёнининг қуйидаги қисмларини белгилаш мумкин:
- элементни таснифлаш – таҳлилланувчи векторни нормал ёки аномал синфга қў
-
шиш;
- ўрганувчи маълумотлардаги шовқинлар ва чиқиндиларни қидириш ва улардан то
-
заланиш;
- трафикни таҳлиллаш жараёнини оптималлаштириш мақсадида ўргатувчи маълу
-
мотларни қисмларга ажратиш;
- тармоқ пакетларининг муайян тўпламини ҳужумлар синфига қўшиш учун, сенсор
-
лар томонидан олинувчи параметрларнинг керакли ва етарли тўпламини аниқлаш;
- кластерлаш муолажаси воситалари бўйича модулли архитектурани автоматик
тарзда шакллантириш;
- нотўғри ишлашлар сонини камайтириш учун айрим модул сигналларини текши
-
ришда қўшимча сатҳни киритиш;
- аниқланган аномалияни маълум ҳужум ёки ҳужумлар синфига қўшиш.
Тармоқ ҳужумларини аниқлаш билан боғлиқ оқорида келтирилган қисмлаштири
-
шларга мувофиқ, Data Mining усул ва алгоритмларининг бир неча гуруҳини ажратиш
мумкин (3-жадвал).
83
Alfraganus University
Аксарият суқилиб киришларни аниқлаш тизимлари асосида ҳужумни ёки аномал
хатти-ҳаракатни қайдлаш хусусидаги хулосани шакллантирувчи таснифлаш жараёни ёта
-
ди. Ҳозирда тармоқ ҳужумларини аниқлаш мавзусида кўпгина тадқиқотлар олиб борил
-
моқда.
Тармоқ ҳужумларини аниқлаш тизими архитектураси. Юқорида қайд этилганидек,
тармоқ ҳужумларини аниқлаш тизими қатор функционал блоклардан ва ечувчи қоидалар
базасидан таркиб топган. Маълумотларни йиғиш блоки-сенсорлар ва реакция блокининг
ички қурилиш хусусиятлари тадқиқот доирасидан четда қолади, чунки улар ишлатилув
-
чи маълумотларни таҳлиллаш воситаларига умуман боғлиқ эмас. Ушбу блокларга ягона
талаб – уларнинг хисоблаш тармоғи таркибида қўлланиши имконияти, яъни маълумот
-
ларни йиғиш блокининг модулли структураси ва тизимнинг асосий компонентларининг
реакция блоки билан биргаликда ишлаши.
Ҳисоблаш тармоғида тармоқ хужумларини аниқлаш тизими компонентларининг
биргаликда ишлашига жавоб берувчи элементлар ҳам муҳим ҳисобланади. Тизимнинг
асосий элементи – ҳисоблаш тармоғи доирасидаги бўлинмас қисм ҳисобланувчи, ҳужум
-
ларни ёки аномал характеристикаларни аниқлашга жавобгар аниқлаш модули.
Таснифлаш блоки аниқлаш модулининг мажбурий элементи ҳисобланади. Унинг
ёрдамида таҳлилланувчи кўп хонали векторлар нормал ёки аномал каби белгиланади.
Мазкур диссертация ишида таснифлаш таянч векторлар усули (SVM) асосида амалга оши
-
рилган. Ушбу усулнинг қўлланиши ишланувчи маълумотлар хусусиятига боғлиқ. Хусусан,
84
Alfraganus University
ушбу усулни ўқитишдан олдин, мавжуд қатор созланишларни бажариш лозим. Шу са
-
бабли таснифлашни сифатли бажариш учун, нафақат ўқитишни амалга ошириш, балки
таянч векторлар усулини тестлаш ҳам лозим. Таянч векторлар усулини қўллашнинг содда
-
лаштирилган схемаси 4-расмда келтирилган[1].
Аниқлаш модулини тизимли шакллантириш имконияти учун автоматик созлаш бло
-
кининг мавжудлиги кўзда тутилган. Ушбу блок қурилган SVM – моделни ва таянч вектор
усули ишлашини тестлаш натижаларини таҳлиллайди ва таянч векторлар усулининг ички
созланмаларини ўзгартириш хусусида қарор қабул қилади.
Таянч векторларни ўқитиш имконияти учун ўрганувчи маълумотларга қатор тала
-
блар мавжуд. Тармоқ трафигидан олинувчи маълумотлар, таркибида кўпгина шовқинлар
ва чиқиндилар бўлган, катта ўлчамли ва ҳажмли массивлардан иборат. Шу сабабли, маъ
-
лумотларга дастлабки ишлов бериш блоки зарур.
Ушбу масала ўлчамликни қисқартириш усулларидан фойдаланиб ҳал этилади.
4-расм. Таянч векторлар усулини қўллаш схемаси.
5-расм. Ўлчамларни қисқартириш усулларини қўллаш схемаси.
85
Alfraganus University
Шу сабабли, ўқитувчи пакетларни аниқлаш модуллари орасида қайта тақсимлаш за
-
рурияти пайдо бўлди:
- мураккаб ҳужум пакетлари бир неча кластерлар гуруҳига ажратилади ва бир-бири
-
га боғлиқ бўлмаган ҳолда ишланади;
- ҳужумлар тури бўйича бир хил фрагментлар аниқлашнинг умумий модулига жой
-
лаштирилади.
Ўрганувчи тўпламни гуруҳларга ажратиш кластерлаш усуллари масаласига таалуқли.
6-расмда кластерлаш усулларини қўллаш схемаси келтирилган[1]. Кластерлашни барча
ўқитувчи тўпламида ёки ҳужумлар тўпламида ўтказиш мумкин. Биринчи ҳолда фақат
ҳужумлардан ёки фақат нормал трафик векторлардан таркиб топган қисмтўпламларни
ажратиш мумкин. Бу таснифлагични тайёрлашни талаб этмайдиган, алоҳида турган кла
-
стерларни ўқитувчи тўпламдан чиқариб ташлашга имкон беради. Иккинчи ҳолда “ҳужум”
белгили векторлар учун центроидларни тавсифловчи кластерлар тўплами шакллантири
-
лади. Бу ушбу марказларга яқин жойлашган векторларни тавсифловчи, нисбатан содда
лекин SVM-моделларни, минимал ҳисоблаш мураккаблиги билан қуришга имкон беради.
6-расм. Кластерлаш усулларини қўллаш схемаси
Ечувчи қоидалар базасини тайёрлашда, кластерлаш блоки тизим блоклари занжири
-
да биринчи функционал компонент ҳисобланади. Шу сабабли, аниқлаш тизимини ўқи
-
тишга керакли вақт, биринчи навбатда ўтказилган кластерлаш муолажасининг сифатига
боғлиқ бўлади. Кластерлаш усулларининг таҳлили натижасида, маълумотларнинг катта
ҳажмини кластерлаш учун k-ўртача усули кластерлашнинг агломератив иерархик усули
танланган. Кластерлаш усулларини қўллаш, нафақат тақсимланган мураккаб ҳужумлар
-
ни катта эхтимоллик билан аниқлашга, балки тизим унумдорлигини жиддий оширишга
имкон беради. Таркибида юзлаб таянч векторлар мавжуд битта мураккаб аниқлаш моду
-
ли ўрнига бир неча содда аниқлаш модулларини шакллантириш эвазига ўқитиш вақти
қисқаради ва трафикни таҳлиллаш тезлиги ошади.
Хулоса. Ушбу мақолада берилган усул ва воситалар асосида қуйидаги машинали
ўқитиш таснифлагичлари баҳоланди ва ишлаши синовдан ўтказилди: J48, Random Forest,
Random Tree, Decision Table, MLP, Naive Bayes va Bayes Network. Синов учун киритилган
маълумотлар KDD тажовузни аниқлаш маълумотлар тўпламига асосланади. KDD маълу
-
86
Alfraganus University
мотлар тўпламидаги ҳар хил турдаги ҳужумларнинг улуши DoSS ҳужумларининг тахми
-
нан 79%, оддий пакетларнинг 19% ва бошқа турдаги ҳужумларнинг (R21, U2R ва PROBE)
2% ни ташкил қилади. Юқорида келтирилганлардан хулоса қилиш мумкинки, қўйилган
масалаларни ҳал этишда Data Mining усуллари тўплами кенг имкониятларга эга. Хусусан,
Data Mining усуллари асосида сиқилиб киришларни аниқлаш тизимини шакллантириш
сигнатураларни қидириш ва аномалияларни аниқлаш тизимларининг баъзи маълум кам
-
чиликлардан қутилишга имкон беради. Бундан ташқари, тажовузни аниқлаш учун тармоқ
ресурсларининг мавжудлиги ва махфийлигини таъминлаш учун фақат ҳақиқий ижобий
ва ўртача аниқлик етарли эмас. Шунингдек, нотўғри-салбий ва нотўғри-ижобий кўрсат
-
кичларни ҳисобга олиш керак.
Фойдаланилган адабиётлар
Abdurakhmonov A., Gulomov Sh., and Azizova Z. Development a Model of a Network
Attack Detection in Information and Communication Systems. JAIT 2022 Vol.13(4): 312-319.
Development a Model of a Network Attack Detection in Information and Communication
Systems - Volume 13, No. 4, August 2022 - JAIT
2. G. S. K. Dey, M. M. Rahman, and M. R. Uddin, “Detection of flowbased anomaly in
openflow controller: Machine learning approach in software defined networking,” in Proc.
4th International Conference on Electrical Engineering and Information Communication
Technology, 2018, pp. 416-4212.
3. S. K. Dey and M. M. Rahman, “Effects of machine learning approach in flow-based
anomaly detection on software-defined networking,” Symmetry, p. 19, 2020.
4. N. Sultana, N. Chilamkurti, W. Peng, and R. Alhadad, “Survey on SDN based network
intrusion detection system using machine learning approaches,” Peer Netw. Appl., vol. 12,
pp. 493-501, 2019.
5. H. A. Nguyen and D. Choi, “Application of data mining to network intrusion detection:
classifier selection model,” in Asia-Pacific Network perations and Management Symposium.
Springer, 2008, pp. 399–408.
6. Васильев В.И. Интеллектуальные системы защиты информации. Учебное по
-
собие. Гриф УМО МО РФ. Издательство: Машиностроение – 1 Дата выхода: июнь 2013
ISBN: 978-5-94275-667-3 Объём: 171 страниц.
7. Барабанов А.В., Дорофеев А.В., Марков А.С., Цирлов В.Л. Семь безопасных ин
-
формационных технологий / Под. ред. А.С.Маркова. М.: ДМК Пресс, 2017. 224 с.
8. Девянин П.Н. Модели безопасности компьютерных систем. Управление досту
-
пом и информационными потоками. Учебное пособие для вузов. 2-е изд., испр. и доп.
2017 г. 338 стр.
9. S. Paliwal and R. Gupta, “Denial-of-service, probing & remote to user (r2l) attack
detection using genetic algorithm,” International Journal of Computer Applications, vol. 60,
no. 19, pp. 57–62, 2012.
10. M. Tavallaee, E. Bagheri, W. Lu, and A. A. Ghorbani, “A detailed analysis of the KDD
cup 99 data set,” in Computational Intelligence for Securityand Defense Applications, 2009.
CISDA 2009. IEEE Symposium on. IEEE, 2009, pp. 1–6.
11. N. Ryabchuk, et al., “Artificial intelligence technologies using in social engineering
attacks,” in Proc. CEUR Workshop Proceedings. Vol-2654: Proceedings of the International
Workshop on Cyber Hygiene, Kyiv, Ukraine, November 30, 2019, pp. 546-555.