Jump to content

Алыскы тармак чабуулдары

Katuka Wikipedia

Алыскы тармактык чабуул - бул байланыш каналдары аркылуу программалык түрдө ишке ашырылган бөлүштүрүлгөн эсептөө системасына (CS) маалыматтын кыйратуучу таасири.


Киришүү

[soba | edit source]

Гетерогендүү тармак чөйрөсүндө байланыштарды уюштуруу үчүн, ар кандай типтеги компьютерлер ортосунда шайкештикти камсыз кылуучу протоколдор TCP/IP колдонулат. Протоколдордун бул топтому шайкештигинен жана глобалдык тармактын Интернет ресурстарына кирүү мүмкүнчүлүгүн камсыз кылгандыктан популярдуулукка ээ болуп, интернет менен иштөө үчүн стандарт болуп калды. Бирок, TCP/IP протоколдорунун стекинин бардык жерде болушу анын алсыз жактарын да ачып берди. Айрыкча ушундан улам, бөлүштүрүлгөн системалар алыскы чабуулдарга кабылышат, анткени алардын компоненттери адатта ачык маалымат каналдарын колдонушат жана чабуулчу өткөрүлүп жаткан маалыматты пассивдүү тыңшап гана тим болбостон, берилген трафик .

Алыскы чабуулду аныктоонун кыйынчылыгы жана ишке ашыруунун салыштырмалуу жеңилдиги (заманбап системалардын ашыкча функционалдуулугунан улам) мыйзамсыз аракеттердин бул түрүн коркунуч жагынан биринчи орунга коёт жана коркунучка өз убагында жооп кайтарууга тоскоол болот, анын натыйжасында чабуулчу чабуулду ийгиликтүү ишке ашыруу мүмкүнчүлүгүн жогорулатат

Кол салуулардын классификациясы

[soba | edit source]

Таасирдин мүнөзү боюнча

[soba | edit source]
  • пассивдүү
  • активдүү

Бөлүштүрүлгөн эсептөө тутумуна (DCS) Пассивдүү таасир берүү бул системанын иштешине түздөн-түз таасирин тийгизбеген, бирок ошол эле учурда анын Коопсуздук саясатын бузуусу мүмкүн болгон кандайдыр бир таасир. RVS иштешине түздөн-түз таасиринин жоктугу пассивдүү алыскы таасирди (RPI) аныктоо кыйын экендигине алып келет. DCSдеги типтүү PUVтин мүмкүн болгон мисалы тармактагы байланыш каналын угуу болуп саналат.

DCSге "активдүү таасир" - бул системанын өзүнүн иштешине түздөн-түз таасир этүүчү таасир (функциянын бузулушу, DCS конфигурациясынын өзгөрүшү ж.б.), анда кабыл алынган коопсуздук саясатын бузган. Алыскы чабуулдардын дээрлик бардык түрлөрү активдүү таасир этет. Бул зыяндуу таасирдин мүнөзү активдүү принципти камтыганына байланыштуу. Активдүү жана пассивдүү таасирдин ортосундагы ачык айырма аны аныктоонун негизги мүмкүнчүлүгү болуп саналат, анткени аны ишке ашыруунун натыйжасында системада кээ бир өзгөрүүлөр болот. Пассивдүү таасир менен эч кандай издер калбайт (чабуулчу системада башка бирөөнүн билдирүүсүн көргөндүктөн, ошол эле учурда эч нерсе өзгөрбөйт).

Таасири максаты боюнча

[soba | edit source]

Классификация жасалган бул өзгөчөлүк, негизинен, коркунучтардын үч негизги түрүнүн түз проекциясы болуп саналат - кызмат көрсөтүүдөн баш тартуу, ачыкка чыгаруу жана бүтүндүктү бузуу.

Дээрлик бардык чабуулдардын негизги максаты - маалыматка уруксатсыз жетүү. Маалыматты алуунун эки негизги варианты бар: бурмалоо жана кармап калуу. Маалыматты кармоо варианты аны өзгөртүү мүмкүнчүлүгү жок эле ага жетүү дегенди билдирет. Демек, маалыматты кармоо анын купуялуулуктун бузулушуна алып келет. Тармактагы каналды угуу маалыматты кармоонун мисалы болуп саналат. Бул учурда, аны алмаштыруунун мүмкүн болгон варианттары жок маалыматка мыйзамсыз жетүү пайда болот. Албетте, маалыматтын купуялуулугун бузуу пассивдүү таасирлерди билдирет.

Маалыматты алмаштыруу жөндөмүн же системанын объектилеринин ортосундагы маалыматтын агымын толук көзөмөлдөө, же башка бирөөнүн атынан ар кандай билдирүүлөрдү берүү мүмкүнчүлүгү деп түшүнүү керек. Демек, маалыматты алмаштыруу анын бүтүндүгүнүн бузулушуна алып келери анык. Мындай маалыматтын кыйратуучу таасири активдүү таасир этүүнүн типтүү мисалы болуп саналат. Маалыматтын бүтүндүгүн бузууга багытталган алыскы чабуулдун мисалы "Жалган RVS объекти" алыстан жасалган чабуул (RA).

Кол салууга дуушар болгон объектиден пикирлердин болушуна негизделген

[soba | edit source]
  • пикири менен
  • пикири жок (бир багыттуу чабуул)

Чабуулчу кол салынган объектке бир нече суроо-талаптарды жөнөтөт, ага жооп күтөт. Демек, чабуулчу менен кол салуучунун ортосунда пикир пайда болуп, биринчиге чабуул жасалган объекттеги ар кандай өзгөрүүлөргө адекваттуу жооп кайтарууга мүмкүндүк берет. Бул кол салуу объектисинен кайтарым байланыш болгон учурда ишке ашырылган алыскы чабуулдун маңызы. Мындай чабуулдар RVS үчүн мүнөздүү.

Ачык цикл чабуулдары кол салынган объекттин өзгөрүшүнө реакция кылуунун зарылдыгы жок экендиги менен мүнөздөлөт. Мындай чабуулдар көбүнчө кол салынган объектке бирден-бир суроо-талаптарды жөнөтүү аркылуу ишке ашырылат. Чабуулчу бул суроо-талаптарга жооп берүүгө муктаж эмес. Мындай UA бир багыттуу UA деп да атоого болот. Бир багыттуу чабуулдардын мисалы типтүү “DoS чабуулу” чабуулу.

Таасирдин башталышынын шарты боюнча

[soba | edit source]

Алыскы таасир, башкалары сыяктуу эле, белгилүү бир шарттарда гана ишке аша башташы мүмкүн. RVSде мындай шарттуу чабуулдардын үч түрү бар:

  • кол салынган объекттин талабы боюнча чабуул
  • чабуул жасалган объектиде күтүлгөн окуянын пайда болушуна кол салуу
  • шартсыз чабуул

Кол салуучунун таасири чабуулдун потенциалдуу максаты белгилүү бир түрдөгү өтүнүчтү жөнөткөн шартта башталат. Мындай чабуулду «чабуул коюлган объекттин талабы боюнча чабуул» деп атоого болот. UA бул түрү RVS үчүн мүнөздүү болуп саналат. Интернеттеги мындай суроо-талаптардын мисалдары DNS жана ARP суроо-талаптары жана Novell NetWare - SAP өтүнүчү.

Чабуул жасалган объектке күтүлгөн окуянын келип чыгышына кол салуу. Чабуулчу алыстан жасалган чабуулдун бутасынын OS абалын тынымсыз көзөмөлдөйт жана ал системада белгилүү бир окуя болгондо таасир эте баштайт. Чабуул жасалган объекттин өзү чабуулдун демилгечиси болуп саналат. Мындай окуянын мисалы, Novell NetWareде LOGOUT буйругун бербестен колдонуучунун сервер менен сеансы үзгүлтүккө учураганда болот.

Шартсыз чабуул операциондук системанын абалына жана кол салынган объектке карабастан дароо ишке ашырылат. Демек, чабуулчу бул учурда чабуулдун демилгечиси болуп саналат.

Системанын нормалдуу иштеши бузулса, башка максаттар көздөлөт жана чабуулчу маалыматтарга мыйзамсыз кирүү мүмкүнчүлүгүнө ээ болушу күтүлбөйт. Анын максаты — чабуулга кабылган объектте OSды өчүрүү жана башка система объекттеринин бул объекттин ресурстарына кирүү мүмкүнчүлүгүн болтурбоо. Мындай түрдөгү чабуулга “DoS чабуулу” чабуулу мисал боло алат.

Чабуул объектисинин жайгашкан жери боюнча

[soba | edit source]
  • сегменттер аралык
  • интрасегменттик

Кээ бир аныктамалар:

Чабуулдун булагы (чабуулдун предмети) бул чабуулду жүзөгө ашыруучу жана тике таасир этүүчү программа (мүмкүн оператор).

Хост (хост) — тармактын элементи болгон компьютер.

Роутер (роутер) — тармактагы пакеттерди багыттоочу түзүлүш.

субнетворкглобалдык тармагынын бөлүгү болгон хосттардын тобу, роутер алар үчүн бир эле ички тармак номерин бөлгөндүгү менен айырмаланат. Ошондой эле поднет бул роутер аркылуу хосттордун логикалык бирикмеси деп айта алабыз. Бир эле ички тармактын ичиндеги хосттор роутер колдонбостон бири-бири менен түз байланыша алышат.

Тармак сегменти физикалык деңгээлдеги хосттордун бирикмеси.

Алыскы чабуулдун көз карашынан алганда, кол салуу субъектинин жана объектинин салыштырмалуу жайгашкан жери, башкача айтканда, алар ар кандай же бирдей сегменттерде болобу, өтө маанилүү. Сегмент ичиндеги чабуул учурунда чабуулдун предмети жана бутасы бир сегментте жайгашат. Сегмент аралык чабуулда чабуулдун предмети жана бутасы ар кандай тармак сегменттеринде жайгашкан. Бул классификация өзгөчөлүгү чабуулдун "алыскылык даражасы" деп аталган нерсени соттоого мүмкүндүк берет.

Төмөндө сегменттер аралык чабуулга караганда сегмент ичиндеги чабуулду жасоо алда канча оңой экени көрсөтүлөт. Биз ошондой эле сегменттер аралык аралыктан жасалган чабуул сегмент ичиндегиге караганда бир топ коркунучтуу экенин белгилейбиз. Мунун себеби, сегменттер аралык чабуул учурунда бутага жана чабуулчу бири-биринен көп миңдеген километр аралыкта жайгашышы мүмкүн, бул чабуулдун мизин кайтаруу чараларына олуттуу тоскоол болот.

Төмөндө сегменттер аралык чабуулга караганда сегмент ичиндеги чабуулду жасоо алда канча оңой экени көрсөтүлөт. Биз ошондой эле сегменттер аралык аралыктан жасалган чабуул сегмент ичиндегиге караганда бир топ коркунучтуу экенин белгилейбиз. Мунун себеби, сегменттер аралык чабуул учурунда бутага жана чабуулчу бири-биринен көп миңдеген километр аралыкта жайгашышы мүмкүн, бул чабуулдун мизин кайтаруу чараларына олуттуу тоскоол болот.

ISO эталон моделинин деңгээлине ылайык/OSI, анда таасир этет

[soba | edit source]

Стандартташтыруу боюнча Эл аралык уюм (ISO) ISO 7498 стандартын кабыл алган, ал ачык системалардын өз ара байланышын (OSI) сүрөттөйт, ага РБКлар да кирет. Ар бир тармак протоколу алмашуу, ошондой эле ар бир тармак программасы тигил же бул жол менен эталондук 7 катмар моделине OSI тармак моделине проекцияланышы мүмкүн. Бул көп деңгээлдүү проекция тармак протоколунда же программада колдонулган функцияларды OSI моделинин шартында сүрөттөөгө мүмкүндүк берет. UA – бул тармактык программа жана аны ISO/OSI эталондук моделине проекциялоо жагынан кароо логикалык жактан туура болот [2].

Кээ бир тармактык чабуулдардын кыскача сүрөттөлүшү

[soba | edit source]

Маалыматтарды фрагментациялоо

[soba | edit source]

Тармак аркылуу IP протоколунун маалымат пакетин өткөрүп жатканда, бул пакет бир нече фрагменттерге бөлүнүшү мүмкүн. Кийинчерээк, көздөгөн жерге жеткенде, пакет бул фрагменттерден реконструкцияланат. Чабуулчу көп сандагы фрагменттерди жөнөтө алат, бул кабыл алуучу тарапта программалык камсыздоонун буферлеринин толуп кетишине жана кээ бир учурларда системанын бузулушуна алып келет.

Пинг суу каптоо чабуулу

[soba | edit source]

Бул чабуул чабуулчудан Интернетдеги тез каналдарга кирүү мүмкүнчүлүгүн талап кылат.

ping программасы ECHO REQUEST түрүндөгү ICMP пакетин жөнөтөт, андагы убакытты жана анын идентификаторун белгилейт. Кабыл алуучу машинанын ядросу мындай суроого ICMP ECHO REPLY пакети менен жооп берет. Аны алгандан кийин, ping пакеттин ылдамдыгын көрсөтөт.

Стандарттык иштөө режиминде пакеттер тармакка иш жүзүндө эч кандай жүк жок, белгилүү бир аралыкта жөнөтүлөт. Бирок "агрессивдүү" режимде ICMP жаңырык суроо/жооп пакеттеринин ташкыны кичинекей линияда тыгынды жаратып, анын пайдалуу маалыматты өткөрүшүнө жол бербейт.

IP менен капсулдалган стандарттуу эмес протоколдор

[soba | edit source]

IP пакети капсулаланган пакеттин (TCP, UDP, ICMP) Protocol көрсөтүүчү талааны камтыйт. Чабуулчулар бул талаанын стандарттуу эмес маанисин маалымат агымын башкаруунун стандарттык куралдары тарабынан катталбай турган маалыматтарды өткөрүү үчүн колдоно алышат.

Смурф чабуулу

[soba | edit source]

Смурф чабуулу жабырлануучу компьютердин атынан тармакка берүү ICMP суроо-талаптарын жөнөтүүнү камтыйт. Натыйжада, мындай уктуруу пакеттерин алган компьютерлер жабырлануучу компьютерге жооп беришет, бул байланыш каналынын өткөрүү жөндөмдүүлүгүнүн олуттуу кыскарышына жана айрым учурларда чабуулга кабылган тармактын толук изоляциясына алып келет. Смурф чабуулу өтө эффективдүү жана кеңири таралган.

Каршы аракеттенүү: бул чабуулду таануу үчүн каналдын жүгүн талдоо жана өткөрүү жөндөмдүүлүгүнүн төмөндөшүнүн себептерин аныктоо керек.

DNS спуфинг чабуулу

[soba | edit source]

Template:Негизги Бул чабуулдун натыйжасы DNS серверинин кэшине IP дареги менен домендик аталыштын ортосунда мажбурлап кат алышууну киргизүү болуп саналат. Ийгиликтүү чабуулдун натыйжасында DNS серверинин бардык колдонуучулары домендик аталыштар жана IP даректер жөнүндө туура эмес маалымат алышат. Бул чабуул бир эле домендик аталыштагы DNS пакеттеринин көп саны менен мүнөздөлөт. Бул кээ бир DNS алмашуу параметрлерин тандоо зарылдыгы менен шартталган.

Каршы аракеттенүү: мындай чабуулду аныктоо үчүн DNS трафиктин мазмунун талдоо же DNSSEC колдонуу керек.

IP жасалма чабуул

[soba | edit source]

Интернет тармагына жасалган көп сандагы чабуулдар түпнуска IP даректи бурмалоо менен байланышкан. Мындай чабуулдарга ошондой эле ички тармактагы башка компьютердин атынан жабырлануучу компьютерге билдирүү жөнөтүүнү камтыган syslog спуфинги кирет. syslog протоколу тутум журналдарын жүргүзүү үчүн колдонулгандыктан, жабырлануучунун компьютерине жалган билдирүүлөрдү жөнөтүү менен, маалыматты индукциялоого же уруксатсыз кирүүнүн изин жаап салууга болот.

Каршы аракеттенүү: IP даректеринин бурмаланышына байланышкан чабуулдарды аныктоо бир эле интерфейстин булак дареги бар пакеттин интерфейстеринин биринде келип түшкөнүн көзөмөлдөө же IP менен пакеттердин тышкы интерфейсинде келип түшүүнү көзөмөлдөө аркылуу мүмкүн болот. ички тармактын даректери.

Таңгакталган пакеттер

[soba | edit source]

Чабуулчу тармакка жалган кайтаруу дареги бар пакеттерди жөнөтөт. Бул чабуул менен чабуулчу башка компьютерлердин ортосунда түзүлгөн байланыштарды өзүнүн компьютерине которушу мүмкүн. Бул учурда чабуулчунун кирүү укуктары сервер менен байланышы чабуулчунун компьютерине которулган колдонуучунун укуктарына барабар болот.

[[Traffic Analyzer=== IP жасалма чабуул

[soba | edit source]

Интернет тармагына жасалган көп сандагы чабуулдар түпнуска IP даректи бурмалоо менен байланышкан. Мындай чабуулдарга ошондой эле ички тармактагы башка компьютердин атынан жабырлануучу компьютерге билдирүү жөнөтүүнү камтыган syslog спуфинги кирет. syslog протоколу тутум журналдарын жүргүзүү үчүн колдонулгандыктан, жабырлануучунун компьютерине жалган билдирүүлөрдү жөнөтүү менен, маалыматты индукциялоого же уруксатсыз кирүүнүн изин жаап салууга болот.

Каршы аракеттенүү: IP даректеринин бурмаланышына байланышкан чабуулдарды аныктоо бир эле интерфейстин булак дареги бар пакеттин интерфейстеринин биринде келип түшкөнүн көзөмөлдөө же IP менен пакеттердин тышкы интерфейсинде келип түшүүнү көзөмөлдөө аркылуу мүмкүн болот. ички тармактын даректери.

Таңгакталган пакеттер

Чабуулчу тармакка жалган кайтаруу дареги бар пакеттерди жөнөтөт. Бул чабуул менен чабуулчу башка компьютерлердин ортосунда түзүлгөн байланыштарды өзүнүн компьютерине которушу мүмкүн. Бул учурда чабуулчунун кирүү укуктары сервер менен байланышы чабуулчунун компьютерине которулган колдонуучунун укуктарына барабар болот. a|Sniffing]] - каналды угуу === Жергиликтүү тармак сегментинде гана мүмкүн.

Дээрлик бардык тармак карталары жалпы канал локалдык тармак аркылуу өткөрүлүүчү пакеттер бөгөт коюу мүмкүнчүлүгүн колдойт. Бул учурда, жумуш станциясы бир эле тармак сегментиндеги башка компьютерлерге даректелген пакеттерди ала алат. Ошентип, тармак сегментиндеги бардык маалымат алмашуу чабуулчу үчүн жеткиликтүү болот. Бул чабуулду ийгиликтүү ишке ашыруу үчүн чабуулчунун компьютери чабуулга кабылган компьютер локалдык тармак сегментинде жайгашуусу керек.

роутереде пакетти кармоо

[soba | edit source]

Маршрутизатордун тармактык программалык камсыздоосу роутер аркылуу жөнөтүлгөн бардык тармактык пакеттерге кирүү мүмкүнчүлүгүнө ээ, пакетти кармап калууга мүмкүндүк берет. Бул чабуулду ишке ашыруу үчүн чабуулчу тармакта жок дегенде бир роутерге артыкчылыктуу кирүү мүмкүнчүлүгүнө ээ болушу керек. Көптөгөн пакеттер адатта роутер аркылуу берилгендиктен, аларды толугу менен кармап калуу дээрлик мүмкүн эмес. Бирок, жеке пакеттер чабуулчу тарабынан кийинчерээк талдоо үчүн кармалып, сакталышы мүмкүн. Колдонуучунун сырсөздөрүн камтыган FTP пакеттерин, ошондой эле электрондук почта эң эффективдүү кармоо.

ICMP протоколун колдонуу менен хостто жалган маршрутту мажбурлоо

[soba | edit source]

Интернетте ICMP (Internet Control Message Protocol) атайын протоколу бар, анын функцияларынын бири хостторго учурдагы роутерди өзгөртүү жөнүндө маалымат берүү. Бул башкаруу билдирүү кайра багыттоо деп аталат. Маршрутизатордун атынан тармак сегментиндеги каалаган хосттон чабуулга кабылган хостко жалган багыттоо билдирүүсүн жөнөтүүгө болот. Натыйжада, хосттун учурдагы маршруттук таблицасы өзгөрөт жана келечекте бул хосттун бардык тармактык трафиги, мисалы, туура эмес багыттоо билдирүүсүн жөнөткөн хост аркылуу өтөт. Ушундай жол менен Интернеттин бир сегментинин ичинде жалган маршрутту жигердүү таңуулоого болот.

WinNuke

[soba | edit source]

TCP туташуусу аркылуу жөнөтүлгөн үзгүлтүксүз маалыматтар менен бирге, стандарт шашылыш (Out Of Band) маалыматтарды берүүнү да камсыз кылат. TCP пакет форматтарынын деңгээлинде бул нөл эмес шашылыш көрсөткүч катары көрсөтүлөт. Windows орнотулган көпчүлүк компьютерлерде тармактык протокол NetBIOS бар, ал өзүнүн муктаждыктары үчүн үч IP порт колдонот: 137, 138, 139. Эгер Windowsга туташсаңыз. 139-порттогу машинаны орнотуп, ал жакка бир нече байт OutOfBand маалыматтарын жөнөтсөңүз, анда NetBIOS ишке ашырылышы бул маалыматтар менен эмне кыларын билбей, жөн гана илип коёт же машинаны кайра жүктөйт. Windows 95 үчүн бул адатта TCP/IP драйвер катасын жана ОС кайра жүктөлмөйүнчө тармак менен иштөө мүмкүн эместигин көрсөткөн көк тексттик экранга окшош. Кызмат пакеттери жок NT 4.0 кайра жүктөлөт, NT 4.0 менен ServicePack 2 топтому көк экранга кыйрады. Тармактан алынган маалыматка караганда, Windows NT 3.51 жана Windows 3.11 for Workgroups да ушундай чабуулга кабылышы мүмкүн.

139 портуна берилиштерди жөнөтүү NT 4.0 кайра жүктөлүшүнө же Service Pack 2 орнотулган "өлүмдүн көк экранына" алып келет, 135 жана башка портторго окшош маалыматтарды жөнөтүү RPCSS.EXE процессинде олуттуу жүктөмгө алып келет. Windows NT WorkStation-да бул Windows NT Server иш жүзүндө токтоп калууга алып келет;

Ишенимдүү хост алмаштыруу

[soba | edit source]

Мындай түрдөгү алыскы чабуулдарды ийгиликтүү ишке ашыруу чабуулчуга ишенимдүү хосттун атынан сервер менен сеанс өткөрүүгө мүмкүндүк берет. (Ишенимдүү хост – серверге мыйзамдуу түрдө туташкан станция). Кол салуунун бул түрүн ишке ашыруу адатта чабуулчунун станциясынан анын көзөмөлүндөгү ишенимдүү станциянын атынан алмашуу пакеттерин жөнөтүүдөн турат.

Кол салууларды аныктоо технологиялары

[soba | edit source]

Тармактык жана маалыматтык технологиялар ушунчалык тез өзгөрүп жаткандыктан, кирүүнү башкаруу системаларын, брандмауэрлерди жана аутентификация системаларын камтыган статикалык коргоо механизмдери көп учурларда эффективдүү коргоону камсыз кыла албайт. Ошондуктан, динамикалык ыкмалар тез аныктоо жана коопсуздук бузууларды алдын алуу үчүн талап кылынат. Кирүүнү башкаруунун салттуу моделдерин колдонуу менен аныктоого мүмкүн болбогон бузууларды аныктай турган технологиялардын бири интрузияны аныктоо технологиясы болуп саналат.

Негизинен, чабуулду аныктоо процесси – бул корпоративдик тармакта орун алган шектүү аракеттерди баалоо процесси. Башкача айтканда, интрузияны аныктоо – бул эсептөө же тармак ресурстарын максаттуу шектүү аракеттерди аныктоо жана ага жооп берүү процесси.

Тармак маалыматын талдоо ыкмалары

[soba | edit source]

Кол салууларды аныктоо системасынын натыйжалуулугу көбүнчө алынган маалыматты талдоо үчүн колдонулган ыкмалардан көз каранды. 1980-жылдардын башында иштелип чыккан биринчи чабуулду аныктоо системалары чабуулдарды аныктоо үчүн статистикалык ыкмаларды колдонгон. Учурда статистикалык анализге эксперттик системалардан жана бүдөмүк логикадан баштап, нейрон тармактарын колдонууга чейин бир катар жаңы ыкмалар кошулду.

Статистикалык ыкма

[soba | edit source]

Статистикалык ыкманын негизги артыкчылыктары математикалык статистиканын буга чейин иштелип чыккан жана далилденген аппаратын колдонуу жана субъекттин жүрүм-турумуна ыңгайлаштыруу болуп саналат.

Биринчиден, анализделген системанын бардык субъекттери үчүн профилдер аныкталат. Колдонулган профилдин шилтемеден ар кандай четтөөлөрү уруксатсыз иш-аракет болуп саналат. Статистикалык ыкмалар универсалдуу болуп саналат, анткени талдоо мүмкүн болгон чабуулдар жана алар колдонгон аялуу жерлер жөнүндө билимди талап кылбайт. Бирок, бул ыкмаларды колдонууда, көйгөйлөр пайда болот:

  • "статистикалык" системалар окуялардын тартибине сезимтал эмес; кээ бир учурларда, ошол эле окуялар, алардын пайда болуу тартибине жараша, анормалдуу же нормалдуу ишмердүүлүктү мүнөздөй алат;
  • аномалдуу активдүүлүктү адекваттуу аныктоо үчүн чабуулду аныктоо системасы тарабынан көзөмөлдөнүүчү мүнөздөмөлөрдүн чектик (босого) маанилерин коюу кыйын;
  • "статистикалык" системалар чабуулчулар тарабынан убакыттын өтүшү менен "үйрөтүлүшү" мүмкүн, андыктан чабуул аракеттери нормалдуу деп эсептелет.

Статистикалык ыкмалар колдонуучу үчүн типтүү жүрүм-турумдун үлгүсү жок болгон учурларда же уруксатсыз аракеттер колдонуучу үчүн мүнөздүү болгон учурларда колдонулбай тургандыгын да эске алуу керек.

Эксперттик системалар

[soba | edit source]

Эксперттик системалар адам экспертинин билимин камтыган эрежелердин жыйындысынан турат. Эксперттик системаларды колдонуу чабуулду аныктоонун кеңири таралган ыкмасы болуп саналат, мында чабуул тууралуу маалымат эрежелер түрүндө түзүлөт. Бул эрежелер, мисалы, иш-аракеттердин ырааттуулугу же кол тамга катары жазылышы мүмкүн. Бул эрежелердин кайсынысы аткарылса, уруксатсыз иш-аракеттердин бар экендиги жөнүндө чечим кабыл алынат. Бул ыкманын маанилүү артыкчылыгы - жалган сигналдардын дээрлик толук жоктугу.

Эксперттик системанын маалымат базасы учурда белгилүү болгон чабуулдардын сценарийлерин камтышы керек. Дайыма жаңыланып туруу үчүн эксперттик системалар маалымат базасын дайыма жаңыртып турууну талап кылат. Эксперттик системалар журналдардагы маалыматтарды көрүүнүн жакшы жолун сунуштаса да, талап кылынган жаңыртуулар же этибарга алынбай калышы же администратор тарабынан кол менен аткарылышы мүмкүн. Жок дегенде, бул алсызданган мүмкүнчүлүктөрү бар эксперттик системага алып келет. Эң начар учурда, тийиштүү тейлөөнүн жоктугу бүт тармактын коопсуздугун төмөндөтүп, анын колдонуучуларын коопсуздуктун чыныгы деңгээли жөнүндө адаштырып жиберет.

Негизги кемчилиги - белгисиз чабуулдардын мизин кайтара албоо. Мындан тышкары, буга чейин белгилүү болгон чабуулга кичине өзгөрүү да чабуулду аныктоо системасынын иштешине олуттуу тоскоолдук болуп калышы мүмкүн.

Нейрондук тармактар ​​

[soba | edit source]

Көпчүлүк заманбап чабуулдарды аныктоо ыкмалары башкарылуучу мейкиндик анализинин кандайдыр бир түрүн, эрежеге негизделген же статистикалык ыкманы колдонушат. Башкарылуучу мейкиндик журналдар же тармак трафиги болушу мүмкүн. Талдоо администратор же чабуулду аныктоо тутумунун өзү тарабынан түзүлгөн алдын ала аныкталган эрежелердин жыйындысына негизделет.

Убакыттын өтүшү менен же бир нече чабуулчулардын ортосунда чабуулдун ар кандай бөлүнүшүн эксперттик системалардын жардамы менен аныктоо кыйынга турат. Кол салуулардын жана хакерлердин ар түрдүүлүгүнөн улам, ат hoc да, эксперттик тутум эрежелеринин маалымат базасына тынымсыз жаңыртуулар эч качан чабуулдардын толук спектрин так аныктоого кепилдик бере албайт.

Нейрондук тармактарды колдонуу эксперттик системалардын бул көйгөйлөрүн чечүүнүн жолдорунун бири болуп саналат. Колдонуучуга каралып жаткан мүнөздөмөлөрдүн маалымат базасына киргизилген эрежелерге ылайыктуулугу жөнүндө так жооп бере турган эксперттик системалардан айырмаланып, нейрондук тармак маалыматты талдайт жана маалыматтар ал болгон мүнөздөмөлөргө шайкеш келеби же жокпу, аны баалоого мүмкүнчүлүк берет. таанууга үйрөтүлгөн. Нейрондук тармак өкүлчүлүгүнүн кат алышуу даражасы 100% жетиши мүмкүн болсо да, тандоонун ишенимдүүлүгү коюлган тапшырманын мисалдарын талдоодо тутумдун сапатына толугу менен көз каранды.

Биринчиден, нейрондук тармак домен мисалдарынын алдын ала тандалган үлгүсүн колдонуу менен туура аныктоого үйрөтүлөт. Нейрондук тармактын жообу талданат жана система канааттандырарлык натыйжаларга жетүү үчүн жөнгө салынат. Баштапкы окуу мезгилинен тышкары, нейрондук тармак убакыттын өтүшү менен тажрыйбага ээ болот, анткени ал доменге тиешелүү маалыматтарды талдайт.

Нейрондук тармактардын кыянаттык менен пайдаланууну аныктоодогу маанилүү артыкчылыгы - бул атайылап жасалган чабуулдардын мүнөздөмөлөрүн "үйрөнүү" жана тармакта мурда байкалган элементтерден айырмаланган элементтерди аныктоо.

Сүрөттөлгөн ыкмалардын ар бири бир катар артыкчылыктарга жана кемчиликтерге ээ, ошондуктан азыр сүрөттөлгөн ыкмалардын бирин гана ишке ашырган системаны табуу дээрлик кыйын. Эреже катары, бул ыкмалар айкалыштырып колдонулат.