Жол қозғалысы мен қоғамдық көлікті басқару жүйелері сияқты ақылды қала инфрақұрылымы
Қазақстан Республикасы Ғылым және жоғары білім министрлігі
әл-Фараби атындағы Қазақ ұлттық университеті
Жұматай С.Б.
МАШИНАЛЫҚ ОҚЫТУ ӘДІСІ НЕГІЗІНДЕ ИНТРУЗИЯНЫ АНЫҚТАУ ЖҮЙЕСІН ҚҰРУ
ДИПЛОМДЫҚ ЖҰМЫС
Мамандығы 6B06301 - Ақпараттық қауіпсіздік жүйелері
Қазақстан Республикасы Ғылым және жоғары білім министрлігі
әл-Фараби атындағы Қазақ ұлттық университеті
Ақпараттық технологиялар факультеті
Ақпараттық жүйелер кафедрасы
ДИПЛОМДЫҚ ЖҰМЫС
тақырыбы: Машиналық оқыту әдісі негізінде интрузияны анықтау жүйесін құру
6B06301 - Ақпараттық қауіпсіздік жүйелері
Орындаған Жұматай С.Б.
(қолы)
Ғылыми жетекші Болатбек М.А.
аға оқытушы (қолы)
Қорғауға жіберілді:
Хаттама № ___ , __________ 2023ж.
Кафедра меңгерушісі ____________ ф.-м.ғ.к., Мусиралиева Ш.Ж.
(қолы және мөрі)
Норма бақылаушы Максутова Ш.У.
(қолы)
Реферат
Мазмұны
Кіріспе
1. Басып кіруді анықтау
Басып кіруді анықтау жүйесі - интрузияны анықтау жүйесі(IDS) - бұл компьютерлік желіде не болмаса жеке хосттарда рұқсат етілмеген зиянды әрекеттерді анықтауға арналған бағдарламалық қосымша не болмаса құрылғы болып табылады. Бұл киберқауіпсіздік шешімінің бір түрі, ол желілік трафикті, жүйелік журналдарды және басқа деректерді рұқсатсыз кіру, зиянды әрекеттер және басқа да қауіпсіздік бұзушылықтарының белгілерін бақылайды және талдайды. Желілік идентификаторлар (NIDS) және хостқа негізделген идентификаторлар (HIDS). NIDS жүйелері шабуылды көрсетуі мүмкін күдікті үлгілерді немесе ауытқуларды анықтау үшін нақты уақыт режимінде, әдетте желінің периметрі бойынша желілік трафикті бақылайды. HIDS жүйелері серверлер немесе соңғы нүктелер сияқты жеке түйіндерге орналастырылады және рұқсатсыз кіру немесе файлдарды өзгерту және олар туралы ескертулер сияқты күдікті әрекеттерді анықтау үшін сол түйіндердегі әрекеттерді бақылайды. IDS жүйелері екі режимнің бірінде жұмыс істеу үшін конфигурациялануы мүмкін: қолтаңба негізінде немесе ауытқулар негізінде. Қолтаңбаға негізделген IDS жүйелері белгілі үлгілерге немесе белгілі шабуылдардың қолтаңбаларына негізделген қауіптерді анықтайды, ал аномалияға негізделген IDS жүйелері қалыпты немесе күтілетін деп саналмайтын үлгілерге трафикті талдау арқылы қауіптерді анықтайды. IDS жүйелері ықтимал қауіптер анықталған кезде ескертулер жасай алады. Қауіпсіздік қызметкерлеріне, желі әкімшілеріне немесе қауіп-қатерді жою үшін тергеу жүргізіп, тиісті шаралар қолдана алатын басқа уәкілетті қызметкерлерге ескертулер жіберілуі мүмкін. IDS жүйелері ұйымның жалпы қауіпсіздік стратегиясының маңызды құрамдас бөлігі болып табылады, өйткені олар қауіпсіздіктің бұзылуын анықтауға және алдын алуға және оқиғаларды анықтау мен оларға жауап беру уақытын қысқартуға көмектеседі. Алайда, IDS жүйелері жүйелі түрде жаңартулар мен техникалық қызмет көрсетуді, сондай-ақ жүйе құрған деректерді бақылау және талдау үшін білікті қызметкерлерді қажет етеді. IDS нақты уақыт режимінде болжамды ықтималды басып кірулердңі немесе қауіпсіздік оқиғаларын анықтауға және оларды ескертуге арналған. Бұл ұйымның не болмаса кәсіп орынның инфрақұрылымын киберқауіптерден қорғауға көмектеседі. IDS желілік трафикті және жүйелік журналдарды зиянды әрекеттердің болуын көрсететін үлгілерді, қолтаңбаларды және ауытқуларды тексеру арқылы жұмыс істейді. Ол осалдықтарды пайдалану әрекеттері, рұқсатсыз кіру әрекеттері және әдеттен тыс әрекет үлгілері сияқты күдікті мінез-құлықтарды анықтау үшін желілік пакеттер, журналдар және хост оқиғалары сияқты әртүрлі көздерден алынған деректерді талдай алады. Идентификаторларды желінің әртүрлі нүктелерінде немесе жеке жүйелерде, мысалы, желінің периметрі бойынша, ішкі желіде немесе маңызды серверлерде немесе соңғы нүктелерде орналастыруға болады. Идентификаторлар белгілі қауіптерді анықтау үшін алдын ала анықталған ережелер немесе қолтаңбалар қолданылатын ережелерге негізделуі мүмкін немесе ауытқуларды анықтау және ықтимал нөлдік күндік шабуылдарды немесе бұрын белгісіз қауіптерді анықтау үшін машиналық оқыту әдістері қолданылуы мүмкін. Ықтимал басып кіру немесе қауіпсіздік оқиғасы анықталған кезде, IDS ескертулер жасай алады, қауіпсіздік әкімшілеріне хабарлама жібере алады және желілік трафикті бұғаттау немесе зардап шеккен жүйелерді оқшаулау сияқты қауіп-қатерге жауап беру үшін автоматты түрде әрекет ете алады. IDS ұйымның жалпы киберқауіпсіздік стратегиясының маңызды құрамдас бөлігі болып табылады, ықтимал қауіпсіздік оқиғаларын анықтауға және оларға жауап беруге, қауіптердің көрінуін арттыруға және АТ активтерін кибершабуылдардан қорғауға көмектесетін ерте анықтау және ескерту мүмкіндіктерін қамтамасыз етеді. БАЖ көбінесе киберқауіпсіздікке көп деңгейлі тәсілді қамтамасыз ету үшін брандмауэр, антивирустық бағдарламалық жасақтама және қауіпсіздік және оқиғаларды басқару жүйелері (SIEM) сияқты басқа қауіпсіздік технологияларымен бірге қолданылады.
SIEM қауіпсіздік туралы ақпарат және оқиғаларды басқару дегенді білдіреді. Бұл екі негізгі функцияны біріктіретін қауіпсіздік жүйесінің бір түрі: қауіпсіздік туралы ақпаратты басқару (SIM) және қауіпсіздік оқиғаларын басқару (SEM). SIM желілік құрылғылар, серверлер және қолданбалар сияқты әртүрлі көздерден қауіпсіздікке қатысты деректерді жинауды, сақтауды және талдауды білдіреді. Екінші жағынан, SEM ықтимал қауіптерді анықтау және ескертулерді іске қосу үшін нақты уақыттағы бақылауға және қауіпсіздік оқиғаларын корреляциялауға бағытталған. SIEM жүйесі брандмауэр, кіруді анықтау алдын алу жүйелері және антивирустық бағдарламалық қамтамасыз ету сияқты бірнеше көздерден алынған деректерді біріктіреді және қауіпсіздік қатерлерін немесе күдікті әрекеттерді анықтау үшін деректерді сәйкестендіреді. Жүйе үлгілерді, ауытқуларды және ықтимал шабуылдарды анықтау үшін машиналық оқыту алгоритмдерін және басқа әдістерді пайдаланады. Егер ықтимал қауіп анықталса, жүйе тергеу жүргізе алатын және тиісті шараларды қолдана алатын қауіпсіздік қызметкерлеріне ескерту жасайды.
SIEM жүйесінің кейбір негізгі мүмкіндіктеріне мыналар жатады:
a) Журналды басқару: SIEM жүйелері желілік құрылғылар, серверлер және Қолданбалар сияқты әртүрлі көздерден журналдарды орталықтандырылған жерде жинап, сақтай алады. Бұл қауіпсіздік оқиғалары немесе оқиғалар үшін журналдарды іздеуді және талдауды жеңілдетеді.
b) Нақты уақыттағы бақылау: SIEM жүйелері ықтимал қауіптерді немесе шабуылдарды анықтау үшін желі трафигі мен қауіпсіздік оқиғаларын нақты уақыт режимінде бақылай алады.
c) Корреляция және талдау: SIEM жүйелері ықтимал қауіптер мен үлгілерді анықтау үшін қауіпсіздік оқиғалары мен әртүрлі көздерден алынған деректерді салыстыру үшін машиналық оқыту алгоритмдерін және басқа әдістерді пайдаланады.
d) Ескерту және есеп беру: SIEM жүйелері ықтимал қауіптер анықталған кезде ескертулер немесе хабарламалар жасай алады. Олар сондай-ақ қауіпсіздік саласындағы оқиғалар мен оқиғалардың көрінуін қамтамасыз ету үшін есептер жасай алады.
SIEM жүйелері ұйымдарға қауіпсіздік оқиғалары мен оқиғаларының орталықтандырылған көрінісін қамтамасыз ету, ықтимал қауіптерге жауап беру уақытын қысқарту және қауіптерді алдын ала іздеуді қамтамасыз ету арқылы қауіпсіздігін арттыруға көмектесе алады. Дегенмен, SIEM жүйелері Инфрақұрылым, орналастыру және техникалық қызмет көрсету тұрғысынан айтарлықтай инвестицияларды қажет етеді және тиімді жұмыс істеу үшін білікті қызметкерлерді қажет етеді.
1.2. IDS бағдарламалары немесе интрузияны анықтау жүйесінің бағдарламалары-бұл қауіпсіздіктің ықтимал қауіптері мен зиянды әрекеттері үшін желілік трафикті немесе хост жүйелерін бақылайтын бағдарламалық жасақтама. Олар кез келген күдікті немесе зиянды әрекеттер туралы қауіпсіздік қызметтерін анықтауға және ескертуге арналған және кез келген ықтимал қауіпсіздік бұзушылықтарының салдарын азайту үшін оларға жылдам әрекет етуге көмектеседі.
Міне бірнеше танымал IDS бағдарламалары:
Snort: желілік трафикті бақылай алатын және алдын ала анықталған ережелер немесе саясаттар жиынтығы негізінде ықтимал қауіпсіздік қауіптерін анықтай алатын ақысыз, ашық бастапқы кодты желілік кіруді анықтау жүйесі.
Suricata: жоғары масштабталуы мен икемділігі бар, оны кең ауқымды желілік орталарда қолдануға болатын тағы бір ақысыз және ашық бастапқы желіге кіруді анықтау және алдын алу жүйесі.
OSSEC: компьютерлік жүйелердің әртүрлі аспектілерін бақылай алатын және алдын ала анықталған ережелер мен саясаттарға негізделген ықтимал қауіптерді анықтай алатын ашық бастапқы хостқа негізделген кіруді анықтау жүйесі.
Snort-бұл желілік трафикті бақылауға және желілік шабуылдардың әртүрлі түрлерін анықтауға қабілетті ақысыз және ашық бастапқы кодты желілік кіруді анықтау жүйесі (NIDS). Ол алғаш рет 1998 жылы шығарылды және содан бері әлемдегі ең көп қолданылатын NIDS шешімдерінің біріне айналды. Snort пайдаланушыларға нақты қауіпсіздік қажеттіліктеріне сәйкес анықтау және саясат ережелерін жасауға және өзгертуге мүмкіндік беретін өте икемді және теңшелетін етіп жасалған.Snort Windows, Linux және macOS сияқты әртүрлі операциялық жүйелерде орнатылуы мүмкін. Орнатқаннан кейін ол нақты уақыт режимінде желілік трафикті талдай алады және алдын ала анықталған ережелер немесе қолтаңбалар жиынтығы негізінде ықтимал қауіптерді анықтай алады. Бұл ережелер портты сканерлеу, зиянды бағдарламаларды жұқтыру, қызмет көрсетуден бас тарту шабуылдары және т.б. сияқты желілік шабуылдардың кең ауқымын анықтау үшін пайдаланылуы мүмкін. Snort сонымен қатар күрделі және күрделі шабуылдарды анықтауға және алдын алуға мүмкіндік беретін протоколдарды талдау, Ағындарды бақылау және күйді тексеру сияқты жетілдірілген мүмкіндіктерді қамтиды.Snort-тың басты артықшылықтарының бірі-оның икемділігі мен теңшелімділігі. Пайдаланушылар қарапайым ережелер тілін қолдана отырып немесе Snort ережелерін жазу шебері сияқты жетілдірілген құралдарды қолдана отырып, өздерінің анықтау ережелері мен саясаттарын жасай алады. Бұл ережелер белгілі бір жағдайларға бейімделуі мүмкін және қауіп ландшафтындағы өзгерістерді ескере отырып реттелуі мүмкін. Snort сонымен қатар пайдаланушыларға жүйеге жаңа функционалдылықты қосуға мүмкіндік беретін үшінші тарап плагиндері мен кеңейтімдерін пайдалануды қолдайды.Snort-тың тағы бір маңызды ерекшелігі-оның журнал жүргізу және ескерту мүмкіндіктері. Шабуыл анықталған кезде, Snort ескерту жасай алады және шабуыл туралы ақпаратты, соның ішінде бастапқы және тағайындалған IP мекенжайларын, шабуыл түрін және басқа да тиісті мәліметтерді тіркей алады. Бұл ескертулер әрі қарай талдау және жауап беру үшін орталық басқару консоліне немесе басқа қауіпсіздік жүйелеріне жіберілуі мүмкін.Осылайша, Snort-бұл желілік инфрақұрылымдарды бақылау және қорғау үшін корпоративтік желілерде, мемлекеттік органдарда және басқа ұйымдарда кеңінен қолданылатын қуатты және икемді NIDS шешімі. Оның желілік шабуылдардың кең ауқымын анықтау және алдын алу қабілеті, оны теңшеу және журнал жүргізу мүмкіндігімен бірге киберқылмыс пен желілік қауіпсіздік қатерлеріне қарсы күресте құнды құрал етеді.
Suricata-бұл желілік трафикті бақылауға және нақты уақыттағы зиянды әрекеттерді анықтауға арналған Ашық бастапқы кодты (IDSIPS) желілік кіруді анықтау және алдын-алу жүйесі. Ол алғаш рет 2010 жылы шығарылды және С тілінде жазылған. Suricata жоғары масштабталуы мен икемділігіне ие, бұл оны деректер орталықтары мен бұлтты есептеу платформалары сияқты ауқымды желілік орталарда қолдануға жарамды етеді.Suricata нақты уақыт режимінде желілік трафикті талдай алады және алдын-ала анықталған ережелер немесе қолтаңбалар жиынтығы негізінде ықтимал қауіптерді анықтай алады. Бұл ережелер желілік шабуылдардың кең ауқымын, соның ішінде зиянды бағдарламаларды жұқтыруды, қызмет көрсетуден бас тарту шабуылдарын және желіні сканерлеуді анықтау үшін пайдаланылуы мүмкін. Suricata сонымен қатар протоколды декодтау, көп ағынды және басқа IDS IPS шешімдерімен салыстырғанда оны қуатты және икемді ететін файлдарды шығару сияқты жетілдірілген мүмкіндіктерді қамтиды.Suricata-ның негізгі артықшылықтарының бірі-оның жылдамдығы мен тиімділігі. Ол желілік трафикті жоғары жылдамдықта басқара алады, бұл оны нақты уақыт режимінде бақылауды және жауап беруді қажет ететін жоғары жылдамдықты желілерде қолдануға өте ыңғайлы етеді. Suricata сонымен қатар көп ағынды мүмкіндіктерінің арқасында өнімділікке нұқсан келтірместен үлкен көлемдегі трафикті басқара алады.Suricata пайдаланушыларға қарапайым ережелер тілін қолдана отырып немесе Suricata ережелерін жазу шебері сияқты жетілдірілген құралдарды қолдана отырып, өздерінің анықтау және саясат ережелерін құруға мүмкіндік беретін жоғары теңшелім мен икемділікке ие. Бұл ережелер белгілі бір жағдайларға бейімделуі мүмкін және қауіп ландшафтындағы өзгерістерді ескере отырып реттелуі мүмкін. Suricata сонымен қатар пайдаланушыларға жүйеге жаңа функционалдылықты қосуға мүмкіндік беретін үшінші тарап плагиндері мен кеңейтімдерін пайдалануды қолдайды.Suricata-ның тағы бір маңызды ерекшелігі-оның журнал жүргізу және ескерту мүмкіндіктері. Шабуыл анықталған кезде Suricata ескерту жасай алады және шабуыл туралы ақпаратты, соның ішінде бастапқы және тағайындалған IP мекенжайларын, шабуыл түрін және басқа да тиісті мәліметтерді тіркей алады. Бұл ескертулер әрі қарай талдау және жауап беру үшін орталық басқару консоліне немесе басқа қауіпсіздік жүйелеріне жіберілуі мүмкін.Осылайша, Suricata-бұл қуатты және икемді IDS IPS шешімі, ол желілік инфрақұрылымдарды бақылау және қорғау үшін кең ауқымды желілік орталарда кеңінен қолданылады. Оның жылдамдығы мен тиімділігімен үйлесетін желілік шабуылдардың кең ауқымын анықтау және алдын алу қабілеті оны киберқылмыс пен желілік қауіпсіздік қатерлеріне қарсы күресте құнды құралға айналдырады.
Ossec, open Source Security дегенді білдіреді, бұл компьютерлік жүйелерді ықтимал қауіпсіздік қауіптерінен бақылауға және қорғауға арналған Ашық бастапқы хостқа негізделген кіруді анықтау (HIDS) жүйесі. Ол алғаш рет 2003 жылы шығарылды және олардың жалпы қауіпсіздігін арттыру үшін корпоративтік желілерде, мемлекеттік органдарда және басқа ұйымдарда кеңінен қолданылады.OSSEC компьютерлік жүйелердің әртүрлі аспектілерін, соның ішінде журнал файлдарын, тізілім кілттерін, файл тұтастығын және желілік қосылымдарды бақылауға қабілетті. Ол алдын-ала анықталған ережелер немесе саясат жиынтығы негізінде ықтимал қауіптерді анықтай алады және күдікті әрекеттер анықталған кезде нақты уақыт режимінде жүйелік әкімшілерге ескерту жасай алады. OSSEC сонымен қатар желілік қосылымдарды бұғаттау немесе процестерді аяқтау сияқты әрекеттерді орындау арқылы қауіптерге жауап бере алады.OSSEC-тің басты артықшылықтарының бірі-оның икемділігі мен икемділігі. Пайдаланушылар қарапайым ережелер тілін қолдана отырып немесе OSSEC ережелерін жазу шебері сияқты жетілдірілген құралдарды қолдана отырып, өздерінің анықтау ережелері мен саясаттарын жасай алады. Бұл ережелер белгілі бір жағдайларға бейімделуі мүмкін және қауіп ландшафтындағы өзгерістерді ескере отырып реттелуі мүмкін. OSSEC сонымен қатар пайдаланушыларға жүйеге жаңа функционалдылықты қосуға мүмкіндік беретін үшінші тарап плагиндері мен кеңейтімдерін пайдалануды қолдайды.OSSEC-тің тағы бір маңызды ерекшелігі-оның орталықтандырылған басқару және есеп беру мүмкіндіктері. OSSEC орталық басқару консоліне ескертулер мен журналдарды жіберу үшін конфигурациялануы мүмкін, бұл жүйе әкімшілеріне бір жерден бірнеше жүйенің қауіпсіздігін бақылауға мүмкіндік береді. OSSEC сонымен қатар жүйенің белсенділігі мен қауіпсіздік оқиғалары туралы егжей-тегжейлі есептер шығара алатын есеп беру механизмін қамтиды.Хостқа негізделген интрузияларды анықтау мүмкіндіктерінен басқа, OSSEC руткиттерді анықтау, сәйкестік аудиті және белсенді әрекет ету сияқты мүмкіндіктерді де қамтиды. Бұл мүмкіндіктер компьютерлік жүйелердің жалпы қауіпсіздігін жақсартады және қауіпсіздіктің ықтимал бұзылуын болдырмауға көмектеседі.Осылайша, OSSEC-бұл компьютерлік жүйелерді ықтимал қауіпсіздік қауіптерінен бақылау және қорғау үшін корпоративтік желілерде және басқа ұйымдарда кеңінен қолданылатын қуатты және икемді HIDS шешімі. Оның теңшелімділігі, орталықтандырылған басқару және есеп беру мүмкіндіктері руткиттерді табумен, сәйкестік аудитімен және белсенді әрекет ету мүмкіндіктерімен бірге оны киберқылмыс пен желілік қауіпсіздік қатерлерімен күресуде құнды құралға айналдырады.
1.3. Басып кірудің өзектілігі
Басып кіруді анықтау жүйесі қазіргі таңда өзекті және маңызды болып қала береді. Жыл сайын компьютерлік жүйелерге кибершабуылдар мен хакерлік шабуылдар көбейіп келеді, сондықтан тиімді қорғаныс әдістерін әзірлеу және қолдану қажет. Интрузияны анықтау жүйелері Компьютерлік жүйелерді қорғаудың маңызды құрамдас бөлігі болып табылады. Олар шабуылдарды тез анықтауға және алдын алуға, сондай-ақ жүйенің қауіпсіздігін нақты уақыт режимінде бақылауға мүмкіндік береді. Интрузияны анықтау жүйесі болмаса, компьютерлік жүйелер шабуылдарға осал болып қалуы мүмкін, бұл құпия ақпараттың ағып кетуіне, жүйенің бұзылуына, деректердің жоғалуына және басқа да көптеген мәселелерге әкелуі мүмкін. Сонымен қатар, қазіргі уақытта интернет заттары (IoT) тұжырымдамасы аясында Интернетке қосылған құрылғылардың саны артып келеді. Бұл кибершабуылдарға осал болуы мүмкін құрылғылар, сондықтан бұл құрылғыларды қорғау үшін интрузияны анықтау жүйелерін жобалау және пайдалану маңызды. Осылайша, интрузияны анықтау жүйесінің тақырыбы кибершабуылдар мен IoT құрылғыларының таралу қаупінің артуы аясында өзекті және маңызды болып қала береді.
IoT дегеніміз-адамның араласуынсыз Интернет арқылы бір-бірімен байланысуға қабілетті өзара байланысты құрылғылар желісін білдіретін Заттар интернеті. Бұл құрылғылар тұрмыстық техника мен тозуға болатын технологиядан бастап өнеркәсіптік жабдықтар мен "Ақылды қала"инфрақұрылымына дейін болуы мүмкін. Заттар интернетінің мақсаты - бұл құрылғыларды қосу және оларға өзара байланысты және тиімді әлем құру үшін өзара әрекеттесуге және деректермен алмасуға мүмкіндік беру. IoT құрылғыларында әдетте сенсорлар немесе деректерді жинау механизмдерінің басқа түрлері, сондай-ақ деректерді жіберуге және алуға мүмкіндік беретін бағдарламалық жасақтама мен желілік байланыс бар. Бұл деректерді әртүрлі жүйелерді бақылау және басқару, процестерді автоматтандыру және нақты уақыт режимінде шешім қабылдау мүмкіндігін қамтамасыз ету үшін пайдалануға болады. Интернет заттарының кейбір жалпы мысалдарына мыналар жатады:
:: Термостаттар, қауіпсіздік камералары және жарықтандыру жүйелері сияқты "ақылды үй" құрылғылары.
:: Фитнес-трекерлер мен ақылды сағаттар сияқты киюге болатын технологиялар.
:: Өндірісте, логистикада және ауыл шаруашылығында қолданылатын өнеркәсіптік датчиктер мен жабдықтар.
:: Жол қозғалысы мен қоғамдық көлікті басқару жүйелері сияқты "ақылды қала" инфрақұрылымы.
Заттар интернеті көптеген салаларда төңкеріс жасауға және қолданудың кең ауқымында тиімділік пен өнімділікті арттыруға мүмкіндігі бар. Дегенмен, заттардың интернеті қауіпсіздік пен құпиялылыққа қатысты маңызды мәселелерді тудырады. IoT құрылғылары жиі Интернетке қосылып, құпия деректерді жинайтындықтан, олар кибершабуылдар мен деректердің бұзылуына осал. Шифрлау, кіруді басқару және тұрақты жаңартулар сияқты қауіпсіздік шаралары интернет заттары мен олар жинайтын деректерді қорғау үшін қажет.
IDS (интрузияны анықтау жүйесі) өзекті, себебі ол ұйымның қауіпсіздік стратегиясының маңызды құрамдас бөлігі болып табылады. IDS жүйелері ықтимал қауіптер мен шабуылдардың белгілерін анықтау үшін желілік трафикті немесе хост әрекетін бақылау арқылы қауіпсіздіктің бұзылуын анықтауға және алдын алуға көмектеседі. Желілік трафик немесе жүйелік журналдар сияқты әртүрлі көздерден алынған деректерді талдай отырып, IDS systems шабуылды көрсетуі мүмкін күдікті үлгілерді немесе ауытқуларды анықтай алады. IDS жүйелері қауіпсіздік қызметкерлерін ықтимал қауіптер туралы ескертуі, трафикті бұғаттауы немесе қауіпті азайту үшін басқа әрекеттерді орындауы мүмкін. IDS жүйелері құпия деректерді өңдейтін немесе интернетте үлкен қатысуы бар ұйымдар үшін өте маңызды. Олар деректердің бұзылуы, Желіні сканерлеу және қызмет көрсетуден бас тарту сияқты шабуылдарды анықтауға және болдырмауға көмектеседі. Осы шабуылдарды анықтау және алдын алу арқылы IDS systems ұйымдарға өз активтерін, беделін және Тұтынушы деректерін қорғауға көмектеседі. IDS жүйелері сенімді және тиімді болып қалу үшін үнемі техникалық қызмет көрсету мен жаңартуларды қажет етеді. Сонымен қатар, IDS жүйелерін дұрыс конфигурациялау және бақылау және ескертулерге жауап беру үшін білікті қызметкерлер қажет. Осы мәселелерге қарамастан, IDS жүйелері ұйымның жалпы қауіпсіздік стратегиясының маңызды құрамдас бөлігі болып қала береді және қауіпсіздіктің бұзылуын анықтау және алдын алу үшін қажет.
IDS (интрузияны анықтау жүйесі) бірнеше себептерге байланысты ұйымдар үшін маңызды:
Қауіпсіздіктің бұзылуын анықтау және алдын алу: IDS жүйелері ықтимал қауіптер мен шабуылдардың белгілерін анықтау үшін желілік трафикті немесе хост әрекетін бақылайды. Әр түрлі көздерден алынған деректерді талдай отырып, IDS жүйелері шабуылды көрсететін күдікті заңдылықтарды немесе ауытқуларды анықтай алады. IDS жүйелері қауіпсіздік қызметкерлерін ықтимал қауіптер туралы ескертуі, трафикті бұғаттауы немесе қауіпті азайту үшін басқа әрекеттерді орындауы мүмкін. Қауіпсіздіктің бұзылуын анықтау және алдын алу арқылы IDS жүйелері ұйымдарға өз активтерін, беделін және Тұтынушы деректерін қорғауға көмектеседі.
Оқиғаларға жауап беру уақытын қысқарту: IDS жүйелері қауіпсіздік оқиғаларын анықтау және оларға жауап беру уақытын қысқартуға көмектеседі. Қауіпсіздік қызметкерлеріне ықтимал қауіптер туралы ескерту арқылы IDS жүйелері оларға оқиғаларды тез және тиімді зерттеуге және оларға жауап беруге мүмкіндік береді. Бұл оқиғаның салдарын азайтуға және ұйымға одан әрі зиян келтірмеуге көмектеседі.
Сәйкестік: IDS жүйелері көбінесе салалық ережелермен немесе PCI DSS немесе HIPAA сияқты стандарттармен талап етіледі. IDS жүйесін енгізу арқылы ұйымдар осы стандарттарға сәйкестігін көрсете алады және ықтимал айыппұлдарды болдырмайды.
Тәуекелдерді басқару: IDS жүйелері ұйымның тәуекелдерді басқару стратегиясының маңызды құрамдас бөлігі болып табылады. Желілік трафикті немесе хост белсенділігін ықтимал қауіптерге бақылау арқылы IDS жүйелері ұйымдарға қауіпсіздік тәуекелдерін анықтауға және басқаруға көмектеседі.
Осылайша, IDS жүйелері ұйымдарға қатысты, өйткені олар қауіпсіздіктің бұзылуын анықтауға және алдын алуға, оқиғаларға жауап беру уақытын қысқартуға, салалық Ережелерге сәйкестікті қамтамасыз етуге және қауіпсіздік тәуекелдерін басқаруға көмектеседі.
4.4. Басып кірудің түрлері
Интрузияны анықтау жүйелері (IDS) кез-келген ұйым үшін кибершабуылдарды анықтауға және алдын алуға мүмкіндік беретін маңызды қауіпсіздік құралдары болып табылады. Жүйе күдікті әрекеттер үшін желілік трафикті бақылайды және қауіпсіздік қызметіне кез келген ықтимал қауіптер туралы ескертеді. Бұл мақалада біз IDS негіздерін, оның қалай жұмыс істейтінін және IDS-тің әртүрлі түрлерін қарастырамыз. IDS-бұл компьютерлік жүйеге немесе желіге рұқсатсыз кіруді немесе шабуылдарды анықтауға және болдырмауға арналған қауіпсіздік құралы. Жүйе шабуыл немесе зиянды әрекетті көрсететін үлгілерді іздеу арқылы нақты уақыт режимінде желілік трафикті бақылайды. Идентификаторларды екі түрге бөлуге болады: хостқа негізделген интрузияны анықтау жүйесі (HIDS) және желілік интрузияны анықтау жүйесі (NIDS). IDS әдеттен тыс үлгілерді немесе әрекеттерді анықтау үшін желілік трафикті немесе жүйелік журналдарды талдау арқылы жұмыс істейді. Жүйе желінің қалыпты немесе қалыптан тыс әрекеті деп саналатын ережелер немесе қолтаңбалар жиынтығын қолданады. IDS аномалияны немесе зиянды әрекетті анықтаған кезде, ол қауіпсіздік туралы ескертетін дабылды бастайды.
Интрузияны анықтау жүйелерінің түрлері:
+ Желілік интрузияны анықтау жүйесі (NIDS)
+ Хостқа негізделген интрузияны анықтау жүйесі (HIDS)
+ Хаттамаға негізделген интрузияны анықтау жүйесі (PIDS)
+ Қолданбалы хаттамаға негізделген интрузияны анықтау жүйесі (APIDS)
+ Гибридті интрузияны анықтау жүйесі
Желілік интрузияны анықтау жүйесі (NIDS)
Желілік интрузияны анықтау жүйесі (NIDS) - желілік трафикті бақылауға және ықтимал қауіпсіздік қауіптерін анықтауға арналған интрузияны анықтау жүйесінің (IDS) бір түрі. NIDS нақты уақыт режимінде желілік пакеттерді талдау, күдікті әрекеттің белгілерін немесе қауіпсіздіктің бұзылуын көрсететін заңдылықтарды іздеу арқылы жұмыс істейді. NIDS зиянды бағдарламаларды жұқтыру, рұқсатсыз кіру әрекеттері және күдікті желі әрекеттері сияқты қауіптердің кең ауқымын анықтай алады. Мысалы, NIDS белгілі шабуыл қолтаңбалары үшін желілік трафикті бақылай алады немесе қауіпсіздіктің бұзылуын көрсететін желі мінез-құлқындағы ауытқуларды анықтау үшін машиналық оқыту алгоритмдерін қолдана алады. NID-ді желінің әр түрлі нүктелерінде, соның ішінде желінің периметрі бойынша, DMZ-де (демилитаризацияланған аймақ) және желінің ішкі сегменттерінде орналастыруға болады. Ол сондай-ақ HTTP, FTP және SMTP сияқты әртүрлі желілік протоколдарды бақылау үшін пайдаланылуы мүмкін. NIDS-тің артықшылықтарының бірі-бұл нақты уақыт режимінде желілік трафикті бақылау мүмкіндігі, бұл ұйымдарға қауіпсіздік оқиғаларын тез анықтауға және оларға жауап беруге мүмкіндік береді. Ол сондай-ақ маңызды жүйелерге немесе деректерге жеткенге дейін ықтимал қауіптерді анықтау үшін пайдаланылуы мүмкін. Дегенмен, NIDS басқа IDS шешімдеріне қарағанда орнату және техникалық қызмет көрсету қиынырақ болуы мүмкін. Жаңа және пайда болған қауіптерге қарсы тиімді болуын қамтамасыз ету үшін қолтаңбаны анықтау ережелері мен дерекқорын үнемі жаңартып отыру қажет. Жалпы, NIDS желілік қауіпсіздікті кешенді бақылауды және қауіптерді анықтауды қажет ететін ұйымдар үшін тиімді құрал болып табылады. Нақты уақыттағы желілік трафикті талдау арқылы ол ықтимал қауіптердің жылдам және егжей-тегжейлі талдауын қамтамасыз ете алады және ұйымдарға қауіпсіздік оқиғаларына тез жауап беруге көмектеседі.
Демилитаризацияланған аймақ (DMZ) - бұл ұйымның ішкі желісін жалпыға қол жетімді интернеттен бөлу арқылы қауіпсіздіктің қосымша қабатын қамтамасыз ететін желілік архитектура. DMZ әдетте ішкі желіден оқшауланған, бірақ интернеттен қол жетімді жеке физикалық немесе логикалық желі сегментін қолдану арқылы жүзеге асырылады. DMZ мақсаты-жалпыға қол жетімді Интернет пен ұйымның ішкі желісі арасындағы буферлік аймақты қамтамасыз ету. Ол әдетте интернеттен қол жетімді болуы керек веб-серверлер, электрондық пошта серверлері немесе FTP серверлері сияқты жалпыға ортақ қызметтерді орналастыру үшін қолданылады. Бұл серверлерді демилитаризацияланған аймаққа орналастыру арқылы ұйымдар өздерінің ішкі желісінің ықтимал шабуылдарға ұшырауын шектей алады және деректердің жоғалу немесе рұқсатсыз кіру қаупін азайтады. DMZ көбінесе брандмауэр немесе DMZ мен ішкі желі арасындағы кіруді басқаратын басқа желілік қауіпсіздік құрылғысы арқылы жүзеге асырылады. Брандмауэрді DMZ мен ішкі желі арасындағы трафиктің белгілі бір түрлерін, мысалы, HTTP немесе SMTP трафигін өткізіп, барлық басқа трафикті бұғаттайтындай етіп орнатуға болады. Бұл DMZ-ге енуі мүмкін кез келген ықтимал қауіптердің DMZ ішінде болуын және ішкі желіге ене алмауын қамтамасыз етуге көмектеседі. Қауіпсіздіктің қосымша қабатын қамтамасыз етумен қатар, DMZ ұйымдарға құпия деректерді рұқсатсыз кіруден қорғауға кепілдік бере отырып, ережелерді сақтауға көмектесе алады. PCI DSS сияқты көптеген нормативтік-құқықтық базалар ұйымдардан өздерінің жалпыға ортақ серверлері мен қызметтерін қорғау үшін DMZ пайдалануды талап етеді. Тұтастай алғанда, DMZ ықтимал қауіптерден қорғаудың қосымша қабатын қамтамасыз ететін және ұйымдарға қауіпсіз және үйлесімді желі ортасын сақтауға көмектесетін кешенді желілік қауіпсіздік стратегиясының маңызды құрамдас бөлігі болып табылады.
Хостқа негізделген интрузияны анықтау жүйесі (HIDS)
Хосттың интрузиясын анықтау жүйесі (HIDS) - олардың белсенділігін бақылау және ықтимал қауіпсіздік қауіптерін анықтау үшін жеке хост машиналарында орнатылған интрузияны анықтау жүйесінің (IDS) бір түрі. HIDS жүйелік журналдар мен хост әрекеттерін талдау, күдікті мінез-құлық немесе рұқсатсыз кіру белгілерін іздеу арқылы жұмыс істейді. HIDS көптеген қауіптерді, соның ішінде зиянды бағдарламаларды жұқтыруды, рұқсатсыз кіру әрекеттерін және күдікті жүйелік әрекеттерді анықтай алады. Мысалы, HIDS жүйелік файлдар мен тізілім бөлімдерін зиянды бағдарламаның инфекциясын көрсетуі мүмкін өзгерістерді бақылай алады немесе күдікті әрекеттерді немесе рұқсатсыз кіру әрекеттерін анықтау үшін желілік қосылымдарды бақылай алады. HIDS әртүрлі хост машиналарында, соның ішінде серверлерде, жұмыс станцияларында және басқа соңғы нүктелерде орнатылуы мүмкін. Ол көбінесе корпоративтік желі сияқты бақыланатын соңғы нүктелер саны көп ортада қолданылады. HIDS-тің артықшылықтарының бірі-ол IDS желілік шешімдеріне көрінбейтін қауіптерді анықтай алады. Ол тікелей негізгі компьютерге орнатылғандықтан, ол жүйенің белсенділігі туралы көбірек ақпаратқа қол жеткізе алады және ықтимал қауіптердің егжей-тегжейлі талдауын қамтамасыз ете алады. Дегенмен, HIDS басқа IDS шешімдеріне қарағанда орнату және техникалық қызмет көрсету қиынырақ болуы мүмкін. Жаңа және пайда болған қауіптерге қарсы тиімді болуын қамтамасыз ету үшін қолтаңбаны анықтау ережелері мен дерекқорын үнемі жаңартып отыру қажет. Тұтастай алғанда, HIDS қауіптерді анықтау және қорғау үшін егжей-тегжейлі тәсілді қажет ететін ұйымдар үшін тиімді құрал болып табылады. Хост деңгейіндегі белсенділікті бақылау арқылы ол ықтимал қауіптердің егжей-тегжейлі талдауын қамтамасыз ете алады және ұйымдарға қауіпсіздік оқиғаларына тез жауап беруге көмектеседі.
Хаттамаға негізделген интрузияны анықтау жүйесі (PIDS)
Протоколға негізделген интрузияны анықтау жүйесі (PIDS) - бұл протокол деңгейіндегі желілік трафикті бақылауға бағытталған интрузияны анықтау жүйесінің (IDS) түрі. PIDS протоколға тән қауіпсіздік мәселелері мен ауытқуларды анықтау үшін желілік пакеттерді талдау арқылы жұмыс істейді. PIDS HTTP, FTP, SMTP және басқаларын қоса алғанда, желілік протоколдардың кең ауқымын бақылау үшін пайдаланылуы мүмкін. Ол протоколды дұрыс пайдаланбаумен, протоколға тән шабуылдармен және басқа идентификатор түрлерімен анықталмауы мүмкін басқа қауіпсіздік мәселелерімен байланысты ықтимал қауіпсіздік қауіптерін анықтай алады. Мысалы, PIDS протоколды дұрыс пайдаланбауға байланысты күдікті әрекеттерді анықтай алады, мысалы, күтілетін мәндер ауқымынан тыс HTTP сұрауы. Ол сондай-ақ веб-қосымшаға бағытталған SQL инъекциялық шабуылдары сияқты протоколға тәуелді шабуылдарды анықтай алады. PIDS-тің артықшылықтарының бірі-оның Протокол деңгейінде желілік трафиктің егжей-тегжейлі талдауын қамтамасыз ету мүмкіндігі. Бұл ұйымдарға басқа IDS шешімдеріне көрінбейтін ықтимал қауіпсіздік қауіптерін анықтауға көмектеседі. Сонымен қатар, PIDS басқа IDS шешімдеріне қарағанда тиімдірек болуы мүмкін, өйткені ол бүкіл желілік трафикті талдауға емес, белгілі бір протоколдарды бақылауға бағытталған. Дегенмен, PIDS басқа IDS шешімдеріне қарағанда орнату және техникалық қызмет көрсету қиынырақ болуы мүмкін, өйткені ол бақыланатын хаттамаларды егжей-тегжейлі түсінуді қажет етеді. Сонымен қатар, PID белгілі бір хаттамаға негізделмеген шабуылдарға қарсы тиімді болмауы мүмкін. Жалпы, PIDS белгілі бір хаттамаға байланысты қауіптерді анықтау және қорғауды қажет ететін ұйымдар үшін тиімді құрал болып табылады. Протокол деңгейіндегі желілік трафикті бақылау арқылы ол ықтимал қауіптердің егжей-тегжейлі талдауын қамтамасыз ете алады және ұйымдарға протоколды дұрыс пайдаланбау мен шабуылдарға байланысты қауіпсіздік оқиғаларына жылдам жауап беруге көмектеседі.
Қолданбалы хаттамаға негізделген интрузияны анықтау жүйесі (APIDS)
Қолданбалы протоколға негізделген интрузияны анықтау жүйесі (APIDS) - қолданбалы Протокол деңгейінде желілік трафикті бақылауға және пайдаланылған қолданбалы протоколдардың сипаттамаларына негізделген ықтимал қауіпсіздік қауіптерін анықтауға арналған интрузияны анықтау жүйесінің (IDS) түрі. APIDS желілік пакеттердің мазмұнын талдау және қолданбалы деңгейде қауіпсіздіктің бұзылуын көрсететін әрекет үлгілерін іздеу арқылы жұмыс істейді. APID-ті HTTP, SMTP, DNS және FTP сияқты әртүрлі қолданбалы протоколдарды бақылау үшін пайдалануға болады. Ол қауіптердің кең ауқымын, соның ішінде белгілі шабуыл қолтаңбаларын және қолданбалардың қалыптан тыс әрекеттерін анықтай алады. Мысалы, APIDS сайтаралық сценарий шабуылдарының (XSS) белгілері үшін HTTP трафигін немесе электрондық поштаны бұрмалау немесе фишинг әрекеттері үшін SMTP трафигін бақылай алады. APID-ді желінің әртүрлі нүктелерінде, соның ішінде желінің периметрі бойынша, DMZ-де (демилитаризацияланған аймақ) және желінің ішкі сегменттерінде орналастыруға болады. Оны хост негізіндегі идентификаторлар немесе желі идентификаторлары сияқты басқа IDS шешімдеріне қосымша пайдалануға болады. APIDS-тің артықшылықтарының бірі-оның белгілі бір қолданбалы хаттамаларға тән қауіптерді анықтау мүмкіндігі. Қолданбалы деңгейде желілік трафикті бақылау арқылы ол басқа IDS шешімдері жіберіп алуы мүмкін ықтимал қауіптерді анықтай алады. Дегенмен, APID басқа IDS шешімдеріне қарағанда орнату және техникалық қызмет көрсету қиынырақ болуы мүмкін. Жаңа және пайда болған қауіптерге қарсы тиімді болуын қамтамасыз ету үшін қолтаңбаны анықтау ережелері мен дерекқорын үнемі жаңартып отыру қажет. Жалпы, APIDS қауіп-қатерді анықтауды және нақты қолданбалардан қорғауды қажет ететін ұйымдар үшін тиімді құрал болып табылады. Қолданбалы деңгейде желілік трафикті талдау арқылы ол ықтимал қауіптердің егжей-тегжейлі талдауын қамтамасыз ете алады және ұйымдарға қауіпсіздік оқиғаларына тез жауап беруге көмектеседі.
Гибридті интрузияны анықтау жүйесі
Гибридті кіруді анықтау жүйесі (HIDS) - бұл қауіпсіздіктің неғұрлым жан-жақты шешімін қамтамасыз ету үшін хостқа негізделген идентификаторлардың (HIDS) және желілік идентификаторлардың (NIDS) элементтерін біріктіретін кіруді анықтау жүйесінің (IDS) түрі. HIDS серверлер немесе жұмыс станциялары сияқты жеке түйіндердегі әрекеттерді бақылайды және қауіпсіздіктің ықтимал қауіптерін анықтау үшін жүйелік журналдарды, файлдардың тұтастығын және түйіндегі басқа деректерді талдайды. Бұл тәсіл әсіресе зиянды бағдарламаларды жұқтыру немесе рұқсатсыз кіру әрекеттері сияқты белгілі бір хосттарға бағытталған шабуылдарды анықтауда тиімді. Екінші жағынан, NIDS желілік трафикті бақылайды және оны ықтимал қауіпсіздік қатерлеріне талдайды. Бұл тәсіл әсіресе портты сканерлеу немесе қызмет көрсетуден бас тарту (DoS) шабуылдары сияқты желіге бағытталған шабуылдарды анықтауда тиімді. Гибридті IDS екі тәсілді де біріктіреді, бұл желінің толық көрінісін қамтамасыз етеді және ұйымдарға хост деңгейінде де, желіде де қауіптерді анықтауға мүмкіндік береді. Хосттың да, желінің де белсенділігін бақылау арқылы HIDS NIDS немесе тек HIDS жіберіп алуы мүмкін шабуылдарды анықтай алады. Гибридті IDS-тің артықшылықтарының бірі-оның қауіпсіздікке төнетін қауіптердің дәл көрінісін қамтамасыз ететін бірнеше көздерден алынған деректерді сәйкестендіру мүмкіндігі. Мысалы, егер HIDS хостта рұқсат етілмеген кіру әрекетін анықтаса, Hybrid IDS шабуыл көзін анықтау және нысанаға айналуы мүмкін басқа хосттарды анықтау үшін желілік трафик журналдарын талдай алады. Дегенмен, гибридті IDS бірнеше көздерден деректерді біріктіру үшін арнайы жабдық пен бағдарламалық құралды қажет ететін басқа IDS шешімдеріне қарағанда күрделірек және іске асыру қымбатырақ болуы мүмкін. Ол сондай-ақ жаңа және жаңадан пайда болған қауіптерге қарсы тиімді болып қалуын қамтамасыз ету үшін оның анықтау ережелері мен қолтаңба дерекқорын үнемі жаңартып отыруды талап етеді. Тұтастай алғанда, Hybrid IDS хосттар мен желідегі қауіптердің кең ауқымынан қорғау үшін жан-жақты қауіпсіздік шешімін қажет ететін ұйымдар үшін тиімді құрал болып табылады. HIDS және NID екеуінің де күшті жақтарын біріктіре отырып, ол ықтимал қауіпсіздік қауіптері туралы толық түсінік бере алады және ұйымдарға қауіпсіздік оқиғаларына жылдам жауап беруге көмектеседі.
Негізгі бөлім
1. Машиналық оқыту
2.1. Машиналық оқыту
Машиналық оқыту-бұл компьютерлерге нақты бағдарламалаусыз үйренуге және шешім қабылдауға мүмкіндік беретін алгоритмдер мен модельдерді әзірлеуді қамтитын жасанды интеллект (AI) бөлімі. Машиналық оқыту компьютерлерге деректерден сабақ алуға және оларды талдауға, заңдылықтарды анықтауға, болжам жасауға және тәжірибеге негізделген тапсырмаларды орындауға мүмкіндік береді, әр нақты тапсырма үшін нақты бағдарламалаусыз. Машиналық оқыту алгоритмдері әдетте деректер ішіндегі заңдылықтарды немесе қатынастарды анықтау үшін оқу деректері деп аталатын үлкен көлемдегі деректерді өңдеу арқылы жұмыс істейді. Содан кейін бұл үлгілер немесе қатынастар болжам жасау, деректерді әртүрлі санаттарға жіктеу немесе басқа тапсырмаларды орындау үшін қолданылады. Машиналық оқыту алгоритмдері белгілі нәтижелері бар таңбаланған деректерден сабақ алған кезде немесе таңбаланған мысалдарсыз деректер ішіндегі заңдылықтарды немесе қатынастарды анықтаған кезде бақылауда болуы мүмкін.
Машиналық оқыту әдістерінің әртүрлі түрлері бар, соның ішінде:
Бақыланатын оқыту: машиналық оқытудың бұл түрінде алгоритм дұрыс нәтиже берілген жерде белгіленген мәліметтерден оқытылады. Алгоритм белгіленген деректерде анықтайтын үлгілерге негізделген болжамдар немесе жіктеулер жасауды үйренеді.
Бақыланбайтын оқыту: машиналық оқытудың бұл түрінде алгоритм таңбаланбаған мәліметтер негізінде оқытылады, онда нәтижелер берілмейді. Алгоритм дұрыс нәтижелерді білмей-ақ деректердегі заңдылықтарды немесе қатынастарды анықтайды.
Күшейтілген оқыту: машиналық оқытудың бұл түрінде алгоритм қоршаған ортамен өзара әрекеттесу арқылы оқытылады. Алгоритм өзінің іс-әрекетіне негізделген сыйақылар немесе айыппұлдар түрінде кері байланыс алады және уақыт өте келе сыйақыны көбейту үшін өз әрекеттерін оңтайландыруды үйренеді.
Терең оқыту: терең оқыту-бұл адам миының құрылымы мен қызметіне негізделген жасанды нейрондық желілерді пайдалануды қамтитын машиналық оқытудың ішкі жиынтығы. Конволюциялық нейрондық желілер (CNNs) және қайталанатын нейрондық желілер (RNNs) сияқты терең оқыту алгоритмдері деректердің үлкен көлемін өңдеуге қабілетті және әдетте кескінді тану, сөйлеуді тану және табиғи тілді өңдеу сияқты тапсырмаларда қолданылады.
Машиналық оқыту күрделі мәселелерді шешу, болжам жасау және шешім қабылдау процестерін автоматтандыру үшін киберқауіпсіздік, қаржы, денсаулық сақтау, маркетинг және т.б. қоса алғанда, әртүрлі салаларда кеңінен қолданылады. Ол дамуды жалғастыруда және болашақта біздің күнделікті өміріміз бен саламыздың көптеген аспектілеріне айтарлықтай әсер етуі мүмкін.
2.2. Машиналық оқытудың өзектілігі
Соңғы жылдары Машиналық оқыту, әсіресе деректерді талдау және жасанды интеллект саласында өзекті бола бастады. Міне, машиналық оқытудың өзекті болуының кейбір негізгі жолдары:
# Болжамды аналитика: Машиналық оқыту алгоритмдері үлкен көлемдегі деректерді талдай алады және болашақ оқиғалар мен тенденциялар туралы болжам жасай алады. Бұл әсіресе қаржы, денсаулық сақтау және маркетинг сияқты салаларда пайдалы болуы мүмкін.
# Алаяқтықты анықтау: Машиналық оқыту алгоритмдерін қаржылық транзакциялардағы, сақтандыру төлемдеріндегі және алаяқтық алаңдаушылық тудыратын басқа салалардағы алаяқтық мінез-құлық үлгілерін анықтау үшін пайдалануға болады.
# Табиғи тілді өңдеу: Машиналық оқыту алгоритмдерін адам тілін талдау және түсіну үшін пайдалануға болады, бұл чатботтарды, виртуалды көмекшілерді және табиғи тілдегі адамдармен қарым-қатынас жасай алатын басқа құралдарды жасауға мүмкіндік береді.
# Кескінді және сөйлеуді тану: Машиналық оқыту алгоритмдерін кескінді тану және сөйлеуді тану үшін пайдалануға болады, бұл бетті тану, дауыстық көмекшілер және өзін-өзі басқаратын көліктер сияқты қолданбаларды пайдалануға мүмкіндік береді.
# Киберқауіпсіздік: Машиналық оқыту алгоритмдерін желілік трафиктегі күдікті мінез-құлық үлгілерін анықтау және ықтимал қауіпсіздік қауіптерін анықтау үшін пайдалануға болады.
Машиналық оқыту-бұл компанияларға бұрын мүмкін болмаған ақпаратты алуға және болжам жасауға мүмкіндік беретін салалар мен пайдалану жағдайларының кең ауқымында қолдануға болатын қуатты құрал. Деректер көлемі өсіп, күрделене түскендіктен, Машиналық оқыту болашақта одан да өзекті болуы мүмкін.
Болжалды аналитика-деректерді талдау және болашақ оқиғалар мен тенденциялар туралы болжам жасау үшін статистикалық және машиналық оқыту алгоритмдерін пайдалану. Бұл болашақ нәтижелерді болжау үшін пайдаланылуы мүмкін тенденциялар мен қатынастарды анықтау үшін үлкен деректер жиынтығынан үлгілер мен аналитикалық деректерді алуды қамтиды. Болжалды аналитика қаржы, денсаулық сақтау, маркетинг және бөлшек сауда сияқты әртүрлі салаларда тұтынушылардың мінез-құлқын болжау, нарық тенденцияларын анықтау және бизнес-процестерді оңтайландыру үшін қолданылады. Мысалы, болжамды аналитиканы қаржы саласында акциялардың бағасын болжау, несиелік тәуекелді анықтау және алаяқтық әрекеттерді анықтау үшін қолдануға болады.
Болжалды аналитика процесі әдетте келесі қадамдарды қамтиды:
1. Деректерді жинау: клиенттердің транзакциялық деректері, әлеуметтік медиа деректері және веб-сайтқа кіру деректері сияқты бірнеше көздерден тиісті деректерді жинау.
2. Деректерді алдын ала өңдеу: қайталануларды жою, жетіспейтін мәндерді толтыру және деректерді Машиналық оқыту алгоритмдері пайдалана алатын пішімге түрлендіру арқылы деректерді тазалау және талдауға дайындау.
3. Деректерді талдау: деректерді талдау және заңдылықтар мен тенденцияларды анықтау үшін статистикалық және машиналық оқыту алгоритмдерін қолдану.
4. Модель құру: деректерді талдау негізінде болжам жасау үшін пайдалануға болатын болжамды модельдерді әзірлеу.
5. Модельді бағалау: болжамдарды нақты нәтижелермен салыстыру арқылы болжамды модельдердің дәлдігін тексеру.
6. Іске асыру: болжамды модельдерді бизнес-процестерге қосу және оларды болашақ оқиғалар немесе тенденциялар туралы негізделген шешімдер қабылдау үшін пайдалану.
Деректерді алдын - ала өңдеу-бұл деректерді талдау мен машиналық оқытудың маңызды қадамы, ол шикі деректерді алгоритмдермен оңай қолдануға және талдауға болатын форматқа тазартуды және түрлендіруді қамтиды. Деректерді алдын ала өңдеудің мақсаты-деректер сапасын жақсарту ... жалғасы
әл-Фараби атындағы Қазақ ұлттық университеті
Жұматай С.Б.
МАШИНАЛЫҚ ОҚЫТУ ӘДІСІ НЕГІЗІНДЕ ИНТРУЗИЯНЫ АНЫҚТАУ ЖҮЙЕСІН ҚҰРУ
ДИПЛОМДЫҚ ЖҰМЫС
Мамандығы 6B06301 - Ақпараттық қауіпсіздік жүйелері
Қазақстан Республикасы Ғылым және жоғары білім министрлігі
әл-Фараби атындағы Қазақ ұлттық университеті
Ақпараттық технологиялар факультеті
Ақпараттық жүйелер кафедрасы
ДИПЛОМДЫҚ ЖҰМЫС
тақырыбы: Машиналық оқыту әдісі негізінде интрузияны анықтау жүйесін құру
6B06301 - Ақпараттық қауіпсіздік жүйелері
Орындаған Жұматай С.Б.
(қолы)
Ғылыми жетекші Болатбек М.А.
аға оқытушы (қолы)
Қорғауға жіберілді:
Хаттама № ___ , __________ 2023ж.
Кафедра меңгерушісі ____________ ф.-м.ғ.к., Мусиралиева Ш.Ж.
(қолы және мөрі)
Норма бақылаушы Максутова Ш.У.
(қолы)
Реферат
Мазмұны
Кіріспе
1. Басып кіруді анықтау
Басып кіруді анықтау жүйесі - интрузияны анықтау жүйесі(IDS) - бұл компьютерлік желіде не болмаса жеке хосттарда рұқсат етілмеген зиянды әрекеттерді анықтауға арналған бағдарламалық қосымша не болмаса құрылғы болып табылады. Бұл киберқауіпсіздік шешімінің бір түрі, ол желілік трафикті, жүйелік журналдарды және басқа деректерді рұқсатсыз кіру, зиянды әрекеттер және басқа да қауіпсіздік бұзушылықтарының белгілерін бақылайды және талдайды. Желілік идентификаторлар (NIDS) және хостқа негізделген идентификаторлар (HIDS). NIDS жүйелері шабуылды көрсетуі мүмкін күдікті үлгілерді немесе ауытқуларды анықтау үшін нақты уақыт режимінде, әдетте желінің периметрі бойынша желілік трафикті бақылайды. HIDS жүйелері серверлер немесе соңғы нүктелер сияқты жеке түйіндерге орналастырылады және рұқсатсыз кіру немесе файлдарды өзгерту және олар туралы ескертулер сияқты күдікті әрекеттерді анықтау үшін сол түйіндердегі әрекеттерді бақылайды. IDS жүйелері екі режимнің бірінде жұмыс істеу үшін конфигурациялануы мүмкін: қолтаңба негізінде немесе ауытқулар негізінде. Қолтаңбаға негізделген IDS жүйелері белгілі үлгілерге немесе белгілі шабуылдардың қолтаңбаларына негізделген қауіптерді анықтайды, ал аномалияға негізделген IDS жүйелері қалыпты немесе күтілетін деп саналмайтын үлгілерге трафикті талдау арқылы қауіптерді анықтайды. IDS жүйелері ықтимал қауіптер анықталған кезде ескертулер жасай алады. Қауіпсіздік қызметкерлеріне, желі әкімшілеріне немесе қауіп-қатерді жою үшін тергеу жүргізіп, тиісті шаралар қолдана алатын басқа уәкілетті қызметкерлерге ескертулер жіберілуі мүмкін. IDS жүйелері ұйымның жалпы қауіпсіздік стратегиясының маңызды құрамдас бөлігі болып табылады, өйткені олар қауіпсіздіктің бұзылуын анықтауға және алдын алуға және оқиғаларды анықтау мен оларға жауап беру уақытын қысқартуға көмектеседі. Алайда, IDS жүйелері жүйелі түрде жаңартулар мен техникалық қызмет көрсетуді, сондай-ақ жүйе құрған деректерді бақылау және талдау үшін білікті қызметкерлерді қажет етеді. IDS нақты уақыт режимінде болжамды ықтималды басып кірулердңі немесе қауіпсіздік оқиғаларын анықтауға және оларды ескертуге арналған. Бұл ұйымның не болмаса кәсіп орынның инфрақұрылымын киберқауіптерден қорғауға көмектеседі. IDS желілік трафикті және жүйелік журналдарды зиянды әрекеттердің болуын көрсететін үлгілерді, қолтаңбаларды және ауытқуларды тексеру арқылы жұмыс істейді. Ол осалдықтарды пайдалану әрекеттері, рұқсатсыз кіру әрекеттері және әдеттен тыс әрекет үлгілері сияқты күдікті мінез-құлықтарды анықтау үшін желілік пакеттер, журналдар және хост оқиғалары сияқты әртүрлі көздерден алынған деректерді талдай алады. Идентификаторларды желінің әртүрлі нүктелерінде немесе жеке жүйелерде, мысалы, желінің периметрі бойынша, ішкі желіде немесе маңызды серверлерде немесе соңғы нүктелерде орналастыруға болады. Идентификаторлар белгілі қауіптерді анықтау үшін алдын ала анықталған ережелер немесе қолтаңбалар қолданылатын ережелерге негізделуі мүмкін немесе ауытқуларды анықтау және ықтимал нөлдік күндік шабуылдарды немесе бұрын белгісіз қауіптерді анықтау үшін машиналық оқыту әдістері қолданылуы мүмкін. Ықтимал басып кіру немесе қауіпсіздік оқиғасы анықталған кезде, IDS ескертулер жасай алады, қауіпсіздік әкімшілеріне хабарлама жібере алады және желілік трафикті бұғаттау немесе зардап шеккен жүйелерді оқшаулау сияқты қауіп-қатерге жауап беру үшін автоматты түрде әрекет ете алады. IDS ұйымның жалпы киберқауіпсіздік стратегиясының маңызды құрамдас бөлігі болып табылады, ықтимал қауіпсіздік оқиғаларын анықтауға және оларға жауап беруге, қауіптердің көрінуін арттыруға және АТ активтерін кибершабуылдардан қорғауға көмектесетін ерте анықтау және ескерту мүмкіндіктерін қамтамасыз етеді. БАЖ көбінесе киберқауіпсіздікке көп деңгейлі тәсілді қамтамасыз ету үшін брандмауэр, антивирустық бағдарламалық жасақтама және қауіпсіздік және оқиғаларды басқару жүйелері (SIEM) сияқты басқа қауіпсіздік технологияларымен бірге қолданылады.
SIEM қауіпсіздік туралы ақпарат және оқиғаларды басқару дегенді білдіреді. Бұл екі негізгі функцияны біріктіретін қауіпсіздік жүйесінің бір түрі: қауіпсіздік туралы ақпаратты басқару (SIM) және қауіпсіздік оқиғаларын басқару (SEM). SIM желілік құрылғылар, серверлер және қолданбалар сияқты әртүрлі көздерден қауіпсіздікке қатысты деректерді жинауды, сақтауды және талдауды білдіреді. Екінші жағынан, SEM ықтимал қауіптерді анықтау және ескертулерді іске қосу үшін нақты уақыттағы бақылауға және қауіпсіздік оқиғаларын корреляциялауға бағытталған. SIEM жүйесі брандмауэр, кіруді анықтау алдын алу жүйелері және антивирустық бағдарламалық қамтамасыз ету сияқты бірнеше көздерден алынған деректерді біріктіреді және қауіпсіздік қатерлерін немесе күдікті әрекеттерді анықтау үшін деректерді сәйкестендіреді. Жүйе үлгілерді, ауытқуларды және ықтимал шабуылдарды анықтау үшін машиналық оқыту алгоритмдерін және басқа әдістерді пайдаланады. Егер ықтимал қауіп анықталса, жүйе тергеу жүргізе алатын және тиісті шараларды қолдана алатын қауіпсіздік қызметкерлеріне ескерту жасайды.
SIEM жүйесінің кейбір негізгі мүмкіндіктеріне мыналар жатады:
a) Журналды басқару: SIEM жүйелері желілік құрылғылар, серверлер және Қолданбалар сияқты әртүрлі көздерден журналдарды орталықтандырылған жерде жинап, сақтай алады. Бұл қауіпсіздік оқиғалары немесе оқиғалар үшін журналдарды іздеуді және талдауды жеңілдетеді.
b) Нақты уақыттағы бақылау: SIEM жүйелері ықтимал қауіптерді немесе шабуылдарды анықтау үшін желі трафигі мен қауіпсіздік оқиғаларын нақты уақыт режимінде бақылай алады.
c) Корреляция және талдау: SIEM жүйелері ықтимал қауіптер мен үлгілерді анықтау үшін қауіпсіздік оқиғалары мен әртүрлі көздерден алынған деректерді салыстыру үшін машиналық оқыту алгоритмдерін және басқа әдістерді пайдаланады.
d) Ескерту және есеп беру: SIEM жүйелері ықтимал қауіптер анықталған кезде ескертулер немесе хабарламалар жасай алады. Олар сондай-ақ қауіпсіздік саласындағы оқиғалар мен оқиғалардың көрінуін қамтамасыз ету үшін есептер жасай алады.
SIEM жүйелері ұйымдарға қауіпсіздік оқиғалары мен оқиғаларының орталықтандырылған көрінісін қамтамасыз ету, ықтимал қауіптерге жауап беру уақытын қысқарту және қауіптерді алдын ала іздеуді қамтамасыз ету арқылы қауіпсіздігін арттыруға көмектесе алады. Дегенмен, SIEM жүйелері Инфрақұрылым, орналастыру және техникалық қызмет көрсету тұрғысынан айтарлықтай инвестицияларды қажет етеді және тиімді жұмыс істеу үшін білікті қызметкерлерді қажет етеді.
1.2. IDS бағдарламалары немесе интрузияны анықтау жүйесінің бағдарламалары-бұл қауіпсіздіктің ықтимал қауіптері мен зиянды әрекеттері үшін желілік трафикті немесе хост жүйелерін бақылайтын бағдарламалық жасақтама. Олар кез келген күдікті немесе зиянды әрекеттер туралы қауіпсіздік қызметтерін анықтауға және ескертуге арналған және кез келген ықтимал қауіпсіздік бұзушылықтарының салдарын азайту үшін оларға жылдам әрекет етуге көмектеседі.
Міне бірнеше танымал IDS бағдарламалары:
Snort: желілік трафикті бақылай алатын және алдын ала анықталған ережелер немесе саясаттар жиынтығы негізінде ықтимал қауіпсіздік қауіптерін анықтай алатын ақысыз, ашық бастапқы кодты желілік кіруді анықтау жүйесі.
Suricata: жоғары масштабталуы мен икемділігі бар, оны кең ауқымды желілік орталарда қолдануға болатын тағы бір ақысыз және ашық бастапқы желіге кіруді анықтау және алдын алу жүйесі.
OSSEC: компьютерлік жүйелердің әртүрлі аспектілерін бақылай алатын және алдын ала анықталған ережелер мен саясаттарға негізделген ықтимал қауіптерді анықтай алатын ашық бастапқы хостқа негізделген кіруді анықтау жүйесі.
Snort-бұл желілік трафикті бақылауға және желілік шабуылдардың әртүрлі түрлерін анықтауға қабілетті ақысыз және ашық бастапқы кодты желілік кіруді анықтау жүйесі (NIDS). Ол алғаш рет 1998 жылы шығарылды және содан бері әлемдегі ең көп қолданылатын NIDS шешімдерінің біріне айналды. Snort пайдаланушыларға нақты қауіпсіздік қажеттіліктеріне сәйкес анықтау және саясат ережелерін жасауға және өзгертуге мүмкіндік беретін өте икемді және теңшелетін етіп жасалған.Snort Windows, Linux және macOS сияқты әртүрлі операциялық жүйелерде орнатылуы мүмкін. Орнатқаннан кейін ол нақты уақыт режимінде желілік трафикті талдай алады және алдын ала анықталған ережелер немесе қолтаңбалар жиынтығы негізінде ықтимал қауіптерді анықтай алады. Бұл ережелер портты сканерлеу, зиянды бағдарламаларды жұқтыру, қызмет көрсетуден бас тарту шабуылдары және т.б. сияқты желілік шабуылдардың кең ауқымын анықтау үшін пайдаланылуы мүмкін. Snort сонымен қатар күрделі және күрделі шабуылдарды анықтауға және алдын алуға мүмкіндік беретін протоколдарды талдау, Ағындарды бақылау және күйді тексеру сияқты жетілдірілген мүмкіндіктерді қамтиды.Snort-тың басты артықшылықтарының бірі-оның икемділігі мен теңшелімділігі. Пайдаланушылар қарапайым ережелер тілін қолдана отырып немесе Snort ережелерін жазу шебері сияқты жетілдірілген құралдарды қолдана отырып, өздерінің анықтау ережелері мен саясаттарын жасай алады. Бұл ережелер белгілі бір жағдайларға бейімделуі мүмкін және қауіп ландшафтындағы өзгерістерді ескере отырып реттелуі мүмкін. Snort сонымен қатар пайдаланушыларға жүйеге жаңа функционалдылықты қосуға мүмкіндік беретін үшінші тарап плагиндері мен кеңейтімдерін пайдалануды қолдайды.Snort-тың тағы бір маңызды ерекшелігі-оның журнал жүргізу және ескерту мүмкіндіктері. Шабуыл анықталған кезде, Snort ескерту жасай алады және шабуыл туралы ақпаратты, соның ішінде бастапқы және тағайындалған IP мекенжайларын, шабуыл түрін және басқа да тиісті мәліметтерді тіркей алады. Бұл ескертулер әрі қарай талдау және жауап беру үшін орталық басқару консоліне немесе басқа қауіпсіздік жүйелеріне жіберілуі мүмкін.Осылайша, Snort-бұл желілік инфрақұрылымдарды бақылау және қорғау үшін корпоративтік желілерде, мемлекеттік органдарда және басқа ұйымдарда кеңінен қолданылатын қуатты және икемді NIDS шешімі. Оның желілік шабуылдардың кең ауқымын анықтау және алдын алу қабілеті, оны теңшеу және журнал жүргізу мүмкіндігімен бірге киберқылмыс пен желілік қауіпсіздік қатерлеріне қарсы күресте құнды құрал етеді.
Suricata-бұл желілік трафикті бақылауға және нақты уақыттағы зиянды әрекеттерді анықтауға арналған Ашық бастапқы кодты (IDSIPS) желілік кіруді анықтау және алдын-алу жүйесі. Ол алғаш рет 2010 жылы шығарылды және С тілінде жазылған. Suricata жоғары масштабталуы мен икемділігіне ие, бұл оны деректер орталықтары мен бұлтты есептеу платформалары сияқты ауқымды желілік орталарда қолдануға жарамды етеді.Suricata нақты уақыт режимінде желілік трафикті талдай алады және алдын-ала анықталған ережелер немесе қолтаңбалар жиынтығы негізінде ықтимал қауіптерді анықтай алады. Бұл ережелер желілік шабуылдардың кең ауқымын, соның ішінде зиянды бағдарламаларды жұқтыруды, қызмет көрсетуден бас тарту шабуылдарын және желіні сканерлеуді анықтау үшін пайдаланылуы мүмкін. Suricata сонымен қатар протоколды декодтау, көп ағынды және басқа IDS IPS шешімдерімен салыстырғанда оны қуатты және икемді ететін файлдарды шығару сияқты жетілдірілген мүмкіндіктерді қамтиды.Suricata-ның негізгі артықшылықтарының бірі-оның жылдамдығы мен тиімділігі. Ол желілік трафикті жоғары жылдамдықта басқара алады, бұл оны нақты уақыт режимінде бақылауды және жауап беруді қажет ететін жоғары жылдамдықты желілерде қолдануға өте ыңғайлы етеді. Suricata сонымен қатар көп ағынды мүмкіндіктерінің арқасында өнімділікке нұқсан келтірместен үлкен көлемдегі трафикті басқара алады.Suricata пайдаланушыларға қарапайым ережелер тілін қолдана отырып немесе Suricata ережелерін жазу шебері сияқты жетілдірілген құралдарды қолдана отырып, өздерінің анықтау және саясат ережелерін құруға мүмкіндік беретін жоғары теңшелім мен икемділікке ие. Бұл ережелер белгілі бір жағдайларға бейімделуі мүмкін және қауіп ландшафтындағы өзгерістерді ескере отырып реттелуі мүмкін. Suricata сонымен қатар пайдаланушыларға жүйеге жаңа функционалдылықты қосуға мүмкіндік беретін үшінші тарап плагиндері мен кеңейтімдерін пайдалануды қолдайды.Suricata-ның тағы бір маңызды ерекшелігі-оның журнал жүргізу және ескерту мүмкіндіктері. Шабуыл анықталған кезде Suricata ескерту жасай алады және шабуыл туралы ақпаратты, соның ішінде бастапқы және тағайындалған IP мекенжайларын, шабуыл түрін және басқа да тиісті мәліметтерді тіркей алады. Бұл ескертулер әрі қарай талдау және жауап беру үшін орталық басқару консоліне немесе басқа қауіпсіздік жүйелеріне жіберілуі мүмкін.Осылайша, Suricata-бұл қуатты және икемді IDS IPS шешімі, ол желілік инфрақұрылымдарды бақылау және қорғау үшін кең ауқымды желілік орталарда кеңінен қолданылады. Оның жылдамдығы мен тиімділігімен үйлесетін желілік шабуылдардың кең ауқымын анықтау және алдын алу қабілеті оны киберқылмыс пен желілік қауіпсіздік қатерлеріне қарсы күресте құнды құралға айналдырады.
Ossec, open Source Security дегенді білдіреді, бұл компьютерлік жүйелерді ықтимал қауіпсіздік қауіптерінен бақылауға және қорғауға арналған Ашық бастапқы хостқа негізделген кіруді анықтау (HIDS) жүйесі. Ол алғаш рет 2003 жылы шығарылды және олардың жалпы қауіпсіздігін арттыру үшін корпоративтік желілерде, мемлекеттік органдарда және басқа ұйымдарда кеңінен қолданылады.OSSEC компьютерлік жүйелердің әртүрлі аспектілерін, соның ішінде журнал файлдарын, тізілім кілттерін, файл тұтастығын және желілік қосылымдарды бақылауға қабілетті. Ол алдын-ала анықталған ережелер немесе саясат жиынтығы негізінде ықтимал қауіптерді анықтай алады және күдікті әрекеттер анықталған кезде нақты уақыт режимінде жүйелік әкімшілерге ескерту жасай алады. OSSEC сонымен қатар желілік қосылымдарды бұғаттау немесе процестерді аяқтау сияқты әрекеттерді орындау арқылы қауіптерге жауап бере алады.OSSEC-тің басты артықшылықтарының бірі-оның икемділігі мен икемділігі. Пайдаланушылар қарапайым ережелер тілін қолдана отырып немесе OSSEC ережелерін жазу шебері сияқты жетілдірілген құралдарды қолдана отырып, өздерінің анықтау ережелері мен саясаттарын жасай алады. Бұл ережелер белгілі бір жағдайларға бейімделуі мүмкін және қауіп ландшафтындағы өзгерістерді ескере отырып реттелуі мүмкін. OSSEC сонымен қатар пайдаланушыларға жүйеге жаңа функционалдылықты қосуға мүмкіндік беретін үшінші тарап плагиндері мен кеңейтімдерін пайдалануды қолдайды.OSSEC-тің тағы бір маңызды ерекшелігі-оның орталықтандырылған басқару және есеп беру мүмкіндіктері. OSSEC орталық басқару консоліне ескертулер мен журналдарды жіберу үшін конфигурациялануы мүмкін, бұл жүйе әкімшілеріне бір жерден бірнеше жүйенің қауіпсіздігін бақылауға мүмкіндік береді. OSSEC сонымен қатар жүйенің белсенділігі мен қауіпсіздік оқиғалары туралы егжей-тегжейлі есептер шығара алатын есеп беру механизмін қамтиды.Хостқа негізделген интрузияларды анықтау мүмкіндіктерінен басқа, OSSEC руткиттерді анықтау, сәйкестік аудиті және белсенді әрекет ету сияқты мүмкіндіктерді де қамтиды. Бұл мүмкіндіктер компьютерлік жүйелердің жалпы қауіпсіздігін жақсартады және қауіпсіздіктің ықтимал бұзылуын болдырмауға көмектеседі.Осылайша, OSSEC-бұл компьютерлік жүйелерді ықтимал қауіпсіздік қауіптерінен бақылау және қорғау үшін корпоративтік желілерде және басқа ұйымдарда кеңінен қолданылатын қуатты және икемді HIDS шешімі. Оның теңшелімділігі, орталықтандырылған басқару және есеп беру мүмкіндіктері руткиттерді табумен, сәйкестік аудитімен және белсенді әрекет ету мүмкіндіктерімен бірге оны киберқылмыс пен желілік қауіпсіздік қатерлерімен күресуде құнды құралға айналдырады.
1.3. Басып кірудің өзектілігі
Басып кіруді анықтау жүйесі қазіргі таңда өзекті және маңызды болып қала береді. Жыл сайын компьютерлік жүйелерге кибершабуылдар мен хакерлік шабуылдар көбейіп келеді, сондықтан тиімді қорғаныс әдістерін әзірлеу және қолдану қажет. Интрузияны анықтау жүйелері Компьютерлік жүйелерді қорғаудың маңызды құрамдас бөлігі болып табылады. Олар шабуылдарды тез анықтауға және алдын алуға, сондай-ақ жүйенің қауіпсіздігін нақты уақыт режимінде бақылауға мүмкіндік береді. Интрузияны анықтау жүйесі болмаса, компьютерлік жүйелер шабуылдарға осал болып қалуы мүмкін, бұл құпия ақпараттың ағып кетуіне, жүйенің бұзылуына, деректердің жоғалуына және басқа да көптеген мәселелерге әкелуі мүмкін. Сонымен қатар, қазіргі уақытта интернет заттары (IoT) тұжырымдамасы аясында Интернетке қосылған құрылғылардың саны артып келеді. Бұл кибершабуылдарға осал болуы мүмкін құрылғылар, сондықтан бұл құрылғыларды қорғау үшін интрузияны анықтау жүйелерін жобалау және пайдалану маңызды. Осылайша, интрузияны анықтау жүйесінің тақырыбы кибершабуылдар мен IoT құрылғыларының таралу қаупінің артуы аясында өзекті және маңызды болып қала береді.
IoT дегеніміз-адамның араласуынсыз Интернет арқылы бір-бірімен байланысуға қабілетті өзара байланысты құрылғылар желісін білдіретін Заттар интернеті. Бұл құрылғылар тұрмыстық техника мен тозуға болатын технологиядан бастап өнеркәсіптік жабдықтар мен "Ақылды қала"инфрақұрылымына дейін болуы мүмкін. Заттар интернетінің мақсаты - бұл құрылғыларды қосу және оларға өзара байланысты және тиімді әлем құру үшін өзара әрекеттесуге және деректермен алмасуға мүмкіндік беру. IoT құрылғыларында әдетте сенсорлар немесе деректерді жинау механизмдерінің басқа түрлері, сондай-ақ деректерді жіберуге және алуға мүмкіндік беретін бағдарламалық жасақтама мен желілік байланыс бар. Бұл деректерді әртүрлі жүйелерді бақылау және басқару, процестерді автоматтандыру және нақты уақыт режимінде шешім қабылдау мүмкіндігін қамтамасыз ету үшін пайдалануға болады. Интернет заттарының кейбір жалпы мысалдарына мыналар жатады:
:: Термостаттар, қауіпсіздік камералары және жарықтандыру жүйелері сияқты "ақылды үй" құрылғылары.
:: Фитнес-трекерлер мен ақылды сағаттар сияқты киюге болатын технологиялар.
:: Өндірісте, логистикада және ауыл шаруашылығында қолданылатын өнеркәсіптік датчиктер мен жабдықтар.
:: Жол қозғалысы мен қоғамдық көлікті басқару жүйелері сияқты "ақылды қала" инфрақұрылымы.
Заттар интернеті көптеген салаларда төңкеріс жасауға және қолданудың кең ауқымында тиімділік пен өнімділікті арттыруға мүмкіндігі бар. Дегенмен, заттардың интернеті қауіпсіздік пен құпиялылыққа қатысты маңызды мәселелерді тудырады. IoT құрылғылары жиі Интернетке қосылып, құпия деректерді жинайтындықтан, олар кибершабуылдар мен деректердің бұзылуына осал. Шифрлау, кіруді басқару және тұрақты жаңартулар сияқты қауіпсіздік шаралары интернет заттары мен олар жинайтын деректерді қорғау үшін қажет.
IDS (интрузияны анықтау жүйесі) өзекті, себебі ол ұйымның қауіпсіздік стратегиясының маңызды құрамдас бөлігі болып табылады. IDS жүйелері ықтимал қауіптер мен шабуылдардың белгілерін анықтау үшін желілік трафикті немесе хост әрекетін бақылау арқылы қауіпсіздіктің бұзылуын анықтауға және алдын алуға көмектеседі. Желілік трафик немесе жүйелік журналдар сияқты әртүрлі көздерден алынған деректерді талдай отырып, IDS systems шабуылды көрсетуі мүмкін күдікті үлгілерді немесе ауытқуларды анықтай алады. IDS жүйелері қауіпсіздік қызметкерлерін ықтимал қауіптер туралы ескертуі, трафикті бұғаттауы немесе қауіпті азайту үшін басқа әрекеттерді орындауы мүмкін. IDS жүйелері құпия деректерді өңдейтін немесе интернетте үлкен қатысуы бар ұйымдар үшін өте маңызды. Олар деректердің бұзылуы, Желіні сканерлеу және қызмет көрсетуден бас тарту сияқты шабуылдарды анықтауға және болдырмауға көмектеседі. Осы шабуылдарды анықтау және алдын алу арқылы IDS systems ұйымдарға өз активтерін, беделін және Тұтынушы деректерін қорғауға көмектеседі. IDS жүйелері сенімді және тиімді болып қалу үшін үнемі техникалық қызмет көрсету мен жаңартуларды қажет етеді. Сонымен қатар, IDS жүйелерін дұрыс конфигурациялау және бақылау және ескертулерге жауап беру үшін білікті қызметкерлер қажет. Осы мәселелерге қарамастан, IDS жүйелері ұйымның жалпы қауіпсіздік стратегиясының маңызды құрамдас бөлігі болып қала береді және қауіпсіздіктің бұзылуын анықтау және алдын алу үшін қажет.
IDS (интрузияны анықтау жүйесі) бірнеше себептерге байланысты ұйымдар үшін маңызды:
Қауіпсіздіктің бұзылуын анықтау және алдын алу: IDS жүйелері ықтимал қауіптер мен шабуылдардың белгілерін анықтау үшін желілік трафикті немесе хост әрекетін бақылайды. Әр түрлі көздерден алынған деректерді талдай отырып, IDS жүйелері шабуылды көрсететін күдікті заңдылықтарды немесе ауытқуларды анықтай алады. IDS жүйелері қауіпсіздік қызметкерлерін ықтимал қауіптер туралы ескертуі, трафикті бұғаттауы немесе қауіпті азайту үшін басқа әрекеттерді орындауы мүмкін. Қауіпсіздіктің бұзылуын анықтау және алдын алу арқылы IDS жүйелері ұйымдарға өз активтерін, беделін және Тұтынушы деректерін қорғауға көмектеседі.
Оқиғаларға жауап беру уақытын қысқарту: IDS жүйелері қауіпсіздік оқиғаларын анықтау және оларға жауап беру уақытын қысқартуға көмектеседі. Қауіпсіздік қызметкерлеріне ықтимал қауіптер туралы ескерту арқылы IDS жүйелері оларға оқиғаларды тез және тиімді зерттеуге және оларға жауап беруге мүмкіндік береді. Бұл оқиғаның салдарын азайтуға және ұйымға одан әрі зиян келтірмеуге көмектеседі.
Сәйкестік: IDS жүйелері көбінесе салалық ережелермен немесе PCI DSS немесе HIPAA сияқты стандарттармен талап етіледі. IDS жүйесін енгізу арқылы ұйымдар осы стандарттарға сәйкестігін көрсете алады және ықтимал айыппұлдарды болдырмайды.
Тәуекелдерді басқару: IDS жүйелері ұйымның тәуекелдерді басқару стратегиясының маңызды құрамдас бөлігі болып табылады. Желілік трафикті немесе хост белсенділігін ықтимал қауіптерге бақылау арқылы IDS жүйелері ұйымдарға қауіпсіздік тәуекелдерін анықтауға және басқаруға көмектеседі.
Осылайша, IDS жүйелері ұйымдарға қатысты, өйткені олар қауіпсіздіктің бұзылуын анықтауға және алдын алуға, оқиғаларға жауап беру уақытын қысқартуға, салалық Ережелерге сәйкестікті қамтамасыз етуге және қауіпсіздік тәуекелдерін басқаруға көмектеседі.
4.4. Басып кірудің түрлері
Интрузияны анықтау жүйелері (IDS) кез-келген ұйым үшін кибершабуылдарды анықтауға және алдын алуға мүмкіндік беретін маңызды қауіпсіздік құралдары болып табылады. Жүйе күдікті әрекеттер үшін желілік трафикті бақылайды және қауіпсіздік қызметіне кез келген ықтимал қауіптер туралы ескертеді. Бұл мақалада біз IDS негіздерін, оның қалай жұмыс істейтінін және IDS-тің әртүрлі түрлерін қарастырамыз. IDS-бұл компьютерлік жүйеге немесе желіге рұқсатсыз кіруді немесе шабуылдарды анықтауға және болдырмауға арналған қауіпсіздік құралы. Жүйе шабуыл немесе зиянды әрекетті көрсететін үлгілерді іздеу арқылы нақты уақыт режимінде желілік трафикті бақылайды. Идентификаторларды екі түрге бөлуге болады: хостқа негізделген интрузияны анықтау жүйесі (HIDS) және желілік интрузияны анықтау жүйесі (NIDS). IDS әдеттен тыс үлгілерді немесе әрекеттерді анықтау үшін желілік трафикті немесе жүйелік журналдарды талдау арқылы жұмыс істейді. Жүйе желінің қалыпты немесе қалыптан тыс әрекеті деп саналатын ережелер немесе қолтаңбалар жиынтығын қолданады. IDS аномалияны немесе зиянды әрекетті анықтаған кезде, ол қауіпсіздік туралы ескертетін дабылды бастайды.
Интрузияны анықтау жүйелерінің түрлері:
+ Желілік интрузияны анықтау жүйесі (NIDS)
+ Хостқа негізделген интрузияны анықтау жүйесі (HIDS)
+ Хаттамаға негізделген интрузияны анықтау жүйесі (PIDS)
+ Қолданбалы хаттамаға негізделген интрузияны анықтау жүйесі (APIDS)
+ Гибридті интрузияны анықтау жүйесі
Желілік интрузияны анықтау жүйесі (NIDS)
Желілік интрузияны анықтау жүйесі (NIDS) - желілік трафикті бақылауға және ықтимал қауіпсіздік қауіптерін анықтауға арналған интрузияны анықтау жүйесінің (IDS) бір түрі. NIDS нақты уақыт режимінде желілік пакеттерді талдау, күдікті әрекеттің белгілерін немесе қауіпсіздіктің бұзылуын көрсететін заңдылықтарды іздеу арқылы жұмыс істейді. NIDS зиянды бағдарламаларды жұқтыру, рұқсатсыз кіру әрекеттері және күдікті желі әрекеттері сияқты қауіптердің кең ауқымын анықтай алады. Мысалы, NIDS белгілі шабуыл қолтаңбалары үшін желілік трафикті бақылай алады немесе қауіпсіздіктің бұзылуын көрсететін желі мінез-құлқындағы ауытқуларды анықтау үшін машиналық оқыту алгоритмдерін қолдана алады. NID-ді желінің әр түрлі нүктелерінде, соның ішінде желінің периметрі бойынша, DMZ-де (демилитаризацияланған аймақ) және желінің ішкі сегменттерінде орналастыруға болады. Ол сондай-ақ HTTP, FTP және SMTP сияқты әртүрлі желілік протоколдарды бақылау үшін пайдаланылуы мүмкін. NIDS-тің артықшылықтарының бірі-бұл нақты уақыт режимінде желілік трафикті бақылау мүмкіндігі, бұл ұйымдарға қауіпсіздік оқиғаларын тез анықтауға және оларға жауап беруге мүмкіндік береді. Ол сондай-ақ маңызды жүйелерге немесе деректерге жеткенге дейін ықтимал қауіптерді анықтау үшін пайдаланылуы мүмкін. Дегенмен, NIDS басқа IDS шешімдеріне қарағанда орнату және техникалық қызмет көрсету қиынырақ болуы мүмкін. Жаңа және пайда болған қауіптерге қарсы тиімді болуын қамтамасыз ету үшін қолтаңбаны анықтау ережелері мен дерекқорын үнемі жаңартып отыру қажет. Жалпы, NIDS желілік қауіпсіздікті кешенді бақылауды және қауіптерді анықтауды қажет ететін ұйымдар үшін тиімді құрал болып табылады. Нақты уақыттағы желілік трафикті талдау арқылы ол ықтимал қауіптердің жылдам және егжей-тегжейлі талдауын қамтамасыз ете алады және ұйымдарға қауіпсіздік оқиғаларына тез жауап беруге көмектеседі.
Демилитаризацияланған аймақ (DMZ) - бұл ұйымның ішкі желісін жалпыға қол жетімді интернеттен бөлу арқылы қауіпсіздіктің қосымша қабатын қамтамасыз ететін желілік архитектура. DMZ әдетте ішкі желіден оқшауланған, бірақ интернеттен қол жетімді жеке физикалық немесе логикалық желі сегментін қолдану арқылы жүзеге асырылады. DMZ мақсаты-жалпыға қол жетімді Интернет пен ұйымның ішкі желісі арасындағы буферлік аймақты қамтамасыз ету. Ол әдетте интернеттен қол жетімді болуы керек веб-серверлер, электрондық пошта серверлері немесе FTP серверлері сияқты жалпыға ортақ қызметтерді орналастыру үшін қолданылады. Бұл серверлерді демилитаризацияланған аймаққа орналастыру арқылы ұйымдар өздерінің ішкі желісінің ықтимал шабуылдарға ұшырауын шектей алады және деректердің жоғалу немесе рұқсатсыз кіру қаупін азайтады. DMZ көбінесе брандмауэр немесе DMZ мен ішкі желі арасындағы кіруді басқаратын басқа желілік қауіпсіздік құрылғысы арқылы жүзеге асырылады. Брандмауэрді DMZ мен ішкі желі арасындағы трафиктің белгілі бір түрлерін, мысалы, HTTP немесе SMTP трафигін өткізіп, барлық басқа трафикті бұғаттайтындай етіп орнатуға болады. Бұл DMZ-ге енуі мүмкін кез келген ықтимал қауіптердің DMZ ішінде болуын және ішкі желіге ене алмауын қамтамасыз етуге көмектеседі. Қауіпсіздіктің қосымша қабатын қамтамасыз етумен қатар, DMZ ұйымдарға құпия деректерді рұқсатсыз кіруден қорғауға кепілдік бере отырып, ережелерді сақтауға көмектесе алады. PCI DSS сияқты көптеген нормативтік-құқықтық базалар ұйымдардан өздерінің жалпыға ортақ серверлері мен қызметтерін қорғау үшін DMZ пайдалануды талап етеді. Тұтастай алғанда, DMZ ықтимал қауіптерден қорғаудың қосымша қабатын қамтамасыз ететін және ұйымдарға қауіпсіз және үйлесімді желі ортасын сақтауға көмектесетін кешенді желілік қауіпсіздік стратегиясының маңызды құрамдас бөлігі болып табылады.
Хостқа негізделген интрузияны анықтау жүйесі (HIDS)
Хосттың интрузиясын анықтау жүйесі (HIDS) - олардың белсенділігін бақылау және ықтимал қауіпсіздік қауіптерін анықтау үшін жеке хост машиналарында орнатылған интрузияны анықтау жүйесінің (IDS) бір түрі. HIDS жүйелік журналдар мен хост әрекеттерін талдау, күдікті мінез-құлық немесе рұқсатсыз кіру белгілерін іздеу арқылы жұмыс істейді. HIDS көптеген қауіптерді, соның ішінде зиянды бағдарламаларды жұқтыруды, рұқсатсыз кіру әрекеттерін және күдікті жүйелік әрекеттерді анықтай алады. Мысалы, HIDS жүйелік файлдар мен тізілім бөлімдерін зиянды бағдарламаның инфекциясын көрсетуі мүмкін өзгерістерді бақылай алады немесе күдікті әрекеттерді немесе рұқсатсыз кіру әрекеттерін анықтау үшін желілік қосылымдарды бақылай алады. HIDS әртүрлі хост машиналарында, соның ішінде серверлерде, жұмыс станцияларында және басқа соңғы нүктелерде орнатылуы мүмкін. Ол көбінесе корпоративтік желі сияқты бақыланатын соңғы нүктелер саны көп ортада қолданылады. HIDS-тің артықшылықтарының бірі-ол IDS желілік шешімдеріне көрінбейтін қауіптерді анықтай алады. Ол тікелей негізгі компьютерге орнатылғандықтан, ол жүйенің белсенділігі туралы көбірек ақпаратқа қол жеткізе алады және ықтимал қауіптердің егжей-тегжейлі талдауын қамтамасыз ете алады. Дегенмен, HIDS басқа IDS шешімдеріне қарағанда орнату және техникалық қызмет көрсету қиынырақ болуы мүмкін. Жаңа және пайда болған қауіптерге қарсы тиімді болуын қамтамасыз ету үшін қолтаңбаны анықтау ережелері мен дерекқорын үнемі жаңартып отыру қажет. Тұтастай алғанда, HIDS қауіптерді анықтау және қорғау үшін егжей-тегжейлі тәсілді қажет ететін ұйымдар үшін тиімді құрал болып табылады. Хост деңгейіндегі белсенділікті бақылау арқылы ол ықтимал қауіптердің егжей-тегжейлі талдауын қамтамасыз ете алады және ұйымдарға қауіпсіздік оқиғаларына тез жауап беруге көмектеседі.
Хаттамаға негізделген интрузияны анықтау жүйесі (PIDS)
Протоколға негізделген интрузияны анықтау жүйесі (PIDS) - бұл протокол деңгейіндегі желілік трафикті бақылауға бағытталған интрузияны анықтау жүйесінің (IDS) түрі. PIDS протоколға тән қауіпсіздік мәселелері мен ауытқуларды анықтау үшін желілік пакеттерді талдау арқылы жұмыс істейді. PIDS HTTP, FTP, SMTP және басқаларын қоса алғанда, желілік протоколдардың кең ауқымын бақылау үшін пайдаланылуы мүмкін. Ол протоколды дұрыс пайдаланбаумен, протоколға тән шабуылдармен және басқа идентификатор түрлерімен анықталмауы мүмкін басқа қауіпсіздік мәселелерімен байланысты ықтимал қауіпсіздік қауіптерін анықтай алады. Мысалы, PIDS протоколды дұрыс пайдаланбауға байланысты күдікті әрекеттерді анықтай алады, мысалы, күтілетін мәндер ауқымынан тыс HTTP сұрауы. Ол сондай-ақ веб-қосымшаға бағытталған SQL инъекциялық шабуылдары сияқты протоколға тәуелді шабуылдарды анықтай алады. PIDS-тің артықшылықтарының бірі-оның Протокол деңгейінде желілік трафиктің егжей-тегжейлі талдауын қамтамасыз ету мүмкіндігі. Бұл ұйымдарға басқа IDS шешімдеріне көрінбейтін ықтимал қауіпсіздік қауіптерін анықтауға көмектеседі. Сонымен қатар, PIDS басқа IDS шешімдеріне қарағанда тиімдірек болуы мүмкін, өйткені ол бүкіл желілік трафикті талдауға емес, белгілі бір протоколдарды бақылауға бағытталған. Дегенмен, PIDS басқа IDS шешімдеріне қарағанда орнату және техникалық қызмет көрсету қиынырақ болуы мүмкін, өйткені ол бақыланатын хаттамаларды егжей-тегжейлі түсінуді қажет етеді. Сонымен қатар, PID белгілі бір хаттамаға негізделмеген шабуылдарға қарсы тиімді болмауы мүмкін. Жалпы, PIDS белгілі бір хаттамаға байланысты қауіптерді анықтау және қорғауды қажет ететін ұйымдар үшін тиімді құрал болып табылады. Протокол деңгейіндегі желілік трафикті бақылау арқылы ол ықтимал қауіптердің егжей-тегжейлі талдауын қамтамасыз ете алады және ұйымдарға протоколды дұрыс пайдаланбау мен шабуылдарға байланысты қауіпсіздік оқиғаларына жылдам жауап беруге көмектеседі.
Қолданбалы хаттамаға негізделген интрузияны анықтау жүйесі (APIDS)
Қолданбалы протоколға негізделген интрузияны анықтау жүйесі (APIDS) - қолданбалы Протокол деңгейінде желілік трафикті бақылауға және пайдаланылған қолданбалы протоколдардың сипаттамаларына негізделген ықтимал қауіпсіздік қауіптерін анықтауға арналған интрузияны анықтау жүйесінің (IDS) түрі. APIDS желілік пакеттердің мазмұнын талдау және қолданбалы деңгейде қауіпсіздіктің бұзылуын көрсететін әрекет үлгілерін іздеу арқылы жұмыс істейді. APID-ті HTTP, SMTP, DNS және FTP сияқты әртүрлі қолданбалы протоколдарды бақылау үшін пайдалануға болады. Ол қауіптердің кең ауқымын, соның ішінде белгілі шабуыл қолтаңбаларын және қолданбалардың қалыптан тыс әрекеттерін анықтай алады. Мысалы, APIDS сайтаралық сценарий шабуылдарының (XSS) белгілері үшін HTTP трафигін немесе электрондық поштаны бұрмалау немесе фишинг әрекеттері үшін SMTP трафигін бақылай алады. APID-ді желінің әртүрлі нүктелерінде, соның ішінде желінің периметрі бойынша, DMZ-де (демилитаризацияланған аймақ) және желінің ішкі сегменттерінде орналастыруға болады. Оны хост негізіндегі идентификаторлар немесе желі идентификаторлары сияқты басқа IDS шешімдеріне қосымша пайдалануға болады. APIDS-тің артықшылықтарының бірі-оның белгілі бір қолданбалы хаттамаларға тән қауіптерді анықтау мүмкіндігі. Қолданбалы деңгейде желілік трафикті бақылау арқылы ол басқа IDS шешімдері жіберіп алуы мүмкін ықтимал қауіптерді анықтай алады. Дегенмен, APID басқа IDS шешімдеріне қарағанда орнату және техникалық қызмет көрсету қиынырақ болуы мүмкін. Жаңа және пайда болған қауіптерге қарсы тиімді болуын қамтамасыз ету үшін қолтаңбаны анықтау ережелері мен дерекқорын үнемі жаңартып отыру қажет. Жалпы, APIDS қауіп-қатерді анықтауды және нақты қолданбалардан қорғауды қажет ететін ұйымдар үшін тиімді құрал болып табылады. Қолданбалы деңгейде желілік трафикті талдау арқылы ол ықтимал қауіптердің егжей-тегжейлі талдауын қамтамасыз ете алады және ұйымдарға қауіпсіздік оқиғаларына тез жауап беруге көмектеседі.
Гибридті интрузияны анықтау жүйесі
Гибридті кіруді анықтау жүйесі (HIDS) - бұл қауіпсіздіктің неғұрлым жан-жақты шешімін қамтамасыз ету үшін хостқа негізделген идентификаторлардың (HIDS) және желілік идентификаторлардың (NIDS) элементтерін біріктіретін кіруді анықтау жүйесінің (IDS) түрі. HIDS серверлер немесе жұмыс станциялары сияқты жеке түйіндердегі әрекеттерді бақылайды және қауіпсіздіктің ықтимал қауіптерін анықтау үшін жүйелік журналдарды, файлдардың тұтастығын және түйіндегі басқа деректерді талдайды. Бұл тәсіл әсіресе зиянды бағдарламаларды жұқтыру немесе рұқсатсыз кіру әрекеттері сияқты белгілі бір хосттарға бағытталған шабуылдарды анықтауда тиімді. Екінші жағынан, NIDS желілік трафикті бақылайды және оны ықтимал қауіпсіздік қатерлеріне талдайды. Бұл тәсіл әсіресе портты сканерлеу немесе қызмет көрсетуден бас тарту (DoS) шабуылдары сияқты желіге бағытталған шабуылдарды анықтауда тиімді. Гибридті IDS екі тәсілді де біріктіреді, бұл желінің толық көрінісін қамтамасыз етеді және ұйымдарға хост деңгейінде де, желіде де қауіптерді анықтауға мүмкіндік береді. Хосттың да, желінің де белсенділігін бақылау арқылы HIDS NIDS немесе тек HIDS жіберіп алуы мүмкін шабуылдарды анықтай алады. Гибридті IDS-тің артықшылықтарының бірі-оның қауіпсіздікке төнетін қауіптердің дәл көрінісін қамтамасыз ететін бірнеше көздерден алынған деректерді сәйкестендіру мүмкіндігі. Мысалы, егер HIDS хостта рұқсат етілмеген кіру әрекетін анықтаса, Hybrid IDS шабуыл көзін анықтау және нысанаға айналуы мүмкін басқа хосттарды анықтау үшін желілік трафик журналдарын талдай алады. Дегенмен, гибридті IDS бірнеше көздерден деректерді біріктіру үшін арнайы жабдық пен бағдарламалық құралды қажет ететін басқа IDS шешімдеріне қарағанда күрделірек және іске асыру қымбатырақ болуы мүмкін. Ол сондай-ақ жаңа және жаңадан пайда болған қауіптерге қарсы тиімді болып қалуын қамтамасыз ету үшін оның анықтау ережелері мен қолтаңба дерекқорын үнемі жаңартып отыруды талап етеді. Тұтастай алғанда, Hybrid IDS хосттар мен желідегі қауіптердің кең ауқымынан қорғау үшін жан-жақты қауіпсіздік шешімін қажет ететін ұйымдар үшін тиімді құрал болып табылады. HIDS және NID екеуінің де күшті жақтарын біріктіре отырып, ол ықтимал қауіпсіздік қауіптері туралы толық түсінік бере алады және ұйымдарға қауіпсіздік оқиғаларына жылдам жауап беруге көмектеседі.
Негізгі бөлім
1. Машиналық оқыту
2.1. Машиналық оқыту
Машиналық оқыту-бұл компьютерлерге нақты бағдарламалаусыз үйренуге және шешім қабылдауға мүмкіндік беретін алгоритмдер мен модельдерді әзірлеуді қамтитын жасанды интеллект (AI) бөлімі. Машиналық оқыту компьютерлерге деректерден сабақ алуға және оларды талдауға, заңдылықтарды анықтауға, болжам жасауға және тәжірибеге негізделген тапсырмаларды орындауға мүмкіндік береді, әр нақты тапсырма үшін нақты бағдарламалаусыз. Машиналық оқыту алгоритмдері әдетте деректер ішіндегі заңдылықтарды немесе қатынастарды анықтау үшін оқу деректері деп аталатын үлкен көлемдегі деректерді өңдеу арқылы жұмыс істейді. Содан кейін бұл үлгілер немесе қатынастар болжам жасау, деректерді әртүрлі санаттарға жіктеу немесе басқа тапсырмаларды орындау үшін қолданылады. Машиналық оқыту алгоритмдері белгілі нәтижелері бар таңбаланған деректерден сабақ алған кезде немесе таңбаланған мысалдарсыз деректер ішіндегі заңдылықтарды немесе қатынастарды анықтаған кезде бақылауда болуы мүмкін.
Машиналық оқыту әдістерінің әртүрлі түрлері бар, соның ішінде:
Бақыланатын оқыту: машиналық оқытудың бұл түрінде алгоритм дұрыс нәтиже берілген жерде белгіленген мәліметтерден оқытылады. Алгоритм белгіленген деректерде анықтайтын үлгілерге негізделген болжамдар немесе жіктеулер жасауды үйренеді.
Бақыланбайтын оқыту: машиналық оқытудың бұл түрінде алгоритм таңбаланбаған мәліметтер негізінде оқытылады, онда нәтижелер берілмейді. Алгоритм дұрыс нәтижелерді білмей-ақ деректердегі заңдылықтарды немесе қатынастарды анықтайды.
Күшейтілген оқыту: машиналық оқытудың бұл түрінде алгоритм қоршаған ортамен өзара әрекеттесу арқылы оқытылады. Алгоритм өзінің іс-әрекетіне негізделген сыйақылар немесе айыппұлдар түрінде кері байланыс алады және уақыт өте келе сыйақыны көбейту үшін өз әрекеттерін оңтайландыруды үйренеді.
Терең оқыту: терең оқыту-бұл адам миының құрылымы мен қызметіне негізделген жасанды нейрондық желілерді пайдалануды қамтитын машиналық оқытудың ішкі жиынтығы. Конволюциялық нейрондық желілер (CNNs) және қайталанатын нейрондық желілер (RNNs) сияқты терең оқыту алгоритмдері деректердің үлкен көлемін өңдеуге қабілетті және әдетте кескінді тану, сөйлеуді тану және табиғи тілді өңдеу сияқты тапсырмаларда қолданылады.
Машиналық оқыту күрделі мәселелерді шешу, болжам жасау және шешім қабылдау процестерін автоматтандыру үшін киберқауіпсіздік, қаржы, денсаулық сақтау, маркетинг және т.б. қоса алғанда, әртүрлі салаларда кеңінен қолданылады. Ол дамуды жалғастыруда және болашақта біздің күнделікті өміріміз бен саламыздың көптеген аспектілеріне айтарлықтай әсер етуі мүмкін.
2.2. Машиналық оқытудың өзектілігі
Соңғы жылдары Машиналық оқыту, әсіресе деректерді талдау және жасанды интеллект саласында өзекті бола бастады. Міне, машиналық оқытудың өзекті болуының кейбір негізгі жолдары:
# Болжамды аналитика: Машиналық оқыту алгоритмдері үлкен көлемдегі деректерді талдай алады және болашақ оқиғалар мен тенденциялар туралы болжам жасай алады. Бұл әсіресе қаржы, денсаулық сақтау және маркетинг сияқты салаларда пайдалы болуы мүмкін.
# Алаяқтықты анықтау: Машиналық оқыту алгоритмдерін қаржылық транзакциялардағы, сақтандыру төлемдеріндегі және алаяқтық алаңдаушылық тудыратын басқа салалардағы алаяқтық мінез-құлық үлгілерін анықтау үшін пайдалануға болады.
# Табиғи тілді өңдеу: Машиналық оқыту алгоритмдерін адам тілін талдау және түсіну үшін пайдалануға болады, бұл чатботтарды, виртуалды көмекшілерді және табиғи тілдегі адамдармен қарым-қатынас жасай алатын басқа құралдарды жасауға мүмкіндік береді.
# Кескінді және сөйлеуді тану: Машиналық оқыту алгоритмдерін кескінді тану және сөйлеуді тану үшін пайдалануға болады, бұл бетті тану, дауыстық көмекшілер және өзін-өзі басқаратын көліктер сияқты қолданбаларды пайдалануға мүмкіндік береді.
# Киберқауіпсіздік: Машиналық оқыту алгоритмдерін желілік трафиктегі күдікті мінез-құлық үлгілерін анықтау және ықтимал қауіпсіздік қауіптерін анықтау үшін пайдалануға болады.
Машиналық оқыту-бұл компанияларға бұрын мүмкін болмаған ақпаратты алуға және болжам жасауға мүмкіндік беретін салалар мен пайдалану жағдайларының кең ауқымында қолдануға болатын қуатты құрал. Деректер көлемі өсіп, күрделене түскендіктен, Машиналық оқыту болашақта одан да өзекті болуы мүмкін.
Болжалды аналитика-деректерді талдау және болашақ оқиғалар мен тенденциялар туралы болжам жасау үшін статистикалық және машиналық оқыту алгоритмдерін пайдалану. Бұл болашақ нәтижелерді болжау үшін пайдаланылуы мүмкін тенденциялар мен қатынастарды анықтау үшін үлкен деректер жиынтығынан үлгілер мен аналитикалық деректерді алуды қамтиды. Болжалды аналитика қаржы, денсаулық сақтау, маркетинг және бөлшек сауда сияқты әртүрлі салаларда тұтынушылардың мінез-құлқын болжау, нарық тенденцияларын анықтау және бизнес-процестерді оңтайландыру үшін қолданылады. Мысалы, болжамды аналитиканы қаржы саласында акциялардың бағасын болжау, несиелік тәуекелді анықтау және алаяқтық әрекеттерді анықтау үшін қолдануға болады.
Болжалды аналитика процесі әдетте келесі қадамдарды қамтиды:
1. Деректерді жинау: клиенттердің транзакциялық деректері, әлеуметтік медиа деректері және веб-сайтқа кіру деректері сияқты бірнеше көздерден тиісті деректерді жинау.
2. Деректерді алдын ала өңдеу: қайталануларды жою, жетіспейтін мәндерді толтыру және деректерді Машиналық оқыту алгоритмдері пайдалана алатын пішімге түрлендіру арқылы деректерді тазалау және талдауға дайындау.
3. Деректерді талдау: деректерді талдау және заңдылықтар мен тенденцияларды анықтау үшін статистикалық және машиналық оқыту алгоритмдерін қолдану.
4. Модель құру: деректерді талдау негізінде болжам жасау үшін пайдалануға болатын болжамды модельдерді әзірлеу.
5. Модельді бағалау: болжамдарды нақты нәтижелермен салыстыру арқылы болжамды модельдердің дәлдігін тексеру.
6. Іске асыру: болжамды модельдерді бизнес-процестерге қосу және оларды болашақ оқиғалар немесе тенденциялар туралы негізделген шешімдер қабылдау үшін пайдалану.
Деректерді алдын - ала өңдеу-бұл деректерді талдау мен машиналық оқытудың маңызды қадамы, ол шикі деректерді алгоритмдермен оңай қолдануға және талдауға болатын форматқа тазартуды және түрлендіруді қамтиды. Деректерді алдын ала өңдеудің мақсаты-деректер сапасын жақсарту ... жалғасы
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz