SCIENTIFIC PROGRESS
VOLUME 2 ǀ ISSUE 7 ǀ 2021
ISSN: 2181-1601
AXBOROT TIZIMIGA HUJUMLARNING BELGILARI VA ULARNI
ANIQLASH USULLARI
Yodgora Suyun qizi Jo’rayeva
Muhammad Al- Xorazmiy nomidagi Toshkent axborot texnologiyalari universiteti
ANNOTATSIYA
Bugungi kunda hujum va hujumlarni aniqlash tizimlari odatda kompyuter
tizimida yoki tarmoqda sodir bo'lgan voqealarni nazorat qilish jarayonini
avtomatlashtiradigan dasturiy yoki apparat-dasturiy yechimlardir, shuningdek,
xavfsizlik muammolari belgilarini qidirishda ushbu voqealarni mustaqil ravishda tahlil
qilishadi. Ushbu maqolada axborot tizimiga hujumlarning belgilari va ularni aniqlash
usullari bir necha bosqichlarda ko'rstib berilgan.
Kalit so’zlar: axborot, xavfsizlik, tizim, belgi
Tarmoq hujumlarini aniqlash va axborot tizimlariga kompyuter hujumlarining
belgilarini aniqlash tizimlari uzoq vaqtdan beri axborot tizimlarini himoya qilishning
zarur bosqichlaridan biri sifatida ishlatilgan. Ushbu sohada axborotni muhofaza qilish
tizimlarini ishlab chiquvchilar va maslahatchilar tomonidan "atrof-muhit", "statsionar"
va "dinamik" himoya qilish kabi tushunchalar (jismoniy va sanoat xavfsizligini
ta'minlash yo'nalishidan ko'chirilgan) o'z shartlari, masalan, "proaktiv" himoya
vositalari paydo bo'ldi.
Kompyuter tarmoqlari va tizimlariga hujumlarni aniqlash bo'yicha tadqiqotlar
aslida chorak asrdan ko'proq vaqt davomida butun dunyoda olib borilmoqda.
Hujumlarning belgilari o'rganilmoqda, ham xavfsizlik tizimlari, ham mahalliy —
mantiqiy va hatto jismoniy darajalarda ruxsatsiz kirishga urinishlarni aniqlash usullari
va vositalari ishlab chiqilmoqda va boshqarilmoqda.
Quyida biz axborot tizimiga hujumlarning belgilari va ularni aniqlash usullarini
ko'rib chiqamiz.
Hujumlarni aniqlash jarayonining bosqichlari quyidagilardan iborat. Hujumlarni
aniqlash jarayonini amalga oshirishning birinchi bosqichi hujum tizimi va uning
parametrlari haqida ma'lumot yig'ishdir. U tarmoq topologiyasini, tajovuzkor tugunning
operatsion tizimining turini va versiyasini, shuningdek, mavjud tarmoq va boshqa
xizmatlarning mavjudligini aniqlash kabi harakatlarni o'z ichiga oladi.
Ikkinchi bosqich - atrof-muhitni o'rganish. Ushbu bosqichda huquqbuzar
belgilangan tahdidni keyinchalik amalga oshirishni hisobga olgan holda tarmoq
infratuzilmasini tekshiradi. Tarmoq infratuzilmasi sohalarini tahlil qilish quyidagilarni
o'z ichiga oladi: Internet-provayderning server maydoni yoki hujum qilinadigan
kompaniyaning uzoq ofis tugunlari. Ushbu bosqichda huquqbuzar vakolatli
Uzbekistan
www.scientificprogress.uz
Page 674
SCIENTIFIC PROGRESS
VOLUME 2 ǀ ISSUE 7 ǀ 2021
ISSN: 2181-1601
foydalanuvchilarning manzillarini, tizim axborot resurslarining egalarini, vakolatli
jarayonlarini va boshqalarni aniqlaydi. Bunday xatti-harakatlarni aniqlash juda qiyin,
chunki ular mudofaa vositalari (xavfsizlik devorlari, hujumlarni aniqlash tizimlari va
boshqalar) tomonidan boshqariladigan tashqi maydondan ancha uzoq vaqt davomida
amalga oshiriladi.
Uchinchi bosqich - tarmoq topologiyasini aniqlash. Hujumchilar tomonidan
ishlatiladigan tarmoq topologiyasini (tarmoq topologiyasini aniqlash) aniqlashning
ikkita usuli mavjud: TTL (TTL modulation) va "Route Record" ("Record route").
Windows uchun UNIX va tracert uchun traceroute dasturlari tarmoq topologiyasini
aniqlashning birinchi usulidan foydalanadi. Ular, buni amalga oshirish uchun ippaketning sarlavhasida "Time to Live" ("hayot vaqti") maydoni, bu tarmoq paketidan
o'tgan routerlarning soniga bog'liq. Bundan tashqari, "Ping" yordam dasturidan
foydalanish ICMP paketining marshrutini yozish uchun ishlatilishi mumkin. Tarmoq
topologiyasini aniqlashning eng keng tarqalgan usuli ko'plab tarmoq qurilmalarida
o'rnatilgan SNMP tarmoq protokolini aniqlashdan iborat bo'lib, ularning himoyasi
noto'g'ri tuzilgan. RIP protokoli yordamida tarmoqdagi marshrutlash jadvali va
boshqalar haqida ma'lumot olishingiz mumkin. Ushbu usullarning aksariyati tarmoq
kartalarini yaratish uchun zamonaviy boshqaruv tizimlari (masalan, HP OpenView,
Cabletron SPECTRUM, MS Visio va boshqalar) tomonidan ishlatiladi [2, 4].
To'rtinchi bosqich - tugunlarni aniqlash. Tugunni aniqlash (Xost detection),
odatda, ICMP protokolining ECHOREQUEST buyrug'i "Ping" dasturidan foydalanib
yuborish orqali amalga oshiriladi. Tegishli ECHO_REPLY xabarida tugun mavjud.
Fping yoki nmap kabi ko'plab tugunlarni parallel identifikatsiya qilish jarayonini
avtomatlashtiradigan va tezlashtiradigan erkin tarqatiladigan dasturlar mavjud. Bu
usulning kamchiliklari tugun so'rovlar ECHOREQUEST standart vositalari sobit emas,
deb hisoblanadi. Buning uchun trafikni tahlil qilish, xavfsizlik devorlari yoki hujumlarni
aniqlash tizimlarini qo'llash kerak. Bu tugunlarni aniqlashning eng oson usuli. Quyidagi
bu usulning kamchiliklarini ko'rish mukin:
Birinchidan, ko'plab tarmoq qurilmalari va dasturlari ICMP paketlarini bloklaydi
va ularni ichki tarmoqqa o'tkazib yubormaydi. Misol uchun, MS Proksi server 2.0 ICMP
protokoli orqali paketlarning o'tishiga ruxsat bermaydi. Natijada tugallanmagan rasm
paydo bo'ladi. Bundan tashqari, ICMP to'plami blokirovkasi buzg'unchiga "birinchi
himoya bosqichi" mavjudligi-marchrutizatorlarning mavjudligi, xavfsizlik devorlari va
h.k.
Ikkinchidan, ICMP so'rovlaridan foydalanish ularning manbasini osongina
aniqlash imkonini beradi, bu, albatta, tajovuzkorning vazifasiga kira olmaydi.
Tarmoq tugunlarini aniqlashning klassik usuli - bu DNS-razvedka deb ataladi,
bu esa korporativ tarmoq tugunlarini vakolatli foydalanuvchi nomi serveriga murojaat
qilish orqali aniqlash imkonini beradi.
Uzbekistan
www.scientificprogress.uz
Page 675
SCIENTIFIC PROGRESS
VOLUME 2 ǀ ISSUE 7 ǀ 2021
ISSN: 2181-1601
Beshinchi bosqich - xizmatlarni aniqlash yoki portlarni skanerlash. Xizmatlarni
aniqlash (xizmatni aniqlash), odatda, ochiq portlarni aniqlash (portni skanerlash) orqali
amalga oshiriladi. Bunday portlar ko'pincha TCP yoki UDP protokollariga asoslangan
tizim xizmati bilan bog'liq. Misol uchun, ochiq 80 - port veb-server, 25-port pochta
SMTP serveri, 12346 – troyan otining NetBus serveri va boshqalarni nazarda tutadi.
Xizmatlarni aniqlash va portlarni skanerlash uchun turli dasturlar, shu jumladan erkin
tarqatilishi mumkin. Masalan, nmap yoki netcat.
Oltinchi bosqich - operatsion tizimni aniqlash. OS masofaviy ta'rifining asosiy
mexanizmi (OS detection) - turli xil operatsion tizimlarda turli TCP / IP-Stack
dasturlarini hisobga olgan holda so'rovlarga javoblarni tahlil qilish. Har bir OS o'zo'zidan TCP / IP protokollari to'plamini amalga oshiradi, bu ularga maxsus so'rovlar va
javoblar yordamida masofaviy tugunga [2,3,4] qaysi OS o'rnatilganligini aniqlash
imkonini beradi.
Yettinchi bosqich - tugun zaifliklarini aniqlash. Oxirgi qadam zaifliklarni
topishdir (qidirish vulnerabilities). Ushbu qadamda, tajovuzkor turli avtomatlashtirilgan
vositalar yordamida yoki hujumni amalga oshirish uchun ishlatilishi mumkin bo'lgan
zaifliklarni qo'lda aniqlaydi. Bunday avtomatlashtirilgan vositalarning misoli Shadow
Security Scanner, nmap, Retina dasturlari va boshqalar tomonidan ishlatilishi mumkin.
Sakkizinchi bosqich – hujumni amalga oshirish. Shu vaqtdan boshlab hujum
tuguniga kirishga urinish boshlanadi. Bunday holda, kirish to'g'ridan-to'g'ri, ya'ni
tugunga kirish va vositachilik qilish, masalan, "xizmatni rad etish" kabi hujumni amalga
oshirishda bo'lishi mumkin. To'g'ridan-to'g'ri kirish holatlarida hujumlarni amalga
oshirish ham ikki bosqichga bo'linishi mumkin: tizimga kirish va nazorat qilish.
Penetratsiya - perimetrni himoya qilish vositalarini yengib o'tishni nazarda tutadi
(masalan, xavfsizlik devori). Ushbu jarayon maxfiy kontentni elektron pochta orqali
(makrovirus) yuborish orqali tizim xizmatining zaifligidan foydalanish asosida amalga
oshiriladi. Bu buzg'unchi kiradigan xavfsizlik devorida "teshiklar" yoki "tunnellar" ni
tashkil qilishi mumkin. Xuddi shu bosqichda administrator parolini yoki boshqa
vakolatli foydalanuvchini maxsus yordamchi dastur (masalan, Crack) yordamida tanlash
mumkin.
Tizimni nazorat qilish - infiltratsiya qilinganidan so'ng, tajovuzkor hujum
tugunini nazorat qiladi. Ushbu protsedura "troyan ot" (masalan, NetBus yoki
BackOrifice) kabi dasturni amalga oshirish orqali amalga oshiriladi. Kerakli tugunni
nazorat qilgandan so'ng, tajovuzkor hujum qilingan axborot tizimining axborot
resurslari egasini bilmasdan barcha kerakli ruxsatsiz harakatlarni masofadan amalga
oshirishi mumkin. Korporativ tarmoq tugunini nazorat qilish operatsion tizimni qayta
ishga tushirgandan so'ng davom ettirilishi kerak. Ushbu jarayon yuklash fayllaridan
birini almashtirish yoki boshlang'ich fayllar yoki tizim registrlarida dushman kodiga
havola kiritish orqali amalga oshirilishi mumkin.
Uzbekistan
www.scientificprogress.uz
Page 676
SCIENTIFIC PROGRESS
VOLUME 2 ǀ ISSUE 7 ǀ 2021
ISSN: 2181-1601
To'qqizinchi bosqich - hujumni tugatish. Hujumni yakunlash bosqichi
tajovuzkor tomonidan ruxsatsiz harakatlarni yashirishdir.
Hujumlarni aniqlash. Hujumlarni aniqlash quyi tizimi har qanday NSDNI
aniqlash tizimida muhim komponent hisoblanadi. Butun axborot tizimining
samaradorligi bevosita ushbu jarayonlarga bog'liq va umuman, hujumlarni aniqlash
uchun uchta keng tarqalgan usullardan foydalaniladi.
Hujum yoki boshqa shubhali faoliyatni tavsiflovchi imzo naqshlaridan (patternbased signatures) foydalanishga asoslangan imzo usuli. Imzo ma'lumotlari ba'zi kalit
so'zlar yoki iboralarni o'z ichiga oladi, ularning aniqlanishi hujumni ko'rsatadi. Misol
uchun, ftp sessiyasidagi "cwd root" parchasi FTP serverida autentifikatsiya
mexanizmini chetlab o'tish va FTP serverining ildiz katalogiga o'tishga harakat qilish
faktini aniq belgilaydi. Yana bir misol, "CA FE BA BE" ning o'n olti yoshli qismiga
asoslangan tarmoq trafigida Java ilovalarini aniqlashdir. Ushbu imzolar, agar ular
standart port qiymatlaridan foydalansalar, yashirin turdagi PDA-troyan otlarini
aniqlashga imkon beradi.
Voqealar chastotasini nazorat qilish yoki maksimal qiymatdan oshib ketishga
asoslangan imzo usuli. Ushbu imzolar ma'lum bir vaqt oralig'ida sodir bo'lgan
voqealarni tasvirlaydi, ularning soni oldindan belgilangan ko'rsatkichlardan oshadi.
Bunday imzoga misol portni skanerlash yoki SYN Flood hujumini aniqlashdir. Birinchi
holda, chegara qiymati bir vaqtning o'zida skaner qilingan portlarning soni. Ikkinchi
holda - bir vaqtning o'zida tugun bilan virtual aloqani o'rnatishga urinishlar soni.
Anomaliyalarni aniqlash. Ushbu imzo usuli axborot tizimining standart ishining
oldindan belgilangan xususiyatlaridan farq qiluvchi voqealarni aniqlashga imkon beradi.
Xulosa o'rnida shuni aytish mumkinki, o'rganilgan tadqiqotlar asosida IKSM
axborot resurslariga tahdidlarni amalga oshirishning zamonaviy usullarini tahlil qilish
bo'yicha turli xil hujum sinflarini amalga oshirishning o'ziga xos belgilari aniqlandi.
O'rganilgan tadqiqotlarni tahlil qilish asosida axborot resurslariga mavjud tahdidlarni
aniqlashning asosiy usullari va vositalari aniqlandi.
Hujumlarni aniqlash bosqichida imzo va xatti-harakatlar usullari orqali amalga
oshirilishi mumkin. Har qanday bosqinchilik, bir tomondan, imzo shaklida ifodalanishi
mumkin bo'lgan muayyan belgilar bilan tavsiflanadi, ikkinchidan, axborot tizimining
muntazam xatti-harakatlaridan qanday qilib bir chetga chiqishni tasvirlash mumkin.
REFERENCES
1. https://igorosa.com/priznaki-atak-na-informacionnuyu-sistemu-i-sposoby-ixobnaruzheniya-okonchanie/
2. https://www.jetinfo.ru/novyj-podkhod-k-zaschite-informatsii-sistemy-obnaruzheniyakompyuternykh/
Uzbekistan
www.scientificprogress.uz
Page 677
SCIENTIFIC PROGRESS
VOLUME 2 ǀ ISSUE 7 ǀ 2021
ISSN: 2181-1601
3. Сергей Куц “Технологии обнаружения компьютерных атак” https://safesurf.ru/specialists/article/5274/656701/
4. Селин Р. Н. «Программная система и способ выявления угроз информационной
безопасности в компьютерных сетях» Автореферат диссертации на соискание
ученой степени кандидата технических наук. г: Ростов-на-Дону-2011
Uzbekistan
www.scientificprogress.uz
Page 678