Вы находитесь на странице: 1из 5

Захист інформації

УСЛОВИЯ НЕВЫРОЖДЕННОСТИ НЕЛИНЕЙНЫХ ОПЕРАЦИЙ РАСШИРЕННОГО МАТРИЧНОГО


КРИПТОГРАФИЧЕСКОГО ПРЕОБРАЗОВАНИЯ, КОТОРЫЕ СОДЕРЖАТ НЕПОЛНЫЕ ФУНКЦИИ РМКП
Т.А. Стабецкая
Сформулированы условия невырожденности нелинейных операций расширенного матричного криптографическо-
го преобразования n-й разрядности, в составе которых есть неполные функции расширенного матричного криптогра-
фического преобразования (РМКП). На примере показано применение полученных условий и корректность метода по-
строения обратной операции расширенного матричного криптографического преобразования 4-й разрядности.
Ключевые слова: нелинейные операции РМКП, неполные функции РМКП, дополнения функций РМКП.

NONDEGENERACY CONDITION NONLINEAR OPERATION OF EXPANDED MATRIX CRYPTOGRAPHIC


TRANSFORMATIONS, WHICH CONTAIN INCOMPLETE FUNCTIONS EMCT
T.A. Stabetskaya
In this paper formulated the conditions of nondegeneracy of nonlinear operations expanded matrix cryptographic trans-
formation n-th digit capacity, which contain incomplete functions of expanded matrix cryptographic transformation (EMCT). The
example shows the application of the conditions obtained and correctness of the method of constructing an expanded matrix
reverse operation of cryptographic transformation of the 4th digit capacity.
Keywords: nonlinear operation EMCT, incomplete function EMCT, additions of functions EMCT.

УДК 004.7 : 004.31

Т.Н. Шипова1, В.В. Босько2, И.А. Березюк2, Ю.М. Пархоменко2


1
Национальный технический университет «ХПИ», Харьков
2
Кировоградский национальный технический университет, Кировоград

АНАЛИЗ СОВРЕМЕННЫХ МЕТОДОВ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ


В КОМПЬЮТЕРНЫЕ СИСТЕМЫ
В работе представлены результаты анализа методов обнаружения вторжений в компьютерные сис-
темы, выявлены их основные достоинства и недостатки. Предложены пути повышения эффективности
эвристического анализа компьютерных систем с использованием свойства самоподобия в характеристиках
информационного трафика. Определены приоритетные пути учета свойства самоподобия трафика при ана-
лизе состояния компьютерной системы в условиях возможных внешних воздействий злоумышленников.

Ключевые слова: анализ трафика, самоподобие, аномалии, фрактальная размерность, показатель Херста.

журналов (брандмауэры), используется анализ по-


Введение ведения трафика во время работы сети. Анализируя
Постановка задачи. Стремительное развитие определённые параметры, можно выявить в какой
вычислительной техники привело к тому, что ком- момент времени в поведении трафика появляются
пьютерная сеть стала использоваться как полно- аномальные изменения (всплески). Исследование
функциональное распределённое вычислительное анализа трафика в компьютерной сети сегодня очень
устройство для обработки и передачи данных. актуально, так как такой анализ может выявить ата-
В настоящее время проводится большое коли- ку злоумышленника еще на этапе её подготовки.
чество исследований, имеющих целью выявление Цель данной статьи – анализ основных мето-
характерных свойств и параметров технологии пе- дов обнаружения вторжений в компьютерные сис-
редачи данных, а также поиск оптимально гаранти- темы и сети.
рованных способов обнаружения аномалий в работе Проведенный анализ литературы [1 – 5] по-
компьютерной сети, которые могут каким-либо об- казал, что в современных компьютерных сетях ост-
разом повлиять на протекающие в ней процессы. ро стоит вопрос о своевременном обнаружении
На фоне стремительного развития и модифика- вторжений.
ции вредоносного программного обеспечения (ПО) Ряд научных статей [1, 2 – 5] посвящены ис-
и повышения уровня хакерства, антивирусное ПО не следованиям в области нахождения оптимальных
всегда может в полной мере защитить пользовате- методов обнаружения аномалий в сети, наличие ко-
лей компьютерных сетей от действий злоумышлен- торых обычно есть или предшественниками вредо-
ников. Всё чаще наряду со статистическими мето- носного действия, или же указывают на наличие уже
дами, анализирующими соответствие конкретного совершающейся атаки, а так же могут указывать на
действия в сети определённым шаблонам и записям неправильную работу (неисправность) оборудования.

© Т.Н. Шипова, В.В. Босько, И.А. Березюк, Ю.М. Пархоменко 133


Системи обробки інформації, 2016, випуск 1 (138) ISSN 1681-7710

Основной материал поведении объекта, которое записывается в виде


специальных правил.
В общем случае сетевые аномалии можно клас-
Смысл сигнатурных методов заключается в ис-
сифицировать по источнику их возникновения (рис. 1).
пользовании специальной базы данных, которая
содержит шаблоны (сигнатуры) атак, для поиска
действий попадающих под определение «угроза».
Таким образом, такой метод защиты может быть
действенным, если вид угрозы уже занесён в базу
данных, т.е. новый вид опасного воздействия может
остаться незамеченным. Но и здесь есть определён-
ные нюансы, например, если угроза исходит от вре-
доносного ПО, которое внедрено злоумышленником
в приложение, разрешенное правилами метода. Так
как разновидность вредоносного ПО и атак доволь-
но таки обширна и с каждым днём прогрессирует, то
такой метод не оптимален для защиты от действий
злоумышленников.
Системы, ориентированные на поиск искаже-
Рис. 1. Источники возникновения ний эталонной профильной информации, основы-
сетевых аномалий
ваются на сборе статистики и относятся к поведен-
Системы обнаружения вторжений можно раз- ческим методам определения нарушений в сети, они
делить на системы, ориентированные на поиск: основаны на сопоставлении текущего состояния
 аномалии взаимодействия контролируемых сетевой инфраструктуры с некими определёнными
объектов; заранее признаками, характеризующими штатное
 сигнатур всех узнаваемых атак; функционирование сетевой инфраструктуры.
 искажение эталонной профильной информации. Недостатки этого метода могут быть:
Методы обнаружения аномалий направлены на  нечувствительность к последовательности
выявление неизвестных атак и вторжений. В обнару- возникновения событий, т.е. вероятность возникно-
жении аномалий значительную роль играет выбор оп- вения вторжения, если оно происходит в виде по-
тимального количества учитываемых параметров следовательности сходных событий;
оценки, а также определение общего показателя обще-  систему можно обучить таким образом, что
го состояния аномальности в защищённой системе [4]. аномальное поведение будет считаться нормальным;
В поиске аномалий взаимодействия контроли-  трудность с определением порога, выше кото-
руемых объектов в качестве объекта наблюдения рого аномалии можно рассматривать как вторжение;
может выступать сеть в целом, отдельный компью-  ограниченность к типам поведения, которые
тер, сетевая служба (FTP-сервер), отдельный поль- могут быть смоделированы [1].
зователь и т.д. В то же время похожий по принципу действия
При анализе взаимодействия контролируемых метод анализа трафика позволяет улучшить защиту
объектов для выявления аномалий (атак) учитыва- вычислительной сети. В отличие от сигнатурного
ются следующие атрибуты: метода, когда разнообразие угроз иногда просто
 пороговые значения – количественные вели- нереально полностью классифицировать, анализ
чины использования обращений к определённым поведения трафика в сети более поддается класси-
службам и файлам, число неудавшихся попыток фикации, т.е. не зависимо от того какой тип атаки
входа в систему, загрузка процессора, присущие по происходит, виды аномалий всё же не так разнооб-
статистике конкретным пользователям; разны.
 статистические меры – методом сбора стати- Стоит отметить, что анализ трафика жизненно
стики принимается решение о наличии или отсутст- важен для эффективного управления сетью. Он яв-
вии аномалий (атак); ляется источником информации о функционирова-
 параметрические – шаблон профиля «нор- нии корпоративных приложений, которая учитыва-
мальной системы» для выявления «не нормальных» ется при распределении ресурсов, планировании
отклонений; вычислительных мощностей, определении и локали-
 не параметрические – профиль системы стро- зации отказов, решении вопросов безопасности [4].
ится на основе наблюдения за объектом в период Для анализа трафика используют программы
обучения; анализаторы (снифферы), которые могут выполнять:
 метод на основе правил (сигнатур) – в период  мониторинг сетевых интерфейсов и сетевого
обучения составляется представление о нормальном трафика;

134
Захист інформації
 фильтрацию, т.е. выбор кокой-либо части параметров сети, каким либо образом влияющих на
трафика – вплоть до конкретного сайта или трафика её работу. Зафиксированные значения этих парамет-
с конкретной машины в течение какого-либо ука- ров должны быть сгруппированы в подмножества,
занного времени; после чего их можно использовать для анализа.
 предоставление графиков активности сетевых Предполагается, что показателем аномалии в
соединений на основе выбранных фильтров; поведении трафика является существенное измене-
 сбор статистики (от часа до года) с функцией ние некоторых его характеристик. Причем показате-
экспорта; ли, выбранные для анализа трафика, должны быть
 просмотр статистики удаленных компьютеров; достаточно чувствительны к его изменениям и не-
 оповещение и уведомление при определён- исправностям, которые вызваны законным и без-
ном событии; вредным трафиком, иначе не исключены ложные
 возможность запуска как сервиса. тревоги [3].
Перечисленные возможности могут присутст- Современная сетевая инфраструктура настолько
вовать в программах мониторинга не обязательно в велика, что отследить правильность (безаномальность)
полном объёме. движения всей информации в ней практически невоз-
Анализ трафика, прошедшего через сниффер, можно. Сетевой трафик представляет собой сложный
позволяет: динамический процесс и является суперпозицией мно-
 обнаружить паразитный, вирусный и заколь- гих потоков с множественными взаимосвязями, кото-
цованный трафик, наличие которого увеличивает рые генерируются различными потоками.
загрузку сетевого оборудования и каналов связи; При исследованиях компьютерных систем и се-
 перехватить любой незашифрованный (ино- тей применяют как аналитические (основанные на
гда и зашифрованный) пользовательский трафик с математических расчётах) модели, так и имитацион-
целью получения паролей и другой информации; ное моделирование на основе уже готовых программ
 локализовать неисправность сети или ошибку эмуляторов созданных с помощью универсальных
конфигурации сетевых агентов. языков программирования. Системы моделирования
Методы статистического анализа примени- могут быть как узконаправленными (специализиро-
тельно к трафику сети основаны на различных ди- ванными), так и универсальными, позволяющими
намических характеристиках, но имеют одинаковые имитировать сети самых различных типов [5].
базовые принципы. Особенностью нахождения ано- Результат исследований экспериментальных
малий являются серии наблюдений, а не конкретное данных показал, что трафик современных компью-
значение. В пределах такой серии изменения ищутся терных сетей обладает особой структурой, которая
в момент времени, в который статистические свой- проявляет эффект самоподобия. Этот эффект прояв-
ства наблюдаемой величины резко изменяются. ляется в том, что статистические характеристики
Статистические данные могут сохраняться как в трафика как бы «масштабируются» при усреднении
базе данных, так и в специальной структуре измене- значений взятых за разные промежутки времени.
ний – профайле. Другими словами, под самоподобием подразумева-
Для анализа поведения трафика в первую оче- ется повторяемость распределения нагрузки во вре-
редь нужно определить множество варьируемых мени при различных масштабах (рис. 2) [4].

Рис. 2. Нормальная нагрузка трафика при беспроводном соединении

135
Системи обробки інформації, 2016, випуск 1 (138) ISSN 1681-7710
Появление эффекта самоподобия связано со Показатель Херста характеризует степень са-
свойствами TCP/IP протокола передачи данных, моподобия процесса:
который на сегодняшний день используется в ком- 1) 0 < H < 0.5 – случайный процесс, который не
пьютерных сетях. Имеется в виду особенность пере- обладает самоподобием, характеризуется стремле-
дачи данных в виде пакетов, которые приходят на нием к среднему значению;
узел коммутации целыми пачками, а не случайным 2) H = 0.5 – полностью случайный процесс без
образом. выраженной тенденции;
Трафик в таких сетях имеет явно выраженный 3) H > 0.5 – трендоустойчивый процесс, кото-
всплесковый характер, что повышает вероятность рый обладает длительной памятью и является само-
перегрузок в узлах сети, которые ведут к перепол- подобным.
нению буферов и вызывают потери и /или задержки. Фрактальная размерность напрямую связана с
Пульсации приводят к перепадам скорости инфор- показателем Херста соотношением: D = 2 – H.
мационных потоков, при которых отношение мак- Это соотношение справедливо, когда структура
симального значения скорости к минимальному со- кривой, описывающей фрактальную функцию, иссле-
ставляет десятки раз. дуется с высоким разрешением, то есть в локальном
Исследования самоподобия показали, что это пределе [5].
явление значительно ухудшает качество трафика Алгоритм оценки безопасности трафика можно
через сеть [4]. разделить на пять этапов:
Однако, несмотря на то, что проявление само- 1) сбор трафика;
подобия оказывает не очень положительное влияние 2) статистический анализ;
на передачу данных в сети (оно есть и с ним нет 3) оценка показателя Херста;
способов бороться), из этого явления можно извлечь 4) обнаружение аномалий;
выгоду. 5) оценка безопасности.
Свойство самоподобия ассоциируется с опре- Для уменьшения влияния на нормальное функ-
делением фрактала, то есть, при изменении шкалы ционирование сети трафик дублируются на специ-
корреляционная структура самоподобного процесса альный сервер, занимающийся сбором трафика. Из
остается неизменной. пакетов, принятых от маршрутизатора, извлекается
Самоподобные (фрактальные) модели более информация о типе пакета, а также четыре метрики
точно характеризуют поведение нагруженного се- трафика: общее число пакетов, число TCP пакетов,
тевого потока, чем пуассоновские модели, важной UDP пакетов, ARP пакетов в единицу времени. Вы-
задачей стала разработка инструментальных числяются показатели Херста для четырех метрик
средств для понимания самоподобных процессов, и трафика итеративным методом оценки в режиме
для синтеза искусственного сетевого трафика, ко- реального времени.
торый отражает основные характеристики этих Эти значения используются для обнаружения
процессов. аномалий и обновления модели нормального трафи-
Фрактальный анализ трафика дает более близ- ка.
кие к правде результаты, чем применение классиче- Текущее вычисленное значение показателя
ских методов, основанных на методах Пуассона, Херста сравнивается со значением из нормальной
которые дают неоправданно оптимистические ре- модели поведения трафика.
зультаты, приводящие к недооценке нагрузки, а, Если значение выходит за пределы допустимо-
следовательно, к сбоям в работе сети. На данный го, трафик считается аномальным. Нормальная мо-
момент фрактальность трафика широко использует- дель трафика строится путем анализа нормальной
ся для прогнозирования поведения компьютерной работы сети в течение определенного промежутка
сети на этапе её проектирования, а так же для выяв- времени.
ления аномалий поведения трафика в существую- Модель включает нормальное значение показа-
щей сети. теля Херста и доверительный интервал, и может
Центральными понятиями, которые использу- быть обновлена при обнаружении аномалий. Крите-
ют для фрактального анализа, являются фрактальная рием оценки безопасности является уровень риска,
размерность (D) и показатель Херста (H). вычисляемый методом средневзвешенных величин,
Фрактальная размерность множества (по Хаус- который учитывает результаты обнаружения анома-
дорфу) определяется: лий от четырех метрик трафика. Уровень риска пре-
lg  N() доставляет администраторам текущее состояние
D   lim , передачи данных в сети с точки зрения безопасно-
0 lg   
сти [5].
где N(  ) – число непустых кубов размером  , по- Для синтеза и анализа алгоритмов обнаружения
крывающих заданное множество. атак часто используют базу данных KDD-99, кото-

136
Захист інформації
рая содержит около 5 миллионов записей о сетевых менчивостью характеристик при появлении анома-
соединениях. лий в сети, что позволяет использовать методы
При этом представленные в этой базе 22 вида фрактального анализа для обнаружения атак.
атак делятся на 4 основные категории: Основным требованием к любым методам об-
DoS – отказ в обслуживании, генерация боль- наружения вторжений является возможность обна-
шого объёма трафика, что приводит к перегрузке и ружения произвольных типов аномалий, в том чис-
блокированию сервера; ле, распределенных во времени.
U2R – предполагает получение зарегистриро-
ванным пользователем привилегий локального су- Список литературы
перпользователя (администратора); 1. Басараб М.А. Обнаружение аномалий в инфор-
U2L – характеризуется получением доступа не- мационных процессах на основе мультифрактального
анализа / М.А. Басараб, И.С. Строганов // Вопросы кибер-
зарегистрированного пользователя к компьютеру со
безопасности. – 2014. – №4(7). – С. 30-40 [Электронный
стороны удалённой машины; ресурс]. – Режим доступа к ресурсу: http://cyberrus.com/
Probe – заключается в сканировании портов с wp-content/uploads/2015/01/vkb_05_04.pdf.
целью получения конфиденциальной информа- 2. Левоневский Д.К. Разработка системы обнару-
ции. жения аномалий сетевого трафика / Д.К. Левоневский,
Р.Р. Фаткиева // Научный вестник НГТУ. – 2014. – № 3,
Атаки, попадающие под описание перечислен- том 56. – С. 108-114.
ных категорий, в обязательном порядке будут вызы- 3. «Фрактальная катастрофа» TCP/IP [Элек-
вать аномальные изменения в работе сети [1]. тронный ресурс]. – Режим доступа к ресурсу:
http://itc.ua/articles/_fraktalnaya_katastrofa _tcp_ip_5571/.
Выводы 4. Шелухин О.И. Обнаружение вторжений в ком-
пьютерные сети (сетевые аномалии): учебное пособие
Таким образом, анализ методов выявления для вузов / О.И. Шелухин, Д.Ж. Сакалема, А.С. Филинова. –
аномалий и вторжений показал, что для надежной М.: Горячая линия-Телеком, 2013. – 220 с.
передачи данных в современных компьютерных 5. Shaabany А. Network traffi c deviation detection
сетях анализ трафика жизненно необходим, так based on fractal dimension / A. Shaabany, F. Jamshidi // Jour-
nal of Computing and Information Technology - CIT 20. –
как посредством него существует возможность 2012. – 1. – Р. 27-32 [Электронный ресурс]. – Режим дос-
производить прогнозирование поведения процес- тупа к ресурсу: http://cit.srce.unizg.hr/index.php/CIT/ arti-
сов сети. cle/view/2007/1522.
Прогнозирование поведения трафика приме-
нимо как при проектировании, так и во время обес-
печения безопасности.
Причем в таком прогнозировании не послед-
нюю роль играет явление фрактальности трафика
Поступила в редколлегию 13.11.2015
(несмотря на отрицательное влияние эффекта само-
подобия на нагрузку сети), которое обусловлено Рецензент: д-р техн. наук, с.н.с. С.Г. Семенов, Нацио-
свойствами используемого протокола, а также из- нальный технический университет «ХПИ», Харьков.

АНАЛІЗ СУЧАСНИХ МЕТОДІВ ВИЯВЛЕННЯ ВТОРГНЕНЬ


В КОМП'ЮТЕРНІ СИСТЕМИ
Т.Н. Шипова, В.В. Босько, І.А. Березюк, Ю.М. Пархоменко
У роботі представлені результати аналізу методів виявлення вторгнень в комп'ютерні системи, виявлені їх осно-
вні достоїнства і недоліки. Запропоновані шляхи підвищення ефективності евристичного аналізу комп'ютерних систем
з використанням властивості самоподобия в характеристиках інформаційного трафіку. Визначені пріоритетні шляхи
обліку властивості самоподобия трафіку при аналізі стану комп'ютерної системи в умовах можливих зовнішніх дій
зловмисників.
Ключові слова: аналіз трафіку, самоподобие, аномалії, фрактальна розмірність, показник Херста.

ANALYSIS OF MODERN METHODS OF FINDING OUT INTRUDING


IN COMPUTER SYSTEMS
T.N. Shipova, V.V. Bos'ko, I.A. Berezyuk, Yu.M. Parkhomenko
The results of analysis of methods of finding out intruding are in-process presented in the computer systems, their basic
dignities and failings are exposed. The ways of increase of efficiency of heuristic analysis of the computer systems are offered
with the use of property of самоподобия in descriptions of informative traffic. The priority ways of account of property of само-
подобия of traffic are certain at the analysis of the state of the computer system in the conditions of possible external influences
of malefactors.
Keywords: analysis of traffic, self-similarity, anomalies, fractal dimension, index of Kherst.

137