მოსალოდნელი საფრთხეების შესახებ

ცნობების გამოყენება ინფორმაციულ

სისტემებზე შეტევების აღმოჩენის მიზნით
ბესიკ ბერიძე1 , გია სურგულაძე1
1საქართველოს ტექნიკური უნივერსიტეტი, თბილისი, საქართველო
b.beridze@bsu.edu.ge, g.surguladze@gtu.ge
მიხეილ დონაძე3
2ბათუმის შოთა რუსთაველის სახელმწიფო უნივერსიტეტი, ბათუმი, საქართველო
mikheil.donadze@bsu.edu.ge

ანოტაცია - ნაშრომში განხილულია კორპორაციული  თავდასხმა წვდომაზე;

სისტემების უსაფრთხოების დონის ანალიზი. გაანალი-  თავდასხმა მოდიფიკაციაზე;
ზებულია ინფორმაციული და საქსელო რესურსების  თავდასხმა მომსახურეობის მტყუნებაზე;
საფრთხეების გამოვლენის მეთოდები. ჩამოყალიბებუ-
 თავდასხმა ვალდებულებათაგან მტყუნებაზე
ლია უსაფრთხოების სისტემის მიზნები და ამოცანები.
ელექტრონული სახით შენახული ინფორმაციის
მოცემულია მოსალოდნელი საფრთხეების შესახებ ცნო-
ბების გამოიყენებთ ინფორმაციულ სისტემებზე შეტე- დატაცებაზე გამიზნულ თავდასხმებს აქვს გარკ-
ვების აღმოჩენის მიდგომა. სტატიის მოლოს წარმოდგე- ვეული თავისებურებანი: ხდება ინფორმაციის არა
ნილია რეალურ დროში „ბოტნეტით“ ინფიცირებული დატაცება, არამედ კოპირება. იგი რჩება ძირითად
სისტემის იდენტიფიცირების და საფრთხეების გამოვ- მფლობელთან და მასთან ერთად მას მიიღებს ბო-
ლენის ძირითადი ასპექტები. როტმოქმედი. ასეთი სახით ინფორმაციის დამტა-
ცებელს შეაქვს ცვლილებები, შესაბამისად ხდომი-
საკვანძო სიტყვები - კორპორაციული ქსელები, კიბერ ლობის დროის დადგენა ძალზედ რთულია [2].
უსაფრთხოება, ქსელური ანომალიები, „ბოტნეტი“.
II. უსაფრთხოების სისტემის მიზნები
I. შესავალი
კორპორაციული სისტემები მიეკუთვნება განა-
კომპიუტერებისა და კომპიუტერული ქსელე-
წილებულ კომპიუტერულ სისტემებს, რომლებიც
ბის რიცხვის ზრდამ, ქსელური და ინტერნეტის
ახორციელებენ ინფორმაციის ავტომატიზებულ
ტექნოლოგიების ფართო გამოყენებამ მნიშვნე-
დამუშავებას. ინფორმაციული უსაფრთხოების
ლოვნად გააფართოვა არა მხოლოდ მომხმარებ-
პრობლემა ასეთი სისტემებისათვის ცენტრალურ
ლები და მათი ერთმანეთთან ურთიერთობის
პრობლემას წარმოადგენს [1].
საშუალებები, არამედ გაზარდა ქსელური ბიზნეს-
ორგანიზაციის უსაფრთხოების უზრუნველყო-
პროცესების რეალიზაციის შესაძლებლობები. ინ-
ფა წარმოადგენს კომერციული საქმიანობის განუ-
ტერნეტ-ტექნოლოგიების მზარდ შესაძლებლობებ-
ყოფელ ნაწილს და შესაბამისად გათვალისწინე-
თან ერთად გაიზარდა მონაცემების დაკარგვის
ბული უნდა იყოს შემდეგი მიზნები:
რისკი, ასევე რეპუტაციის და ფინანსური დანა-
- საწარმოს, მისი სტრუქტურული ქვედანაყო-
არგები. აქედან გამომდინარე ორგანიზაციებს,
ფებისა და თანამშრომლების უფლებების
კომპანიებს და რიგით მომხმარებლებს უხდებათ
დაცვა;
გამოყონ დრო და საშუალებები ინფორმაციისა და
- ფინანსური, მატერიალური და ინფორმაციუ-
ქსელური რესურსების უსაფრთხოების დაცვის
ლი რესურსების შენახვა და ეფექტური გამო-
უზრუნველსაყოფად [1].
ყენება;
კომპიუტერული სისტემის მუშაობის პროცესში
- საფრთხეთა და მისი მიზეზების დროული
ხშირად აღიძვრება სხვადასხვა სახის მიზეზით
გამოვლენა და თავიდან აცილება;
გამოწვეული პრობლემები, რაც იწვევს მატერია-
- ინფორმაციის შეზღუდული წვდომის კატე-
ლურ ან მორალურ ზარალს. ამ მოვლენებს, მათი
გორიაზე მიკუთვნება, ანუ მოწყვლადობის
აღძვრის მიზეზისგან დამოუკიდებლად, შეიძლება
სხვა-დასხვა დონეზე განაწილება;
ვუწოდოთ თავდასხმები.
- საფრთხეებზე ოპერატიული რეაგირების მექა-
არსებობს თავდასხმის ოთხი ძირითადი
ნიზმებისა და პირობების შექმნა;
კატეგორია:
 - ფიზიკური და იურიდიული პირების მიერ
არასამართლებრივი ქმედებებით მიყენებული
ზარალის მაქსიმალური ლოკალიზებისთვის
პირობების შექმნა [2].
უსაფრთხოების სისტემის ძირითადი ამოცანებს
უნდა წარმოადგენდეს:
- საწარმოს ფუნქციონირების უსაფრთხოების
უზრუნველყოფა და კონფიდენციალური ინ-
ფორმაციის დაცვა;
- მატერიალური, ფინანსური და ინფორმაციუ-
ლი რესურსების უფლებრივი, ორგანიზაციუ-
ლი, ინჟინერ-ტექნიკური დაცვის ორგანიზება;
- სპეციალური საქმეთა წარმოების ორგანიზება,
რომელიც გამორიცხავს კონფიდენციალური
ცნობების არასანქცირებულ მიღებას;
- განთანხმების, გაჟონვისა და კონფიდენცია-
ლურ ინფორმაციაზე არასანქცირებული წვ-
დომის შესაძლო არხების გამოვლენა და ლო-
კალიზება, როგორც ყოველდღიურ საქმია-
ნობაში, ასევე ექსტრემალურ სიტუაციებში;
- უსაფრთხოების რეჟიმის უზრუნველყოფა ყვე-
ლა სახის საქმიანობის დროს, რომელიც
შეიძლება იყოს შეხვედრები, მოლაპარაკებები,
თათბირები, რომელიც დაკავშირებულია საქ-
მიან თანამშრომლობასთან ადგილობრივ და
საერთაშორისო დონეზე [5].
ინფორმაციის უსაფრთხოების უზრუნველყო-
ფის სისტემას უნდა ჰქონდეს მრავალ დონიანი
სტრუქტურა და მოიცავდეს შემდეგ დონეებს:
- ავტომატიზებული სამუშაო ადგილების დაც-
ვის დონე;
- ლოკალური ქსელებისა და საინფორმაციო
სერვერების დაცვის დონე;
- კორპორაციული ავტომატიზებული სისტემე-
ბის დაცვის დონე [3].
დაცვის საშუალებები უნდა უზრუნველყოფ-
დნენ:
- შინაარსის კონფიდენციალობას და მთლიანო-
ბას;
- შეტყობინების წყაროს აუტენტიფიკაცია;
- მიღების და გადაცემის დადასტურებას;
- წყაროს უტყუარობას;
- წვდომაზე კონტროლის მართვას;
- პროგრამული უზრუნველყოფის დაცვას მო-
დიფიკაციისგან [3].
III. კომპიუტერული საფრთხე - შეტევის აღმოჩენის
კონცეფცია
შეტევების აღმომჩენი სისტემები, როგორც სხვა
თანამედროვე პროგრამული პროდუქტები, სასურ-
ველია აკმაყოფილებდეს რიგ მოთხოვნებს. უნდა
იყოს თანამედროვე ტექნოლოგიური ინოვაცია,
ასევე ორიენტირებული უნდა იყოს თანამედროვე
ინფორმაციულ ქსელზე და თავსებადი უნდა იყოს
სხვა, უკვე არსებულ პროგრამულ უზრუნველყო-
ფასთან.
ნახ. 1 შეტევის აღმოჩენის სისტემის (შას) სტრუქტურული
მოდელი
არასანქცირებული წვდომის აღმოჩენის თანა-
მედროვე სისტემის დანერგვისას, პირველ რიგში
აუცილებელია, სწორი შეხედულების ფორმირება
ინფორმაციულ პროცესებზე, რომლებიც მიმდი-
ნარეობს არა მხოლოდ კომპიუტერულ ქსელში,
არამედ ინფორმაციულ სისტემაშიც (ის). ზოგადად
შეჭრისა და შეტევების აღმოჩენის სისტემა (შას)
წარმოადგენს ინფორმაციის დამუშავების სპეცია-
ლიზებულ ფორმას - იგი განკუთვნილია ძალიან
დიდი მოცულობის, ინფორმაციის ანალიზისთვის.
იმისათვის, რომ ზუსტად განისაზღვროს ასეთი
სისტემის ეფექტურობის კრიტერიუმები და ასევე
შეფასდეს პარამეტრები, რომლებიც შედარებით
ძლიერად ზემოქმედებენ მუშაობის სისწრაფესა და
სიზუსტეზე, აუცილებელია გაკეთდეს ანალიზი -
რა სახის მონაცემები უნდა დამუშავდეს სისტემაში
და როგორ უნდა მოხდეს ეს.
საფრთხის აღმოჩენის მეთოდი. ინფორმაციული
სისტემის საშიშროების ქვეშ მოისაზრება პო-
ტენციურად შესაძლო მოქმედებები, რომელიც შე-
საძლებელია გამოყენებულ იქნეს ბოროტმზრახ-
ველის მიერ რამაც შეიძლება მოიტანს, როგორც
პირდაპირი ასე არაპირდაპირი ზიანი. ინფორმა-
ციულ სისტემაზე შეტევა არის მოქმედებათა თან-
მიმდევრული სვლა, რომელსაც განახორციელებს
ბოროტმზრახველი უსაფრთხოების პოლიტიკის
გვერდის ავლით. ინფორმაციულ სისტემაში
საფრთხის აღმოჩენის მიზანი არის ახალი მოთ-
ხოვნების და კომპიუტერული შეტევის აღმოჩენის
პრინციპის განსაზღვრა, რომელიც ამავდროულად
ორიენტირებულია დასაცავი ინფრასტრუქტურის
ინფორმაციის კომპლექსურ დამუშავებაზე და
შესაძლო საფრთხის დროულად გამოვლენაზე.
დღეისათვის მონაცემების ინფორმაციული და-
მუშავების პირამიდა (ნახ. 2) თანამედროვე შას-ში
გამოიყურება შემდეგნაირად:

ნახ. 2 მონაცემების ინფორმაციული დამუშავების პირამიდა
პირამიდის ზედა ნაწილი ეს არის რისკები და
საფრთხეები, რომელიც თან ახლავს სისტემას. ქვე-
მოთ განლაგებულია სხვადასხვა ვარიანტი საფრთ-
ხის (შეტევის) რეალიზაციის და ყველაზე ბოლო
საფეხურია შეტევის ნიშნები. შეჭრა-შეტევის აღ-
მოჩენის სისტემას აქვს უნარი ჩაიწეროს კონკრე-
ტული თავდასხმის განვითარებების პროცესი. შე-
ტევების ნიშნები - არის ის რაც ჩვენ შეგვიძლია
რეალურად დავაფიქსიროთ და დავამუშავოთ
სხვადასხვა ტექნიკური საშუალებებით, აქედან
გამომდინარე აუცილებელია საშუალებები რომ-
ლებიც აფიქსირებენ შეტევების სიმპტომებს [4].
შას-ს ახალ ტიპში შეიძლება გამოვყოთ შემდეგი
მსხვილი დონეები, რომლების საშუალებითაც შეი-
ძლება მივიღოთ წვდომა დამუშავებულ მონაცე-
მებთან.
1. გამოყენებითი პროგრამული უზრუნველყო-
ფის დონე - რომელშიც მუშაობს ინფორმაცი-
ული სისტემის (ის) მომხმარებელი. ხშირად
ასთი ტიპის პროგრამულ საშულებებს აქვს
ხარვეზები, რითაც შეიძლება ისარგებლოს
ბოროტმოქმედმა დამუშავებულ ინფორმა-
ციასთან წვდომისათვის.
2. მონაცემთა ბაზის მართვის დონე - ეს არის
გამოყენებითი დონის კერძო შემთხვევა, მაგ-
რამ თავისი სპეციფიკით უნდა გამოიყოს
ცალკე კლასად. მბმს-ას როგორც წესი მომხ-
მარებელთა დაშვებისათვის აქვს საკუთარი
უსაფრთხოების პოლიტიკა, რომელიც გათვა-
ლისწინებული უნდა იქნეს უსაფრთხოების
პოლიტიკის ორგანიზაციისას.
3. ოპერაციული სისტემის დონე - ოპერაციული
სისტემა არის დაცვის ძირითადი ობიექტი,
რადგან ნებისმიერი გამოყენებითი დონე იყე-
ნებს საშუალებებს, რომლებიც მიწოდებულია
უშუალოდ ოპერაციული სისტემისათვის. აზ-
რი არა აქვს გამოყენებითი პ.უ. ხარისხისა და
საიმედოობის გაუმჯობესებას თუ ოპერაცი-
ული სისტემა არ არის დაცული.
4. გადაცემის გარემოს დონე - თანამედროვე (ის)
მოისაზრებს მონაცემთა გადაცემის სხვადა-
სხვა აპარატულ საშუალებებს, რომლებიც შე-
დიან (ის) შემადგენლობაში [4].
ხსენებულიდან გამოიმდინარე შეიძლება გავა-
კეთოთ დასკვნა, რომ ნებისმიერი ინფორმაციის
დაცვის საშუალებას, მათ შორის შეტევების გამოვ-
ლენის სისტემები, ვალდებულნი არიან ყოველ
დონეზე დაამუშაონ გადასაცემი მონაცემები [6]
IV. ბოტნეტით ინფიცირებული სისტემის
გამოვლენის ძირითადი ასპექტები
ინტერნეტ და მსხვილი კორპორაციული ქსე-
ლების უსაფრთხოების შესახებ უახლესი ანგარი-
შების თანახმად, წინა წლებთან შედარებით გაზრ-
დილია მიზნობრივი შეტევები. ბოლო დროინდელ
კიბერშეტევებში გამოყენებულია მუქარის რთული
კოდი და მოწინავე ტექნიკა, რაც უკიდურესად
რთულად გამოსავლენია ტრადიციული სისტემე-
ბის გამოყენებით. მაგალითად, ბოტნეტი1 კიბერ
უსაფრთხოების საფრთხის ძალიან დახვეწილი
ტიპია [8]. მავნე კოდი ან სისტემის სისუსტეები
გამოიყენება საბოლოო წერტილების დასნებოვნე-
ბისთვის. მავნე კოდით ინფიცირებული სისტემა
ახორციელებს კომუნიკაციას ბრძანებისა და კონტ-
როლის (ბ&კ) სერვერთან საკომუნიკაციო არხის
Internet Remote Chat (IRC) ან HTTP პროტოკოლის
გამოყენებით და იღებს ბრძანებებს სამიზნე სერვე-
რებზე შეტევების შესასრულებლად. კორპორა-
ციული ქსელის რესურსების ეფექტურად დასაცა-
ვად უნდა შეგვეძლოს დაინფიცირებული სისტე-
მების ამოცნობა შეტევის დაწყებამდე.
ბოტნეტით ინფიცირებული სისტემის გამოვ-
ლენის ეფექტური გზა არის ბ&კ არხის დაფიქსი-
რება და აღმოფხვრა შეტევის დაწყებამდე. ამასთან,
ბ&კ არხების აღმოჩენისას არსებობს სხვადასხვა
მნიშვნელოვანი გამოწვევა. მაგალითად, თავდამ-
სხმელს შეუძლია რეგულარულად შეცვალოს ბ&კ
სერვერის მისამართი ან გამოიყენონ ტრაფიკის
გადამისამართება. გარდა ამისა, ბ&კ არხები იყენე-
ბენ HTTP ან HTTPS პროტოკოლებს კომუნიკაცი-
ისთვის, ამიტომ რთული ხდება მათი გამოყოფა
ზოგადი ვებ - ტრაფიკისგან, რაც რთული იქნება
საბოლოო ზომების მისაღწევად.
ბოტნეტის ეფექტური გამოვლენა მოითხოვს
შიდა ქსელის გარემოს და ინფორმაციის სერვისის
ბოტნეტი - ინტერნეტ - ბოტი წარმოადგენს პროგრამას, რომელიც ფარულად არის
1
დაყენებული მსხვერპლის/ობიექტის კომპიუტერულ მოწყობილობაში, რაც დამნა-
შავეს/ბოროტმოქმედს საშუალებას აძლევს დავირუსებული კომპიუტერის რესურ-
სების გამოყენებით, შეასრულოს გარკვეული ქმედებები.
დეტალურ გაგებას, ქსელის მონიტორინგის მრავა- კორელაციის დონებს, მაგრამ სტატისტიკური ალ-
ლი გარემოს კონფიგურაციას, ფაილების მთლია- გორითმების გამოყენებით BotSniffer – ის შემთხვე-
ნობის შემოწმებას, რეესტრის მონიტორინგს. ამას- ვაში ხშირია ცრუ პოზიტიური და ცრუ უარყოფი-
თან დიდი მოცულობის ქსელის გარემო ზრდის თი მაჩვენებლები [9].
რესურსების არაეფექტურობას და ზოგიერთ შემ- ჩვენს მიერ შემუშავებული მიდგომა, განსხვავ-
თხვევაში, საფრთხეს უქმნის შიდა ქსელის მუშა- დება ბოტნეტის გამოვლენის ტრადიციული მეთო-
ობას. ამ პრობლემების გამო, კომპანიები უარს ამ- დებისგან. შემოთავაზებული მიდგომა ქსელს ატ-
ბობენ აღნიშნული სერვისებზე. რიბუტის ინფორმაციის გამოყენებით აფიქსირებს
ანომალიურ ქცევას. მეთოდს შეუძლია გამოავლი-
ცხრილი 1. ქსელის ატრიბუტები (სენსორები)
ნოს ბოტნეტის ახალი ტიპები და გააუმჯობესოს
SN Varchar რიგის ნომერი
მისი გამოვლენის ალბათობა ჩვენს მიერ შემუშავე-
SGN Varchar იგივე სამიზნეზე ჯგუფის ნომერი ბული ალგორითმით. რომლის საფუძველზეც შეგ-
Sip Varchar წყაროს IP მისმართი ვიძლია განვსაზღვროთ ბ&კ სერვერის IP მისა-
Sport Integer წყაროს პორტი მართი, კავშირის დრო და კავშირების რაოდენობა,
Dip Varchar დანიშნულების IP ასევე სხვა პარამეტრები.
Dport Integer დანიშნულების პორტი ექსპერიმენტულ გარემოში, ქსელის სენსორე-
Mac Varchar მაქ მისმართი ბით რეალურ დროში მოპოვებული ინფორმაცია
Pt Varchar პროტოკოლი
ემატება მონაცემთა ბაზაში. ბაზა ინახავს სენსო-
Ts Date დრო
რების მახასიათებლებს, რომლებიც მოპოვებულია
URL Varchar მისამართი
TIN Integer ამჟამინდელი კავშირისა და წინა ქსელში გატარებული ნაკადიდან, როგორც ნორმა-
კავშირის დროების სხვაობა ლური, ისე მავნე ტრაფიკის შემთხვევაში.
CND Integer კავშირების რაოდენობა რომელიც ინფიცირებული სისტემა ცდილობს დაუკავ-
განხორციელდა იმავე სამიზნე IP- ზე შირდეს ბ&კ სერვერის შეტევის ბრძანების მისა-
RATD Integer დროის ინტერვალი
ღებად, ბ&კ სერვერებზე შესაბამისი სია პერიოდუ-
განხორციელებული კავშირისათვის
იმავე სამიზნე IP- ზე ლად ახლდება ამ დროს, ბ&კ არხი ცნობილი/პოპუ-
CNTI Integer კავშირების რაოდენობა ლარული პორტების ნაცვლად იყენებს უფრო მა-
განხორციელებული ბოლო 30 წუთის ღალ, შემთხვევით პორტებს და აყალიბებს კავშირს
განმავლობაში იმავე სამიზნე IP- ზე მინიმუმ ერთი ბ&კ სესიით. ამიტომ ბოტნეტ
ACTTI Integer საშუალო დროის ინტერვალი
შეტევების ეფექტურად დაბლოკვის ერთ-ერთი
იგივე სამიზნე IP 30 წუთზე მეტხანს
SCTTI Integer კავშირის დროის ინტერვალის
მეთოდი არის ბ&კ სერვერთან საკომუნიკაციო
სტანდარტული გადახრა იმავე არხის მონიტორინგი, შესაბამისად არასანქცირე-
სამიზნე IP მისამართთან 30 წუთზე ბული კავშირის დაფიქსირება და მისი აღმოფხვრა
მეტი ხნის განმავლობაში მანამ, სანამ მავნე კოდით ინფიცირებულმა კომ-
ბოტნეტის გამოვლენა შეიძლება დაიყოს ორ პიუტერი არ მოახდენს მთლიან სისტემაზე შეტე-
ძირითად ტიპად: ვერტიკალური და ჰორიზონტა- ვას და შესაბამისად მის ინფიცირებას.
ლური კორელაცია. BotHunter არის ვერტიკალური
კორელაციის საფუძველზე გამოვლენის არსებული
მეთოდი. იგი აკვირდება ერთ მანქანას და ადარებს
მის ქცევას ბოტის ქცევის მოდელს. იგი ცნობს
კორელაციურ დიალოგურ ბილიკებს, რომელიც
შედგება მრავალი ეტაპისგან და წარმოადგენს
წარმატებულ ბოტის ინფექციას. ამიტომ, ამ სტრა-
ტეგიას ასევე უწოდებენ „დიალოგის კორელაციას“.
BotHunter - ს აქვს რამდენიმე მნიშვნელოვანი შეზ-
ღუდვა. იგი შემოიფარგლება წინასწარ განსაზღვ-
რული მოდელის სასიცოცხლო ციკლით [9]. ნახ. 3 კავშირი სიხშირეების განაწილებას და ტრაფიკის
BotSniffer მოქმედებს ჰორიზონტალური კორე- კავშირის ციკლებს შორის
ლაციის პრინციპზე და ახორციელებს წინასწარ
უშუალოდ როგორ ხდება ბ&კ სერვერთან საკო-
დაპროგრამებულ აქტივობებს, რომლებიც დაკავ-
მუნიკაციო არხის დაფიქსირება?
შირებულია ბ&კ არხთან. BotSniffer შექმნილია
ჩვენ შევიმუშავეთ მიდგომა, რომელიც შესაბა-
ძირითადად ცენტრალიზებული ბ&კ არხების და-
მისად შევეცდებით ჩამოვაყალიბოთ ერთგვარი
სადგენად და აკონტროლებს სივრცით-დროითი
ალგორითმის სახით: ქსელში ჩაშენებული პროგ-
რამული მოდული ითვლის მომხმარებლის მიერ
გარკვეულ სერვისთან წვდომის სიხშირეს (CNTI),
რომელიც უკავშირდება სამიზნე სისტემას და
ადარებს მას ბარიერის მნიშვნელობასთან.
თუ CNTI მნიშვნელობა უფრო მაღალია, ვიდრე
ბარიერი, რაც ნიშნავს, რომ კომუნიკაციები პერმა-
ნენტულად ხდება, გადადის შემდეგ საფეხურზე.
ამ საფეხურზე იგი ადარებს დროის ინტერვალს
განხორციელებული კავშირისათვის (RATD), რო-
მელსაც აქვს იგივე სამიზნე IP მისამართი, კავ-
შირის საშუალო დროის ინტერვალით, რომელიც
გამოითვლება ყოველ 30 წუთში (RATD დროის ინ-
ტერვალი დგინდება სისტემის მასშტაბების მი-
ხედვით). ამ დროს გამოითვლება კავშირის დროის
ინტერვალიდან სტანდარტული გადახრა იმავე
სამიზნე IP მისამართთან მიმართებაში 30 წუთზე
მეტი ხნის განმავლობაში (SCTTI) და თუ კავშირის
დროის ინტერვალი არის (RATD), მაშინ საეჭვოა,
რომ შესაბამისი ტრაფიკი იყოს ბ&კ არხის სტან-
დარტული ტრაფიკი. ნახაზი 3 აჩვენებს კავშირს
სიხშირეების განაწილებას და ტრაფიკის კავშირის
ციკლებს, რომლებიც სავარაუდოდ ბ&კ არხებია.
დაბოლოს, თუ ბოტის საეჭვო ბ&კ არხთან კავ-
შირის სიხშირე გადააჭარბებს ბარიერის მნიშვ-
ნელობას, იგი კლასიფიცირდება როგორც ანომა-
ლიური მოძრაობის ქცევა.
დასკვნა
ჩატარებული კვლევების საფუძველზე შეიძ-
ლება დავასკვნათ, რომ: უსაფრთხოების სისტემა
წარმოადგენს სპეციალური სამსახურების, საშუა-
ლებების, მეთოდების და ღონისძიებების ერთობ-
ლიობას, რომელიც უზრუნველყოფს პიროვნების,
დაწესებულების, სახელმწიფო და სასიცოცხლოდ
მნიშვნელოვანი ინტერესების დაცვას შიდა და
გარე საფრთხეთაგან.
ნაშრომში განხილულია ბოტნეტით ინფიცირე-
ბული სისტემების იდენტიფიცირება რეალურ
დროში, წარმოდგენილია საფრთხეების გამოვ-
ლენის მეთოდოლოგია, რომელიც ეფუძნება მოსა-
ლოდნელი საფრთხეების შესახებ ცნობების გამო-
ყენებას და ქსელში ანომალიურ პროცესების ქცევი-
თი პროფილების მართვას.
ლიტერატურა
[1] გოგიჩაიშვილი გ., ოდიშარია კ., შონია ო.,
ინფორმაციის დაცვა ავტომატიზებულ
სისტემებში, თბილისი, საქართველოს ტექნიკური
უნივერსიტეტი, 2008
[2] ო. შონია, გ. ჯანელიძე, ბ. მეფარიშვილი
ინფორმაციული და ქსელური რესურსების
უსაფრთხოების უზრუნველყოფა, თბილისი 2009.
[3] ბ. ბერიძე, მ. დონაძე, ქცევით მეთოდზე
დაფუძნებული ქსელური შეტევების გამოვლენის
ერთ-ერთი მიდგომის შესახებ, საერთაშორისო
სამეცნიერო - პრაქტიკული კონფერენციის
„ინოვაციები და თანამედროვე გამოწვევები 2022“
შრომათა კრებული. 2022
[4] ბ. ბერიძე, საინფორმაციო სისტემების
უსაფრთხოების უზრუნველყოფის ზოგიერთი
ასპექტი, „შრომები“ მართვის ავტომატიზებული
სისტემები N1(32), Vol. 2, 2021
[5] D. Serpanos, T. Wolf, Architecture of Network
Systems, Morgan Kaufmann Publishers. 2011.
[6] M. Hall, I.Witten, E. Frank Data Mining: practical
machine learning tools and techniques, Publisher:
Morgan Kaufmann, January 2011
[7] HR. Zeidanloo, S. Rouhani, Botnet detection by
monitoring common network behaviors, Lambert
Academic Publishing, 2012
[8] L. Bilge, Balzarotti D., Robertson W., ... Disclosure:
detecting botnet command and control servers
through largescale NetFlow analysis. In: ACSAC,
ACM (2012), p. 129-138

Use of reports on expected threats to detect attacks on information systems

Besik Beridze1, Gia Surguladze1

Technical University of Georgia, Tbilisi, Georgia
1

b.beridze@bsu.edu.ge , g.surguladze@gtu.ge
Mikheil Donadze2
2Shota Rustaveli State University of Batumi, Batumi, Georgia

mikheil.donadze@bsu.edu.ge

The article discusses the analysis of the security level of corporate systems. Methods of detecting threats to informational and
network resources are analyzed. The goals and objectives of the security system have been established. An approach to detecting
attacks on information systems using knowledge about expected threats is given. At the end of the article, the basic aspects of
identifying a system infected with a "botnet" in real time and detecting threats are presented.

Keywords - corporate networks, cyber security, network anomalies, "botnet".