Файл: 2014.06.02 - Матеріали науково-практичної конференції «Проблеми експлуатації та захисту інформаційно-комунікаційних систем».pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 24.04.2019
Просмотров: 2815
Скачиваний: 1
Н
АУКОВО
-
ПРАКТИЧНА КОНФЕРЕНЦІЯ
«ПРОБЛЕМИ
ЕКСПЛУАТАЦІЇ
ТА
ЗАХИСТУ
ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ
СИСТЕМ»
2
–
5
ЧЕРВНЯ
2014
Р
.,
Н
АЦІОНАЛЬНИЙ АВІАЦІЙНИЙ УНІВЕРСИТЕТ
,
М
.
К
ИЇВ
75
Необхідно звернути увагу на важливе обмеження, що накладаєть-
ся на IP-адресу нового маршрутизатора: він повинен бути в межах ад-
рес даної під мережі.
Що стосується керуючого повідомлення ICMP Redirect Host, то
єдиним ідентифікуючим його параметром є IP-адреса відправника,
який повинен співпадати з IP-адресою маршрутизатора, так як це по-
відомлення може передаватися тільки маршрутизатором. Особливість
протоколу ICMP полягає в тому, що він не передбачає ніякої додатко-
вої аутентифікації джерел повідомлень. Таким чином, ICMP-
повідомлення передаються на хост маршрутизатором однонаправлено,
без створення віртуального з’єднання.
Отже, ніщо не заважає атакуючому послати помилкове ICMP-
повідомлення про зміну маршруту від імені маршрутизатора. Наведені
вище факти дозволяють здійснити типову віддалену атаку «Впрова-
дження помилкового об’єкта шляхом нав’язування хибного маршруту».
Для здійснення цієї віддаленої атаки необхідно підготувати хибне
ICMP Redirect Host повідомлення, у якому вказати кінцеву IP-адресу ма-
ршруту (адреса хоста, маршрут до якого буде змінений) і IP-адресу по-
милкового маршрутизатора. Далі це повідомлення передається на хост,
який атакується, від імені маршрутизатора. Для цього в IP-заголовку в
полі адреси відправника вказується IP-адреса маршрутизатора.
Розглянемо функціональну схему здійснення цієї віддаленої ата-
ки, яка показана на рис. 1: передача на хост, який атакується, хибного
ICMP Redirect Host повідомлення; відправлення ARP-відповіді у разі,
якщо прийшов ARP-запит від хоста, який атакується; перенаправлення
пакетів від хоста, який атакується, на справжній маршрутизатор; пере-
направлення пакетів від маршрутизатора на хост, який атакується; при
прийомі пакету можливий вплив на інформацію за схемою «Помилко-
вий об’єкт».
Було розглянуто віддалену атаку, яка полягала у передачі на хост
помилкового ICMP Redirect повідомлення про зміну вихідного
маршруту. Ця атака призводила як до перехоплення атакуючим інфо-
рмації, так і до порушення працездатності хоста, який атакується.
Для того, щоб захиститися від даної віддаленої атаки, необхідно
або фільтрувати дане повідомлення (використовуючи Firewall або фі-
льтруючий маршрутизатор), не допускаючи його попадання на кінце-
ву систему, або відповідним чином вибирати мережну ОС, яка буде
ігнорувати це повідомлення.
Н
АУКОВО
-
ПРАКТИЧНА КОНФЕРЕНЦІЯ
«ПРОБЛЕМИ
ЕКСПЛУАТАЦІЇ
ТА
ЗАХИСТУ
ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ
СИСТЕМ»
2
–
5
ЧЕРВНЯ
2014
Р
.,
Н
АЦІОНАЛЬНИЙ АВІАЦІЙНИЙ УНІВЕРСИТЕТ
,
М
.
К
ИЇВ
76
Рис. 1. Внутрішньосегментне нав’язування хосту хибного маршруту при
використанні протоколу ICMP: а) – фаза передачі хибного ICMP Redirect
повідомлення від імені маршрутизатора; б) – фаза прийому, аналізу, впливу
і передачі перехопленої інформації на хибному сервері
Проте зазвичай не існує адміністративних способів вплинути на
мережеву ОС так, щоб заборонити їй змінювати маршрут і реагувати
на дане повідомлення. Єдиний спосіб, наприклад, у випадку ОС Linux
полягає в тому, щоб змінити вихідні тексти і перекомпілювати ядро
ОС. Очевидно, що такий екзотичний для багатьох спосіб можливий
тільки для вільно розповсюджуваних разом з вихідними текстами
операційних систем. Зазвичай на практиці не існує іншого способу ді-
знатися реакцію використовуваної ОС на ICMP Redirect повідомлення,
як відправити дане повідомлення і подивитися, яким буде результат.
Слід зазначити, що продукти компанії Microsoft не відрізняються осо-
бливою захищеністю від можливих віддалених атак, властивих IP-
мереж. Отже, використовувати дані ОС в захищеному сегменті IP- ме-
режі представляється небажаним. Це і буде тим самим адміністратив-
ним рішенням по захисту сегмента мережі від даної віддаленої атаки.
а)
б)
Н
АУКОВО
-
ПРАКТИЧНА КОНФЕРЕНЦІЯ
«ПРОБЛЕМИ
ЕКСПЛУАТАЦІЇ
ТА
ЗАХИСТУ
ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ
СИСТЕМ»
2
–
5
ЧЕРВНЯ
2014
Р
.,
Н
АЦІОНАЛЬНИЙ АВІАЦІЙНИЙ УНІВЕРСИТЕТ
,
М
.
К
ИЇВ
77
УДК 004.8 (043.2)
Ю.В. Василенко
НТУУ «Київський політехнічний інститут», м. Київ
МЕТОД СТРУКТУРНОЇ ІДЕНТИФІКАЦІЇ БАЗ
НЕЧІТКИХ ЗНАНЬ
У даній роботі розглянуто вдосконалений метод структурної іде-
нтифікації нечітких систем, робота якого заснована на нечіткому ал-
горитмі с-середніх у комбінації з рандомізованим алгоритмом пошуку
кількості кластерів. У роботі [1] було запропоновано застосування ал-
горитмів нечіткої та гірської кластеризації для структрної ідентифіка-
ції БНЗ. Проте, результати моделювання показали, що ці методи ма-
ють ряд недоліків, а саме: необхідність апріорного знання кількості
кластерів, великі обчислювальні витрати, недостатня якість виводу ре-
зультуючої системи.
В запропонованому методі для ініціалізації алгоритму нечітких с-
середніх застосовується рандомізований алгоритм пошуку кількості
кластерів заснований на індексній функції Сьюгер-Джеймса [2]. Вико-
ристання даного алгоритму дозволяє значно зменшити час виконання
структурної ідентифікації порівняно з методом заснованим на гірській
кластеризації та отримати систему з достатньою точністю виводу.
Після знаходження кількості кластерів, проводиться кластериза-
ція нечітким с-середніми та подальша структурна ідентифікація нечіт-
кої системи, тобто знаходження правил та термів БНЗ. Проте викорис-
таний у [1] підхід з апроксимацією матриці належності для побудови
функцій належності лінгвістичних змінних пропонується замінити ви-
користанням центроїдів. Побудова функцій належності відповідно до
центроїдів значно легша з обчислювальної точки зору, та дає якісні
результати, що перевірено під час моделювання бази нечітких знань.
На етапі побудови функцій належності пропонується об’єднувати
близько розташовані терми, так як це підвищує якість отриманої сис-
теми та зменшує кількість термів. В якості функцій приналежності
можна обрати одну із стандартних функцій. В даній роботі була обра-
на трапецієвидна.
Блок-схема запропонованого методу структурної ідентифікації
нечітких баз знань приведена на рис. 1.
Н
АУКОВО
-
ПРАКТИЧНА КОНФЕРЕНЦІЯ
«ПРОБЛЕМИ
ЕКСПЛУАТАЦІЇ
ТА
ЗАХИСТУ
ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ
СИСТЕМ»
2
–
5
ЧЕРВНЯ
2014
Р
.,
Н
АЦІОНАЛЬНИЙ АВІАЦІЙНИЙ УНІВЕРСИТЕТ
,
М
.
К
ИЇВ
78
Рис. 1. Блок-схема методу структурної ідентифікації нечітких баз знань
Проведено огляд методу структурної ідентифікації, який дозво-
лить зменшити час побудови правил та термів нечітких систем при
достатній якості виведення.
Список літератури
1. Штовба С.Д. Проектирование нечётких систем средствами
MATLAB / С.Д. Штовба. – М.: Горячая линия. – Телеком, 2007. – 288 с.
2. О.Н. Гринчин, Д.С. Шалымов, Р. Аврос, З. Волкович Рандомизирован-
ный алгоритм нахождения количества кластеров, 2011 г.
Ініціалізація c-means
Кластеризація
Формування правил та термів
Матриця даних X
Рандомізований алгоритм
Результуюча БНЗ
Початок
Кінець
Параметрична ідентифікація
Об’єднання близьких термів
Н
АУКОВО
-
ПРАКТИЧНА КОНФЕРЕНЦІЯ
«ПРОБЛЕМИ
ЕКСПЛУАТАЦІЇ
ТА
ЗАХИСТУ
ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ
СИСТЕМ»
2
–
5
ЧЕРВНЯ
2014
Р
.,
Н
АЦІОНАЛЬНИЙ АВІАЦІЙНИЙ УНІВЕРСИТЕТ
,
М
.
К
ИЇВ
79
УДК 004.7 (043.2)
М.О. Коренюк
Національний авіаційний університет, м. Київ
НАДАННЯ ПОСЛУГ ІНТЕРНЕТ З ВИКОРИСТАННЯМ
ШИРОКОСМУГОВИХ БЕЗДРОТОВИХ СИСТЕМ НА БАЗІ
ОБЛАДНАННЯ MIKROTIK
Важко уявити собі сьогодні персональний комп’ютер без мере-
жі – будь це локальна мережа або Інтернет. Головна характеристика,
яка при цьому цікавить користувача – швидкість передачі даних між
комп’ютерами або комутаторами. Як відомо, міські жителі «мегаполі-
сів», а також жителі невеликих міст України користуються проводо-
вим або оптоволоконним доступом в Інтернет. Доступ до Інтернету в
містах надають Інтернет провайдери, оператори стільникових мереж,
які мають дуже розвинену дротову або бездротову мережу, з’єднану з
високошвидкісними каналами передачі даних. Саме завдяки інфра-
структурі міста, наявності багатоквартирних будинків, а також щільно
заселених територій, підключитися до глобальної мережі в міських
умовах не є складним. У містах бездротовим Інтернетом практично
ніхто не користується, виняток становлять мешканці приватного сек-
тора, а також приватні ділянки, куди Інтернет провайдери ще не дійш-
ли, тобто не протягнули свої мережі. Якщо ж у місті підключитися до
глобальної мережі не проблема, то виїжджаючи за місто, наприклад,
на дачу, стає зрозумілим, що міського Інтернету, який є звичним, там
немає. Без високоякісного Інтернету багато людей почувають себе ві-
дірваними від цивілізації. Розуміючи важливість даної проблеми, було
вирішено спеціально для дачних жителів представити нову техноло-
гію бездротового Інтернет доступу. Для виходу в Інтернет на дачі чи в
селі, за умов використання цієї технології, не будуть потрібні наземні
комунікації, тобто метою проекту є створення сегменту мережі досту-
пу до Інтернет в місцях не охоплених проводовими технологіями на-
дання послуг з передавання даних. З економічної та технічної точки
зору найбільш реальним є використання безпроводових технологій
для втілення масового проекту, а саме проектування мережі буде від-
буватися на базі стандарту IEEE 802.11n з використанням обладнання
радіодоступу виробництва MikroTik. Таким чином, новий сегмент по-
винен забезпечити можливість покриття великої площі з низькою се-
редньою концентрацію домогосподарств в населених пунктах з відсу-
тньою наземною оптичною інфраструктурою.