Книжная полка Сохранить
Размер шрифта:
А
А
А
|  Шрифт:
Arial
Times
|  Интервал:
Стандартный
Средний
Большой
|  Цвет сайта:
Ц
Ц
Ц
Ц
Ц

Безопасность информационного пространства — 2017

XVI Всероссийская научно-практическая конференция студентов, аспирантов и молодых ученых Екатеринбург, 11-15 декабря 2017 года
Покупка
Артикул: 798619.01.99
Доступ онлайн
900 ₽
В корзину
В сборник вошли научные статьи молодых ученых, спирантов и студентов из Екатеринбурга, Кургана, Москвы, Магнитогорска, Томска, Тюмени, Челябинска, представленные 12 вузами Российской Федерации. Адресовано студентам, обучающимся по специальностям и направлениям подготовки укрупненной группы специальностей 10.00.00 «Информационная безопасность», преподавателям, участвующим в реализации соответствующих образовательных программ, специалистам в области информационной безопасности.
Безопасность информационного пространства — 2017 : ХVI Всероссийская научно-практическая конференция студентов, аспирантов и молодых ученых. Екатеринбург, 11-15 декабря 2017 года / . - Екатеринбург : Изд-во Уральского ун-та, 2018. - 304 с. - ISBN 978-5-7996-2404-0. - Текст : электронный. - URL: https://znanium.com/catalog/product/1925494 (дата обращения: 28.02.2024). – Режим доступа: по подписке.
Фрагмент текстового слоя документа размещен для индексирующих роботов. Для полноценной работы с документом, пожалуйста, перейдите в ридер.
БЕЗОПАСНОСТЬ  
ИНФОРМАЦИОННОГО ПРОСТРАНСТВА — 2017
ХVI Всероссийская научно-практическая конференция  
студентов, аспирантов и молодых ученых

12 декабря 2017 года

Министерство образования и науки российской Федерации
уральский Федеральный университет 

иМени первого президента россии б. н. ельцина

Екатеринбург
Издательство Уральского университета
2018

УДК 004.056.5
ББК 681.3.067(063)
 
Б40

О р г к о м и т е т
Председатель
Князев Сергей Тихонович, д. т. н., доцент, проректор по учебной работе УрФУ
Заместитель председателя
Шабунин Сергей Николаевич, д. т. н., доцент, директор Института радиоэлектроники 
и информационных технологий — РТФ (ИРИТ–РТФ)
Члены оргкомитета:
Вострецова Елена Владимировна, к. т. н, доцент, советник проректора по учебной 
работе; Долгих Мария Петровна, старший преподаватель департамента 
информационных технологий и автоматики ИРИТ–РТФ;  
Кужбанова Елена Александровна, старший преподаватель департамента 
информационных технологий и автоматики ИРИТ–РТФ;  
Пономарева Ольга Алексеевна, старший преподаватель департамента 
информационных технологий и автоматики ИРИТ–РТФ

П р ог р а м м н ы й  ко м и т е т
Председатель
Поршнев Сергей Владимирович, д. т. н., профессор, директор Учебно-научного 
центра «Информационная безопасность» (УНЦ ИБ), ИРИТ–РТФ
Члены программного комитета
Бакланов В. В., к. т. н., доцент УНЦ ИБ; Голунова Н. Н., МРУ Росфинмониторинга 
УрФО; Коллеров А. С., к. т. н., доцент УНЦ ИБ; Лизовенко О. А., РУ ФСТЭК по УрФО; 
Лукин Н. А., к. т. н., доцент департамента информационных технологий и автоматики 
ИРИТ–РТФ; Мельников В. Г., РУ ФСТЭК по УрФО; Сафиуллин Н. Т., к. т. н., 
доцент департамента информационных технологий и автоматики ИРИТ–РТФ; 
Синадский Н. И., к. т. н., доцент УНЦ ИБ

Б40
Безопасность информационного пространства — 2017 : XVI Всерос. науч.-
практ. конф. студентов, аспирантов, молодых ученых. Екатеринбург, 11–15 дека-
бря 2017 года. — Екатеринбург : Изд-во Урал. ун-та, 2018. — 304 с.

ISBN 978-5-7996-2404-0

В сборник вошли научные статьи молодых ученых, спирантов и студентов из Екате-
ринбурга, Кургана, Москвы, Магнитогорска, Томска, Тюмени, Челябинска, представлен-
ные 12 вузами Российской Федерации.
Адресовано студентам, обучающимся по специальностям и направлениям подготовки 
укрупненной группы специальностей 10.00.00 «Информационная безопасность», преподавателям, 
участвующим в реализации соответствующих образовательных программ, 
специалистам в области информационной безопасности.
УДК 004.056.5
ББК 681.3.067(063)

ISBN 978-5-7996-2404-0 
© Уральский федеральный университет, 2018

СЕКЦИЯ 1. 
ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА  
ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ

УДК 004.056
Ю. М. Агафонов
Научный руководитель: ст. преп. Т. И. Паюсова
Тюменский государственный университет, Тюмень

ДЕАНОНИМИЗАЦИЯ ПОЛЬЗОВАТЕЛЕЙ  
НА ОСНОВЕ ЦИФРОВЫХ ОТПЕЧАТКОВ БРАУЗЕРА

Аннотация. В данной работе рассматривается наиболее актуальный и перспективный 
с точки зрения законодательства Российской Федерации способ идентификации 
пользователей сети Интернет. Рассмотрены также основные моменты, связанные 
с разработкой серверного приложения для деанонимизации пользователей.

Ключевые слова: анонимизация; деанонимизация; VPN; цфировой отпечаток 
браузера; JavaScript; параметры браузера; серверное приложение; TLSH.

Необходимым условием для совершения безнаказанного преступления 
в киберпространстве является анонимность. Нарушители активно используют 
методы анонимизации для сокрытия следов своих преступлений: несанкцио-
нированного доступа и кражи данных, подделки платежных реквизитов, нару-
шения авторских прав, атак, направленных на отказ в обслуживании и других 
правонарушений. Среди основных методов анонимизации можно выделить 
web-анонимайзеры, механизмы так называемой «луковой» маршрутизации 
TOR, сети I2P, VPN-туннели. Деанонимизация пользователя, в частности для 

© Агафонов Ю. М., 2017

проведения следственных мероприятий или, например, для повышения каче-
ства сервиса, осуществима с помощью определения IP-адреса, MAC-адреса, 
цепочки DNS-серверов, GeoIP, cookie-файлов и прочих методов.
Современное отечественное законодательство стремится ограничить приме-
нение анонимайзеров для повышения общего уровня защищенности. В ноябре 
2017 года вступил в силу закон о запрете обхода блокировок через VPN-тун-
нели и web-анонимайзеры. Ответственными за выявление анонимайзеров 
и VPN-сервисов назначены Федеральная служба безопасности и Министерство 
внутренних дел Российской Федерации. Роскомнадзор ответственен за опре-
деление провайдеров, через которые работают анонимайзеры. Стоит отметить, 
что деанонимизация пользователя должна осуществляться в рамках действу-
ющего законодательства и не должна нарушать прав пользователя в отноше-
нии его персональных данных. А также необходимо учитывать то, что с учетом 
использования наиболее популярных механизмов сокрытия сетевого трафика 
отследить пользователя по сетевому адресу в большинстве случаев практиче-
ски не представляется возможным.
Одним из возможных и вполне надежных способов деанонимизации пользо-
вателей является распознавание цифровых отпечатков браузера — уникальных 
значений, отражающих настройки веб-обозревателя пользователя. При деано-
нимизации с помощью цифровых отпечатков браузера можно будет решить до-
вольно много проблем. Представится возможным предотвращать распростра-
нение так называемого «пиратского» программного обеспечения. Можно будет 
привлечь к ответственности конкретного пользователя, который распространял 
нелегальный цифровой продукт. Появится больше возможностей по предотвра-
щению экстремистской деятельности. Ведь если представится возможным од-
нозначно установить личность того, кто, к примеру, периодически обращается 
с использованием механизмов сокрытия сетевого трафика к различным экстре-
мистским ресурсам, то, вероятно, удастся предотвратить не одно преступление.
Основная сложность, связанная с деанонимизацией пользователей с помо-
щью цифровых отпечатков браузера, связана с разработкой алгоритма созда-
ния уникального значения, однозначно характеризующего конкретный «пор-
трет» браузера. В алгоритме должны быть продуманы изучаемые параметры 
браузера, должна быть определена используемая хеш-функция, также должно 
быть выбрано время «забывания» цифрового отпечатка сервером с целью сни-
жения нагрузки на систему и оптимизации процесса использования вычисли-
тельных ресурсов.
В разрабатываемом серверном приложении для деанонимизации пользо-
вателей применяются в основном JavaScript-сценарии, позволяющие получить 
информацию о некоторых параметрах браузера пользователя. Помимо основ-
ных параметров, используются также не вполне очевидные техники и методи-

ки для получения более подробного и информативного отпечатка. К числу наи-
более специфичных техник относятся Canvas Fingerprinting, WebGL Clipping 
Planes, AudioContext, FontList (JS + CSS).
Все используемые для составления цифрового отпечатка характеристики 
и техники оцениваются с точки зрения энтропии, обнаруживаемости, доступ-
ности и постоянности. Этот квартет свойств позволяет определить, какие из 
полученных данных принесут наибольшую практическую пользу при форми-
ровании итогового отпечатка браузера [1].
Получив и оценив всю необходимую информацию о браузере пользовате-
ля, следующим шагом становится организация и хранение этой информации. 
В приложении используются свыше дюжины различных методик и парамет-
ров, половина из которых предоставляет очень большие объемы информации 
о браузере. Результирующая строка по итогу получается довольно большой, 
в среднем около тридцати тысяч символов для современных версий браузеров. 
Хранить такой объем данных в изначальном виде не имеет смысла. Поэтому 
наиболее разумно хешировать полученную строку данных. При этом обычные 
алгоритмы хеширования, вроде MD5 или SHA-1 не подойдут, так как при изменении 
хотя бы долей процента входных данных, в результате хеширования 
мы получим две совершенно разные строки. Поэтому было принято решение 
использовать один из алгоритмов нечеткого хеширования, которые нашли широкое 
применение при поиске похожих электронных писем и последующей 
блокировки спам-рассылок. Был выбран алгоритм TLSH (Trend Micro Locality 
Sensitive Hash). Результатом этого алгоритма является 70-значная шестнадцатеричная 
строка, первые 6 символов которой несут информацию о данных 
в целом (например, длина исходной строки), а остальные 64 символа уже используются 
для информации о содержимом данных [2].
Разработка приложения ведется на основании уже существующих проектов 
в области сбора идентификационной информации о пользователях сети 
Интернет. Среди них проекты Panopticlick, ClientJS, Am I Unique, BrowserLeaks 
и еще несколько менее известных проектов. При разработке учитываются их 
исследования в области энтропии и эффективности использования тех или 
иных методик и характеристик.

Список литературы
1. Doty N. Mitigating Browser Fingerprinting in Web Specifications // W3C: 
World Wide Web Consortium, 2017. URL: https://w3c.github.io/fingerprinting-guid-
ance (дата обращения: 01.11.2017).
2. JavaScript port of TLSH (Trend Micro Locality Sensitive Hash) // GitHub: The 
world’s leading software development platform, 2017. URL: https://github.com/ide-
alista/tlsh-js (дата обращения: 01.11.2017).

УДК 004.056.5
С. К. Алабугин
Научный руководитель: канд. тех. наук, доц. А. Н. Соколов
Южно-Уральский государственный университет, Челябинск

ПРИМЕНЕНИЕ МЕТОДОВ ОДНОКЛАССОВОЙ 
КЛАССИФИКАЦИИ В ЗАДАЧАХ  
ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ

Аннотация. Работа посвящена использованию алгоритмов классификации в за-
дачах обнаружения вторжений. Описаны проблемы, возникающие при использо-
вании алгоритмов классификации в задачах обнаружения вторжений. В качестве 
метода решения предложено применение алгоритмов одноклассовой классифи-
кации. Приведены примеры таких алгоритмов, сформулирован и описан ориги-
нальный подход к применению методов одноклассовой классификации в задачах 
обнаружения вторжений.

Ключевые слова: обнаружение вторжений; выявление аномалий машинное  
обучение; одноклассовая классификация; анализ сетевого трафика; обучение с учи-
телем.

Вместе с ростом роли компьютерных сетей в жизни современного общест-
ва увеличивается и число сетевых атак, направленных на нарушение целостно-
сти, конфиденциальности и доступности информации. При этом появляются 
новые, более комплексные, виды атак, в частности получили распространение 
целевые атаки (Advanced Persistent Threat).
Поэтому на сегодняшний день задачи обнаружения вторжений (в частно-
сти, сетевых атак) являются крайне актуальными. Классические методы, при-
меняемые для анализа сетевого трафика, которые основаны на использова-
нии сигнатур атак, не в состоянии обнаружить новую, до этого момента не 
известную атаку. В связи с этим большое количество исследований посвящено 
методам обнаружения вторжений через выявление аномалий сетевого тра-
фика, в частности с помощью техник и методов машинного обучения. Стоит 
отметить, что данный подход обладает рядом недостатков по сравнению с ис-
пользованием сигнатур атак (большее число ложных тревог, большие затраты 
вычислительных мощностей и др.).
Наибольшее число работ в данной области посвящены использованию клас-
сических алгоритмов классификации (метрические и линейные классификато-
ры, сети Байеса, деревья принятия решения, нейронные сети) для обнаружения 
атак в сетевом трафике. При этом используется традиционная методология ма-

© Алабугин С. К., 2017

шинного обучения: сетевой трафик (чаще всего это отдельное сетевое соедине-
ние) описывается вектором признаков — длительность соединения, IP-адреса 
хостов, количество переданных пакетов и т. п. Каждый вектор признаков, мар-
кируется как безопасный или атака соответственно, затем на основе множества 
таких векторов (обучающая выборка) происходит обучение алгоритма. Однако 
при таком подходе приходится решать две основные проблемы.
Первая, более фундаментальная, заключается в том, что классические ал-
горитмы классификации по сути своей не приспособлены для нахождения 
новых атак. Так, алгоритмы, обученные на выборке, состоящей из объектов 
представляющих нормальный трафик и какие-то виды сетевых атак, вполне 
могут классифицировать объект, представляющий новую для него атаку как 
нормальный трафик.
Вторая, более практическая, происходит от того факта, что в каждой ком-
пьютерной сети существует свое понятие нормального трафика (это объясня-
ется тем, что сети отличаются друг от друга топологией, используемыми тех-
ническими средствами и работающими в рамках сети приложениями). Таким 
образом, чтобы обучить алгоритм в рамках конкретной сети, нужен не только 
нормальный трафик, но и трафик, представляющий различные виды сетевых 
атак. Чтобы получить его, приходится либо самостоятельно проводить атаки 
в рамках своей сети, либо программно генерировать дампы сетевого трафика, 
который будет содержать реализации тех или иных атак.
Одним из подходов, который может использоваться для решения выше-
описанных проблем, является одноклассовая классификация. В рамках этой 
техники обучение происходит на объектах лишь одного класса, а обученный 
алгоритм должен давать ответ, принадлежит ли новый объект этому классу 
или нет. Данная задача является более трудной, чем многоклассовая класси-
фикация, поэтому алгоритмов, решающих ее в рамках машинного обучения, 
существенно меньше. Для примера упомянем два алгоритма.
Модификация алгоритма K ближайших соседей основана на вычислении 
отношения расстояний между объектами в пространстве признаков. Пусть z — 
объект, который нужно классифицировать, y — его ближайший сосед (наиболее 
близкий объект согласно некоторой метрике, введенной в пространстве при-
знаков) из обучающей выборки, NN(y) — ближайший сосед y из обучающей 
выборки, d — метрика в пространстве признаков, тогда сравнение

d z y
d y NN y
( , )
,
( )
определяет ответ алгоритма: в случае, если данное отношение меньше порога 
µ, то считается, что объект принадлежит классу.

Машина опорных векторов для одноклассовой классификации представля-
ет обычную машину опорных векторов, однако гиперплоскость в пространст-
ве признаков, которая строится алгоритмом, не разделяет объекты нескольких 
классов, но выделяет границы одного класса.
На начальном этапе исследований нами был сформулирован и реализован 
свой алгоритм одноклассовой классификации, основанный на оценке плотно-
сти распределения объектов и построении решающей границы класса методом 
выпуклой оболочки. Выпуклой оболочкой множества Х называют наимень-
шее выпуклое множество, содержащее Х. В частности, если Х — множество 
точек на плоскости, то его выпуклой оболочкой будет замкнутая линия, про-
веденная через граничные элементы Х. Основная идея предложенного нами 
подхода заключается в том, чтобы построить выпуклую оболочку в простран-
стве признаков относительно объектов, соответствующих нормальным со-
единениям. Классификация новых объектов осуществляется путем проверки 
вхождения их в эту замкнутую оболочку. Вообще говоря, выпуклая оболочка 
может быть построена в пространстве любой размерности, однако чем больше 
размерность, тем больше времени будет требоваться для построения оболочки 
и проверки вхождения в нее объекта. По этой причине, а также для большей 
наглядности было решено понизить размерность пространства признаков до 
двух с помощью метода главных компонент. Следующим шагом является по-
строение выпуклой оболочки относительно нормальных объектов. Для того 
чтобы определить область наибольшего скопления этих объектов в простран-
стве признаков, была использована ядерная оценка плотности вероятности. 
Посчитав таким образом плотность вероятности для всех рассматриваемых 
объектов, мы можем определить те, что лежат в области наибольшей плотно-
сти и использовать их для построения выпуклой оболочки в первую очередь. 
В качестве настраиваемого параметра алгоритма мы вводим долю объектов 
выборки, которые будут использоваться для построения выпуклой оболочки. 
С увеличением параметра классификатор обнаруживает меньше атак и счи-
тает больше объектов нормальными. В ходе экспериментов на классическом 
наборе данных NSL KDD удалось добиться точности классификации 0.83. Для 
увеличения точности данного алгоритма стоит исследовать выбор призна-
кового описания объектов, чтобы найти признаки, обеспечивающие лучшее 
разделение нормального сетевого трафика и аномалий.
Таким образом, применение алгоритмов одноклассовой классификации 
в задаче обнаружения вторжений позволяет обойти некоторые проблемы, воз-
никающие при использовании многоклассовых классификаторов. Однако пока 
не существует алгоритмов, которые бы качественно выявляли атаки на основе 
анализа сетевого трафика.

УДК 004.048
Г. Д. Асяев
Научный руководитель: канд. тех. наук, А. Н. Рагозин
Южно-Уральский государственный университет, Челябинск

АУТЕНТИФИКАЦИЯ ПО КЛАВИАТУРНОМУ ПОЧЕРКУ 
С ИСПОЛЬЗОВАНИЕМ НЕЙРОННОЙ СЕТИ

Аннотация. В данной работе проведено исследование применения разновид-
ностей нейронной сети для распознавания образов. Выявлена основная методика 
обучения нейронной сети. Были проведены эксперименты, в ходе которого была 
определена наиболее эффективная модель нейронной сети, которая с наименьшим 
количеством ошибок выполняла аутентификацию по клавиатурному почерку.

Ключевые слова: информация; аутентификация; нейронная сеть; клавиатурный 
почерк; биометрическая характеристика.

Отождествление пользователя ЭВМ является первостепенной задачей при 
обеспечении информационной безопасности. Это сделать можно как при по-
мощи традиционной парольной защиты, так и про помощи проверки психо-
физических параметров человека. В данной статье рассмотрена биометриче-
ская система аутентификации, анализирующая динамический образ, который 
в свою очередь построен на анализе клавиатурного почерка. Клавиатурный 
почерк — динамическая биометрическая характеристика, которую описыва-
ют динамика ввода, скорость ввода, частота возникновение ошибки. В ходе 
выполнения исследования было разработано программное обеспечение, кото-
рое регистрирует все характеристики, описанные выше. В качестве парольной 
фразы могут быть как несвязные по смыслу буквы (20–42), так и произвольно 
генерируемый текст.
В ходе исследования рассматривались следующие типы нейронной сети: 
нейронная сеть с прямым распространением сигнала и обратным распростра-
нением ошибки, иерархическая сеть, нейронная сеть Кохонена и нейронная 
сеть, у которой количество входных слоев прямо пропорционально количеству 
выходных. Для корректного обучения требовалось не менее 10–15 выборок 
временного интервала для каждого пользователя. Для того чтобы обучить сеть, 
нужно подготовить обучающие данные. В нашем случае тренировочные дан-
ные состоят из входных параметров — временного интервала каждого пользо-
вателя и желаемого результата (порядковый номер пользователя). В качестве 
данных для проверки предоставлялись три временных интервала между нажа-
тиями клавиш для каждого из пользователей.

© Асяев Г. Д., 2017

Доступ онлайн
900 ₽
В корзину