Защита клиентских данных при авторизации с использованием вероятностной модели,

Содержание

АННОТАЦИЯ 2
ВВЕДЕНИЕ 7
1 МЕТОДЫ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ НА
ИНТЕРНЕТ-РЕСУРСАХ 9
1.1 Актуальные атаки злоумышленников по версии OWASP 9
1.2 Безопасность информационных систем и интернет-ресурсов 10
1.3 Аутентификация пользователей 11
1.4 Способы аутентификации 12
1.4.1 С применением пароля 12
1.4.2 С применением личного предмета идентификации
пользователя 13
1.4.3 С применением личной информации пользователя 14
1.5 Протоколы аутентификации 14
1.6 Стандарты аутентификации 23
1.7 Выводы по первой главе 24
2 АКТУАЛЬНЫЕ ТИПЫ АТАК НА ДАННЫЕ ПОЛЬЗОВАТЕЛЕЙ ВЕБПРИЛОЖЕНИЯ 25
2.1 Классификация атак 25
2.1.1 Выполнение кода 25
2.1.2 Атаки направленные на пользователей 25
2.1.3 Процедура аутентификации 26
2.1.4 Процедура авторизации 26
2.1.5 Разглашение информации 27
2.1.6 Логические атаки 27
2.2 Кеширование в веб-браузере пользователей 29
2.3 Анализ SSL/TLS шифрования 30
2.4 Выводы по второй главе 34
3 БАЙЕСОВСКАЯ СЕТЬ ДЛЯ АНАЛИЗА НА ПРЕДМЕТ УГРОЗ 35
3.1 Защита пользователя от потенциальных сетевых атак 37
3.2 Математическая модель 39
3.3 Модель защиты, основанная на критериях и свойствах вебприложений 41
3.4 Процедура реализации математической модели 49
3.5 Выводы по третьей главе 50
ЗАКЛЮЧЕНИЕ 51

Введение

Разработка веб-приложений является очень популярным вектором развития IT. Защита пользовательских данных становится приоритетной для разработчиков, так как это прямая угроза содержанию ресурса. Большинство пользователей используют одинаковые логины и пароли для входа на большое количество сайтов, соответственно, получая данные от одного сайта, злоумышленник получает доступ и к другим ресурсам, которыми пользуется жертва.
SSL/TLS соединение помогает обеспечивать целостность передачи данных. Существуют угрозы хищения секретных ключей, существует угроза хищения cookies-файлов, содержащих пароли, а также идентификаторы предыдущих посещений пользователя. Это достаточно новая угроза, которая базируется на поддержке популярными браузерами логирования симметричных сессионных ключей. При помощи этих ключей и происходит шифрование во время передачи данных между клиентом и сервером. Реализуется угроза на стороне клиента, весь трафик дешифруется с использованием информации о логировании пользователя.
Также существуют различные способы атак на серверную часть приложения, в частности на БД, используя SQL-инъекции, XSS-атаки, а так же другие атаки, подобные им. Результат всегда будет таким, что злоумышленник получит доступ ко всей пользовательской информации, содержащейся на сервере.
Описанные выше возможности потери данных пользователя наталкивают на необходимость реализации алгоритма предавторизационной проверки сайта, которая смогла бы предотвратить ввод данных пользователем на небезопасном ресурсе. Таким образом, уменьшив шансы на хищение пользовательских данных и использование их злоумышленниками в своих целях.

Возникли сложности?

Нужна помощь преподавателя?

Помощь в написании работ!

ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ

КУРСОВЫЕ СТАТЬИ ВКР

Заключение

На основе проведенного анализа различных способом атак на пользователей и защита о самых популярных из них можно сделать выводы, которые будут способствовать повышению уровня защиты пользовательской информации во время работы с различными ресурсами. Итак, полученные результаты:
- со стороны информационной безопасности был произведен анализ методов аутентификации пользователей. Методы имеют как свои преимущества, так и недостатки. Отсутствие проверки ресурсов в реальном времени может привести к перехвату данных до того, как браузер сможет проанализировать этот ресурс и признать его небезопасным. Соответственно, потеря пользователями своих ауте'нтификационных данных приведет к тому, что помимо текущего ресурса пострадают и другие их ресурсы, так как зачастую пользователи используют одинаковые данные для входа на используемых ресурсов;
- разработанный алгоритм для проверки ресурса, перед вводом пользователем своих идентифкационных данных на основе модели с использованием вероятностной модели. Для реализации модели были отобраны свойства, которые лучше всего подходят для задачи проверки на наступление сетевой угрозы.

Литература

1. Cormen, T.H. Введение в алгоритмы (3-е издание) / T.H. Cormen, C.E. Leiserson, R.L. Rivest, C. Stein. - 2009. - 254 p.
2. Diffie, W. Новые направления в криптографии / W. Diffie, M. Hellman Hellman. - Институт инженеров электротехники и электроники, 1976. - P. 650-655.
3. Лаборатория Касперского. Эволюция фишинговых атак. - URL:http:// kaspersky.com/report_The_Evolution_of_Phishing_Attacks.pdf (дата обращения: 20.04.2021).
4. Neil M. Использование байесовских сетей для моделирования ожидаемых и неожиданных операционных потерь / M. Neil, N. Fenton,
M. Tailor. - 2005. - 176 p.
5. OWASP Top 10. - URL: https://www.owasp.org/index.php/
OWASP_Top_Ten_Project (дата обращения: 14.03.2021).
6. RFC5246 -The Transport Layer Security (TLS) Protocol Version 1.2. - URL: http://tools.ietf.org/html/rfc5246 (дата обращения: 10.04.2021).
7. Stephen, N. Обнаружение сетевых вторжений. 3-е издание. / N. Judy,
N. Stephen. - 2002. - 213 p.
8. Tidswell, J.E. Модель управления доступом. / J.E. Tidswell, T. Jaeger- 2000. - 103 p.
9. Bertino, E. Гибкий механизм авторизации для реляционных систем управления данными. / E. Bertino, S. Jajodia, P Samarati, - 1999. - 311p.
10. Citavicius, A. Криптографический генератор псевдослучайных чисел на
основе нелинейной динамической хаотической системы. / A. Citavicius,
A. Jonavicius, S. Japertas. - 2007. - 422 p.
11. Зайцев, А.П. Технические средства и методы защиты информации / А.П. Зайцев, Р.В. Мещеряков, А.А. Шелупанов. - М.: РиС, 2014. - 211 с.
12. Платонов, В.В. Программно-аппаратные средства защиты информации. / В.В. Платонов. - М.: Академия, 2018. - 343 с.
13. Громов, Ю.Ю. Информационная безопасность и защита
информации. / Громов Ю.Ю., Драчев В.О., Иванова О.Г. - 2017. - 420 с.
14. Открытый проект о безопасности веб-приложений. - OWASP - URL: http://owasp.org (дата обращения: 24.02.2021).
15. Бахаров, Л.Е. Информационная безопасность и защита информации (раздел криптография). / Л.Е. Бахаров. - 2019. - 140 с.
..20