سامانه‌های تشخیص نفوذ (Intrusion Detection System) وظیفهٔ شناسایی و تشخیص هر گونه استفادهٔ غیرمجاز به سیستم، سوء استفاده و یا آسیب رسانی توسط هر دو دستهٔ کاربران داخلی و خارجی را بر عهده دارند. تشخیص و جلوگیری از نفوذ امروزه به عنوان یکی از مکانیزم‌های اصلی در برآوردن امنیت شبکه‌ها و سیستم‌های رایانه‌ای مطرح است و عمومأ در کنار دیواره‌های آتش و به صورت مکمل امنیتی برای آن‌ها مورد استفاده قرار می‌گیرند.

سامانه‌های تشخیص نفوذ به صورت سامانه‌های نرم‌افزاری و سخت افزاری ایجاد شده و هر کدام مزایا و معایب خاص خود را دارند. سرعت و دقت از مزایای سیستم‌های سخت افزاری است و عدم شکست امنیتی آن‌ها توسط نفوذگران، قابلیت دیگر این گونه سیستم‌ها می‌باشد. اما استفادهٔ آسان از نرم‌افزار، قابلیت سازگاری در شرایط نرم‌افزاری و تفاوت سیستم‌های عامل مختلف، عمومیت بیشتری را به سامانه‌های نرم‌افزاری می‌دهد و عمومأ این گونه سیستم‌ها انتخاب مناسب تری هستند. به طور کلی سه عملکرد اصلی IDS عبارت است از: نظارت و ارزیابی، کشف و واکنش. بر همین اساس هر IDS را می‌توان بر اساس روشهای تشخیص نفوذ، معماری و انواع پاسخ به نفوذ دسته بندی کرد.

نفوذ به مجموعهٔ اقدامات غیرقانونی که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر می‌اندازد، اطلاق می‌گردد. نفوذها می‌توانند به دو دستهٔ داخلی و خارجی تقسیم شوند. نفوذهای خارجی به آن دسته نفوذهایی گفته می‌شود که توسط افراد مجاز و یا غیرمجاز از خارج شبکه به درون شبکهٔ داخلی صورت می‌گیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکهٔ داخلی، از درون خود شبکه انجام می‌پذیرد. نفوذگرها عموماً از عیوب نرم‌افزاری، شکستن کلمات رمز، شنود میزان تردد در شبکه و نقاط ضعف طراحی در شبکه، سرویس‌ها و یا کامپیوترهای شبکه برای نفوذ به سیستم‌ها و شبکه‌های رایانه‌ای بهره می‌برند.

به منظور مقابله با نفوذگران به سیستم‌ها و شبکه‌های رایانه‌ای، روش‌های متعددی تحت عنوان روشهای تشخیص نفوذ ایجاد گردیده‌است که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکهٔ رایانه‌ای را بر عهده دارد. روش‌های تشخیص مورد استفاده در سامانه‌های تشخیص نفوذ به دو دسته تقسیم می‌شوند:

روش تشخیص رفتار غیر عادی (anomaly detection)
روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء(misuse detection)

روش تشخیص رفتار غیرعادی
در این روش، یک نما از رفتار عادی ایجاد می‌شود. یک ناهنجاری ممکن است نشان دهندهٔ یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکه‌های عصبی، تکنیک‌های یادگیری ماشین و حتی سیستم‌های ایمنی زیستی استفاده می‌شود. برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آن‌ها پیدا کرد. رفتارهایی که از این الگوها پیروی می‌کنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده می‌شود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع می‌پیوندد، غیرعادی فرض می‌شود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا رایانه‌ای که در ساعت ۲:۰۰ بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد می‌تواند به عنوان یک رفتار غیر عادی در نظر گرفته شود.

روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء
در این تکنیک که معمولاًبا نام تشخیص مبتنی بر امضاء شناخته شده‌است، الگوهای نفوذ از پیش ساخته شده (امضاء) به صورت قانون نگهداری می‌شوند. به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را در بر گرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام می‌شود. در این روش‌ها، معمولاً تشخیص دهنده دارای پایگاه داده‌ای از امضاءها یا الگوهای حمله‌است و سعی می‌کند با بررسی ترافیک شبکه، الگوهای مشابه با آن چه را که در پایگاه دادهٔ خود نگهداری می‌کند، بیابد. این دسته از روش‌ها تنها قادر به تشخیص نفوذهای شناخته شده می‌باشند و در صورت بروز حملات جدید در سطح شبکه، نمی‌توانند آن‌ها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سامانه تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفوذهایی است که الگوی آن‌ها عیناً به سیستم داده شده‌است.

معماری سامانه‌های تشخیص نفوذ

معماری‌های مختلف سامانه تشخیص نفوذ عبارتند از:

سامانه تشخیص نفوذ مبتنی بر میزبان (HIDS)
سامانه تشخیص نفوذ مبتنی بر شبکه (NIDS)
سامانه تشخیص نفوذ توزیع شده (DIDS)

برای مشاوره و پیاده سازی روشهای بالا میتوانید با شماره تلفن ۰۹۱۴۱۱۰۰۲۵۷ تماس حاصل فرمایید .

سامانه تشخیص نفوذ مبتنی بر میزبان

این سیستم، شناسایی و تشخیص فعالیت‌های غیرمجاز بر روی رایانه میزبان را بر عهده دارد. سامانه تشخیص نفوذ مبتنی بر میزبان می‌تواند حملات و تهدیداتی را روی سیستم‌های بحرانی تشخیص دهد (شامل دسترسی به فایل‌ها، اسب‌های تروا و …) که توسط سامانه‌های تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. اچ‌آی‌دی‌اس (HIDS) فقط از میزبان‌هایی که روی آن‌ها مستقر است محافظت می‌کند و کارت واسط شبکهٔ (NIC) آن‌ها به صورت پیش فرض در حالت باقاعده ۵ کار می‌کند. حالت باقاعده در بعضی از موارد می‌تواند مفید باشد چون همهٔ کارت‌های واسط شبکه قابلیت حالت بی قاعده را ندارند. اچ‌آی‌دی‌اس‌ها به واسطهٔ مکان شان روی میزبانی که باید نظارت شود، از همهٔ انواع اطلاعات محلی اضافی با پیاده‌سازی‌های امنیتی (شامل فراخوانی‌های سیستمی، تغییرات فایل‌های سیستمی و اتصالات سیستم) مطلع می‌باشند. این مسئله هنگام ترکیب با ارتباطات شبکه‌ای، داده‌های خوبی را برای جستجوی رویدادهای ممکن فراهم می‌کند. برای مشاوره و پیاده سازی روشهای بالا میتوانید با شماره تلفن ۰۹۱۴۱۱۰۰۲۵۷ تماس حاصل فرمایید .

ین سیستم، شناسایی و تشخیص فعالیت‌های غیرمجاز بر روی کامپیوتر میزبان را بر عهده دارد. سیستم تشخیص نفوذ مبتنی بر میزبان می‌تواند حملات و تهدیداتی را روی سیستم‌های بحرانی تشخیص دهد (شامل دسترسی به فایل‌ها، اسب‌های تروا و ...) که توسط سیستم‌های تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. HIDS فقط از میزبان‌هایی که روی آن‌ها مستقر است محافظت می‌کند و کارت واسط شبکه‌ی ( NIC) آن‌ها به صورت پیش‌فرض در حالت با‌قاعده کار می‌کند. حالت با‌قاعده‌ی، در بعضی از موارد می‌تواند مفید باشد. چون همه‌ی کارت‌های واسط شبکه‌ی قابلیت حالت بی‌قاعده را ندارند. HIDSها به واسطه‌ی مکان‌شان روی میزبانی که باید نظارت شود، از همه‌ی انواع اطلاعات محلی اضافی با پیاده‌سازی‌های امنیتی (شامل فراخوانی‌های سیستمی، تغییرات فایل‌های سیستمی و اتصالات سیستم) مطلع می‌باشند. این مساله هنگام ترکیب با ارتباطات شبکه‌ای، داده‌های خوبی را برای جستجوی رویداد‌های ممکن فراهم می‌کند.



مزیت دیگر HIDSتوانایی سازماندهی بسیار خوب تصمیمات برای هر میزبان منحصر به ‌فرد می‌باشد. به عنوان مثال نیازی نیست روی میزبانی که سرویس نام گذاری دامنه ( DNS) را اجرا نمی‌کند، قوانین چند‌گانه‌ای بررسی شوند که برای تشخیص سوءاستفاده‌ها از ‌DNS طراحی شده‌اند. در نتیجه کاهش تعداد قوانین مربوطه، کارآیی را بالا می‌برد و سربار پردازنده را برای هر میزبان کاهش می‌دهد. همچنین HIDSها اطلاعات مشخصی در این باره که نفوذ از کجا، توسط چه کسی و چه موقع اتفاق افتاده است را فراهم می‌کنند. این عمل بسیار مفید است چون هیچ‌گونه کم‌کاری و حذف وجود ندارد. در IDSهای مبتنی بر میزبان احتمال هشدارهای نادرست بسیار کم است، چرا که اطلاعات مستقیماً به کاربران برنامه‌های کاربردی بر می‌گردد. این IDSها ترافیک کمتری نسبت به NIDSداشته و تاًکید بیشتری روی حسگرهای چندگانه‌ی مجزا و ایستگاه‌های مدیریت مرکزی دارند. از معایب HIDSها سازگاری کم بین سیستم ‌عامل و در نتیجه نرم‌افزارهای چندگانه است. اغلب IDSهای مبتنی بر میزبان تنها برای یک سیستم ‌عامل نوشته می‌شوند. دیگر این که HIDSها بعضی از حملات را که در لایه‌های پایین شبکه انجام می‌شوند، شناسایی نمی‌کنند.
برای مشاوره و پیاده سازی روشهای بالا میتوانید با شماره تلفن ۰۹۱۴۱۱۰۰۲۵۷ تماس حاصل فرمایید .

سامانه تشخیص نفوذ مبتنی بر شبکه

شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستمهای بحرانی، به عهدهٔ سامانه تشخیص نفوذ مبتنی بر شبکه‌است. ان‌آی‌دی‌اس‌ها (NIDS)، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بسته‌ها و پروتکل‌های ارتباطات فعال، به جستجوی تلاش‌هایی که برای حمله صورت می‌گیرد می‌پردازند. به عبارت دیگر معیار ان‌آی‌دی‌اس‌ها، تنها بسته‌هایی است که بر روی شبکه‌ها رد و بدل می‌گردد. از آن جایی که ان‌آی‌دی‌اس‌ها تشخیص را به یک سیستم منفرد محدود نمی‌کنند، عملاً گستردگی بیش تری داشته و فرایند تشخیص را به صورت توزیع شده انجام می‌دهند. با این وجود این سیستم‌ها در رویایی با بسته‌های رمزشده و یا شبکه‌هایی با سرعت و ترافیک بالاکارایی خود را از دست می‌دهند.
برای مشاوره و پیاده سازی روشهای بالا میتوانید با شماره تلفن ۰۹۱۴۱۱۰۰۲۵۷ تماس حاصل فرمایید .

سامانه تشخیص نفوذ توزیع شده (DIDS)
این سیستم‌ها از چندین NIDS یا HIDS یا ترکیبی از این دو نوع همراه یک ایستگاه مدیریت مرکزی تشکیل شده‌است. بدین صورت که هر IDS که در شبکه موجود است گزارش‌های خود را برای ایستگاه مدیریت مرکزی ارسال می‌کند. ایستگاه مرکزی وظیفه بررسی گزارش‌های رسیده و آگاه سازی مسئول امنیتی سیستم را برعهده دارد. این ایستگاه مرکزی همچنین وظیفه به روزرسانی پایگاه قوانین تشخیص هر یک از IDSهای موجود در شبکه را برعهده دارد. اطلاعات در ایستگاه مدیریت مرکزی ذخیره می‌شود. شبکه بین ان‌آی‌دی‌اس‌ها با سامانه مدیریت مرکزی می‌تواند خصوصی باشد و یا این که از زیرساخت موجود برای ارسال داده‌ها استفاده شود. وقتی از شبکهٔ موجود برای ارسال داده‌های مدیریتی استفاده شود، امنیت‌های اضافی به وسیلهٔ رمزنگاری یا فناوری شبکه‌های خصوصی مجازی(VPN)حاصل می‌گردد.

قابلیت دیگر برخی از IDSها این است که با در دست داشتن اطلاعات وقایع و تجزیه و تحلیل الگوهای حملات به آن‌ها پاسخ میدهد. پاسخ در IDSها به دو شکل غیر فعال و فعال تقسیم می‌شوند که نوع غیر فعال به پاسخ برون خطی نیز معروف است.
پاسخ غیرفعال در سامانه تشخیص نفوذ

این IDSها، به مدیر امنیتی سیستم اطلاعاتی دربارهٔ حمله توسط تلفن همراه، نامهٔ الکترونیکی، پیام روی صفحهٔ رایانه یا پیامی برای کنسول SNMP می‌دهند. این اطلاعات شامل موارد زیر است:

آدرس IP منبع حمله
آدرس IP مقصد حمله
نتیجهٔ حمله
ابزار یا مکانیزم‌های مورد استفاده برای مهار حمله
گزارش‌ها و اتصال‌ها حمله‌های سیستم و رویدادهای مربوطه

پاسخ فعال در سامانه تشخیص نفوذ

سامانه‌های تشخیص نفوذ از لحظه‌ای که به کار می‌افتند، ضمن به دست آوردن اطلاعات مربوط به رخدادها و تجزیه و تحلیل آن‌ها، اگر نشان‌هایی دال بر وقوع یک حمله را تشخیص دهند، پاسخ لازم را در قبال آن به نحوه‌های مختلف تولید می‌کنند. گاهی این پاسخ به صورت یک هشدار به مدیر شبکه‌است و گاهی نوشتن یک اطلاع در فایل رخدادها و یا به صورت تنظیم مجدد دیوارهٔ آتش و یا دستگاه‌های دیگری در شبکه‌است. IDSهای فعال هر نفوذی را که تشخیص دهد به طور خودکار پاسخ می‌دهند و خود به سه دسته تقسیم می‌شوند:

پاسخ فعال براساس جمع‌آوری اطلاعات اضافی
پاسخ فعال از نوع تغییر محیط
پاسخ فعال از نوع عکس العمل در مقابل حمله

برای مشاوره و پیاده سازی روشهای بالا میتوانید با شماره تلفن ۰۹۱۴۱۱۰۰۲۵۷ تماس حاصل فرمایید .

اگر بیست سال پیش شخصی می‌گفت که ممکن است از تلفنش برای سرقت گذرواژه حساب کاربری وی استفاده شود یا یک کپی از اطلاعات او در اثر به سرقت رفتن اثر انگشتش پخش شده است، می‌خندیدم و به او می‌گفتم که بیش از اندازه فیلم‌های جیمزباند را دیده است. اما در زمان حال، اگر بگویید هکرها ممکن است با استفاده از توستر خانگی من حساب کاربری‌ام را در فیسبوک هک کنند، وحشت‌زده خواهم شد و به سرعت آن را از پریز برق جدا خواهم کرد. این عصر اینترنت اشیا است؛ عصری که در آن دستگاه‌های دیجیتالی متصل در هر جنبه‌ای از زندگی ما وارد شده‌اند. خانه‌، محل کار، ماشین و حتی بدن ما این روزها پذیرای چنین دستگاه‌هایی است.

با ظهور IPv6 و استقرار گسترده شبکه‌های وای‌فای، اینترنت اشیا با سرعت بیش از اندازه‌ای در حال رشد است. محققان تخمین زده‌اند که تا سال 2020، تعداد دستگاه‌های بی‌سیم از 40 میلیارد دستگاه عبور خواهد کرد. این حرکت صعودی این ظرفیت را به وجود آورده است تا کارهایی که پیش از این در وهم و خیال ما بودند، اکنون رنگ واقعیت به خود بگیرد. اما در طرف مقابل، این سیر همه‌گیر شدن، همانند چراغی برای مجرمان سایبری است. هرچه تعداد دستگاه‌های متصل بیشتر شود، به همان میزان بردارهای حمله افزایش پیدا کرده و هکرها سعی می‌کنند در جهت دسترسی آسان به داده‌های شخصی ما، خود را توانمند‌تر سازند؛ مگر آنکه ما به سرعت به این نگرانی‌های امنیتی رسیدگی کنیم؛ پیش از اینکه چنین اتفاقاتی زمینه‌ساز فاجعه اجتناب‌ناپذیری شوند.

کامپیوترها و دستگاه‌های همراه از سیستم‌عامل‌های قدرتمندی استفاده می‌کنند که مجموعه راه‌حل‌های امنیتی و پروتکل‌های رمزنگاری را در دل خود جای داده‌اند. این راهکارها با هدف مقابله با بسیاری از تهدیدات امنیتی که این دستگاه‌ها با آن‌ها روبه‌رو می‌شوند، در نظر گرفته شده‌اند. تهدیدات سایبری در دستگاه‌های الکترونیکی، زمانی خطرناک‌‌تر می‌شوند که این دستگاه‌ها به اینترنت متصل شوند. در مقطع فعلی، میلیاردها دستگاه اینترنت اشیا در سراسر جهان استفاده می‌شوند. درصد قابل توجهی از این دستگاه‌ها از توان پردازشی و ظرفیت ذخیره‌سازی کم استفاده می‌کنند و در بسیاری از موارد نمی‌توانند خود را همگام با راه‌حل‌های امنیتی منبسط سازند. با این حال‌، هنوز هم این دستگاه‌ها به اینترنت متصل ‌شده و باعث به وجود آمدن محیط خصمانه‌ای می‌شوند. این چنین رویکردی همانند این است که به میدان نبردی وارد شوید، در حالی که هیچ‌ سلاحی در اختیار ندارید. به همین دلیل است که هر روزه شاهد افزایش آسیب‌پذیری‌های جدیدی در دستگاه‌های اینترنت اشیا هستیم. آسیب‌پذیری‌هایی که در سطوح متوسط روبه‌افزایش بوده و دستگاه‌های اینترنت اشیا را به‌طور مرتب قربانی حملات هکری همچون بات‌نت‌ها یا دیگر اعمال خربکارانه می‌کنند. اگر به اخبار دنیای امنیت نگاهی بیندازید، کمتر هفته‌ای را پیدا می‌کنید که این چنین تهدیداتی دستگاه‌های اینترنت اشیا را در معرض خطر قرار نداده باشند. برای یک هکر، تنها چند دقیقه طول می‌کشد تا هزاران آسیب‌پذیری موجود در دستگاه‌های اینترنت اشیا را با موتور جست‌وجوگر شیدون(Shadon) شناسایی کند و به این شکل دستگاه‌های اینترنت اشیا را برای پیاده‌سازی یک حمله هکری خطرناک که ممکن است تبعات جدی برای شبکه‌ها به وجود آورد، آماده سازد. (شکل 1) در سطوح پایینی این زنجیره متصل از دستگاه‌ها که این روزها استفاده می‌شوند، دستگاه‌های هوشمندی قرار دارند که برای دفاع از خود در برابر حملات سایبری، بیش از اندازه غیرهوشمند هستند. برای پر کردن این شکاف نیازمند پلی هستیم که توانایی تحلیل اوضاع را داشته باشد.

راهکار ایده‌آلی که توانایی پر کردن این شکاف را دارد، یادگیری ماشینی است. فناوری قدرتمندی که با کمک آن حتی توسعه‌دهندگان و تولیدکنندگان می‌توانند به‌راحتی این مشکلات را مشاهده کرده و راه‌حل‌های مربوطه را ارائه کنند. طبیعت ذاتی دستگاه‌های اینترنت اشیا به گونه‌ای است که حجم عظیمی از داده‌ها را تولید می‌کنند و تنها راهکار جامع در زمینه تجزیه‌و‌تحلیل این داده‌ها و مطالعه دقیق روی آن‌ها در گرو توجه دقیق به مبحث یادگیری ماشینی محقق می‌شود. یادگیری ماشینی می‌تواند بهره‌وری سرویس‌های مورد استفاده مشتریان را افزایش داده، هزینه‌های مصرفی را کاهش دهد و در نهایت مصرف انرژی را به میزان قابل توجهی کم کند. جالب آنکه یادگیری ماشینی در حوزه امنیت نیز گسترش‌پذیر است و این ظرفیت را دارد تا مکانیزم‌های امنیتی را در خصوص این چنین دستگاه‌هایی بسط دهد. یادگیری ماشینی می‌تواند تشخیص دهد آیا رفتاری که از سوی دستگاه‌های اینترنت بروز می‌کند ایمن است و مهم‌تر از آن، اینکه در حالت کلی از چه الگوهایی در زمینه ایمن‌سازی دستگاه‌های اینترنت اشیا می‌توان استفاده کرد. این تحلیل‌ها کمک می‌کنند تا نقاط قوت شناسایی شود و همچنین از رفتارهای غیرطبیعی که بستر به وجود آمدن رفتار خطرناکی را زمینه‌ساز می‌شوند، ممانعت به عمل آید. در حال حاضر، چند شرکت فناوری در زمینه طراحی راه‌حل‌های امنیتی اینترنت اشیا به فعالیت اشتغال دارند؛ به ویژه در ارتباط با خانه‌های هوشمند که در آن‌ها هیچ‌گونه تعریف واحدی از استانداردهای امنیتی و شیو‌ه‌‌های مورد استفاده از آن‌ها وجود ندارد.

تعامل کلاود و یادگیری ماشینی باعث قدرتمندتر شدن امنیت می‌شود

«الکساندرو بالان»، محقق ارشد بخش تحقیقات امنیتی در حوزه امنیت سایبری شرکت «بیت‌دیفندر» در این باره گفته است: «این روزها، یادگیری ماشینی و تجزیه‌و‌تحلیل رفتاری، یکی از بزرگ‌ترین گرایش‌هایی است که در زمینه تشخیص رخدادهای مختلف به آن توجه می‌شود. با این‌حال، یادگیری ماشینی هنوز هم راه طولانی برای نیل به این هدف پیش روی خود دارد و در مقطع فعلی بسیاری از تحقیقات و ابداعات در ارتباط با الگوریتم‌ها در مرحله طراحی، پیاده‌سازی و آزمایش قرار دارند.» برای مثال، رویکرد بیت دیفندر بر مبنای جمع‌آوری اطلاعات در یک سرور کلاود قرار دارد و تمام محصولات این شرکت اطلاعات خود را برای یک نقطه پایانی ارسال می‌کنند. در این چنین رویکردی، ورودی تحلیل شده است تا الگوها مشخص و رفتارهای مخرب بررسی شود.

طبیعت ذاتی دستگاه‌های اینترنت اشیا به گونه‌ای است که حجم عظیمی از داده‌ها را تولید می‌کنند و تنها راهکار جامع در زمینه تجزیه‌و‌تحلیل این داده‌ها و مطالعه دقیق روی آن‌ها در گرو توجه دقیق به مبحث یادگیری ماشینی محقق می‌شود.

بالان در این خصوص می‌گوید: «در این روش تمامی ترافیک شبکه را جمع‌آوری می‌کنید و در ادامه به پالایش و عادی‌سازی آن‌ها خواهید پرداخت. با استفاده از اطلاعات جمع‌آوری‌شده، آگاه خواهید شد که دستگاه‌ها با چه سرور‌هایی ارتباط برقرار می‌کنند، با چه دستگاه‌های دیگری به گفت‌وگو می‌پردازند و چگونه ارتباطی عادی با اینترنت و با یکدیگر برقرار می‌کنند. این چنین اطلاعاتی کمک می‌کند به‌راحتی توانایی شناسایی و تشخیص ترافیک غیرطبیعی را داشته باشید.» اگر شرکتی در نظر داشته باشد این چنین فرایندهایی را به‌طور دستی مدیریت کند، نه تنها به حجم نسبتاً زیادی از نیروی انسانی نیاز دارد، بلکه در عمل به زمان زیادی برای تحلیل الگوها نیاز خواهد داشت، در حالی که در دنیای امنیت حتی از دست دادن یک ثانیه ممکن است صدمات جبران‌ناپذیری را وارد کند.

جالب اینکه شرکت بیت دیفندر به‌خوبی توانسته است از الگوی یادگیری ماشینی در محصولات خود استفاده کند. رویکردی که بیت دیفندر استفاده می‌کند این‌گونه است که از هوشمندی کلاودمحور و الگوی تشخیصی، همراه با تحلیل‌های محلی شبکه، در مجموعه نرم‌افزارها و سخت‌افزارهای امنیتی نقطه پایانی خود بهره می‌برد. این راهکار با هدف کنترل بر ترافیک شبکه‌های خانگی و مسدود کردن ارتباط آن‌ها با آدرس‌های اینترنتی مخرب و پیشگیری از دانلود بسته‌های مشکوک یا نرم‌افزارهای مخرب استفاده می‌شود. بیت‌دیفندر می‌تواند به کمک اهرم سرویس‌های ابری تا سطح قابل قبولی از حفاظت را برای مشتریان خود اعمال کند.

یادگیری ماشینی؛ هدف غایی بشریت

«ادی ویراماچنینا»، بنیان‌گذار و مدیرعامل «PatternEx» در این باره گفته است: «یادگیری ماشینی یکی از مؤلفه‌های زیربنایی هوش مصنوعی ویژه اینترنت اشیا شناخته می‌شود. مسئله مهمی که در خصوص اینترنت اشیا وجود دارد، به مقیاس وسیع آن بازمی‌گردد. دستگاه‌های اینترنت اشیا به گونه‌ای طراحی می‌شوند که به صورت توزیع‌شده، طیف گسترده‌ای از کاربران از آن‌ها استفاده می‌کنند. در نتیجه اگر حمله‌ای رخ دهد، باید بتوانید بلافاصله به آن واکنش نشان دهید.» اکثر سیستم‌ها با تکیه بر یادگیری ماشینی و تحلیل رفتاری اقدام به جمع‌آوری اطلاعات درباره شبکه و دستگاه‌های متصل به شبکه می‌کنند. آن‌ها در ادامه سعی می‌کنند هر فعالیت مشکوک و غیرعادی را شناسایی کنند. اما مشکل این روش بدوی این است که در این حالت هشدار‌های نادرست بسیار و هشدارهای به ظاهر درست زیادی تولید می‌شود. اما PatternEx رویکرد جالبی در این زمینه ارائه کرده است. این شرکت بر این باور است که ترکیبی از یادگیری ماشینی و آرگومان‌های آن همراه با بینش تحلیلی به‌دست‌آمده از نیروی انسانی، می‌تواند حملات را به‌خوبی تشخیص دهد. ویراماچنینا می‌گوید: «برای آدرس‌دهی تهدیدات بلافاصله باید اقدام به طراحی سیستمی کنیم که طرح کلی و بازخوردهای انسانی را در خود جای داده باشد. عامل انسانی به تنهایی می‌تواند تفاوت بین فعالیت‌های مخرب و غیرمخرب را تشخیص دهد. حال اگر این بازخوردهای انسانی برای سیستمی ارسال شود، می‌توان مدل‌ پیش‌گویانه‌ای‌ که توانایی تقلید رفتار انسانی را دارد، طراحی کرد؛ با این تفاوت که سیستم فوق این ظرفیت را خواهد داشت تا در مقیاس وسیع و بی‌درنگ، وظیفه خود را انجام دهد.»

با استفاده از اطلاعات جمع‌آوری‌شده، آگاه خواهید شد که دستگاه‌ها با چه سرور‌هایی ارتباط برقرار می‌کنند، با چه دستگاه‌های دیگری به گفت‌وگو می‌پردازند و چگونه ارتباطی عادی با اینترنت و با یکدیگر برقرار می‌کنند.

پیاده‌سازی چنین الگویی در اکو سیستم اینترنت اشیا نقش مهم و حیاتی دارد. جایی که حجم بسیار گسترده‌ای از دستگاه‌ها در تعامل با یکدیگر و شبکه قرار دارند و تحلیل‌ بی‌درنگ این حجم از اطلاعات تولیدشده، در عمل فراتر از توانایی انسان‌ها است. PatternEx از الگوریتم‌های یادگیری ماشینی برای شناسایی نمونه‌های پرت و پیاده‌سازی دقیق‌تر مدل‌های بی‌درنگ استفاده می‌کند. این مدل‌ها توسط عامل انسانی آموزش می‌بینند. در این آموزش، تحلیلگر نقطه‌ای را به عنوان آغاز حمله تعیین می‌کند. در ادامه، سیستم رویدادهایی را که نشان‌دهنده حملات احتمالی است، تولید می‌کند. سپس عامل انسانی به بررسی وقایع پرداخته و مشخص می‌کند آیا سیستم به‌درستی موفق به ارزیابی شده یا در روند تشخیص خود دچار اشتباه شده است. سیستم از این تجربیات برای یادگیری استفاده کرده و می‌تواند در آینده تصمیم‌های دقیق‌تری اتخاذ کند. ویراماچنینا در این باره گفته است: «این مدل به گونه‌ای طراحی شده است که دقت و صحت تشخیص‌ها را بهبود ببخشد و تعداد موارد مثبتی را که به صورت کاذب به وجود آمده است و در طول زمان رشد چشمگیری پیدا می‌کنند، کاهش دهد.»

بهره‌مندی از ویژگی‌های محدود دستگاه‌های اینترنت اشیا

چند ماه قبل پژوهش‌گران امنیتی دانشگاه نایپر ادینبورگ مقاله‌ای در ارتباط با مدل خاصی از حمله منع سرویس توزیع شده (DDoS) و راه‌کار تقویت این مدل حمله با استفاده از پروتکل انتقال موقت فایل (TFTP) را منتشر کردند. اما به تازگی پژوهش‌گران شرکت آکامای هشدار داده‌اند که این چنین تکنیکی ممکن است در دنیای واقعی خطر بالقوه‌ای را به وجود آورد.

حملات DDoS به‌طور معمول بر پایه بات‌نت‌های فراوان و از طریق منابع متفاوتی به مرحله اجرا در می‌آیند. این مدل حملات باعث به وجود آمدن حجم گسترده‌ای از ترافیک می‌شوند. اما هکرها برای آن‌که بر شدت حملات خود بیفزایند از دستگاه‌های میانی تقویت کننده (amplifiers) برای تقویت ترافیک تخریبی استفاده می‌کنند. اما نکته مهمی که پژوهش‌گران دانشگاه ادینبورگ کشف کرده‌اند این است که TFTP این توانایی را دارد تا به عنوان یک عامل تقویت کننده تقریبا 60 برابری مورد استفاده قرار گیرد. به‌طوری که در مقایسه با روش‌های موجود از نرخ بالاتری بهره می‌برد.