روش تشخیص رفتار غیرعادی
در این روش، یک نما از رفتار عادی ایجاد میشود. یک ناهنجاری ممکن است نشان دهندهٔ یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکههای عصبی، تکنیکهای یادگیری ماشین و حتی سیستمهای ایمنی زیستی استفاده میشود. برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آنها پیدا کرد. رفتارهایی که از این الگوها پیروی میکنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده میشود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع میپیوندد، غیرعادی فرض میشود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا رایانهای که در ساعت ۲:۰۰ بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد میتواند به عنوان یک رفتار غیر عادی در نظر گرفته شود.
در این روش، یک نما از رفتار عادی ایجاد میشود. یک ناهنجاری ممکن است نشان دهندهٔ یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکههای عصبی، تکنیکهای یادگیری ماشین و حتی سیستمهای ایمنی زیستی استفاده میشود. برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آنها پیدا کرد. رفتارهایی که از این الگوها پیروی میکنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده میشود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع میپیوندد، غیرعادی فرض میشود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا رایانهای که در ساعت ۲:۰۰ بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد میتواند به عنوان یک رفتار غیر عادی در نظر گرفته شود.
روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء
در این تکنیک که معمولاًبا نام تشخیص مبتنی بر امضاء شناخته شدهاست، الگوهای نفوذ از پیش ساخته شده (امضاء) به صورت قانون نگهداری میشوند. به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را در بر گرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام میشود. در این روشها، معمولاً تشخیص دهنده دارای پایگاه دادهای از امضاءها یا الگوهای حملهاست و سعی میکند با بررسی ترافیک شبکه، الگوهای مشابه با آن چه را که در پایگاه دادهٔ خود نگهداری میکند، بیابد. این دسته از روشها تنها قادر به تشخیص نفوذهای شناخته شده میباشند و در صورت بروز حملات جدید در سطح شبکه، نمیتوانند آنها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سامانه تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفوذهایی است که الگوی آنها عیناً به سیستم داده شدهاست.
در این تکنیک که معمولاًبا نام تشخیص مبتنی بر امضاء شناخته شدهاست، الگوهای نفوذ از پیش ساخته شده (امضاء) به صورت قانون نگهداری میشوند. به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را در بر گرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام میشود. در این روشها، معمولاً تشخیص دهنده دارای پایگاه دادهای از امضاءها یا الگوهای حملهاست و سعی میکند با بررسی ترافیک شبکه، الگوهای مشابه با آن چه را که در پایگاه دادهٔ خود نگهداری میکند، بیابد. این دسته از روشها تنها قادر به تشخیص نفوذهای شناخته شده میباشند و در صورت بروز حملات جدید در سطح شبکه، نمیتوانند آنها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سامانه تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفوذهایی است که الگوی آنها عیناً به سیستم داده شدهاست.
معماری سامانههای تشخیص نفوذ
معماریهای مختلف سامانه تشخیص نفوذ عبارتند از:
سامانه تشخیص نفوذ مبتنی بر میزبان (HIDS)
سامانه تشخیص نفوذ مبتنی بر شبکه (NIDS)
سامانه تشخیص نفوذ توزیع شده (DIDS)
معماریهای مختلف سامانه تشخیص نفوذ عبارتند از:
سامانه تشخیص نفوذ مبتنی بر میزبان (HIDS)
سامانه تشخیص نفوذ مبتنی بر شبکه (NIDS)
سامانه تشخیص نفوذ توزیع شده (DIDS)
برای مشاوره و پیاده سازی روشهای بالا میتوانید با شماره تلفن ۰۹۱۴۱۱۰۰۲۵۷ تماس حاصل فرمایید .
سامانه تشخیص نفوذ مبتنی بر میزبان
این سیستم، شناسایی و تشخیص فعالیتهای غیرمجاز بر روی رایانه میزبان را بر عهده دارد. سامانه تشخیص نفوذ مبتنی بر میزبان میتواند حملات و تهدیداتی را روی سیستمهای بحرانی تشخیص دهد (شامل دسترسی به فایلها، اسبهای تروا و …) که توسط سامانههای تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. اچآیدیاس (HIDS) فقط از میزبانهایی که روی آنها مستقر است محافظت میکند و کارت واسط شبکهٔ (NIC) آنها به صورت پیش فرض در حالت باقاعده ۵ کار میکند. حالت باقاعده در بعضی از موارد میتواند مفید باشد چون همهٔ کارتهای واسط شبکه قابلیت حالت بی قاعده را ندارند. اچآیدیاسها به واسطهٔ مکان شان روی میزبانی که باید نظارت شود، از همهٔ انواع اطلاعات محلی اضافی با پیادهسازیهای امنیتی (شامل فراخوانیهای سیستمی، تغییرات فایلهای سیستمی و اتصالات سیستم) مطلع میباشند. این مسئله هنگام ترکیب با ارتباطات شبکهای، دادههای خوبی را برای جستجوی رویدادهای ممکن فراهم میکند. برای مشاوره و پیاده سازی روشهای بالا میتوانید با شماره تلفن ۰۹۱۴۱۱۰۰۲۵۷ تماس حاصل فرمایید .
این سیستم، شناسایی و تشخیص فعالیتهای غیرمجاز بر روی رایانه میزبان را بر عهده دارد. سامانه تشخیص نفوذ مبتنی بر میزبان میتواند حملات و تهدیداتی را روی سیستمهای بحرانی تشخیص دهد (شامل دسترسی به فایلها، اسبهای تروا و …) که توسط سامانههای تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. اچآیدیاس (HIDS) فقط از میزبانهایی که روی آنها مستقر است محافظت میکند و کارت واسط شبکهٔ (NIC) آنها به صورت پیش فرض در حالت باقاعده ۵ کار میکند. حالت باقاعده در بعضی از موارد میتواند مفید باشد چون همهٔ کارتهای واسط شبکه قابلیت حالت بی قاعده را ندارند. اچآیدیاسها به واسطهٔ مکان شان روی میزبانی که باید نظارت شود، از همهٔ انواع اطلاعات محلی اضافی با پیادهسازیهای امنیتی (شامل فراخوانیهای سیستمی، تغییرات فایلهای سیستمی و اتصالات سیستم) مطلع میباشند. این مسئله هنگام ترکیب با ارتباطات شبکهای، دادههای خوبی را برای جستجوی رویدادهای ممکن فراهم میکند. برای مشاوره و پیاده سازی روشهای بالا میتوانید با شماره تلفن ۰۹۱۴۱۱۰۰۲۵۷ تماس حاصل فرمایید .
ین سیستم، شناسایی و تشخیص فعالیتهای غیرمجاز بر روی کامپیوتر میزبان را بر عهده دارد. سیستم تشخیص نفوذ مبتنی بر میزبان میتواند حملات و تهدیداتی را روی سیستمهای بحرانی تشخیص دهد (شامل دسترسی به فایلها، اسبهای تروا و ...) که توسط سیستمهای تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. HIDS فقط از میزبانهایی که روی آنها مستقر است محافظت میکند و کارت واسط شبکهی ( NIC) آنها به صورت پیشفرض در حالت باقاعده کار میکند. حالت باقاعدهی، در بعضی از موارد میتواند مفید باشد. چون همهی کارتهای واسط شبکهی قابلیت حالت بیقاعده را ندارند. HIDSها به واسطهی مکانشان روی میزبانی که باید نظارت شود، از همهی انواع اطلاعات محلی اضافی با پیادهسازیهای امنیتی (شامل فراخوانیهای سیستمی، تغییرات فایلهای سیستمی و اتصالات سیستم) مطلع میباشند. این مساله هنگام ترکیب با ارتباطات شبکهای، دادههای خوبی را برای جستجوی رویدادهای ممکن فراهم میکند.
مزیت دیگر HIDSتوانایی سازماندهی بسیار خوب تصمیمات برای هر میزبان منحصر به فرد میباشد. به عنوان مثال نیازی نیست روی میزبانی که سرویس نام گذاری دامنه ( DNS) را اجرا نمیکند، قوانین چندگانهای بررسی شوند که برای تشخیص سوءاستفادهها از DNS طراحی شدهاند. در نتیجه کاهش تعداد قوانین مربوطه، کارآیی را بالا میبرد و سربار پردازنده را برای هر میزبان کاهش میدهد. همچنین HIDSها اطلاعات مشخصی در این باره که نفوذ از کجا، توسط چه کسی و چه موقع اتفاق افتاده است را فراهم میکنند. این عمل بسیار مفید است چون هیچگونه کمکاری و حذف وجود ندارد. در IDSهای مبتنی بر میزبان احتمال هشدارهای نادرست بسیار کم است، چرا که اطلاعات مستقیماً به کاربران برنامههای کاربردی بر میگردد. این IDSها ترافیک کمتری نسبت به NIDSداشته و تاًکید بیشتری روی حسگرهای چندگانهی مجزا و ایستگاههای مدیریت مرکزی دارند. از معایب HIDSها سازگاری کم بین سیستم عامل و در نتیجه نرمافزارهای چندگانه است. اغلب IDSهای مبتنی بر میزبان تنها برای یک سیستم عامل نوشته میشوند. دیگر این که HIDSها بعضی از حملات را که در لایههای پایین شبکه انجام میشوند، شناسایی نمیکنند.
برای مشاوره و پیاده سازی روشهای بالا میتوانید با شماره تلفن ۰۹۱۴۱۱۰۰۲۵۷ تماس حاصل فرمایید .
مزیت دیگر HIDSتوانایی سازماندهی بسیار خوب تصمیمات برای هر میزبان منحصر به فرد میباشد. به عنوان مثال نیازی نیست روی میزبانی که سرویس نام گذاری دامنه ( DNS) را اجرا نمیکند، قوانین چندگانهای بررسی شوند که برای تشخیص سوءاستفادهها از DNS طراحی شدهاند. در نتیجه کاهش تعداد قوانین مربوطه، کارآیی را بالا میبرد و سربار پردازنده را برای هر میزبان کاهش میدهد. همچنین HIDSها اطلاعات مشخصی در این باره که نفوذ از کجا، توسط چه کسی و چه موقع اتفاق افتاده است را فراهم میکنند. این عمل بسیار مفید است چون هیچگونه کمکاری و حذف وجود ندارد. در IDSهای مبتنی بر میزبان احتمال هشدارهای نادرست بسیار کم است، چرا که اطلاعات مستقیماً به کاربران برنامههای کاربردی بر میگردد. این IDSها ترافیک کمتری نسبت به NIDSداشته و تاًکید بیشتری روی حسگرهای چندگانهی مجزا و ایستگاههای مدیریت مرکزی دارند. از معایب HIDSها سازگاری کم بین سیستم عامل و در نتیجه نرمافزارهای چندگانه است. اغلب IDSهای مبتنی بر میزبان تنها برای یک سیستم عامل نوشته میشوند. دیگر این که HIDSها بعضی از حملات را که در لایههای پایین شبکه انجام میشوند، شناسایی نمیکنند.
برای مشاوره و پیاده سازی روشهای بالا میتوانید با شماره تلفن ۰۹۱۴۱۱۰۰۲۵۷ تماس حاصل فرمایید .
سامانه تشخیص نفوذ مبتنی بر شبکه
شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستمهای بحرانی، به عهدهٔ سامانه تشخیص نفوذ مبتنی بر شبکهاست. انآیدیاسها (NIDS)، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بستهها و پروتکلهای ارتباطات فعال، به جستجوی تلاشهایی که برای حمله صورت میگیرد میپردازند. به عبارت دیگر معیار انآیدیاسها، تنها بستههایی است که بر روی شبکهها رد و بدل میگردد. از آن جایی که انآیدیاسها تشخیص را به یک سیستم منفرد محدود نمیکنند، عملاً گستردگی بیش تری داشته و فرایند تشخیص را به صورت توزیع شده انجام میدهند. با این وجود این سیستمها در رویایی با بستههای رمزشده و یا شبکههایی با سرعت و ترافیک بالاکارایی خود را از دست میدهند.
برای مشاوره و پیاده سازی روشهای بالا میتوانید با شماره تلفن ۰۹۱۴۱۱۰۰۲۵۷ تماس حاصل فرمایید .
شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستمهای بحرانی، به عهدهٔ سامانه تشخیص نفوذ مبتنی بر شبکهاست. انآیدیاسها (NIDS)، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بستهها و پروتکلهای ارتباطات فعال، به جستجوی تلاشهایی که برای حمله صورت میگیرد میپردازند. به عبارت دیگر معیار انآیدیاسها، تنها بستههایی است که بر روی شبکهها رد و بدل میگردد. از آن جایی که انآیدیاسها تشخیص را به یک سیستم منفرد محدود نمیکنند، عملاً گستردگی بیش تری داشته و فرایند تشخیص را به صورت توزیع شده انجام میدهند. با این وجود این سیستمها در رویایی با بستههای رمزشده و یا شبکههایی با سرعت و ترافیک بالاکارایی خود را از دست میدهند.
برای مشاوره و پیاده سازی روشهای بالا میتوانید با شماره تلفن ۰۹۱۴۱۱۰۰۲۵۷ تماس حاصل فرمایید .
سامانه تشخیص نفوذ توزیع شده (DIDS)
این سیستمها از چندین NIDS یا HIDS یا ترکیبی از این دو نوع همراه یک ایستگاه مدیریت مرکزی تشکیل شدهاست. بدین صورت که هر IDS که در شبکه موجود است گزارشهای خود را برای ایستگاه مدیریت مرکزی ارسال میکند. ایستگاه مرکزی وظیفه بررسی گزارشهای رسیده و آگاه سازی مسئول امنیتی سیستم را برعهده دارد. این ایستگاه مرکزی همچنین وظیفه به روزرسانی پایگاه قوانین تشخیص هر یک از IDSهای موجود در شبکه را برعهده دارد. اطلاعات در ایستگاه مدیریت مرکزی ذخیره میشود. شبکه بین انآیدیاسها با سامانه مدیریت مرکزی میتواند خصوصی باشد و یا این که از زیرساخت موجود برای ارسال دادهها استفاده شود. وقتی از شبکهٔ موجود برای ارسال دادههای مدیریتی استفاده شود، امنیتهای اضافی به وسیلهٔ رمزنگاری یا فناوری شبکههای خصوصی مجازی(VPN)حاصل میگردد.
این سیستمها از چندین NIDS یا HIDS یا ترکیبی از این دو نوع همراه یک ایستگاه مدیریت مرکزی تشکیل شدهاست. بدین صورت که هر IDS که در شبکه موجود است گزارشهای خود را برای ایستگاه مدیریت مرکزی ارسال میکند. ایستگاه مرکزی وظیفه بررسی گزارشهای رسیده و آگاه سازی مسئول امنیتی سیستم را برعهده دارد. این ایستگاه مرکزی همچنین وظیفه به روزرسانی پایگاه قوانین تشخیص هر یک از IDSهای موجود در شبکه را برعهده دارد. اطلاعات در ایستگاه مدیریت مرکزی ذخیره میشود. شبکه بین انآیدیاسها با سامانه مدیریت مرکزی میتواند خصوصی باشد و یا این که از زیرساخت موجود برای ارسال دادهها استفاده شود. وقتی از شبکهٔ موجود برای ارسال دادههای مدیریتی استفاده شود، امنیتهای اضافی به وسیلهٔ رمزنگاری یا فناوری شبکههای خصوصی مجازی(VPN)حاصل میگردد.
قابلیت دیگر برخی از IDSها این است که با در دست داشتن اطلاعات وقایع و تجزیه و تحلیل الگوهای حملات به آنها پاسخ میدهد. پاسخ در IDSها به دو شکل غیر فعال و فعال تقسیم میشوند که نوع غیر فعال به پاسخ برون خطی نیز معروف است.
پاسخ غیرفعال در سامانه تشخیص نفوذ
این IDSها، به مدیر امنیتی سیستم اطلاعاتی دربارهٔ حمله توسط تلفن همراه، نامهٔ الکترونیکی، پیام روی صفحهٔ رایانه یا پیامی برای کنسول SNMP میدهند. این اطلاعات شامل موارد زیر است:
آدرس IP منبع حمله
آدرس IP مقصد حمله
نتیجهٔ حمله
ابزار یا مکانیزمهای مورد استفاده برای مهار حمله
گزارشها و اتصالها حملههای سیستم و رویدادهای مربوطه
پاسخ فعال در سامانه تشخیص نفوذ
سامانههای تشخیص نفوذ از لحظهای که به کار میافتند، ضمن به دست آوردن اطلاعات مربوط به رخدادها و تجزیه و تحلیل آنها، اگر نشانهایی دال بر وقوع یک حمله را تشخیص دهند، پاسخ لازم را در قبال آن به نحوههای مختلف تولید میکنند. گاهی این پاسخ به صورت یک هشدار به مدیر شبکهاست و گاهی نوشتن یک اطلاع در فایل رخدادها و یا به صورت تنظیم مجدد دیوارهٔ آتش و یا دستگاههای دیگری در شبکهاست. IDSهای فعال هر نفوذی را که تشخیص دهد به طور خودکار پاسخ میدهند و خود به سه دسته تقسیم میشوند:
پاسخ فعال براساس جمعآوری اطلاعات اضافی
پاسخ فعال از نوع تغییر محیط
پاسخ فعال از نوع عکس العمل در مقابل حمله
پاسخ غیرفعال در سامانه تشخیص نفوذ
این IDSها، به مدیر امنیتی سیستم اطلاعاتی دربارهٔ حمله توسط تلفن همراه، نامهٔ الکترونیکی، پیام روی صفحهٔ رایانه یا پیامی برای کنسول SNMP میدهند. این اطلاعات شامل موارد زیر است:
آدرس IP منبع حمله
آدرس IP مقصد حمله
نتیجهٔ حمله
ابزار یا مکانیزمهای مورد استفاده برای مهار حمله
گزارشها و اتصالها حملههای سیستم و رویدادهای مربوطه
پاسخ فعال در سامانه تشخیص نفوذ
سامانههای تشخیص نفوذ از لحظهای که به کار میافتند، ضمن به دست آوردن اطلاعات مربوط به رخدادها و تجزیه و تحلیل آنها، اگر نشانهایی دال بر وقوع یک حمله را تشخیص دهند، پاسخ لازم را در قبال آن به نحوههای مختلف تولید میکنند. گاهی این پاسخ به صورت یک هشدار به مدیر شبکهاست و گاهی نوشتن یک اطلاع در فایل رخدادها و یا به صورت تنظیم مجدد دیوارهٔ آتش و یا دستگاههای دیگری در شبکهاست. IDSهای فعال هر نفوذی را که تشخیص دهد به طور خودکار پاسخ میدهند و خود به سه دسته تقسیم میشوند:
پاسخ فعال براساس جمعآوری اطلاعات اضافی
پاسخ فعال از نوع تغییر محیط
پاسخ فعال از نوع عکس العمل در مقابل حمله
برای مشاوره و پیاده سازی روشهای بالا میتوانید با شماره تلفن ۰۹۱۴۱۱۰۰۲۵۷ تماس حاصل فرمایید .
اگر بیست سال پیش شخصی میگفت که ممکن است از تلفنش برای سرقت گذرواژه حساب کاربری وی استفاده شود یا یک کپی از اطلاعات او در اثر به سرقت رفتن اثر انگشتش پخش شده است، میخندیدم و به او میگفتم که بیش از اندازه فیلمهای جیمزباند را دیده است. اما در زمان حال، اگر بگویید هکرها ممکن است با استفاده از توستر خانگی من حساب کاربریام را در فیسبوک هک کنند، وحشتزده خواهم شد و به سرعت آن را از پریز برق جدا خواهم کرد. این عصر اینترنت اشیا است؛ عصری که در آن دستگاههای دیجیتالی متصل در هر جنبهای از زندگی ما وارد شدهاند. خانه، محل کار، ماشین و حتی بدن ما این روزها پذیرای چنین دستگاههایی است.
با ظهور IPv6 و استقرار گسترده شبکههای وایفای، اینترنت اشیا با سرعت بیش از اندازهای در حال رشد است. محققان تخمین زدهاند که تا سال 2020، تعداد دستگاههای بیسیم از 40 میلیارد دستگاه عبور خواهد کرد. این حرکت صعودی این ظرفیت را به وجود آورده است تا کارهایی که پیش از این در وهم و خیال ما بودند، اکنون رنگ واقعیت به خود بگیرد. اما در طرف مقابل، این سیر همهگیر شدن، همانند چراغی برای مجرمان سایبری است. هرچه تعداد دستگاههای متصل بیشتر شود، به همان میزان بردارهای حمله افزایش پیدا کرده و هکرها سعی میکنند در جهت دسترسی آسان به دادههای شخصی ما، خود را توانمندتر سازند؛ مگر آنکه ما به سرعت به این نگرانیهای امنیتی رسیدگی کنیم؛ پیش از اینکه چنین اتفاقاتی زمینهساز فاجعه اجتنابناپذیری شوند.
کامپیوترها و دستگاههای همراه از سیستمعاملهای قدرتمندی استفاده میکنند که مجموعه راهحلهای امنیتی و پروتکلهای رمزنگاری را در دل خود جای دادهاند. این راهکارها با هدف مقابله با بسیاری از تهدیدات امنیتی که این دستگاهها با آنها روبهرو میشوند، در نظر گرفته شدهاند. تهدیدات سایبری در دستگاههای الکترونیکی، زمانی خطرناکتر میشوند که این دستگاهها به اینترنت متصل شوند. در مقطع فعلی، میلیاردها دستگاه اینترنت اشیا در سراسر جهان استفاده میشوند. درصد قابل توجهی از این دستگاهها از توان پردازشی و ظرفیت ذخیرهسازی کم استفاده میکنند و در بسیاری از موارد نمیتوانند خود را همگام با راهحلهای امنیتی منبسط سازند. با این حال، هنوز هم این دستگاهها به اینترنت متصل شده و باعث به وجود آمدن محیط خصمانهای میشوند. این چنین رویکردی همانند این است که به میدان نبردی وارد شوید، در حالی که هیچ سلاحی در اختیار ندارید. به همین دلیل است که هر روزه شاهد افزایش آسیبپذیریهای جدیدی در دستگاههای اینترنت اشیا هستیم. آسیبپذیریهایی که در سطوح متوسط روبهافزایش بوده و دستگاههای اینترنت اشیا را بهطور مرتب قربانی حملات هکری همچون باتنتها یا دیگر اعمال خربکارانه میکنند. اگر به اخبار دنیای امنیت نگاهی بیندازید، کمتر هفتهای را پیدا میکنید که این چنین تهدیداتی دستگاههای اینترنت اشیا را در معرض خطر قرار نداده باشند. برای یک هکر، تنها چند دقیقه طول میکشد تا هزاران آسیبپذیری موجود در دستگاههای اینترنت اشیا را با موتور جستوجوگر شیدون(Shadon) شناسایی کند و به این شکل دستگاههای اینترنت اشیا را برای پیادهسازی یک حمله هکری خطرناک که ممکن است تبعات جدی برای شبکهها به وجود آورد، آماده سازد. (شکل 1) در سطوح پایینی این زنجیره متصل از دستگاهها که این روزها استفاده میشوند، دستگاههای هوشمندی قرار دارند که برای دفاع از خود در برابر حملات سایبری، بیش از اندازه غیرهوشمند هستند. برای پر کردن این شکاف نیازمند پلی هستیم که توانایی تحلیل اوضاع را داشته باشد.
با ظهور IPv6 و استقرار گسترده شبکههای وایفای، اینترنت اشیا با سرعت بیش از اندازهای در حال رشد است. محققان تخمین زدهاند که تا سال 2020، تعداد دستگاههای بیسیم از 40 میلیارد دستگاه عبور خواهد کرد. این حرکت صعودی این ظرفیت را به وجود آورده است تا کارهایی که پیش از این در وهم و خیال ما بودند، اکنون رنگ واقعیت به خود بگیرد. اما در طرف مقابل، این سیر همهگیر شدن، همانند چراغی برای مجرمان سایبری است. هرچه تعداد دستگاههای متصل بیشتر شود، به همان میزان بردارهای حمله افزایش پیدا کرده و هکرها سعی میکنند در جهت دسترسی آسان به دادههای شخصی ما، خود را توانمندتر سازند؛ مگر آنکه ما به سرعت به این نگرانیهای امنیتی رسیدگی کنیم؛ پیش از اینکه چنین اتفاقاتی زمینهساز فاجعه اجتنابناپذیری شوند.
کامپیوترها و دستگاههای همراه از سیستمعاملهای قدرتمندی استفاده میکنند که مجموعه راهحلهای امنیتی و پروتکلهای رمزنگاری را در دل خود جای دادهاند. این راهکارها با هدف مقابله با بسیاری از تهدیدات امنیتی که این دستگاهها با آنها روبهرو میشوند، در نظر گرفته شدهاند. تهدیدات سایبری در دستگاههای الکترونیکی، زمانی خطرناکتر میشوند که این دستگاهها به اینترنت متصل شوند. در مقطع فعلی، میلیاردها دستگاه اینترنت اشیا در سراسر جهان استفاده میشوند. درصد قابل توجهی از این دستگاهها از توان پردازشی و ظرفیت ذخیرهسازی کم استفاده میکنند و در بسیاری از موارد نمیتوانند خود را همگام با راهحلهای امنیتی منبسط سازند. با این حال، هنوز هم این دستگاهها به اینترنت متصل شده و باعث به وجود آمدن محیط خصمانهای میشوند. این چنین رویکردی همانند این است که به میدان نبردی وارد شوید، در حالی که هیچ سلاحی در اختیار ندارید. به همین دلیل است که هر روزه شاهد افزایش آسیبپذیریهای جدیدی در دستگاههای اینترنت اشیا هستیم. آسیبپذیریهایی که در سطوح متوسط روبهافزایش بوده و دستگاههای اینترنت اشیا را بهطور مرتب قربانی حملات هکری همچون باتنتها یا دیگر اعمال خربکارانه میکنند. اگر به اخبار دنیای امنیت نگاهی بیندازید، کمتر هفتهای را پیدا میکنید که این چنین تهدیداتی دستگاههای اینترنت اشیا را در معرض خطر قرار نداده باشند. برای یک هکر، تنها چند دقیقه طول میکشد تا هزاران آسیبپذیری موجود در دستگاههای اینترنت اشیا را با موتور جستوجوگر شیدون(Shadon) شناسایی کند و به این شکل دستگاههای اینترنت اشیا را برای پیادهسازی یک حمله هکری خطرناک که ممکن است تبعات جدی برای شبکهها به وجود آورد، آماده سازد. (شکل 1) در سطوح پایینی این زنجیره متصل از دستگاهها که این روزها استفاده میشوند، دستگاههای هوشمندی قرار دارند که برای دفاع از خود در برابر حملات سایبری، بیش از اندازه غیرهوشمند هستند. برای پر کردن این شکاف نیازمند پلی هستیم که توانایی تحلیل اوضاع را داشته باشد.
راهکار ایدهآلی که توانایی پر کردن این شکاف را دارد، یادگیری ماشینی است. فناوری قدرتمندی که با کمک آن حتی توسعهدهندگان و تولیدکنندگان میتوانند بهراحتی این مشکلات را مشاهده کرده و راهحلهای مربوطه را ارائه کنند. طبیعت ذاتی دستگاههای اینترنت اشیا به گونهای است که حجم عظیمی از دادهها را تولید میکنند و تنها راهکار جامع در زمینه تجزیهوتحلیل این دادهها و مطالعه دقیق روی آنها در گرو توجه دقیق به مبحث یادگیری ماشینی محقق میشود. یادگیری ماشینی میتواند بهرهوری سرویسهای مورد استفاده مشتریان را افزایش داده، هزینههای مصرفی را کاهش دهد و در نهایت مصرف انرژی را به میزان قابل توجهی کم کند. جالب آنکه یادگیری ماشینی در حوزه امنیت نیز گسترشپذیر است و این ظرفیت را دارد تا مکانیزمهای امنیتی را در خصوص این چنین دستگاههایی بسط دهد. یادگیری ماشینی میتواند تشخیص دهد آیا رفتاری که از سوی دستگاههای اینترنت بروز میکند ایمن است و مهمتر از آن، اینکه در حالت کلی از چه الگوهایی در زمینه ایمنسازی دستگاههای اینترنت اشیا میتوان استفاده کرد. این تحلیلها کمک میکنند تا نقاط قوت شناسایی شود و همچنین از رفتارهای غیرطبیعی که بستر به وجود آمدن رفتار خطرناکی را زمینهساز میشوند، ممانعت به عمل آید. در حال حاضر، چند شرکت فناوری در زمینه طراحی راهحلهای امنیتی اینترنت اشیا به فعالیت اشتغال دارند؛ به ویژه در ارتباط با خانههای هوشمند که در آنها هیچگونه تعریف واحدی از استانداردهای امنیتی و شیوههای مورد استفاده از آنها وجود ندارد.
تعامل کلاود و یادگیری ماشینی باعث قدرتمندتر شدن امنیت میشود
«الکساندرو بالان»، محقق ارشد بخش تحقیقات امنیتی در حوزه امنیت سایبری شرکت «بیتدیفندر» در این باره گفته است: «این روزها، یادگیری ماشینی و تجزیهوتحلیل رفتاری، یکی از بزرگترین گرایشهایی است که در زمینه تشخیص رخدادهای مختلف به آن توجه میشود. با اینحال، یادگیری ماشینی هنوز هم راه طولانی برای نیل به این هدف پیش روی خود دارد و در مقطع فعلی بسیاری از تحقیقات و ابداعات در ارتباط با الگوریتمها در مرحله طراحی، پیادهسازی و آزمایش قرار دارند.» برای مثال، رویکرد بیت دیفندر بر مبنای جمعآوری اطلاعات در یک سرور کلاود قرار دارد و تمام محصولات این شرکت اطلاعات خود را برای یک نقطه پایانی ارسال میکنند. در این چنین رویکردی، ورودی تحلیل شده است تا الگوها مشخص و رفتارهای مخرب بررسی شود.
طبیعت ذاتی دستگاههای اینترنت اشیا به گونهای است که حجم عظیمی از دادهها را تولید میکنند و تنها راهکار جامع در زمینه تجزیهوتحلیل این دادهها و مطالعه دقیق روی آنها در گرو توجه دقیق به مبحث یادگیری ماشینی محقق میشود.
بالان در این خصوص میگوید: «در این روش تمامی ترافیک شبکه را جمعآوری میکنید و در ادامه به پالایش و عادیسازی آنها خواهید پرداخت. با استفاده از اطلاعات جمعآوریشده، آگاه خواهید شد که دستگاهها با چه سرورهایی ارتباط برقرار میکنند، با چه دستگاههای دیگری به گفتوگو میپردازند و چگونه ارتباطی عادی با اینترنت و با یکدیگر برقرار میکنند. این چنین اطلاعاتی کمک میکند بهراحتی توانایی شناسایی و تشخیص ترافیک غیرطبیعی را داشته باشید.» اگر شرکتی در نظر داشته باشد این چنین فرایندهایی را بهطور دستی مدیریت کند، نه تنها به حجم نسبتاً زیادی از نیروی انسانی نیاز دارد، بلکه در عمل به زمان زیادی برای تحلیل الگوها نیاز خواهد داشت، در حالی که در دنیای امنیت حتی از دست دادن یک ثانیه ممکن است صدمات جبرانناپذیری را وارد کند.
جالب اینکه شرکت بیت دیفندر بهخوبی توانسته است از الگوی یادگیری ماشینی در محصولات خود استفاده کند. رویکردی که بیت دیفندر استفاده میکند اینگونه است که از هوشمندی کلاودمحور و الگوی تشخیصی، همراه با تحلیلهای محلی شبکه، در مجموعه نرمافزارها و سختافزارهای امنیتی نقطه پایانی خود بهره میبرد. این راهکار با هدف کنترل بر ترافیک شبکههای خانگی و مسدود کردن ارتباط آنها با آدرسهای اینترنتی مخرب و پیشگیری از دانلود بستههای مشکوک یا نرمافزارهای مخرب استفاده میشود. بیتدیفندر میتواند به کمک اهرم سرویسهای ابری تا سطح قابل قبولی از حفاظت را برای مشتریان خود اعمال کند.
یادگیری ماشینی؛ هدف غایی بشریت
تعامل کلاود و یادگیری ماشینی باعث قدرتمندتر شدن امنیت میشود
«الکساندرو بالان»، محقق ارشد بخش تحقیقات امنیتی در حوزه امنیت سایبری شرکت «بیتدیفندر» در این باره گفته است: «این روزها، یادگیری ماشینی و تجزیهوتحلیل رفتاری، یکی از بزرگترین گرایشهایی است که در زمینه تشخیص رخدادهای مختلف به آن توجه میشود. با اینحال، یادگیری ماشینی هنوز هم راه طولانی برای نیل به این هدف پیش روی خود دارد و در مقطع فعلی بسیاری از تحقیقات و ابداعات در ارتباط با الگوریتمها در مرحله طراحی، پیادهسازی و آزمایش قرار دارند.» برای مثال، رویکرد بیت دیفندر بر مبنای جمعآوری اطلاعات در یک سرور کلاود قرار دارد و تمام محصولات این شرکت اطلاعات خود را برای یک نقطه پایانی ارسال میکنند. در این چنین رویکردی، ورودی تحلیل شده است تا الگوها مشخص و رفتارهای مخرب بررسی شود.
طبیعت ذاتی دستگاههای اینترنت اشیا به گونهای است که حجم عظیمی از دادهها را تولید میکنند و تنها راهکار جامع در زمینه تجزیهوتحلیل این دادهها و مطالعه دقیق روی آنها در گرو توجه دقیق به مبحث یادگیری ماشینی محقق میشود.
بالان در این خصوص میگوید: «در این روش تمامی ترافیک شبکه را جمعآوری میکنید و در ادامه به پالایش و عادیسازی آنها خواهید پرداخت. با استفاده از اطلاعات جمعآوریشده، آگاه خواهید شد که دستگاهها با چه سرورهایی ارتباط برقرار میکنند، با چه دستگاههای دیگری به گفتوگو میپردازند و چگونه ارتباطی عادی با اینترنت و با یکدیگر برقرار میکنند. این چنین اطلاعاتی کمک میکند بهراحتی توانایی شناسایی و تشخیص ترافیک غیرطبیعی را داشته باشید.» اگر شرکتی در نظر داشته باشد این چنین فرایندهایی را بهطور دستی مدیریت کند، نه تنها به حجم نسبتاً زیادی از نیروی انسانی نیاز دارد، بلکه در عمل به زمان زیادی برای تحلیل الگوها نیاز خواهد داشت، در حالی که در دنیای امنیت حتی از دست دادن یک ثانیه ممکن است صدمات جبرانناپذیری را وارد کند.
جالب اینکه شرکت بیت دیفندر بهخوبی توانسته است از الگوی یادگیری ماشینی در محصولات خود استفاده کند. رویکردی که بیت دیفندر استفاده میکند اینگونه است که از هوشمندی کلاودمحور و الگوی تشخیصی، همراه با تحلیلهای محلی شبکه، در مجموعه نرمافزارها و سختافزارهای امنیتی نقطه پایانی خود بهره میبرد. این راهکار با هدف کنترل بر ترافیک شبکههای خانگی و مسدود کردن ارتباط آنها با آدرسهای اینترنتی مخرب و پیشگیری از دانلود بستههای مشکوک یا نرمافزارهای مخرب استفاده میشود. بیتدیفندر میتواند به کمک اهرم سرویسهای ابری تا سطح قابل قبولی از حفاظت را برای مشتریان خود اعمال کند.
یادگیری ماشینی؛ هدف غایی بشریت
«ادی ویراماچنینا»، بنیانگذار و مدیرعامل «PatternEx» در این باره گفته است: «یادگیری ماشینی یکی از مؤلفههای زیربنایی هوش مصنوعی ویژه اینترنت اشیا شناخته میشود. مسئله مهمی که در خصوص اینترنت اشیا وجود دارد، به مقیاس وسیع آن بازمیگردد. دستگاههای اینترنت اشیا به گونهای طراحی میشوند که به صورت توزیعشده، طیف گستردهای از کاربران از آنها استفاده میکنند. در نتیجه اگر حملهای رخ دهد، باید بتوانید بلافاصله به آن واکنش نشان دهید.» اکثر سیستمها با تکیه بر یادگیری ماشینی و تحلیل رفتاری اقدام به جمعآوری اطلاعات درباره شبکه و دستگاههای متصل به شبکه میکنند. آنها در ادامه سعی میکنند هر فعالیت مشکوک و غیرعادی را شناسایی کنند. اما مشکل این روش بدوی این است که در این حالت هشدارهای نادرست بسیار و هشدارهای به ظاهر درست زیادی تولید میشود. اما PatternEx رویکرد جالبی در این زمینه ارائه کرده است. این شرکت بر این باور است که ترکیبی از یادگیری ماشینی و آرگومانهای آن همراه با بینش تحلیلی بهدستآمده از نیروی انسانی، میتواند حملات را بهخوبی تشخیص دهد. ویراماچنینا میگوید: «برای آدرسدهی تهدیدات بلافاصله باید اقدام به طراحی سیستمی کنیم که طرح کلی و بازخوردهای انسانی را در خود جای داده باشد. عامل انسانی به تنهایی میتواند تفاوت بین فعالیتهای مخرب و غیرمخرب را تشخیص دهد. حال اگر این بازخوردهای انسانی برای سیستمی ارسال شود، میتوان مدل پیشگویانهای که توانایی تقلید رفتار انسانی را دارد، طراحی کرد؛ با این تفاوت که سیستم فوق این ظرفیت را خواهد داشت تا در مقیاس وسیع و بیدرنگ، وظیفه خود را انجام دهد.»
با استفاده از اطلاعات جمعآوریشده، آگاه خواهید شد که دستگاهها با چه سرورهایی ارتباط برقرار میکنند، با چه دستگاههای دیگری به گفتوگو میپردازند و چگونه ارتباطی عادی با اینترنت و با یکدیگر برقرار میکنند.
پیادهسازی چنین الگویی در اکو سیستم اینترنت اشیا نقش مهم و حیاتی دارد. جایی که حجم بسیار گستردهای از دستگاهها در تعامل با یکدیگر و شبکه قرار دارند و تحلیل بیدرنگ این حجم از اطلاعات تولیدشده، در عمل فراتر از توانایی انسانها است. PatternEx از الگوریتمهای یادگیری ماشینی برای شناسایی نمونههای پرت و پیادهسازی دقیقتر مدلهای بیدرنگ استفاده میکند. این مدلها توسط عامل انسانی آموزش میبینند. در این آموزش، تحلیلگر نقطهای را به عنوان آغاز حمله تعیین میکند. در ادامه، سیستم رویدادهایی را که نشاندهنده حملات احتمالی است، تولید میکند. سپس عامل انسانی به بررسی وقایع پرداخته و مشخص میکند آیا سیستم بهدرستی موفق به ارزیابی شده یا در روند تشخیص خود دچار اشتباه شده است. سیستم از این تجربیات برای یادگیری استفاده کرده و میتواند در آینده تصمیمهای دقیقتری اتخاذ کند. ویراماچنینا در این باره گفته است: «این مدل به گونهای طراحی شده است که دقت و صحت تشخیصها را بهبود ببخشد و تعداد موارد مثبتی را که به صورت کاذب به وجود آمده است و در طول زمان رشد چشمگیری پیدا میکنند، کاهش دهد.»
بهرهمندی از ویژگیهای محدود دستگاههای اینترنت اشیا
با استفاده از اطلاعات جمعآوریشده، آگاه خواهید شد که دستگاهها با چه سرورهایی ارتباط برقرار میکنند، با چه دستگاههای دیگری به گفتوگو میپردازند و چگونه ارتباطی عادی با اینترنت و با یکدیگر برقرار میکنند.
پیادهسازی چنین الگویی در اکو سیستم اینترنت اشیا نقش مهم و حیاتی دارد. جایی که حجم بسیار گستردهای از دستگاهها در تعامل با یکدیگر و شبکه قرار دارند و تحلیل بیدرنگ این حجم از اطلاعات تولیدشده، در عمل فراتر از توانایی انسانها است. PatternEx از الگوریتمهای یادگیری ماشینی برای شناسایی نمونههای پرت و پیادهسازی دقیقتر مدلهای بیدرنگ استفاده میکند. این مدلها توسط عامل انسانی آموزش میبینند. در این آموزش، تحلیلگر نقطهای را به عنوان آغاز حمله تعیین میکند. در ادامه، سیستم رویدادهایی را که نشاندهنده حملات احتمالی است، تولید میکند. سپس عامل انسانی به بررسی وقایع پرداخته و مشخص میکند آیا سیستم بهدرستی موفق به ارزیابی شده یا در روند تشخیص خود دچار اشتباه شده است. سیستم از این تجربیات برای یادگیری استفاده کرده و میتواند در آینده تصمیمهای دقیقتری اتخاذ کند. ویراماچنینا در این باره گفته است: «این مدل به گونهای طراحی شده است که دقت و صحت تشخیصها را بهبود ببخشد و تعداد موارد مثبتی را که به صورت کاذب به وجود آمده است و در طول زمان رشد چشمگیری پیدا میکنند، کاهش دهد.»
بهرهمندی از ویژگیهای محدود دستگاههای اینترنت اشیا
چند ماه قبل پژوهشگران امنیتی دانشگاه نایپر ادینبورگ مقالهای در ارتباط با مدل خاصی از حمله منع سرویس توزیع شده (DDoS) و راهکار تقویت این مدل حمله با استفاده از پروتکل انتقال موقت فایل (TFTP) را منتشر کردند. اما به تازگی پژوهشگران شرکت آکامای هشدار دادهاند که این چنین تکنیکی ممکن است در دنیای واقعی خطر بالقوهای را به وجود آورد.
حملات DDoS بهطور معمول بر پایه باتنتهای فراوان و از طریق منابع متفاوتی به مرحله اجرا در میآیند. این مدل حملات باعث به وجود آمدن حجم گستردهای از ترافیک میشوند. اما هکرها برای آنکه بر شدت حملات خود بیفزایند از دستگاههای میانی تقویت کننده (amplifiers) برای تقویت ترافیک تخریبی استفاده میکنند. اما نکته مهمی که پژوهشگران دانشگاه ادینبورگ کشف کردهاند این است که TFTP این توانایی را دارد تا به عنوان یک عامل تقویت کننده تقریبا 60 برابری مورد استفاده قرار گیرد. بهطوری که در مقایسه با روشهای موجود از نرخ بالاتری بهره میبرد.
ریچارد مک فارلین، بوریس سیکلیک و ویلیام ج بوکانن، محققان این دانشگاه، در مقاله خود عنوان کردهاند که این روش تقویتی ممکن است تبدیل به یک مخاطره جهانی شود. به دلیل اینکه پروتکل TFTP تقریبا توسط 599600 سرور باز TFTP مورد استفاده قرار میگیرد. در حالی که این محققان از سال 2014 سرگرم تحقیق در خصوص این مشکل امنیتی بودند، اما مقاله آنها ماه مارس در مجله computer & science به چاپ رسید و اکنون سرتیتر اخبار سایتهای مختلف شده است. البته لازم به توضیح است که این سه پژوهشگر اولین کارشناسان امنیتی نیستند که نشان دادند سرورهای TFTP این پتانسیل را دارند تا به عنوان تقویت کننده حملات DDoS مورد استفاده قرار گیرند. در سال 2013 نیز جیسون شولتز، مهندس بخش تحقیقات و تهدیدات سیسکو، این چنین پیشامدی را پیشبینی کرده بود. او در آن زمان گفته بود: «تشدید قدرت حمله DDoS با استفاده از پروتکل TFTP روش بهینهسازی شدهای برای حمله نیست، اما اگر به تعداد کافی، سرورهای عمومی TFTP در دسترس باشند این حمله به شیوه موثرتری میتواند پیادهسازی شود.»
تیم واکنش هوش امنیتی شرکت آکامای (Security Intelligence Response Team) موفق به کشف ده حمله بر مبنای اهرم TFTP شد. حملاتی که از تاریخ 20 آوریل آغاز شده و مشتریان شرکت را تحتالشعاع خود قرار دادهاند. جوز آرتیگا از کارمندان شرکت آکامای در این ارتباط اعلام کرده است: «اسکرپیت حمله کننده TFTP فعالیت خود را از ماه مارس آغاز کرده است. به نظر میرسد این حمله همزمان با انتشار تحقیقات در مورد این شیوه حمله در رسانههای جمعی صورت گرفته است. » آنگونه که آرتیگا گفته است، بیشتر این حملات چند برداری بوده و ردپایی از تکنیک انعکاسی TFTP در آنها به چشم میخورد. تحلیلها نشان میدهند که حداقل یک سایت حملات DDoS را در غالب یک سرویس یکپارچه انتقال داده است.