مهندسی کامپیوتر، امنیت

 مهندسی کامپیوتر، امنیت

از سلسله مقالات آموزش انجام پایان نامه، در این مقاله به ارائه فصل اول از یک پایان نامه در رشته مهندسی کامپیوتر می پردازیم. موضوع امنیت در رشته مهندسی کامپیوتر یکی از موضوعات بروزی است که به عنوان یکی از موضوعات اصلی انجام پایان نامه مهندسی کامپیوتر در مقاطع تحصیلات تکمیلی این رشته مورد توجه قرار گرفته است. امیدواریم این آموزش نیز مورد توجه شما عزیزان قرار گیرد.

---

1.1 مقدمه

در ابتدای این پایان ­نامه سعی بر آن شده است تا با ارائه مقدمه ه­ای از حملات سایبری و اهمیت مقابله آن­ها، زمینه ورود خواننده به مسئله اصلی تحقیق فراهم گردد.

با توجه به اهمیت فناوری اطلاعات در عصر حاضر و رشد سریع و درعین‌حال نامتوازن ساختار IT، این بستر به یکی از نقاط بالقوه آسیب‌پذیر و خطرناک در جهان بدل شده است؛ که ضرورت توجه و پرداخت سریع و درعین‌حال نظام­مند، معقول و هدفمند به‌منظور مصون­سازی این بستر از تهدیدات موجود در جهت حفظ امنیت ملی و حریم شخصی شهروندان در فضای جنگ و مخاصمات امروز بین‌المللی را می­طلبد.

دفاع غيرعامل درواقع مجموعه تمهيدات، اقدامات و طرح‌هايي است كه با استفاده از ابزار، شرايط و حتي‌المقدور بدون نياز به نيروي انساني به‌صورت خوداتکا صورت گیرد. چنين اقداماتي از یک‌سو توان دفاعي مجموعه را در زمان بحران افزايش داده و از سوي ديگر پيامدهاي بحران را كاهش و امكان بازسازي مناطق آسيب‌ديده را با كمترين هزينه فراهم مي‌سازد. در حقيقت طرح‌هاي پدافند غيرعامل قبل از انجام مراحل تهاجم و در زمان صلح تهيه و اجرا مي‌گردند. با توجه به فرصتي كه در زمان صلح جهت تهيه چنين طرح‌هايي فراهم مي‌گردد ضروري است اين قبيل تمهيدات در متن طراحي‌ها لحاظ گردند.

 

 

1.1.1 تعاریف و مفاهیم

در این بخش مهم­ترین اصطلاحات تخصصی به‌کاررفته در ادامه این فصل تعریف می­شوند:

  پدافند غيرعامل^[1]: پدافند غيرعامل شامل کليه اقدامات به‌منظور حفظ امنيت، ايمنی و پايداری شبکه و تجهيزات وابسته به­ شبکه می­باشد.

جنگ سايبر^[2]: استفاده از كامپيوترها به‌عنوان يك اسلحه يا به‌عنوان ابزاري براي انجام كارهاي خشونت‌بار جهت ترساندن و يا تغيير عقيده يك گروه يا کشور است. جنگ سايبر به‌قصد كارهاي سياسي و يا آرماني انجام مي‌گيرد و مكان‌ها و تأسيسات حياتي مانند انرژي، حمل‌ونقل، ارتباطات، سرويس‌هاي ضروري (مانند پليس و خدمات پزشكي) را هدف قرار مي‌دهد و از شبكه‌هاي كامپيوتري به‌عنوان بسترهايي جهت انجام اين اعمال خرابكارانه استفاده مي‌كند.

جرائم سايبر^[3]: هرگونه دخل و تصرف غیرمجاز از طریق ورود یا خروج، ضبط و ذخیره، پردازش و کنترل داده­ها و نرم­افزارهای رایانه­ای و ایجاد یا واردکردن انواع ویروس­های رایانه­ای و امثال آن جرم محسوب می­شود.

2.1.1 نقش پدافند غیرعامل در تأمین فضای تبادل اطلاعات

به هرگونه اقدام باهدف ایجاد اختلال، ناکارآمدی یا محروم­سازی از منابع موجود در فضای تبادل اطلاعات، جنگ سایبر اطلاق می­گردد. چنين عملياتي به‌طور مشخص با اهداف تهدید امنیت و یا حفظ امنیت در ابعاد ملی انجام مي‌پذيرد. جنگ سايبر داراي اهميت روزافزون براي بخش­های دفاعی و امنیتی، اقتصادی و تجاری، سیاسی، فرهنگی و ... است.

لازمه یک دﻓﺎع موفق در ﺟﻨﮓ ﺳﺎﻳﺒﺮ ﻫﻤﺎﻧﺎ ﺑﺎﻻ ﺑﺮدن ﺳﻄﺢ امنیتی ﻋﻨﺎﺻﺮ درﮔﻴﺮ اﺳﺖ و اﻳﻦ مهم ﺟﺰ ﺑﺎ اﻓﺰاﻳﺶ دانش در حوزه سایبر ﻣﻴﺴﺮ ﻧﺨﻮاﻫﺪ ﺑﻮد.

بر اساس اﺳﺘﺎﻧﺪاردﻫﺎي اﻣﻨﻴﺘﻲ قابل‌قبول، به‌طور ﺧﻼﺻﻪ ﻫﺮ ﻳﻚ از ﻋﻨﺎﺻﺮ درﮔﻴﺮ در ﻓﻀﺎي ﺳﺎﻳﺒﺮ، ﺑﺎﻳﺪ به‌اندازه ارزش ﺧﻮد ﺣﻔﺎﻇﺖ ﮔﺮدﻧﺪ. در ﻏﻴﺮ اﻳﻦ ﺻﻮرت، اﻧﺘﺨﺎب مکانیسم‌های دﻓﺎﻋﻲ ﭼﻨﺪان ﺑﻬﻴﻨﻪ ﻧﺨﻮاﻫﺪ ﺑﻮد و ﺑﺪون ﺷﻚ داراي هزینه‌های غیرضروری اﺳﺖ.

بدیهی است آن‌هایی که ﻗﺼﺪ ﺣﻤﻠﻪ داﺷﺘﻪ ﺑﺎﺷند تادندان‌ مسلح می‌شوند. ﭘﺲ ﺑﺎﻳﺪ اﺑﺘﺪا دارائی‌ها و عناصر اصلی و اﺳﺎﺳﻲ اﻃﻼﻋﺎﺗﻲ اﺷﻴﺎء ﻣﻬﻢ در ﻓﻀﺎي ﺳﺎﻳﺒﺮي را ﺗﻌﺮﻳﻒ و ﺗﻌﻴﻴﻦ ﻧﻤﻮده و بر اساس سیاست‌های ﻛﻼن و ﺑﺎ در ﻧﻈﺮ ﮔﺮﻓﺘﻦ تمامی ﺗﻬﺪﻳﺪات، باید همه ﺗﻤﻬﻴﺪات دﻓﺎﻋﻲ نسوزی گردد.

 

 

3.1.1 انواع حملات

حملات خاموش^[4]

اين حملات شامل فعالیت­هایی می­شوند که در آن­ها بدون انجام هرگونه فعالیت ظاهری یا ایجاد تغییرات در سامانه‌های آسیب‌پذیر، به آن­ها نفوذ شده و منجر به سوءاستفاده از منابع سیستم می­گردد.

حملات فعال^[5]

اين حملات، حملاتي هستند كه به سامانه‌های كامپيوتري زیرساخت­های حیاتی نفوذ مي‌كنند و مي‌توانند اطلاعات حساس را دست‌کاری كنند و باعث بروز حوادث و فجایع ملی و جبران‌ناپذیر گردند. از اهداف آن­ها مي‌توان، از کار انداختن شبکه­های خدماتی عمومی مثل شبکه برق، گاز و ... و همچنین ایجاد وحشت و ترس در جامعه و کاهش ميزان اعتماد به دولت و نظام را برشمرد.

4.1.1 آناتومی و مراحل یک حمله

هر حمله سایبری از چندین مرحله تشکیل‌شده است که مراحل آن به شرح زیر می­باشد [1]:

• ابتدا يك هدف مشخص تعيين مي‌شود كه مي‌تواند قسمتي از يک زيرساخت حياتي مانند شبكه راه‌آهن، شبكه برق، شبکه ATM و يا وب‌سایت‌های دولتي باشد.
• مهاجم‌ها شروع به جمع‌آوري اطلاعات مي‌كنند.
• از طريق شبكه اينترنت/ مقالات/ مطالعات و ...
• از طريق وب‌سایت‌های هدف.
• انجام آزمايش‌هاي آزمون نفوذ^[6] بر روي وب.
• شناسايي مؤلفه‌های فنی هدف مانند سیستم‌عامل و ...
• جمع‌آوري اطلاعات از طريق مهندسي اجتماعي (توسط كاركناني كه در آن ساختار كار مي‌كنند)
• حمله سايبر اتفاق مي‌افتد.
• بعدازاینکه دسترسي حاصل شد، ممكن است كه حمله تا مدتي نگه‌داشته شود.
• ممكن است كه حمله موفقیت‌آمیز بوده و يا شكست بخورد.
• اگر حمله موفقیت‌آمیز باشد، هكر آن را از طريق مالتي مديا منتشر و يا ردپا و اثر خود را مخفي مي‌كند.

تحقيق و بررسي جهت حملات ديگر انجام مي‌گيرد.

 

5.1.1 مراحل دفاع در برابر حملات سایبری

همواره اشكال متفاوتي در برخورد با فعالیت‌های مجرمانه در يك فضاي سايبر وجود دارد. در اينجا لازم است كه دو مرحله از مراحل دفاع بررسي شود [1].

1. جلوگيري^[7]

 عبارت است از شناسايي راه‌هاي نفوذ و حمله و مقابله با آن‌ها جهت افزایش ضریب امنیت، ایمنی و پایداری.

ازجمله روش­های جلوگیری می­توان به موارد ذیل اشاره نمود:

• طراحي امن و ایمن و پایدار سامانه‌ها^[8]

درصورتی‌که امنيت جزو معيارها و اصول طراحي سامانه‌ها، قرار بگيرد، سامانه‌ها بسيار امن‌تر و ایمن‌تر و پایدارتر از قبل خواهند بود.

• متوقف نمودن حملات^[9]

از ديگر راه‌های جلوگيري از حملات، متوقف نمودن آن‌ها می باشد اين روش از طريق استفاده از تجهیزات پیشرفته امنیتی و وضع قوانين لازم، ميسر است.

2. مديريت حادثه^[10]، محدود كردن خرابی‌ها^[11]

روش‌های مديريت حوادث و محدود نمودن اثرات زیان‌بار حوادث، راه‌هایی هستند كه با استفاده از آن‌ها مي‌توانيم اثر حملات صورت گرفته را در كمترين زمان كاهش دهيم.

• تعيين آثار، نشانه‌ها و هشدارها

بدين معني كه وقتي حمله‌ای اتفاق مي‌افتد، ابتدا در گام اول بايد آثار و خطراتي كه اين حمله مي‌تواند داشته باشد را شناسايي كنيم، زيرا با شناسايي آثار يك حمله مي‌توانيم از پيامدهاي حملات ديگر و خطراتي كه ممكن است ايجاد شوند، جلوگيري كنيم.

• امن، ايمن‌ و پایدار كردن سامانه‌ها^[12]

جهت جلوگيري از نفوذهاي بيروني، ضروري است تا موانعي ايجاد كنيم. از قدیمی‌ترین موانع نفوذ، استفاده از کلمه عبور است كه البته روش‌های جديدتر، استفاده از فن‌هایی مانند ديوار آتش و يا پروکسي سرورها^[13] است. البته همان‌طور كه شیوه‌های رمزنگاري شكست خوردند، شیوه‌های جديد نيز مي‌تواند منجر به شكست شوند. در مورد حملات فيزيكي نيز لازم است كه ابتدا تمام حملات و نفوذهايي كه مي‌تواند انجام شود را، شناسايي كنيم. مثلاً در مورد يك شبکه اطلاعاتی، بايد استراتژی‌های فيزيكي مناسب جهت امن، ایمن و پایدار نمودن مراکز داده آن اتخاذ نمود.

• خاموشي و تخصيص مجدد^[14]

يك راه­حل ديگر اين است كه سيستم به‌طور كامل يا به‌طور جزئي خاموش شود و دوباره تخصيص مجدد شود. سامانه‌ای که متوجه شود تحت يك حمله قرار دارد، بايد موانع و دفاع‌هایی از خود را بنا نهد كه شايد در مواقع عادي از آن‌ها استفاده نمي‌كند و سعي كند قسمت‌هایی از سيستم را كه مواجه با حمله شده‌اند، ايزوله كند. البته مراحل خاموش كردن و تخصيص دهي مجدد بايد به‌صورت بلادرنگ^[15] و به‌سرعت انجام گيرد.

• پشتيباني^[16]

نکته قابل‌توجه اين است كه بايد همواره از اطلاعات جمع‌آوری‌شده، قبل از هر حمله‌اي پشتيباني كنيم. اين تاكتيك از طريق تهيه نسخه پشتيبان اطلاعاتي كه ذخيره شده‌اند، به دست مي‌آيد. بسياري از روش‌هاي دفاع، نياز به اين دارند كه حالت صحيح سيستم قبل از حمله را، جهت تسهيل در بازيابي و تجديد مجدد بدانند. اين روش براي مواقعي است كه حملات بر اساس نقطب شروع دقيق و مشخصي انجام مي‌شود و پشتيبان‌ها به‌طور منظم گرفته مي‌شوند. بسياري از حملات موذيانه به‌کندی و به‌طور محرمانه، مشكلات زيادي را نسبت به زماني كه اطلاعات سالم بودند، ايجاد مي‌كنند (يعني در این‌گونه از حملات ما زمان دقيق سالم بودن اطلاعات را نداريم و تأثیر حملات هنوز ايجاد نشده است). در اين حالت، جهت ايجاد فضاي سالم، سامانه‌های سازمان بايد خودشان برنامه‌هایی براي تهيه نسخه پشتيبان داشته باشند.

با توجه به توضیحاتی که در بالا گفته شد، جنگ سایبری و لزوم مقابله با آن، یکی از حیاتی­ترین موضوعات حوزه پژوهشی و تحقیقاتی داخلی برای رسیدن به امنیت پایدار در فضای سایبری کشور می­باشد. از همین رو موضوع تحقیق پیش­رو نیز ارائه روش و راه­حلی برای تولید حملات مبهم سایبری است تا بتوان از این نوع حملات برای ارزیابی کیفیت سامانه­های تشخیص نفوذ داخلی استفاده نمود.

 

 

 

2.1 بیان مسئله، هدف و ضرورت اجرای تحقیق

امروزه حملات سایبری در حال پیشرفت است. این حملات با استفاده از وب­سایت­ها برای فروش اطلاعات شخصی یا شکستن زیرساخت­ها درحال‌توسعه است. برای جلوگیری از این حملات، سامانه‌های رایانه‌ای مجازی و سامانه‌های تحلیل دینامیکی وب­سایت­های مخرب مورداستفاده قرار می­گیرند [2]. این حملات اغلب یک مدت‌زمان طولانی را اتخاذ می‌کنند و مستلزم گروهی از شناسایی‌ها، بهره‌برداری‌ها و فعالیت‌های مبهم سازی برای رسیدن به هدف جاسوسی یا خرابکاری‌های سایبری هستند. پیش‌بینی عملکرد حمله‌ای که در آینده رخ می‌دهد به‌طورکلی از همان اقدامات مخربی که در حملات قبلی مشاهده شده است، صورت می‌پذیرد. چنین پیش‌بینی‌هایی نیاز به تجزیه‌وتحلیل مسیرهای پنهانی حمله بر اساس شبکه و آسیب‌پذیری‌های سیستم (دانش مهاجم) و آگاهی از الگوهای رفتاری مهاجم، آموزش مداوم یا الگوهای جدید و توانایی برای مشاهده از طریق مبهم سازی‌ها و فریب‌های مهاجم (دانش تحلیلگر امنیتی) دارد. یک پیش‌بینی حمله سعی دارد با استفاده از سرمایه‌گذاری روی آسیب‌پذیری‌های مهم شبکه از نفوذ به آن حفاظت کند و اجازه به تشخیص صریح و روشن از دفاع فعال برای جلوگیری از نفوذ بیشتر به شبکه دهد. پیش‌بینی مبتنی بر الگوهای رفتاری حمله، به دانش شبکه و پیکربندی‌های سیستم وابسته نیست، اما می‌تواند عملکردهای مهم را به علت حمله‌های مبهم شده یا فریب‌دهنده پیش‌بینی نماید. چالش مشترک برای این رویکردها این است که به سبب خطاهای حس‌گر و نقض در همبستگی هشدار (نویز غیرعمدی) و مبهم سازی حمله (نویز عمدی)، تردید و شک در پیش‌بینی نفوذ وجود خواهد داشت. روش‌های پیش‌بینی حمله باید برای چنین عدم قطعیتی انعطاف‌پذیر باشد یا ارائه‌دهنده‌ی یک درک درست از چگونگی اجرایشان تحت چنین عدم قطعیتی باشد. به‌این‌ترتیب، این دیدگاه برای پیش­بینی حمله در ارائه­ی یک یا چند فرضیه برای حملات آینده سودمند است، به‌طوری‌که تحلیلگران می‌توانند فعالانه برای یک مجموعه­ی معقول و کنترل‌پذیر از حملات ممکن، آماده شوند.

یکی از راه‌های گمراه­سازی در آزمون نرم­افزارها، دادن ورودی­های تصادفی نامعتبر و غیرمنتظره به سیستم است (مبهم سازی مبتنی برافزودن اقدام). الگوسازی از دنباله­های حمله­ی مشاهده‌شده در مدل‌های حمله، اساسی برای بسیاری از روش‌های پیش‌بینی حمله است. بااین‌حال، این مشاهدات به‌احتمال‌زیاد حاوی نویز (عملکردهای مبهم شده) هستند. تحقیقات اندکی درزمینه‌ی تحلیل سامانمند تأثیر فن‌های مختلف مبهم سازی ازجمله: افزودن نویز، حذف مسیر و تغییر هشدار روی مدل‌سازی حمله به شبکه صورت گرفته است [3].

یک سیستم تشخیص نفوذ[17] (IDS) می‌تواند حمله‌ای را به علت از دست دادن بسته‌ها یا تحلیل ترافیک نامناسب، درزمانی که مهاجم، تشخیص را با به‌کارگیری فن‌های مبهم سازی از سرخود باز می‌کند، گم نماید. چنین تشخیص‌های ازدست‌رفته‌ای می‌تواند تأثیر منفی­ای روی مدل پیش‌بینی حمله بگذارد و باعث ایجاد برآوردهای ناصحیح شود [4]، بنابراین امروزه ضعف این سامانه‌های تشخیص نفوذ شناخته‌شده است، ازاین‌رو موضوع مهم همبستگی هشدار مطرح می‌شود. هدف از همبستگی هشدار، برآورد مجموعه­هایی از هشدارهای IDS است که در آن هر مجموعه، مربوط به توصیفی از حمله در سطح بالا است. قابل‌ذکر است که این سامانه‌های تشخیص نفوذ بر دو نوع تشخیص استوار هستند: تشخیص مبتنی بر امضا و تشخیص مبتنی بر ناهنجاری‌ها.

تجربیات از طریق پیش­بینی­های حمله نشان می­دهد که مهاجمین ماهر می­توانند تعدادی از فن‌های مبهم سازی را برای به‌اشتباه­ انداختن و فریب موتورهای همبستگی هشدار به­کارگیرند. ازاین‌رو، هدف از مبهم سازی دنباله­های حمله در مدل حمله­ی موردنظر، تلاش برای مخفی­کاری و پنهان­سازی اطلاعات مهم حمله و گمراه­سازی سامانه‌های همبستگی هشدار به‌منظور عدم‌تشخیص یا تشخیص غلط و نادرست از آن است [3].

ارزیابی عملکرد سامانه‌های همبستگی هشدار هنوز چالشی باز است و باوجود برخی از پیشرفت­های صورت گرفته در توصیف مدل‌سازی و پیش­بینی حملات شبکه­ای هنوز هم شکافی اصولی و فنی در سروکار داشتن با دنباله­های حمله­ی مبهم شده وجود دارد [3].

حال اگر بخواهیم اهمیت مبهم سازی در عرصه­ امنیت را بیان نماییم، باید به عدم قطعیتی که فن‌های مبهم سازی به موتورهای تحلیل هشدار می­دهند تا باعث ایجاد فرآیند احتمالی حمله به‌جای فرآیند قطعی آن می‌شود، اشاره کرد. چنین عدم قطعیتی می‌تواند موتورهای تحلیل هشدار را فریب دهد و گمراه نماید؛ بنابراین، داشتن دیدگاه کلی از فن‌های مبهم سازی می‌تواند برای گیج کردن سیستم تحلیل هشدار مورداستفاده قرار گیرد. در کل هدف از مبهم سازی ایجاد عدم قطعیت در پیش‌بینی دنباله حملات صورت گرفته است.

دو عامل روی نرخ طبقه‌بندی دنباله‌های حمله به‌منظور پیش‌بینی حملات صورت گرفته تأثیر دارد: طول دنباله مشاهده‌شده و سطح مبهم سازی انجام‌شده در دنباله حمله. به‌طوری‌که افزایش عملکرد طبقه‌بندی بهینه باعث افزایش طول دنباله مشاهده‌شده و کاهش سطح مبهم سازی می‌شود. بهبود عملکرد حمله در هنگامی‌که طول دنباله کوچک است و سطح ابهام بالا است، بسیار اهمیت دارد [3].

 

3.1 تشریح و بیان موضوع تحقیق

لفظ مبهم سازی از مخفی‌کاری و تاریکی و تیرگی گرفته شده است. در حملات سایبری از اصطلاح مبهم سازی برای پنهان کردن اطلاعات مهم در حمله‌ی صورت گرفته، استفاده می‌شود. مبهم سازي، علائم بارز نرم‌افزارهای مخرب را پنهان می‌کند (با فن حذف مسیر)، نرم‌افزارهای غیر مخرب را تضعیف می‌نماید (با فن تزریق نویز) و تحلیل نرم‌افزارهای مخرب را بی‌نتیجه می‌گذارد (با فن تغییر هشدار). یکی از ابزارهاي مؤثر براي نویسندگان نرم‌افزارهای مخرب، مبهم سازي است و می‌توان گفت که مهاجمین، فن‌های مبهم سازي را براي مقابله با نرم‌افزارهای غیر مخرب به کار می‌گیرند.

مبهم سازی حمله با شکستن ماشین الگوی تطبیق در سیستم تشخیص نفوذ (NIDS) به‌طور قطعی امکان‌پذیر است. مبهم سازی در دو سطح: مبهم سازی در سطح بسته کد، مبهم سازی در سطح استراتژی قابل‌اجرا است. مبهم سازی در سطح بسته کد از دانش مدل پروتکل TCP/IP برای اجرای عملکردهای فریبانه و یا فعالیت‌های زیرکانه و دزدکی سود می‌برد. کلاه‌برداری از منبع IP، فن مورداستفاده برای پنهان کردن هویت واقعی مهاجم است. علاوه بر این، سامانه‌های زامبی (قربانی)، بیشتر به‌عنوان حذف ردپا برای انجام حملات پیچیده، مورداستفاده قرار می‌گیرند [5].

با سوءاستفاده از سامانه‌های زامبی، مهاجم به‌راحتی می‌تواند عملکردهای بسیار مهم و حیاتی را پنهان نماید و یا عملکردهای غیرضروری و بی‌ربط را برای منحرف کردن تحلیلگران امنیتی با تعداد زیادی از عملکردهایی که از منشأهای مختلفی هستند تزریق نماید و همچنین برای مهاجمین این امکان وجود دارد که عملکردهای حمله‌ی مبهم را به دلیل امضاءهای مخرب قابل‌دسترس برای عموم تزریق نمایند. ایده‌ی موردبحث ما افزودن اقدام در حمله اصلی است که این روش در تلاش برای شکستن ماشین تحلیل هشدار است (رابطه علت و معلولی)، نه شکستن سیستم NIDS. جدا کردن رابطه‌ی علت و معلولی بین عملکردهای حمله می‌تواند برای فریب تحلیلگر امنیتی مؤثر واقع شود [14]. لازم به ذکر است که سیستم همبستگی هشدار خود دارای روش‌های تشخیص است، مانند تشخیص مبتنی بر شناسایی هماهنگ، مبتنی بر رابطه پیش‌شرط و پس شرط و رویکرد مبتنی بر سناریوی حمله؛ که این رابطه‌ی پیش/ پس شرط همان رابطه‌ی علت و معلولی است. پس برای فن تزریق نویز بهترین روش به حداقل رساندن این رابطه بین عملکردهای حمله است [6].

حال، به بحث پیرامون مبهم سازی در سطح استراتژی می‌پردازیم. مبهم سازی در سطح استراتژی یعنی فراتر رفتن در دست‌کاری پیشامدهای منحصربه‌فرد، به‌گونه‌ای که از تمام عملکردهای مبهم سازی در سطح بسته برای رسیدن به فریبکاری در سطح استراتژی حمله استفاده می‌شود. همان‌طور که در بخش مسئله و اهداف اصلی تحقیق گفته شد ما سه روش ازجمله جایگزینی اقدام (فن تغییر هشدار)، افزودن اقدام (فن تزریق نویز) و پنهان‌سازی اقدام (فن حذف مسیر حمله) برای مبهم سازی در سطح استراتژی داریم که به شرح کوتاهی از آن‌ها می‌پردازیم. این دسته‌بندی مبهم سازی مبتنی بر تجربیات در کار با تحلیلگران امنیتی در طی پروژه‌ی تهدید داخلی سایبری DARPA (آژانس پروژه­های تحقیقاتی دفاعی پیشرفته) است [7].

پنهان‌سازی اقدام: روشی است که مهاجم عملکردهای مهم را که نشان‌دهنده‌ی چگونگی نفوذ است، مخفی می‌نماید. در این روش مهاجم می‌تواند به یک وب سرور در شبکه‌ی مرجع حمله کند و بعدازاینکه هدف پیدا شد، او از یک اسکن بی‌اساس در یک چاپگر داخلی استفاده می‌کند و به‌طور کامل عملکرد خدمات اسکن را پنهان می‌نماید. با انتخاب دقیق، رمزگذاری یا طرح‌هایی از رمزگذاری ازجمله هشدارها می‌توانند از دیده‌ها پنهان و باعث تشخیص نادرست شوند [5].

جایگزینی اقدام: برای تشخیص بر اساس امضا، اصلاح حداکثر قابلیت حمل بار (ظرفیت ترابری) و ساخت یک امضا برای هشدارهای از قبل تعیین‌شده می‌تواند به‌راحتی انجام گیرد. مهاجم می‌تواند هشدارها را برای مخفی کردن منشأ واقعی و مشخصه‌ی حمله تغییر دهد. علاوه بر این، گاهی اوقات بسیاری از عملکردها می‌توانند به‌منظور دستیابی به همان شناسایی‌ها و یا به‌قصد نفوذ برای اینکه نقش بازی کنند، قابل تعویض باشند. تغییر در ترتیب عملکردهای حمله می‌تواند دنباله‌ی مشابهی را ایجاد نماید که این دنباله‌ی مشابه می‌تواند تمام دنباله‌های پرکاربردتر را به وجود آورد. همچنین می‌تواند از شناسایی شدن توسط تطبیق با الگوی دنباله‌ی کلاسیک نفوذی جلوگیری نماید.

افزودن اقدام: افزودن هشدارهای تأثیرگذار (پرفشار) می‌تواند روی موتور تحلیل هشدار تأثیر بگذارد. برای مثال می‌توان به افزایش دسته‌بندی خطای استراتژی حمله اشاره کرد.

حتی این هشدارها می‌توانند باعث انکار خدمات (DoS) روی موتور تحلیل شوند، زیرا ظرفیت تمام موتورهای تحلیل هشدار محدود می‌شوند. ما می‌خواهیم روی تزریق نویز که روش افزودن اقدام است، بحث نماییم [8] و [9].

باید بیان کرد که روش‌های بسیاری برای انجام این تزریق نویز وجود دارد. برای مثال، ممکن است روشی ساده از تزریق هشدار، نوشتن یک اسکریپت برای حفاظت از انجام اسکن و یا دزدیدن عملکردهای فایل نفوذپذیر از سیستم هدف برای راه‌اندازی دستورات تشخیص متناظر باشد. اگرچه چنین عملی به‌راحتی IP مهاجم را افشا می‌کند و به‌راحتی این IP می‌تواند توسط مدیر سیستم مسدود شود، اما استفاده از چنین ترفندهای ساده برای تزریق هشدارها روی سیستم میزبانی که هک شده می‌تواند برای ساده و آسان کردن طرح‌ها (مسیرها) ی حمله‌ی اصلی مؤثر باشد [10].

نمونه‌ای از تزریق نویز، self-throttling (حلقه کنترلی تکرارشونده) است که مهاجم می‌تواند با تکرار عملکردهای رخ‌داده‌ی سابق، شانس بیشتری برای پنهان کردن جدیدترین حالت نفوذ ازجمله: کشف سیستم میزبان، اسکن سرویس‌ها، افزایش امتیاز و ... داشته باشد. در نمونه‌ای از این حلقه تکرار، دنباله‌ی حمله‌ی اصلی (مبهم نشده) دارای سه مرحله است: مرحله‌ی اول کشف میزبان، مرحله‌ی دوم اسکن سرویس‌ها و مرحله‌ی سوم شناسایی آسیب‌پذیری همراه با تلاش برای استخراج این آسیب‌پذیری سرریز بافر است. از طرف دیگر، دنباله‌ی حمله‌ی مبهم شده می‌تواند برای تحلیلگر امنیتی گمراه‌کننده باشد و شرح و توصیف متفاوتی را از حمله بدهد، بیان این موضوع که در حمله چه پیشرفتی حاصل‌شده است (هدف کشف شده است یا آسیب‌پذیری شناسایی شده است) سخت و دشوار می‌شود اما مهاجم از عملکردهای انجام دهنده‌ی کاوش در سطح پایین حفاظت می‌کند [10].

نمونه‌ی دیگری از تزریق نویز، چند دسته‌ای شدن کار است که یکی دیگر از فن‌های مبهم سازی برای جلوگیری از الگوهای خاصی است که می‌تواند توسط برخی از ماشین‌های تشخیص نفوذ راه‌اندازی شود. در مبهم سازی در سطح بسته، گیر انداختن ظرفیت ترابری قابل‌نفوذ و ارسال آن از طریق بسته‌های مختلف، یک فن مورداستفاده برای انجام گریز از تشخیص است. به‌طور مشابه، در سطح هشدار، شخص می‌تواند یک امضای مخرب را در مراحل متعدد از هم جدا نماید و عملکردهای باقی‌مانده می‌توانند نرمال و عادی به نظر آیند. برای مثال، یک دنباله‌ی طولانی از تلاش‌های ناموفق ورود به سیستم، نشان­دهنده یک حمله‌ی جست‌وجوی فراگیر در رمز عبور مبتنی بر فرهنگ لغت (حمله‌ی جست‌وجوی فراگیر هوشمند) است که در آن مهاجم می‌تواند برای فریبکاری و مخفی‌کاری بیشتر، یک دنباله‌ی طولانی را به دنباله‌های کوچک‌تر تقسیم نماید [11].

طبق رابطه دنباله حمله اصلی و مبهم شده دو نوع مدل‌داریم. مدل نوع اول می‌تواند برای استراتژی جایگزینی اقدام و مدل نوع دوم برای دو استراتژی دیگر (افزودن اقدام و پنهان‌سازی اقدام) استفاده شود [12].

در مدل نوع اول، طول X مساوی طول Y است. در مدل نوع دوم که بسته به روش انجام‌شده دارای طول X بزرگ‌تر یا کوچک‌تر از طول Y است. برای فن افزودن اقدام، طول Y از طول X بزرگ‌تر است اما برای فن پنهان‌سازی اقدام، طول Y کوچک‌تر از X است. (که در این مدل‌ها، X: دنباله‌ی حمله‌ی اصلی (مبهم نشده) و Y: دنباله‌ی حمله‌ی مبهم شده است). در مدل نوع دوم، مشابهی مدل نوع اول، باید پیشنهاد پارامتری‌ای وجود داشته باشد که مشخص کند چه مقدار ابهام وجود دارد. به علت اینکه در مدل نوع دوم، طول X و Y متفاوت‌اند، باید دید چه مقدار ابهام وجود دارد تا مستقیماً در ساختار مدل منعکس شود. ما سعی در بیان مدل افزودن اقدام در حمله اصلی داریم.

در این مدل برای هر عملکرد اصلی، فرض می‌کنیم که عملکرد مبهم شده‌ی اضافی‌ای تزریق شود و طول Y دو برابر طول X باشد. برای مشاهده‌ی نویز معین این طول به عملکرد قبلی و به یکی از عملکردهای حمله‌ی اصلی وابسته است. در این مدل، شخص ممکن است استدلال نماید که نویز تزریق‌شده مستقل از هر متغیری است؛ یعنی، حمله، نویز را به‌صورت تصادفی تزریق می‌کند و هیچ ارتباط و لینکی بین نویز تزریقی و مشاهدات واقعی وجود ندارد [13].

حملات سایبری برای شبکه‌های سازمانی یا جنگ‌های سایبری به‌سوی عصری که در آن مهاجم‌ها و تحلیلگران امنیتی، استراتژی‌های پیچیده‌ای را برای به‌اشتباه انداختن و گمراه کردن یکدیگر به کار می‌گیرند، سوق داده‌شده است. پیش‌بینی بر اساس الگوهای رفتاری حمله، به دانش شبکه و پیکربندی‌های سیستم وابسته نیست، اما آن می‌تواند عملکردهای مهم را به علت حمله‌های مبهم شده یا فریب‌دهنده، به‌اشتباه و غلط پیش‌بینی نماید [3]. با مبهم سازی می‌توان این پیش‌بینی را تا حد امکان کم یا حتی غیرممکن کرد.

با گسترش روزافزون حملات شبکه و استخراج اولویت‌های پژوهشی برای مبارزه با این حملات، تحقیقات درزمینهٔ ی حملات سایبری و استفاده از فن نو و بدیع مبهم سازی ضرورت پیدا می‌کند. با توجه به اینکه پژوهش‌های بسیار کمی در این رابطه صورت گرفته است، اهمیت پرداختن به این موضوعات افزایش می‌یابد. ما از این فن مبهم سازی در گمراه کردن تحلیلگر امنیتی در افشای حملات سایبری سود می‌بریم و همچنین برای پیشبرد اهداف خود در فضای سایبری از این روش بهره می‌جوییم.

 

 

 

4.1 فرضیه­ های تحقیق

• علت استفاده از مبهم سازی در حملات سایبری چیست؟
• چگونه مبهم سازی عمدی یا نویز غیرعمدی ممکن است روی مدل‌سازی و طبقه‌بندی دنباله‌های حمله تأثیر بگذارد؟
• روش‌های افزودن اقدام برای مبهم سازی حملات کدم‌اند؟
• چگونه روش افزودن اقدام برای مبهم سازی حملات ارزیابی می‌شود؟

5.1 کاربردهای تحقیق

سازمان­های زیر قادر خواهند بود تا از نتایج به‌دست‌آمده از تحقیق پیشرو برای پیشبرد اهداف تحقیقاتی و پژوهشی خود استفاده نمایند.

رديف	نام سازمان	نوع استفاده
1	وزارت دفاع	این فن‌ها برای عدم‌تشخیص نفوذ به شبکه­های کامپیوتری مورداستفاده قرار می‌گیرد.
2	تمام سازمان‌هایی که می‌خواهند از حملات سایبری استفاده نمایند.	با استفاده از این فن‌ها اطاعات مهم در موردحمله پنهان می‌شود و حملات آینده غیرقابل تشخیص می‌شود.

جدول 1-1 سازمان­ های بهره ­مند از نتایج تحقیق پیش­رو

6.1 نتیجه­ گیری

در این فصل به معرفی حوزه تحقیق، ارائه مقدمه­ای از حملات سایبری، مسئله تحقیق، ضرورت حل آن، اهداف تحقیق و جنبه نوآوری آن پرداخته شد. در فصل بعد مرور ادبیات تحقیق و مقالات مربوطه ارائه می­شود.

1 Passive Defense

2 Cyber warfare

3 Cyber crime

[4] The Silent Killers

[5] Active

[6] Pen- testing

[7] Prevention

[8] Embed Security into design

[9] Ban attacks

[10] Incident management

[11] damage limitation

[12] harden the system

[13] proxy servers

[14] Shutdown and reallocation

[15] real time

[16] Backup

اگر برای انجام پایان نامه در رشته مهندسی کامپیوتر، نیاز به مشاوره رایگان دارید، همین الان با تماس بگیرید.

 

خدمات ادیب مشاور در زمینه رشته مهندسی کامپیوتر

 

انجام شبیه سازی در رشته مهندسی کامپیوتر

استخراج مقاله در  رشته مهندسی کامپیوتر

استفاده از نرم افزارهای تخصصی همچون نرم افزار R، نرم افزار STATA، نرم افزار MATLAB، نرم افزار Vensim، نرم افزار LINGO، نرم افزار NS2

 

2020/04/28