چکیده:
یکی از تهدیدات مهم سالهای اخیر در حوزه سامانههای رایانهای و فضای سایبر، حملات سایبری مبهم است. مبهمسازی در سطح حمله به معنای تغییر حمله، بدون تغییر در رفتار و تغییر در نوع اثرگذاری حمله بر قربانی است. در این مقاله با ارائه طبقهبندی جدیدی در روشهای مبهمسازی، برای مدلسازی حملات سایبری مبهم، روشی مبتنی بر فن افزودن حمله پیشنهاد شده است. مهاجم در این روش با افزایش دستهبندی غلط در راهبردهای حمله، باعث جدا شدن وابستگی میان هشدارها و اقدامات حمله میشود؛ بنابراین، با افزایش طول دنباله حمله، مدیران امنیت شبکه بهراحتی نمیتوانند حملات سایبری را تشخیص دهند. مدل پیشنهادی بر اساس الگوریتم بیزین ارزیابی شد. جداول و نمودارهای ارزیابی، نشاندهنده تدوین مناسب ساز و کار ارائهشده برای دنباله حملات مبهم بوده بهطوریکه احتمال تشخیص حملات مبهم نسبت به حملات پاک بسیار کمتر میباشد. با افزایش دنباله حملات دقت طبقهبندی درست، به صفر میل میکند. روش پیشنهادی برای مبهمسازی حملات، به دلیل توانایی در فریب سامانههای تشخیص نفوذ و ایجاد عدم قطعیت در دنباله حملات مشاهدهشده، کارایی بیشتری نسبت به منطق مبهمسازی در سطح کد و اقدام دارد.
One of the most important threats of recent years in computer systems and cyber space is ambiguous cyber-attack. Obfuscation at the level of attack means change of attack, without change in behavior and change in the type of impact of attack on the victim. In this paper, a new classification method has been proposed for modeling cyber attacks, a method based on the technique of insertion attacks. In this method, by increasing the wrong classification in attack strategies, the dependency between the warnings and precautions is separated; so, by increasing the length of the attack, network security managers cannot easily distinguish cyber-attacks. The proposed model is based on Bayesian algorithm. Tables and the assessment figures show the proper formulation of the mechanisms provided for the sequence of attacks so that the detection of obfuscation attacks is far less likely than clean attacks. By increasing the sequence of attacks, the correct classification accuracy tends to zero. The proposed method for obfuscation of the attacks due to the ability to mislead the intrusion detection systems and to create uncertainty in the sequence of the observed attacks, has better performance than the obfuscation logic at both code and action level.
خلاصه ماشینی:
مهاجم در این روش با افزایش دستهبندی غلط در راهبردهای حمله، باعث جدا شدن وابستگی میان هشدارها و اقدامات حمله میشود؛ بنابراین، با افزایش طول دنباله حمله، مدیران امنیت شبکه بهراحتی نمیتوانند حملات سایبری را تشخیص دهند.
افزودن اقدام یکی از روشهایی که تأثیر زیادی در بهوجود آوردن عملکرد غلط و گمراه کردن موتورهای تحلیل هشدار وجود دارد، افزودن اقدام است این روش مهاجم با افزایش دستهبندی غلط در راهبردهای حمله، باعث جدا شدن وابستگی میان هشدارها میشود.
مدل پیشنهادی مدل بهکار رفته شده در این تحقیق مطابق شکل (4)، برای مدلسازی احتمالاتی حملات سایبری مبهم، ارائه روش مبهم ساز حمله متناظر با فن افزودن حمله مبتنی بر تأثیر حمله خواهد بود.
شکل (6): مدل دنباله حملات مبهم با طول سه برابر طول دنباله حملات پاک احتمال مبهمسازی P(Y|X) و توزیع P(Y) برای این مدل بهصورت روابط (17) و (18) بیان میشود: (17) P(Y|X) (رجوع شود به تصوير صفحه) (18) P(Y)=P(Y1│X1)P(Y2│Y1)P(Y3│Y2) ∏_(i=1)^(N/3-1)▒〖P(Y3i+1┤|Xi+1)〗 P(Y3i+2│Y3i+1)P|Y3i+3 |Y3i+2) 6.
(رجوع شود به تصوير صفحه) شکل (9): نمودار مقایسهای برای 5 نمونه حمله مبهم شده مبهمسازی حمله مدل پیشنهادی برای 5 گروه با سایر مدلها طبق رابطه (19) نشان داده شده است: E >B >D> C > نجاری > نویزی > دو > پاک(19) 8.
Najari,” The design and simulation of an efficient algorithm for modeling the obfuscation of cyber attacks based on action insertion”, M.
Ghafori,” The design and simulation of an efficient algorithm for modeling the obfuscation of cyber attacks based on action alteration”, M.
Aliabadi,” The design and simulation of an efficient algorithm for modeling the obfuscation of cyber attacks based on action removal”, M.