سیستم منبع باز انواع جدیدی از حملات سایبری را شناسایی می کند

سیستم منبع باز انواع جدیدی از حملات سایبری را شناسایی می کند

AMIDES انواع جدیدی از حملات سایبری را کشف می کند

اعتبار: 123RF Galina Peshkova/skorzewiak

حملات سایبری به یک تهدید بزرگ برای شرکت ها و سایر سازمان ها تبدیل شده است. برای جلوگیری از سرقت اطلاعات، خرابکاری و اخاذی، بسیاری از شرکت‌ها و سازمان‌های دولتی به سیستم‌های مدیریت رویداد و اطلاعات امنیتی (SIEM) روی می‌آورند که از قوانین شناسایی، که به عنوان امضا نیز شناخته می‌شوند، برای شناسایی حملات سایبری استفاده می‌کنند.

با این حال، محققان مؤسسه ارتباطات، پردازش اطلاعات و ارگونومی فراونهوفر (FKIE) آزمایش‌های گسترده‌ای انجام دادند و به این نتیجه رسیدند که فرار از امضای بسیاری از این قبیل برای مهاجمان آسان است. AMIDES، یک سیستم منبع باز جدید از Fraunhofer FKIE، برای کمک به رسیدگی به وضعیت طراحی شده است. از هوش مصنوعی برای شناسایی حملاتی استفاده می کند که در آن امضاهای سنتی شکست می خورند.

خطر حملات سایبری و جاسوسی صنعتی در سال 2024 بیشتر شده است. طبق مطالعه انجمن دیجیتال Bitkom، 8 شرکت از هر 10 شرکت در آلمان قربانی سرقت داده ها و حملات مشابه شده اند. خسارات ناشی از نفوذ به شبکه بالغ بر میلیاردها یورو است.

اما مشکل اینجاست که ماهیت حملات و روش‌های مورد استفاده برای انجام آن‌ها دائماً در حال تغییر است و مهاجمان اغلب فقط تغییرات جزئی برای جلوگیری از شناسایی ایجاد می‌کنند. نتیجه نهایی این است که دزدی و دستکاری اغلب تا زمانی که خیلی دیر نشده است مورد توجه قرار نمی گیرد.

سیستم منبع باز فرار از امضا را از طریق تشخیص سوء استفاده تطبیقی ​​تشخیص می دهد

تاکنون، شناسایی حملات سایبری به سازمان‌ها عمدتاً بر اساس امضاهایی است که توسط کارشناسان امنیتی بر اساس حملات شناخته شده نوشته شده است. این امضاها سنگ بنای یک سیستم SIEM هستند. با این حال، محققان Fraunhofer FKIE در بن کشف کرده‌اند که دور زدن بسیاری از امضاهای این نوع برای مهاجمان آسان است.

اگرچه روش‌هایی از یک حوزه مرتبط به نام تشخیص ناهنجاری می‌تواند به عنوان جایگزینی برای شناسایی حملات علیرغم فرار از امضا استفاده شود، این رویکرد اغلب منجر به تعداد زیادی آلارم کاذب می‌شود – که در واقع بسیاری از آنها حتی در همه آنها قابل بررسی نیستند.

برای حل این مشکل، محققان در Fraunhofer FKIE با توسعه سیستمی مبتنی بر یادگیری ماشینی برای شناسایی حملاتی که شبیه به امضاهای موجود هستند، اما دقیقاً مشابه نیستند، به ایجاد تعادل عملی پرداختند. راه حل آنها، سیستم تشخیص سوء استفاده تطبیقی ​​(AMIDES)، از یادگیری ماشینی نظارت شده برای شناسایی قانون گریزی بالقوه و در عین حال کاهش همزمان هشدارهای نادرست استفاده می کند.

نرم‌افزار متن‌باز آزاد در دسترس، عمدتاً سازمان‌های بزرگی را هدف قرار می‌دهد که قبلاً سیستم‌ها و ساختارهای نظارتی متمرکز امنیتی را در اختیار دارند و اکنون به دنبال بهبود آنها هستند.

رافائل اوتز، محقق در Fraunhofer FKIE و رئیس گروه تحقیقاتی تشخیص و تجزیه و تحلیل نفوذ، می‌گوید: امضاها مهم‌ترین راه برای شناسایی حملات سایبری در شبکه‌های سازمانی هستند، اما آنها یک گلوله جادویی نیستند.

“فعالیت های مخرب اغلب با تغییر اندکی حمله انجام می شود.” دشمنان از تکنیک های مختلفی برای مخفی کردن کارهایی که انجام می دهند و اجتناب از شناسایی استفاده می کنند، مانند وارد کردن کاراکترهای ساختگی در خطوط فرمان، مهاجم به طور خاص دستور خود را می نویسد یافتن، تاکتیک های مورد استفاده توسط مجرمان سایبری را توضیح می دهد.

اینجاست که AMIDES وارد می‌شود: این نرم‌افزار ویژگی‌هایی را از رویدادهای مرتبط با امنیت، مانند خط فرمان برنامه‌های تازه راه‌اندازی شده استخراج می‌کند. سپس از یادگیری ماشین برای شناسایی خطوط فرمانی استفاده می‌شود که مشابه خطوطی هستند که با قوانین تشخیص مطابقت دارند اما دقیقاً مطابقت ندارند. Amedes در این مورد زنگ خطر را به صدا در می آورد.

نویسندگان این رویکرد را تشخیص سوء استفاده تطبیقی ​​می نامند زیرا ابتدا با آموزش نحوه رفتار طبیعی محیط با محیط هدف سازگار می شود تا بتواند حملات احتمالی را جدا از رویدادهای بی خطر به درستی تشخیص دهد.

تشخیص سوء استفاده تطبیقی ​​اجازه انتساب قانون را می دهد

علاوه بر گزینه ای برای ایجاد هشدارهای فرار بالقوه، رویکرد جدید همچنین عملکردی را ارائه می دهد که محققان آن را انتساب قانون می نامند. هنگامی که یک قانون سنتی برای شناسایی سوء استفاده راه اندازی می شود، یک تحلیلگر می تواند به سادگی قانون را مشاهده کند تا ببیند چه اتفاقی افتاده است، زیرا قوانین معمولاً دارای عنوان و توصیف معنادار و همچنین امضا هستند.

اما بسیاری از سیستم‌های مبتنی بر یادگیری ماشین فاقد این ویژگی هستند و در عوض فقط یک هشدار بدون زمینه بیشتر ایجاد می‌کنند. از آنجایی که تشخیص سوء استفاده تطبیقی ​​از قوانین تشخیص SIEM یاد می‌گیرد، اطلاعات مربوط به ویژگی در قوانین موجود در طول آموزش گنجانده می‌شود و به AMIDES اجازه می‌دهد تا تشخیص دهد که از کدام قوانین احتمال فرار می‌شود.

AMIDES قبلاً از طریق آزمایش های گسترده با استفاده از داده های دنیای واقعی از یک آژانس دولتی آلمان ارزیابی شده است. Uetz می‌گوید: «این آزمایش‌ها نشان داده‌اند که راه‌حل ما این پتانسیل را دارد که به طور قابل توجهی تشخیص نفوذ شبکه را بهبود بخشد.

پس از تنظیم آن بر روی سطح حساسیت پیش‌فرض، AMIDES با موفقیت 70 درصد از تلاش‌های فرار را شناسایی کرد – بدون اینکه آلارم‌های کاذب را ایجاد کند. از نظر سرعت، اندازه‌گیری‌ها نشان می‌دهد که سیستم به اندازه کافی برای عملیات زنده، حتی در شبکه‌های سازمانی بسیار بزرگ، سریع است.

ارائه شده توسط Fraunhofer Gesellschaft

نقل قول: سیستم منبع باز انواع جدیدی از حملات سایبری را شناسایی می کند (2024، 2 دسامبر) بازیابی شده در 2 دسامبر 2024 از https://techxplore.com/news/2024-12-source-varieties-cyberattacks.html

این سند مشمول حق چاپ است. علی‌رغم هرگونه معامله منصفانه به منظور مطالعه یا تحقیق خصوصی، هیچ بخشی بدون اجازه کتبی قابل تکثیر نیست. محتوا فقط برای مقاصد اطلاعاتی ارائه شده است.

منبع

بخوان  هوش مصنوعی در آستانه است