حملات سایبری به یک تهدید بزرگ برای شرکت ها و سایر سازمان ها تبدیل شده است. برای جلوگیری از سرقت اطلاعات، خرابکاری و اخاذی، بسیاری از شرکتها و سازمانهای دولتی به سیستمهای مدیریت رویداد و اطلاعات امنیتی (SIEM) روی میآورند که از قوانین شناسایی، که به عنوان امضا نیز شناخته میشوند، برای شناسایی حملات سایبری استفاده میکنند.
با این حال، محققان مؤسسه ارتباطات، پردازش اطلاعات و ارگونومی فراونهوفر (FKIE) آزمایشهای گستردهای انجام دادند و به این نتیجه رسیدند که فرار از امضای بسیاری از این قبیل برای مهاجمان آسان است. AMIDES، یک سیستم منبع باز جدید از Fraunhofer FKIE، برای کمک به رسیدگی به وضعیت طراحی شده است. از هوش مصنوعی برای شناسایی حملاتی استفاده می کند که در آن امضاهای سنتی شکست می خورند.
خطر حملات سایبری و جاسوسی صنعتی در سال 2024 بیشتر شده است. طبق مطالعه انجمن دیجیتال Bitkom، 8 شرکت از هر 10 شرکت در آلمان قربانی سرقت داده ها و حملات مشابه شده اند. خسارات ناشی از نفوذ به شبکه بالغ بر میلیاردها یورو است.
اما مشکل اینجاست که ماهیت حملات و روشهای مورد استفاده برای انجام آنها دائماً در حال تغییر است و مهاجمان اغلب فقط تغییرات جزئی برای جلوگیری از شناسایی ایجاد میکنند. نتیجه نهایی این است که دزدی و دستکاری اغلب تا زمانی که خیلی دیر نشده است مورد توجه قرار نمی گیرد.
سیستم منبع باز فرار از امضا را از طریق تشخیص سوء استفاده تطبیقی تشخیص می دهد
تاکنون، شناسایی حملات سایبری به سازمانها عمدتاً بر اساس امضاهایی است که توسط کارشناسان امنیتی بر اساس حملات شناخته شده نوشته شده است. این امضاها سنگ بنای یک سیستم SIEM هستند. با این حال، محققان Fraunhofer FKIE در بن کشف کردهاند که دور زدن بسیاری از امضاهای این نوع برای مهاجمان آسان است.
اگرچه روشهایی از یک حوزه مرتبط به نام تشخیص ناهنجاری میتواند به عنوان جایگزینی برای شناسایی حملات علیرغم فرار از امضا استفاده شود، این رویکرد اغلب منجر به تعداد زیادی آلارم کاذب میشود – که در واقع بسیاری از آنها حتی در همه آنها قابل بررسی نیستند.
برای حل این مشکل، محققان در Fraunhofer FKIE با توسعه سیستمی مبتنی بر یادگیری ماشینی برای شناسایی حملاتی که شبیه به امضاهای موجود هستند، اما دقیقاً مشابه نیستند، به ایجاد تعادل عملی پرداختند. راه حل آنها، سیستم تشخیص سوء استفاده تطبیقی (AMIDES)، از یادگیری ماشینی نظارت شده برای شناسایی قانون گریزی بالقوه و در عین حال کاهش همزمان هشدارهای نادرست استفاده می کند.
نرمافزار متنباز آزاد در دسترس، عمدتاً سازمانهای بزرگی را هدف قرار میدهد که قبلاً سیستمها و ساختارهای نظارتی متمرکز امنیتی را در اختیار دارند و اکنون به دنبال بهبود آنها هستند.
رافائل اوتز، محقق در Fraunhofer FKIE و رئیس گروه تحقیقاتی تشخیص و تجزیه و تحلیل نفوذ، میگوید: امضاها مهمترین راه برای شناسایی حملات سایبری در شبکههای سازمانی هستند، اما آنها یک گلوله جادویی نیستند.
“فعالیت های مخرب اغلب با تغییر اندکی حمله انجام می شود.” دشمنان از تکنیک های مختلفی برای مخفی کردن کارهایی که انجام می دهند و اجتناب از شناسایی استفاده می کنند، مانند وارد کردن کاراکترهای ساختگی در خطوط فرمان، مهاجم به طور خاص دستور خود را می نویسد یافتن، تاکتیک های مورد استفاده توسط مجرمان سایبری را توضیح می دهد.
اینجاست که AMIDES وارد میشود: این نرمافزار ویژگیهایی را از رویدادهای مرتبط با امنیت، مانند خط فرمان برنامههای تازه راهاندازی شده استخراج میکند. سپس از یادگیری ماشین برای شناسایی خطوط فرمانی استفاده میشود که مشابه خطوطی هستند که با قوانین تشخیص مطابقت دارند اما دقیقاً مطابقت ندارند. Amedes در این مورد زنگ خطر را به صدا در می آورد.
نویسندگان این رویکرد را تشخیص سوء استفاده تطبیقی می نامند زیرا ابتدا با آموزش نحوه رفتار طبیعی محیط با محیط هدف سازگار می شود تا بتواند حملات احتمالی را جدا از رویدادهای بی خطر به درستی تشخیص دهد.
تشخیص سوء استفاده تطبیقی اجازه انتساب قانون را می دهد
علاوه بر گزینه ای برای ایجاد هشدارهای فرار بالقوه، رویکرد جدید همچنین عملکردی را ارائه می دهد که محققان آن را انتساب قانون می نامند. هنگامی که یک قانون سنتی برای شناسایی سوء استفاده راه اندازی می شود، یک تحلیلگر می تواند به سادگی قانون را مشاهده کند تا ببیند چه اتفاقی افتاده است، زیرا قوانین معمولاً دارای عنوان و توصیف معنادار و همچنین امضا هستند.
اما بسیاری از سیستمهای مبتنی بر یادگیری ماشین فاقد این ویژگی هستند و در عوض فقط یک هشدار بدون زمینه بیشتر ایجاد میکنند. از آنجایی که تشخیص سوء استفاده تطبیقی از قوانین تشخیص SIEM یاد میگیرد، اطلاعات مربوط به ویژگی در قوانین موجود در طول آموزش گنجانده میشود و به AMIDES اجازه میدهد تا تشخیص دهد که از کدام قوانین احتمال فرار میشود.
AMIDES قبلاً از طریق آزمایش های گسترده با استفاده از داده های دنیای واقعی از یک آژانس دولتی آلمان ارزیابی شده است. Uetz میگوید: «این آزمایشها نشان دادهاند که راهحل ما این پتانسیل را دارد که به طور قابل توجهی تشخیص نفوذ شبکه را بهبود بخشد.
پس از تنظیم آن بر روی سطح حساسیت پیشفرض، AMIDES با موفقیت 70 درصد از تلاشهای فرار را شناسایی کرد – بدون اینکه آلارمهای کاذب را ایجاد کند. از نظر سرعت، اندازهگیریها نشان میدهد که سیستم به اندازه کافی برای عملیات زنده، حتی در شبکههای سازمانی بسیار بزرگ، سریع است.
ارائه شده توسط Fraunhofer Gesellschaft
نقل قول: سیستم منبع باز انواع جدیدی از حملات سایبری را شناسایی می کند (2024، 2 دسامبر) بازیابی شده در 2 دسامبر 2024 از https://techxplore.com/news/2024-12-source-varieties-cyberattacks.html
این سند مشمول حق چاپ است. علیرغم هرگونه معامله منصفانه به منظور مطالعه یا تحقیق خصوصی، هیچ بخشی بدون اجازه کتبی قابل تکثیر نیست. محتوا فقط برای مقاصد اطلاعاتی ارائه شده است.