مرکز منطقه ای اطلاع رساني علوم و فناوري - چارچوبي آينده‌نگر براي سامانه‌هاي پاسخ به نفوذ در شبكه‌هاي رايانه‌اي

چكيده فارسي :

امروزه افزايش هشدارهاي صادرشده توسط سامانه هاي محافظ امنيت منجر به بروز چالش جديدي براي مديران امنيت شبكه شده است. اصولاً مديريت و پاسخگويي به اين حجم زياد هشدارها كار دشواري است. از اين رو، مديريت هشدار و سامانه پاسخ را مي توان به عنوان اساسي ترين بخش هاي سامانه هاي محافظ امنيت از جمله سامانه هاي تشخيص نفوذ در نظر گرفت. در سال هاي اخير، بيشتر تحقيقات صورت گرفته به طور مجزا به بحث مديريت هشدار و سامانه پاسخ پرداخته اند، درحالي كه اين دو بخش لازم و ملزوم يكديگر هستند و عملكردشان بر روي يكديگر تأثيرگذار است. بخش مديريت هشدار ها بايستي به گونه اي طراحي شود كه اطلاعات لازم در مورد حملات رخ داده را متناسب با نوع سامانه پاسخ در اختيار آن قرار دهد. اين اطلاعات به همراه اطلاعات مستخرج از منابع شبكه، وضعيت فعلي شبكه را براي سامانه پاسخ ترسيم مي كنند. با اين حال، چنانچه تصميمات اتخاذشده در سامانه پاسخ تنها براساس اطلاعات وضعيت فعلي شبكه باشد، مجموع هزينه هاي شبكه در طول زمان افزايش مي يابد. از اين رو، مي توان با كمك مفهوم آينده نگري از كليه اطلاعات موجود و قابل دسترس براي شناسايي وضعيت فعلي شبكه و كليه وضعيت هاي پيش رو استفاده نمود و فرآيند تصميم گيري در سامانه پاسخ را با اين نگاه بهبود بخشيد. در اين مقاله هدف ما ارائه يك رويكرد آينده نگر جهت يافتن پاسخ هاي بهينه براي مقابله با حملات رخ داده و حملات محتمل آينده است. براي اين منظور معماري پيشنهادي شامل دو بخش كلي 1) مدل سازي هشدارها و حملات و 2) مدل سازي پاسخ مي باشد. در بخش نخست با تحليل هشدارهاي مستخرج از سامانه هاي تشخيص نفوذ سعي كرده ايم ورودي مناسب براي سامانه پاسخ خودكار فراهم شود. همچنين به منظور پيش بيني حملات آينده روش هايي جهت تحليل حملات به صورت پويا ارائه شده است تا از اين طريق، انتخاب پاسخ مناسب با ديد آينده نگر انجام گيرد. در بخش دوم نيز ابتدا با ارائه يك مدل بازنمايي مناسب به تحليل مجموعه پاسخ ها پرداخته ايم. سپس با بررسي شرايط فعلي و آتي شبكه، هزينه ها و سودمندي هاي هر پاسخ به طور دقيق محاسبه شده است. درنهايت، مدل هايي جهت انتخاب پاسخ هاي مناسب با كمك روش هاي تصميم سازي ارائه شده است. نتايج حاصل از شبيه سازي با سناريو هاي مختلف نشان مي دهد با كمك آينده نگري در سامانه پاسخ مي توان هزينه هاي ناشي از وقوع حمله به شبكه و اعمال پاسخ را تا حد زيادي كاهش داد و شبكه را به سوي وضعيت هايي با هزينه كم هدايت نمود.