مدل‌ سازي حملات سايبري مبهم مبتني بر فّن جايگزين حمله

Modeling of Cyber-Attacks Obfuscation, Based on Alteration Technique of Attack

با گسترش روزافزون حملات سايبري، ايجاد امنيت براي فضاي سايبري نيز حساس‌تر و مهم‌تر شده است. بنابراين رايانه‌ها، شبكه‌هاي رايانه‌اي و تمام سامانه‌هاي رايج با قابليت اتصال به شبكه اينترنت، همواره در معرض خطر حملات سايبري قرار دارند. در اين مقاله با ارائه طبقه‌بندي جديدي در روش‌هاي مبهم‌سازي، براي مدل‌سازي حملات سايبري مبهم، روشي مبتني بر فّن جايگزين حمله پيشنهاد شده است. در اين روش مهاجم در راهبرد‌هاي حمله با جايگزين كردن حملاتي كه خصوصيات مشابه دارند، باعث افزايش دسته‌بندي غلط شده و وابستگي ميان گام‌هاي حمله را كاهش مي‌دهد؛ بنابراين با افزايش طول دنباله حمله، مديران امنيت شبكه به‌راحتي نمي‌توانند حملات سايبري را تشخيص دهند. مدل پيشنهادي بر اساس الگوريتم بيزين ارزيابي گرديد. نتايج به‌دست‌آمده از تحقيق و اجراي مدل، حاكي از آن است كه نرخ دقت درست طبقه‌بندي (برحسب لگاريتم) توسط سامانه‌هاي تشخيص نفوذ، در بهترين حالت براي حملات پاك در دنباله حمله 40 برابر 02/- و براي حملات مبهم در سطح اقدام برابر 0/19- است؛ در‌صورتي‌كه در همين دنباله براي حملات مبهم با فن جايگزين حمله به 3- و براي فن اضافه حمله به 6/74- تقليل مي‌يابد. در مدل‌پيشنهادي مانند فن مبهم‌ساز افزودن حمله، از روش حمله متناظر استفاده شده است، به علت تفاوت در نوع مدل مبهم‌سازي نتايج مختلفي به‌ دست مي‌آيد و تركيب اين دو فن مبهم‌ساز در حملات سايبري مي‌تواند در فريب سامانه‌هاي تشخيص نفوذ و ايجاد عدم قطعيت در دنباله حملات مشاهده‌شده، نتايج بهتري براي مهاجم به ارمغان آورد.

With the increasing rate of cyber-attacks, creating security for cyberspace has become more important and crucial. Therefore computers, computer networks and all current systems connected to the Internet are always at risk of cyber-attacks. In this paper, a novel technique based on alteration technique of attack is proposed by providing a new classification in the methods of obfuscation. In this method, by replacing the attacks that have similar characteristics in the attack strategies the attacker causes an increase in wrong classification and thus reduces the dependence between attack steps. Therefore, by increasing the length of the attack, network security managers cannot easily distinguish cyber-attacks. The proposed model was assessed based on the Bayesian algorithm. The results of the research and implementation of the model indicate that the accuracy of classification (in terms of log) by intrusion detection systems for the best case of clean attacks in the sequel of attack, is -0.02 and for obfuscation attacks at the action level is -0.19. For obfuscate attacks with the alternative technique it becomes -3 and for the insertion technique it decreases to -6.74. In the proposed model, as in the obfuscation-based insertion technique, the corresponding attack method has been used. Due to the difference in the type of ambiguity model, different results are obtained, and the combination of these two obfuscating techniques in cyber-attacks can bring better results to the attacker in deceiving the intrusion detection systems and creating uncertainties in the sequence of observed attacks.