استخدام تقنيات التحليل المتقدم في كشف الاختراقات

Spread the love

– الملخص

تقنيه التحليل المتقدم هي تقنيه تحتوي على عدد من الخوارزميات  تقوم بكشف الأنماط المخفيه في بيانات معينه . كان لهذه التقنية في بدايه ظهورها مساهمات في عدد من المجالات كمجال التجاره  حيث تعمل على كشف الأنماط الشرائيه للمستهلكين  وذلك للتنبؤ بسلوك المستهلكين .لكن في السنوات الأخيره اتسع مجالها ودخلت في مجال كشف الإختراقات  التي تهدف للتهديد تكامل وسرية واستمرارية موارد الأنظمة .  حيث تعتمد  هذه الخوارزميات في تحليلها للبيانات على نوعين من استراتجيات التحليل الأول  بناء على التواقيع حيث يقوم على كشف الإختراقات بناء على البحث عن أنماط معروفة مسبقا من هجمات سابقه  و الثاني بناء على السلوك  يبحث عن السلوك الطبيعي للنظام ويبني نماذج له من ثم تحديد اي انحراف عن الوضع الطبيعي كاحتمال هجوم . هناك العديد من الخوارزميات الموظفه في مجال كشف الإختراقات لكن المقال سيعرض  أهمها وهي أربعة انواع الأول التصنيف حيث يقوم على وضع البيانات في  تصنيفات سبق تحديدها, الثاني التجميع يتم  تعيين البيانات الجديدة إلى مجموعات حيث تحتوى كل مجموعة على بيانات متشابه  في التصرفات ,الثالث قواعد الربط وهو تمثيل لسلوك الهجومي في مجموعة من القاعدات ,الرابع الحلقات المتكرره ويقوم بإكتشاف العلاقات بين الأحداث كما يؤدي إلى إنتاج قاعدات تشبه قواعد الربط وتواجه هذه التقنية عدد من الصعوبات مثل التكلفه الناتجه عن حساب الخوارزميات والحاجه إلى بيانات التدريب التي من الصعب جمعها, و وجود التنبيهات الخاطئه.

 

 

2-الكلمات المفتاحيه :

التحليل المتقدم ,أنظمة كشف الإختراقات , خوارزميه التصنيف , خوارزميه الحلقات المتكرره,  خوارزميه قواعد الربط,  خوارزميه  التجميع

 

 

3- المقدمه:

اصبح متداول في السنوات االأخيره استخدام تقنيات التحليل المتقدم في العديد من مجالات أمن المعلومات كاستخدامه في كشف الإختلاسات البنكيه.  وفي أنظمة كشف الإختراقات ويعود ذلك إلى احتواء هذه التقنيات على العديد من ” الخوارزميات المأخوذه من مجالات الإحصاء  , وكشف الأنماط , وتعليم الآله و قواعد الببيانات” (1)  في هذا المقال سيتم التركيز على استخدامها في أنظمة كشف الإختراقات , حيث  تعتبر أنظمة كشف الإختراقات  أكثر فعاليه في مجال حماية الشبكات من جدران الحماية بقدرتها على “مراقبة نشاط حزم البيانات الموجوده على الشبكه والتركيز على ماذا تفعل هذه الحزم بدلاً من العمل على تصفية حزم البيانات على أساس من أين أتت”(2)  . وتأتي أهميه هذه الخوارزميات في كشف الإختراقات إلى قدرتها على العمل على هجمات وإختراقات معروفة ومسبق الكشف عنها لإنتاج نماذج غير معروفة .

ويهدف هذا المقال إلى التعريف  بمفهوم  التحليل المتقدم والتعريف بأشهر التقنيات والخوارزميات المستخدمه  التي تعمل على حل مشكلة  كشف الإختراقات بأنواعها المختلفه . حيث يوجه هذا المقال لكل مهتم في مجال أمن المعلومات للخروج بهم بمعرفه  أساسيات هذه التقنية .

 

4-تعاريف وتصنيفات:

قبل البدأ بعرض الخورارزميات لابد من معرفة لتعريف كلاً من التحليل المتقدم وأنظمة كشف الإختراقات  وعرض لأهم أنواعهم.

 

1.4- التحليل المتقدم

“عمليه إستخلاص معلومات صحيحة ,غير معروفة مسبقاً و مفهومه وفعاله من قواعد بيانات ضخمة وإستخدامها لإتخاذ القرارات ” (3)

2.4-  أنظمة كشف الإختراقات:

تعرف الإختراقات على انها” مجموعة من الأعمال التي تهدف إلى إنتهاك تكامل وسرية واستمرارية  موارد نظام معلوماتي معين “( 1)

وتعرف أنظمة كشف الإختراقات بأنها برامج و آليات يتم من خلالها مراقبة نشاطات الأنظمة والشبكات بهدف كشف الإختراقات ومن ثم إصدار تنبيهات في حال وجود إختراق .

 

3.4-  أنواع أنظمة إكتشاف الإختراقات باستخدام التحليل المتقدم :

1.3.4- من حيث مصدر البيانات

 

المعتمد على المضيف المعتمد على الشبكة
تأتي البيانات من مصدر واحد وهو الجهاز المضيف قد  يكون جهاز شخصي او خادم  حيث يتم مراقبه نظم التشغيل في هذه الأنظمة وسعة الذاكره والمعالج فيها . تأتي البيانات من أكثر من مصدر على شبكه معينه حيث يتم مراقبة حزم البيانات فيها في هذه الحاله .

جدول(1):  مصدر البيانات

 

2.3.4- من حيث إستراتجية التحليل

 

بناء على التواقيع بناء على السلوك  
يقوم على كشف الإختراقات بناء على البحث عن أنماطمحدده ومعروفة مسبقاً من هجمات سابقة  , وتقوم ببناء مايعرف باالـتواقيع التي يقوم النظام على أساسها بمقارنه اي بيانات بها لتحديد ما اذا كانت بيانات إقتحاميه . كما هو الحال في برامج مكافحة الفيروسات. يقوم على كشف الإختراقات بناء على البحث عن السلوك الطبيعي للنظام وبناء نماذج له, من ثم تحديد اي إنحراف عن الوضع الطبيعي محل التحقق لإحتمالية أن يكون هجوماً.  هذا النوع يساعد على إكتشاف الإختراقات الغير معروفة . التعريف العام
عدم قدرته على إكتشاف الإختراقات الغير معروفة بل  فقط ماسبق الكشف عنها. العديد من التنبيهات خاطئه خاصةً في بدايه تشغيل مثل هذه الأنظمة , يعود ذلك لطبيعة التعلمية لمثل هذه الأنظمة حيث تقوم بتنبيه لكل ماهو غير طبيعي على انه إختراق وقد يكون سلوك طبيعي غير مسبوق للنظام رؤيته . عيوبه

جدول(2) : استراتجيات التحليل

 

ينوه إلى انه قد يتم استخدام مزيج من هذان النوعان في نظام كشف إختراق واحد.

 

5- تقنيات وخورزميات التحليل التقدم في كشف الإختراقات:

يوجد العديد من خوارزميات التحليل المتقدم الموظفه في مجال كشف الإختراقات . الكثير منها مازالت موضع مجال بحثي واسع . واحياناً ماتكون تحت مسميات وتصنيفات مختلفة و يعود ذلك إلى ان التحليل المتقدم كمجال منفصل  ما زال قيد التطوير و استخدامه في أنظمة كشف الإختراقات هو وليد السنوات الأخيره  , قد يصعب احياناً مع هذا التنوع والإختلاف , التعرض لجميع التصنيفات والمسميات لذلك  سيتم التعرض فقط لأشهرها والأساسيه منها.

1.5-  التصنيف (Classification)

يستخدم  كثيرا في  أنظمة ” بناء على التواقيع” .يقوم على وضع البيانات في  تصنيفات سبق تحديدها . لتطبيق التصنيف يجب توفر بيانات التدريب وهي ببيانات الفحص والتدقيق مصنفة ,اي عباره عن سجل تاريخي لسلسلة من بيانات النظام  تكون مصنفة على أسس طبيعيه وإختراقيه ليتدرب عليها النظام بواسطه برنامج تعليم الآله لإنتاج مايعرف باالمصنفات او النماذج التي تعمل على تصنيف بيانات الفحص والتدقيق المستقبليه  في ما إذا كانت إختراقيه, قد تكون المصنفات على شكل أشجار   كما  في شكل (1) على شكل قواعد تصنيفيه . لإنتاج  المصنفات لابد من تطبيق احد خوارزميات التصنيف من أهمها  (أشجار التصنيف) و(قواعد التصنيف) .شكل (1) يوضح مفهوم التصنيف.

 

 

شكل(1) : مفهوم التصنيف.

 

1.1.5- أشجارالتصنيف :

تسمى احياناً (أشجار القرارات ) وتنتج مصنفات على شكل أشجار يتم تتبع وإختبار البيانات من خلالها بمقارنتها ببيانات فروع (node ) الشجره إبتداً من أعلى الشجره حتى  آخر فروعها حيث يوجد  القرار ( إما طبيعي اوغير طبيعي)   . شكل (2) يوضح كيف تم بناء الشجره من بيانات بسيطه بهدف التوضيح ,و لكن في الواقع لابد من تطبيق خوارزميات اخرى فرعيه  مثل (ID3)  حيث تحتوى هذه الخورزميات على طرق ومعادلات تحدد كيفية إختيار الفروع المناسبة .

 

شكل(2): كيفيه بناء أشجار التصنيف

 

2.5- التجميع (Clustering)

يستخدم في أنظمة “بناء على السلوك”  حيث أنها  لاتعتمد على وجود  بيانات لتدريب مصنفة مسبقاً  كما هو الحال في التصنيف. الذي يحدث في هذا النوع هو ان يتم  تعيين البيانات الجديدة إلى مجموعات حيث تحتوى كل مجموعة على بيانات متشابه  في التصرفات  . ولكي يكون التقسيم جيداً لابد من كثرة التشابة بين بيانات المجموعة الواحدة وقلة التشابة بين المجموعات بعضها ببعض . ويمكن ان يكون هذا النوع عالي الّأبعاد اي يعتمد في تعيينه على العديد من مواصفات البيانات  . او على العكس يعتمد على مواصفات أقل  ويسمى منخفض الأبعاد كما في  شكل (3).

كما يلاحظ في شكل (3) وجود  دوائر ملونة صغيرة تدعى هذه الدوائر بسجل  البيانات وهي الصفوف في جدول بيانات الفحص والتدقيق  و تمثل الأبعاد خواص النظام التي اعتمد عليها في تقسيم البيانات وهي الأعمده في الجدول . ” كما قد تساعد هذه المجموعات في تحسين أداء المصنفات (النماذج)”(4) .  ويندرج تحت هذه التقنية العديد من الخوارزميات منها( ك – متوسط )   .

 

1.2.5- ك-المتوسط((k-mean

هو احد أنواع مايعرف بخوارزميات التقسيم حيث يتم فيها تقسيم البيانات  إلى عدد *ك* من المجموعات “يتم إعادة  تعيين البيانات فيها بشكل متكرر لتحسين عمليه التجميع “.وفي  كشف الإختراقات  يعتمد عليه في ” إيجاد  مجموعات طبيعيه للسجلات التنبيه المتشابهه , والسجلات التي تكون بعيده عنها تدل على نشاطات غير معتاده, التي قد تكون جزء من هجوم جديد “(4)شكل(3) . وسميت بالمتوسط لأنها تحدد نقطة وسطيه لكل مجموعة  لكي تمثلها حيث يتم على أساسها تعين النقاط الجديدة بحساب أقرب نقطة وسطيه وضمها لمجموعة التى تمثلها  .

 

 

شكل(3) مفهوم التجميع

 

3.5- قواعد الربط (Association Rule)

تساهم في مجال كشف الإختراقات من حيث القدرة على تمثيل سلوك الهجومي في مجموعة من القاعدات.  فهذه التقنية عباره عن مجموعة من الخوارزميات تقوم بإكتشاف العلاقات بين خواص بيانات الفحص والتدقيق  وتمثلها على شكل قاعدات. . وتقوم الخوارزميات على ايجاد القاعدات التي تظهر بدعم قوي وبثقة , والدعم والثقه هي عباره عن معادلات تعرف كالتالي  .  لنفرض القاعده  ( أ             ب)

الدعم = (عدد الصفوف التي تحقق( أ  —->  ب)/ عدد الكلي لصفوف بيانات الفحص والتدقيق )*100

الثقه= (عدد الصفوف التي تحقق( أ —->   ب)/ عدد الكلي لصفوف  التي تحتوي على القيمة ب)*100

وعادةً ماتكتب القاعدات على شكل التالي:

أ     —->  ب  ; ]الثقه , الدعم [

مثال:

عدد محاولات تسجيل الخروج الفاشله =6 ,البروتوكول =  نقل النص المتشعب  —-> هجوم =تعطيل الخدمه   ]0,05 ,0,2[

 

4.5- الحلقات المتكررة Frequent Episodes))

يستخدم في أنظمة “بناء على السلوك”  ويساهم في الكشف عن الهجمات حين وقوعها او مايعرف بأنظمة الوقت الحقيقي . فالحلقة المتكرره هي “مجموعة من الأحداث التي تظهر بشكل متكرر خلال نافذة وقتية محددة الطول  ” (1) .ويفيد هذا النوع في إكتشاف العلاقات بين الأحداث كما يؤدي إلى إنتاج قاعدات تشبه قواعد الربط . تختلف عنها في آخر القاعدة  حيث يتم تحديد النافذة  الوقتية.

مثال:

استخدام برنامج المتصفح , فتح مجلد نظام التشغيل —->  هجوم  = فيروس    ]0,05 ,0,2[ ]  30ث[

 

تبين القاعدة انه عندما يستخدم برنامج المتصفح  وفتح ملفات النظام بهذا الترتيب فانه 20% من حالات الفيروسات تاتي  تتابعاً خلال  30 ثانيه (وهي النافذة الوقتية)   ,كما تشير إلى انه  هذا التسلسل يظهر نسبة 5%  بالنسبة لمجموع جميع الأحداث التي ظهرت في مده 30 ثانية

 

6- صعوبات تواجه هذه التقنية :

1-      هذه التقنية  تتميز بوجود التنبيهات الخاطئه خاصة في أنظمة البناء على السلوك

2-      حساب هذه الخوارزميات مكلف حيث يحتاج إلى ذاكرة ومعالجات قد تكون غير متوفرة  واسعارها مرتفعة.

3-       بعض الخوارزميات مثل التصنيف تحتاج إلى بيانات التدريب حيث إيجاد وجمع وتصنيف مثل هذه البيانات عملية صعبة ومكلفة.

 

7- الخلاصة :

تقنيات وخوارزميات  التحليل المتقدم تعتبر من التقنيات المستحدثة و الواعده في مجال كشف الإختراقات, حيث اتضح من خلال عرض الخوارزميات قدرتها على كشف الأنماط المخفيه  في عدد كبير من بيانات النظام إلا انه يوجد عدد من الصعوبات التي مازالت تضع هذه التقنية محل بحث مكثف في وقتنا الحاضر.

 

الكاتب ayman

ayman

مواضيع متعلقة

اترك رداً