سامان سلمان زاده
سامان سلمان زاده
خواندن ۵ دقیقه·۱ سال پیش

کاربرد نظریه بازی ها در سیستم های تشخیص نفوذ(IDS)

با گسترش روز به روز شبکه و اپلیکیشن های تحت وب و همچنین اپلیکیشن های خاص منظوره برای سازمان های بخصوص بحث امنیت این سیستم ها هم روز به روز اهمیت ویژه ای پیدا کرده است یکی از سیستم های امنیتی که به ما در شناخت رفتار های مشکوک و دفع حملات احتمالی کمک بسیاری می کند سیستم های IDS یا Intrusion Detection Systems هستند.

این سیستم ها با مانیتور کردن رفتار درون سیستم ما و هشدار به ما در رابطه با خطرهای احتمالی و پترن های خارج از نرم آگاه می کند و در بهبود و رفع حفره های امنیتی کمک زیادی به ما می کنند و امروزه یکی از ارکان الزامی در معماری امنیتی یک سازمان می باشند.

به کمک Game Theory ما می توانیم سیستم خود را توسط یک بازی مدل سازی کنیم. به طوریکه attacker و defender دو بازیکن بازی ما هستند که قصد دارند payoff خود را ماکسیمم کنند و payoff حریف را به حداقل برسانند. ما با مدل سازی سناریو های مختلف با بازی های مختلف می توانیم سیستم IDS خود را بهبود ببخشیم و با مدل سازی اتک ها ضعف های خود را رفع کنیم.

در ادامه با چند مدل سازی Game Theoretic سیستم های تشخیص نفوذ آشنا خواهیم شد:

  • بازی های Stackelberg:

در این مدل بازی ها بازیکن اول یعنی defender حرکت اول را انجام می دهد و منتظر حرکت مهاجم می ماند

در مدل سازی این بازی فکتور هایی مثل منابع بازیکن اول در نظر گرفته می شود و استراتژی های بازیکن اول می تواند اعمال کردن security measure های متفاوت یا کانفیگ های امنیتی متفاوت و حتی تخصیص منابع امنیتی مختلف به بخش های مختلف سیستم باشد.

مهاجم با بررسی تصمیم بازیکن اول استراتژی خود را یعنی انواع حمله های مختلف را طراحی کرده و best response خود را می دهد.

با حل کردن بازی optimal strategy هر بازیکن بدست می آید که اینکار با backward induction یا روش های دیگر قابل انجام است.

بعد از بدست آمدن optimal strategy مهاجم حمله مدلسازی می شود و cost و vulnerability سیستم سنجیده می شود و می توان طبق best response او سیستم را بهبود بخشید و قوی تر کرد.

  • بازی های بیزی:

این بازی ها کاربرد زیادی در Anomaly based IDS ها دارند از این جهت که المان احتمال فاکتور مهمی در تحلیل این IDS ها است. در رفتار های مشکوکی که تشخیص آن ها به سادگی امکان پذیر نیست استفاده از مدل سازی این بازی ها کمک بسیاری به ما خواهد کرد.

در این بازی استراتژی های مهاجم انجام حمله یا عدم انجام حمله است و استراتژی های مدافع اعمال security measure های مختلف یا عدم اعمال آنهاست و payoff بازیکنان با توجه به موفقیت حمله تعیین می شود.

به دلیل اینکه رفتار مهاجم قابل تشخیص نیست با استفاده از یکسری prior belief یک توزیع احتمال روی نوع بازیکن اعمال می شود و با استفاده از ‌Bayesian inference این توزیع احتمال با پیش رفتن بازی و کسب اطلاعات بیشتر آپدیت می شود.

این بازی به صورت repeated انجام می شود که به ما کمک می کند روند طبیعی سناریو های امنیتی را به طور دقیق تری مدل کنیم و طبق آن تصمیم گیری موثرتری داشته باشیم.

  • بازی های تکاملی:

در این بازی های با استفاده از الگوریتم های تکاملی استراتژی های ممکن برای بازیکنان تولید می شود و استراتژی ها در مقابل هم سنجیده می شوند و استراتژی های dominant برنده می شوند و از آن ها استراتژی های جدیدی تکامل پیدا کرده و ساخته می شود که در مرحله بعد به همین صورت در مقابل هم سنجیده شوند در نهایت استراتژی های به یک نقطه converge کرده و این فرایند terminate می شود.

شبکه های عصبی( GAN(Generative Adversarial Networks کاربرد زیادی در تولید این استراتژی ها دارند.

با آنالیز کردن این فرایند فرضا آنالیز فرکانس تکرار یک سری استراتژی در هر iteration از این فرایند می توانیم دید خیلی خوبی از عملکرد سیستم خود و نقاط ضعف آن پیدا کنیم.

با بررسی نتایج بدست آمده می توانیم با تغییر معماری امنیتی یا تخصیص منابع efficient تر سیستم خود را ارتقا دهیم.

مزایا استفاده از Game Theory در سیستم های تشخیص نفوذ:

استفاده از این تکنیک ها می تواند به سیستم ما این قابلیت را بدهد تا به صورت دینامیک و با عوض شدن پترن

های رفتاری خود را Adapt کند و بهترین تصمیم را بگیرد و به تصمیم گیری مناسب تر در مقابل حمله های

احتمالی بیانجامد.

همچنین این روش ها می توانند در تخصیص منابع کمک زیادی به ما کنند تا بتوانیم منابع در اختیارمان از جمله هزینه - سخت افزار - نرم افزار و … را بهتر مدیریت و به بخش هایی که نیاز بیشتری به آن ها دارند و با توجه به Cost و حساسیت Allocate کنیم.

چالش های استفاده از Game Theory:

  • اطلاعات کم یا ناقص: جمع آوری اطلاعات مفید, کامل و به موقع از مهاجم کار دشواری است و با اطلاعات نا کافی عمل کرد سیستم های تشخیص نفوذ بر پایه نظریه بازی ضعیف می شود.
  • پیچیدگی محاسبات: تحلیل بازی های بزرگ پیچیدگی محاسبات به همراه دارد و ریسپانس به موقع و real-time به تهدید با وجود محاسبات سنگین دشوار می شود. استفاده از الگوریتم های بهینه و optimize شده تاثیر بسزایی در عملکرد سیستم دارد.
  • محیط ناپایدار: امنیت سایبری روز به روز تکامل پیدا کرده و حمله ها و حفره های جدید ایجاد می شوند که این کار را برای تحلیل و مدل سازی آن ها دشوار می کند. آپدیت های روزانه و مانیتورینگ دائمی کمک بسیاری برای رفع این مشکل می کند.

استفاده از Game Theory انقلابی در طراحی سیستم های امنیتی بخصوص سیستم های IDS ایجاد کرده است. مدل سازی و تحلیل استراتژی های حمله و دفاع یک سیستم می توان ریسپانس امنیتی دقیق تر , به موقع و دینامیک را به همراه داشته باشد.

در حال حاضر تحقیق و توسعه زیادی در این فیلد در حال انجام است و منجر به سیستم های امنیتی بهتر و efficient تری می شود.

سیستم‌های تشخیص نفوذgame theorycyber securityids
شاید از این پست‌ها خوشتان بیاید