تحلیل خط مبنا یا Baseline Analysis در مرکز عملیات امنیت (SOC)، فرآیندِ شناخت و تعریف «رفتار عادی» سیستمها، شبکه و کاربران است تا بتوان هرگونه انحراف (Deviation) از این وضعیت عادی را به عنوان یک رفتار مشکوک یا ناهنجاری (Anomaly) شناسایی کرد.
به زبان ساده: تا ندانید «نرمال» چیست، نمیتوانید بفهمید چه چیزی «غیرنرمال» است.
در ادامه این مفهوم را با جزئیات فنی و کاربردی بررسی میکنیم:
۱. چرا به Baseline Analysis نیاز داریم؟ (مشکل روشهای سنتی)
روشهای قدیمی تشخیص تهدید (مانند آنتیویروسهای سنتی یا IDSهای مبتنی بر امضا)، بر اساس Signature کار میکنند. یعنی دنبال الگوهای شناخته شدهی بد (مثل هش یک ویروس) میگردند.
اما اگر یک هکر با نام کاربری و رمز عبور معتبر وارد شود و شروع به کپی کردن اطلاعات کند، هیچ Signatureای وجود ندارد که این را بگیرد، چون همه چیز قانونی به نظر میرسد.
اینجاست که Baseline Analysis وارد میشود. این روش نمیپرسد “آیا این فایل ویروس است؟”؛ بلکه میپرسد:
“آیا نرمال است که آقای احمدی (کارمند حسابداری) در ساعت ۳ بامداد، ۵ گیگابایت اطلاعات را به یک سرور در آلمان بفرستد؟”
۲. سه رکن اصلی Baseline در SOC
تحلیل خط مبنا معمولاً در سه سطح انجام میشود:
الف) خط مبنای شبکه (Network Baseline)
حجم ترافیک: سرور دیتابیس معمولاً روزانه ۱۰ گیگابایت آپلود دارد. اگر ناگهان ۱۰۰ گیگابایت شود : هشدار.
پروتکلها: این بخش از شبکه فقط باید ترافیک HTTP و DNS داشته باشد. دیدن ترافیک FTP یا RDP : هشدار.
زمانبندی: بکاپگیری فقط ساعت ۲ تا ۴ صبح است. ترافیک سنگین در ساعت ۱۰ صبح : هشدار.
ب) خط مبنای کاربر (User Baseline) - مرتبط با UEBA
زمان لاگین: کاربر همیشه بین ۸ تا ۱۷ کار میکند. لاگین در ساعت ۲۳ : هشدار.
موقعیت جغرافیایی: کاربر همیشه از تهران وصل میشود. اتصال از نیجریه : هشدار.
دسترسیها: کاربر همیشه فایلهای Word را باز میکند. دسترسی ناگهانی به فایلهای سیستمی یا دیتابیس : هشدار.
ج) خط مبنای سیستم/اندپوینت (System Baseline)
مصرف منابع: CPU سرور وب همیشه روی ۲۰٪ است. پرش ناگهانی به ۹۰٪ بدون افزایش بازدید (احتمال ماینر یا باجافزار) : هشدار.
فرآیندها (Processes): روی سرور ایمیل فقط سرویسهای Exchange باید اجرا شوند. اجرای Powershell.exe توسط یک سرویس ناشناس : هشدار.
۳. فرآیند ایجاد و استفاده از Baseline
این چرخه معمولاً توسط ابزارهای SIEM پیشرفته یا UEBA (تحلیل رفتار کاربر و موجودیت) انجام میشود:
Learning Mode (فاز یادگیری): سیستم برای مدتی (مثلاً ۳۰ روز) فقط لاگها را جمع میکند و الگوها را یاد میگیرد. میانگینها و انحراف معیارها محاسبه میشوند.
Profiling (پروفایلسازی): برای هر موجودیت (کاربر یا سرور) یک پروفایل ساخته میشود (مثلاً: “علی = کارمند اداری، ساعت کار ۸-۱۶، حجم دانلود کم”).
Detection (تشخیص): دادههای زنده با پروفایل مقایسه میشوند.
Tuning (تنظیم): اگر رفتار سازمان تغییر کند (مثلاً پروژه جدیدی شروع شود)، خط مبنا باید بهروز شود تا هشدارهای اشتباه (False Positive) کاهش یابد.
۴. مثال واقعی از شکار تهدید با Baseline Analysis
فرض کنید هکری موفق شده است وارد شبکه شود و میخواهد Lateral Movement (حرکت جانبی) انجام دهد.
روش سنتی: هیچ بدافزاری استفاده نکرده، پس آنتیویروس ساکت است. از ابزار خود ویندوز (مثل WMI یا PowerShell) استفاده میکند.
روش Baseline:
سیستم مانیتورینگ میبیند که کامپیوتر “منشی” (که همیشه فقط به سرور پرینتر وصل میشده)، ناگهان سعی میکند به ۴۰ تا کامپیوتر دیگر در شبکه پکت بفرستد (Network Scanning).
این رفتار با “Baseline تاریخی” کامپیوتر منشی در تضاد است.
SOC بلافاصله هشدار Anomaly Detection دریافت میکند.
۵. چالشهای Baseline Analysis
خط مبنای آلوده (Polluted Baseline): اگر در زمان یادگیری (Learning Mode)، هکر داخل شبکه باشد، سیستم رفتار هکر را به عنوان “رفتار نرمال” یاد میگیرد!
تغییرات دینامیک: در سازمانهای چابک، رفتارها مدام عوض میشوند. اگر Baseline به صورت پویا (Dynamic) آپدیت نشود، SOC غرق در هشدارهای غلط میشود.
حساسیت (Thresholds): تعیین مرز هشدار سخت است. اگر خیلی حساس باشد، نویز زیاد میشود؛ اگر کمحساس باشد، تهدیدات را نمیبیند.
خلاصه
Baseline Analysis یعنی تبدیل دانش “رفتار گذشته” به قدرت “تشخیص آینده”. این تکنیک به SOC اجازه میدهد تهدیدات ناشناخته (Unknown Unknowns)، حملات داخلی (Insider Threats) و سوءاستفاده از دسترسیهای مجاز را شناسایی کند.
