رادار تكنولوژي

تشخیص نفوذ باهوش و کم‌ریسک؛ الهام‌گرفته از مهندسی اعتمادپذیری سرورها!

Fall Back
  • ۲۳ مهر ۱۴۰۴

بیا یه موضوع خفن درباره امنیت شبکه رو با هم قشنگ و خودمونی باز کنیم! اگه اهل تکنولوژی و سرور و امنیت باشی، حتماً اسم تشخیص نفوذ یا همون Intrusion Detection به گوشت خورده. معمولاً سیستم‌ها باید با کلی تهدید و حمله‌ی مختلف، مخصوصاً وقتی دائم دارن داده جدید دریافت می‌کنن (اصطلاحاً Streaming Data)، سر و کله بزنن. حالا چند تا مغز خلاق اومدن یه راه حل علمی و کاربردی براش ساختن که کلی توی دقت و کم کردن هزینه‌های اشتباه تاثیر داره!

🔸 ماجرا چیه؟
اصل قضیه درباره یه روش جدیده برای تشخیص نفوذ در سیستم‌هایی که مدام داده میاد روشون. این روش اسمش رو گذاشتن “ریسک-کالیبره شده” (Risk-Calibrated). میخواد چه کار کنه؟ با اینکه تشخیص بده کی اتفاق مشکوک افتاده، اما با توجه به بودجه خطا (یعنی اینکه چقدر می‌تونی تو هر ماه/سال خراب‌کاری یا قطعی سرور داشته باشی) تصمیم می‌گیره هشدار بده یا نه.

🔸 پایه‌ی روشی که استفاده کردن چیه؟
یه الگوریتم استفاده کردن به اسم BOCPD؛ یعنی Bayesian Online Changepoint Detection. این مدل مثل یه سیستم باهوشه که هر لحظه رو نسبت به گذشته می‌سنجه و می‌گه “تا حالا چی عوض شده؟” مثلاً اگه ناگهان الگوی داده‌ها تغییر کنه (که بهش Distribution Shift یا Concept Drift می‌گن، یعنی همون تغییرات غیرمنتظره در رفتار یا داده)، سریع می‌فهمه و خودش رو وفق می‌ده.

🔸 تصمیم‌گیری‌ها چطور انجام میشن؟
اینجا دانش مهندسی اعتمادپذیری سرورها (SRE یا همون Site Reliability Engineering) رو آوردن وسط. SRE یعنی رویکردهایی برای مدیریت، کنترل و کاهش خطاها توی زیرساخت‌های سرور. مثلاً فرض کن یه شرکت سرویس آنلاین بزرگ داره و فقط ماهی ۴۳.۲ دقیقه حق داره سرویس‌اش قطع یا مختل باشه (این محدودیت رو SLO می‌گن یعنی Service Level Objective). حالا باید شک کنه هر اتفاق مشکوکی رو هشدار بده یا نه، چون هم اگه الکی هشدار بده دردسر درست میشه (False Positive)، هم اگه اتفاق واقعی رو نخواد قبول کنه و رد کنه (False Negative)، ضرر بدی می‌کنه.

🔸 اینجا چیکار کردن؟
اومدن احتمال‌ها رو با ریسک هر اتفاق متعادل کردن. مثلاً فرض گرفتن اگه یه حمله واقعی رو رد کنیم (Miss یا False Negative)، ۱۰ برابر از هشدار الکی دادن ضرر داره. پس سطح آلارم‌دهی رو جوری تنظیم کردن که بره سمت مواردی که واقعاً ارزش دارن. مثلاً با اون ۴۳.۲ دقیقه بودجه خطا در ماه، آستانه‌ی تصمیم رو بردن روی ۰.۹۱ (یعنی باید خیلی مطمئن باشه که این واقعا حمله‌س تا هشدار بده).

🔸 روش اجراش سریع و بهینه‌ست
تو مقاله توضیح داده شده که طوری الگوریتم رو نوشتن که برای هر رویداد فقط O(1) زمان می‌بره، یعنی هر چقدر داده داشته باشی، سرعت عملکردش خیلی خوب باقی می‌مونه.

🔸 مقایسه با بقیه روش‌ها
روششون رو روی دو تا دیتاست معروف امنیتی آزمایش کردن: UNSW-NB15 و CIC-IDS2017، که دوتا مجموعه بزرگ از حملات و اتفاقات شبکه‌ن. بعد اومدن با روش‌های بدون نظارت (یعنی اونایی که نیاز به برچسب ندارن) مثل ECOD، COPOD و LOF مقایسه کردن. نتایج بر اساس معیارهایی مثل PR-AUC و ROC-AUC (یعنی دقت نسبت به گرفتن موارد واقعی و رد کردن هشدار الکی)، Brier score (برای سنجش دقت پیش‌بینی احتمال)، و همچنین سنجش مدت تا کشف حمله (Detection Latency) بررسی شده.

🔸 نتایج چی شد؟
این رویکرد تونسته تو! وسط و بالای محدوده یادآوری (Recall)، دقت پرسیژن بهتری نشون بده و پیش‌بینی‌ها و هشدارهاش نسبت به بقیه مدل‌ها، درست‌تر و مطمئن‌تر باشن. خلاصه هم زودتر حمله رو پیدا کرده، هم احتمال اینکه اشتباه کنه کمتر شده.

🔸 جزئیات کد و داده‌ها
نویسنده‌ها قول دادن موقع انتشار مقاله کدش رو هم بدن و راه بازتولیدش رو شفاف بذارن (یعنی Reproducibility، امکان اینکه بقیه دانشمندا یا علاقه‌مندان بیان دوباره همین نتایج رو خودشون چک کنن). دیتاست و کد الان از طریق نویسنده‌ها هم میشه گرفت اگه لازم داشتی!

پس اگه دنبال یه ابزار کارآمد و کم‌هزینه برای تشخیص حمله تو دیتای جاری هستی که تصمیماتش طبق قوانین واقعی اداره سرورها باشه، این کار رو جدی بگیر!

منبع: +