کد مقاله : 202005071372 بازدید : 11539 صفحه: 47 - 60

نوع مقاله: پژوهشی

ارائه مدلی جهت استفاده ازعاملهای متحرک در سیستم های تشخیص نفوذ توزیع شده مبتنی بر تئوری بازی

محورهای موضوعی : فناوری اطلاعات و ارتباطات

امین نظارات ¹ , مهدی رجا ² , غلامحسین دستغیبی فرد ³

1 -
2 - دانشگاه شیراز
3 -

تاریخ دریافت : 1392/08/01 تاریخ انتشار : 1398/08/17

کلید واژه: عاملهای متحرک , IDS, تئوری بازی , سیستم چند عاملی , تعادل نش , مقدار شیپلی , امنیت شبکه,

چکیده مقاله :

سیستم های تشخیص نفوذ در شبکه ، ابزارهایی هستند که به منظور محافظت از منابع شبکه در مقابل حملات استفاده می شوند. با توجه به گستردگی حملات در فضای اینترنت و تغییر در شکل و نوع حملات از حالت متمرکز به توزیع شده ، معماری اینگونه سیستم ها نیز به سمت توزیع شدگی حرکت می کند. در این مقاله روشی مبتنی برعاملهای متحرک که به عنوان سنسورهای تشخیص دهنده حرکات غیر معتبر عمل می کنند پیشنهاد شده است. عاملهای متحرک تشخیص دهنده حمله به صورت پراکنده در شبکه در حال جابجایی از یک گره به گره دیگر می باشند و در هر زمان یک شبکه فوقانی امنیتی را ساخته و با استفاده از نوعی بازی همکارانه و برقراری ارتباط با یکدیگر ، پس از رسیدن به مقدار شیپلی می توانند میزان و منشاء حمله را تشخیص و گزارش دهند. در این مقاله روشی پیشنهاد شده است که WGA در یک بازی غیرهمکارانه با عنصر مهاجم سعی در برقراری یک ارتباط مکاشفه ای جهت محاسبه مقدار نش و رسیدن به حداکثر سودمندی را دارد تا بتواند ضمن تفکیک حملات و یا درخواستهای واقعی،میزان و شدت حمله را با کمک سایر WGA بدست آورد.

چکیده انگلیسی:

The proposed framework applies two game theoretic models for economic deployment of intrusion detection system (IDS). The first scheme models and analyzes the interaction behaviors of between an attacker and intrusion detection agent within a non-cooperative game, and then the security risk value is derived from the mixed strategy Nash equilibrium. The second scheme uses the security risk value to compute the Shapley value of intrusion detection agent under the various threat levels. Therefore, the fair agent allocation creates a minimum set of IDS deployment costs. Numerical examples show that the network administrator can quantitatively evaluate the security risk of each intrusion detection agent and easily select the most effective IDS agent deployment to meet the various threat levels.

منابع و مأخذ:

متن کامل:

فصلنامه علمي- پژوهشي

فناوري اطلاعات و ارتباطات ایران

سال هشتم، شماره‌هاي27 و 28، بهار و تابستان 1395

60-47:صص

$E:\E Drive\logo\iicta Logo0.JPG$

ارائه مدلی جهت استفاده ازعاملهای متحرک در سیستمهای تشخیص نفوذ توزیع شده مبتنی بر تئوری بازی

*امین نظارات ** مهدی رجا *** غلامحسین دستغیبیفرد

* استادیار، گروه کامپیوتر و فناوری اطلاعات، دانشگاه پیام نور، ایران

** بخش مهندسی و علوم کامپیوتر، دانشگاه شیراز

*** دانشیار، بخش مهندسی و علوم کامپیوتر، دانشگاه شیراز

تاریخ دریافت: 01/08/92 تاریخ پذیرش: 23/08/95

چکیده

سیستمهای تشخیص نفوذ در شبکه، ابزارهایی هستند که به منظور محافظت از منابع شبکه در مقابل حملات استفاده میشوند. با توجه به گستردگی حملات در فضای اینترنت و تغییر در شکل و نوع حملات از حالت متمرکز به توزیع شده، معماری اینگونه سیستمها نیز به سمت توزیعشدگی حرکت میکند. در این مقاله روشی مبتنی برعاملهای متحرک که به عنوان سنسورهای تشخیصدهنده حرکات غیر معتبر عمل میکنند پیشنهاد شده است. عاملهای متحرک تشخیصدهنده حمله ¹به صورت پراکنده در شبکه در حال جابجایی از یک گره به گره دیگر میباشند و در هر زمان یک شبکه فوقانی ² امنیتی را ساخته و با استفاده از نوعی بازی همکارانه و برقراری ارتباط با یکدیگر، پس از رسیدن به مقدار شیپلی میتوانند میزان و منشاء حمله را تشخیص و گزارش دهند. در این مقاله روشی پیشنهاد شده است که WGA در یک بازی غیرهمکارانه با عنصر مهاجم سعی در برقراری یک ارتباط مکاشفهای جهت محاسبه مقدار نش و رسیدن به حداکثر سودمندی را دارد تا بتواند ضمن تفکیک حملات و یا درخواستهای واقعی، میزان و شدت حمله را با کمک سایر WGA بدست آورد.

واژههای کلیدی : عاملهای متحرک، IDS، تئوری بازی، سیستم چند عاملی، تعادل نش، مقدار شیپلی، امنیت شبکه

نویسنده عهدهدار مکاتبات: امین نظارت aminnezarat@pnu.ac.ir

[1] White Globule Agents

[2] Overlay Network

1- مقدمه

حملات و آسیبپذیری شبکههای کامپیوتری روز به روز چه از بعد پیچیدگی و چه تکنولوژی در حال گسترش میباشند. تا جایی که بعضی از این حملات به راحتی شرکتهای تجارت الکترونیکی را از گردونه تجارت خارج میکنند. سیستمهای تشخیص نفوذ میبایستی بتوانند در کاهش آسیبها و حملات به شبکهها پیشنهادات مناسبی را ارائه نمایند. برای رسیدن به این هدف سازمانها و موسسات تجاری و دولتی اقدام به تاسیس مراکز عملیات امنیت جهت آنالیز و رصد گزارشات و حوادث نفوذ
نمودهاند.

به عنوان مثال یکی از ابزارهای امنیتی شرکتSymantec با عنوانThreat con warning sys با اندازهگیری میزان آسیبپذیری شبکه درجه آنرا به مدیر شبکه گزارش میدهد [1] و مدیر شبکه میتواند براساس درجه
آسیبپذیری، تمهیدات لازم را در نظر بگیرد. البته این سیستم از یک ساختار اندازهگیری دقیق استفاده میکند و معیارهای آن مبتنی بر روشهای ریاضی و محاسباتی نیست، که این امر میتواند مدیر شبکه را به اشتباه اندازد. علاوه بر این اندازهگیری مربوط مبتنی بر پایش دادههای رد و بدل شده بین حملهکننده و دفاعکننده نیست.

سیستم های تشخیص نفوذ اخیر را می توان به دو گروه تقسیم بندی کرد [2]:

1-واکنشی (Reactive) (مبتنی بر تشخیص تمضا یا مجوز جهت اجازه ورود یا خروج)

2- کنشی (Proactive) (سرویسهای فوقانی امن، شبکه proxy و ...)

سرویسهای فوقانی امن ¹ دارای معماری هستند که برای جلوگیری از حملات و ایجاد آمادگی قبلی در مقابل حملات توزیع شده DOS استفاده میشود. اما روشی که در این معماری برای برقراری ارتباط با گره ها استفاده میشود مبتنی بر ارتباط دائمی است که سربارزیادی را بر روی شبکه تحمیل مینماید و این موضوع مانعی است در مقابل گسترش بیشتر معماری [3].اگرچه روش کنشی بسیارکاراتر از مدل واکنشی است اما هنوز مسائل زیادی در پیادهسازی کارایی در این معماری باقی مانده است.

سیستمهای IDS متمرکز بسیار مستعد خطای تک نقطه ² هستند و میتوانند توسط مهاجمین کشف و مورد تهاجم قرار گیرند. برای حل این مشکل میتوان از تعداد بیشتری IDS استفاده کرد تا بتوان میزان حملات تشخیص داده نشده را کاهش داد. که البته این مسئله مستلزم پرداخت هزینه بیشتر میباشد.

قدرت یک سیستم تشخیص نفوذ در ایجاد یک تعادل بین تعداد مدافعان و میزان تشخیصهای خطا یا عدم تشخیصها میباشد. به همین منظور جهت مدل کردن حملات برای اندازهگیری درجه ریسک امنیتی (تهدید یک حمله) و کمک به تصیمگیری در پاسخ مناسب به حملات ضروری به نظر میرسد که از یک روش توزیعشده تشخیص نفوذ بهره گرفته شود. عاملهای متحرک میتوانند به عنوان مدافعانی در گرههای شبکه در نظر گرفته شوند که به صورت خود مختار بین گرهها جابجا شوند و مجموعهای از آنها تشکیل یک شبکه فوقانی از یک سیستم چند عامله را میدهند. هر عامل متحرک میتواند به منظور ایجاد درک بهتر از یک حمله امنیتی و تشخیص میزان خطر آن وارد یک تعامل با حملهکننده شود.

به منظور افزایش دقت در تصمیمگیری و کشف حمله
میتوان از تئوری بازیها در تعامل عامل تشخیصدهنده و مهاجم استفاده کرد. سپس هر یک عاملهای تشخیصدهنده میتوانند در یک بازی دیگر به منظور بررسی میزان دقت نتیجه حاصله وارد یک مذاکره ³ با سایر عاملهای درون شبکه فوقانی شوند. این بازی از نوع بازیهای همکارانه جهت رسیدن به یک توافق در خصوص میزان درجه ریسک امنیتی ⁴حمله مربوطه میباشد.

در بازی اول که بین عامل متحرک WGA به عنوان مدافع و یک مهاجـم صورت میگیرد، یک تعامل دوطـرفه

برقرار میشود که یک بازی از نوع غیرهمکارانه دونفره میباشد. هر دوطرف بازی به دنبال بیشینه کردن منافع و سودمندی خود میباشند. حملهکننده قصد نفوذ به شبکه و تخریب یا جمعآوری اطلاعات را دارد و مدافع نیز قصد مقابله و کشف تعدا بیشتری حملات به شبکه را دارد. هردو بازیکن دارای یک تابع سودمندی⁵ هستند که در یک نقطه به تعادل کنش خواهند رسید که در آن نقطه هر دو بازیکن، نوعی از بازی خودرا که در آن تمایل به تغییر بازی ندارند را انجام میدهند. در این نقطه عامل متحرک مدافع به مقداری خواهد رسید که آن مقدار درجه امنیتی حمله را مشخص مینماید.

برای اطمینان از اینکه حملهای صورت گرفته است یا خیر و جلوگیری از ارسال هشدارهای اشتباه در بازی دیگری از نوع همکارانه با سایر عاملهای مدافع در محیط چند عاملی اقدام به مذاکره مینماید. در این بازی عاملها میتوانند جهت جلوگیری از ایجاد سربار در شبکه به صورت گروههای چند نفره تشکیل ائتلاف دهند. در هر ائتلافکه با موضوع یک حمله تشکیل میشود عاملها پس از مذاکره به یک مقدار تفاهمی مشترک به نام مقدار شیپلی⁶
میرسند که این مقدار درجه نهایی امنیت شبکه و نوع تصمیم در مقابل حمله صورت گرفته را مشخص مینماید. با توجه به عدد بدست آمده میتوان شدت و میزان برخورد را مشخص نمود.

2- شبکه فوقانی چند عامله ⁷

نوع توزیع عاملهای متحرک و نحوه قرارگیری آنها در هر زمان برای تحت پوشش قرار دادن بخش عمدهای از شبکه، یکی از مسائل مهم در تشکیل شبکه فوقانی و از عوامل تاثیرگذار در تصمیم هر عامل برای جابجایی در شبکه است.

به عنوان مثال: در شکل 1 فرض شده که یک مهاجم قصد ارسال یک بسته از میزبان α (مهاجم) به میزبان t (مقصد) را دارد و یک شبکه فوقانی چند عاملی از گرههای MA={MA1, MA2,…. , MA2} تشکیل شده است. هر یک از این گرهها میزبان یک عامل سیار است. این عاملها بایستی در هر لحظه به نحوی در گرههای شبکه قرار گیرند که حداکثر پوشش امنیتی برقرار باشد و با توجه به سیار بودن آنها، حیطه حرکت عامل محافظ میبایست به نحوی باشد که تجمع عاملها و یا خلا در شبکه بوجود نیاید. به همین دلیل و به منظور کاهش نرخ تشخیص خطا، افزایش نرخ تشخیص و کاهش مصرف پهنای باند شبکه، بایستی عواملی از جمله تعداد عاملهای محافظ، محیط تحت پوشش هر یک و درجه حساسیت امنیتی آنها مشخص و در طی زمان اصلاح و اعلام گردد. در این تحقیق به منظور افزایش مراقبت از شبکه و مقابله با مهاجمان معماری جهت شبکه فوقانی و مدیریت حرکت عاملها و همچنین بازی امنیتی جهت رسیدن به درجه حساسیت عامل (مقدار شیپلی) مورد بررسی و پیشنهاد قرار گرفته شده است [4].

شکل 1: شبکه فوقانی

3- معماری مدل پیشنهادی سیستم چند عاملی محافظ

نظر به گستردگی شبکههای کامپیوتری و افزایش حجم مبادلات و ارتباطات درون شبکهها و افزایش بار آنها، ایجاد ارتباطات دائمی و نگهداری آنها میتواند باعث افزایش سربار شبکه و ایجاد اختلال در کار اصلی نرمافزارهای موسسات گردد. سیستمهای امنیتی و نظارتی بایستی بتوانند با کمترین اختلال در شبکه و حداقل سربارکاری به وظایف خود عمل نمایند.

یکی از انواع عاملها، نوع سیار آنها میباشد. یک عامل سیار، نوعی نرمافزار خود مختار، کنشی و متحرک میباشد که میتواند با جابجایی درون شبکه و بدون نیاز به کنترل مستمر توسط سرور اصلی، اقدام به انجام وظایف خود اعم از جمعآوری اطلاعات، مقابله با حملات، خرید و فروش یا مذاکره با سایر عاملها نماید و سپس نتایج حاصله را به اطلاع سرور فرستنده عامل برساند بدون اینکه نیاز به بازگشت به سرور و اشغال پهنای باند داشته باشد و یا حتی نیاز به ارسال کلیه اطلاعات داشته باشد [5].

امروزه کاربردهای فراوانی از سیستمهای مبتنی بر عاملها وجود دارد. عامل ها میتوانند با تشکیل اجتماعات چند عاملی و برقراری ارتباطات همافزا با یکدیگربه نتایج بسیار سریع و با کمترین دخالت انسانی برسند. عاملها همچنین میتوانند یاد گرفته و تغییر شکل دهند و استراتژی اولیه را بهبود بخشند. در این مقاله از خصوصیت مذاکره عاملها استفاده شده و معماری پیشنهادی ارائه شده است.

به منظور جلوگیری از بزرگ شدن عاملها و درگیر شدن آنها در بررسی بستههای شبکههای کامپیوتری در این تحقیق از یکی ازIDS های شناخته شده و Open source به نام SNORT استفاده شده است [6]. SNORT یک IDS خوب و پرکاربرد میباشد که با بررسی بستههای شبکه و مطابقت آنها با سناریوهای حمله موجود در بانک دانش خود میتواند حملات را تشخیص دهد و پیام هشدار مناسب را ارائه نماید. اما همانگونه که قبلا" نیز اشاره شد این سیستم یک IDS مرکزی است و برای اینکه بتواند مجموعهای از حملات به گرههای مختلف شبکه را تشخیص دهد میبایستی در نقاط مختلف شبکه نصب شده و همچنین امکان برقراری ارتباط با یکدیگر را نیز داشته باشند. در حال حاضر این سیستم از چنین قابلیتی برخوردار نمیباشد و برای تحقق این امر بایستی تمامی logهای حملات به سایر IDS مرکزی منتقل و ادغام کرده تا بتوان کل حمله را به درستی تشخیص داد. که در حال حاضرچنین امکانی وجود ندارد.

در مدل پیشنهادی که ترکیبی است از عاملهای متحرک، از یک سرور مرکزی به منظور تولید عاملها استفاده
میشود. در اینجا از مدل دفاعی بدون الهام گرفته شده است. تعدادی عامل متحرک به عنوان گلبولهای سفید در گرههای شبکه مستقر شده و در زمانهای خاصی جابجا میشوند. ترکیب سرور شامل اجزاء زیر است:

- کارخانه تولید عاملهای گلبولهای سفید⁸

- کارخانه تولید عاملهای خنثی کننده⁹

- SNORT

- پایگاه دانش حملات¹⁰

- کارخانه تولید عاملهای گلبول سفید

این عامل وظیفه تولید عاملهای جدید مدافع را برعهده دارد. در ابتدای شروع به کار سیستم تعدادی محل WGA هایی که بایستی تولید شوند از قبل توسط مدیر شبکه تعیین میشوند و این عامل پس از تولید هر WGA آنرا به گرهای از شبکه ارسال میکند. نوع حرکت عامل WGA به گرههای شبکه از نوع
جابجاییپذیری قوی¹¹ میباشد و در هر زمان وضعیت کلیه وقایع قبلی و نتیجه حاصله از آنها را به همراه دارد. هر عامل WGA به صورت دورهای با این عامل ارتباط برقرار میکند و گزارشی از مشاهدات خود را اعلام مینماید. در هر لحظه این عامل می داند که هر WGAکجاست. تفاوت WGA های تولید شده در این عامل این است که یک عامل WGA به همراه خود خلاصه ای از سناریوهای انواع حملات در شبکه ها را دارد و با کمک ابزار تشخیص نفوذ

SNORT ، رفتارهای مشکوک در شبکه را شناسایی
میکند. پس از شناسایی یک رفتار مشکوک با سایر عاملهای WGA مذاکره کرده و دانش خود را تکمیل یا تصحیح می نماید. این عامل از چندین عامل دیگر تشکیل شده است که هر یک وظیفه ای را بر عهده دارند:

عامل AMS ¹²: مدیر اصلی عاملهاست و به هر عامل یک شماره اختصاصی انتساب می دهد. وظیفه ایجاد، حذف، جابجایی و ... عاملها را بر عهده دارد.

عامل DF ¹³: این عامل اطلاعات کاملی از کلیه عاملهای ایجاد شده و در حال اجرا را در اختیار دارد. نام عامل، محل عامل ، مشخصات و تاریخچه آن را می داند. زمانی که یکی از عاملهای WGA قصد برقراری ارتباط با سایر عاملها را داشته باشد، درخواست خود را به این عامل ارسال مینماید.

- کارخانه تولید عاملهای خنثیکننده (LAF)

یکی از وظایف سیستمهای تشخیص نفوذ، جمعآوری اطلاعات و شناسایی حملات جهت گزارشدهی به
سیستمهای مقابله با حمله یا IDS ها میباشد. در این مدل نوعی عامل در نظر گرفته شده است که وظیفه مقابله با حملات و از بین بردن حملهکننده را بر عهده دارد. پس از شناسایی و تایید یک حمله توسط ائتلافی از WGA گزارشی به WGAF ارسال میشود که درجه ریسک امنیتی این حمله را مشخص مینماید.

WGAF نیز با استفاده از درجه امنیتی، تقاضایی را برای این عامل ارسال مینماید و عامل مذکور بر همین اساس تعداد عاملهای LA و محلهایی که بایستی ارسال شوند را

تشخیص میدهد.

-SNORT : یک ابزار متن باز IDS میباشد که با بررسی بستههای رد و بدل شده در شبکه و Sniff کردن

شبکه امکان اعمال قوانینی را به کاربر میدهد. در این ابزار از تعدادی قانون جهت شناسایی حملات استفاده میشود و زمانی که سناریوی موجود در قوانین محقق شود عکسالعمل مناسب را نشان میدهد. در این مقاله از SNORT جهت مطابقت سناریو با بستههای شبکه استفاده شده است.

پایگاه دانش حملات: در این پایگاه دانش سناریوهای مربوط به حملات امنیتی در شبکه درج شده است تا هر عامل WGA بداند که در زمان بروز یک تهدید امنیتی (که با خواندنLog فایل SNORT قابل تشخیص است) چه اقدامی را انجام دهد. از آنجا که یک عامل WGAبایستی در زمانی که یک تهدید را حس میکند اقدام به تعامل با حملهکننده نماید، با استفاده از این دانش درون این پایگاه میداند که در مرحله بعدی چه عملی را بایستی انجام دهد تا حملهکننده قسمت بعدی حمله را به اجرا گذارد، لذا با شبیهسازی یک آسیبپذیری میتواند تهدید را تشخیص دهد.

شکل 2: مدل پیشنهادی سیستم توزیع شده تشخیص نفوذ

4- روش کار مدل پیشنهادی

همانگونه که اشاره شد این مدل امنیتی از اجزاء مختلفی تشکیل شده است. در این بخش به نحوه کار مدل و روش اجرای آن پرداخته میشود. عامل WGAF تعدادی عامل WGA را ایجاد کرده و به گرههای شبکه ارسال میکند. در صورت حمله یک عامل خارجی، WGA مستقر در آن گره شروع به تعامل با attacker مینماید. این عامل از نوع یک بازی غیر همکارانه میباشد. عامل WGA با کمک KB و اطلاعات حاصل شده از تعامل با مهاجم یک استراتژی آمیخته را پیش میگیرد تا بتواند به یک نقطه تعادلی نش برسد. این نقطه تعادلی نش به عنوان مقدار ریسک آن حمله در نظر گرفته میشود.

برای افزایش دقت مقدار ریسک و تشخیص این موضوع که آیا مشابه با این حمله در سایر گرههای شبکه نیز شناسایی شده است یا خیر، عامل WGA اقدام به تشکیل یک ائتلاف با تعدادی از عاملهایWGA دیگر میکند و در بازی همکارانه با آنها مذاکره مینماید تا در نهایت از مقادیر ریسک امنیتی بدست آمده در سایر WGA ها به یک مقدار مورد توافق به نام مقدار شیپلی برسند. پس از محاسبه مقدار شیپلی، عامل WGA این مقدار را برایWGAF ارسال مینماید. این عدد به عنوان مقدار ریسک امنیتی شبکه که مورد توافق ائتلافی ازWGA ها میباشد درنظر گرفته شده وWGAF آن را به LAF گزارش میدهد و همچنین میتواند با توجه به این درجه امنیتی تصمیم به افزایش یا کاهش WGA ها و یا تغییر مکان آنها بگیرد.

عامل LAF با دریافت درجه امنیتی جدید شبکه عاملهای خنثیکننده LA را ساخته و به گرههای تهدید شده ارسال میکند. به هر گره تهدید شده یک عامل LA ارسال میشود و به وی تعداد تکثیرهای بعدی از خود را اعلام میکند. برای جلوگیری ازاشغال پهنای باند شبکه، هر عامل LA پس از رسیدن به مقصد، خود را به میزان لازم تکثیر میکند تا بتواند با توجه به درجه امنیتی گزارش شده مقابله مناسب با حمله را داشته باشد.

با توجه به درجه امنیتی جدید بدست آمده برای شبکه، تعداد و محل قرارگیری WGA ها توسط WGAF مورد بازنگری قرار گرفته و تعداد و محلهای جدید اعلام میشود و در نهایت یک شبکه فوقانی از عاملهای سیار و یک محیط چند عاملی جدید ساخته میشود. ملاکهای این
تصمیمگیری بر مبنای پارامترهای: گرههای تهدید شده، درجه تهدید هر گره، مسیر طی شده توسط یک مهاجم، تغییر درجه امنیتی نست به قبل و ... میباشد.

5- بازی ریسک امنیتی

در حالت کلی، ریسک امنیتی به تعداد نفوذهایی که احتمال رخداد آنها وجود دارد گفته میشود (نرخ نقض امنیت). نفوذ امنیتی زمانی رخ میدهد که یک مهاجم بتواند از نواقص امنیتی استفاده کرده و وارد سیستم شود [7] [8]:

در این مقاله هدف تعیین میزان ریسک امنیتی است تا بتوان با استفاده از آن سیستم تشخیص نفوذ توزیع شده¹⁴ را تنظیم کرد. در بازی امنیتی پیشنهادی نقشهای زیر وجود دارد.

- مهاجم

- WGAgent

مهاجم: بطور دائم یک شبکه به کاربران مختلفی در حال سرویسدهی میباشد که بعضی از آنها میتوانند به عنوان یک مهاجم باشند. هدف یک مهاجم نفوذ به درون شبکه و اجرای اهداف از قبل تعیین شده میباشد [9]. اگر حمله یک مهاجم تشخیص داده نشود معادل هزینه پرداختی آن مهاجم میباشد. در صورت تشخیص حمله این هزینه معادل b1 میباشد. همچنین اگر فرض می شود که <=0 است یعنی مهاجم در صورتی که تشخیص داده شود یک سودمندی مثبت بدست
میآورد و در صورتی که >=0 باشد، سودمندی مهاجم منفی خواهد بود. در صورتی که یک مهاجم به WGA با شماره که بر روی یکی از گرههای شبکه قرار دارد حمله کند. دو پارامتررا در نظر میگیریم که اولی میزان گسترش مهاجم از و دومی مربوط به پهنای باندی است که مهاجم برای حـمله به عامل ام اشغال میکند. این پارامتر توسـط [10]پیشنهاد
شدهاند. میتوان نتیجه گرفت که یک حمله گسترش یافته از پهنای باند را اشغال میکند.

WGAgents: مجموعهای از عاملهای تشخیصدهنده WGA به صورت N={WGA1-WGA2-…WGAn} نمایش داده میشوند میباشد. این عاملها بر روی گرههای شبکه مستقر شده و یک شبکه فوقانی چند عامله را برای تشخیص نفوذ و تشکیل یک IDS توزیع شده را میدهند. وظیفه این عاملها این است که با بررسی بستههای انتقالی درونشبکه کاربران عادی را از مهاجمین تشخیص دهند. فرض کنید که mi نشاندهنده نرخ تحرک¹⁵عامل WGAi در حرکت از یک میزبان به میزبان دیگر میباشد. عامل WGAi بطور معمول
میتواند دچار دو دسته خطا شود: دستهبندی مهاجم به عنوان کاربر عادی یا دستهبندی کاربر عادی به عنوان مهاجم. در این مدل به دنبال برقراری یک تعادل بین اینگونه هشدارها و هشدارهای صحیح میباشیم.

برای عامل WGAi نرخ تشخیص نفوذ را با pd (احتمال تشخیص) و نرخ عدم تشخیص را با (pd-1) نشان میدهیم و pf را به عنوان احتمال تشخیص اشتباه حمله در نظر میگیریم. هزینه –c1 برای تشخیص یک حمله توسـط WGA2 و C2 و C3 به تـرتیـب هزیـنههایی که IDS بابت تشخیص اشتباه و عدم تشخیص بایستی بپردازد فرض میکنیم.

جدول 1: احتمالات شناسایی نفوذ توسط عامل.

هزینه IDS	احتمال تشخیص نفوذ	Pd	WGAi
-C1	احتمال تشخیص نفوذ	Pd
C3	احتمال عدم تشخیص نفوذ	1-Pd
C2	احتمال تشخیص نفوذ اشتباه	Pf

از طرف دیگر مهاجم در صورت نفوذ به سیستم هزینه -b1 را بدست میآورد و در صورت عدم موفقیت در نفوذ هزینه b2 را بایستی بدهد. هشدار اشتباه هزینه صفر را برای مهاجم در بردارد.

جدول 2: هزینه عایدی مهاجم

نتیجه

هزینه

Attacker

نفوذ

-b1

عدم نفوذ

در نهایت هریک از دو بازیگر (WGAi , attacker) یک مقدار سودمندی payoff را متصور هستند که به صورت زیر برای هر یک محاسبه میشود. برایattacker میزان نتیجه بدین صورت است:

که r1 احتمال اینکه یک attacker رفتار خرابکارانه داشته و قصد نفوذ به سیستم را داشته باشد. مقدار بازده مورد انتظار در نیز به صورت زیر محاسبه میشود:

حال به بازی غیر همکارانه با استراتژی آمیخته بین دو بازیگر(WGA , attacker) میپردازیم مجموعه
استراتژیهایی که هر یک از بازیگران میتوانند داشته باشند بدین صورت است:

نشاندهنده یک حمله کاملتر توسط مهاجم با احتمال r1 میباشد که قبلا" عنوان گردید. را به عنوان استراتژی تکثیری یک حمله توسط مهاجم به نحوی که با احتمال به صورت گسترده اقدام به تکثیر خود نماید در نظر میگیریم.

نشان میدهد که با احتمال 1-r1-r2 حملهای صورت نمیگیرد. برای عامل نیز استراتژی d1 نشاندهنده تشخیص یک نفوذ با احتمالq و اعلام هشدار لازم
میباشد. استراتژی d2 نیز حالتی را نشان میدهد که عامل هیچ عکسالعملی را در مقابل حمله انجام نمیدهد. احتمالd2 را با 1-q نشان میدهیم. با توجه به استراتژیهای فرض شده میزان بازده مورد انتظار payoff مهاجم و عامل را به صورت زیر بسط میدهیم. دلیل بسط بازده نوع بازی انتخابی است که از نوع استراتژی آمیخته در نظر گرفته شده است و برای اینکه بتوان احتمال کلیه استراتژهای فرض شده را در بـازده نهایی لحاظ کرد جدول زیر را q-mix بازده انتظاری عامل) وr-mix (بازده انتظاری مهاجم) نشان میدهد در نظر میگیریم [11].

ماتریس بازده دو بازیگر در حالات مختلف انتخاب استراتژی را نشان میدهد. فرض بر این است که هر دو بازیگر چنـین ماتریسی را داشـته و قادر به محاسبه حالت

در این مرحله هر بازیکن بایستی بازی را انجام دهد که در آن حالت هیچ انگیزه ای برای تغییر بازی خود نداشـته باشد و بازیکن مقابل نیز به همین نقطه (تعادل

جدول 3: ماتریس payoff.



	,	,

0	0,0	0,

حرکت بازیگر دیگر هستند. بعبارتی عامل مدافع دارای یک باور از حرکت خود و پاسخ متقابل مهاجم میباشد. در شکل 4 نحوه این تعامل نشان داده شده است.

شکل 4: وضعیت های مختلف تشخیص

نش) برسد. این نقطه که با (r*, q*) نمایش داده
میشود از ماتریس 2*3 جدول 3 بدست میآید.

عبارت بالا نشان میدهد که بهترین استراتژی که بازیکن مقابل انتخاب میکند بایستی در هر حالتی از استراتژی انتخابی بازیکن کمتر باشد . r ,q هر دو بین صفر و یک هستند 0< = q ,r<=1 .

پس از محاسبه استراتژی های بهینه و تعادل نش بازی بردار احتمالی برای مهاجم زمانی که استراتژی های را انتخاب می کند بدست میآید و بردار احتمالی
برای استراتژیهای

بعد از حل نامساوی، اگر فرض کنیم که r2=1-r1 باشد خواهیم داشت (برای مهاجم دو حالت کلی در نظر گرفته شود)

عامل مدافع بدست می آید.

فرض می کنیم مقدار ریسک امنیتی عامل ام () باشد آنگاه :

6- بازی همکارانه عاملها با یکدیگر

در این بخش بازی همکارانه عاملهای برای تشکیل ائتلاف و تشخیص مقدار شیپلی با استفاده از نقطه تعادل نش یا همان SRV محاسبه شده در بخش قبلی توضیح داده خواهد شد. مقدار شیپلی یک اشارهگر قدرتمند برای مسئله انتساب هزینه است [12]. بازی همکارانه که در آن همه بازیگران () طی یک سری مذاکره با یکدیگر به دنبال افزایش میزان سودمندی گروه و ائتلاف تشکیل شده میباشند، راه حل مناسبی برای تشخیص میزان درجه امنیتی شبکه فوقانی است.

ابتدا تابع به عنوان یک تابع یک به یک از اعداد حقیقی را به صورتی که هر عنصر از v , r به صورت = تعریف میشود. سطح امنیتی IDS پیشنهادی برای استفاده از تعریف میکنیم. به نحوی تعریف می شود که

به عنوان مقادیر حد آستانه در نظر گرفته میشوند. در رابطه زیر حالات مختلف سطح امنیتی با کمک بردار خروجی عاملها نشان داده شده است.

زمانی که

عاملهای را با استفاده از سطح امنیتی که توسط هر یک بدست آمده () در یکی از گروهها دستهبندی
میکنیم عامل را میتوان بوسیله یک بازیN نفره با X = {1,2,…, n} مدلسازی کرد، که در آن X مجموعهای از بازیگران میباشد و میتوان هر زیر مجموعهای از آن را به صورت بدست آورد، به نحوی که و 0به عنوان یک ائتلاف شناخته میشود [13] [14]. ائتلاف عامل در یک گروه با حد آستانه K از سطوح امنیتی، نشاندهنده یک الگوی حمله و سطح امنیتی L در گروه میباشد. مقدار مجموع ائتلاف ¹⁶از جمع مقادیر SRV اعضا ائتلاف به صورت محاسبه میشود و به آن تابع ائتلاف گفته میشود. فرض کنید به عنوان مقدار ائتلاف C با تعداد اعضا Cمیباشد. آنگاه مقدار شیپلی از I بین عضو بردار عاملها به صورت زیر تعریف میشود.

عاملهای را با استفاده از سطح امنیتی که توسط هر یک بدست آمده () در یکی از گروهها دستهبندی
میکنیم عامل را میتوان بوسیله یک بازیN نفره با X = {1,2,…, n} مدلسازی کرد، که در آن X مجموعهای از بازیگران میباشد و میتوان هر زیر مجموعهای از آن را به صورت بدست آورد، به نحوی که و 0به عنوان یک ائتلاف شناخته میشود [13] [14]. ائتلاف عامل در یک گروه با حد آستانه K از سطوح امنیتی، نشاندهنده یک الگوی حمله و سطح امنیتی L در گروه میباشد. مقدار مجموع ائتلاف ¹⁷از جمع مقادیر SRV اعضا ائتلاف به صورت محاسبه میشود و به آن تابع ائتلاف گفته میشود. فرض کنید به عنوان مقدار ائتلاف C با تعداد اعضا Cمیباشد. آنگاه مقدار شیپلی از I بین عضو بردار عاملها به صورت زیر تعریف میشود.

پس از محاسبه برای هر یک از عاملها که با استفاده از عضویت آنها در ائتلاف بدست آمده است میتوان سطح ریسک امنیتی حمله صورت گرفته به آن عامل را با استفاده از مقادیر مختلف در گروههای مختلف امنیتی قرار دارد و مطابق با قرارگیری در هر گروه برای هر عامل یک درجه امنیتی تعیین نمود.

7- شبیهسازی

به منظور شبیهسازی کارایی مدل پیشنهادی نیاز به یک مثال عددی وجود دارد ابتدا 20 عدد فرضی به صورت تصادفی در یک ماتریس برای 20 عامل تولید میکنیم. در این ماتریس به ازاء هر یک از عاملها اعدادی را نیز به عنوان پارامترهای حملهکننده برای پارامترهای مختلف آن از قبیل و .... به صورت تصادفی تولید مینماییم. در ادامه با استفاده از نرمافزار شبیهسازی بازی به نام GAMBIT [15] [16] نقطه تعادل نش را برای هر یک از عاملها و حملهکننده بدست آورده و در جدول درج میکنیم. سپس برای محاسبه مقدار شیپلی از
نرمافزارMATLAB استفاده کرده و سعی میکنیم که مقـدار هر عامـل را مشـخص کرده و در یـکی از

امنیتی قرار دهیم. بدین منظور 4 حد آستانه برای در نظر گرفته و عاملها را در هر یک از این
دستهها (ائتلاف) قرار میدهیم. از محاسبه مقادیر بردار برای 20 عامل بدست میآید. سپس با استفاده از حد آستانه 4 گروه ائتلافی را محاسبه کرده و با استفاده از آن و مقادیر مقدار دقیق شیپلی را بدست میآوریم. پس از محاسبه مقدار sp برای هر عامل میتوان با کمک های محاسبه شده برای 4 سطح مورد نظر امنیتی، سطح تهدید برای هر عامل را در یکی از این 5 گروه دستهبندی کرده و میزان خطر هر حمله را تشخیص داد. پس از دستهبندی عاملها در هر یک از گروهها مدیر سیستم میتواند با توجه به اطلاعات بدست آمده یا تصمیمگیری لازم را داشته باشد. مقادیر آستانه مربوط به سطح امنیتی میتواند به مرور زمان توسط مدیر سیستم تغییر کرده به نحوی که دستهبندی واقعی آن ارائه نماید.

جدول 4: پارامترهای عامل مهاجم و نقطه تعادل نش هریک



10.732	0.7	0.5	0.35	0.8	55	71	-25	0.49	-90	10	N1
3.97	0.2	0.8	0.9	0.3	10	20	-81	0.44	-100	20	N2
2.31	0.3	0.8	0.45	0.3	36	31	-50	0.5	-50	30	N3
2.11	0.4	0.7	0.7	0.4	50	40	-70	0.35	-70	40	N4
1.589	0.6	0.8	0.5	0.6	40	60	-50	0.25	-50	50	N5
2.547	0.5	0.6	0.6	0.5	60	50	-60	0.2	-90	60	N6
3.20	0.4	0.7	0.5	0.8	70	90	-40	0.6	-40	70	N7
1.235	0.3	0.8	0.4	0.7	50	60	-90	0.7	-50	80	N8
2.231	0.9	0.7	0.2	0.15	90	70	-80	0.3	-90	90	N9
0.0087	0.2	0.4	0.1	1	90	100	-5	0.05	-11	100	N10
0.96	0.2	0.5	0.1	1	90	100	-10	0.05	-10	5	N11
19.278	0.1	0.5	0.88	0.051	97	96	-2	0.44	-85	15	N12



5.7	0.1	0.5	0.99	0.05	14	15	-81	0.44	-91	25	N13
49.01	0.1	0.5	0.99	0.91	100	98	-1.5	0.34	-98	35	N14
2.385	0.2	0.7	0.65	0.35	31	33	-65	0.21	-55	45	N15
1.45	0.45	0.79	0.45	0.55	50	55	-41	0.2	-41	55	N16
10.02	0.3	0.5	0.21	0.8	85	71	-10	0.4	-100	65	N17
1.093	0.25	0.8	0.25	0.75	79	74	-30	0.7	-25	75	N18
0.381	0.5	0.5	0.85	0.14	15	15	-80	0.05	-10	85	N19
4.021	0.2	0.9	0.9	0.9	54	20	-70	0.01	-10	100	N20
5.7	0.1	0.5	0.99	0.05	14	15	-81	0.44	-91	25	N13
49.01	0.1	0.5	0.99	0.91	100	98	-1.5	0.34	-98	35	N14
2.385	0.2	0.7	0.65	0.35	31	33	-65	0.21	-55	45	N15
1.45	0.45	0.79	0.45	0.55	50	55	-41	0.2	-41	55	N16

مقدار حد آستانه برای هر یک از 4 گروه را محاسبه کرده و مقادیر {9.08 ، 3.02 ، 20.1 ، 40.72} برای بدست می آید که مقادیر نش محاسبه شده را در چهار گروه دسته بندی می کند. سپس با استفاده از فرمول مقدار شیپلی و مقادیر امکان محاسبه دقیق میسر می شود. عاملهای {n3,n4,n5,n6,n8,n9,n10,n11,n15,n16,n18,n19} در گروه اول و {n2,n13,n20} در گروه دوم و {n1,n12,n17} در گـروه سـوم و {n14} در گروه

چهارم قرار میگیرند. لذا ائتلافی بدین صورت تشکیل می شود و می توان سطح امنیتی این گروهها را معادل یکدیگر در نظر گرفت. با تغییر در مقدار شیپلی می توان این دسته بندی ها را تغییر داد و شبکه فوقانی مختلفی را برای دفاع در مقابل حملات تشکیل داد. در شکل زیر چندین مقدار شیپلی برای حالات مختلف در نظر گرفته شده که تشکیل ائتلاف در سه وضعیت را نشان می دهند.

7. نتیجه گیری

در این مقاله یک مدل امنیتی توزیع شده برای تشخیص نفوذ به شبکه DIDS مبتنی بر تئوری بازیها ارائه شده است. در سیستمهای سنتی IDS مدیران سیستم میبایستی دائما" به رصد سیستم پرداخته و کلیه اتفاقات و سناریوهای ممکن را بررسی و پایش نمایند. در این تحقیق، ما مدلی را مبتنی بر تئوری بازیها در فرم گسترده به دو صورت همکارانه و غیر همکارانه پیشنهاد کردیم که در نوع غیر همکارانه (رقابتی) مقدار ریسک امنیتی با استفاده از تعادل نش توسط هر کدام از عاملها محاسبه شده و در بازی همکارانه عاملهایی که در یک گروه قرار میگیرند با تشکیل ائتلاف و محاسبه مقدار شیپلی درجه امنیتی ائتلاف را محاسبه مینماییم. نظر به اینکه در این مدل عاملهای درون شبکه گسترده شدهاند، با تشکیل یک شبکه فوقانی تشخیص نفوذ میتوانند عمده تراکنشها و دادههای رد و بدل شده در شبکه را رصد کرده و به صورت توزیع شـده بخـش عمدهای

شکل 5- سه حالت پیکر بندی ائتلاف برای مقادیر شیپلی (a) بزرگتر از 0.7 و (b) بزرگتر 0.8 و (c) بزرگتر از 0.9

رایمگ

سامانه رایمگ تمامی فرآیندهای دریافت، ارزیابی و داوری، ویراستاری، صفحه‌آرایی و انتشار الکترونیکی نشریات علمی را به انجام می‌رساند

پیوندهای سایت

مراکز مرتبط

پشتیبانی

صفحات رسمی

از شبکه را پوشش دهد. علاوه بر این در صورت تشخیص ضعیف یا اشتباه، عاملها با تشکیل ائتلاف و محاسبه تجمیعی (مقدار شیپلی) درصد خطای تشخیص و هشدارهای غیر صحیح (false alarm) را به حداقل میرساند. در این مدل مقادیر حد آستانه براساس تشخیصهای عامل ( ) به روز میشود ( ) و در هر بار تشکیل ائتلاف این مقادیر تغییر میکند و در عمل سیستم در هر بار از دورهای محاسبه
گروهبندی جدیدی را انجام میدهد. برای ادامه این تحقیق، محققین قصد دارند با استفاده از روشهای یادگیری از جمله Reinforcement Learning محاسبه را به صورت تدریجی محاسبه کرده و در هر بار محاسبه از دادههای مراحل قبل نیز بهره برده شود.

منابع

1.	C. Symantec, “Symantec Corporation,” 10 08 2013. . Available: http://www.symantec.com/index.jsp.
2.	P. H. V. L. R. J. Z. H. M. Mel, “An Overview of Issues in Testing Intrusion Detection Systems,” NIST, Gaithersburg, MD, 2002.
3.	A. D. V. M. R. D. Keromytis, "SOS: An architecture for mitigating DDoS attacks," IEEE Communications, vol. 22, p. 176–188., 2004.
4.	G. V. S. Suryawanshi, “Mobile Agent for Distributed Intrusion detection System in Distributed System,” International Journal of Artificial Intelligence and Computational Research (IJAICR.), p. , 2010.
5.	M. A. M. S. M. A. K. &. M. R. M. I. Kamaruzaman Maskat, “Mobile Agents in Intrusion Detection System: Review and Analysis,” Modern Applied Science, جلد 5, شماره 6, pp. 218-231, Dec 2011.
6.	R. B. a. P. Mell, “Intrusion detection systems,” 2012 . Available: http://www.snort.org/docs/nistids.pdf.
7.	S. E. Schechter, "Computer Security Strength and Risk: A Quantitative Approach," PhD Thesis, Harvard University, 2004.
8.	S. E. Schechter, “Toward econometric models of the security risk from remote attacks,” IEEE Security & Privacy, جلد 3, شماره 1, p. 40–44, 2005.
9.	D. S. P. J. M. R. K. G. Shaw, “Inside the minds of the insider,” Security Management, جلد 43, p. 34–44., 1999.
10.	T. B. T. Alpcan, “A game theoretic approach to decision and analysis in network intrusion detection,” IEEE Conference on Decision and Control, p. 2595–2600, 2003.
11.	C.-K. W. Yi-Ming Chen, “A Game Theoretic Framework for Multi-agent Deployment in Intrusion Detection Systems,” Security Informatics, Annals of Information Systems, pp. 117-133, 2010.
12.	D. R. B. Mishra, “Cost sharing in a job scheduling problem using the Shapley value,” 2005.
13.	P. Z. Liu, “Incentive-basedmodeling and inference of attacker intent, objectives and strategies,” ACM Transactions on Information and System Security, جلد 8, p. 78–118., 2005.
14.	A. S. S. Dixit, “Games of Strategy,” 2001. .
15.	R. D. M. A. M. a. T. T. L. McKelvey, “Gambit: Software Tools for Game Theory,,” 2007. . Available: http://econweb.tamu.edu/gambit.
16.	GAMBIT, “GAMBIT,” 7 2013. . Available: http://www.gambit-project.org/.

[1] Secure Overlay Network

[2] Single Point of Failure

[3] Negotiate

[4] Security Risk value

[5] Utility function

[6] Shaply value

[7] Multi Agent overlay network

[8] White Global Agent Factory

[9] Lymphocit Agent Factory

[10] IDS knowledge

[11] Strong mobility

[12] Agent Management System

[13] Directory Facilitator

[14] Distributed IDS

[15] Mobility

[16] aggregate

[17] aggregate

اشتراک گذاری