توصيفگر ها :
تهديدهاي پايدار پيشرفته , خوشهبندي هشدار , همبستگي هشدار , حملهي تركيبي , حملهي توزيعشده , سيستم تشخيص نفوذ
چكيده فارسي :
در عصر حاضر كه وابستگي به اينترنت و فضاي مجازي به طور چشمگيري افزايشيافته، سازمانها و دولتها با چالشهاي امنيتي متعددي روبرو هستند. يكي از مهمترين اين چالشها، حملههاي سايبري پيچيده و هدفمند موسوم به تهديدهاي پايدار پيشرفته است. اين حملهها توسط گروههاي ماهر و سازمانيافته با اهداف جاسوسي، سرقت اطلاعات و يا اختلال در فعاليتهاي سازمانها انجام ميشود. ماهيت پيچيده، تركيبي، چندمرحلهاي و توزيعشدهي تهديدهاي پايدار پيشرفته، شناسايي و مقابله با آنها را به امري دشوار تبديل كرده است. روشهاي سنتي شناسايي تهديدهاي پايدار پيشرفته مانند سيستمهاي تشخيص، آنتيويروسها و فايروالها در مقابله با اين حملهها كارآمد نيستند و نياز به رويكردي نوين در اين زمينه احساس ميشود؛ بنابراين هدف اين پژوهش ارائه رويكردي جديد در زمينه شناسايي تهديدهاي پايدار پيشرفته بر اساس همبستگي بين هشدارها و خوشهبندي هشدارهاي مربوط به يك تهديد پايدار پيشرفتهي احتمالي، ميباشد. در رويكرد پيشنهادي سعي در شناسايي تهديد پايدار پيشرفته بر اساس ماهيت تركيبي، چندمرحلهاي و توزيعشدهي اين تهديدها است. بنابراين، ابتدا رهگيري رويدادهاي سطح شبكه و سيستمعامل و توليد هشدار متناظر با تكنيكهاي مورداستفاده توسط مهاجمان اين تهديدها با اضافهكردن قوانين به سيستم مديريت اطلاعات و رويدادهاي امنيتي انجام ميشود. روش پيشنهادي با جمعآوري رويدادهاي سطح شبكه و سيستمعامل تمامي ميزبانهاي سازمان قادر به شناسايي تهديدهاي پايدار تركيبي و توزيعشده است. همچنين با استفاده از همبستگي و خوشهبندي هشدارها قادر به بازسازي زنجيرههاي تهديد پايدار پيشرفته خواهد بود. در نهايت با استفاده از الگوريتمهاي يادگيري ماشين و يادگيري عميق، به پيشبيني تهديدهاي پايدار پيشرفته پرداخته شده است. جهت ارزيابي رويكرد ارائه شده، مجموعهدادهي شبهواقعي با شبيهسازي 14 تهديد پايدار پيشرفته واقعي ايجاد شده است. رويكرد معرفي شده موفق به شناسايي زنجيرهي تهديد 14 تهديد پايدار پيشرفته با درصد حساسيت و F-Score برابر با 87.97 و 75.45 بوده است كه باتوجهبه پيچيدگي تهديدهاي پايدار پيشرفته مقدار قابلتوجهي است. همچنين رويكرد پيشنهادي قادر به پيشبيني رخداد تهديد پايدار پيشرفته با دقت 97% و پيشبيني تكنيكهاي مورد استفاده در مراحل بعدي حمله با دقت 85.9% ميباشد.
چكيده انگليسي :
In the present era, as dependence on the internet and virtual space has significantly increased, organizations and governments are facing numerous security challenges. One of the most critical challenges is sophisticated and targeted cyber attacks known as Advanced Persistent Threats (APTs). These attacks are carried out by skilled and organized groups with objectives such as espionage, data theft, or disruption of organizational activities. The complex, multi-faceted, multi-stage, and distributed nature of Advanced Persistent Threats makes their identification and mitigation a difficult task. Traditional methods of identifying APTs, such as antivirus detection systems and firewalls, are not effective in combating these attacks, highlighting the need for a novel approach in this field. Therefore, this research aims to propose a novel approach for identifying Advanced Persistent Threats based on the correlation between alerts and clustering alerts related to a potential APT. The proposed approach focuses on identifying APTs based on their complex, multi-stage, and distributed nature. Initially, tracking network and operating system events and generating corresponding alerts based on attacker techniques is done by adding rules to the information management and security event system. The proposed approach, by collecting network and operating system events from all organization hosts, is capable of identifying combined and distributed persistent threats. Additionally, by utilizing correlation and clustering of alerts, it can reconstruct chains of Advanced Persistent Threats. Finally, machine learning algorithms and deep learning will be used to predict Advanced Persistent Threats. To evaluate the proposed approach, a semi-real dataset simulating 14 real Advanced Persistent Threats has been created. The introduced approach successfully identified the chain of 14 Advanced Persistent Threats with a sensitivity and F-Score of 87.97 and 75.45, respectively, which is significant given the complexity of APTs. Furthermore, machine learning algorithms were able to predict Advanced Persistent Threat events with an accuracy of 97%, and deep learning algorithms with an accuracy of 85.9% for the techniques used in the subsequent stages of Advanced Persistent Threats.
