تقویت DNS و ایجاد خطا در سیستمهای دفاعی شبکه در حملات سایبری توسط یادگیری ماشین
اخبار داغ فناوری اطلاعات و امنیت شبکه
در سالهای اخیر، علاقه فزایندهای به استفاده از یادگیری ماشینی و دیپ لرنینگ در امنیت سایبری، بهویژه در تشخیص و پیشگیری از نفوذ در شبکه مشاهده شده است.
با این حال، طبق مطالعه محققان در سیتادل (یک کالج نظامی در کارولینای جنوبی ایالات متحده)، مدلهای دیپ لرنینگ آموزشدیده برای تشخیص نفوذ شبکه را میتوان از طریق حملات خصمانه و دادههایی که بهویژه ساخته شدهاند که شبکههای عصبی را فریب میدهند تا رفتارشان را تغییر دهند، دور زد.
حملات تقویت DNS
این مطالعه بر تقویت DNS متمرکز است؛ نوعی حمله denial-of-service که در آن مهاجم آدرس IP قربانی را جعل میکند و چندین درخواست جستجوی نام را به یک سرور DNS ارسال میکند.
سپس سرور تمام پاسخها را برای قربانی ارسال میکند. از آنجایی که یک درخواست DNS بسیار کوچکتر از پاسخ است، منجر به یک حمله تقویتی میشود که در آن قربانی با ترافیک جعلی مواجه میشود.
جرد متیوز، نویسنده اصلی مقاله، به Daily Swig گفت: «به دلیل محبوبیت روزافزون سیستمهای تشخیص نفوذ مبتنی بر یادگیری ماشین، تصمیم گرفتیم دیپ لرنینگ را در تقویت DNS مطالعه کنیم.»
وی ادامه داد: «تقویت DNS یکی از محبوبترین و مخربترین شکلهای حملات DoS است، بنابراین ما میخواستیم قابلیت دوام و انعطافپذیری یک مدل دیپ لرنینگ آموزشدیده بر روی این نوع ترافیک شبکه را بررسی کنیم.»
حمله به مدل
برای آزمایش انعطافپذیری سیستمهای تشخیص نفوذ شبکه، محققان یک مدل یادگیری ماشینی برای تشخیص ترافیک تقویت DNS ایجاد کردند.
آنها یک شبکه عصبی عمیق را بر روی مجموعه داده متن باز KDD DDoS آموزش دادند. این مدل به دقت بالای ۹۸ درصد در تشخیص پکتهای داده مخرب دست یافت.
برای آزمایش انعطافپذیری سیستم تشخیص نفوذ شبکه مبتنی بر ML، نویسندگان آن را در برابر Elastic-Net Attack on Deep Neural Networks (EAD) و TextAttack، دو تکنیک محبوب حملههای مخرب میباشند، قرار دادند.
ماتیوس گفت: «ما TextAttack و Elastic-Net Attack را به دلیل نتایج اثبات شده آنها به ترتیب در پردازش زبان طبیعی و پردازش تصویر انتخاب کردیم»
اگرچه الگوریتمهای حمله در ابتدا برای اعمال روی پکتهای شبکه در نظر گرفته نشده بودند، اما محققان توانستند آنها را برای این هدف تطبیق دهند. آنها از این الگوریتمها برای تولید پکتهای تقویت DNS استفاده کردند که هنگام پردازش توسط سیستم NIDS هدف، بهعنوان ترافیک بدون مشکل، عبور میکردند.
هر دو تکنیک حمله ثابت کردند که مؤثر هستند، به طور قابل توجهی دقت سیستم تشخیص نفوذ شبکه را کاهش دادند و باعث ایجاد مقادیر زیادی از مثبت و منفی کاذب شدند.
متیوس گفت: «در حالی که هر دو حمله میتوانند به راحتی نمونههای متخاصم را با دادههای DNS Amplification که ما استفاده میکنیم ایجاد کنند، TextAttack برای ایجاد اختلال در نوع دادهها در ویژگیهای پکت مناسبتر بود.»
محققان هنوز این حمله را بر روی سیستمهای تشخیص نفوذ خارج از مجموعه آزمایش نکردهاند، اما قصد دارند این کار را انجام دهند و یافتهها را در آینده گزارش کنند.
پیچیدگیهای استفاده از ML در امنیت سایبری
محققان نتیجه میگیرند که فریب دادن سیستمهای تشخیص نفوذ شبکه یادگیری ماشین با حملات مخرب نسبتاً آسان است و میتوان الگوریتمهای مهاجمی را که در ابتدا برای کاربرد دیگری در نظر گرفته شده بودند، انتخاب کرد و آنها را با طبقهبندیکنندههای شبکه تطبیق داد.
ماتیوس افزود: «بزرگترین نکته این است که استفاده از یادگیری عمیق در امنیت شبکه راه حل سادهای نیست و به عنوان یک NIDS مستقل، کاملاً شکننده هستند.»
برای طبقهبندیکنندهای که برای شناسایی حملات به شبکههای حیاتی استفاده میشود، باید آزمایشهای گستردهای انجام شود. استفاده از این مدلهای DL در ارتباط با NIDS مبتنی بر قوانین بهعنوان آشکارساز ثانویه نیز میتواند بسیار مؤثر باشد.
این تیم در حال گسترش یافتههای خود به انواع دیگر حملات، از جمله ترافیک IoT DDoS است.
برچسب ها: False Negative, False Positive, Deep Learning, IoT DDoS, NIDS, Elastic-Net Attack, TextAttack, EAD, Elastic-Net Attack on Deep Neural Networks, KDD DDoS, حملات DoS, سیستم دفاعی شبکه, دیپ لرنینگ, یادگیری ماشین, Machine Learning, Packet, DoS, DNS, DDoS, Cyber Security, حملات سایبری, فضای سایبری, امنیت سایبری, Cyber Attacks, حمله سایبری