مقاله دفاع از حملات سایبری با نقاط نش فازی و نرخ جریان عادلانه

بخشی از مقاله

چکیده

امروزه استفاده از اینترنت و در نتیجه جرایم اینترنتی رشد روز افزونی دارد. افزایش حملات سایبري و خسارات جبران ناپذیر، اهمیت جایگاه تحقیقات در حوزه امنیت شبکه را بیشتر کرده است . تاکنون روشهاي مختلفی براي دفاع از شبکه ارائه شده اما از آنجا که این حملات متشکل از عمل و عکس العملهاي بین مهاجم و مدافع است، استفاده از تئوري بازي براي مدل کردن حملات شبکه بسیار قابل توجه قرار گرفته است. بازي با دو بازیکن - مهاجم و مدافع - به صورت رقابتی مدل میشود و هدف هر بازیکن کسب حداکثر سود ممکن است. براي مدلسازي بازي روابط بین بازیکنان و یا رفتار آنها ملاك است. زمانیکه بازي براساس روابط بین بازیکنان مدل شود با پیچیدگی محاسباتی نمایی مواجه میشویم. در این مقاله رفتار بازیکنان را مدل میکنیم اما اگر مدلسازي براساس رفتار بازیکنان باشد چالش یافتن نقاط نش خالص، به دلیل عدم آگاهی دقیق از برخی رفتار مهاجمین، وجود دارد و در صورت پیدا نشدن نقطه نش خالص شبکه مورد هجوم واقع می شود. براي برخورد با این عدم قطعیت، بازي فازي جدیدي ارائه میشود. در روش پیشنهادي، با استفاده از تخمین درجهاي از نش بودن نقاط، بازي همواره نقطه تعادل نش دارد. در این مقاله مفهوم عدالت در کنترل نرخ جریان داده در شبکه نیز بازنگري میشود. شبیهسازيها با استفاده از نرمافزار متلب انجام میگیرد.

کلمات کلیدي:بازي فازي، نقاط نش فازي، امنیت شبکه، مکانیزم دفاعی، .DDoS - Distributed Denial of Service -

-1مقدمه

استفاده از تئوري بازي روش مناسبی در زمینه امنیت شبکه براي مدل کردن روابط بین مهاجم و مدافع در هنگام بروز حملات سایبري است. اکثر حملههاي اینترنتی براي بلاكکردن شبکه و یا دستیابی به اطلاعات شخصی کاربران است. در گذشته معمولا حملهها به یک نود - Denial of Service - صورت میگرفت و امروزه مهاجمین چندین نود را مورد حمله قرار میدهند. در مکانیزمهاي مقابله اگر به رفتار مهاجم و تصمیمات وي توجه نشود، روشها براي مقابله با تهاجمهاي DDoS ناکارامد خواهند بود، زیرا مدل بازي بسیار پیچیده میشود.حملات DoS در دو گروه حملات سیل آسا و حملات مبتنی بر آسیبپذیري طراحی میشوند. حملات سیل آسا با هجوم تعداد زیادي ازبستههاي درخواستی ساختگی، شبکه را منحل کرده تا اطلاعات اصلی قابل رد و بدل شدن نباشند، و حملات مبتنی برآسیبپذیري با اختلال در نرمافزار شبکه یا سیاستهاي امنیتی، شبکه را آسیب پذیر میکند.

حملات میتوانند به یک نود یا به چندین نود صورت گیرد. نودهاي مورد هجوم واقع شده را زامبی نامگذاري میکنند و براي هدف گسترش حملات - در راستاي مخالف با جهت خدمات - ، از آنها استفاده میکنند.دو روش اصلی براي از بین بردن حملات DDoS وجود دارد: روش اول براي مهاجمی است که بستههاي ناقص به قربانی ارسال میکند تا موجب گیج کردن پروتکل و یا برنامه در حال اجرا بر روي آن شود و روش دوم شامل مهاجمی است که براي ایجاد اختلال در پهناي باند و یا اختلال در منابع سرور تلاش میکند. ایجاد اختلال در پهناي باند از نوع حملات سیل آسا در لایه انتقال یا شبکه است و ایجاد اختلال در منابع سرور از نوع حملات سیل آسااست که در لایه کاربردي رخ میدهد.

اولین حمله مهم DDoS سال 2000 به سایت yahoo.com بود و موجب شد سرویس دهی به کاربران دو ساعت خارج از دسترس شود و خسارت تبلیغاتی بالایی به بار آورد. [1]
مکانیزمهاي متعددي براي مقابله با این حملهها ارائه شده است. اکثر آنها در سطحی میکرو و با آزمایش بر پایه نود به نود به این مساله پرداختند. این دستاورد براي DoS میتواند خوب جواب دهد اما در هنگام حملات DDoS بی تاثیر است. زیرا که حملههاي داینامیک رویکرد نود به نود را به مهاجم به مدافع تبدیل میکنند. روشهاي قدیمی به رفتار مهاجم براي پیشنهاد تصمیمات توجه نمیکردند.اخیرا تئوري بازي روش قابل توجهی براي بیان تعامل بین حریفان در نظر گرفته میشود. زیرا میخواهیم تصمیمات یک بازیکن بر دستاورد دیگري تاثیر گذار باشد. در نتیجه این رویکرد در مقابله با حملات DDoS کاربردي است تا در هنگام حمله بهترین راه حل اتخاذ شود.

در این مقاله DDoS سیل آسا مدل میشود. حرکت مهاجم عبارت است از تعداد نودهاي استفاده شده و نرخ انتقال هر نود و حرکت مدافع عبارت است از کنترل حد نرخ جریان در دیواره آتش.
دیواره آتش، زمانیکه نرخ انتقال ترافیک از حد آستانه بزرگتر باشد - نرخ حذف بستهها به پنجاه درصد برسد - ، بلاك میکند. دو بازیکن در تلاش هستند که بهترین حرکت - استراتژي - را داشته باشند تا بیشترین سود را ببرند.از آنجا که رفتار بازیکنان مدل میشود، بازي کلاسیک همواره نقطه تعادل نش خالص ندارد. در بازي فازي پیشنهادي براي مقابله با حملات، درجهاي از نش بودن را براي هر نقطه از بازي برآورد میکنیم تا بازي همواره با تعادلی نقطه نش داشته باشد.

-2مروري بر کارهاي گذشته

در مقاله [1]حملات DDoS طبقهبندي شده است و راههاي مقابله با آنها دستهبندي شدند. همچنین نیاز به رویکرد دفاعی جامع توزیع شده و مشارکتی در آن مورد توجه قرار گرفته است. اما با توجه به انواع جدید حملات سایبري داشتن رویکرد دفاعی توزیع شده همواره میسر نمیباشد و در مدلسازي، زمانیکه چندین نود مورد هجوم قرار میگیرند، اگر به رفتار مهاجم توجه نشود با پیچیدگی محاسباتی نمایی مواجه خواهیم بود.مدل پیشنهادي مقاله [2] محدودیتهاي مدلهاي بازي دیگر را ندارد و تعداد نودهایی که مدافعین انتخاب میکنند به تعداد نودهایی که مهاجمین استفاده میکنند محدود شده است.همچنین نرخ انتقال نودهایی که مورد هجوم قرار گرفتند و نرخ انتقال نودهاي قانونی در مدلسازي آمده است.

بنابراین این روش تئوري بازي را واقعیتر بررسی میکند. اما مهاجم براي دستیابی به بهترین سود مدام نوع توزیع جریان داده را تغییر میدهد و این مساله نیازمند به تنظیم پارامترهاي اولیه زیادي است. و با وجود تنظیمات اولیه زیاد باز هم بازي در برخی اوقات نقطه نش خالص نمییابد و شبکه مورد هجوم واقع میشود.مقاله [3]، از تئوري بازي براي بکارگیري در امنیت سایبري و تخلیه پهناي باند با استفاده از مکانیزم دفاعی دیواره آتش استفاده شده است. دو نوع حمله DDoS در نظر گرفته شده است: هنگامی که هدف مدافعین براي بلاك کردن ترافیک غیرمجاز، یافتن قوانین دیواره آتش بهینه است و هنگامی کههدف مهاجمین این است که بوسیله یافتن اندازه باتنت موثر با شبکه سازش داشته باشند. رفتار مهاجمین با استفاده از انتخاب تعدادي نود زامبی و نرخ انتقال هر یک از این نودها مدل شده است.

اما چون مدلسازي با تشریح تعداد زیادي حالات تعامل بین مهاجمین و مدافعین صورت گرفته این مدل بسیار انتزاعی است. در مقاله [4] براي کاهش حملات DoS استراتژيها بر مبناي پازل معرفی شدهاند. بازي تکرار شونده، دو نفره و نامحدود مدل شده است. از دیواره آتش براي مکانیزم دفاعی استفاده شده و مهاجم در تلاش براي سازش با شبکه است در حالیکه مدافع هدف پیدا کردن راه دفاعی مبتنی بر پازلی مناسب، براي متوقف کردن حمله را دارد. تعریف پازل خود سر بار اضافی براي شبکه است. لذا روشی ارائه میکنیم تا با سربار کمتر در مقابل حملات توزیع شده دفاعی موثرتر داشته باشد.

-3تئوري بازي

تئوري بازيها مجموعهاي از ابزار تحلیلی است که براي مدل کردن و فهم روابط بین تصمیم گیرندگان، تحت مفروضاتی مشخص، بکار میرود. تصمیمگیرندگان به عنوان بازیکنان بازي و موجودیتی پایه براي مدلهاي تئوري بازي هستند. هر حق انتخاب براي بازیکن یک استراتژي است.بازیکنان مجزا یا گروهی عمل - بازي - میکنند .[5] مدلسازي حملات سایبري میتواند شامل تعاملات بین دو بازیکن با عنوان مهاجم و مدافع در نظر گرفته شود. استراتژياي انتخاب میشود که بازیکن با انتخاب آن بهترین خروجی را داشته باشد. براي سادگی بازي، بازیکنان با رفتار عاقلانه در نظر گرفته میشوند و هر بازیکن براي اتخاذ تصمیم، تصمیمات دیگري را نیز در نظر میگیرید.

استراتژي یک نقشه کلی از تمام عملهایی است که یک بازیکن تحت هر شرایط موجود در بازي برنامهریزي میکند. براي زمانیکه یک عمل مشخص داریم استراتژي میتواند خالص باشد یعنی بازیکن اگر در ابتدا آن استراتژي را انتخاب کند تا انتهاي بازي نمیتواند آنرا تغییر دهد. از طرفی اگر بازیکنان استراتژي مختلط اتخاذ کنند با احتمالات مختلف بازي خود را نسبت به انتخابهاي اولیه میتواند تغییر دهد.[6]راه حل بازي تعریفی از چگونگی انجام بازي است که در انتها بازیکنان با انجام بهترین استراتژيها به بیشترین سود برسند. نقطه تعادل نش راه حلی است که حالت ثابتی را براي بازي تعریف میکند و در آن حالت هر بازیکن بیشترین سود خود را بدست آورده است و دیگر حاضر به تغییر آن نیست. در واقع نقطه تعادل نش بیان میکند که اگر دیگران ثابت و شما متغیر بازي کنید ضرر خواهید کرد.

بازي انواع مختلفی دارد، که با توجه به اهداف بازیکنان دستهبندي میشوند. اگر هدف یک بازیکن در تعارض با دیگري نباشد، آن بازي همکارانه [7]، و در غیر اینصورت بازي رقابتی است. در بازي رقابتی بازیکنان سعی در افزایش سود خود و کاهش سود دیگري دارند. مدل بازي حملات سایبري، یک بازي رقابتی است زیرا بین مدافع و مهاجم هیچ گونه همکاري وجود ندارد. بازي مجموع سود صفر - zero-sum - دستهاي از بازيهاي مجموع ثابت است که مجموع امتیازات دو بازیکن صفر میشود. به عبارت دیگر سود بازیکن دوم مقدار منفی از سود بازیکن اول است.فرم نرمال نمایش بازي، ماتریس سود - payoff-matrix - است. سطرهاي ماتریس بیانگر استراتژي بازیکن اول است و ستونها استراتژي بازیکن دوم را نشان میدهند. در هر خانه از ماتریس، سود بازیکنان نشان داده میشود. در بازي مجموع سود صفر فقط سود بازیکن اول در خانه هاي ماتریس قرار دارد زیرا سود بازیکن دیگر مقدار منفی همان سود است.

-4مدلسازي بازي

بازي بین دو بازیکن مهاجم و مدافع مدل میشود. بازي دو نفره، رقابتی و مجموع سود صفر است. هدف مهاجم یافتن بهترین تنظیمات براي حمله و هدف مدافع یافتن بهترین پارامتر براي تنظیم نرخ جریانداده است تا ازدحام در شبکه رخ ندهد - براي پیشگیري از گم شدن بستهها - . بازیکنان قانونی Li هستند و i= [1,n] مقدار میگیرد. مهاجمین در تلاش هستند که نودهاي شبکه را در اصطلاح زامبی کنند تا بتوانند مدیریت آنها را برعهده گیرند. زامبیها را با Zj نشان میدهیم و j=[1,z] است. اگر تعداد Z برابر با 1 باشد، درحقیقت حمله DoS اتفاق افتاده است. معمول است که ترافیک UDP را با توجه به رسیدن بستهها توسط توزیعهاي مشخصی مانند توزیع نرمال، توزیع پواسون یا توزیع نمایی مدل میکنند. در مقاله [2] در نظر گرفته شده که کاربران قانونی از توزیع نرمال استفاده میکنند و زامبی ها از توزیع هاي نرمال، پواسون و نمایی میتوانند استفاده کنند.

پهناي باند گلوگاه BW از پهناي باند کل - TB - بزرگتر در نظر گرفته شده است، تا در صورت بروز ازدحامهاي معمول در شبکه، با از دست دادن بستهها مواجه نشویم. پهناي باند کل از مجموع میزان جریانداده نودهاي قانونی -      - و میزان جریانداده    زامبیها -   - محاسبه میشود، که در رابطه 1 نشان داده شده است:در روش پیشنهادي با قراردادن پارامتر اولویت - pri - بازنگري در مفهوم عدالت داریم. به این معنی که تقسیم مساوي پهناي باند لزوما عادلانه نیست[8]، چرا که برخی نودها اطلاعات حیاتی دارند و در مواقع ازدحام باید پهناي باند بیشتري نسبت به سایرین دریافت کنند. میزان عبوردهی بستهها ملاك براي اولویت گذاري نودها است. نودي که عبوردهی بسته بیشتري داشته باشد به عنوان نود با اولویت بالا شناخته شود. به این ترتیب براي هر نود در شبکه نرخ جریان نسبی تعریف میکنیم. این مقدار در رابطه 2 نشان داده شده است:    

-1-4 مکانیزم دفاعی

استراتژي مهاجمین چهار فاکتور دارد. تعداد زامبیهایی که استفاده میکند، نوع توزیعی که هر زامبی براي جریان داده دارد، میانگین نرخ جریان، و انحراف استاندارد - اگر براي توزیع مربوطه لازم باشد - . استراتژي مدافع تنظیم دیواره آتش است. مدافع با محدود کردن نرخ ترافیک UDP میتواند درصد بزرگی از حملههاي سیل آسا را قطع کند. با توجه به مقاله [3]، دیواره آتش با تابع سیگموئید رابطه3 تعریف میشود:

نحوه تاثیر پارامتر β نیز با توجه به شکل1 و 2 مشخص میشود. بزرگ در نظر گرفتن این پارامتر موجب میشود که تمامی بستههاي با نرخ جریان کمتر از M عبور کنند، و بستههاي با نرخ جریان بزرگتر از M حذف شوند.مدافع براي جلوگیري از ازدحام در شبکه M را تنظیم میکند تا حدي که بالاتر از آن بستهها حذف میشوند.در رابطه4 نرخ جریان کاربران قانونی -   - محاسبه میشود. همچنینرابطه5 براي بیان نرخ    جریان مهاجم -   - است در حالتیکه  از دیواره آتش استفاده میکنیم: در رابطه4،احتمال جریان داده براي <کاربران قانونی=است داده قانونی - - ضرب میشود. در رابطه 5 که در میزان جریان  زامبی احتمال جریان داده براي زامبیها است که در میزان جریان داده] ضرب میشود.رابطه میانگین پهناي باند مصرفی توسط مهاجمین در گلوگاه عبارتست از: