Top

باحثو «كاوست» يطورون طريقة لرصد الهجمات السيبرانية  بدقة تتجاوز 97%

تطويع نهج التعلُّم العميق المُدمَج لرصد اختراق أنظمة التحكم الصناعية.

في محاولة لمواجهة التهديدات المتزايدة للهجمات السيبرانية على أنظمة التحكم الصناعية، عمل فريقٌ من جامعة الملك عبد الله للعلوم والتقنية (كاوست)، يضمّ الباحثين الدكتور وو وانج و الدكتور فوزي هاررو، وتقوده الدكتورة يِنج سون أستاذة علوم الإحصاء المشاركة، على تطوير طريقةٍ لرصد هجمات الاختراق الخبيثة.

وتكمن أهمية أنظمة التحكم الصناعية القائمة على الإنترنت في استخدامها على نطاقٍ واسع لمتابعة وتشغيل المصانع ومنشآت البنية التحتية الحيوية. وكانت هذه الأنظمة في الماضي تعتمد على شبكات مُخصَّصة باهظة التكلفة، لكنَّ نقلها إلى شبكة الإنترنت قلَّل تكلفتها وسهَّل الوصول إليها. إلَّا أنَّ ذلك جعلها أيضًا أكثر عرضةً للهجمات التي تتزايد خطورتها مع نمو استخدام تقنية إنترنت الأشياء (IoT).

ولا تبدو الحلول الأمنية التقليدية كالجدران النارية وبرمجيات مكافحة الفيروسات مناسبةً لحماية أنظمة التحكم الصناعية، بسبب السمات التي تختصّ بها. كما أنَّ التعقيد الشديد لتلك الأنظمة يجعل من الصعب حتى على أفضل الخوارزميات أن ترصد الحوادث الشاذة التي قد تنبئ بتعرضها للاختراق.

فعلى سبيل المثال، قد تكون هناك أسبابٌ طبيعية لأي سماتٍ تُلاحظ في أداء تلك الأنظمة وتبدو مريبةً، كتدفقات الطاقة المفاجئة، أو التعطُّل التسلسلي لقواطع الدوائر الكهربائية. ويفاقم من تلك المشكلة أنَّ المتمرّسين من منفّذي الهجمات السيبرانية ربما يكونون بارعين في تمويه تحركاتهم.

حلول "التعلم العميق"

لكن بينما عجزت الخوارزميات في الماضي عن التصدّي لتلك الهجمات، فقد تبين أنَّ هناك نهجًا في تعلُّم الآلة يستطيع رصد نوعية الأنماط المعقَّدة المذكورة بكفاءةٍ أكبر بكثير، وهو نهج "التعلم العميق".

يعتمد نهج "التعلم العميق" في عمله على دوائر يُطلَق عليها اسم الشبكات العصبية، والنماذج القائمة على هذا النهج تُدرَّب ولا تُبَرمَج. فبدلًا من كتابة تعليماتها باستخدام الأكواد، يَعرِض عليها مطوّروها أمثلةً مختلفة لتتعلّم منها، ما يسمح لها بتحسين دقتها مع كل خطوة.

ودرَّب فريق سون خمسة نماذج مختلفة للتعلّم العميق واختبرها، باستخدام بياناتٍ وفَّرها مركز حماية البنى التحتية الحيوية التابع لجامعة ولاية ميسيسبي الأمريكية. كانت النماذج الخمسة عبارة عن نماذج محاكاة متاحة للعامة، تحاكي أنواعًا مختلفة من الهجمات، مثل هجمات حَقْن الحزم packet injection (عملية يتداخل عبرها المهاجمون السيبرانيون في شبكة اتصال قائمة عبر حزم إضافية لتعطيلها أو اعتراضها)، والهجمات الموزعة للحرمان من الخدمة (DDOS)، والتي تتعرَّض لها أنظمة الطاقة وخطوط الغاز. قارن الباحثون بين قدرتي "نماذج التعلم العميق"، وأحدث الخوارزميات على رصد هجمات الاختراق. وتبيَّن أنَّه بينما تراوح معدل دقة أفضل الخوارزميات إجمالًا بين 80 و90%، فإنَّ دقة نماذج التعلم العميق تراوحت بين 97 و99%.

ومن اللافت للاهتمام بشدة أنَّه عندما دمج الباحثون بين نماذج التعلم العميق الخمسة، زادت نسبة الدقة لتتجاوز 99% بفارقٍ معتبر. هذا الدمج يعني ببساطة إضافة نتائج جميع النماذج الخمسة وحساب متوسطها. وأوضح هاررو ذلك قائلًا: "جرَّبنا دمج نموذجين معًا، ثم ثلاثة نماذج، ثم أربعة، حتى وصلنا إلى مستوى الدقة الذي ننشده بعد دمج خمسة نماذج".

ونهج التعلم العميق المُدمَج الذي اتبعه الفريق ويُعرف باسم stacked deep learning، يبدو أنَّه قد يصبح وسيلةً دفاعية فعَّالة في الحروب السيبرانية، التي تعتبرها الحكومات اليوم من التهديدات الأمنية الكبرى. فمن خلاله ربما يمكن صد هجمات سيبرانية مثل التي تعرَّضت لها شبكة الكهرباء في أوكرانيا عام 2015، وأسفرت عن انقطاع الطاقة في آلاف المنازل.