فرص بحثية للباحثين في #الامن_السيبراني/امن المعلومات في استخدام او تهيئة SDN لرصد التهديدات الامنية مثل فيروسات الفدية.
اولاً، عملت في الماجستير على دراسة احد فيروسات الفدية (تحليله بشكل مصدري و تنفيذي) و من ثم وضع حلول مفهومية له و تطبيقها على SDN. الحمدلله جزء من العمل نشر في مجلة IEEE Access ( مصنفة Q1 و ذات عامل تاثير عالي جداً). لذلك ساحاول على قدر المستطاع ان افصل الية البحث في هذه المواضيع.
الخطوة الاولى
تبدا من اختيارك لعائلة معينة من الفيروسات ولا بد ان تكون تتواصل خارجياً (سواء للانتشار او C&C). العائلة لا بد ان تكون ذات تاثير سابق او تمتلك خصائص جديدة. مثلاً الدراسات السابقة غطت WannaCry و BadRabbit. يمكنك اختيار مثلاً Bots في IoT و التركيز مثلاً على Mirai.
تبدا من اختيارك لعائلة معينة من الفيروسات ولا بد ان تكون تتواصل خارجياً (سواء للانتشار او C&C). العائلة لا بد ان تكون ذات تاثير سابق او تمتلك خصائص جديدة. مثلاً الدراسات السابقة غطت WannaCry و BadRabbit. يمكنك اختيار مثلاً Bots في IoT و التركيز مثلاً على Mirai.
الخطوة الثانية
بعد الاختيار تبداء بتحليل هذه البرمجية الخبيثة مصدرياً لفهم خصائصها (عدة كتب ومصادر ستساعدك على فهم الكود المصدري، استخراج المعلومات الخ). بعد ذلك تشغيل هذه البرمجية في بيئة امنه و مراقبة حركة مرورها لاكتشاف الانماط الغريبه التي يمكن من خلالها رصد هذه البرمجيات.
بعد الاختيار تبداء بتحليل هذه البرمجية الخبيثة مصدرياً لفهم خصائصها (عدة كتب ومصادر ستساعدك على فهم الكود المصدري، استخراج المعلومات الخ). بعد ذلك تشغيل هذه البرمجية في بيئة امنه و مراقبة حركة مرورها لاكتشاف الانماط الغريبه التي يمكن من خلالها رصد هذه البرمجيات.
بمعنى، حدد النقاط الي يمكن تستخدمها لرصد هذه البرمجية بشكل فعال قبل الانتشار او قبل التواصل مع المتحكم. الحلول السابقة على SDN شملت:
1. حظر المنافذ المشبوهه (غير فعال نظراً لحظر بعض المنافذ الضرورية في الشبكة مثل 445/SMB)
1. حظر المنافذ المشبوهه (غير فعال نظراً لحظر بعض المنافذ الضرورية في الشبكة مثل 445/SMB)
2.استخدام القوائم السوداء (قائمة بعناوين الايبي او المواقع المعروف انها مصدر للفيروسات) برضو حل غير فعال للبرمجيات الخبيثة الحديثة.
3. تحليل احجام الحزم المتبادلة (من الممكن حصول رصد خاطئ)
4. التعداد لحزم ARP (تستخدمها غالبية الفيروسات لمسح الشبكة)
3. تحليل احجام الحزم المتبادلة (من الممكن حصول رصد خاطئ)
4. التعداد لحزم ARP (تستخدمها غالبية الفيروسات لمسح الشبكة)
5.التفتيش العميق لحركة المرور (البحث عن نصوص معينة في حركة المرور للرصد)
6.حضر الاصدارات القديمة من بروتوكول SMB باستخدام تفتيش راس الحزمة
7.استخدام الفخاخ (honeypot)
8.استخدام بدائي لخورازميات الذكاء الاصطناعي
6.حضر الاصدارات القديمة من بروتوكول SMB باستخدام تفتيش راس الحزمة
7.استخدام الفخاخ (honeypot)
8.استخدام بدائي لخورازميات الذكاء الاصطناعي
كل هذه الحلول لديها سلبيات و بالتالي البناء عليها يجعل من عملك افضل ومنافس للاوراق الاخرى.
الخطوة الثالثة
بناء معمل SDN باستخدام احد البيئات الافتراضية مثلاً Virtualbox (ساضع مصادر في الاسفل تشرح SDN و الية ضبط المعمل). البيئة يجب ان تحتوي على متحكم، نظام او نظامين ضحية و نظام مصاب.
هنا تغريدة د. عيسى السميري توضح اهمية و مفهوم SDN.
بناء معمل SDN باستخدام احد البيئات الافتراضية مثلاً Virtualbox (ساضع مصادر في الاسفل تشرح SDN و الية ضبط المعمل). البيئة يجب ان تحتوي على متحكم، نظام او نظامين ضحية و نظام مصاب.
هنا تغريدة د. عيسى السميري توضح اهمية و مفهوم SDN.
الخطوة الرابعة
تبدأ بتطبيق حلولك المقترحة على المتحكم، مثلاً انا اعتمدت على متحكم Pox و هو يعتمد على البايثون وبالتالي برمجت حلولي باستخدام البايثون (لا تحتاج الى احترافية في البرمجة لكن قدرة على التكويد).
تبدأ بتطبيق حلولك المقترحة على المتحكم، مثلاً انا اعتمدت على متحكم Pox و هو يعتمد على البايثون وبالتالي برمجت حلولي باستخدام البايثون (لا تحتاج الى احترافية في البرمجة لكن قدرة على التكويد).
اخيراً المخرجات المتوقعة هي ورقة علمية تنشر في مجلة (جزء من التحليل و كامل عملك للرصد) وورقة علمية تنشر في مؤتمر (التحليل للبرمجية الخبيثة). الجامعات التي تعمل على هذا الموضوع حالياً محدودة وهم جامعة يورك ببريطانيا و جامعة وارسو للتكنولوجيا ببولندا.
جاري تحميل الاقتراحات...