في محاولة لمواجهة التهديدات المتزايدة للهجمات السيبرانية على نظم التحكم الصناعية، عمل فريقٌ من جامعة الملك عبد الله للعلوم والتقنية (كاوست)، يضمّ الباحثين الدكتور وو وانج والدكتور فوزي هاررو، وتقوده الدكتورة يِنج سون أستاذة علوم الإحصاء المشاركة، على تطوير طريقةٍ لرصد هجمات الاختراق الخبيثة.
نظم التحكم الصناعي
تكمن أهمية نظم التحكم الصناعية القائمة على الإنترنت في استخدامها على نطاقٍ واسع لمتابعة وتشغيل المصانع ومنشآت البنية التحتية الحيوية. وكانت هذه النظم في الماضي تعتمد على شبكات مُخصَصة باهظة التكلفة، لكن نقلها إلى شبكة الإنترنت قلل تكلفتها وسهَل الوصول إليها. إلا أن ذلك جعلها أيضاً أكثر عرضةً للهجمات التي تتزايد خطورتها مع نمو استخدام تقنية إنترنت الأشياء (IoT).
ولا تبدو الحلول الأمنية التقليدية كالجدران النارية وبرمجيات مكافحة الفيروسات مناسبةً لحماية نظم التحكم الصناعية، بسبب السمات التي تختصّ بها. كما أن التعقيد الشديد لتلك النظم يجعل من الصعب حتى على أفضل الخوارزميات أن ترصد الحوادث الشاذة التي قد تنبئ بتعرضها للاختراق.
وعلى سبيل المثال، قد تكون هناك أسبابٌ طبيعية لأي سماتٍ تُلاحظ في أداء تلك النظم وتبدو مريبةً، كتدفقات الطاقة المفاجئة، أو التعطُّل التسلسلي لقواطع الدوائر الكهربائية. ويفاقم من تلك المشكلة أنَ المتمرسين من منفّذي الهجمات السيبرانية ربما يكونون بارعين في تمويه تحركاتهم.
لكن بينما عجزت الخوارزميات في الماضي عن التصدّي لتلك الهجمات، فقد تبين أنَ هناك نهجاً في تعلُّم الآلة يستطيع رصد نوعية الأنماط المعقَّدة المذكورة بكفاءةٍ أكبر بكثير، وهو نهج «التعلم العميق».
حلول «التعلم العميق»
يعتمد نهج «التعلم العميق» في عمله على دوائر يُطلَق عليها اسم الشبكات العصبية، والنماذج القائمة على هذا النهج تُدرَب ولا تُبَرمَج. فبدلاً من كتابة تعليماتها باستخدام الأكواد (الرموز المشفّرة)، يَعرِض عليها مطوّروها أمثلةً مختلفة لتتعلّم منها، مما يسمح لها بتحسين دقتها مع كل خطوة.
ودرَب فريق سون خمسة نماذج مختلفة للتعلّم العميق واختبرها، باستخدام بياناتٍ وفَّرها مركز حماية البنى التحتية الحيوية التابع لجامعة ولاية ميسيسبي الأميركية. كانت النماذج الخمسة عبارة عن نماذج محاكاة متاحة للعامة، تحاكي أنواعاً مختلفة من الهجمات، مثل هجمات حَقْن الحزم packet injection (عملية يتداخل عبرها المهاجمون السيبرانيون في شبكة اتصال قائمة عبر حزم إضافية لتعطيلها أو اعتراضها)، والهجمات الموزعة للحرمان من الخدمة (DDOS)، التي تتعرَّض لها نظم الطاقة وخطوط الغاز.
قارن الباحثون بين قدرتي «نماذج التعلم العميق»، وأحدث الخوارزميات على رصد هجمات الاختراق. وتبيَّن أنَه بينما تراوح معدل دقة أفضل الخوارزميات إجمالاً بين 80 و90 في المائة، فإن دقة نماذج التعلم العميق تراوحت بين 97 و99 في المائة.
ومن اللافت للاهتمام بشدة أنَه عندما دمج الباحثون بين نماذج التعلم العميق الخمسة، زادت نسبة الدقة لتتجاوز 99 في المائة بفارقٍ معتبر. هذا الدمج يعني ببساطة إضافة نتائج جميع النماذج الخمسة وحساب متوسطها. وأوضح هاررو ذلك قائلاً: «جرَّبنا دمج نموذجين معاً، ثم ثلاثة نماذج، ثم أربعة، حتى وصلنا إلى مستوى الدقة الذي ننشده بعد دمج خمسة نماذج».
