Clear Sky Science
شروحات قائمة على الأدلة وخفيفة المصطلحات

Clear Sky Science · ar

النمذجة الرياضية لاستراتيجيات أمن المعلومات التكيفية باستخدام نماذج سلوكية مركبة

· العودة إلى الفهرس

لماذا تهم الدفاعات الإلكترونية الأذكى

من سجلات المستشفيات إلى شبكات الطاقة، أصبحت حياتنا تعتمد اليوم على أنظمة رقمية تتعرض لهجمات مستمرة. لم تعد العصابات الإجرامية والمخترقون المدعومون من دول يستخدمون خدعًا بسيطة ومباشرة؛ بل ينسجون حملات طويلة ومتخفّية تتكيف مع ردود فعل المدافعين. يقدم هذا البحث طريقة جديدة لنمذجة هذه اللعبة الرياضية بين الخصم والمدافع، بهدف تزويد المدافعين بأدوات تتكيف في الزمن الحقيقي بدلاً من الاعتماد على قواعد ثابتة أو نماذج تعليم آلي لمرة واحدة.

Figure 1
Figure 1.

حدود الجدران الحامية الحالية

تبحث معظم أدوات الحماية الحالية إما عن بصمات معروفة لهجمات سابقة أو عن شذوذات إحصائية بسيطة في حركة الشبكة. يستخدم البعض الآخر نظرية الألعاب أو التعلم الآلي لتوقع التهديدات. كل نهج من هذه النهج يلتقط شقًا واحدًا من الواقع: فقد يُمثَّل المهاجم أو المدافع، لكن نادرًا ما يجمعان معًا، وغالبًا ما يفترض سلوكًا لا يتغير كثيرًا مع مرور الزمن. أظهر استعراض أدبي كبير في هذه الدراسة، شمل 75 ورقة بحثية من 2018 إلى 2025، أن أقل من ثلث النماذج الحالية تحاول دمج أنماط سلوكية مختلفة، وفقط نحو ربعها يدعم التكيف في الزمن الحقيقي الحقيقي. بعبارة أخرى، تعاملت معظم النماذج مع الصراع السيبراني كظاهرة ثابتة وأحادية البُعد، رغم أن التسللات الحقيقية تتكشف على مراحل متعددة وتستجيب لتحركات المدافعين.

نظرة موحّدة للمهاجمين والمدافعين

يقترح المؤلفون نموذج سلوك مركب ينسج العديد من النماذج الصغيرة للمهاجمين والمدافعين في صورة ديناميكية موحّدة. على جانب المهاجم، يمثل مراحل مثل مسح الشبكة، والاقتحام، والتنقل الجانبي بين الأنظمة، والحفاظ على موطئ قدم خفي. وعلى جانب المدافع، يتضمن مكونات مثل كشف الشذوذ، وضبط جدران الحماية، وإعادة توجيه موارد الحوسبة إلى حيث تكون الحاجة أكبر. تُربط كل هذه الأجزاء بمعادلات رياضية تصف كيفية تغير حالة النظام ككل مع الزمن، بما في ذلك عدم اليقين والاضطرابات العشوائية. والأهم من ذلك، أن المدافع لا يمتلك رؤية كاملة لما يجري؛ بل يرى إشارات ضوضائية—مثل تنبيهات وسجلات غير كاملة—ويجب أن يستنتج ما الذي يفعله المهاجم على الأرجح ويستجيب وفقًا لذلك.

تحويل الرياضيات إلى دفاعات متحركة

لاختبار أفكارهم، بنى المؤلفون بيئة محاكاة مفصلة باستخدام مجموعات بيانات سيبرانية شائعة (NSL-KDD وUNSW-NB15) وحملات هجوم تركيبية واقعية مُستلهمة من مراحل "سلسلة القتل" التي يستخدمها المتسللون المعاصرون. تتقدم الهجمات كسلاسل احتمالية من الأحداث، مع توقيت عشوائي وضوضاء في المستشعرات لإظهار ظروف الشبكات الحقيقية الفوضوية. تستخدم مكونات الدفاع قواعد تعلم وتحكم تغذوي لضبط العتبات، وإعادة تهيئة الدفاعات، وإعادة تخصيص الموارد مع وصول أدلة جديدة. يعمل النموذج كحلقة مغلقة: يغير المهاجمون تكتيكاتهم استجابةً للدفاعات، ثم تتكيف الدفاعات مرة أخرى، وهكذا، مما يسمح للباحثين بدراسة سلوك النظام ككل عبر آلاف من خطوات الزمن.

Figure 2
Figure 2.

ما تكشفه المحاكاة

عبر نطاق واسع من السيناريوهات—من التسللات البسيطة إلى حملات معقدة وبطيئة الحركة ضد أنظمة تحكم صناعية محاكاة—تفوق النموذج المركب باستمرار على الدفاعات التقليدية غير التكيفية وعلى عدة معايير متقدمة. حقق معدلات كشف قريبة أو أعلى من 90 بالمئة في ظروف ضوضاء منخفضة وظل فوق نحو 85 بالمئة حتى عندما أصبح المهاجمون أكثر تطورًا أو عندما تلفت بيانات المراقبة بشدة بالضوضاء. مقارنةً بنموذج ثابت أساسي، كشف عن هجمات أكثر، وتفاعل أسرع مع تغيّر سلوك المهاجم، واستخدم موارد الحوسبة بشكل أكثر فعالية، مخفضًا التنبيهات الكاذبة مع تجنب تكاليف خارجة عن السيطرة. أكدت اختبارات إحصائية أن هذه المكاسب لم تكن نتيجة صدفة، وبقيت ديناميكيات النظام الداخلية مستقرة بدلاً من الانزلاق إلى فوضى بينما يتكيف المهاجمون والمدافعون مع بعضهم البعض.

ماذا يعني ذلك لأمننا اليومي

لغير المختصين، الرسالة الأساسية هي أن الدفاع السيبراني يمكن نمذجته أكثر كبيئة إيكولوجية متطورة بدلاً من جدار ثابت. من خلال وصف رياضي لكيفية تفاعل العديد من سلوكيات المهاجمين والمدافعين عبر الزمن—ومن خلال احتساب عدم اليقين والرؤية الجزئية—يُظهر الإطار المقترح طريقًا لأنظمة أمن تتعلم أثناء الهجوم، لا فقط قبله. يمكن لنماذج مركبة وتكيفية كهذه أن تدعم أدوات مستقبلية تعيد بهدوء تشكيل دفاعات الشبكة بينما تتكشف التهديدات، مما يساعد الخدمات الحيوية على البقاء متصلة وموثوقة حتى مع ازدياد إصرار وابتكار الخصوم.

الاستشهاد: Nuaim, A.A., Nuaim, A.A., Nadeem, M. et al. Mathematical modeling of adaptive information security strategies using composite behavior models. Sci Rep 16, 10755 (2026). https://doi.org/10.1038/s41598-026-45315-5

الكلمات المفتاحية: الأمن السيبراني التكيفي, نمذجة التهديدات السلوكية, ديناميكيات الهجوم–الدفاع, أنظمة أمان عشوائية, كشف التسلل