فهرست مطالب

پدافند الکترونیکی و سایبری - سال ششم شماره 4 (پیاپی 24، زمستان 1397)

فصلنامه پدافند الکترونیکی و سایبری
سال ششم شماره 4 (پیاپی 24، زمستان 1397)

  • تاریخ انتشار: 1398/01/31
  • تعداد عناوین: 12
|
  • علی جبار رشیدی*، مجید جعفری، کوروش دادش تبار احمدی صفحات 1-12
    در حال حاضر ابزارهای مختلفی برای ثبت رویدادها و هشدارهای موجود در شبکه ها وجود دارد. با این وجود، نیاز به سامانه ای که بتوان به کمک آن اطلاعات جمع آوری شده از تمام این منابع را به درستی کنار یکدیگر قرار داد و از ترکیب این اطلاعات تصمیم های درست اتخاذ نمود، کاملا محسوس است. اگر قبل از حمله ی مهاجمین بتوان آن را پیش بینی نمود و اثرات آن را تخمین زد، راهبرد دفاعی مشخص تری انتخاب خواهد شد و می توان به میزان قابل توجهی خسارات را کاهش داد. تجسم حملات سایبری، پیش بینی حملات بر اساس یک چارچوب کاری مشخص است. برای این کار می توان از روش های مختلف ریاضی بهره جست. یکی از این روش ها، مدل انتقال باور است. در این پژوهش با استفاده از مدل انتقال باور از دادگان موجود در سطح بالا که همگی رد حمله هستند بهره گرفته ایم و با ترکیب قابلیت و فرصت مهاجم که از مولفه های تجسم حملات سایبری هستند، وضعیت آتی حملات را پیش بینی نموده ایم. الگوریتم پیشنهادی این پژوهش نسبت به الگوریتم قبلی ارائه شده در مرکز ادغام اطلاعات دانشگاه صنعتی مالک اشتر، به طور متوسط 7% بهبود داشته است.
    کلیدواژگان: تجسم حملات سایبری، آگاهی وضعیتی، تخمین خسارت، قابلیت، فرصت، مدل انتقال باور
  • داود اکبری، صادق بجانی*، محمدرضا حسنی آهنگر صفحات 13-22
    در طول تاریخ مهندسی نرم افزار، وجود عیب های نرم افزاری در قلب یک سامانه و عدم پوشش مناسب آن ها قبل از استفاده عملیاتی، اکثر مواقع منجر به وقوع حوادث ناگوار جانی و مالی شده است. آزمونی با پوشش مناسب در سطح کد نرم افزار می تواند از وقوع بسیاری از این حوادث جلوگیری کند. آزمون مسیر مبنا به عنوان قویترین معیار پوشش در آزمون جعبه سفید نرم افزار محسوب می شود. پیش نیاز انجام این آزمون، داشتن مجموعه ای از مسیرهای آزمون است. هرچه تعداد مسیرهای آزمون بیشتر باشد، سطح بیشتری از کد منبع نرم افزار تحت پوشش قرار گرفته و عیوب نرم افزاری بیشتری کشف خواهد شد. در نتیجه یک چالش اساسی قبل از انجام آزمون مسیر مبنای نرم افزار عبارت است از شناسایی حداکثری مسیرهای آزمونی که قابلیت پیمایش داشته باشند. تاکنون کارهایی برای حداکثر نمودن تعداد مسیرهای آزمونی قابل پیمایش از جمله روش GSO انجام گرفته است، اما بررسی نتایج نشان می دهد تعداد مسیرهای آزمونی می تواند بیشتر از آن باشد که در حال حاضر به دست آمده است. یک راه برای این مهم، استفاده از راه حل ترکیبی مبتنی بر دو الگوریتم تکاملی ژنتیک و پرندگان موسوم به EGSO است که در این مقاله پیشنهاد شده است. نتایج ارزیابی ها نشان می دهد که استفاده از EGSO موجب افزایش 91 درصدی تعداد مسیرهای آزمون نسبت به روش GSO شده است.
    کلیدواژگان: آزمون مسیرمبنای نرم افزار، الگوریتم ژنتیک، الگوریتم پرندگان، الگوریتم EGSO
  • اقبال مددی، مسعود معصومی*، علی دهقان منشادی، ابوالفضل چمن مطلق صفحات 23-32
    یکی از چالش های مهم در امنیت سخت افزار مقابله با کپی سازی و استفاده از سخت افزارهای جعلی به جای سخت افزارهای اصلی و واقعی است. در حقیقت هدف این نوع حمله خدشه دار کردن اصالت سخت افزار است و هدف آن کشف کلید یا پارامترهای حساس ابزار رمز نیست. از   این رو، برای مقابله با آن باید تمهیدات ویژه و متفاوت با روش های متداول محافظت از امنیت الگوریتم ها و سامانه ها در نظر گرفته شود. یکی از موثرترین روش های مقابله با این نوع حملات و محافظت از اصالت سخت افزار استفاده از توابع کپی ناپذیر فیزیکی یا پاف است. توابع کپی ناپذیر فیزیکی را می توان برای استخراج پارامترهای مخفی از خصوصیات فیزیکی و ذاتی مدارهای مجتمع مورد استفاده قرار داد. فرآیندهای وابسته پاف ها می توانند انواع و اقسام داشته باشند اما پاف های سیلیکونی که بر مبنای تاخیرها و زمان بندی های خاص هر فرآیند هستند متداول تر هستند. در این مقاله تحقق عملی یک پاف سیلیکونی مبتنی بر نوسان ساز حلقوی بر روی تراشه های FPGA از خانواده Xilinx گزارش شده است. نتایج پیاده سازی نشان داد که با استفاده از پنج نوسان ساز حلقوی قادر به ارائه یک کد امنیتی منحصر به فرد 10 بیتی با مصرف تقریبآ یک درصد از سطح تراشه هدف هستیم ضمن آن که با صرف سخت افزار بیشتر قادر به دست یابی به کدهای طولانی تر و امنیت بیشتر هستیم. تمامی شبیه سازی های انجام شده بر روی یک رایانه قابل حمل با مشخصات پردازنده مرکزی از نوع دو هسته ای با فرکانسGHz  2 و  GB 4 حافظه RAM پیاده سازی شده اند.
    کلیدواژگان: امنیت سخت افزار، توابع کپی ناپذیر فیزیکی، پیاده سازی FPGA
  • سعید پارسا*، هادی خوش روی صفحات 33-44
    بدافزارهای هوشمند دو رفتار دفاع از خود و بدخواهانه دارند. این دو نوع رفتار تحت شرایط محیطی ظاهر می شوند. هدف از این مقاله ارائه راهکاری جهت تشخیص شرایط محیطی برای نمایش رفتار بدخواهانه بدافزارهای هوشمند است. می توان با توجه به عملکرد توابع سیستمی که در لیست فهرست جدول IAT یک بدافزار موجود است و در بین این توابع آن هایی که در عمل در زمان اجرا فراخوانی نشده اند، به بدافزار مشکوک شد. با تحلیل عملکرد هر تابعی که وجود منبعی در محیط را بررسی می کند و با فراهم کردن منبع مورد درخواست می توان به مرور منابع و شرایط لازم برای اجرای رفتار بدخواهانه را مشخص کرد. درواقع با توجه به اینکه در یک اجرا، تابع سیستمی مورد فراخوانی وجود چه منبع و شرایط محیطی  را بررسی می کند و با ایجاد آن منابع و شرایط می توان در طی اجراهای متوالی هر چه بیشتر و به مرور شرایط محیطی و منابع لازم برای برقراری این شرایط را مشخص نمود تا اینکه نهایتا بعد از چند اجرا این شرایط و منابع مربوطه مشخص شوند. ارزیابی های انجام شده در یک محیط جعبه شن، کارایی روش پیشنهادی را مشخص کرده است.
    کلیدواژگان: جعبه شن، بدافزار، بدافزارهای هوشمند، تحلیل بدافزار، شرایط محیطی
  • کبری طالقانی زاده، مهدی گل سرخ تبار امیری* صفحات 45-59
    سامانه باز شناسی از طریق امواج رادیویی، مزایای فراوانی در زمینه شناسایی در مقیاس وسیع، افزایش سرعت و کاهش هزینه دارد. به همین دلیل این سامانه کاربرد بسیاری در جهان مدرن دارد و می توان از آن به عنوان یک ابزار ضروری برای بهبود زندگی بشر بهره جست. از آنجا که این فناوری با چالش های جدی در زمینه امنیت و حفظ حریم خصوصی روبروست، کاربرد آن همراه با نگرانی های امنیتی و تاخیر در استانداردسازی محدود شده است. با توجه به کاربرد وسیع فناوری RFID در سامانه های با مقیاس بزرگ و اهمیت حفظ حریم خصوصی در این سامانه ها، این مقاله به معرفی یک پروتکل احراز هویت خصوصی گمنام متقابل (MAPAP) با ویژگی های حفظ حریم خصوصی و  مقیاس پذیری توام با احراز هویت متقابل پروتکل می پردازد. سپس میزان حریم خصوصی در آن با استفاده از معیار نشت اطلاعات اندازه گیری شده و ملاحظه می شود میزان اطلاعات افشا شده به وسیله این پروتکل زمانی که به خطر افتاده است نسبت به احراز هویت مبتنی بر گروه به مقدار قابل توجهی کمتر می باشد. چنانچه، در یک سامانه با تعداد 220 برچسب ملاحظه می شود با افزایش تعداد برچسب های به خطر افتاده، اختلاف میزان نشت اطلاعات بین این پروتکل و  پروتکل احراز هویت مبتنی بر گروه افزایش می یابد به طوری که وقتی تعداد برچسب های به خطر افتاده در این سامانه به 150 عدد می رسد پروتکل پیشنهادی به میزان 65% کمتر از احراز هویت مبتنی بر گروه، اطلاعات را افشا می نماید و این اختلاف با افزایش اندازه سامانه افزایش می یابد.
    کلیدواژگان: بازشناسی از طریق امواج رادیویی، احراز هویت متقابل، حریم خصوصی، امنیت، گمنامی
  • محسن یادگاری، سید علیرضا سیدین* صفحات 61-78
    یکی از مهم ترین ارکان یک سامانه تلفیق داده، مسئله ارزیابی تهدید اهداف است. در این مقاله برای پیاده سازی یک شبکه کامل ارزیابی تهدید از دو الگوی ترسیمی نقشه شناختی فازی و شبکه بیزین استفاده شده است. ساختار این شبکه تعداد زیاد و متنوعی از متغیرهای ارزیابی تهدید را شامل شده و به طور مناسبی با یکدیگر مرتبط می سازد. با توجه به وجود عدم قطعیت در تمامی مسائل ارزیابی تهدید، انواع عدم قطعیت و روش های برخورد با آن در این مقاله موردتوجه قرار می گیرد. همچنین یک بررسی جامع بر روی انواع روش های لحاظ کردن هر دو نوع عدم قطعیت فازی و احتمالاتی انجام شده است و برای این موضوع روشی جدید ارائه می گردد. در این روش از دو شبکه فازی و بیزین مجزا برای لحاظ کردن عدم قطعیت ها استفاده شده که گام به گام روش پیشنهادی به طور کامل تشریح می گردد. همچنین در این مقاله چالش های بزرگ مسئله ارزیابی تهدید مطرح شده و نشان داده می شود که روش پیشنهادی قابلیت حل این مسائل را دارد. برای نشان دادن کارآمدی روش پیشنهادی مجموعه ای از معیارهای اعتبارسنجی کیفی و کمی در این مقاله ارائه شده است. یک رفتار حرکتی اهداف هوایی شبیه سازی شده و نتایج روش پیشنهادی به طور کیفی و کمی با دو روش نقشه شناختی فازی و شبکه بیزین مقایسه می شود. این نتایج بیانگر آن هستند که روش پیشنهادی ازلحاظ جذر میانگین مربعات خطا، درجه حساسیت کلی و جزئی و درجه تفکیک پذیری بهتر از دو روش دیگر عمل می کند. همچنین کارآمدی ساختار و روش پیشنهادشده مورد تایید متخصصین حوزه مدیریت نبرد قرار گرفته است.
    کلیدواژگان: ارزیابی تهدید، نقشه شناختی فازی، شبکه بیزین، قواعد، عدم قطعیت فازی و احتمالاتی، معیارهای اعتبارسنجی
  • وحید یادگاری، احمد رضا متین فر* صفحات 79-89
    با گسترش خدمات مبتنی بر اینترنت و توسعه وب سایت ها، تهدیدات سایبری نیز در حال افزایش است.یکی از این تهدیدات، انجام حملات منع سرویس و ایجاد اختلال در خدمات یک وب سایت می باشد. حملات منع سرویس لایه وب و یا کاربردی از طریق ایجاد مصنوعی حجم زیاد ترافیک بر روی وب سرور تولید و باعث اخلال در سرویس دهی وب می گردد. در این تحقیق برای شناسایی این دسته از حملات، لاگ های وب سرور با ایجاد پنجره های زمانی 20 ثانیه ای و محاسبه میزان فعالیت هر آی پی دسته بندی گردیده و سپس آنتروپی مربوط به هر آی پی در پنجره زمانی محاسبه و از طریق واریانس آنتروپی پنجره های زمانی دارای پیوستگی تعیین و در مرحله بعد از طریق الگوریتم ماشین بردار پشتیبان، شبکه آموزش داده می شود تا پنجره های زمانی ناهنجار و درنهایت آی پی آدرس هایی که منجر به حملات منع سرویس و یا منع سرویس توزیع شده اند دسته بندی و برچسب گذاری شوند. مدل پیشنهادی بر روی مجموعه داده استاندارد EPA-HTTP پیاده سازی و نتایج آن با سایر روش ها مقایسه گردید که بیانگر بهبود نتایج نسبت به نتایج سایر تحقیق های قبل هست.
    کلیدواژگان: رخدادهای وب، حملات منع سرویس، واریانس، آنتروپی، ماشین بردار ماشین
  • رضا کیوان شکوه*، مجید اخوت صفحات 91-104
    هدف ضعیف در رادار به اهدافی گفته می شود که به صورت عادی سطح مقطع راداری کمی داشته باشد و یا این که به صورت عمدی میزان سیگنال برگشتی از این اهداف کاهش یافته باشد. برای آشکارسازی یک هدف ضعیف، الگوریتم های مختلفی وجود دارد. اما در شرایطی که این هدف در مجاورت یک هدف بزرگ باشد، لوب های جانبی خروجی فیلتر منطبق ناشی از هدف بزرگ، هدف ضعیف را می پوشاند و یا پنهان می سازد. فیلتر فشرده سازی پالس وفقی که از تخمین گر RMMSE بهره می برد، توانایی آشکارسازی هدف ضعیف پوشیده شده را دارد. اما حداقل سه عامل محدودکننده (بار محاسباتی، مقاومت در برابر دوپلر و گرفتگی پالس) برای پیاده سازی و کاربردهای عملی RMMSE وجود دارد. در این مقاله الگوریتمی بهینه و یکپارچه مبتنی بر پساپردازش وفقی، برای آشکارسازی اهداف و غلبه بر چالش های RMMSE در   سامانه های پدافندی الکترونیکی پیشنهاد می گردد. مقایسه کیفی عملکرد الگوریتم پیشنهادی  FFL-APCRبه ازاء SNRها و سرعت های مختلف اهداف با دیگر الگوریتم ها، نشان می دهد که الگوریتم FFL-APCR برای پیاده سازی در سامانه های زمان واقعی مناسب است. الگوریتم FFL-APCR می تواند اهداف ضعیف با سرعت های زیاد و دچار گرفتگی پالس را با بار محاسباتی کمتر آشکار نماید.
    کلیدواژگان: فیلتر منطبق، فشرده سازی پالس وفقی، گرفتگی پالس، پساپردازش وفقی، حداقل مجذور مربعات خطا تکراری
  • سارا طبقچی میلان، نیما جعفری نویمی پور* صفحات 105-122
    اخیرا فناوری رایانش ابری توانسته است در مدت زمان کوتاهی محبوبیت گسترده ای بیابد. لذا با توجه به این محبوبیت شمار قابلیت ها و  ویژگی های خدمات ابری نیز رو به افزایش می باشد. در محیط های ابری به منظور یافتن ارائه دهنده معتبر و انتخاب بهترین منابع در  زیرساخت های ناهمگن ابری، اعتماد نقش مهمی را ایفا می کند. عدم اعتماد مشتریان به ارائه دهندگان خدمات ابری بزرگ ترین مانعی است که اغلب برای پذیرش خدمات ابری در نظر گرفته می شود. در این پژوهش سعی بر تدوین مدل شناسایی ارائه دهندگان خدمات ابری نامعتبر خواهد بود که با استفاده از ویژگی های ارزیابی اعتماد به ارائه دهندگان ابری، اعتبارسنجی انجام خواهد گرفت. در رویکرد پیشنهادی به منظور تشخیص فراهم کنندگان ابری ترکیب روش شبکه عصبی با وزن دهی سلسله مراتبی ارائه شده است و علت به کار گرفتن شبکه عصبی، قابلیت پیدا کردن و تشخیص مقادیر بهینه آن می باشد. نتایج شبیه سازی حاکی از آن است که درصد خطای این روش 005/0% می باشد که به نسبت روش های رایج دیگر دارای دقت بیشتری است.
    کلیدواژگان: خدمات ابری، اعتماد، شبکه عصبی، تحلیل سلسله مراتبی
  • سیروس قاسمی، سعید پارسا* صفحات 123-133
    با توجه به ناکارآمدی روش های تحلیل ایستا به واسطه روش های بدافزاری نظیر چندریختی، دگرریختی و مبهم سازی کد و کد خود تصحیح، روش های تحلیل پویا و مکاشفه ای که اساسا مبتنی بر تحلیل رفتار زمان اجرای بدافزار هستند، از اهمیت ویژه ای برخوردار شده اند. پیدایش بدافزار های آگاه به محیط، که با به کارگیری روش های ضد تحلیلی پویا سعی در پنهان سازی رفتار بدخواهانه خود در صورت تشخیص محیط ها و ابزارهای تحلیل دارند، در عمل روش های تشخیص پویای بدافزار را با مشکل مواجه نموده است. با در نظرگیری دوگانگی رفتار چنین بدافزارهایی، در این تحقیق راه کاری موثر با هدف تشخیص بدافزارهای آگاه به محیط ارائه شده است. این روش مبتنی بر پایش فراخوانی های سیستمی نمونه های بدخواه و بی خطر تحت دو نرم افزار NtTracce و drstrace با روش های متفاوت پایش و محاسبه فاصله رفتاری حاصل، برای گردآوری داده ها جهت ایجاد مدلی برای شناسایی این دسته از بدافزارها است. نهایتا یک دسته بند ماشین بردار پشتیبان، با یادگیری مجموعه داده ی آموزش متشکل از بدافزارهای آگاه به محیط و نرم افزارهای بی خطر، با روش اعتبارسنجی متقابل و جستجوی گرید با قابلیت تشخیص این نوع بدافزارها با میانگین دقت، یادآوری و صحت قابل توجه تا حد 100%، ارائه می شود. در حالی که ارزیابی های انجام شده در کار مرتبط قبلی میانگین دقت، یادآوری و صحت را به ترتیب 58/96%، 68/95% و 125/96% نشان می دهد.
    کلیدواژگان: بدافزارهای آگاه به محیط، روش های ضد تحلیلی، فراخوانی سیستمی، فاصله رفتاری، ماشین بردار پشتیبان
  • عباس چراغی چالشتری*، محمد غلامی صفحات 135-142
    در این مقاله، یک کران پایینی برای نسبت اطلاعات حاصل ضرب دکارتی یک درخت دلخواه با قطر حداقل 3 و دور  برای هر  خواهیم یافت. علاوه براین، بهترین نسبت اطلاعات طرح تسهیم راز کامل برپایه گراف  را تعیین می کنیم که در آن،  گراف حاصل از ضرب دکارتی دور به طول 6 با گراف مکعب است. به طور دقیق تر، نشان داده می شود که برای هر ، نسبت اطلاعات  دقیقا برابر با  است.
    کلیدواژگان: طرح تسهیم راز، نسبت اطلاعات، حاصل ضرب دکارتی
  • زهرا جعفرپور، فرهاد راد*، حمید پروین صفحات 143-152
    تشخیص نفوذ در فضای سایبری زمینه مهمی برای تحقیقات امروزی در حوزه امنیت شبکه های کامپیوتری است. هدف از طراحی و پیاده سازی سامانه های تشخیص نفوذ، دسته بندی دقیق کاربران مجاز، هکرها و نفوذ کنندگان به شبکه براساس رفتار طبیعی و غیرطبیعی آنها است. با توجه به افزایش چشمگیر حجم داده های رد و بدل شده در فضای سایبری، شناسایی و کاهش ویژگی های نامناسب داده ها نقش مهمی در افزایش دقت و سرعت سامانه های تشخیص نفوذ خواهد داشت. در این مقاله، روشی نوین برای انتخاب ویژگی داده های شبکه به نام ادغام ویژگی افزایشی پیشنهاد شده است. روش پیشنهادی، با ادغام سطح به سطح و گام به گام ویژگی ها، زیر مجموعه ای از ویژگی های مناسب را به گونه ای انتخاب می نماید تا در نهایت سامانه تشخیص نفوذ بتواند با دقت و سرعت بیشتری شناسایی نفوذها را انجام دهد. هدف از ارایه روش پیشنهادی، به کارگیری آن در سامانه های تشخیص نفوذ جهت شناسایی یک اتصال عادی از یک اتصال حمله و خراب کارانه به شبکه است. نتایج آزمایش های انجام شده بر روی مجموعه داده NSL-KDD نشان داده است که روش پیشنهادی در مقایسه با دیگر روش ها، از میان 41 ویژگی موجود در پایگاه مورد بررسی، 6 ویژگی مهم را انتخاب و تنها با تکیه بر همین شش ویژگی قادر است نفوذ را با دقت بالای 58/99 درصد تشخیص دهد. به عبارت دیگر، روش پیشنهادی به ازای هر 10000 اتصالی که به شبکه انجام شده است، تنها در شناسایی 42 مورد ناکام مانده و حمله یا عادی بودن 9958 اتصال دیگر را به درستی تشخیص داده است. در پایان، مدت زمان اجرای الگوریتم و درصد دقت روش پیشنهادی در مقایسه با دیگر روش ها بررسی و بهبود نتایج به دست آمده گزارش شده است.
    کلیدواژگان: امنیت در فضای سایبری، تشخیص نفوذ، رده بندی، انتخاب ویژگی، حمله
|
  • A. J. Rashidi*, M. Jafari, K. Dadashtabr Ahmadi Pages 1-12
    "Nowadays there are so many tools available for capturing the events and alerts within networks. The need for a system that could aggregate the information generated by these tools and combine them to make    better decisions is strongly acknowledged. If we could predict cyber attacks and estimate their effects     before they actually occur, we would be able to apply a better defense strategy and reduce the damage to our critical assets. The projection of cyber attacks is to predict them based on a certain framework using mathematical methods. One of these methods is the Transferable Belief Model (TBM). In this paper, we used the TBM to combine capability and opportunity of attackers - which are cyber attacks' projection  components- to project the future situation of attacks. We have also tested our results against our  customized high-level attack tracks dataset. The result of comparison between our algorithm and the  previously presented algorithm at the Information Fusion Centre of Malek-Ahstar University of Technology shows an average improvement of 7%.
    Keywords: Cyber Attacks Projection, Situation Awareness, Damage Estimation, Capability, Opportunity, Transferable Belief Model
  • D. Akbari, S. Bejani*, M. R. Hassaniahangar Pages 13-22
    Throughout the history of software engineering, the existence of software defects at the heart of a system and lack of proper treatment before operational use has always led to serious personal and financial      disasters. A test that can provide an appropriate coverage at the code-level of software can prevent many of these incidents. The basis path test is considered as the strongest coverage criterion in the white software box test. The prerequisite for a basis path testing is to have a set of test paths. The greater the number of test paths to be scanned, the greater the amount of software source code that will be covered and so more software holes will be discovered. As a result, a basic challenge before running a software path test is to produce the maximum test paths that can be scrolled. So far, some work has been done to maximize the number of scrollable test paths, including the GSO method, but the results indicate that the number of test paths can be greater than currently achieved. In this paper we have proposed a method to achieve this goal by a hybrid solution based on two evolutionary genetic and birds algorithms. The results of evaluations show that using the proposed solution has led to an increase in the number of scrollable test paths up to 91% comparing with the GSO method.
    Keywords: Software basis path, genetic algorithm, particle swarm optimization, EGSO algorithm
  • Masoud Masoumi * Pages 23-32
    One of the challenges in the hardware security is withstanding cloning and hardware duplication. In fact this attack aims hardware originality so the defense mechanism should be different from common system security and algorithm protection. Applying Physically Unclonable Functions (PUFs) is one of the most effective protection methods.
    Physically Unclonable Functions (PUFs) are functions that generate a set of random responses when stimulated by a set of pre-defined requests or challenges. Since these challenge-response schemes extract hidden parameters of complex physical unpredictable properties of substrate materials, such as delay of interconnections and wiring in the CMOS process and devices, they are called physically unclonable    functions. They are mainly used for electronic security purposes such as hardware verification and/or    device authentication mechanisms, protection of sensitive intellectual property (IP) on devices and         protection against insecure hardware connections and communications. PUF-based security mechanisms have some obvious advantages compared to traditional cryptography-based techniques, including more resistance against physical and side channel attacks and suitability for lightweight devices such as RFIDs.
    In FPGA devices, PUFs are instantiated by exploiting the propagation delay differences of signals caused by manufacturing process variations. However, real implementation of PUFs on FPGAs is a big challenge given the fact that the resources inside FPGAs are limited, and that it is not easy to simulate the behavior of PUF using existing software tools. In addition, there are a few articles that explain details of the implementation of PUFs on FPGAs. In practice, it usually takes a long time to get a simple PUF to work both in simulations and on board.
    In this work, we describe a practical realization of a ring-oscillator based PUF on Xilinx FPGAs and illustrate how such architecture is mapped into some FPGAs from this device family. Using this              architecture, we obtain a unique 10-bit code which can be used to identify a chip between many similar  devices of the same family in order to provide a reliable access control and authentication mechanism.  Simulations are carried out using a dual core computer with 2 GHz clock frequency and 4 GBytes RAM memory.
    Keywords: Hardware Security, Physically Unclonable Function, FPGA Implementation
  • S. Parsa*, H. khoshruy Pages 33-44
    Smart malware samples have two different types of behaviors, namely defensive and aggrasive which they exhibit according to environmental conditions. This article offers a new method for detection of              environmental conditions suitable for exhibition of aggrasive behaviors. Considering the list of system  functions, apparant in the IAT table of a malware, those APIs which are not invoked at runtime could be identified as grounds for suspecting the executable file as a malware. Analyzing the functionality and task of these APIs and the ones invoked at runtime, the conditions and resources required for the malware to     reveal its malicious behavior, could be determined. In fact, supplying all the required conditions and      resources requested through one or more API calls, at a run, the malware could be prepared for asking for the next possible resource in the next run. This process could be repeated as far as no more conditions or resources are looked for. In order to evaluate the suggested method, three known malware samples are   analysed in our sandboxing environment, Parsa.
    Keywords: Sandbox, Malware, Smart Malware, Malware Analysis, Conditions Environment
  • K. Taleghanizadeh, M. Golsorkhtabaramiri* Pages 45-59
    Radio frequency identification (RFID) has many advantages in the field of large-scale identification, including speed increase and cost reduction.For this reason, this system has many applications in the   modern world and can be used as an essential tool for improving human life. Since this technology faces serious challenges in the field of security and privacy, its applications has been limited due to security   concerns and delays in standardization. Given the widespread use of RFID technology in large-scale systems, and importance of privacy in these systems, this article introduces a mutual anonymous private authentication protocol (MAPAP); a protocol which adds privacy and scalability features to a mutual    authentication protocol. In this new protocol the privacy is measured using the information leakage criterion and it is seen that the amount of information disclosed by this protocol when compromised is significantly less than group-based authentication. In a system with 220 tags, with the increase in the number of compromised tags, the difference in information leakage between this protocol and the group-based authentication protocol increases, such that, when the number of compromised tags in this system reaches 150, information disclosed by the proposed protocol is about 65 percent less than group-based authentication and this difference increases with increasing system size.
    Keywords: RFID, Mutual Authentication, Privacy, security, Anonymity
  • M. Yadegari, S. A. Seyedin* Pages 61-78
    Threat assessment is one of the most important pillars of data fusion systems. In this paper, we use two graphical models: fuzzy cognitive map and bayesian network to implement a complete threat assessment network. The structure of this network includes numerous variables of threat assessment and relates them well to each other. Given the uncertainty in all threat assessment issues, various types of uncertainty and how to deal with them are considered in this article. A comprehensive review has also been carried out on a variety of methods for incorporating both types of fuzzy and probabilistic uncertainties and a new approach is proposed. In this method, two separated fuzzy and bayesian networks are used to consider uncertainties. The approach of the proposed method is fully described, step-by-step. Furthermore, this paper addresses the major challenges of the threat assessment problem and shows that the proposed method is capable of solving these issues. To illustrate the effectiveness of the proposed method, a set of qualitative and         quantitative validation criteria is presented. As a test a scenario for air targets is simulated and the results of the proposed method are qualitatively and quantitatively compared with fuzzy cognitive map and    bayesian network methods. These results indicate that the proposed method works better than other      methods regarding root mean square error, total and trivial sensitivity degree and seperation degree. Moreover, the effectiveness of the proposed structure and method has been confirmed by experts in the field of battle management.
    Keywords: Threat assessment, Fuzzy Cognitive Map, Bayesian Network, Rules, Fuzzy, Probabilistic uncertainty, Validation criteria
  • V. Yadegari, A. R. Matinfar* Pages 79-89
    By expanding Internet-based services and developing websites, cyber threats are also increasing. One of these threats is to perform denial-of-service attacks and interfere with the services of a website. Web or  application-layer service blocking attacks by creation of artificial traffic impose a heavy traffic on the web server and thus disrupt the Web service. In this research, to detect these attacks, Web server logs are     classified by applying 20 second time windows and calculating the activity level and the entropy of different IPs in each time window. Using entropy variance, time windows with continuity are determined. In the next stage, through the backup machine algorithm, the network is trained to store abnormal time windows, and ultimately IP addresses that lead to blocked service attacks or service disruptions are classified and       labelled. The proposed model was implemented on the EPA-HTTP standard dataset indicating improvement compared to previous studies.
    Keywords: Support Vectore machin(SVM), entropy, DDOS, log, Variance
  • R. Kayvanshokooh*, M. Okhovat Pages 91-104
    The targets that either have low radar cross-section typically, or their return signal has been deliberately reduced are referred to as weak targets in radar terminology. There are several algorithms for detection of a weak moving target. When such a target is in the vicinity of a large target, the side lobes of the matched filter output due to the large target mask or hide the weak target. The adaptive pulse compression filter that uses the RMMSE estimator has the ability to detect the masked weak target. However, there are at least three factors (computational load, Doppler robustness and pulse eclipsing) which limit the practical application of RMMSE. In this paper, an optimized and integrated algorithm based on adaptive post-processing is proposed to detect targets and to overcome the challenges of RMMSE in electronic defense systems. The FFL-APCR proposed algorithm when compared qualitatively to other algorithms indicates better performance for different SNRs and various target velocities, showing that it is more suitable for implementation in real-time systems. The FFL-APCR algorithm can detect high speed and pulse eclipsed weak targets with lower computational load.
    Keywords: Matched Filter, Adaptive Pulse Compression, Eclipsing Pulse, Adaptive Post-Processing, Reiterative Minimum Mean Square Error
  • S. Tabaghchi Milan, N. Jafari Navimipour* Pages 105-122
    Recently, cloud computing has become very popular. Due to this popularity, the number of cloud services’ features is increasing continuously. To find a reliable provider in the cloud environment and select the best resources in the heterogeneous infrastructures, trust plays an important role. Customers  distrust in cloud service providers is considered as a barrier to cloud service acceptance. This research develops a model for identifying invalid cloud service providers, in which validation is examined using cloud providers’ trust evaluation features. In this approach, in order to detect cloud providers, the neural network method with a robust hierarchical weight estimation is proposed; analytical hierarchical process is being used for its capability in finding and detecting optimal values. The simulation results indicate an   error rate of 0.055%, showing this method to be more accurate compared to the state-of-the-art methods.
    Keywords: Cloud service, Trust, neural network, analytical hierarchical process
  • S. Ghasemi, S. Parsa* Pages 123-133
    Given the inefficiency of static analysis methods due to malware techniques such as code polymorphism, metamorphism, and obfuscation, and self-modifying code, leveraging dynamic and heuristic analysis   methods that are based on the analysis of runtime behavior of malwares, have become particularly important. Environment-aware malware that attempts to conceal its malicious behavior through dynamic anti-analysis methods has caused problems for dynamic analysis detection methods in practice. The purpose of this study is to present an effective method for environment-aware malware detection. Regarding to split–personality of such malware behaviors, this research has proposed an effective way to detect environment-aware malware. This method is based on system call monitoring of malicious and benign  samples under the two NtTrace and drstrace softwares with different monitoring techniques and calculating behavioral distances as training data to create a Support Vector Machine model. Finally, the resulted    support vector machine classifier is used to detect this type of malware with an average precision, recall and accuracy up to 100%, whereas the evaluation of previous related work shows an average precision, recall and accuracy 96.85%, 95.68% and 96.12%, respectively.
    Keywords: Environment-aware malware, Anti-analysis techniques, System call, Behavioral Distance, Support Vector Machines
  • A. Cheraghi*, M. Gholami Pages 135-142
    In this paper, we find a lower-bound for the information ratio of the cartesian product of an arbitrary tree with diameter at least  3 and a cycle Cm  for every m³3. Moreover, we determine the best information ratio of the perfect secret sharing scheme based on the graph  constructed from the cartesian product of a cycle of  length 6 with  the d -dimensional cube Qd . More precisely, it is shown that for every d³1 , the information ratio of  is exactly
    Keywords: Secret Sharing Scheme, Information Ratio, Cartesian Product
  • Z. Jafarpour, F. Rad*, H. parvin Pages 143-152
    Intrusion detection is an important subject of research in the cyberspace field. In an Intrusion DetectionSystem (IDS), redundant and irrelevant features have a negative impact on the IDS performance. Therefore, an appropriate feature selection method is an important part of IDSs for eliminating unrelated and redundant features. In this paper, a new feature selection method is proposed that joins features level to level and step by step to select a subset of proper features in order to finally detect intrusion more accurately and speedily. The purpose of the proposed method is applying it in intrusion detection systems to distinguish a normal the connection from an intruding connection to the network. The experiments on the NSL-KDD dataset show that the proposed method in comparison with other methods selects only six important features among the 41 features in the baseline, and can detect an intrusion with precision above 99.58% by relying only on these six features. In other words, the proposed method's failure has been 42 in 10,000 connections of the network and has correctly identified other 9958 regular connections and labeled them as normal. Finally, improvement in the algorithm runtime and the percentage accuracy of the proposed method in comparison with other methods has been verified and reported.
    Keywords: Security in cyberspace, Intrusion detection, Classification, feature selection, anomaly, attack