ارزیابی امنیتی خودکار مسیرهای تهدید مبتنی بر شبکه‌های پتری

چالش امنیت کلید واژه مشترک و بسیار مهم در میان فناوری های نوظهور مانند اینترنت اشیا، اینترنت وسایل حمل و نقل، سلامت الکترونیکی و غیره می باشد و عدم توجه به این چالش، گاهی صدمات جانی و مالی جبران ناپذیری برای انسان ها در زندگی روزمره ایجاد خواهد کرد. از سویی دیگر، شناسایی و استخراج نیازمندی های امنیتی و تهدیدهای احتمالی در سیستم های مقیاس بزرگ و تعاملی در فاز طراحی نیازمند مدل سازی تهدیدها می باشد که روش های موجود بیشتر به صورت دستی همراه با خطا، صرف هزینه، زمان و عدم ارزیابی تمام احتمال های ممکن می باشد. روش پیشنهادی با نام ارزیابی امنیتی خودکار مسیرهای تهدید به عنوان راه حلی خودکار برای شناسایی و استخراج تهدیدهای احتمالی ارائه شده است. در روش پیشنهادی با افزودن قابلیت های جدید مانند، احتمال شرطی و امنیت به شبکه های پتری امکان تولید خودکار مسیرهای تهدید و ارزیابی امنیتی خودکار به صورت کمی وکیفی از مدل های تهدید ایجاد شده است. روش ارائه شده با سناریوهای مختلف امنیتی سنجش و ارزیابی شده و نتایج به دست آمده نشان می دهد که روش پیشنهادی در مقایسه با سایر روش های موجود تمام خودکار و دارای تضمین امنیتی سطح بالا می باشد.

The Automated Security Evaluation of Threat Paths Based on Petri Nets

The key challenge to be well addressed in case of emerging technologies such as the Internet of Things, Internet of Transportation, eHealth, etc. is the security. Ignoring this challenge can sometimes cause irreparable personal and financial damage to human beings in everyday life. On the other hand, to identify and extract security requirements and potential threats in the design phase of largescale and interactive systems, there is a need to model the threats. The problem is that the existing modelling methods are mostly manual, which are inherently associated with errors, cost, time consumption, and failure to evaluate all conceivable possibilities. The present paper proposes a new method, called “Automated Security Evaluation of Threat Paths”, as an automated solution to the problem of identifying and extracting potential threats. In the proposed method, by adding new capabilities such as conditional probability and security to Petri Nets, it is possible not only to automatically generate the threat paths, but also to automatically evaluate the security of threat models in both quantitative and qualitative ways. In this paper, the performance of the proposed method was evaluated under different security scenarios, and the results showed that, compared to other existing methods, the proposed method offers a higher level of security assurance and also, it is fully automated, unlike the existing methods .