serderehi

serderehi

عدم م­قطعیت در تصمیم گیری

باید در نظر داشت که از هانی پات سنتی، برای محافظت از شبکۀ شرکت استفاده می­ شود و تولید آن نیز با همین هدف انجام می­گیرد. به طور کلی هانی­پات را می­توان برای دو هدف تولید و پژوهش (تحقیقات)، مورد استفاده قرار داد. هدف از نوع تولید، کمک به کاهش ریسک دریک سازمان، از طریق کاهش آسیب یک حمله کننده به یک کامپیوتر واقعی یا برنامه و جلوگیری از گسترش حملات او به سایر منابع محاسباتی است؛ نوع تحقیقاتی آن به منظور جمع آوری اطلاعات حمله کنندگان، مورد استفاده قرار می­گیرد.

( اینجا فقط تکه ای از متن فایل پایان نامه درج شده است. برای خرید متن کامل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. )

علاوه بر این هانی­پات­ها را می­توان براساس معیار فیزیکی و مجازی، طبقه ­بندی نمود؛ نوع فیزیکی آن، به صورت یک ماشین واقعی در شبکه است، در حالی که مجازی، یک نرم افزار پردازش است و هردوی این­ها نیاز به یک آدرسIP دارند (آرتیل و همکاران، ۲۰۰۶).
لازم به ذکر است که درکنار هانی­پات، هانی­نت یک نوع خاص از این سیستم می­باشد که حداکثر سطح فریب برای حمله کنندگان را از طریق ایجاد تمام دام­های شبکه فراهم می ­آورد؛ از این رو یک هانی­نت ممکن است برای اهداف پژوهشی یا حفاظتی گسترش یابد (چوواکین، ۲۰۰۳). این سیستم دارای معانی خاصی مرتبط با هانی­پات است و استفادۀ اصلی از آن برای کارهای تحقیقاتی می­باشد (ژانگ و همکاران، ۲۰۰۳).

تست­های امنیتی:
تست­های امنیتی به منظور بررسی اثربخشی زیرساخت‌های امنیتی، عملکرد مکانیزم کنترل دسترسی، زمینۀ عملیاتی مشخص شده و وجود آسیب پذیری‌های شناخته شده در زیرساخت‌ها انجام می‌گیرد و به سازمان‌ها، در شناسایی نقاط ضعف سیستم تجارت الکترونیک خود کمک می­نمایند تا از این طریق ضعف‌های خود را برطرف و به مزیت رقابتی
بیشتری در این حوزه دست یابند. اما کشل و همکاران (۲۰۰۴)، مطرح کردند که سازمان‌ها معمولاً به دلایلی مانند: ترس از تأثیر برروی بازارمالی، آسیب دیدن شهرت و پس از آن ریسک اختلافات حقوقی، ریسک بدست آوردن اطلاعات توسط هکرها که می‌تواند در حملات مورد استفاده قرار گیرد و در نهایت نگرانی پرسنل IT در زمینۀ از دست دادن کار خود، از انجام دادن تست‌های امنیتی اجتناب می‌کنند (کشل و همکاران، ۲۰۰۴، به نقل از هاگن و دیگران،۲۰۰۸). نیاز در زمینۀ تست کردن امنیت یک سازمان با توجه به دو عامل اصلی مطرح می­ شود: نخستین عامل به اهمیت اندازه­­گیری مربوط می­ شود؛ به این­که پیاده­سازی زیرساخت­های امنیتی تا چه اندازه­ای سیاست­های امنیتی و نیازهای امنیتی یک سازمان را اجرا می­ کند. همان­طور که پیاده­­سازی زیرساخت­های امنیتی، نیازمند مداخلات بشر است، یک تست مناسب امنیتی، برای بررسی هرگونه خطای انسانی نیاز است. عامل دیگر از آسیب­پذیری زیرساخت­های امنیتی موجود، تهدیدات و سوء استفاده­های جدید ناشی می­ شود. با توجه به این­که در سال­های اخیر، نرخ ورود انواع جدیدی از تهدید و سوء استفاده در حوزۀ تجارت الکترونیک، هشدار دهنده بوده است، بنابراین اهداف اصلی تست­های امنیتی شامل موارد زیر است:
تأیید مشخصات امنیتی مورد نیاز از قبیل محل دارایی­ ها، مکانیزم­ های کنترل دسترسی برای دارایی، مفاهیم عملیاتی سازمان، خدمات موجود سیستم و مکانیزم­ های کنترل دسترسی آنها، اتصال درون سازمان و اتصال سازمان با محیط بیرون
تأیید پیکربندی ابزارهای امنیتی مشخص شده در زیرساخت­های امنیتی، برای مثال آیا ابزارهای امنیتی برای حفظ امنیت دارایی­ ها، به درستی نصب و پیکربندی شده ­اند یا خیر؟
تأیید وجود هرگونه شکافی بین زیرساخت­های امنیتی پیشنهاد و اجرا شده
تأیید محدودیت زیرساخت­های امنیتی پیشنهاد شده، با توجه به آسیب پذیری­های شناخته شده
به طور کلی می­توان دونوع تست را در زمینۀ امنیتی نام برد: تست پذیرش[۱۹۴] و تست نفوذ[۱۹۵]؛ در تست پذیرش بررسی می­ شود که زیرساخت­های امنیتی به اجرا در آمده، با سیاست­های امنیتی سازمان انطباق دارد یا خیر و در تست نفوذ، به این موضوع پرداخته می­ شود که زیرساخت­های امنیتی موجود برای دفع تمام تهدیدات امنیتی ممکن تا چه اندازه کافی است (سنگوپتا و همکاران، ۲۰۰۵).

فیشینگ[۱۹۶]:
در دنیای تجاری امروزی بسیاری از ارائه دهندگان خدمات اینترنتی، از کاهش اعتماد کاربران نسبت به تجارت الکترونیک، احساس نگرانی می­ کنند و یکی از مشکلاتی که اخیراً در حوزۀ کامپیوتر مطرح شده است بحث فیشینگ می­باشد که در واقع نوعی سرقت هویت اینترنتی است که هدف آن سرقت اطلاعات حساس از قبیل کلمات عبور بانکداری آنلاین و اطلاعات کارت اعتباری کاربران می­باشد. استفاده از حملات فیشینگ، ترکیبی از مهندسی اجتماعی و تکنیک­های فنی جاسوسی است که به منظور متقاعد کردن کاربران، برای ارائۀ اطلاعات حساسشان به کار برده می­ شود و مهاجم پس از
آن می ­تواند از آنها برای ایجاد منافع مالی استفاده کند (کردا و کروگل[۱۹۷]، ۲۰۰۵).
از این رو یک ایمیل، می ­تواند باعث فریب قربانیان برای دادن اطلاعات نام کاربری، رمزعبور، یا اطلاعات حساب پس از این­که آنها را به وب سایت جعلی تجارت الکترونیک بانک لینک نمودند، ­شود. به این ترتیب فیشینگ از پیام­های یک ایمیل جعلی به منظور فریب کاربران برای افشای اطلاعاتشان استفاده می­ کند (فرنل و ذکری[۱۹۸]، ۲۰۰۶).
حمله به شرکت­ها و نه مشتریان
بعضی از برنامه ­های فیشینگ به جای هدف قرار دادن اطلاعات شخصی قربانی، در جهت بدست آوردن اطلاعات باارزش در پایگاه دادۀ شرکت، از افراد استفاده می­ کنند. در این حالت فیشرها، برنامه ­های مشابهی را برای هدف قراردادن کارکنان یک شرکت و دزدیدن اطلاعات لاگین اینترانت شرکت به کارمی­برند. این موضوع به حمله کنندگان اجازه می­دهد تا وارد شبکۀ اینترانت شرکت شده و اطلاعات محرمانه را سرقت کنند و مشکلات دیگر را پدید آورند.
درخواست فاکتورهای تصدیق هویت
بانک­ها می­توانند حملات فیشینگ را از طریق خواستن دو فاکتور، تصدیق هویت نمایند؛ فاکتور اول نام کاربری و رمزعبور کاربر می­باشد و دیگری، یک تصویر و یا عبارت تصدیق هویت است که شرکت کننده؛ با یک بانک یا یک فروشندۀ آنلاین، از قبل انتخاب می­نمایند (گی­یر[۱۹۹]، ۲۰۰۵).

 


انواع حملات فیشینگ
حملات فیشینگ به چندین دسته تقسیم می­شوند؛ اولین شکل حملات فیشینگ مبتنی بر ایمیل است که به اواسط دهه ۹۰ میلادی مربوط می­ شود. این نوع حملات شامل یک ایمیل جعلی است که حمله کننده، آن را برای کاربرانی می­فرستد که درصدد متقاعد کردن آنها برای ارسال کلمه عبور و اطلاعات حساب کاربری آنها است. اگرچه امروزه امکان موفقیت این حملات وجود دارد، اما نرخ موفقیت آنها از نقطه نظر حمله کنندگان، به دلیل آگاهی کاربران از عدم ارسال اطلاعات حساس از طریق ایمیل، کاهش یافته است و به دلیل افزایش آگاهی، بسیاری از سازمان­های حساس امنیتی، از قبیل بانک­ها، دیگر خدمات تعاملی از طریق اینترنت را به این دلیل که کاربران باید رمزعبور خود را ارائه نمایند، فراهم نمی­کنند. بر این اساس، امروزه بسیاری از حملات فیشینگ، ترکیب پیچیده­تری از ایمیل­ها و وب سایت­های جعلی برای سرقت اطلاعات قربانیان هستند و چنین حملاتی رایج­ترین شکل حملات فیشینگ می­باشند. در این حمله، مهاجمان ایمیل­های جعلی زیادی که به نظر می­رسد از یک سازمان مشروع مثل بانک باشد را، به طور تصادفی برای کاربران ارسال می­ کنند و مصرانه خواستار به روز رسانی اطلاعات شخصی آنها می­شوند؛ سپس قربانیان مستقیماً به وب سایتی شبیه سایت­های بانکداری الکترونیک، مراجعه می­ کنند و از کاربران خواسته می­ شود که اطلاعات شخصی خود را وارد نمایند.
بعضی از حملات فیشینگ از لحاظ فنی پیچیده­تر بوده و از آسیب پذیری شناخته شده در مرورگرهای رایج وب از قبیل اینترنت اکسپلورر، برای نصب نرم­افزارهای مخرب در جهت جمع آوری اطلاعات، استفاده می­ کنند. امکان دیگر برای مهاجم، تغییر تنظیمات پروکسی کاربران مرورگر است، به طوری که تمام ترافیک وب کاربر از سرور حمله کننده عبور می­ کند (کردا و کروگل، ۲۰۰۵).
در این راستا برای جلوگیری ازفیشینگ، آنتی فیشینگ مطرح شده است که چندین تکنیک آن در حال رواج است، اما بیشتر شرکت­ها برروی یک یا دو تکنیک آنتی فیشینگ تمرکز دارند. یک کلید برای بیشتر این روش­ها، داشتن ارائه دهندگان خدمات اینترنت[۲۰۰] نزدیک به وب سایت­های فیشینگ می­باشد؛ با این حال این روش می ­تواند وقت­گیر و پرهزینه باشد و حتی در کشورهایی که قوانین ضد هک ندارند، تلاش برای بستن سایت­ها می ­تواند بی­فایده باشد. با این وجود چندین شرکت آنتی فیشینگ[۲۰۱]، خدمات تلافی جویانه­ای را ارائه می­ دهند؛ بعضی از این شرکت­های امنیتی، با فرستادن اطلاعات جعلی مالی، به طوری که سایت نمی­تواند بپذیرد که ممکن است قربانی این اطلاعات باشد، واکنش نشان می­ دهند (گی­یر، ۲۰۰۵).
پس از بررسی ادبیات مربوط به مؤلفه­ ها و ساختار ارائه شده در زمینۀ امنیت تجارت الکترونیک، لازم است ادبیات مرتبط با روش به کار رفته در پژوهش حاضر را مورد بررسی قرار دهیم؛ لذا مباحث مرتبط با روش شناسی از جمله عدم­قطعیت در تصمیم ­گیری، آنتروپی شانون، فازی، تئوری دمپستر _ شیفر و تعارض در تصمیمات را به طور مختصر مورد بررسی قرار می­دهیم.

عدم م­قطعیت در تصمیم گیری:
بسیاری از مسائل دنیای واقعی، از جهات گوناگون فاقد قطعیت هستند، می­توان گفت در بسیاری از حالات، اطلاعات موجود از یک مسئله یا سیستم، ناقص است؛ برای مثال ممکن است اطلاعات ناقص[۲۰۲]، مبهم[۲۰۳]، غیردقیق[۲۰۴]، متناقض[۲۰۵] باشد. وجود انواع اطلاعات ناقص، منجر به انواع مختلف عدم­اطمینان می­گردد و مسلماً تصمیم ­گیری در شرایط عدم­قطعیت، یکی از مهمترین مسائل در حوزۀ سیستم­های کنترل و خبره است، بنابراین یک فاکتور پیچیده در توسعۀ پشتیبانی­تصمیم و سیستم­های کارشناسی، بررسی قضاوت­های غیرقطعی است.
علاوه بر این انسان معمولاً با عدم­قطعیت و حتمیت مواجه است؛ عدم حتمیت در رابطه با کفایت اطلاعات و عدم­قطعیت در رابطه با جامعیت استنتاجات خود. از لوازم عدم حتمیت امکان وجود خطا در رفتار انسان بوده، زیرا وی معمولاً فاقد اطلاعات جامع و همه جانبه از محیط پیرامون خود است (کلر، کلر و یوان، ۱۳۸۹).
در سال­های اخیر مجامع علمی و مهندسی، تعاریف سودمندی از عدم­­قطعیت ارائه دادند که ماهیت دوگانه عدم­قطعیت با تعاریف زیر از هلتون (۱۹۹۷)، بیان گردیده است:
عدم­قطعیت نامعلوم[۲۰۶]
این نوع عدم­قطعیت، در نتیجۀ این واقعیت است که یک سیستم می ­تواند به طور تصادفی عمل نماید. این نوع عدم­قطعیت به نام­های عدم­قطعیت تصادفی، عدم­قطعیت غیرقابل تقلیل، تغییرپذیری، عدم­قطعیت نوعA، عدم­قطعیت عینی شناخته می­ شود.
عدم­قطعیت معرفت شناختی[۲۰۷]
نوعی از عدم­قطعیت است که در نتیجۀ کمبود دانش در مورد یک سیستم، روی می­دهد و از ویژگی­های عملکرد تحلیلگران، در هنگام تجزیه و تحلیل است و با عنوان­های عدم­قطعیت ذهنی، عدم­قطعیت نوع B، عدم­قطعیت ناشی از دانش، جهل و عدم­قطعیت تقلیل پذیر، شناخته می­ شود (هلتون، ۱۹۹۷، به نقل از سنتز و فرسون[۲۰۸]، ۲۰۰۲).
در دهه­های اخیر، نظریه­ های ریاضی مختلفی برای اقدام در شرایط عدم­قطعیت و اطمینان ابداع شده و تعمق یافته­اند که برخی از آنها عبارت­اند از: نظریۀ کلاسیک مجموعه­ها (اکزل، فورت و نگ[۲۰۹]، ۱۹۷۴)، نظریۀ مجموعه­های فازی (دوبویس[۲۱۰]، ۱۹۸۰)، نظریۀ احتمال (اکزل و همکاران، ۱۹۷۴؛ اش[۲۱۱]، ۱۹۷۲)، نظریۀ امکان (پرید و دوبویس، ۱۹۸۷)، نظریۀ شواهد دمپستر_شیفر (شیفر، ۱۹۷۶)، نظریۀ مجموعه­های تصادفی (نگوین[۲۱۲]، ۱۹۸۷)، نظریۀ اندازه­ های فازی (کلمنت[۲۱۳]، ۱۹۸۰)، نظریۀ احتمال پیشامدهای فازی (زاده، ۱۹۶۸)، نظریۀ دمپستر_شیفر فازی شده (پرید، ۱۹۸۱).
برخی از این نظریه ­ها فقط یک نوع خاص از عدم­اطمینان و نظریه­ های عمومی­تر (مانند نظریه شواهد دمپستر _ شیفر) بیش از یک نوع عدم اطمینان را در بر می­گیرند؛ به این معنی که جنبه­ های مختلف نقض اطلاعات وابسته به یک مسئله را مورد توجه قرار می­ دهند. در مورد این­که در زمانی که تحلیلگران با عدم­قطعیت مواجه هستند از کدام تئوری و چارچوب استفاده نمایند، باید به سطح توسعۀ تئوری، استفاده و موارد کاربرد آن تئوری در مباحث علمی پرداخت. گرچه پرداختن به موارد مختلف عدم­اطمینان در این نوع نظریه ­ها، پیچیدگی محاسباتی زیادی را در بر خواهد داشت، اما می­توان برای موارد متفاوت عدم­اطمینان، نظریه­ های متفاوتی را در مراحل مختلف حل مسئله در نظر گرفت.
برای نمایش عدم­قطعیت شناختی، از تئوری احتمال، تئوری دمپستر _ شیفر، تجزیه و تحلیل بازه­ها، تئوری امکان و مجموعه­های فازی استفاده می­ شود. مزیت تئوری دمپستر _ شیفر این است که با بهره گرفتن از آن می­توان، عدم­قطعیت شناختی را بررسی و کمی کرد. در بحث بررسی عدم­قطعیت، آنتروپی نیز کاربرد دارد، در واقع آنتروپی یک اندازۀ کمی از عدم­قطعیت ارائه می­دهد و اخیراً آنتروپی فازی با الهام از آنتروپی شانون، برای تعیین عدم­قطعیت ناشی از کمبود اطلاعات و حل مشکلات تصمیم گیری پیشنهاد شده است (پاشا، مصطفایی، خلج و خلج[۲۱۴]، ۲۰۱۳).
بنابراین با توجه به مطالب مطرح شده، همچنین پیچیدگی ذاتی و عدم امنیت در تجارت الکترونیک از یک سو و مشارکت تعداد زیادی از کارشناسان در تصمیم ­گیری چندمعیاره از سوی دیگر، یک عدم­قطعیت در زمینۀ ارزیابی مسائل کلیدی در امنیت تجارت الکترونیک وجود دارد که سبب ایجاد نیاز برای استفاده از روش­های متداول ارزیابی، در شرایط عدم­قطعیت می­ شود؛ براین اساس در پژوهش حاضر، از روش­های، آنتروپی شانون، فازی و تئوری دمپستر _ شیفر استفاده شده است که در ادامه به طور مختصری به بررسی آنها می­پردازیم.

آنتروپی شانون:
به طور کلی دو روش عینی و ذهنی برای تعیین وزن به کار می­رود؛ وزن­دهی ذهنی براساس ترجیحات و قضاوت­های ذهنی تصمیم گیرنده است، در حالی که وزن­دهی عینی از ارزش­های مشاهده شده ناشی می­گردد (لی، وو و لای[۲۱۵]، ۲۰۱۳). روش­های مختلفی در زمینۀ وزن­دهی مطرح است که یکی از روش­ها در این حوزه، فرایند تحلیل سلسله مراتبی است؛ علی­رغم مزایایی که برای فرایند تحلیل سلسله مراتبی بیان می­ شود، این روش به دلیل بی­توجهی به عدم­قطعیت و مبهم بودن اطلاعات حاصل از نظر تصمیم گیرندگان، نقد شده است (دنگ[۲۱۶]، ۱۹۹۹)؛ بنابراین در پژوهش حاضر از آنتروپی شانون به منظور تعیین وزن استفاده شده است. لازم به ذکر است که آنتروپی علاوه بر رشته­ های مهندسی، درسایر شاخه­ های علمی نظیر ریاضی، آمار، فیزیک، اقتصاد، حسابداری، زبان، روانشناسی، نظریۀ مجموعه­های فازی و علوم کامپیوتر کاربرد دارد (محتشمی، ۲۰۰۴).
هارتلی (۱۹۲۸)، نخستین فردی بود که تعاریفی از اطلاع، در مهندسی ارتباطات ارائه داد و بی­شک کلود. ای. شانون (۲۰۰۱-۱۹۱۶) پدر نظریۀ اطلاع می­باشد؛ او برای نخستین بار ارتباط را به عنوان یک مسئلۀ ریاضی در نظر گرفت و به مهندسین ارتباطات، راه تعیین ظرفیت یک کانال ارتباطی را داد. به طور کلی این باور وجود دارد که نظریۀ اطلاع، با انتشار مقالۀ شانون (۱۹۴۸)، تحت عنوان نظریۀ ریاضی ارتباطات، نظم یافت. او با تعریف ریاضی آنتروپی و با کاربرد آن در یک منبع اطلاعاتی، موفق شد گنجایش مورد نیاز کانال را برای انتقال اطلاعاتی که به صورت ارقام در پایۀ ۲ کد گذاری شده بودند، تعیین کند؛ در واقع اطلاع شانون، اندازۀ اطلاع موجود در یک پیام است. امروزه آنتروپی جایگاه ویژه­ای در مباحث قابلیت اعتماد یافته است (اسدی و ابراهیمی،۲۰۰۰) و شانون اندازه ­گیری کمی از عدم­قطعیت را به همراه توزیع احتمال از متغیر تصادفی در نرم­های آنتروپی را تعریف می­ کند (معظم نیا و بنکداری، ۱۳۹۳).
لازم به ذکر است که هرگاه در آنتروپی صفر باشد، صفر در نظر گرفته می­ شود؛ ویژگی­هایی که باعث می­ شود آنتروپی را یک معیار عدم­قطعیت بدانیم عبارتند از:
الف)
آنتروپی هیچگاه منفی نیست، اما امکان دارد صفر باشد. آنتروپی صفر می­ شود، اگر و تنها اگر قطعیت کامل وجود داشته باشد؛ یعنی همۀ احتمال سیستم به یک پیشامد اختصاص یافته باشد.
ب) همواره و برابری، تنها در زمانی رخ می­دهد که: باشد.

 

serderehi
serderehi

شاید خوشتان بیاید

پاسخ ها

نظر خود را درباره این پست بنویسید
منتظر اولین کامنت هستیم!
آیدت: فروش فایل، مقاله نویسی در آیدت، فایل‌های خود را به فروش بگذارید و یا مقالات‌تان را منتشر کنید👋