-
شماره ركورد
28911
-
پديد آورنده
محمدگل محمدي
-
عنوان
مدلسازي تهديدات بانكي در فضاي سايبر
-
مقطع تحصيلي
كارشناسي ارشد
-
رشته تحصيلي
مهندسي فناوري اطلاعات گرايش تجارت الكترونيك
-
سال تحصيل
1399
-
تاريخ دفاع
1402/6/19
-
استاد راهنما
دكتر محمدفتحيان
-
دانشكده
مهندسي صنايع
-
چكيده
يكي از بسترهاي كاربردي معاملات بانكي در فضاي سايبري، استفاده از فناوري زنجيره بلوكي و قراردادهاي هوشمند ميباشد كه در آن نياز است توافق طرفين معاملات بانكي به صورت شفاف و بدون تغييرات در مفاد قرارداد هوشمند صورت گيرد. يكي از نگرانيهاي امنيتي موجود در اينگونه معاملات مبتني بر قراردادهاي هوشمند، اجراي خارج از ترتيب عملكردهاي مورد توافق طرفين بوده كه از آسيبپذيري شرط مسابقه نشأت ميگيرد. درواقع حمله شرط مسابقه يك اتفاق غيره منتظره است كه به دليل اجراي دو كار همزمان پديد ميآيد، در حالي كه ماهيت سيستم ايجاب مي كند كه كارها با توالي خاصي پشت سر هم انجام شوند تا آن سيستم به درستي كار كند. از آن جايي كه تشخيص و مدلسازي حملات موجود در سيستمهاي كامپيوتري با بكارگيري مدلهاي پيشرفته و توسعه يافته نظير STRIDE صورت ميگيرد، در اين تحقيق چگونگي استفاده از آن براي مدلسازي تهديدات موجود در فضاي بانكي بر بستر سايبري مورد توجه قرار گرفته است.
يكي از مشكلات قابل طرح آن است كه روش مدلسازي تهديدات مذكور قادر به تشخيص حملات مبتني بر وابستگي ترتيب اجراي تراكنش در فضاي زنجيره بلوكي و قراردادهاي هوشمند نميباشد. حمله وابستگي به ترتيب تراكنش در قرارداد هوشمند زماني اتفاق ميافتد كه يك قرارداد هوشمند مستلزم اين است كه دو تراكنش بايد به يك ترتيب ارسال و اجرا شوند تا نتايج يكساني به دست آيد. اين بدين معناست كه اگر دو تراكنش به قرارداد هوشمند ارائه شود، وضعيت نهايي قرارداد هوشمند بستگي به اين دارد كه كدام يك از آنها ابتدا اجرا شده است.
در اين كار پژوهشي اقدام به توسعه روش جديدي براي مدلسازي تهديدات بانكي كه قادر به تشخيص حملات اجراي خارج از نوبت تراكنش هاي طرفين توافقات باشد، شده است.
در واقع اين كار پژوهشي به منظور توسعه يك روش جديد براي مدلسازي تهديدات بانكي انجام شده است. هدف اين روش جديد، تشخيص حملاتي است كه در آنها اجراي تراكنشهاي بانكي خارج از نوبت و همزمان با توافقات ميان دو طرف انجام ميشود. به عبارت ديگر، اين روش تلاش ميكند تا از روشهاي جديد و پيشرفتهاي در مدلسازي و تشخيص حملات بانكي استفاده كند كه با اجراي تراكنشهاي خارج از نوبت و غير مجاز در زمان توافق بانكي، ميتواند آنها را تشخيص دهد.
روش پيشنهادي، مدل جديدي مبتني بر STRIDE را ارائه ميدهد كه علاوه بر شش دستهبندي حملات موجود در STRIDE، قادر به تشخيص و مدلسازي آسيبپذيري شرط مسابقه و حملات مبتني بر وابستگي ترتيب اجراي تراكنش خواهد بود. بر اساس شبيهسازي انجام شده در شبكههاي مجازي مبتني بر زنجيره بلوكي مانند اتريوم، امنيت و كارايي روش پيشنهادي قابل اثبات ميباشد.
-
تاريخ ورود اطلاعات
1402/07/29
-
عنوان به انگليسي
Modeling banking threats in cyber space
-
تاريخ بهره برداري
9/9/2024 12:00:00 AM
-
دانشجوي وارد كننده اطلاعات
محمد گل محمدي
-
چكيده به لاتين
One of the practical platforms for banking transactions in the cyberspace is the use of block chain technology and smart contracts, where the parties to banking transactions need to be agreed transparently and without changes in the provisions of the smart contract.
One of the security concerns in such transactions based on smart contracts is the out-of-order execution of the functions agreed by the parties, which originates from the vulnerability of the race condition. In fact, a race condition attack is an unexpected event that occurs due to the execution of two tasks at the same time, while the nature of the system requires that the tasks be performed in a certain sequence in order for the system to work properly. Since the detection and modeling of attacks in computer systems is done by using advanced and developed models such as STRIDE, in this research, how to use it to model the threats in the banking space on the cyber platform has been considered. One of the possible problems is that the aforementioned threat modeling method is not able to detect attacks based on the dependence of the order of transaction execution in the space of block chain and smart contracts.
A transaction order dependency attack in a smart contract occurs when a smart contract requires that two transactions must be sent and executed in the same order to achieve the same results. This means that if two transactions are submitted to the smart contract, the final state of the smart contract depends on which one of them was executed first. It has been done outside the turn of the transactions of the parties to the agreements. In fact, this research work has been done in order to develop a new method for modeling banking threats. The purpose of this new method is to detect attacks in which bank transactions are executed out of turn and at the same time as the agreements between the two parties. In other words, this method tries to use new and advanced methods in modeling and detecting bank attacks, which can detect out-of-turn and unauthorized transactions at the time of bank agreement. The proposed method, a new model based on provides STRIDE, which, in addition to the six attack categories available in STRIDE, will be able to detect and model race condition vulnerabilities and transaction execution order dependency-based attacks. Based on the simulation performed in blockchain-based virtual networks such as Ethereum, the security and efficiency of the proposed method can be proven.
-
كليدواژه هاي فارسي
زنجيره بلوكي ، قراردادهاي هوشمند، مدل تهديد، امنيت سايبري
-
كليدواژه هاي لاتين
Block chain, Smart Contracts, Threat model, Cyber security
-
Author
MohammadGolmohammadi
-
SuperVisor
Dr.mohammadFathian
-
لينک به اين مدرک :
