کشف بلادرنگ سناریوهای حمله از طریق همبسته‌سازی هشدارهای سیستم تشخیص نفوذ

STUDENT

DEGREE

YEAR

Computer networks are essential in today's information society. These networks are usually connected to the global internet network. Since security had not been considered as one of the original internet design goals, in recent decades securing networks against attacks has become very much important. Nowadays various security systems and tools such as Intrusion Detection Systems (IDS) are deployed in networks to provide security. When an IDS observes any suspicious events representing an unauthorized access, abuse or harmful activity damaging systems and computer networks, it produces some alerts. But extracting useful information from these alerts is not as easy: (1) IDSs may flag a large number of alerts every day, thus flooding alerts and overwhelming the security officers. (2) Among the alerts produced by IDSs false alerts are mixed with true ones. (3) IDSs cannot detect all the attempts of attacks and may miss some alerts. (4) There are some causal relationships between continuous steps of an attack scenario, but IDSs do not detect correlations among the alerts. Therefore analyzing the alerts is necessary for extracting useful information from thousands of alerts produced by one or more IDSs. We can suppose each alert as a symptom of a low-level attack. Alert correlation is a process of analyzing alerts produced by one or more intrusion detection systems. This process aims to provide a high-level view of occurring or attempted intrusions. Alert correlation systems attempt to discover the relations among IDS alerts to determine the attack scenarios and their main motivations. The main purpose of this thesis is to propose a new IDS alert correlation method to detect attack scenarios in real-time. After reviewing the literature on alert correlation, the main issues and challenges are analyzed and a new method is proposed. The proposed method is based on causal approach due to the strength of causal methods in practice. Most of causal methods can be deployed offline but not in real-time due to time and memory limitations. In the proposed method the knowledge base of attack patterns is represented in a graph model called Causal Relations Graph. This graph contains low-level attack patterns in the form of their prerequisites and consequences. In addition, it is a clear representation of causal relations among the low-level attacks. In causal methods, after receiving each alert, a search is performed on the knowledge base of attack patterns to find correlated alerts. But our proposed algorithm consists of two disjoint parts. Before receiving any alerts, for each attack pattern we do a search to discover all its correlations with other attacks. The result of each search Key Words Attack, Intrusion, Attack Scenario, Intrusion Detection System, Alert, Alert Correlation, Graph

شبکه‌های کامپیوتری جزء اساسی جامعه اطلاعاتی امروزی محسوب می‌شوند. این شبکه‌ها معمولا به شبکه سراسری اینترنت متصل هستند. با توجه به این‌که امنیت از اهداف اولیه طراحی اینترنت نبوده است، در دهه‌های اخیر امن‌سازی این شبکه‌ها در برابر حملات از اهمیـت بسیاری برخوردار شده است. امروزه جهت تأمین امنیت، سیستم‌ها و ابزارهای امنیتی متفاوتی از جمله سیستم‌‌های تشخیص نفوذ (IDS)در شبکه‌ها استفاده می‌شوند. IDhy;ها با مشاهده هر نوع رویداد مشکوک که بیان‌گر استفاده غیرمجاز، سوء استفاده و یا آسیب رساندن به سیستم‌ها و شبکه‌های کامپیوتری باشد، هشدارهایی تولید می‌کنند. اما مشکلات زیادی در رابطه با این هشدارها وجود دارد، از جمله جریان سیل‌آسای هشدارها، وجود هشدارهای اشتباه، مفقودشدن بعضی از هشدارها و عدم تشخیص همبستگی بین هشدارهای همبسته. بنابراین برای استخراج اطلاعات مفید از هزاران هشدار تولیدشده توسط یک یا چند IDS، نیازمند تحلیل هشدارها هستیم. هر هشدار در IDS را می‌توان بیانگر یک حمله‌ی سطح پایین در نظر گرفت. همبسته‌سازی هشدارها پردازشی است برای تحلیل هشدارهای یک یا چند IDS با هدف استخراج یک دید سطح بالا از تلاش صورت‌گرفته جهت نفوذ در شبکه. سیستم‌های همبسته‌سازی هشدارها تلاش می‌کنند روابط بین هشدارها را کشف کنند تا سناریوی حمله اجراشده و هدف از آن مشخص شود. هدف اصلی این پایان‌نامه، ارائه‌ روشی برای همبسته‌سازی بلادرنگ هشدارهای سیستم تشخیص نفوذ به منظور کشف سناریوهای حمله است. در این تحقیق با مطالعه روش‌های موجود در همبسته‌سازی، مهم‌ترین مسائل و مشکلات مطرح در این مبحث و چالش‌های روش‌های موجود مورد بررسی قرار می‌گیرد. با توجه به نقاط قوت روش‌های سببی که در عمل کارآمدی خود را به اثبات رسانده‌اند، روش پیشنهادی این پایان‌نامه نیز بر همین اساس است. بیشتر روش‌های سببی به صورت آفلاین قابل پیاده‌سازی هستند. در کاربردهای بلادرنگ محدودیت‌های زمان و حافظه مطرح می‌شوند. در روش پیشنهادی، دانش زمینه درباره‌ الگوی حملات در گرافی با نام گراف روابط سببی یا CRG مدل می‌شود. این گراف علاوه بر این که شامل الگوی حملات سطح پایین به صورت پیش‌نیازها و پیامدهای آنها می‌باشد، نمایشی گویا از روابط سببی بین حملات مختلف است. در روش‌های سببی با دریافت هر هشدار، جستجویی در هشدارهای قبلی و با کمک پایگاه دانش الگوی حملات با هدف یافتن هشدارهای همبسته صورت می‌گیرد. اما روش پیشنهادی ما شامل دو بخش است. قبل از ورود هرگونه هشدار، به ازای هر الگوی حمله یک جستجو برای یافتن تمام حملات همبسته با آن صورت می‌گیرد. نتیجه هر جستجو به صورت یک درخت ذخیره می‌شود. در همبسته‌سازی بلادرنگ، با دریافت هر هشدار می‌توان هشدارهای قبلی همبسته را تنها با جستجویی در درخت مربوطه پیدا نمود. بنابراین زمان پردازش هر هشدار کاهش می‌یابد. غیر از کاهش زمان پردازش، روش پیشنهادی در برابر حملات آرام نیز مقاوم است. روش پیشنهادی توسط C++ پیاده‌سازی شده و با استفاده از مجموعه داده‌های DARPA2000 تست شده است. نتایج آزمایشات انجام‌شده صحت عملکرد و کارآیی روش را از نظر زمان تأیید می‌کند. کلمات کلیدی: 1 - حمله، 2- نفوذ، 3- سناریوی حمله، 4- سیستم تشخیص نفوذ، 5- هشدار، 6- همبسته‌سازی هشدارها، 7- گراف