بهبود همبسته‌سازی هشدارهای امنیتی بر مبنای یک بازنمایی کارآمد از الگوهای حملات محتمل در سطح سازمان

STUDENT

DEGREE

YEAR

Intrusion detection systems (IDS) are used to detect attacks in computer networks. Network administrators are often overwhelmed by large volumes of IDS alerts. This has motivated for automatic IDS alert analysis. The goal of automatic alert analysis is to respond IDSes challenges. Including: large volumes of alerts, large amount of false positive alerts, low-level situational awareness and alerts no correlated with others. Ideally, alert correlation should help to distinguish coordinated multi-step attacks from isolated events. Appropriate time complexity is very essential for online alert correlation. Enterprise vulnerability correlation is one of the newest methods for correlation.At first, in these methods, network vulnerabilities are analysed and attack graph is extracted then alerts are correlated based on cerated attack graph. An attacker typically breaks into a network by means a series of exploits, such that each exploit satisfies the pre-condition for subsequent exploit and makes a causal relationship among them. Such a series of exploits is called attack path and the set of all possible attack paths form an attack graph. In proposed model in this thesis exploits are extracted from an enterprise network and then are saved as insecurity signatures. Causal relationships among insecurity signatures are studied and all relations between them are extracted and results are saved in a graph. This graph is named attack type graph. All possible attack paths are extracted from attack type graph and each attack path is saved as a probable attack pattern. Then each alert produced by IDS is mapped to one node of type graph and probable attack patterns are used to correlate alerts and to discover the related probable attack scenarios. Probable attack patterns are cerated in non-real and the process must be repeated just whenever a sort of change occures in the network. Then they are used to correlate alerts as an online process. Usage of these patterns is not limited to correlate alerts. These patterns are used in different parts of network security management. One of these applications is to assess network resistance against attacks. Keywords: Intrusion Detection System, Vulnerability, Alert Correlation, Attacks Type Graph, Attack Scenario, Probable Attack Pattern.

از سیستم‌های تشخیص نفوذ برای شناسایی حمله‌ها در یک شبکه کامپیوتری استفاده می‌شود. حجم هشدارهای تولید شده توسط این سیستم‌ها بسیار زیاد است و مدیر شبکه از عهده بررسی آن‌ها بر نمی‌آید. این موضوع انگیزه‌ای برای تحلیل خودکار هشدارهای تولید شده ایجاد کرد. هدف از تحلیل خودکار هشدارها برطرف کردن چالش‌های سیستم‌های تشخیص نفوذ از قبیل: تعداد زیاد هشدارها، هشدارهای اشتباه، آگاهی سطح پایین از حملات و عدم وجود همبستگی بین هشدارها است. در حالت ایده‌آل یک هشدار از طرف سیستم همبسته‌ساز، مراحل مختلف یک حمله از آغاز تا هدف نهایی را مشخص می‌کند. از مهمترین ضروریات سیستم‌های تحلیل هشدار این است که پیچیدگی زمانی مناسبی برای کار در زمان برخط داشته باشند. از جدیدترین روش‌های همبسته‌سازی، روش‌های مبتنی بر آسیب‌پذیری‌های موجود در شبکه است. در این روش‌ها ابتدا آسیب‌پذیری‌های شبکه تحلیل شده و حمله‌های ممکن علیه شبکه استخراج می‌شود، سپس از این اطلاعات در همبسته‌سازی هشدارها استفاده می‌گردد. هر سوء استفاده برای اجرا نیاز به یک سری پیش‌نیاز دارد و بعد از اجرا پیامدهایی را ایجاد می‌کند که این پیامدها زمینه را برای حمله‌های بعدی آماده می‌کنند. با بررسی رابطه‌ی بین این سوءاستفاده‌ها می‌توان مسیرهای حمله احتمالی را استخراج کرد. در مدل پیشنهادی این پایان‌نامه سوءاستفاده‌های مرتبط با آسیب‌پذیری‌های شبکه استخراج شده و در قالب الگوهای ناامنی ذخیره می‌شوند. با بررسی پیامدها و پیش‌نیازهای این الگوهای ناامنی کلیه ارتباط‌های بین آن‌ها استخراج شده و در قالب یک گراف ذخیره می‌شوند. این گراف را گراف نوعی حملات نامگذاری می‌کنیم. با جستجو در گراف نوعی حملات کلیه‌ی مسیرهای ممکن برای تحقق هدف (های) نهایی حمله استخراج شده و به عنوان الگوهای حملات محتمل برای شبکه مورد نظر ذخیره می‌شوند. سپس هر هشدار تولید شده توسط سیستم تشخیص نفوذ به یکی از رأس‌های گراف نوعی حملات نگاشت شده و از الگوهای حملات ساخته شده برای همبسته‌کردن هشدارها و کشف سناریوهای حمله استفاده می‌شود. ساخت الگوهای حملات محتمل فقط یکبار و بعد از هر تغییر در شبکه به صورت برون‌خط انجام می‌شود و سپس از آن‌ها برای همبسته‌سازی هشدارها در زمان برخط استفاده می‌شود. کاربرد الگوهای حملات محتمل محدود به همبسته‌سازی هشدارها نیست. این الگوهای حمله در قسمت‌های مختلف مدیریت امنیت شبکه کاربرد دارند، از مهمترین این کاربردها می‌توان به ارزیابی مقاومت شبکه در مقابل حملات اشاره کرد. کلمات کلیدی: 1- سیستم تشخیص نفوذ 2- آسیب‌پذیری 3- همبسته‌سازی هشدارها 4- گراف نوعی حملات 5- سناریوی‌حمله 6- الگوی حمله محتمل