ارائه یک راهکار جدید مبتنی بر داده¬کاوی جهت همبسته¬سازی هشدارهای تشخیص نفوذ

SUPERVISOR
Abdolreza Mirzaei,Mehdi Berenjkob
عبدالرضا میرزایی دمابی (استاد راهنما) مهدی برنج کوب (استاد مشاور)
 
STUDENT
Mohammad Imanian bidgoli
محمد ایمانیان بیدگلی

FACULTY - DEPARTMENT

دانشکده مهندسی برق و کامپیوتر
DEGREE
Master of Science (MSc)
YEAR
1390

TITLE

A new approach for alert correlation based on data mining
With the daily growing use of computer networks especially Internet, the growing skill of the users and intruders and also with the prese nce of vulnerable points in softwares; securing systems of computer networks become more important than before. An important tool for detecting attacks in computer networks is Intrusion Detection System (IDS). Today, the most important challenge for using these tools is the high volume of alerts created by the system which practically makes the alert investigation impossible. To overcome this challenge, a huge volume of research has been made in the preprocessing and alert correlation steps of the IDS. Totally, alert correlation methods are divided in to two categories: knowledge based alert correlation and inference based alert correlation. Inference based methods use statistical analysis and artificial intelligent techniques for alert correlating. This thesis tries to present an efficient and effective approach for alert correlation based on data mining techniques and statistical analysis. In this research, it is tried to identify the main necessities of a correlation system and then implement them using efficient algorithms. The presented approach tries to detect the pattern behind the occurrence of alerts and provide them for system manager in the form of correlation rules. as characteristics of this method can be mention is Simultaneously use of knowledge base and alert occurrence information, non-use time window And thus no restrictions on the detection of slow attacks, No need for training, detection Different complex types of attack such as one to many and many to one patterns and Ability of detect Regular pattern that produce by malware and other Suspicious software. we use DARPA2000 dataset to evaluation this algorithm and compare our method with two similar reference methods. Experimental results show that the proposed method has the ability to compete the best research done in this field, even the knowledge based techniques. Keywords: Alert correlation, data minig, Intrusion detection , alert pattern discovery
با روند رو به رشد استفاده از شبکه های کامپیوتری به خصوص اینترنت و مهارت رو به رشد کاربران و مهاجمان این شبکه ها و وجود نقاط آسیب پذیری مختلف در نرم افزارها، ایمن سازی سیستم ها و شبکه های کامپیوتری ، نسبت به گذشته از اهمیت بیشتری بر خوردار شده است. یکی از ابزارهای مهم در تشخیص حملات، سیستم های تشخیص نفوذ هستند. در حال حاضر مهمترین چالش در استفاده از این ابزار، حجم بالای هشدارهای تولیدی توسط آن هاست که عملاً امکان رسیدگی به هشدارها را از بین می برد. به همین منظور تحقیقات گسترده ای در زمینه ی گام های پس پردازش و همبسته سازی هشدارهای تشخیص نفوذ صورت گرفته است. به طور کلی روش های همبسته سازی هشدار به دو دسته روش های مبتنی بر دانش و روش های استنتاجی تقسیم می شوند. روش های استنتاجی دسته روش هایی هستند که از تحلیل های آماری و تکنیک های هوش مصنوعی برای همبسته سازی هشدارها، بهره می برند. پژوهش پیش رو تلاشی است برای ارائه یک راهکار کارآمد و موثر، مبتنی بر تکنیک های داده کاوی و تحلیل های آماری در راستای همبسته سازی هشدارهای تشخیص نفوذ. در این تحقیق سعی شده با مطالعه ی میدانی هشدارهای تشخیص نفوذ نیازمندی های اصلی یک سیستم همبسته ساز، شناسایی و با کمک الگوریتم های کارآمد پیاده سازی شود. روش ارائه شده سعی دارد تا الگوهای رخداد هشدارها را کشف کند و آنها را در قالب قوانین همبسته سازی در اختیار مدیر سیستم بگذارد. در این روش با محاسبه میزان رخداد الگوهای مختلف هر جفت هشدار و همچنین با اعمال مشخصه های تشابه دو هشدار، اقدام به محاسبه ی میزان همبستگی هر جفت هشدار می کنیم. با اعمال مشخصه های تشابه از همبسته شدن الگوهای تصادفی جلوگیری می شود. بعد از محاسبه میزان هر جفت هشدار، در یک ساختار گام به گام عمل همبسته سازی هشدارها را انجام می دهیم. هر جفت هشدار همبسته شده در قالب یک هشدار جدید شناخته شده و در گام های بعدی الگوریتم، همبستگی این هشدارهای جدید با سایر هشدارها کشف می شود. این کار به صورت بازگشتی تا استخراج تمامی گام های حمله ادامه پیدا می کند. از جمله ویژگیهای این روش می توان به استفاده ی همزمان از پایگاه دانش زمینه ای و دانش مستخرج از هم رخدادی هشدارها، عدم استفاده از پنجره زمانی و در نتیجه امکان تشخیص حملات آهسته، عدم نیاز به آموزش، تشخیص انواع حملات یک به چند و چند به یک و امکان کشف الگوهای منظم تولید شده توسط بدافزارها اشاره کرد. برای سنجش کارایی این الگوریتم از مجموعه داده ی دارپا 2000 استفاده شده است و این روش با دو روش مرجع مشابه، مقایسه شده است. نتایج آزمایشات انجام شده، گواهی بر این مدعا است که روش مذکور توانایی رقابت با بهترین پژوهش های صورت گرفته در این زمینه، حتی روش های دانش پایه را دارا است. کلمات کلیدی: 1- همبسته سازی 2- هشدار 3- تشخیص نفوذ 4- داده کاوی

ارتقاء امنیت وب با وف بومی