تحلیل و همبسته‌سازی هشدارها و گزارش‌های امنیتی با استفاده از داده‌کاوی

SUPERVISOR
Mohammad hossein Saraee,Mehdi Berenjkob
محمدحسین سرایی (استاد مشاور) مهدی برنج کوب (استاد راهنما)
 
STUDENT
Ahmadreza Norouzi
احمدرضا نوروزی

FACULTY - DEPARTMENT

دانشکده مهندسی برق و کامپیوتر
DEGREE
Master of Science (MSc)
YEAR
1387

TITLE

Correlation and Analysis of Security Alerts and Reports Using Data Mining
As a result of increasing rate of information technology success, the total number of services using this technology is added every day. These services are accessible everywhere thus being exploited by unauthorized people is possible. Access control mechanism is one way to protect them. However, it is not sufficient enough because of the vulnerabilities in softwares and protocols which help the malicious people make the access control system useless. Today, scanning the users’ activities and avoiding the malicious actions is introduced as a solution for having continues service delivery. For achieving this goal, the intrusion detection systems have been created. These systems work as a sensor and iect row network traffic to report events suspected to be an attack. The produced reports are investigated by the network administrators who do the necessary actions. However, the intrusion detection systems produce flooding and false alerts which could confuse the networks administrators. Therefore, alerts should be analyzed and evaluated as a reasonable approach for decreasing and delete the unwanted and false alerts. Proposing a model for analyzing and correlating alerts and reports coming from security and network sensors is the main idea of this thesis. In this research, we investigate the requirements and problems of the different approach provided in the context of correlation, whereas the data mining approaches are specially considered. We stated that the knowledge based methods used in attack scenario produced in the workrooms, are not efficient enough for a dynamic environment with large variety of sensors such as security operation centers. The learning based methods also have the high time complexity and their analysis logic is not clear enough for users. In the proposed method, the clustering technique and association rule mining have been used to propose a model for analyzing alerts and security reports. We have decreased the false positive alerts by analyzing the reasons of an event which leads to detraction of the produced alerts andreporting the main events. The experimental results on DARPA test data set show the success of our model. Keywords: Intrusion Detection, Attack Scenario, Alert Correlation, Security Events, False Positive Alert, Data Mining
با افزایش میزان موفقیت فناوری اطلاعات در برآورده کردن نیازهای انسان، هر روزه بر تعداد خدماتی که از این فناوری بهره می‌برند، افزوده می‌شود. به دنبال توسعه حجم خدمات ارائه شده بر روی اینترنت، امکان دسترسی افراد مختلف به خدمات اینترنتی، مستقل از زمان و مکان فراهم شده است. با وجود مکانیزم‌های محرمانگی و کنترل دسترسی، امکان سوء استفاده از سرویس دهنده‌ها به دلیل وجود آسیب‌پذیری‌های نرم افزارها و پروتکل‌ها به طور جدی وجود دارد. پایش مداوم فعالیت کاربران و جلوگیری از خرابکاری، راه مراقبت از پیوستگی ارائه خدمات است. سیستم‌های تشخیص نفوذ، با این هدف ایجاد شده و توسعه یافتند. سیستم تشخیص نفوذ به عنوان یک حسگر، اتفاقات مشکوک به حمله را با بررسی ترافیک خام شبکه به صورت هشدار گزارش می‌کند. هشدار تولیدشده، توسط راهبران شبکه مورد بررسی قرار گرفته و اقدامات لازم جهت رسیدگی به آن‌ها صورت می‌گیرد. گزارش‌های تولیدشده توسط سیستم‌های تشخیص‌نفوذ و سایر حسگرهای امنیتی شبکه، با مشکلات عدیده‌ای از جمله تولید هشدارهای سیل‌آسا و غلط روبه رو است. درشبکه های بزرگ، وجود این مشکلات امکان استفاده مؤثر از سیستم تشخیص نفوذ را به طور فزاینده‌ای سخت می‌کند. بنابراین جهت انجام اقدام مناسب، هشدارها و گزارش‌های تولیدشده، نیاز به تحلیل، ارزیابی، کاهش حجم و حذف هشدارهای غیر مفید و غلط دارد. هدف اصلی این پایان نامه ارائه مدلی برای تحلیل و همبسته‌سازی هشدارها و گزارش‌های حسگرهای امنیتی و شبکه‌ای است. در این تحقیق، با مطالعه روش‌های مختلف ارائه شده در زمینه همبسته‌سازی، مشکلات و نیازمندی‌های آن‌ها مورد بررسی قرار می‌گیرد و تکنیک‌های داده‌کاوی به کار رفته در این زمینه به طور خاص مد نظر خواهد بود. روش‌های مبتنی بر دانش مورد استفاده در سناریوی حملات تولید شده در آزمایشگاه، کارآمدی لازم برای استفاده در یک محیط پویا و با حسگرهای متنوع مانند مرکز عملیات امنیت را ندارند. همچنین روش‌های مبتنی بر یادگیری(شبکه‌های عصبی مصنوعی و ...) به دلیل عدم وجود و عدم امکان ایجاد مجموعه داده‌ی مناسب جهت یادگیری، پیچیدگی زمانی بالا و عدم شفافیت منطق تحلیل برای کاربر، فاقد قابلیت نگهداری و امکان عملیاتی شدن در یک محیط با نرخ رویداد بالا است. در روش پیشنهادی، با استفاده از تکنیک‌های خوشه‌بندی و استخراج قوانین انجمنی، مدلی برای تحلیل هشدارها و گزارش‌های امنیتی ارائه می‌شود که با ارائه ویژگی‌های شفافیت، هماهنگی با محیط، توسعه پذیری حسگرها و نگهداری آسان، با استفاده از تحلیل علت رویداد هشدارهای مثبت کاذب را دور ریخته، حجم هشدارهای تولید شده را کاهش داده و وقایع اصلی رخ داده را اعلان می‌نماید. نتایج آزمایشات انجام شده بر روی مجموعه داده آزمون DARPA نشان از موفقیت این روش دارد. کلمات کلیدی: تشخیص نفوذ، سناریوی حمله، همبسته‌سازی هشدار، رویداد امنیتی، هشدار مثبت کاذب، داده کاوی

ارتقاء امنیت وب با وف بومی