تحلیل هشدارها و رویدادهای امنیتی در مقیاس داده بزرگ با استفاده از فناوری پردازش رویداد پیچیده

SUPERVISOR
Mehdi Berenjkob
مهدی برنج کوب (استاد راهنما)
 
STUDENT
Amir Hossein Ghasemi Kia
امیرحسین قاسمی کیا

FACULTY - DEPARTMENT

دانشکده مهندسی برق و کامپیوتر
DEGREE
Master of Science (MSc)
YEAR
1392

TITLE

Analysis of security alerts and events in big data scale using complex event processing technology
“Intrusion Detection Systems” have been developed and extended in order to examine suspected activities by monitoring and reviewing the raw traffic of the network and reporting the necessary alarm by issuing a message if an attack is diagnosed.Furthermore, alerts of firewall, honeypot and other security sensors are available also that face us with a huge volume of security alerts in addition to the alerts produced by the “Intrusion Detection Systems”. Therefore, understanding the security conditions of the protected network is very difficult for the network manager or the responsive system against the breach. Next to the useful alerts among the huge amount of the reports, there are a large number of useless reports that cause the recognition of the security situation of the system to become almost impossible by the network manager. Therefore, analyzing and correlation of the alert is used. The goal of this work is offering a solution for a real time extraction of the required information from the incoming data flow for the network manager and elucidating a model for correlation and analyzing of the extracted data. Complex event processing provides capability of high speed extracting information in real-time stream processing. Our proposed model grants accessing useful and analyzable information to the expert. Results show that the model is so faster than the other event correlation models. Also they show that the proposed model is more efficient in event correlation’s parameters such as false negative and number of clusters. Keywords: Intrusion Detection, Event Analysis, Alert Correlation, Complex Event Processing, Clustering
سیستم های تشخیص نفوذ بدین منظور توسعه و گسترش یافته اند که با نظارت و بررسی ترافیک خام شبکه، به بررسی فعالیت های مشکوک بپردازند و در صورت تشخیص حمله، با صدور پیامی، هشدار لازم را گزارش کنند. همچنین علاوه بر هشدارهای سیستم های تشخیص نفوذ، هشدارهای دیگر حسگرهای امنیتی همانند دیواره های آتش، ظرف های عسل و هشدارهای ابزارهای غیر امنیتی همچون سوئیچ ها و مسیریاب ها نیز وجود دارد که با قرار دادن آن ها در کنار هم، با حجم انبوهی از هشدارها مواجه می شویم. ازاین‌رو برای مدیر شبکه یا سیستم پاسخگویی به نفوذ، درک شرایط امنیتی شبکه محافظت‌شده بسیار دشوار است. در میان این انبوه گزارش‌ها و هشدارها، علاوه بر هشدارهای مفید، هشدارهای نامناسب و غیرمفید بسیار زیادی وجود دارد که پی بردن به وضعیت امنیتی سیستم، توسط مدیر شبکه را تقریباً عملی غیرممکن می سازد. ازاین‌رو از تحلیل و همبسته سازی هشدارها استفاده می شود. توسعه شبکه ها منجر به تغییرات در تولید داده ها ازجمله در سرعت تولید گزارش‌ها نیز شد که خود باعث عدم کارایی روش های همبسته سازی قدیمی است. هدف اصلی این پایان‌نامه ارائه راهکاری برای استخراج بلادرنگ اطلاعات موردنیاز مدیر شبکه از جریان ورودی داده ها و بیان مدلی برای همبسته سازی و تحلیل داده‌های استخراج‌شده است. در این مدل با استفاده از موتور پردازش رویداد پیچیده داده‌های موردنیاز کاربر از جریان ورودی استخراج و با استفاده از خوشه‌بندی به تحلیل آن‌ها پرداخته می‌شود. فناوری پردازش رویداد پیچیده توانایی استخراج اطلاعات را با سرعت بالا و به صورت جویبار بلادرنگ فراهم می سازد و روش همبسته سازی پیشنهادی، به کارشناس خبره امکان می دهد تا با دستیابی به اطلاعات مفید مورد نیاز، به تحلیل آنها بپردازد. نتایج بدست آمده نشان می دهد که روش پیشنهادی دارای سرعت همبسته سازی بیشتری است. همچنین این نتایج حاکی از آن هستند که مدل پیشنهادی از نظر معیارهای مقایسه ی همبسته سازی همچون خطای منفی کاذب و تعداد خوشه ها، نیز عملکرد بهتری دارد. کلمات کلیدی: 1- تشخیص نفوذ 2- تحلیل رویداد 3- همبسته سازی هشدار 4-پردازش رویداد پیچیده 5-خوشه‌بندی

ارتقاء امنیت وب با وف بومی