Skip to main content
SUPERVISOR
Seyed Rasul Moosavi,Mehdi Berenjkob
سید رسول موسوی (استاد راهنما) مهدی برنج کوب (استاد مشاور)
 
STUDENT
Zeinab Abuee Mehrizi
زینب ابوئی مهریزی

FACULTY - DEPARTMENT

دانشکده مهندسی برق و کامپیوتر
DEGREE
Master of Science (MSc)
YEAR
1389

TITLE

Alert classification based on attack type in Intrusion Detection Systems
With the expansion of computer networks and threats due to attacks to network, network and data security is an essential requirement in the area of computer systems. For provide security, systems called Intrusion Detection Systems (IDSs) are needed. Intrusion detection systems are used to detect attacks in computer networks. Network administrators are often overwhelmed by large volumes of IDS alerts. This has motivated for automatic IDS alert analysis. The goal of automatic alert analysis is to respond IDSes challenges. Including: large volumes of alerts, large amount of false positive alerts, low-level situational awareness and alerts no correlated with others. when attackers succeed to pass through other security systems, to detect and prevent them from further progress. There are many challenges in IDSes. They should be able to work with large volume of data, attackers try to defeat security mechanisms, and new attacks are discovered every day. So, after some time, IDSes lose their efficiency and cannot detect unknown attacks. When Intrusion Deection Systems detect signs of security violations, they produce an alert or alerts. But they usually produce too many alerts in a day, most which are false positive. In this thesis, we have proposed methods to divide the alerts generated by IDSes into five main justify; TEXT-INDENT: 18pt; MARGIN: 0cm 0cm 0pt; unicode-bidi: embed; DIRECTION: ltr" dir=ltr Keywords: Intrusion Detection System, Alert Correlation, Support Vector Machine, Layered approach.
با گسترش شبکه‌های کامپیوتری و در پی آن تهدیدهای ناشی از حمله به شبکه، حفظ امنیت شبکه و داده‌های آن، یک نیاز اساسی در حوزه‌ی سیستم‌های کامپیوتری است. برای ایجاد امنیت، سیستم‌هایی به نام سیستم تشخیص نفوذ (IDS) مورد نیاز است تا بتوانند در صورتی که نفوذگر از سایر تجهیزات امنیتی عبور کرد، آن را تشخیص داده و از پیش‌روی آن جلوگیری کنند. سیستم‌های تشخیص نفوذ دارای چالش‌های زیادی هستند، از جمله این سیستم‌ها باید قادر باشند با حجم زیاد داده‌ها کار کنند. مهاجمان روز به‌روز سعی در شکستن امنیت دارند و هر روز حملات جدیدی را کشف می‌کنند. از این رو سیستم‌های تشخیص نفوذ، پس از مدتی کارایی خود را از دست می‌دهند و قادر به تشخیص حملات جدید نیستند. وقتی سیستم‌های تشخیص نفوذ نشانی از نقض امنیت پیدا کنند، هشدار یا هشدارهایی را تولید می‌کنند. اما آن‌ها روزانه تعداد بسیار زیادی هشدار تولید می‌کنند که بسیاری از این هشدارها مربوط به فعالیت‌های عادی کاربران هستند. ما در این پایان‌نامه روشی را پیشنهاد داده‌ایم که هشدارهای تولید شده توسط سیستم‌های تشخیص نفوذ را به پنج کلاس Normal، DoS، Probe، R2L و U2R تقسیم می‌کند. روش پیشنهادی از چندین لایه تشکیل شده که هر لایه قادر به تشخیص یکی از حملات DoS، Probe، R2L و U2R است و در هر لایه از روش SVM برای دسته‌بندی هشدارها استفاده می‌شود. برای این که سیستم پیشنهادی با گذر زمان کارایی خود را از دست ندهد، به صورت خودکار و با کمک گرفتن از تحلیل‌گر سیستم، به‌روز می‌شود. روش پیشنهادی با روش Layered CRF [15] مقایسه شده و نتایج حاکی از این است که در تشخیص حملات DoS، R2L و U2R دقیق‌تر است. همچنین این روش با روش‌های جدید موجود مقایسه شده و نتایج نشان می‌دهد که روش پیشنهادی دارای نرخ تشخیص بالایی در حملات Probe و U2R است.

ارتقاء امنیت وب با وف بومی