همبسته سازی هشدارها به کمک سیستم ایمنی مصنوعی

سیستم تشخیص نفوذ (ids) وظیفه ی نظارت بر رویدادهایی که در یک کامپیوتر و یا شبکه ی کامپیوتری رخ میدهد و تحلیل این رویدادها برای یافتن نشانه های نفوذ را بعهده دارد. منظور از نفوذ، تلاشی از طرف یک کاربر مجاز یا غیر مجاز است که نتیجه ی موفقیت آن به خطر افتادن محرمانگی، یکپارچگی، در دسترس بودن و یا عبور از مکانیزمهای امنیتی میباشد. معمولا ids در صورت تشخیص یک نفوذ با تولید یک هشدار مدیر امنیتی سیستم را از خطر بوجودآمده آگاه میکند. اما در یک شبکه ی کامپیوتری گسترده با دهها و یا صدها کاربر، تعداد هشدارهای تولید شده آنقدر زیاد خواهد شد که مدیر امنیتی سیستم قادر به تحلیل هشدارها و استفاده از آنها نخواهدبود. شناخته شده ترین راه حل برای مواجه با مشکلِ تعداد زیاد هشدارها، همبسته کردن آنهااست. همبسته سازی هشدارها روند تحلیل هشدارهای تولیدشده توسط یک یا بیش از یک ids و ایجاد یک دید کلی و سطح بالا نسبت به مخاطرات و یا حملاتِ در شرف وقوع میباشد. سیستم همبسته ساز معمولا این کار را با حذف هشدارهای کاذب، گروه بندی هشدارهایی که به یک رویداد مربوط میشوند و اولویت بندی هشدارها انجام میدهد. روشهای مختلفی برای انجام همبسته سازی هشدارها استفاده شده اند که آنها را به سه دسته ی کلیِ مبتنی بر همجوشی هشدارها، مبتنی بر فیلترکردن هشدارها و مبتنی بر کشف روابط سببی بین هشدارها تقسیم کرده اند. هیچ یک از روشهای مطرح شده به تنهایی قادر به تامین همه ی اهداف همبسته سازی نیستند. ضمن آنکه هریک دارای کاستی های خاص خود نیز میباشند. روشهای ترکیبی از ترکیبی از روشهای سه گانه ی فوق برای دستیابی به بهترین نتیجه استفاده میکنند. اما چالش اصلی برای روشهای ترکیبی یافتن ساختار ترکیبی مناسبی است که علاوه بر داشتن نقاط قوت هر یک از روشها از کاستیهای آنها نیز به دور باشند. رویکردهای مختلفی برای ارائه ی معماریها ترکیبی وجود داشته است. در این پایان نامه یک معماریِ ترکیبیِ سه لایه به نام icorrelator پیشنهاد شده است. هدف icorrelator آن است که همبسته سازی هشدارها با کمترین نیاز به دانش اولیه و بصورت پویا انجام شود در عین حال و بصورت همزمان کارایی و دقت همبسته سازی نیز بهبود یابد. معماریِ سه لایه ی icorrelator با الهام گرفتن از ساختار سیستم ایمنی بدن انسان طراحی شده است که مبتنی بر پاسخهای سیستم ایمنی مادرزادی، پاسخهای اولیه ی سیستم ایمنی اکتسابی و پاسخهای ثانویه ی سیستم ایمنی اکتسابی میباشد. علاوه بر این از لحاظ عملکردی نیز icorrelator از یکی از الگوریتمهای شناخته شده ی سیستم ایمنی مصنوعی به نام airs برای یادگیری با نظارت استفاده میکند. معماری سه لایه ی icorrelator از ترکیبی از دانش اولیه ی محدود در قالب قوانین عمومیِ غیر وابسته به حملاتِ خاص برای مواجه با حالات پیشبینی شده، یک الگوریتم یادگیریِ بانظارت برای مواجه با حالات جدید و پیشبینی نشده و همچنین سلولهای حافظه ی ایمنی برای بخاطر سپردن این حالات جدید برای مواجه های بعدی استفاده میکند. هدف از بکارگیری این ساختار ترکیبی سه لایه در icorrelator برخورداری از دقت در عین کارایی و پویایی میباشد. مجموعه های داده ای drpa2000 و netforensics honeynet برای بررسی دقت و کارایی icorrelator مورد استفاده قرار گرفته اند. سه معیار کمال، درستی و نرخ خطا در همبسته سازی برای بررسی دقت و همچنین زمان اجرا برای بررسی کارایی icorrelator مورد استفاده قرارگرفته است. برای کلیه ی داده های مورد استفاده، icorrelator توانسته است به صورت پویا و بدون داشتن دانش اولیه ای از حملات موجود در مجموعه های داده ای، حملات را استخراج و گراف حمله را نمایش دهد. icorrelator از لحاظ دقت قابل مقایسه با روشهایی است که با استفاده از تعداد بسیار زیادی از قوانینِ ویژه همین حملات را تشخیص میدهند (پویا نیستند) و از لحاظ کارایی نیز از روشهای پویای موجود بهتر عمل میکند بطوری که زمان آموزش آن بسیار کوتاه است و فرآیند یادگیری با جمع آوری اطلاعات به صورت پویا و در حین پردازش هشدارها انجام میشود. توانایی icorrelator در استخراج حملاتی که هیچ گونه اطلاع قبلی از کیفیت وقوع آنها ندارد و ارائه ی گراف حمله ی آنها، شاهدی بر صحت عملکرد پویای آن میباشد.