روشی جدید جهت کاهش هشدارهای مثبت کاذب در سیستم های تشخیص نفوذ

امروزه با توجه به استفاده ی گسترده از شبکه های کامپیوتری به خصوص اینترنت و نیز با وجود نقاط آسیب پذیری مختلف در نرم افزارها از یک سو و از سوی دیگر افزایش مهارت و دانش مهاجمان در نفود و حمله به سیستم ها، تأمین امنیت در سیستم ها و شبکه های کامپیوتری از اهمیت بالایی برخوردار است. به همین دلیل، سیستم های تشخیص نفوذ (ids) به عنوان یک لایه ی دفاعی افزونه جهت حفاظت سیستم ها و اطلاعات در مقابل حملات به کار می روند. این سیستم ها با مشاهده ی هرگونه رفتار مشکوک و مخرب، هشداری حاوی اطلاعاتی درباره ی آن رفتار، جهت آگاه سازی مدیر امنیتی تولید می نمایند. متأسفانه، حجم این هشدارهای تولیدی بسیار و بررسی و کشف حملات از میان آن ها توسط مدیر امنیتی دشوار و زمان بر است. این دشواری، با توجه به این که بیش از 99% این هشدارها مثبت کاذب بوده و توسط نفوذهای واقعی راه اندازی نشده اند، دوچندان می شود. به همین دلیل، در این پژوهش، روشی مرکب از روش های تحلیل علت ریشه ای و تشخیص ناهنجاری، جهت کاهش هشدارهای سیستم تشخیص نفوذ، به ویژه هشدارهای مثبت کاذب ارائه گردیده تا علاوه بر بهره از مزایای هر روش، معایب آن ها نیز در کنار یکدیگر برطرف شود. روش ارائه شده به کمک قوانین پالایش و بررسی وقوع ناهنجاری در رفتار هشدارها، سعی در شناسایی و تفکیک هشدارهای صحیح از هشدارهای کاذب دارد. نتایج حاصل از این پژوهش بر روی مجموعه داده ی darpa 1999، مورد ارزیابی قرار گرفته و به کاهش بیش از %88 کل هشدارها، کاهش %91 از هشدارهای کاذب و نیز شناسایی بیش از %96 از هشدارهای صحیح با دقتی در حدود %91 منجر شده است. این امر، بررسی هشدارها را تسهیل و امکان نظارت و واکنش مستقیم مدیر را بر فعالیت های مخرب فراهم می سازد. از دیگر مزایای این روش، بهبود الگوریتم خوشه بندی مورد استفاده جهت کشف علت های ریشه ای و عدم اتکای کامل به فرد خبره جهت تشخیص و جداسازی هشدارهای صحیح از هشدارهای کاذب می باشد.