نام پژوهشگر: هانیه جلالی ندوشن

استفاده از فرایندکاوی در سیستمهای تشخیص نفوذ مبتنی بر میزبان
thesis وزارت علوم، تحقیقات و فناوری - دانشگاه اصفهان - دانشکده فنی و مهندسی 1389
  هانیه جلالی ندوشن   احمد براآنی

اخیراً پیشرفت های حوزه مدیریت، سازمان ها را به سمت استفاده از سیستم های اطلاعاتی فرایندمحور (pais) سوق داده اند. در این سیستم های اطلاعاتی، نیاز مبرم به وجود تکنیک هایی برای بیرون کشیدن دانش از اطلاعات ثبت شده در سیستم و همچنین رشد سریع داده های رخدادنما منجر به توسعه تکنیک هایی در زمینه فرایندکاوی شده است. هدف فرایندکاوی بدست آوردن دانش از رخدادنما های وقایع ثبت شده در سیستم های اطلاعاتی است. هنگام صحبت از هرگونه سیستم اطلاعاتی همانند سیستم های اطلاعاتی فرایندمحور، "امنیت" نقش مهمی را ایفا می-کند. از این رو در شبکه ها و سیستم های کامپیوتری به مکانیسم هایی برای برقراری امنیت احتیاج است. یکی از مهم ترین این مکانیسم ها، سیستم های تشخیص نفوذ هستند. هدف سیستم های تشخیص نفوذ آنست که حملاتی را که بر علیه سیستم ها و شبکه های کامپیوتری یا به طور کلی بر علیه سیستم های اطلاعاتی انجام می شوند، تشخیص دهند. امروزه حوزه سیستم های تشخیص نفوذ از شبکه به سرورهای میزبان بازگشته است. در این تحقیق به منظور تامین امنیت سیستم های اطلاعاتی فرایندمحور، یک سیستم تشخیص نفوذ مبتنی بر میزبان ارائه می شود. هدف این است که مدلی ارائه شود که نسبت به کارهای قبل نرخ هشدار اشتباه را کاهش داده و دقت تشخیص را بالا ببرد. در نتیجه یک مدل تشخیص نفوذ مبتنی بر میزبان فرایندمحور ارائه می شود که با استفاده از تکنیک های فرایندکاوی، نفوذهای مبتنی بر میزبان در سیستم های اطلاعاتی فرایندمحور را تشخیص می دهد. این مدل از سه مرحله پیش پردازش، تشخیص و ترکیب نتایج تشکیل شده است. در مرحله تشخیص، از دو تکنیک تشخیص ناهنجاری و تشخیص سوءاستفاده بصورت ترکیبی استفاده می شود. در این مدل بر خلاف کارهای قبل علاوه بر بعد فرایند، حملات بعد سازمانی فرایندکاوی نیز تشخیص داده می شوند. در مرحله تشخیص ناهنجاری از فرایندکاوی ژنتیکی استفاده شده است که باعث می شود سیستم قابل آموزش مجدد و انعطاف پذیر باشد، قابلیت بررسی رخدادنمای با حجم بالا و ساختارهای مختلف را داشته و به طور خودکار عمل شود. استفاده ترکیبی از تشخیص ناهنجاری و تشخیص سوءاستفاده منجر به کشف حملات ناشناخته بعد فرایند بدون هیچ دانش قبلی و افزایش دقت تشخیص می شود. نتایج حاصل از پیاده سازی و ارزیابی حاکی از این هستند که مرحله تشخیص ناهنجاری مدل نسبت به کارهای پیشین دارای نرخ هشدار اشتباه کمتر و نرخ تشخیص درست و دقت تشخیص بالاتر است. به علاوه مدل در حالت کامل (ترکیب دو تکنیک تشخیص ناهنجاری و تشخیص سوءاستفاده) نیز دارای کارایی خوبی بوده و حملات از انواع بیشتری (بعد سازمانی علاوه بر فرایند) را به درستی تشخیص می دهد.