ارائه یک الگوریتم کارآمد به منظور همبسته سازی هشدارهای ids و با هدف کشف سناریوهای جدید حمله

سیستم های تشخیص نفوذ از جمله ابزارهای مهم در تأمین امنیت شبکه ها هستند که با صدور هشدارهای مختلف، مدیر شبکه را از نفوذ یا حملات صورت گرفته آگاه می سازند. این هشدارها به تنهایی حاوی اطلاعات زیادی نیستند و به دلیل امکان وجود هشدارهای اشتباه، برای ارائه ی گزارش امنیتی دقیق و کاملی از وضعیت شبکه نیاز به تحلیل بیشتری دارند. با توجه به تعداد بسیار زیاد هشدارهای صادرشده، مدیریت و تحلیل دستی آن ها برای مدیر شبکه امکان پذیر نیست. همبسته سازی هشدارها، روشی امیدبخش در تحلیل هشدارها است که با کاهش تعداد هشدارها، حذف هشدارهای نامربوط و تعیین ارتباط منطقی بین آن ها، دید سطح بالا و قابل فهمی از وضعیت امنیتی را برای مدیر شبکه فراهم می کند. تاکنون روش های همبسته سازی بسیاری پیشنهادشده اند که هر یک از آن ها به حل بخشی از مشکلات مطرح در همبسته سازی هشدارها پرداخته اند و به لحاظ صحت عملکرد و کارایی با یکدیگر متفاوت هستند. با این حال، با بزرگ شدن شبکه ها و پیشرفت روش ها و ابزارهای حمله، گم شدن هشدارها و انجام سناریوهای جدیدی از حمله از چالش های مطرح در این زمینه شده است. در این پایان نامه، یک سیستم همبسته سازی ترکیبی پیشنهاد می شود که از دو بخش تشکیل شده است. در بخش اول، از یک الگوریتم همبسته سازی سببی مبتنی بر گراف حمله، به منظور تشخیص حملات شناخته شده استفاده می شود که قابلیت فرضیه سازی هشدارهای گم شده را نیز دارد. در بخش دوم، یک الگوریتم همبسته سازی مبتنی بر تشابه ویژگی های هشدارها پیشنهاد شده است که امکان کشف حملات ناشناس را فراهم می کند. این دو بخش از سیستم در کنار یکدیگر عمل می کنند و درصورتیکه بخش اول قادر به همبسته سازی هشدار جدید نباشد، از بخش دوم استفاده می شود. علاوه بر این، سیستم ترکیبی پیشنهادی، قابلیت ثبت نقص های گراف حمله و تجمیع هشدارهای مشابه را خواهد داشت. نتایج شبیه سازی بر روی مجموعه داده ی darpa2000، صحت عملکرد و کارایی روش سیستم پیشنهادی برای کاربردهای بلادرنگ را تأیید می کند.