نام پژوهشگر: محمد ایمانیان بیدگلی

ارائه یک راهکار جدید مبتنی بر داده کاوی جهت همبسته سازی هشدارهای تشخیص نفوذ
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1392
  محمد ایمانیان بیدگلی   عبدالرضا میرزایی

با روند رو به رشد استفاده از شبکه های کامپیوتری به خصوص اینترنت و مهارت رو به رشد کاربران و مهاجمان این شبکه ها و وجود نقاط آسیب پذیری مختلف در نرم افزارها، ایمن سازی سیستم ها و شبکه های کامپیوتری ، نسبت به گذشته از اهمیت بیشتری بر خوردار شده است. یکی از ابزارهای مهم در تشخیص حملات، سیستم های تشخیص نفوذ هستند. در حال حاضر مهمترین چالش در استفاده از این ابزار، حجم بالای هشدارهای تولیدی توسط آن هاست که عملاً امکان رسیدگی به هشدارها را از بین می برد. به همین منظور تحقیقات گسترده ای در زمینه ی گام های پس پردازش و همبسته سازی هشدارهای تشخیص نفوذ صورت گرفته است. به طور کلی روش های همبسته سازی هشدار به دو دسته روش های مبتنی بر دانش و روش های استنتاجی تقسیم می شوند. روش های استنتاجی دسته روش هایی هستند که از تحلیل های آماری و تکنیک های هوش مصنوعی برای همبسته سازی هشدارها، بهره می برند. پژوهش پیش رو تلاشی است برای ارائه یک راهکار کارآمد و موثر، مبتنی بر تکنیک های داده کاوی و تحلیل های آماری در راستای همبسته سازی هشدارهای تشخیص نفوذ. در این تحقیق سعی شده با مطالعه ی میدانی هشدارهای تشخیص نفوذ نیازمندی های اصلی یک سیستم همبسته ساز، شناسایی و با کمک الگوریتم های کارآمد پیاده سازی شود. روش ارائه شده سعی دارد تا الگوهای رخداد هشدارها را کشف کند و آنها را در قالب قوانین همبسته سازی در اختیار مدیر سیستم بگذارد. در این روش با محاسبه میزان رخداد الگوهای مختلف هر جفت هشدار و همچنین با اعمال مشخصه های تشابه دو هشدار، اقدام به محاسبه ی میزان همبستگی هر جفت هشدار می کنیم. با اعمال مشخصه های تشابه از همبسته شدن الگوهای تصادفی جلوگیری می شود. بعد از محاسبه میزان هر جفت هشدار، در یک ساختار گام به گام عمل همبسته سازی هشدارها را انجام می دهیم. هر جفت هشدار همبسته شده در قالب یک هشدار جدید شناخته شده و در گام های بعدی الگوریتم، همبستگی این هشدارهای جدید با سایر هشدارها کشف می شود. این کار به صورت بازگشتی تا استخراج تمامی گام های حمله ادامه پیدا می کند. از جمله ویژگیهای این روش می توان به استفاده ی همزمان از پایگاه دانش زمینه ای و دانش مستخرج از هم رخدادی هشدارها، عدم استفاده از پنجره زمانی و در نتیجه امکان تشخیص حملات آهسته، عدم نیاز به آموزش، تشخیص انواع حملات یک به چند و چند به یک و امکان کشف الگوهای منظم تولید شده توسط بدافزارها اشاره کرد. برای سنجش کارایی این الگوریتم از مجموعه داده ی دارپا 2000 استفاده شده است و این روش با دو روش مرجع مشابه، مقایسه شده است. نتایج آزمایشات انجام شده، گواهی بر این مدعا است که روش مذکور توانایی رقابت با بهترین پژوهش های صورت گرفته در این زمینه، حتی روش های دانش پایه را دارا است.