13390

13390

پيش‌پردازش هشدارها به منظور بهبود كارايي سيستم‌هاي تشخيص و پاسخ به نفوذ

كارشناسي ارشد

برق - مخابرات امن

اسفند ماه 1392

اسفند ماه 1392

دكتر احمد اكبري

چكيده يكي از مسائل اساسي كه در سيستم‌هاي پاسخ به نفوذ وجود دارد، خروجي غير قابل اطمينان سيستم‌هاي تشخيص نفوذ و نيز تعداد هشدارهاي بسيار بالاي آنها در مواجهه با حملات است. اين موضوع استفاده از خروجي آنها را به عنوان حسگرهاي سيستم‌هاي پاسخ كمي پيچيده مي‌سازد. اگر خروجي سيستم‌هاي تشخيص نفوذ به صورت مجزا استفاده شوند، داراي سه محدوديت اساسي هستند كه شامل هشدارهاي غلط منفي، هشدارهاي غلط مثبت و هشدارهاي از دست رفته مي‌شوند. براي استفاده در سيستم‌هاي پاسخ نياز است كه از خروجي سيستم‌هاي تشخيص نفوذ براي توليد پاسخ مناسب به حمله توليدي استفاده گردد. مهمترين محدوديتي كه در سيستم‌هاي تشخيص نفوذ براي چنين كاربردهايي ديده مي‌شود، ضريب اطمينان پايين حسگرهاي تشخيص نفوذ در هشدارهاي توليدي است كه سبب مي‌شود هزينه بالايي را به سيستم پاسخ تحميل نمايد. به عبارت ديگر وجود هشدارهاي غلط (مثبت يا منفي) سبب مي‌شوند كه سيستم پاسخ در مقابل هشدار توليدي واكنش نشان دهد و اين در حالي است كه سيستم تحت هيچ‌گونه حمله يا نفوذي نبوده است و تنها هزينه اين موضوع به سيستم تحميل مي‌شود. در اين پايان‌نامه با هدف استفاده از خروجي سيستم‌هاي تشخيص نفوذ در سيستم‌هاي پاسخ، تلاش شده است كه با پيش‌پردازش هشدارهاي توليدي سيستم‌هاي تشخيص نفوذ و با حذف هشدارهاي غلط و تكراري، كيفيت سيستم پاسخ به نفوذ را افزايش دهيم. به طور خاص خلاصه‌سازي هشدارهاي سيستم‌هاي تشخيص نفوذ با هدف تعريف فرمت يكپارچه، رده‌بندي هشدارهاي سيستم‌هاي تشخيص نفوذ با هدف فشرده‌سازي هشدارها و بررسي هشدارهاي رده‌بندي شده با هدف ارائه ضريب اطمينان براي نفوذهاي شناسايي شده از جمله اهداف اصلي اين پايان‌نامه هستند. پيش‌پردازش هشدارها در اين پايان‌نامه با كمك معيارهاي شباهت تعريف شده انجام شده است. واژه‌هاي كليدي: همكاري سيستم‌هاي تشخيص نفوذ، پيش پردازش هشدارها، نرمال‌سازي، همبسته سازي هشدارها.