11126

11126

بهبود عملكرد سيستم هاي تشخيص نفوذ با استفاده از روش‏هاي همبستگي سنجي هشدارهاي توزيع شده

كارشناسي ارشد

برق - مهندسي فن آوري اطلاعات - مخابرات امن

مهرماه 1391

مهرماه 1391

دكتر احمد اكبري

چكيده در سال هاي اخير فنون مختلف دسته‏بندي و همبستگي علايم به منظور مشاهده رفتار مهاجمين به وجود آمدند كه به وسيله تحليل هشدارهاي سطح پاييني كه توسط حسگرهاي سيستم‏هاي تشخيص نفوذ مختلف ارسال شده بودند، كار مي كرده است. هدف اصلي در همبستگي علايم ايجاد مدل خلاصه شده ارتباط بين هشدارها مي باشد كه توسط اين مدل ها و ساختارها، مدير شبكه مي توانست حملات آينده را پيش بيني كند. در مجموع تكنيك هاي گذشته علي رغم كاربردهايي كه داشتند كاستي‏هايي نيز داشتند. از جمله اگر برخي از مراحل حمله شناخته نمي‏شدند آناليز تشخيص استراتژي حملات بسيار پيچيده مي گرديد. سيستم هاي مبتني بر دانش دقت نسبتاً بالايي داشتند ولي در عوض نياز به جمع آوري دانش داشتند و بصورت بلادرنگ نمي‏توانستند كار كنند. از طرفي سيستم هايي كه بصورت گذرا و آماري همبستگي بلادرنگ انجام مي‏دادند. قادر نبودند بدرستي ارتباط بين علايم را تشخيص دهند. ولي در عوض نياز به دانش از پيش تعريف شده نداشتند. مدل‏هاي همبستگي علايم، براي آن كه بتواند از يك سيستم تشخيص نفوذ هوشمندانه‏اي برخوردار باشند بايد از مزاياي هركدام از مدل‏هاي ارايه شده استفاده كنند. بنابراين بايد شامل چندين بخش باشد. كه توانايي استفاده از مزاياي هركدام از مدل‏ها را داشته باشد. نمي توان از مزيت دقت بالاي سيستم هاي مبتني بر دانش چشم پوشي كرد. در عين حال براي واكنش سريع در برابر حملات و اقدام مناسب، نياز به روش هاي آماري مبتني بر داده كاوي براي داشتن يك سيستم همبستگي كه بصورت بلادرنگ الگوي مراحل انجام حملات را بدست آورد، مي باشد. در بررسي كه انجام داديم ما هردو ساختار بلادرنگ و برون خطي را خواهيم داشت كه ازمدل مبتني بر داده هاي آماري همراه با داده كاوي اطلاعات موجود و ذخيره شده در ساختار آني و بلادرنگ و از مدل مبتني بر شرايط پيش نياز و نتايج حملات در ساختار برون خطي استفاده مي كنيم. سيستم مورد نظر با استفاده از مجموعه داده DARPA 2000 مورد ارزيابي قرار گرفته است. واژه هاي كليدي: سيستم هاي تشخيص نفوذ، همبستگي علائم، حملات چند مرحله‏اي