ارائهی یک رویکرد نوین مبتنی بر دادهکاوی، به منظور بهبود کیفیت هشدارها در سیستمهای تشخیص نفوذ
نوع فایل: word (قابل ویرایش)
تعداد صفحات : 124 صفحه
چکیده:
همزمان با پیشرفت و گسترش روزافزون اینترنت و کاربردهای مبتنی بر آن، بر تعداد و پیچیدگی حملات سایبری نیز افزوده میشود. بنابراین، استفاده از ابزارهای مختلف امنیتی برای حفاظت از سیستمها و شبکههای کامپیوتری به یک نیاز حیاتی تبدیل شده است. در میان این ابزارها، سیستمهای تشخیص نفوذ از مؤلفههای ضروری دفاع در عمق میباشند. یکی از بزرگترین مشکلات سیستمهای تشخیص نفوذ، تولید سیلی از هشدارهاست؛ هشدارهایی که اغلب آنها هشدارهای غلط، تکراری، و بیاهمیت هستند. در میان رویکردهای مختلف برای حل این مشکل، روشهای دادهکاوی از سوی بسیاری از محققان پیشنهاد شده است. با این حال، بسیاری از روشهای قبلی نتوانستهاند مشکلات را به طور کامل حل کنند. به علاوه، اغلب روشهای پیشین، از مشکلاتی نظیر وابستگی به نیروی انسانی و برونخط بودن رنج میبرند.
در این پژوهش، یک رویکرد برخط برای مدیریت هشدارهای تولیدشده توسط سیستمهای تشخیص نفوذ پیشنهاد میشود. رویکرد پیشنهادی، قابلیت دریافت هشدارهایی از چندین سیستم تشخیص نفوذ را داراست. این رویکرد با استفاده از مجموعه دادهی استاندارد DARPA 1999 و مجموعه دادهی شبکهی ادارهی بنادر و دریانوردی شهید رجایی ارزیابی شده است. ارزیابیهای انجام شده نشان میدهد که راهکار ارائه شده با کاهش حجم هشدارها به میزان ۹۴٫۳۲%، میتواند تأثیر بسزایی در مدیریت هشدارها داشته باشد. این رهیافت، به دلیل استفاده از رویکرد تجمعی دادهکاوی و بهکارگیری الگوریتمهای بهینه، میتواند متخصص امنیت شبکه را به صورت برخط، از وضعیت شبکهی تحت نظارت، آگاه سازد.
کلمات کلیدی:
سیستمهای تشخیص نفوذ، دادهکاوی، دستهبندی هشدارها، خوشهبندی هشدارها، هشدارهای غلط، الگوریتم برخط
فهرست مطالب
عنوان صفحه
فصل ۱ مقدمه
۱-۱ مقدمه
۱-۲ تعریف مسأله و بیان سؤالهای اصلی تحقیق
۱-۳ ضرورت انجام تحقیق
۱-۴ فرضیهها
۱-۵ هدفها
۱-۶ کاربردها
۱-۷ جنبهی نوآوری تحقیق
۱-۸ روش تحقیق
۱-۹ مراحل انجام تحقیق
۱-۱۰ ساختار پایاننامه
فصل ۲ مروری بر مفاهیم اولیه
۲-۱ مقدمه
۲-۲ تشخیص نفوذ
۲-۳ انواع سیستمهای تشخیص نفوذ
۲-۳-۱ دستهبندی سیستمهای تشخیص نفوذ بر اساس نوع منبع داده
۲-۳-۲ دستهبندی سیستمهای تشخیص نفوذ بر اساس روشهای مختلف تشخیص
۲-۳-۳ دستهبندی سیستمهای تشخیص نفوذ بر اساس نحوهی واکنش به نفوذ
۲-۳-۴ دستهبندی سیستمهای تشخیص نفوذ بر اساس معماری
۲-۴ دادهکاوی
۲-۵ تشخیص نفوذ و دادهکاوی
۲-۵-۱ قوانین انجمنی
۲-۵-۲ قوانین سریالی مکرر
۲-۵-۳ دستهبندی
۲-۵-۴ خوشهبندی
۲-۶ جمعبندی
فصل ۳ مروری بر کارهای انجامشده
۳-۱ مقدمه
۳-۲ بررسی تحقیقات پیشین
۳-۳ فرآیند بهبود کیفیت هشدارها
۳-۴ جمعبندی
فصل ۴ معرفی رویکرد پیشنهادی
۴-۱ مقدمه
۴-۲ معماری رویکرد پیشنهادی
۴-۳ قالب استاندارد هشدارها در رویکرد پیشنهادی
۴-۴ مؤلفههای کارکردی رویکرد پیشنهادی
۴-۴-۱ مؤلفهی بهنجارسازی
۴-۴-۲ مؤلفهی پیشپردازش
۴-۴-۳ مؤلفهی همجوشی
۴-۴-۴ مؤلفهی وارسی آسیبپذیری
۴-۴-۵ مؤلفهی کاهش هشدارهای غلط
۴-۴-۶ مؤلفهی شناسایی هشدارهای رایج
۴-۴-۷ مؤلفهی تجمیع
۴-۵ جمعبندی
فصل ۵ آزمایشها و ارزیابی رویکرد پیشنهادی
۵-۱ مقدمه
۵-۲ مجموعه دادهی ارزیابی
۵-۲-۱ مجموعههای دادهی DARPA-Lincoln و مجموعه دادهی KDD99
۵-۲-۲ دادههای Internet Exploration Shootout Dataset
۵-۲-۳ سایر مجموعه دادههای رایج
۵-۲-۴ مجموعه دادههای تولیدشدهی دیگر
۵-۳ معیارهای ارزیابی کارایی
۵-۴ IDS مورد استفاده جهت ارزیابی
۵-۵ پیادهسازی آزمایشی رویکرد پیشنهادی
۵-۶ نتایج ارزیابی با استفاده از مجموعه دادهی DARPA 1999
۵-۷ نتایج ارزیابی در محیط شبکهی واقعی
۵-۸ نتایج مقایسهی راهکار پیشنهادی با کارهای پیشین
۵-۹ جمعبندی
فصل ۶ نتیجهگیری و پیشنهادها
۶-۱ مقدمه
۶-۲ نتایج حاصل از پژوهش
۶-۳ نوآوریهای پژوهش
۶-۴ پیشنهادها
مراجع
واژهنامه