ارائه‌ی یک رویکرد نوین مبتنی بر داده‌کاوی، به منظور بهبود کیفیت هشدارها در سیستم‌های تشخیص نفوذ

نوع فایل: word (قابل ویرایش)

تعداد صفحات : 124 صفحه

حجم : 1192 کیلوبایت

چکیده:
همزمان با پیشرفت و گسترش روزافزون اینترنت و کاربردهای مبتنی بر آن، بر تعداد و پیچیدگی حملات سایبری نیز افزوده می‌شود. بنابراین، استفاده از ابزارهای مختلف امنیتی برای حفاظت از سیستم‌ها و شبکه‌های کامپیوتری به یک نیاز حیاتی تبدیل شده است. در میان این ابزارها، سیستم‌های تشخیص نفوذ از مؤلفه‌های ضروری دفاع در عمق می‌باشند. یکی از بزرگ‌ترین مشکلات سیستم‌های تشخیص نفوذ، تولید سیلی از هشدارهاست؛ هشدارهایی که اغلب آن‌ها هشدارهای غلط، تکراری، و بی‌اهمیت هستند. در میان رویکردهای مختلف برای حل این مشکل، روش‌های داده‌کاوی از سوی بسیاری از محققان پیشنهاد شده است. با این حال، بسیاری از روش‌های قبلی نتوانسته‌اند مشکلات را به طور کامل حل کنند. به علاوه، اغلب روش‌های پیشین، از مشکلاتی نظیر وابستگی به نیروی انسانی و برون‌خط بودن رنج می‌برند.
در این پژوهش، یک رویکرد برخط برای مدیریت هشدارهای تولیدشده توسط سیستم‌های تشخیص نفوذ پیشنهاد می‌شود. رویکرد پیشنهادی، قابلیت دریافت هشدارهایی از چندین سیستم تشخیص نفوذ را داراست. این رویکرد با استفاده از مجموعه داده‌ی استاندارد DARPA 1999 و مجموعه داده‌ی شبکه‌ی اداره‌ی بنادر و دریانوردی شهید رجایی ارزیابی شده است. ارزیابی‌های انجام شده نشان می‌دهد که راهکار ارائه شده با کاهش حجم هشدارها به میزان ۹۴٫۳۲%، می‌تواند تأثیر بسزایی در مدیریت هشدارها داشته باشد. این رهیافت، به دلیل استفاده از رویکرد تجمعی داده‌کاوی و به‌کارگیری الگوریتم‌های بهینه، می‌تواند متخصص امنیت شبکه را به صورت برخط، از وضعیت شبکه‌ی تحت نظارت، آگاه سازد.

کلمات کلیدی:
سیستم‌های تشخیص نفوذ، داده‌کاوی، دسته‌بندی هشدارها، خوشه‌بندی هشدارها، هشدارهای غلط، الگوریتم برخط

فهرست مطالبعنوانصفحه

فصل ۱ مقدمه

۱-۱ مقدمه

۱-۲ تعریف مسأله و بیان سؤال‌های اصلی تحقیق

۱-۳ ضرورت انجام تحقیق

۱-۴ فرضیه‌ها

۱-۵ هدف‌ها

۱-۶ کاربردها

۱-۷ جنبه‌ی نوآوری تحقیق

۱-۸ روش تحقیق

۱-۹ مراحل انجام تحقیق

۱-۱۰ ساختار پروژه

فصل ۲ مروری بر مفاهیم اولیه

۲-۱ مقدمه

۲-۲ تشخیص نفوذ

۲-۳ انواع سیستم‌های تشخیص نفوذ

۲-۳-۱ دسته‌بندی سیستم‌های تشخیص نفوذ بر اساس نوع منبع داده

۲-۳-۲ دسته‌بندی سیستم‌های تشخیص نفوذ بر اساس روش‌های مختلف تشخیص

۲-۳-۳ دسته‌بندی سیستم‌های تشخیص نفوذ بر اساس نحوه‌ی واکنش به نفوذ

۲-۳-۴ دسته‌بندی سیستم‌های تشخیص نفوذ بر اساس معماری

۲-۴ داده‌کاوی

۲-۵ تشخیص نفوذ و داده‌کاوی

۲-۵-۱ قوانین انجمنی

۲-۵-۲ قوانین سریالی مکرر

۲-۵-۳ دسته‌بندی

۲-۵-۴ خوشه‌بندی

۲-۶ جمع‌بندی

فصل ۳ مروری بر کارهای انجام‌شده

۳-۱ مقدمه

۳-۲ بررسی تحقیقات پیشین

۳-۳ فرآیند بهبود کیفیت هشدارها

۳-۴ جمع‌بندی

فصل ۴ معرفی رویکرد پیشنهادی

۴-۱ مقدمه

۴-۲ معماری رویکرد پیشنهادی

۴-۳ قالب استاندارد هشدارها در رویکرد پیشنهادی

۴-۴ مؤلفه‌های کارکردی رویکرد پیشنهادی

۴-۴-۱ مؤلفه‌ی بهنجارسازی

۴-۴-۲ مؤلفه‌ی پیش‌پردازش

۴-۴-۳ مؤلفه‌ی همجوشی

۴-۴-۴ مؤلفه‌ی وارسی آسیب‌پذیری

۴-۴-۵ مؤلفه‌ی کاهش هشدارهای غلط

۴-۴-۶ مؤلفه‌ی شناسایی هشدارهای رایج

۴-۴-۷ مؤلفه‌ی تجمیع

۴-۵ جمع‌بندی

فصل ۵ آزمایش‌ها و ارزیابی رویکرد پیشنهادی

۵-۱ مقدمه

۵-۲ مجموعه‌ داده‌ی ارزیابی

۵-۲-۱ مجموعه‌های داده‌ی DARPA-Lincoln و مجموعه داده‌ی KDD99

۵-۲-۲ داده‌های Internet Exploration Shootout Dataset

۵-۲-۳ سایر مجموعه داده‌های رایج

۵-۲-۴ مجموعه داده‌های تولیدشده‌ی دیگر

۵-۳ معیارهای ارزیابی کارایی

۵-۴ IDS مورد استفاده جهت ارزیابی

۵-۵ پیاده‌سازی آزمایشی رویکرد پیشنهادی

۵-۶ نتایج ارزیابی با استفاده از مجموعه داده‌ی DARPA 1999

۵-۷ نتایج ارزیابی در محیط شبکه‌ی واقعی

۵-۸ نتایج مقایسه‌ی راهکار پیشنهادی با کارهای پیشین

۵-۹ جمع‌بندی

فصل ۶ نتیجه‌گیری و پیشنهادها

۶-۱ مقدمه

۶-۲ نتایج حاصل از پژوهش

۶-۳ نوآوری‌های پژوهش

۶-۴ پیشنهادها

مراجع

واژه‌نامه