ارائه روشی برای ایجاد همبستگی بین هشدارهای امنیتی

امنیت، یکی از مهم ترین چالش هایی است که سازمان ها و شرکت های استفاده کننده از شبکه با آن روبرو می باشند. سیستم های تشخیص نفوذ، یکی از راهکارهای موجود برای نظارت بر وضعیت امنیتی شبکه‎ها و تحلیل آن ها می باشند. این سیستم ها با کنترل بسته های ارسالی بر روی شبکه، در صورت بروز ناهنجاری، هشدارهای متناسب با مشکل تشخیص داده شده صادر می کنند. متاسفانه تعداد این هشدارها آنقدر زیاد و سطح انتزاع آن ها آنقدر پایین می باشد که تحلیل آن ها در عمل برای مدیر شبکه امکان پذیر نمی باشد. پژوهشگران تلاش کرده اند تا به کمک رویکردهای مبتی بر قانون، مبتنی بر سناریو، آماری و زمانی، این هشدارها را با یکدیگر همبسته کنند. در این پژوهش نیز روشی برای همبسته کردن هشدارها ارائه شده است تا بتوان تعداد هشدارها را کاهش داده و همچنین هشدارهایی با سطح انتزاع بالاتر تولید کرد. در اولین گام از این تحقیق، روشی ارائه می شود تا با تخمین احتمال همبستگی بر اساس شباهت بین خصیصه های هشدارها، روابط همبستگی بین آن ها را کشف نماییم. در این روش، از پنجره های زمانی به منظور افزایش سرعت و دقت روش بهره می بریم. این روش قادر به همبسته کردن هشدارهای مربوط به حملات ناشناخته نیز می باشد. در گام دوم، مدلی ترکیبی ارائه می شود تا در دو پیمانه تعاملی، دو گونه از روش های موجود را در کنار هم به کار گیریم. در پیمانه اول، از روشی استفاده می کنیم تا روابط بین هشدارها را بر اساس روابط سببی بین سوء استفاده های متناظر با آن ها در گراف حمله، کشف نماییم. در صورتی که این پیمانه نتواند همبستگی بین هشدارها را کشف نماید، از پیمانه دوم استفاده می شود که از روش معرفی شده در گام اول استفاده می کند. یکی از مهم ترین ویژگی های مدل ارائه شده، توانایی آن در کشف و اصلاح نواقص موجود در گراف حمله به کمک پیمانه دوم است. همچنین برای افزایش کارایی پیمانه دوم، روشی به نام پنجره های زمانی نمایی ارائه شده است. برای حذف بیشتر اطلاعات اضافی نمایش داده شده توسط هشدارهای همبسته شده، روشی به نام alerts bisimulation ارائه شده است تا هشدارهای همبسته شده ای که ارتباط آن ها با دیگر هشدارها، مشابه یکدیگر می باشد را با یکدیگر ادغام کنیم.