بهبود همبسته سازی هشدارهای امنیتی از طریق گسترش اطلاعات هشدارها

استفاده از سیستم های تشخیص نفوذ برای تشخیص و کاهش حملات اینترنتی در سیستم های امروزی ضروری است. سیستم های تشخیص نفوذ، با گرفتن اطلاعاتی از سیستم های تحت نظارتشان مانند ترافیک شبکه یا رفتار فرآیندها، رفتارهای نامطلوب را شناسایی می کنند و به صورت هشدار در اختیار تحلیل گر قرار می دهند تا با خوشه بندی و برچسب زنی آنها دید خلاصه ای از وضعیت امنیتی شبکه به دست آید. حجم و کیفیت هشدارها دو چالش اصلی این سیستم ها محسوب می شوند. عموماً تعداد هشدارهای سیستم تشخیص نفوذ آن قدر زیاد است که تحلیل گر نمی تواند تمام آنها را بررسی کند. از طرف دیگر بیشتر این هشدارها، هشدارهای مثبت کاذب هستند. در این پایان نامه روشی ارائه شده است که در آن با گسترش معنایی اطلاعات هشدارها، ایرادات فوق کاهش داده می شود. در واقع نشان داده می شود که گسترش معنایی اطلاعات هشدارها بر اساس دانش پیش زمینه قبل از مرحله خوشه بندی منجر به خوشه بندی به مراتب بهتری می شود. برای ارزیابی روش ارائه شده از مجموعه داده ای darpa و مجموعه داده ای مرکز آپای دانشگاه صنعتی اصفهان 2012iut، استفاده شده است. نتایج پیاده سازی نشان می دهد که تعداد هشدارهای مثبت کاذب به صورت قابل توجهی نسبت به روش های مشابه کاهش می یابد. نرخ کاهش هشدارها در روش ارائه شده نیز بیشتر از 70% خواهد بود که از روش های مشابه بهتر است.