کشف بلادرنگ سناریوهای حمله از طریق همبسته سازی هشدارهای سیستم تشخیص نفوذ

شبکه های کامپیوتری جزء اساسی جامعه اطلاعاتی امروزی محسوب می شوند. این شبکه ها معمولا به شبکه سراسری اینترنت متصل هستند. با توجه به این که امنیت از اهداف اولیه طراحی اینترنت نبوده است، در دهه های اخیر امن سازی این شبکه ها در برابر حملات از اهمیـت بسیاری برخوردار شده است. امروزه جهت تأمین امنیت، سیستم ها و ابزارهای امنیتی متفاوتی از جمله سیستم های تشخیص نفوذ (ids)در شبکه ها استفاده می شوند. ids ها با مشاهده هر نوع رویداد مشکوک که بیان گر استفاده غیرمجاز، سوء استفاده و یا آسیب رساندن به سیستم ها و شبکه های کامپیوتری باشد، هشدارهایی تولید می کنند. اما مشکلات زیادی در رابطه با این هشدارها وجود دارد، از جمله جریان سیل آسای هشدارها، وجود هشدارهای اشتباه، مفقودشدن بعضی از هشدارها و عدم تشخیص همبستگی بین هشدارهای همبسته. بنابراین برای استخراج اطلاعات مفید از هزاران هشدار تولیدشده توسط یک یا چند ids، نیازمند تحلیل هشدارها هستیم. هر هشدار در ids را می توان بیانگر یک حمله ی سطح پایین در نظر گرفت. همبسته سازی هشدارها پردازشی است برای تحلیل هشدارهای یک یا چند ids با هدف استخراج یک دید سطح بالا از تلاش صورت گرفته جهت نفوذ در شبکه. سیستم های همبسته سازی هشدارها تلاش می کنند روابط بین هشدارها را کشف کنند تا سناریوی حمله اجراشده و هدف از آن مشخص شود. هدف اصلی این پایان نامه، ارایه روشی برای همبسته سازی بلادرنگ هشدارهای سیستم تشخیص نفوذ به منظور کشف سناریوهای حمله است. در این تحقیق با مطالعه روش های موجود در همبسته سازی، مهم ترین مسایل و مشکلات مطرح در این مبحث و چالش های روش های موجود مورد بررسی قرار می گیرد. با توجه به نقاط قوت روش های سببی که در عمل کارآمدی خود را به اثبات رسانده اند، روش پیشنهادی این پایان نامه نیز بر همین اساس است. بیشتر روش های سببی به صورت آفلاین قابل پیاده سازی هستند. در کاربردهای بلادرنگ محدودیت های زمان و حافظه مطرح می شوند. در روش پیشنهادی، دانش زمینه درباره الگوی حملات در گرافی با نام گراف روابط سببی یا crg مدل می شود. این گراف علاوه بر این که شامل الگوی حملات سطح پایین به صورت پیش نیازها و پیامدهای آنها می باشد، نمایشی گویا از روابط سببی بین حملات مختلف است. در روش های سببی با دریافت هر هشدار، جستجویی در هشدارهای قبلی و با کمک پایگاه دانش الگوی حملات با هدف یافتن هشدارهای همبسته صورت می گیرد. اما روش پیشنهادی ما شامل دو بخش است. قبل از ورود هرگونه هشدار، به ازای هر الگوی حمله یک جستجو برای یافتن تمام حملات همبسته با آن صورت می گیرد. نتیجه هر جستجو به صورت یک درخت ذخیره می شود. در همبسته سازی بلادرنگ، با دریافت هر هشدار می توان هشدارهای قبلی همبسته را تنها با جستجویی در درخت مربوطه پیدا نمود. بنابراین زمان پردازش هر هشدار کاهش می یابد. غیر از کاهش زمان پردازش، روش پیشنهادی در برابر حملات آرام نیز مقاوم است. روش پیشنهادی توسط c++ پیاده سازی شده و با استفاده از مجموعه داده های darpa2000 تست شده است. نتایج آزمایشات انجام شده صحت عملکرد و کارآیی روش را از نظر زمان تأیید می کند.