طراحی الگوریتمی افزایشی به منظور استخراج قوانین انجمنی در یک مرکز عملیات امنیتی

مرکز عملیات امنیتی شبکه یک نهاد زیربنایی و کلیدی در حوزه امنیت شبکه است که با به کارگیری فرآیندهای گوناگون، کارشناسان خبره و زیرسیستم های هوشمند، می تواند سرویس های امنیتی را بصورت مدیریت شده ارایه کند. این سرویس ها گستره وسیعی را شامل می شوند که بنا بر نیازها و اهداف تعیین شده برای تضمین ابعاد گوناگون امنیتی سرویس گیرنده تعیین می شوند. در واقع یک مرکز عملیات امنیتی حکم دزدگیر را در سیستم ها و شبکه های کامپیوتری دارند. وظیفه بخش تحلیل این سیستم آن است که، با بررسی و تحلیل داده های حس گرهای شبکه به تشخیص، آشکارسازی و پاسخ به فعالیت های غیرمجاز یا ناهنجار بپردازد. افزایش روزافزون ارتباطات شبکه ای و به دنبال آن حملات سایبری و تلاش برای نفوذ به اطلاعات محرمانه این شبکه ها، وجود یک مرکز عملیات امنیتی شبکه را ملزم می نماید. یکی از اصلی ترین راهکارهای مواجه با این مشکل، همبسته کردن هشدارها با یکدیگر برای کم کردن تعداد آن ها و استخراج سناریوهای حملات می باشد. روش های مختلف همبسته سازی مورد استفاده، عموما نیاز به تعریف مجموعه ای پیچیده از قوانین و یا ارتباطات بین هشدارها دارند که این موارد ملزم به دانش عمیقی از مباحث امنیت و آشنائی کامل با نحوه اجرای هرحمله می باشند. با توجه به پیدایش بی وقفه مخاطرات امنیتی جدید، این قوانین بایستی مرتبا به روز شوند که این نیز کاری سخت و خطاخیز است. تعداد پیام های شبکه ای به مقیاس ملی، در حدی خواهد بود که عوامل انسانی قادر به تحلیل آن ها در زمان کافی نخواهند بود. در نتیجه الگوریتمی نیاز است تا به طور خودکار این پردازش را انجام دهد و قوانینی قابل فهم برای مدیر شبکه فراهم کند. الگوریتم های موجود یا افزایشی بودن ورود اطلاعات جدید به سیستم را درنظر نگرفته و یا از روش های کلاسیک برای حل مسئله استفاده نموده که در مقیاس های واقعی قابل اعمال نیستند. در این تحقیق یک الگوریتم ایمنی مصنوعی، aims، با منابع محدود برای کشف قوانین انجمنی طراحی و پیاده سازی شده است که از الگوریتم کلاسیک مسئله، fup کارآتر بوده و برخی از کاستی های الگوریتم ایمنی مصنوعی airs را بهبود می بخشد. در الگوریتم aims، با ورود یک دسته تراکنش جدید به سیستم، این دسته تراکنش به بخش حافظه ارائه می شوند و حافظه سعی می کند با استفاده از توده های حافظه موجود، تراکنش ها را تشخیص دهد. بخش حافظه برای افزایش سرعت پردازش، از یک سیاست انتخاب قانون استفاده می کند. به این صورت که به طور تصادفی از هرتوده چند قانون انتخاب می کند و تراکنش ها را به این قوانین عرضه می نماید. پشتیبانی و اطمینان توده حافظه با وارد شدن هردسته تراکنش به روز می شود. در آخر، تراکنش هایی که باقی می مانند، به بخش یادگیری فرستاده می شوند. دربخش یادگیری، الگوریتم یادگیری بر روی این تراکنش ها اعمال شده و توده های جدید با قوانین جدید تولید می شود. این توده ها سپس برای به روز رسانی مجموعه توده حافظه به بخش حافظه فرستاده می شود. برای ارزیابی الگوریتم aims از پایگاه داده هشدار darpa و معیارهای دقت و کارآیی استفاده شد. دقت و کارآیی الگوریتم aims در مقایسه با الگوریتم های apriori و fup، دقت و کارآیی بالاتری را نشان می دهد. به منظور مقایسه دقت الگوریتم، از گراف حمله و معیارهای کمّی، صحت، بازیابی و معیار f استفاده شد. به منظور مقایسه کارآیی الگوریتم از تغییر پارامترهای اصلی الگوریتم aims استفاده شد. از جمله تاثیر سیاست انتخاب قانون، لایه بندی الگوریتم و تعداد سلول های b در صحت، بازیابی و معیار f الگوریتم بررسی گشت. از نظر کارآیی اجرای افزایشی، با وجود تعداد تراکنش کم، هزینه استفاده از الگوریتم هایی که کلیه مجموعه آیتم های پرتکرار را تولید می کنند، از الگوریتم های جستجوی تصادفی کمتر است. ولی در تعداد تراکنش های بالا، الگوریتم aims قادر خواهد بود تا با جستجوی تصادفی، پس از تعداد تکرار مشخص، سریع تر از الگوریتم fup به مجموعه قوانین انجمنی دست یابد.