مدلی ترکیبی برای کاهش هشدارهای نادرست در سیستم-های تشخیص نفوذ

در دو دهه اخیر، سیستم های تشخیص نفوذ به عنوان اجزاء اصلی برای افزایش امنیت در شبکه های کامپیوتری مطرح شدند. یکی از مشکلات اساسی سیستم های تشخیص نفوذ تولید حجم زیادی از هشدارها است، که ممکن است بیش از 99 درصد آن ها نادرست باشند. هنر مدیریت سیستم-های تشخیص نفوذ استفاده از روش هایی به منظور کاهش fpها است، بدون اینکه مانع تشخیص حملات واقعی به سازمان شوند. در این پایان نامه راه کاری برای کاهش حجم وسیع هشدارهای نادرست و حذف هشدارهای تکراری ارائه گردیده. روش پیشنهادی از ترکیب سه نظریه زیر جهت کاهش هشدارهای نادرست استفاده می کند. 1. هشدارهای درست معمولاً دسته ای از هشدارها می باشند که دارای آدرس های ip یکسانی هستند. 2. امضاهای مربوط به هشدارهای درست در مقایسه با میانگین امضاها، دارای فرکانس بالاتری می باشد. 3. تعداد هشدارهای همسایه برای هشدارهای درست به طور قابل ملاحظه ای بیشتر از تعداد همسایه ها برای هشدارهای نادرست می باشد. سیستم پیشنهادی توسط مجموعه داده darpa1999 مورد ارزیابی قرار گرفته است. نتایج نشان داده است که سیستم پیشنهادی با نرخ کاهش هشدار 86.4%، نرخ کاهش هشدار نادرست 85.9% و کاهش 100 درصدی هشدارهای تکراری می تواند تأثیر به سزایی در مدیریت هشدارها داشته باشد.