چکیده:
همزمان با پیشرفت و گسترش روزافزون اینترنت و کاربردهای مبتنی بر آن، بر تعداد و پیچیدگی حملات سایبری نیز افزوده میشود. بنابراین، استفاده از ابزارهای مختلف امنیتی برای حفاظت از سیستمها و شبکههای کامپیوتری به یک نیاز حیاتی تبدیل شده است. در میان این ابزارها، سیستمهای تشخیص نفوذ از مؤلفههای ضروری دفاع در عمق میباشند. یکی از بزرگترین مشکلات سیستمهای تشخیص نفوذ، تولید سیلی از هشدارهاست؛ هشدارهایی که اغلب آنها هشدارهای غلط، تکراری، و بیاهمیت هستند. در میان رویکردهای مختلف برای حل این مشکل، روشهای دادهکاوی از سوی بسیاری از محققان پیشنهاد شده است. با این حال، بسیاری از روشهای قبلی نتوانستهاند مشکلات را به طور کامل حل کنند. به علاوه، اغلب روشهای پیشین، از مشکلاتی نظیر وابستگی به نیروی انسانی و برونخط بودن رنج میبرند.
در این پژوهش، یک رویکرد برخط برای مدیریت هشدارهای تولیدشده توسط سیستمهای تشخیص نفوذ پیشنهاد میشود. رویکرد پیشنهادی، قابلیت دریافت هشدارهایی از چندین سیستم تشخیص نفوذ را داراست. این رویکرد با استفاده از مجموعه دادهی استاندارد DARPA 1999 و مجموعه دادهی شبکهی ادارهی بنادر و دریانوردی شهید رجایی ارزیابی شده است. ارزیابیهای انجام شده نشان میدهد که راهکار ارائه شده با کاهش حجم هشدارها به میزان ۹۴٫۳۲%، میتواند تأثیر بسزایی در مدیریت هشدارها داشته باشد. این رهیافت، به دلیل استفاده از رویکرد تجمعی دادهکاوی و بهکارگیری الگوریتمهای بهینه، میتواند متخصص امنیت شبکه را به صورت برخط، از وضعیت شبکهی تحت نظارت، آگاه سازد.
کلمات کلیدی:
سیستمهای تشخیص نفوذ، دادهکاوی، دستهبندی هشدارها، خوشهبندی هشدارها، هشدارهای غلط، الگوریتم برخط