ارایه روشی برای بهبود همبسته سازی هشدار مبتنی بر مدلسازی قابلیت در حملات سایبری

همراه با توسعه سریع سلاح های سایبری، درگیری ها در این صحنه نبرد با رشد شبکه ها و کسب و کار شبکه ای، بیشتر و پیچیده تر شده است. در سال 1981 تعداد میزبان های شبکه 213 و در سال 2010، این تعداد به یک میلیارد رسید. با حضور کشورها، سازمان ها و اشخاص در فضای سایبر، دارایی آن ها تبدیل به اهداف ارزشمندی برای نفوذ مهاجمان شده است. برای حفاظت از این دارایی ها از ابزارهای مختلف آگاهی وضعیتی و دفاع سایبری مانند سیستم های تشخیص نفوذ استفاده می شود. اغلب سیستم های تشخیص نفوذ تعداد زیادی هشدار تولید می کنند که بخش عظیمی از آن ها هشدارهای غلط است و با روش های معمول همبسته سازی، نتایج مناسبی برای آگاهی از وضعیت امنیتی شبکه فراهم نمی شود. در این مقاله با توجه به اهمیت ویژه سه عامل اصلی نیت، فرصت و قابلیت در حملات سایبری، برای غلبه بر این مشکل روش همبسته سازی مبتنی بر مدلسازی قابلیت که توجه ویژه ای به مدلسازی اثرات بعدی حمله دارد ارایه شده است. با این مدلسازی می توان حملات دیگری که توسط قابلیت به دست آمده توسط مهاجم می تواند صورت گیرد را شناسایی کرد. به دلیل استفاده از پنجره زمانی در روش های فعلی برای بالابردن نرخ تشخیص حملات در واحد زمان، امکان همبسته سازی هشدارهای مربوط به حملات کند و به تبع آن شناسایی این حملات وجود ندارد. ما با ارایه دو الگوریتم موازی سعی در برطرف کردن این مشکل داریم به طوریکه علاوه بر بالا نگه داشتن نرخ تشخیص حملات قادر به کشف حملات کند نیز باشیم.