یک الگوریتم همبسته سازی هشدارهای IDS با هدف کشف سناریوهای جدید حمله

هشدارهای سیستم های تشخیص نفوذ الزاما حاوی اطلاعات مفیدی نیستند و نیاز به تحلیل بیشتری دارند. با توجه به تعداد بسیار زیاد هشدارها، تحلیل دستی آنها توسط مدیر شبکه امکان پذیر نیست. همبسته سازی هشدارها روشی خودکار است که با کاهش تعداد هشدارها، حذف هشدارهای نامربوط و تعیین ارتباط منطقی آنها، گزارش امنیتی دقیقی از وضعیت شبکه فراهم می کند. با بزرگ شدن شبکه ها و پیشرفت روش های حمله؛ گم شدن هشدارها و انجام سناریوهای جدید حمله، از چالش های مطرح در زمینه ی همبسته سازی شده است. در این مقاله یک سیستم همبسته سازی ترکیبی پیشنهاد می شود که از دو بخش تشکیل شده است. در بخش اول، از روش همبسته سازی سببی مبتنی بر گراف حمله به منظور تشخیص حملات شناخته شده استفاده می شود که قابلیت فرضیه سازی هشدارهای گم شده را نیز دارد. در بخش دوم، یک روش همبسته سازی مبتنی بر تشابه پیشنهاد شده است که امکان کشف حملات ناشناس را فراهم می کند. دو بخش مذکور در کنار یکدیگر عمل می کنند و در صورتیکه بخش اول قادر به همبسته سازی هشدار جدید نباشد، از بخش دوم استفاده می شود. بعلاوه، سیستم پیشنهادی، قابلیت ثبت نقص های گراف حمله و تجمیع هشدارهای مشابه را دارد. نتایج شبیه سازی به زبان جاوا و با استفاده از مجموعه داده ی DARPA2000، صحت عملکرد و کارایی روش برای کاربردهای بلادرنگ را تایید می کند.