کاهش هشدارهای سامانه‌های تشخیص نفوذ به کمک تعمیم ویژگی‌های حملات در حوزه داده‌کاوی چندبعدی

  • سال انتشار: 1399
  • محل انتشار: فصلنامه علوم و فناوری های پدافند نوین، دوره: 11، شماره: 4
  • کد COI اختصاصی: JR_ADST-11-4_008
  • زبان مقاله: فارسی
  • تعداد مشاهده: 299
دانلود فایل این مقاله

نویسندگان

مهدی ملکی

دانشگاه آیت ا...بروجردی

محمد لطفی

هیات علمی

چکیده

امروزه حجم حملات پیشرفته سایبری در حال افزایش است، لذا استفاده از سامانه­های تشخیص نفوذ در شبکه­ها امری اجتناب­ناپذیر است. یکی از مشکلات عمده در استفاده این سامانه­ها حجم زیاد هشدارهای تولیدشده سطح پایین است. در این مقاله یکی از روش‌های حوزه داده‌کاوی به نام استنتاج ویژگی محور، استفاده ‌شده است. اساس این روش تعمیم داده­های سطح پایین به مفاهیم سطح بالاست. با توسعه این راهبرد در حوزه حملات سایبری، حجم هشدارهای حسگرهای تشخیص نفوذ کاهش داده ‌شده است. این کاهش نه‌تنها باعث اختلال در شناسایی حملات نمی­شود بلکه با تمرکز بیشتر در ویژگی‌های  مشترک حملات باعث افزایش دقت در تشخیص حملات خواهد شد. همچنین یکی از پایه­های اساسی این روش، سلسله‌مراتب تعمیم است که برای ویژگی‌های مؤثر در حملات طراحی شده است. از نکات بارز دیگر این مقاله، ارائه یک روش شهودی مناسب در انتخاب ویژگی‌ها برای تعمیم است. برای ارزیابی روش پیشنهادی از مجموعه داده­ جدید CICIDS2017 استفاده شده است که کاستی‌های مجموعه داده‌های قبل خود را مرتفع نموده است. نتایج بیانگر کاهش هشدارها با نرخ 99 درصد در پایین‌ترین سطح تعمیم و میانگین 25 % در سطوح دیگر تعمیم است. در کنار ترافیک نرمال 14 نوع حمله مختلف شناسایی ‌شده است که حمله Dos Hulk با فراوانی 8.16% بیشترین فراوانی و حمله­ Heartbleed با فراوانی 0004/0% کمترین فراوانی را دارا بوده­اند. از دیگر قابلیت‌های ارائه‌شده در روش پیشنهادی، امکان عملیات پردازش تحلیلی برخط و داده­کاوی چندبعدی در فضای حملات سایبری به کمک حرکت در سطوح مختلف تعمیم است.

کلیدواژه ها

سامانه تشخیص نفوذ, تعمیم ویژگی‌ها, داده‌کاوی چندبعدی, پردازش تحلیلی برخط, حملات چندمرحله‌ای

اطلاعات بیشتر در مورد COI

COI مخفف عبارت CIVILICA Object Identifier به معنی شناسه سیویلیکا برای اسناد است. COI کدی است که مطابق محل انتشار، به مقالات کنفرانسها و ژورنالهای داخل کشور به هنگام نمایه سازی بر روی پایگاه استنادی سیویلیکا اختصاص می یابد.

کد COI به مفهوم کد ملی اسناد نمایه شده در سیویلیکا است و کدی یکتا و ثابت است و به همین دلیل همواره قابلیت استناد و پیگیری دارد.