پديد آورنده :
عاطفي تالي، شيما
عنوان :
ارائه يك الگوريتم كارآمد به منظور همبسته سازي هشدارهاي IDS و با هدف كشف سناريوهاي جديد حمله
مقطع تحصيلي :
كارشناسي ارشد
گرايش تحصيلي :
مخابرات - شبكه
محل تحصيل :
اصفهان: دانشگاه صنعتي اصفهان، دانشكده برق و كامپيوتر
صفحه شمار :
نه،137ص.: مصور،جدول،نمودار
يادداشت :
ص.ع.به فارسي و انگليسي
استاد راهنما :
مسعودرضا هاشمي
توصيفگر ها :
امنيت شبكه , شيشتم تشخيص نفوذ
تاريخ نمايه سازي :
12/3/93
استاد داور :
علي فانيان، محمدحسين منشي
دانشكده :
مهندسي برق و كامپيوتر
چكيده فارسي :
1 چكيده سيستمهاي تشخيص نفوذ ز جمله بز رهاي مهم در تأمين منيت شبكهها هستند كه با صدور هشد رهاي مختلف مدير شبكه ر ز نفوذ يا حملات صورت گرفته آگاه ميسازند ين هشد رها به تنهايي حاوي طلاعات زيادي نيستند و به دليل مكان وجـود هشـد رهاي شـتباه بر ي ر ئهي گز رش منيتي دقيق و كاملي ز وضعيت شبكه نياز به تحليل بيشتري د رند با توجه به تعد د بسيار زياد هشد رهاي صادرشده مديريت و تحليل دستي آنها بر ي مدير شبكه مكانپذير نيست همبستهسازي هشد رها روشي ميدبخش در تحليل هشد رها ست كه با كاهش تعد د هشد رها حذف هشد رهاي نامربوط و تعيين رتباط منطقي بين آنها ديد سطح بالا و قابلفهمي ز وضعيت منيتي ر بر ي مدير شبكه فر هم ميكند تاكنون روشهاي همبستهسازي بسياري پيشنهادشده ند كه هر يك ز آنها به حل بخشي ز مشـكلات مطـرح در همبستهسازي هشد رها پرد خته ند و به لحاظ صحت عملكرد و كار يي با يكديگر متفاوت هستند با ين حال با بزرگ شدن شبكهها و پيشرفت روشها و بز رهاي حمله گمشدن هشد رها و نجام سناريوهاي جديدي ز حمله ز چالشهاي مطرح در ين زمينه شده ست در ين پاياننامه يك سيستم همبستهسازي تركيبي پيشنهاد ميشود كه ز دو بخش تشكيل شده ست در بخـش ول ز يـك لگـوريتم همبستهسازي سببي مبتني بر گر ف حمله به منظور تشخيص حملات شناختهشده ستفاده ميشود كـه قابليـت فرضـيهسـازي هشـد رهاي گمشده ر نيز د رد در بخش دوم يك لگوريتم همبستهسازي مبتني بر تشابه ويژگيهاي هشد رها پيشنهاد شده ست كه مكان كشـف حملات ناشناس ر فر هم ميكند ين دو بخش ز سيستم در كنار يكديگر عمل ميكنند و درصورتيكه بخش ول قادر به همبستهسـازي هشد ر جديد نباشد ز بخش دوم ستفاده ميشود علاوه بر ين سيستم تركيبي پيشنهادي قابليت ثبت نقصهاي گر ف حمله و تجميـع هشد رهاي مشابه ر خو هد د شت نتايج شبيهسازي بر روي مجموعه د دهي 0002 DARPA صحت عملكرد و كار يي روش سيسـتم پيشنهادي بر ي كاربردهاي بلادرنگ ر تأييد ميكند كلمات كليدي 1 منيت شبكه 2 سيستم تشخيص نفوذ 3 هشد ر 4 همبستهسازي هشد ر
چكيده انگليسي :
138 An Efficient Algorithm for IDS Alert Correlation with ability to Detect Unkown Attack Scenarios Shima Atefi Tali s atefitali@ec iut ac ir Date of Submission 2013 09 22 Department of Electrical and Computer Engineering Isfahan University of Technology Isfahan 84156 83111 Iran Degree M Sc Language Farsi Supervisor Masoud Reza Hashemi hashemim@cc iut ac irAbstract Intrusion detection systems are among the important tools in network security that notify the networkadministrator of the intrusions or attacks by issuing alerts These alerts do not necessarily contain usefulinformation and because of the possibility of false alerts they need further analysis to provide an accurateand complete report of the security status of network Due to the large number of alerts management andanalysis of alerts cannot be performed manually by network administrator Alert correlation is a promisingmethod for reducing the number of alerts deleting irrelevant alerts and finding logical relationship betweenthem that provide a high level view of the security situation for network administrators Several correlationmethods have been proposed so far but each one of them have solved only some of the issues in the alertcorrelation and they are different in terms of performance and accuracy However in large networks andcomplicated attack methods recognizing missing alerts and detecting new attack scenarios are novelchallenges in this area In this thesis we propose a hybrid alert correlation system that is composed of twoparts In the first part a causal correlation algorithm based on attack graph is used to detect known attacks This algorithm has the capability of hypothesizing missed alerts In the second part a correlation algorithmbased on feature similarity is proposed to discover unknown attack scenarios These two parts of the systemwork together and if the first part is not able to correlate a new alert the second part is used to do it Moreover the proposed hybrid system is able to detect attack graph defects It can also aggregate similaralerts Simulation results on DARPA2000 dataset confirm the accuracy and efficiency of the proposedsystem for real time applications Keywords Network Security Intrusion Detection System Alert Alert Correlation
استاد راهنما :
مسعودرضا هاشمي
استاد داور :
علي فانيان، محمدحسين منشي
