فهرست مطالبعنوانصفحه فصل 1 مقدمه.. 11-1 مقدمه.. 21-2 تعریف مسأله و بیان سؤالهای اصلی تحقیق.. 21-3 ضرورت انجام تحقیق.. 51-4 فرضیهها.. 61-5 هدفها.. 61-6 کاربردها.. 71-7 جنبهی نوآوری تحقیق.. 71-8 روش تحقیق.. 81-9 مراحل انجام تحقیق.. 81-10 ساختار پایاننامه.. 9فصل 2 مروری بر مفاهیم اولیه.. 112-1 مقدمه.. 122-2 تشخیص نفوذ.. 122-3 انواع سیستمهای تشخیص نفوذ.. 132-3-1 دستهبندی سیستمهای تشخیص نفوذ بر اساس نوع منبع داده 152-3-2 دستهبندی سیستمهای تشخیص نفوذ بر اساس روشهای مختلف تشخیص 162-3-3 دستهبندی سیستمهای تشخیص نفوذ بر اساس نحوهی واکنش به نفوذ 172-3-4 دستهبندی سیستمهای تشخیص نفوذ بر اساس معماری.. 182-4 دادهکاوی.. 212-5 تشخیص نفوذ و دادهکاوی.. 232-5-1 قوانین انجمنی.. 262-5-2 قوانین سریالی مکرر.. 272-5-3 دستهبندی.. 292-5-4 خوشهبندی.. 302-6 جمعبندی.. 31فصل 3 مروری بر کارهای انجامشده.. 333-1 مقدمه.. 343-2 بررسی تحقیقات پیشین.. 343-3 فرآیند بهبود کیفیت هشدارها.. 473-4 جمعبندی.. 49فصل 4 معرفی رویکرد پیشنهادی.. 504-1 مقدمه.. 514-2 معماری رویکرد پیشنهادی.. 524-3 قالب استاندارد هشدارها در رویکرد پیشنهادی.. 544-4 مؤلفههای کارکردی رویکرد پیشنهادی.. 554-4-1 مؤلفهی بهنجارسازی.. 564-4-2 مؤلفهی پیشپردازش.. 564-4-3 مؤلفهی همجوشی.. 574-4-4 مؤلفهی وارسی آسیبپذیری.. 604-4-5 مؤلفهی کاهش هشدارهای غلط.. 614-4-6 مؤلفهی شناسایی هشدارهای رایج.. 624-4-7 مؤلفهی تجمیع.. 634-5 جمعبندی.. 66فصل 5 آزمایشها و ارزیابی رویکرد پیشنهادی.. 685-1 مقدمه.. 695-2 مجموعه دادهی ارزیابی.. 695-2-1 مجموعههای دادهی DARPA-Lincoln و مجموعه دادهی KDD99. 705-2-2 دادههای Internet Exploration Shootout Dataset725-2-3 سایر مجموعه دادههای رایج.. 735-2-4 مجموعه دادههای تولیدشدهی دیگر.. 735-3 معیارهای ارزیابی کارایی.. 745-4 IDS مورد استفاده جهت ارزیابی.. 765-5 پیادهسازی آزمایشی رویکرد پیشنهادی.. 775-6 نتایج ارزیابی با استفاده از مجموعه دادهی DARPA 1999. 775-7 نتایج ارزیابی در محیط شبکهی واقعی.. 815-8 نتایج مقایسهی راهکار پیشنهادی با کارهای پیشین.. 835-9 جمعبندی.. 84فصل 6 نتیجهگیری و پیشنهادها.. 856-1 مقدمه.. 866-2 نتایج حاصل از پژوهش.. 876-3 نوآوریهای پژوهش.. 886-4 پیشنهادها.. 88مراجع.. 90واژهنامه.. 97 فهرست شکلهاعنوانصفحه شکل 2‑1: طبقهبندی سیستمهای تشخیص نفوذ.. 14شکل 2‑2: معماری مرکزی در سیستمهای تشخیص نفوذ مشارکتی.. 20شکل 2‑3: معماری سلسلهمراتبی در سیستمهای تشخیص نفوذ مشارکتی 21شکل 2‑4: معماری کاملاً توزیعشده در سیستمهای تشخیص نفوذ مشارکتی 21شکل 2‑5: مدیریت هشدارها در یک شبکه با یک IDS معمولی و ساده 24شکل 2‑6: مدیریت هشدارها در IDS با استفاده از دادهکاوی.. 24شکل 2‑7: مهمترین اهداف کاربرد دادهکاوی در IDS. 25شکل 3‑1: نمونهای از سلسلهمراتب تعمیم.. 38شکل 3‑2: سلسلهمراتب تعمیم برای ویژگی زمان و پورت از هشدار 38شکل 3‑3: شبه کد الگوریتم پیشنهادی مکاریان برای واحد خوشهبندی 42شکل 3‑4: نمونهای از فرایند تعمیم.. 42شکل 3‑5: الگوریتم پیشنهادی مکاریان برای واحد دستهبندی.. 47شکل 3‑6: مدل فرآیندی پیشنهادی والور و همکارانش.. 48شکل 3‑7: مدل پیشنهادی برای بهبود کیفیت هشدارها.. 49شکل 4‑1: معماری رویکرد پیشنهادی برای مدیریت هشدارها.. 54شکل 4‑2: شبه کد مؤلفهی بهنجارسازی.. 56شکل 4‑3: شبه کد مؤلفهی پیشپردازش.. 57شکل 4‑4: شبه کد مؤلفهی همجوشی.. 58شکل 4‑5: شبه کد روال همجوشی در مؤلفهی همجوشی.. 59شکل 4‑6: شبه کد روال حذف در مؤلفهی همجوشی.. 59شکل 4‑7: شبه کد مؤلفهی وارسی آسیبپذیری.. 60شکل 4‑8: شبه کد مؤلفهی کاهش هشدارهای غلط.. 61شکل 4‑9: شبه کد مؤلفهی شناسایی هشدارهای رایج.. 62شکل 4‑10: شبه کد مؤلفهی تجمیع.. 65شکل 4‑11: شبه کد روال حذف در مؤلفهی تجمیع.. 66شکل 5‑1: همبندی شبکهی DARPA 1999. 78شکل 5‑2: سلسلهمراتب آدرسهای IP، در مجموعه دادهی DARPA 1999. 79شکل 5‑3: سلسلهمراتب درگاه، در مجموعه دادهی DARPA 1999. 79شکل 5‑4: نمودار نتایج ارزیابی رویکرد پیشنهادی، در مجموعه دادهی DARPA 1999. 81شکل 5‑5: نمودار نتایج ارزیابی رویکرد پیشنهادی، در شبکهی واقعی 82 فهرست جدولهاعنوانصفحه جدول 2‑1: نمونهی دادهی ورودی.. 26جدول 4‑1: شرح هدف مؤلفههای کارکردی رویکرد پیشنهادی.. 53جدول 5‑1: خلاصهای از مجموعه دادههای رایج در زمینهی تشخیص نفوذ 69جدول 5‑2: ماتریس درهمریختگی.. 74جدول 5‑3: ارزیابی نتایج رویکرد پیشنهادی در مجموعه دادهی DARPA 1999 81جدول 5‑4: ارزیابی نتایج رویکرد پیشنهادی، در شبکه واقعی 82جدول 5‑5: مقایسهی رویکرد پیشنهادی با کارهای پیشین.. 83 فهرست علائم اختصاریCPUCentral Processing Unitواحد پردازش مرکزیDDoSDistributed Denial of Serviceجلوگیری از سرویس توزیعشدهDoSDenial of Serviceجلوگیری از سرویسDRDetection Rateنرخ تشخیصFARFalse Alarm Rateنرخ هشدار غلطFNFalse Negativeمنفی غلطFNRFalse Negative Rateنرخ منفی غلطFPFalse Positiveمثبت غلطFPRFalse Positive Rateنرخ مثبت غلطFPRRFalse Positive Reduction Rateنرخ کاهش هشدارهای غلطHIDSHost-based Intrusion Detection Systemسیستمهای تشخیص نفوذ مبتنی بر میزبانIDESIntrusion Detection Expert Systemسیستم خبرهی تشخیص نفوذIDPSIntrusion Detection and Prevention Systemسیستم تشخیص و جلوگیری از نفوذIDSIntrusion Detection Systemسیستم تشخیص نفوذIPSIntrusion Prevention Systemسیستم جلوگیری از نفوذLANLocal Area Networkشبکهی محلیNIDSNetwork-based Intrusion Detection Systemسیستمهای تشخیص نفوذ مبتنی بر شبکهRRReduction Rateنرخ کاهشTCPTransmission Control Protocolپروتکل کنترل ارسالTNTrue Negativeمنفی درستTNRTrue Negative Rateنرخ منفی درستTPTrue Positiveمثبت درستTPRTrue Positive Rateنرخ مثبت درستUDPUser Datagram Protocolپروتکل بستههای کاربر کیده:همزمان با پیشرفت و گسترش روزافزون اینترنت و کاربردهای مبتنی بر آن، بر تعداد و پیچیدگی حملات سایبری نیز افزوده میشود. بنابراین، استفاده از ابزارهای مختلف امنیتی برای حفاظت از سیستمها و شبکههای کامپیوتری به یک نیاز حیاتی تبدیل شده است. در میان این ابزارها، سیستمهای تشخیص نفوذ از مؤلفههای ضروری دفاع در عمق میباشند. یکی از بزرگترین مشکلات سیستمهای تشخیص نفوذ، تولید سیلی از هشدارهاست؛ هشدارهایی که اغلب آنها هشدارهای غلط، تکراری، و بیاهمیت هستند. در میان رویکردهای مختلف برای حل این مشکل، روشهای دادهکاوی از سوی بسیاری از محققان پیشنهاد شده است. با این حال، بسیاری از روشهای قبلی نتوانستهاند مشکلات را به طور کامل حل کنند. به علاوه، اغلب روشهای پیشین، از مشکلاتی نظیر وابستگی به نیروی انسانی و برونخط بودن رنج میبرند.در این پژوهش، یک رویکرد برخط برای مدیریت هشدارهای تولیدشده توسط سیستمهای تشخیص نفوذ پیشنهاد میشود. رویکرد پیشنهادی، قابلیت دریافت هشدارهایی از چندین سیستم تشخیص نفوذ را داراست. این رویکرد با استفاده از مجموعه دادهی استاندارد DARPA 1999 و مجموعه دادهی شبکهی ادارهی بنادر و دریانوردی شهید رجایی ارزیابی شده است. ارزیابیهای انجام شده نشان میدهد که راهکار ارائه شده با کاهش حجم هشدارها به میزان 94.32%، میتواند تأثیر بسزایی در مدیریت هشدارها داشته باشد. این رهیافت، به دلیل استفاده از رویکرد تجمعی دادهکاوی و بهکارگیری الگوریتمهای بهینه، میتواند متخصص امنیت شبکه را به صورت برخط، از وضعیت شبکهی تحت نظارت، آگاه سازد. کلمات کلیدی:سیستمهای تشخیص نفوذ، دادهکاوی، دستهبندی هشدارها، خوشهبندی هشدارها، هشدارهای غلط، الگوریتم برخطسرعت زیاد رشد و توسعهی اینترنت و کاربردهای[1] مبتنی بر آن، در سراسر دنیا و همچنین، در ایران، بر کسی پوشیده نیست. همچنان که تعداد و میزان استفاده از کاربردهای مبتنی بر اینترنت افزایش مییابد، میزان نیاز به استفاده از راهکارهایی برای محافظت در برابر حملات سایبری[2] نیز افزایش مییابد. تلاشهای بسیاری در دههی اخیر، برای مقابله با حملات سایبری انجام شده است؛ رمزنگاری[3]، دیوارههای آتش[4]، و سیستمهای تشخیص نفوذ (IDS[5])، از جملهی این تلاشها میباشند. از میان این راهکارها، استفاده از IDS به منظور تأمین امنیت شبکههای کامپیوتری، بسیار مورد توجه قرار گرفته است[Song, Takakura, Okabe & Nakao, 2013]. بهکارگیری سیستمهای تشخیص نفوذ از جمله راهکارهای محافظتی است که به عنوان یکی از اجزای ضروری معماری دفاع در عمق[6]، برای تأمین امنیت شبکههای کامپیوتری، مورد استفاده قرار گرفته است. سیستمهای تشخیص نفوذ، دادههای مختلف را بررسی نموده و در صورت کشف شواهدی مبنی بر رفتارهای مشکوک و نفوذی، هشدارهایی را تولید کرده و به مدیر شبکه ارائه میکنند؛ بدین ترتیب فرصت عکسالعمل سریع و به موقع را برای مدیر شبکه، فراهم مینمایند[Perdisci, Giacinto & Roli, 2006]. واضح است که میزان تأثیرگذاری سیستمهای تشخیص نفوذ بر امنیت شبکههای کامپیوتری، با عملکرد درست، کارامد و سریع این سیستمها، گره خورده است.همان طوری که بیان شد، استفاده از سیستمهای تشخیص نفوذ برای تأمین امنیت شبکههای کامپیوتری بسیار رایج شده است. اگرچه در سالهای اخیر سیستمهای تشخیص نفوذ، توسعهی زیادی یافته و به طور گستردهای در تأمین امنیت شبکههای کامپیوتری، به کار رفتهاند، اما فناوری سیستمهای تشخیص نفوذ، هنوز کامل نبوده و فاصلهی زیادی تا حالت ایدهآل دارد و هنوز موضوعات بسیار مهمی در رابطه با آنها، مطرح است[Agarwal, Johri, Agarwal, Tyagi & Kumar, 2012] [Cheng-Yuan, Yuan-Cheng, Chen, Fu-Yu & Wei-Hsuan, 2012] [Salah, Maciá-Fernández & Díaz-Verdejo, 2013] [Song et al., 2013]. یکی از این موضوعات، اثربخشی[7] سیستمهای تشخیص نفوذ میباشد. سیستم تشخیص نفوذی اثربخشتر است که بتواند دامنهی گستردهتری از حملات را تشخیص داده و درعینحال، میزان هشدارهای غلط[8] را نیز، کاهش دهد[Kemmerer & Vigna, 2002]. در صورتی که یک سیستم تشخیص نفوذ، مدیر شبکه را درون تعداد بسیار زیادی از هشدارها غرق سازد، میزان اثربخشی خود را کاهش داده است. علاوه بر مورد مطرحشده، کارایی[9] سیستمهای تشخیص نفوذ نیز مورد بحث و بررسیهای فراوان است. از این حیث، سیستمهای تشخیص نفوذ بایستی بتوانند گام به گام، با افزایش اندازه و وسعت، سرعت و پویایی شبکههای کامپیوتری، قدم برداشته و پیشرفت کنند[Kemmerer & Vigna, 2002]. البته، این دو موضوع، کاملاً جدا از هم نیستند و بر یکدیگر، تأثیر میگذارند.