انجمن کامپیوتر ایران

سیستم‌های تشخیص نفوذ، حجم زیادی هشدار تولید می‌نمایند که بسیاری از آن‌ها مربوط به حملات واقعی نبوده و مثبت کاذب به شمار می‌آیند. به همین خاطر تحلیل و بررسی آن‌ها توسط مدیر امنیتی به خصوص در شبکه‌های بزرگ، کاری دشوار و حتی غیرممکن خواهد بود. ازاین‌رو، در این مقاله روشی خودکار به منظور شناسایی و کاهش هشدارهای مثبت کاذب، براساس ترکیب روش های تحلیل علت ریشه‌ای و روش‌‌های تشخیص ناهنجاری ارائه شده است که قابلیت شناسایی برخی از حملات و ناهنجاری‌ها را نیز دارد. روش پیشنهادی بر روی مجموعه داده‌ی واقعی مورد آزمایش قرار گرفته و به کاهش بیش از %98 هشدارها و نیز کاهش گزارش‌های ناهنجاری منجر شده است. این امر، بررسی هشدارها و گزارش‌های ناهنجاری را تسهیل می‌بخشد. به علاوه، هشدارهای که رفتار ناهنجار دارند، به فراهشدارهایی که دید بالاتری را از فعالیت‌های ناهنجار ارائه می‌دهند، تبدیل می‌شوند. این فراهشدارها، امکان نظارت و واکنش مستقیم مدیر را بر فعالیت‌های ناهنجار فراهم می‌سازند. از دیگر مزایای این روش، عدم نیاز به فرد خبره جهت تشخیص و جداسازی هشدارهای صحیح از هشدارهای کاذب می‌باشد.