کاهش هشدارهای سامانه‌های تشخیص نفوذ به کمک تعمیم ویژگی‌های حملات در حوزه داده‌کاوی چندبعدی

امروزه حجم حملات پیشرفته سایبری در حال افزایش است، لذا استفاده از سامانه های تشخیص نفوذ در شبکه ها امری اجتناب ناپذیر است. یکی از مشکلات عمده در استفاده این سامانه ها حجم زیاد هشدارهای تولیدشده سطح پایین است. در این مقاله یکی از روش‌های حوزه داده‌کاوی به نام استنتاج ویژگی محور، استفاده ‌شده است. اساس این روش تعمیم داده های سطح پایین به مفاهیم سطح بالاست. با توسعه این راهبرد در حوزه حملات سایبری، حجم هشدارهای حسگرهای تشخیص نفوذ کاهش داده ‌شده است. این کاهش نه‌تنها باعث اختلال در شناسایی حملات نمی شود بلکه با تمرکز بیشتر در ویژگی‌های  مشترک حملات باعث افزایش دقت در تشخیص حملات خواهد شد. همچنین یکی از پایه های اساسی این روش، سلسله‌مراتب تعمیم است که برای ویژگی‌های موثر در حملات طراحی شده است. از نکات بارز دیگر این مقاله، ارائه یک روش شهودی مناسب در انتخاب ویژگی‌ها برای تعمیم است. برای ارزیابی روش پیشنهادی از مجموعه داده جدید cicids2017 استفاده شده است که کاستی‌های مجموعه داده‌های قبل خود را مرتفع نموده است. نتایج بیانگر کاهش هشدارها با نرخ 99 درصد در پایین‌ترین سطح تعمیم و میانگین 25 % در سطوح دیگر تعمیم است. در کنار ترافیک نرمال 14 نوع حمله مختلف شناسایی ‌شده است که حمله dos hulk با فراوانی 8.16% بیشترین فراوانی و حمله heartbleed با فراوانی 0.0004% کمترین فراوانی را دارا بوده اند. از دیگر قابلیت‌های ارائه‌شده در روش پیشنهادی، امکان عملیات پردازش تحلیلی برخط و داده کاوی چندبعدی در فضای حملات سایبری به کمک حرکت در سطوح مختلف تعمیم است.

The Reduction of Intrusion Detection Systems Alerts by Generalizing Attack Features in Multidimensional Data Mining Domain

The volume of advanced cyber attacks is increasing today; hence the use of intrusion detection systems in networks is inevitable. One of the major problems by using these systems are considered as the high volume of lowlevel alarms produced. In the present paper, one of the data mining techniques called AttributeOriented Induction is utilized. The basis of this approach is to generalize lowlevel data to highlevel concepts. By the development of this strategy in the field of cyber attacks, the volume of intrusion detection alarms has been decreased. This reduction not only disrupts the detection of attacks but by more focusing on the common features of the attacks, it will increase the accuracy of detection. Moreover, one of the basic foundations of this method is a generalized hierarchy designed for effective attack features. Another highlight of this investigation is to provide an intuitive approach to selecting features for generalization. The new CICIDS2017 data set was employed to evaluate the proposed method, which overcame the shortcomings of its previous data set. In conclusion, the results show a 99% decrease in alarms at the lowest generalization level and an average of 25% at the other generalization levels. In addition to the normal traffic, 14 different attack types were identified, with the Dos Hulk attack being the most frequent with 8.16% and the Heartbleed attack having the lowest frequency 0.0004%. Other capabilities were offered in the proposed method include the possibility of online analytical processing and multidimensional data mining in cyber attack space by moving at different levels of generalization..