كاهش هشدارهاي سامانه‌هاي تشخيص نفوذ به كمك تعميم ويژگي‌هاي حملات در حوزه داده‌كاوي چندبعدي

امروزه حجم حملات پيشرفته سايبري در حال افزايش است، لذا استفاده از سامانه هاي تشخيص نفوذ در شبكه ها امري اجتناب ناپذير است. يكي از مشكلات عمده در استفاده اين سامانه ها حجم زياد هشدارهاي توليدشده سطح پايين است. در اين مقاله يكي از روش‌هاي حوزه داده‌كاوي به نام استنتاج ويژگي محور، استفاده ‌شده است. اساس اين روش تعميم داده هاي سطح پايين به مفاهيم سطح بالاست. با توسعه اين راهبرد در حوزه حملات سايبري، حجم هشدارهاي حسگرهاي تشخيص نفوذ كاهش داده ‌شده است. اين كاهش نه‌تنها باعث اختلال در شناسايي حملات نمي شود بلكه با تمركز بيشتر در ويژگي‌هاي  مشترك حملات باعث افزايش دقت در تشخيص حملات خواهد شد. همچنين يكي از پايه هاي اساسي اين روش، سلسله‌مراتب تعميم است كه براي ويژگي‌هاي مؤثر در حملات طراحي شده است. از نكات بارز ديگر اين مقاله، ارائه يك روش شهودي مناسب در انتخاب ويژگي‌ها براي تعميم است. براي ارزيابي روش پيشنهادي از مجموعه داده جديد CICIDS2017 استفاده شده است كه كاستي‌هاي مجموعه داده‌هاي قبل خود را مرتفع نموده است. نتايج بيانگر كاهش هشدارها با نرخ 99 درصد در پايين‌ترين سطح تعميم و ميانگين 25 % در سطوح ديگر تعميم است. در كنار ترافيك نرمال 14 نوع حمله مختلف شناسايي ‌شده است كه حمله Dos Hulk با فراواني 8.16% بيشترين فراواني و حمله Heartbleed با فراواني 0.0004% كمترين فراواني را دارا بوده اند. از ديگر قابليت‌هاي ارائه‌شده در روش پيشنهادي، امكان عمليات پردازش تحليلي برخط و داده كاوي چندبعدي در فضاي حملات سايبري به كمك حركت در سطوح مختلف تعميم است.