عنوان الإطروحه
Development of Organizations' Security Using Data Mining on Log Files
تاريخ مناقشة الاطروحه
2014-12-25
اسم الطالب
تغريد قاسم جلوب الخزعلي
المشرف
خالد محمد عبدالرحمن بطيحة
المشرف المشارك
فينوس سماوي
اعضاء لجنة المناقشة
عاصم عبد الرحمن الشيخ
سعد عقله بني محمد
الكلية
كلية الامير الحسين بن عبدالله لتكنولوجيا المعلومات
القسم
علم الحاسوب
الملخص بالعربية
أحد أهم المشاكل التي تواجه المنظمات هي خطر الاختراق من قبل الدخلاء الداخليين/أو الخارجيين. الدخلاء الداخليين أكثر خطورة من الدخلاء الخارجيين لأن أنشطتهم لا يرقى إليها الشك. وبالتالي، وجدنا أنه من المهم أن تقترح طريقة تقلل من اختراق المنظمات لا سيما من قبل الدخلاء الداخليين. من المعروف أن أنظمه الحاسوب في المنظمات تسجل أنشطة جميع المستخدمين في أنواع مختلفة من ملفات السجل (log files). في هذا البحث نركز على كشف الاختراقات باستخدام المعلومات المخزنة في ملف السجل. للقيام بذلك، نحن بحاجة لتتبع الأنشطة اليومية لجميع المستخدمين، وتوليد مجموعة من القواعد التي تكشف عن أي نشاط مشتبه فيه لا يكون جزءاً من سلوك المستخدمين (بناء قاعدة أو مجموعة من القواعد تكشف عن الدخلاء على أساس سلوكهم الشاذ). تم استخدام تقنية التنقيب عن البيانات لتوليد هذه القواعد والكشف عن الدخلاء. كان من الصعب جداً استخدام ملف سجل (log file) من منظمة كبيرة. لم تسمح لنا أي منظمة لاستخدام ملف سجل النظام الخاص بها (لأغراض أمنية). أيضاً لم نجد أي مجموعة بيانات قياسية (بيانات المعاملات ملف السجل). ولذلك فإننا قمنا ببناء ملف سجل محاكاة خاص بنا من خلال مراقبة سلوك المستخدمين في شركة صغيرة لمدة أسبوع. ثم حللنا ملف السجل لمجموعة من الخصائص (باستخدام نافذة انزلاق أسفل إلى أعلى)، وتم تقسيم الحركات المخزونة في ملف السجل إلى جزأين، جزء للتدريب وجزء للاختبار. ونجري عملية التقسيم 3- مرات للتحقق من صحة التقييم(K-fold) . يتكون هذا العمل بشكل أساسي من مرحلتين. مرحلة التعلم باستخدام قاعدة الارتباط(association rule) الذي يولد مجموعتين من القواعد (قواعد الكشف عن الهجوم، وقواعد السلوكيات العادية). استخدمنا قاعدة الارتباط للكشف عن العلاقة بين المتغيرات (أنشطة المستخدم) في ملف السجل. لتقييم أداء القواعد المتولدة, طبقنا هذه القواعدعلى جزء بيانات الاختبار وأوجدنا ف-القياس(F-measure) . المرحلة الثانية هي مرحلة بناء آلية أمنية حيث قمنا بتطوير التقنية الأمنية للمنظمة استناداً على أنشطة السجل الهامة (الأنشطة المتضمنة في القواعد المتولدة في المرحلة الأولى). استخدام فكرة النافذة المتحركة (إلى الأعلى وإلى الأسفل) لبناء الآلية الأمنية المقترحة للكشف عن أي عمل مشبوه لاختراق نظام المنظمة.
الملخص بالانجليزي
One of the most important problems facing organizations is the risk of penetration by internal and/or external intruders. Internal intruders are more dangerous than external intruders since their activities are unquestionable. Therefore, it is important to suggest a technique that reduces the penetration process especially by internal intruders. As well known, activities of all users are registered in different types of log files. In this work, the focus on detecting intrusions using information stored in log file. To do so, we need to trace the daily activities of all users, and generate set of rules to detect any suspected activity which is not part of their normal behavior. Data mining technique is used to generate these rules. To detect intruders, we need to construct a rule (or set of rules) that reveals intruders based on their abnormal behavior. It was very difficult to use log file of big organization. No organization allowed us to use their system log file (for security reasons). Also, we did not find any standard dataset (dataset of log file transactions). Therefore, we construct our own simulated log file. We then analyze the log file to set of properties (using bottom up sliding window), and divided the generated analyzed transaction set into two parts, training part and testing part. We perform the partition operation 3 times since we use k-fold cross validation for evaluation. This work mainly consists of two phases. Association rule learning phase which generates two sets of rules (attack detection rules, and normal behaviors rules).Will be used association rule to discover the relations between variables (user activates) in the log files. To evaluate the performance of the generated rules, we applied these rules on the testing data part and find the F-measure. The second phase is security mechanism construction phase where we developed an organization security technique based on the important log activities (activities involved in the rules generated in the first phase). Top down slide window idea is used when constructing the security mechanism in addition to intrusion deflection to hold the suspected action
رقم ISN
3892
للحصول على الرسالة كملف يرجى تزويد المكتبة برقم ISN