@article { author = {Qasemi Gol, Mohammad}, title = {A Foresight Framework for Intrusion Response Systems in Computer Networks}, journal = {Electronic and Cyber Defense}, volume = {6}, number = {3}, pages = {13-34}, year = {2018}, publisher = {Imam Hussein University}, issn = {2322-4347}, eissn = {2980-8979}, doi = {}, abstract = {Today, the number of alerts issued by network security systems has increased significantly and network administrators encounter new problems in handling the issued alerts and responding to them. As managing and responding to such a large number of alerts is difficult, alert management and intrusion response    system (IRS) are the main part of the security protection systems including intrusion detection systems. The main task of alert management is to reveal the attack details to IRS. Subsequently, the appropriate          responses are applied to reduce the attack damage and recover the compromised computer networks back to their normal operational mode. In the literature, researchers have investigated alert management      techniques and IRS solutions separately, despite the fact that alert management is one of the basic          requirements of response process and its outcome directly affects the IRS performance. Alert management design should provide the necessary information about the attacks to the response system according to its type and requirements. This information along with information from network resources present the current state of the network to IRS. However, if decisions taken by the response system is only based on the current network status, the total cost of the network will increase over the time. Therefore with a futuristic concept and considering the present available information and all possible coming states, decision making process in the response system can be improved. In this paper, using a futuristic approach we seek to propose     optimal solutions for confronting already-occurred and future-probable attacks. To achieve this goal, the proposed framework contains two subsystems: attacks and alerts modeling, and response modeling. In the first subsystem, we analyze the IDS alerts to find the similarity and causality relationships. We also present a comprehensive approach for network attack forecasting to obtain some useful predictions about the future states of the network. In the second subsystem, the response analyzer presents a multilevel response model to categorize intrusion responses. It also provides a foresight model to estimate the response cost by      considering IDS alerts, network dependencies, attack damage, response impact, and the probability of    potential attacks. Finally, models are proposed to make the best decision based on available information about the present and all possible coming states. Simulation results for different scenarios show that the response system, with a prospective vision, steers the network toward desired states with reduced cost of attack and response.  }, keywords = {Intrusion Response System,Foresight,Alert Management,Uncertainty-aware Attack Graph,Network Dependency Graph,Markov Decision Process}, title_fa = {چارچوبی آینده‌نگر برای سامانه‌های پاسخ به نفوذ در شبکه‌های رایانه‌ای}, abstract_fa = {امروزه افزایش هشدارهای صادرشده توسط سامانه­های محافظ امنیت منجر به بروز چالش جدیدی برای مدیران امنیت شبکه شده است. اصولاً مدیریت و پاسخگویی به این حجم زیاد هشدارها کار دشواری است. از این­رو، مدیریت هشدار و سامانه پاسخ را می­توان به عنوان اساسی­ترین بخش­های سامانه­های محافظ امنیت از جمله سامانه­های تشخیص نفوذ در نظر گرفت. در سال­های اخیر، بیشتر تحقیقات صورت­گرفته به طور مجزا به بحث مدیریت هشدار و سامانه پاسخ پرداخته­اند، درحالی­که این دو بخش لازم و ملزوم یکدیگر هستند و عملکردشان بر روی یکدیگر تأثیرگذار است. بخش مدیریت هشدار­ها بایستی به گونه­ای طراحی شود که اطلاعات لازم در مورد حملات رخ داده را متناسب با نوع سامانه پاسخ در اختیار آن قرار دهد. این اطلاعات به همراه اطلاعات مستخرج از منابع شبکه، وضعیت فعلی شبکه را برای سامانه پاسخ ترسیم می­کنند. با این­حال، چنانچه تصمیمات اتخاذشده در سامانه پاسخ تنها براساس اطلاعات وضعیت فعلی شبکه باشد، مجموع هزینه­­­های شبکه در طول زمان افزایش می­یابد. از این­رو، می­توان با کمک مفهوم آینده­نگری از کلیه اطلاعات موجود و قابل دسترس برای شناسایی وضعیت فعلی شبکه و کلیه وضعیت­­­های پیش رو استفاده نمود و فرآیند تصمیم­گیری در سامانه پاسخ را با این نگاه بهبود بخشید. در این مقاله هدف ما ارائه یک رویکرد آینده­نگر جهت یافتن پاسخ­های بهینه برای مقابله با حملات رخ داده و حملات محتمل آینده است. برای این منظور معماری پیشنهادی شامل دو بخش کلی 1) مدل­سازی هشدارها و حملات و 2) مدل­سازی پاسخ می­باشد. در بخش نخست با تحلیل هشدارهای مستخرج از سامانه­های تشخیص نفوذ سعی کرده­ایم ورودی مناسب برای سامانه پاسخ خودکار فراهم شود. همچنین به منظور پیش­بینی حملات آینده روش­هایی جهت تحلیل حملات به صورت پویا ارائه شده است تا از این طریق، انتخاب پاسخ مناسب با دید آینده­نگر انجام گیرد. در بخش دوم نیز ابتدا با ارائه یک مدل بازنمایی مناسب به تحلیل مجموعه­ پاسخ­ها پرداخته­ایم. سپس با بررسی شرایط فعلی و آتی شبکه، هزینه­ها و سودمندی­های هر پاسخ به طور دقیق محاسبه شده است. درنهایت، مدل­هایی جهت انتخاب پاسخ­های مناسب با کمک روش­های تصمیم­سازی ارائه شده­ است. نتایج حاصل از شبیه­سازی با سناریو­­های مختلف نشان می­دهد با کمک آینده­نگری در سامانه پاسخ می­توان هزینه­­­های ناشی از وقوع حمله به شبکه و اعمال پاسخ را تا حد زیادی کاهش داد و شبکه را به سوی وضعیت­هایی با هزینه کم هدایت نمود.}, keywords_fa = {سامانه پاسخ به نفوذ,آینده‌نگری,مدیریت هشدار,گراف حمله آگاه به عدم قطعیت,گراف وابستگی‌های شبکه,فرآیند تصمیم‌سازی مارکوف}, url = {https://ecdj.ihu.ac.ir/article_203668.html}, eprint = {https://ecdj.ihu.ac.ir/article_203668_8c18902632a3b2d929f6cd11191b9fcf.pdf} }