Modello Fuzzy Migliora la Prioritizzazione degli Avvisi IDS
Un nuovo framework che utilizza numeri fuzzy gaussiani subnormali migliora la prioritizzazione degli avvisi nei sistemi di rilevamento delle intrusioni valutando la gravità della minaccia, la confidenza del rilevamento e l'atteggiamento di rischio dell'organizzazione. Ogni avviso è rappresentato come un numero fuzzy, dove il nucleo indica la gravità, la diffusione l'incertezza e l'altezza l'affidabilità del rilevamento. Gli avvisi vengono classificati utilizzando indici, che possono essere regolati tramite un parametro di atteggiamento al rischio. Le valutazioni sui dataset CIC-IDS2017 e NSL-KDD dimostrano la sua efficacia anche quando le prestazioni del rilevatore diminuiscono (0,9963 rispetto a 0,8215 NDCGrel@100), in particolare nella distinzione di avvisi a media confidenza. Questo metodo mitiga efficacemente l'affaticamento da avvisi causato da falsi positivi e incidenti a basso impatto.
Fatti principali
- arXiv:2605.27299v1
- Tipo di annuncio: cross
- Propone la prioritizzazione degli avvisi utilizzando numeri fuzzy gaussiani subnormali
- Modella tre fonti di incertezza: gravità della minaccia, confidenza del rilevamento, atteggiamento di rischio organizzativo
- Ogni avviso rappresentato come numero fuzzy con nucleo (gravità), diffusione (incertezza), altezza (affidabilità)
- Utilizza indici di ranking per la prioritizzazione
- Il parametro di atteggiamento al rischio consente di regolare la postura di sicurezza
- Validato sui dataset CIC-IDS2017 e NSL-KDD
- Raggiunge 0,9963 vs 0,8215 NDCGrel@100 in condizioni di degrado del rilevatore
Entità
—