Deteção em tempo quase-real de anomalias no comportamento de administradores de sistemas

Detalhes bibliográficos
Autor(a) principal: Sécio, Beatriz Pereira
Data de Publicação: 2020
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10451/45099
Resumo: Trabalho de projecto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2020
id RCAP_4760430682b3c36573531f635f4fc5bc
oai_identifier_str oai:repositorio.ul.pt:10451/45099
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling Deteção em tempo quase-real de anomalias no comportamento de administradores de sistemasAnomaliasAprendizagem automáticaElasticSearchCibersegurançaPrivilégios de administraçãoTrabalhos de projecto de mestrado - 2020Departamento de InformáticaTrabalho de projecto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2020Este projeto encontra-se inserido no plano de estudos do Mestrado em Segurança Informática da Faculdade de Ciências da Universidade de Lisboa, tendo sido desenvolvido com o apoio dos especialistas da área de DevOps da Direção de Cibersecurity & Privacy (DCY) da Altice Portugal. Será feita uma análise detalhada ao comportamento de utilizadores com privilégios de administração dentro da Altice, com o objetivo de solucionar o problema da deteção de anomalias em tempo quase-real com base em eventos de segurança. Serão monitorizados eventos de segurança do Windows, nomeadamente, eventos de início de sessão com e sem sucesso e fins de sessão. Estes eventos são gerados nas máquinas de trabalho de todos os colaboradores, consultores, estagiários e mestrandos, com uma conta na Altice. Nesta abordagem, iremos resolver o problema apresentado através da exploração das potencialidades do módulo de aprendizagem automática, incluído na interface gráfica disponibilizada pelo ElasticSearch. A partir do conjunto de dados, descrito anteriormente, será elaborado um modelo do comportamento dos utilizadores das Altice, com principal foco no utilizadores com privilégios de administração, que deverá ser capaz de detetar desvios ao padrão normal (anomalias). O trabalho incluirá também uma perspetiva crítica com o objetivo de perceber a qualidade dos resultados obtidos. Este trabalho foi desenvolvido na fase de migração da versão do ElasticSearch utilizada em produção para uma versão estável mais recente. A DCY, encarregue de garantir a segurança da informação da Altice, no início deste projeto, ainda não se encontrava a tirar partido das técnicas de aprendizagem automática oferecidas por esta plataforma, uma vez que ainda não tinham sido introduzidas na versão utilizada pelos seus funcionários. Estas funcionalidades estão apenas disponíveis na subscrição Platinium, por isso, é importante perceber se o investimento feito trará vantagens para a Direção. Com isto, o projeto irá focar-se na exploração das funcionalidades oferecidas por esta subscrição, no que diz respeito às técnicas de aprendizagem automática, para perceber se trará benefícios na realização de determinadas tarefas face aos métodos utilizados atualmente. Foi possível concluir que a ferramenta de aprendizagem automática do ElasticSearch é bastante intuitiva e fácil de utilizar, encontrando-se muito bem documentada. Falta-lhe alguma versatilidade no que diz respeito ao tipo de casos de uso que permite implementar. É uma excelente ferramenta para criar modelos simples, mas a reduzida parametrização disponível torna difícil a implementação de casos mais complexos. Consegue adaptar-se dinamicamente a diferentes tipos de conjuntos de dados mas falha na explicação de alguns resultados, como por exemplo, o grau de severidade das anomalias detectadas.This project takes part in the program of the Master in Information Security of the Faculty of Sciences of the Univerity of Lisbon and was developed with the help of DevOps specialists from the Department of Cybersecurity & Privacy (DCY) of Altice Portugal. We will make a detailed analysis of the behavior of users with administration privileges within Altice aiming to solve the problem of anomaly detection in near real time based on security events. Windows security events will be monitored, including successful and unsuccessful logins and logoffs. These events are generated on the workstations of all employees, consultants, interns and master students, with an Altice account. In this approach we will solve the problem presented by exploring the capabilities of the Machine Learning module included in the graphical interface available with ElasticSearch. From the data set described above, we will develop a user (with administration privileges) behavior model that must be able to detect deviations from the normal pattern (anomalies). The project will also include a critical perspective in order to understand the quality of the results obtained. This project was developed during the migration of the production version of ElasticSearch to a more recent and stable version. The DCY, which ensures Altice’s information security, in the begining of this project, was not taking advantage of the machine learning techniques offered by this platform since they had not yet been introduced in the version used by its employees. These features are only available on the Platinium subscription, making it important to analyse if the investment made brings advantages for the department. With this, the project will focus on exploring the features offered by this subscription, regarding the machine learning techniques, to determine whether or not it offers improvements in the execution of important security related tasks compared to the methods used at the moment. It was concluded that the Machine Learning module of ElasticSearch is very intuitive, easy to use and very well documented. It lacks versatility with regard to the type of use cases it allows to implement. It is an excellent tool for creating simple models, but the available parameterization makes it difficult to implement complex use cases. It is able to adapt dynamically to different types of datasets, but fails to explain some results, for example, the severity score of the anomalies detected.Costa, António Casimiro Ferreira da, 1968-Repositório da Universidade de LisboaSécio, Beatriz Pereira2020-12-02T17:39:54Z202020202020-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/45099TID:202605841porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T16:46:36Zoai:repositorio.ul.pt:10451/45099Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:57:35.159700Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv Deteção em tempo quase-real de anomalias no comportamento de administradores de sistemas
title Deteção em tempo quase-real de anomalias no comportamento de administradores de sistemas
spellingShingle Deteção em tempo quase-real de anomalias no comportamento de administradores de sistemas
Sécio, Beatriz Pereira
Anomalias
Aprendizagem automática
ElasticSearch
Cibersegurança
Privilégios de administração
Trabalhos de projecto de mestrado - 2020
Departamento de Informática
title_short Deteção em tempo quase-real de anomalias no comportamento de administradores de sistemas
title_full Deteção em tempo quase-real de anomalias no comportamento de administradores de sistemas
title_fullStr Deteção em tempo quase-real de anomalias no comportamento de administradores de sistemas
title_full_unstemmed Deteção em tempo quase-real de anomalias no comportamento de administradores de sistemas
title_sort Deteção em tempo quase-real de anomalias no comportamento de administradores de sistemas
author Sécio, Beatriz Pereira
author_facet Sécio, Beatriz Pereira
author_role author
dc.contributor.none.fl_str_mv Costa, António Casimiro Ferreira da, 1968-
Repositório da Universidade de Lisboa
dc.contributor.author.fl_str_mv Sécio, Beatriz Pereira
dc.subject.por.fl_str_mv Anomalias
Aprendizagem automática
ElasticSearch
Cibersegurança
Privilégios de administração
Trabalhos de projecto de mestrado - 2020
Departamento de Informática
topic Anomalias
Aprendizagem automática
ElasticSearch
Cibersegurança
Privilégios de administração
Trabalhos de projecto de mestrado - 2020
Departamento de Informática
description Trabalho de projecto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2020
publishDate 2020
dc.date.none.fl_str_mv 2020-12-02T17:39:54Z
2020
2020
2020-01-01T00:00:00Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10451/45099
TID:202605841
url http://hdl.handle.net/10451/45099
identifier_str_mv TID:202605841
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799134519519870976

Registros relacionados