Geração online de hiperalertas com base no histórico de estratégias de ataque
Autor(a) principal: | |
---|---|
Data de Publicação: | 2024 |
Tipo de documento: | Dissertação |
Idioma: | por |
Título da fonte: | Repositório Institucional da UEL |
Texto Completo: | https://repositorio.uel.br/handle/123456789/12229 |
Resumo: | Resumo: Para auxiliar na segurança da informação, as organizações implantam Sistemas de Detecção de Intrusão (Intrusion Detection System - IDS), os quais monitoram os sistemas de informação e as redes e geram alertas quando atividades de comportamento suspeito são detectadas No entanto, esses alertas são gerados em grandes quantidades e apresentam informações muito elementares quando estudados individualmente Logo, para entender o comportamento dos ataques, o estudo de um conjunto de alertas relacionados é mais significativo do que o estudo de alertas individuais Portanto, a análise de alertas de IDS é necessária, porém também é uma tarefa desafiadora Neste trabalho, é proposta uma nova abordagem que utiliza clusterização hierárquica para auxiliar a análise de alertas de intrusão A abordagem é constituída por duas fases Na primeira fase, denominada correlação offline, um histórico de alertas é correlacionado para identificar quais padrões de estratégias de ataque são normalmente utilizados contra a rede monitorada Na segunda fase, denominada correlação online, conforme o IDS gera novos alertas, eles são agrupados em cenários de ataque de acordo com seus atributos de endereços IP e timestamp As informaçõesdecadacenáriosãoextraídaserepresentadasnaformadehiperalertasCada hiperalerta é associado à uma das estratégias descobertas na primeira fase, permitindo que o analista de segurança responda a esses hiperalertas de acordo com os padrões de estratégia de ataque identificados anteriormente Os experimentos foram realizados com uma base de dados real fornecida pela Universidade de Maryland Os resultados mostram que a abordagem proposta foi capaz de identificar os padrões de estratégia de ataque em conjuntos de milhares de alertas Além disso, a agregação dos alertas em hiperalertas auxilia o trabalho do analista de segurança, o qual passa a analisar cenários de ataque ao invés de alertas individuais |
id |
UEL_448165d7a1bceca29dc2cd58e43e60ae |
---|---|
oai_identifier_str |
oai:repositorio.uel.br:123456789/12229 |
network_acronym_str |
UEL |
network_name_str |
Repositório Institucional da UEL |
repository_id_str |
|
spelling |
Geração online de hiperalertas com base no histórico de estratégias de ataqueRedes de computadoresMedidas de segurançaComputadoresControle de acessoMineração de dados (Computação)Computer networksComputers - Access controlData mining (Computing)Security systemsSecurity measuresResumo: Para auxiliar na segurança da informação, as organizações implantam Sistemas de Detecção de Intrusão (Intrusion Detection System - IDS), os quais monitoram os sistemas de informação e as redes e geram alertas quando atividades de comportamento suspeito são detectadas No entanto, esses alertas são gerados em grandes quantidades e apresentam informações muito elementares quando estudados individualmente Logo, para entender o comportamento dos ataques, o estudo de um conjunto de alertas relacionados é mais significativo do que o estudo de alertas individuais Portanto, a análise de alertas de IDS é necessária, porém também é uma tarefa desafiadora Neste trabalho, é proposta uma nova abordagem que utiliza clusterização hierárquica para auxiliar a análise de alertas de intrusão A abordagem é constituída por duas fases Na primeira fase, denominada correlação offline, um histórico de alertas é correlacionado para identificar quais padrões de estratégias de ataque são normalmente utilizados contra a rede monitorada Na segunda fase, denominada correlação online, conforme o IDS gera novos alertas, eles são agrupados em cenários de ataque de acordo com seus atributos de endereços IP e timestamp As informaçõesdecadacenáriosãoextraídaserepresentadasnaformadehiperalertasCada hiperalerta é associado à uma das estratégias descobertas na primeira fase, permitindo que o analista de segurança responda a esses hiperalertas de acordo com os padrões de estratégia de ataque identificados anteriormente Os experimentos foram realizados com uma base de dados real fornecida pela Universidade de Maryland Os resultados mostram que a abordagem proposta foi capaz de identificar os padrões de estratégia de ataque em conjuntos de milhares de alertas Além disso, a agregação dos alertas em hiperalertas auxilia o trabalho do analista de segurança, o qual passa a analisar cenários de ataque ao invés de alertas individuaisDissertação (Mestrado em Ciência da Computação) - Universidade Estadual de Londrina, Centro de Ciências Exatas, Programa de Pós-Graduação em Ciência da ComputaçãoAbstract: To support information security, organizations deploy Intrusion Detection Systems (IDS) that monitor and generate alerts for every suspicious behavior However, the huge amount of alerts that an IDS triggers and their elementary information make the alerts analysis a challenging task We propose a new approach based on hierarchical clustering that supports intrusion alert analysis in two main steps The first step, referred to as offline correlation, correlates historical alerts to identify the most typical strategies attackers have used In the second step, referred to as online correlation, as the IDS generate new alerts, they are separated into attack scenarios according to their IP addresses and timestamp attributes The information of each scenario is extracted and represented in the form of hyper-alerts Moreover, each hyper-alert is associated to one of the strategies discovered in the first stepThis association allows the security analyst to respond to these hyper-alerts according to the attack strategy patterns previously identified The experiments were performed using a real-life data set provided by the University of Maryland The results show the proposed approach is able to identify attack strategy patterns from thousand of alerts Furthermore, the aggregation of alerts into hyper-alerts assist the security analyst, which may replace the study of isolated alerts by the study of attack scenariosZarpelão, Bruno Bogaz [Orientador]Martimiano, Luciana Andréia FondazziBarbon Junior, SylvioProença Junior, Mario LemesKawakani, Cláudio Toshio2024-05-01T13:50:28Z2024-05-01T13:50:28Z2017.0006.04.2016info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttps://repositorio.uel.br/handle/123456789/12229porMestradoCiência da ComputaçãoCentro de Ciências ExatasPrograma de Pós-Graduação em Ciência da ComputaçãoLondrinareponame:Repositório Institucional da UELinstname:Universidade Estadual de Londrina (UEL)instacron:UELinfo:eu-repo/semantics/openAccess2024-07-12T04:20:03Zoai:repositorio.uel.br:123456789/12229Biblioteca Digital de Teses e Dissertaçõeshttp://www.bibliotecadigital.uel.br/PUBhttp://www.bibliotecadigital.uel.br/OAI/oai2.phpbcuel@uel.br||opendoar:2024-07-12T04:20:03Repositório Institucional da UEL - Universidade Estadual de Londrina (UEL)false |
dc.title.none.fl_str_mv |
Geração online de hiperalertas com base no histórico de estratégias de ataque |
title |
Geração online de hiperalertas com base no histórico de estratégias de ataque |
spellingShingle |
Geração online de hiperalertas com base no histórico de estratégias de ataque Kawakani, Cláudio Toshio Redes de computadores Medidas de segurança Computadores Controle de acesso Mineração de dados (Computação) Computer networks Computers - Access control Data mining (Computing) Security systems Security measures |
title_short |
Geração online de hiperalertas com base no histórico de estratégias de ataque |
title_full |
Geração online de hiperalertas com base no histórico de estratégias de ataque |
title_fullStr |
Geração online de hiperalertas com base no histórico de estratégias de ataque |
title_full_unstemmed |
Geração online de hiperalertas com base no histórico de estratégias de ataque |
title_sort |
Geração online de hiperalertas com base no histórico de estratégias de ataque |
author |
Kawakani, Cláudio Toshio |
author_facet |
Kawakani, Cláudio Toshio |
author_role |
author |
dc.contributor.none.fl_str_mv |
Zarpelão, Bruno Bogaz [Orientador] Martimiano, Luciana Andréia Fondazzi Barbon Junior, Sylvio Proença Junior, Mario Lemes |
dc.contributor.author.fl_str_mv |
Kawakani, Cláudio Toshio |
dc.subject.por.fl_str_mv |
Redes de computadores Medidas de segurança Computadores Controle de acesso Mineração de dados (Computação) Computer networks Computers - Access control Data mining (Computing) Security systems Security measures |
topic |
Redes de computadores Medidas de segurança Computadores Controle de acesso Mineração de dados (Computação) Computer networks Computers - Access control Data mining (Computing) Security systems Security measures |
description |
Resumo: Para auxiliar na segurança da informação, as organizações implantam Sistemas de Detecção de Intrusão (Intrusion Detection System - IDS), os quais monitoram os sistemas de informação e as redes e geram alertas quando atividades de comportamento suspeito são detectadas No entanto, esses alertas são gerados em grandes quantidades e apresentam informações muito elementares quando estudados individualmente Logo, para entender o comportamento dos ataques, o estudo de um conjunto de alertas relacionados é mais significativo do que o estudo de alertas individuais Portanto, a análise de alertas de IDS é necessária, porém também é uma tarefa desafiadora Neste trabalho, é proposta uma nova abordagem que utiliza clusterização hierárquica para auxiliar a análise de alertas de intrusão A abordagem é constituída por duas fases Na primeira fase, denominada correlação offline, um histórico de alertas é correlacionado para identificar quais padrões de estratégias de ataque são normalmente utilizados contra a rede monitorada Na segunda fase, denominada correlação online, conforme o IDS gera novos alertas, eles são agrupados em cenários de ataque de acordo com seus atributos de endereços IP e timestamp As informaçõesdecadacenáriosãoextraídaserepresentadasnaformadehiperalertasCada hiperalerta é associado à uma das estratégias descobertas na primeira fase, permitindo que o analista de segurança responda a esses hiperalertas de acordo com os padrões de estratégia de ataque identificados anteriormente Os experimentos foram realizados com uma base de dados real fornecida pela Universidade de Maryland Os resultados mostram que a abordagem proposta foi capaz de identificar os padrões de estratégia de ataque em conjuntos de milhares de alertas Além disso, a agregação dos alertas em hiperalertas auxilia o trabalho do analista de segurança, o qual passa a analisar cenários de ataque ao invés de alertas individuais |
publishDate |
2024 |
dc.date.none.fl_str_mv |
06.04.2016 2017.00 2024-05-01T13:50:28Z 2024-05-01T13:50:28Z |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
format |
masterThesis |
status_str |
publishedVersion |
dc.identifier.uri.fl_str_mv |
https://repositorio.uel.br/handle/123456789/12229 |
url |
https://repositorio.uel.br/handle/123456789/12229 |
dc.language.iso.fl_str_mv |
por |
language |
por |
dc.relation.none.fl_str_mv |
Mestrado Ciência da Computação Centro de Ciências Exatas Programa de Pós-Graduação em Ciência da Computação |
dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
eu_rights_str_mv |
openAccess |
dc.format.none.fl_str_mv |
application/pdf |
dc.coverage.none.fl_str_mv |
Londrina |
dc.source.none.fl_str_mv |
reponame:Repositório Institucional da UEL instname:Universidade Estadual de Londrina (UEL) instacron:UEL |
instname_str |
Universidade Estadual de Londrina (UEL) |
instacron_str |
UEL |
institution |
UEL |
reponame_str |
Repositório Institucional da UEL |
collection |
Repositório Institucional da UEL |
repository.name.fl_str_mv |
Repositório Institucional da UEL - Universidade Estadual de Londrina (UEL) |
repository.mail.fl_str_mv |
bcuel@uel.br|| |
_version_ |
1809823279177793536 |