Navegar por:

Geração online de hiperalertas com base no histórico de estratégias de ataque

Use este link compartilhar ou citar este material: http://educapes.capes.gov.br/handle/capes/978834
Registro completo de metadados
MetadadosDescriçãoIdioma
Autor(es): dc.contributorZarpelão, Bruno Bogaz [Orientador]-
Autor(es): dc.contributorMartimiano, Luciana Andréia Fondazzi-
Autor(es): dc.contributorBarbon Junior, Sylvio-
Autor(es): dc.contributorProença Junior, Mario Lemes-
Autor(es): dc.creatorKawakani, Cláudio Toshio-
Data de aceite: dc.date.accessioned2025-05-15T13:01:16Z-
Data de disponibilização: dc.date.available2025-05-15T13:01:16Z-
Data de envio: dc.date.issued2024-05-01-
Data de envio: dc.date.issued2024-05-01-
Data de envio: dc.date.issued2025-05-15-
Data de envio: dc.date.issued2025-05-15-
Fonte completa do material: dc.identifierhttps://repositorio.uel.br/handle/123456789/12229-
Fonte: dc.identifier.urihttp://educapes.capes.gov.br/handle/capes/978834-
Descrição: dc.descriptionResumo: Para auxiliar na segurança da informação, as organizações implantam Sistemas de Detecção de Intrusão (Intrusion Detection System - IDS), os quais monitoram os sistemas de informação e as redes e geram alertas quando atividades de comportamento suspeito são detectadas No entanto, esses alertas são gerados em grandes quantidades e apresentam informações muito elementares quando estudados individualmente Logo, para entender o comportamento dos ataques, o estudo de um conjunto de alertas relacionados é mais significativo do que o estudo de alertas individuais Portanto, a análise de alertas de IDS é necessária, porém também é uma tarefa desafiadora Neste trabalho, é proposta uma nova abordagem que utiliza clusterização hierárquica para auxiliar a análise de alertas de intrusão A abordagem é constituída por duas fases Na primeira fase, denominada correlação offline, um histórico de alertas é correlacionado para identificar quais padrões de estratégias de ataque são normalmente utilizados contra a rede monitorada Na segunda fase, denominada correlação online, conforme o IDS gera novos alertas, eles são agrupados em cenários de ataque de acordo com seus atributos de endereços IP e timestamp As informaçõesdecadacenáriosãoextraídaserepresentadasnaformadehiperalertasCada hiperalerta é associado à uma das estratégias descobertas na primeira fase, permitindo que o analista de segurança responda a esses hiperalertas de acordo com os padrões de estratégia de ataque identificados anteriormente Os experimentos foram realizados com uma base de dados real fornecida pela Universidade de Maryland Os resultados mostram que a abordagem proposta foi capaz de identificar os padrões de estratégia de ataque em conjuntos de milhares de alertas Além disso, a agregação dos alertas em hiperalertas auxilia o trabalho do analista de segurança, o qual passa a analisar cenários de ataque ao invés de alertas individuais-
Descrição: dc.descriptionDissertação (Mestrado em Ciência da Computação) - Universidade Estadual de Londrina, Centro de Ciências Exatas, Programa de Pós-Graduação em Ciência da Computação-
Descrição: dc.descriptionAbstract: To support information security, organizations deploy Intrusion Detection Systems (IDS) that monitor and generate alerts for every suspicious behavior However, the huge amount of alerts that an IDS triggers and their elementary information make the alerts analysis a challenging task We propose a new approach based on hierarchical clustering that supports intrusion alert analysis in two main steps The first step, referred to as offline correlation, correlates historical alerts to identify the most typical strategies attackers have used In the second step, referred to as online correlation, as the IDS generate new alerts, they are separated into attack scenarios according to their IP addresses and timestamp attributes The information of each scenario is extracted and represented in the form of hyper-alerts Moreover, each hyper-alert is associated to one of the strategies discovered in the first stepThis association allows the security analyst to respond to these hyper-alerts according to the attack strategy patterns previously identified The experiments were performed using a real-life data set provided by the University of Maryland The results show the proposed approach is able to identify attack strategy patterns from thousand of alerts Furthermore, the aggregation of alerts into hyper-alerts assist the security analyst, which may replace the study of isolated alerts by the study of attack scenarios-
Formato: dc.formatapplication/pdf-
Idioma: dc.languagept_BR-
Relação: dc.relationMestrado-
Relação: dc.relationCiência da Computação-
Relação: dc.relationCentro de Ciências Exatas-
Relação: dc.relationPrograma de Pós-Graduação em Ciência da Computação-
Palavras-chave: dc.subjectRedes de computadores-
Palavras-chave: dc.subjectMedidas de segurança-
Palavras-chave: dc.subjectComputadores-
Palavras-chave: dc.subjectControle de acesso-
Palavras-chave: dc.subjectMineração de dados (Computação)-
Palavras-chave: dc.subjectComputer networks-
Palavras-chave: dc.subjectComputers - Access control-
Palavras-chave: dc.subjectData mining (Computing)-
Palavras-chave: dc.subjectSecurity systems-
Palavras-chave: dc.subjectSecurity measures-
Título: dc.titleGeração online de hiperalertas com base no histórico de estratégias de ataque-
Tipo de arquivo: dc.typelivro digital-
Aparece nas coleções:Repositório Institucional da UEL - RIUEL

Não existem arquivos associados a este item.
Mostrar registro simples do item Visualizar estatísticas

Avaliação