Geração online de hiperalertas com base no histórico de estratégias de ataque
Arquivos
Data
Autores
Kawakani, Cláudio Toshio
Título da Revista
ISSN da Revista
Título de Volume
Editor
Resumo
Resumo: Para auxiliar na segurança da informação, as organizações implantam Sistemas de Detecção de Intrusão (Intrusion Detection System - IDS), os quais monitoram os sistemas de informação e as redes e geram alertas quando atividades de comportamento suspeito são detectadas No entanto, esses alertas são gerados em grandes quantidades e apresentam informações muito elementares quando estudados individualmente Logo, para entender o comportamento dos ataques, o estudo de um conjunto de alertas relacionados é mais significativo do que o estudo de alertas individuais Portanto, a análise de alertas de IDS é necessária, porém também é uma tarefa desafiadora Neste trabalho, é proposta uma nova abordagem que utiliza clusterização hierárquica para auxiliar a análise de alertas de intrusão A abordagem é constituída por duas fases Na primeira fase, denominada correlação offline, um histórico de alertas é correlacionado para identificar quais padrões de estratégias de ataque são normalmente utilizados contra a rede monitorada Na segunda fase, denominada correlação online, conforme o IDS gera novos alertas, eles são agrupados em cenários de ataque de acordo com seus atributos de endereços IP e timestamp As informaçõesdecadacenáriosãoextraídaserepresentadasnaformadehiperalertasCada hiperalerta é associado à uma das estratégias descobertas na primeira fase, permitindo que o analista de segurança responda a esses hiperalertas de acordo com os padrões de estratégia de ataque identificados anteriormente Os experimentos foram realizados com uma base de dados real fornecida pela Universidade de Maryland Os resultados mostram que a abordagem proposta foi capaz de identificar os padrões de estratégia de ataque em conjuntos de milhares de alertas Além disso, a agregação dos alertas em hiperalertas auxilia o trabalho do analista de segurança, o qual passa a analisar cenários de ataque ao invés de alertas individuais
Descrição
Palavras-chave
Redes de computadores, Medidas de segurança, Computadores, Controle de acesso, Mineração de dados (Computação), Computer networks, Computers - Access control, Data mining (Computing), Security systems, Security measures