An approach to the correlation of security events based upon machine learning techniques / Uma abordagem para a correlação de eventos de segurança baseada em tecnicas de aprendizado de maquina
AUTOR(ES)
Kleber Stroeh
DATA DE PUBLICAÇÃO
2009
RESUMO
Organizações enfrentam o desafio crescente de garantir a segurança da informação junto às suas infraestruturas tecnológicas. Abordagens estáticas à segurança, como a defesa de perímetros, têm se mostrado pouco eficazes num novo cenário marcado pelo aumento da complexidade dos sistemas _ e conseqüentemente de suas vulnerabilidades - e pela evolução e automatização de ataques. Por outro lado, a detecção dinâmica de ataques por meio de IDSs (Intrusion Detection Systems) apresenta um número demasiadamente elevado de falsos positivos. Este trabalho propõe uma abordagem para coleta e normalização, e fusão e classificação de alertas de segurança. Tal abordagem envolve a coleta de alertas de diferentes fontes, e sua normalização segundo modelo de representação padronizado - IDMEF (Intrusion Detection Message Exchange Format). Os alertas normalizados são agrupados em meta-alertas (fusão ou agrupamento), os quais são classificados _ através de técnicas de aprendizado de máquina _ entre ataques e alarmes falsos. Uma implementação desta abordagem foi testada junto aos dados do desafio DARPA e Scan of the Month, contando com três implementações distintas de classificadores (SVM - Support Vector Machine -, Rede Bayesiana e Árvore de Decisão), bem como uma coletânea (ensemble) de SVM com Rede Bayesiana, atingindo resultados bastante relevantes
ASSUNTO(S)
inteligencia artificial tecnologia da informação - medidas de segurança aprendizado do computador information technology artificial intelligence machine learning redes de computadores - medidas de segurança computer networks
ACESSO AO ARTIGO
http://libdigi.unicamp.br/document/?code=000474915Documentos Relacionados
- APLICAÇÃO DE TÉCNICAS DE APRENDIZADO DE MÁQUINA PARA CLASSIFICAÇÃO DE DEPÓSITOS MINERAIS BASEADA EM MODELO TEOR-TONELAGEM
- Seleção de atributos relevantes para aprendizado de máquina utilizando a abordagem de Rough Sets.
- Machine learning in complex networks
- Ensino e aprendizado de fundamentos de programação: uma abordagem baseada em teste de software
- SQLLOMINING: FINDING LEARNING OBJECTS USING MACHINE LEARNING METHODS