Análise de Alertas de Sistemas de Detecção de Intrusão: Uso de Aprendizado Supervisionado na Redução de Alertas Falsos Positivos
Resumo
Sistemas de Detecção de Intrusão (IDS - Intrusion Detection System) detectam vários tipos de comportamentos maliciosos em sistemas computacionais, que podem comprometer sua segurança e confiabilidade. Embora os IDS melhorem a proteção dos sistemas, existe um problema: a geração de alertas que não representam a real situação do ambiente computacional, chamados de alertas falsos positivos. Este artigo apresenta uma abordagem de redução de alertas falsos positivos, utilizando filtragem de alertas por prioridade e métodos de aprendizado de máquina. É realizada uma separação de alertas com base nas suas prioridades e a inserção de novos atributos com base em outras fontes de dados. Em seguida, são aplicados os algoritmos de aprendizado de máquina (kNN e Random Forest) com base em um classificador supervisionado para identificar os falsos positivos. A abordagem atingiu o seu objetivo, apresentando uma redução significativa dos alertas falsos positivos em um estudo de caso realizado em uma rede corporativa real.
Referências
CERT.br - Centro de Estudos, R. e. T. d. I. d. S. n. B. (2015). Estatísticas dos Incidentes Reportados ao CERT.br. Disponível em: https://www.cert.br/stats/incidentes/ . Acessado em Junho de 2017. CERT.br.
Ebrahimi, A., Navin, A. H. Z., Mirnia, M. K., Bahrbegi, H., and Ahrabi, A. A. A. (2011). Automatic attack scenario discovering based on a new alert correlation method. In Systems Conference (SysCon), 2011 IEEE International, pages 52–58. IEEE.
Elshoush, H. T. I. (2014). An innovative framework for collaborative intrusion alert correlation. In Science and Information Conference (SAI), 2014, pages 607–614. IEEE.
Granadillo, G. G., El-Barbori, M., and Debar, H. (2016). New types of alert correlation for security information and event management systems. In New Technologies, Mobility and Security (NTMS), 2016 8th IFIP International Conference on, pages 1–7. IEEE.
Julisch, K. and Dacier, M. (2002). Mining intrusion detection alarms for actionable knowledge. In Proceedings of the eighth ACM SIGKDD international conference on Knowledge discovery and data mining, pages 366–375. ACM.
Kawakani, C. T., Junior, S. B., Miani, R. S., Cukier, M., and Zarpelão, B. B. (2016). Intrusion alert correlation to support security management. In Proceedings of the XII Brazilian Symposium on Information Systems on Brazilian Symposium on Information Systems: Information Systems in the Cloud Computing Era-Volume 1, page 42. Brazilian Computer Society.
Kurose, J. F., Ross, K. W., Marques, A. S., and Zucchi, W. L. (2010). Redes de Computadores ea Internet: uma abordagem top-down. Pearson.
Shittu, R., Healing, A., Bloomfield, R., and Muttukrishnan, R. (2012). Visual analytic agent-based framework for intrusion alert analysis. In Cyber-Enabled Distributed Computing and Knowledge Discovery (CyberC), 2012 International Conference on, pages 201–207. IEEE.
Shittu, R., Healing, A., Ghanea-Hercock, R., Bloomfield, R., and Muttukrishnan, R. (2014). Outmet: A new metric for prioritising intrusion alerts using correlation and outlier analysis. In Local Computer Networks (LCN), 2014 IEEE 39th Conference on, pages 322–330. IEEE.
Verma, R., Kantarcioglu, M., Marchette, D., Leiss, E., and Solorio, T. (2015). Security analytics: essential data analytics knowledge for cybersecurity professionals and students. IEEE Security & Privacy, 13(6):60–65.
Vidal, J. M., Orozco, A. L. S., and Villalba, L. J. G. (2015). Quantitative criteria for alert correlation of anomalies-based NIDS. IEEE Latin America Transactions, 13(10):3461–3466.
