Análise de Alertas de Sistemas de Detecção de Intrusão: Uso de Aprendizado Supervisionado na Redução de Alertas Falsos Positivos

  • Eduardo Alves Moraes UEL / FATEC
  • Carlos Alexandre Carvalho Tojeiro FATEC
  • Rodrigo Sanches Miani UFU
  • Bruno Bogaz Zarpelão UEL

Resumo


Sistemas de Detecção de Intrusão (IDS - Intrusion Detection System) detectam vários tipos de comportamentos maliciosos em sistemas computacionais, que podem comprometer sua segurança e confiabilidade. Embora os IDS melhorem a proteção dos sistemas, existe um problema: a geração de alertas que não representam a real situação do ambiente computacional, chamados de alertas falsos positivos. Este artigo apresenta uma abordagem de redução de alertas falsos positivos, utilizando filtragem de alertas por prioridade e métodos de aprendizado de máquina. É realizada uma separação de alertas com base nas suas prioridades e a inserção de novos atributos com base em outras fontes de dados. Em seguida, são aplicados os algoritmos de aprendizado de máquina (kNN e Random Forest) com base em um classificador supervisionado para identificar os falsos positivos. A abordagem atingiu o seu objetivo, apresentando uma redução significativa dos alertas falsos positivos em um estudo de caso realizado em uma rede corporativa real.

Referências

Alvarenga, S. C. d., Zarpelão, B. B., and Miani, R. S. (2015). Discovering attack strategies using process mining. In The Eleventh Advanced International Conference on Telecommunications, pages 119–125.

CERT.br - Centro de Estudos, R. e. T. d. I. d. S. n. B. (2015). Estatísticas dos Incidentes Reportados ao CERT.br. Disponível em: https://www.cert.br/stats/incidentes/ . Acessado em Junho de 2017. CERT.br.

Ebrahimi, A., Navin, A. H. Z., Mirnia, M. K., Bahrbegi, H., and Ahrabi, A. A. A. (2011). Automatic attack scenario discovering based on a new alert correlation method. In Systems Conference (SysCon), 2011 IEEE International, pages 52–58. IEEE.

Elshoush, H. T. I. (2014). An innovative framework for collaborative intrusion alert correlation. In Science and Information Conference (SAI), 2014, pages 607–614. IEEE.

Granadillo, G. G., El-Barbori, M., and Debar, H. (2016). New types of alert correlation for security information and event management systems. In New Technologies, Mobility and Security (NTMS), 2016 8th IFIP International Conference on, pages 1–7. IEEE.

Julisch, K. and Dacier, M. (2002). Mining intrusion detection alarms for actionable knowledge. In Proceedings of the eighth ACM SIGKDD international conference on Knowledge discovery and data mining, pages 366–375. ACM.

Kawakani, C. T., Junior, S. B., Miani, R. S., Cukier, M., and Zarpelão, B. B. (2016). Intrusion alert correlation to support security management. In Proceedings of the XII Brazilian Symposium on Information Systems on Brazilian Symposium on Information Systems: Information Systems in the Cloud Computing Era-Volume 1, page 42. Brazilian Computer Society.

Kurose, J. F., Ross, K. W., Marques, A. S., and Zucchi, W. L. (2010). Redes de Computadores ea Internet: uma abordagem top-down. Pearson.

Shittu, R., Healing, A., Bloomfield, R., and Muttukrishnan, R. (2012). Visual analytic agent-based framework for intrusion alert analysis. In Cyber-Enabled Distributed Computing and Knowledge Discovery (CyberC), 2012 International Conference on, pages 201–207. IEEE.

Shittu, R., Healing, A., Ghanea-Hercock, R., Bloomfield, R., and Muttukrishnan, R. (2014). Outmet: A new metric for prioritising intrusion alerts using correlation and outlier analysis. In Local Computer Networks (LCN), 2014 IEEE 39th Conference on, pages 322–330. IEEE.

Verma, R., Kantarcioglu, M., Marchette, D., Leiss, E., and Solorio, T. (2015). Security analytics: essential data analytics knowledge for cybersecurity professionals and students. IEEE Security & Privacy, 13(6):60–65.

Vidal, J. M., Orozco, A. L. S., and Villalba, L. J. G. (2015). Quantitative criteria for alert correlation of anomalies-based NIDS. IEEE Latin America Transactions, 13(10):3461–3466.
Publicado
06/11/2017
MORAES, Eduardo Alves; TOJEIRO, Carlos Alexandre Carvalho; MIANI, Rodrigo Sanches; ZARPELÃO, Bruno Bogaz. Análise de Alertas de Sistemas de Detecção de Intrusão: Uso de Aprendizado Supervisionado na Redução de Alertas Falsos Positivos. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 17. , 2017, Brasília. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2017 . p. 182-195. DOI: https://doi.org/10.5753/sbseg.2017.19499.