Use este identificador para citar ou linkar para este item: http://hdl.handle.net/123456789/1070
Título: Análise da utilização de aprendizado de máquina na redução do volume de alertas benignos
Autor: Simião, Augusto Fernando de Melo
Endereco Lattes do autor: http://lattes.cnpq.br/0529129636604731
Orientador: Soares, Rodrigo Gabriel Ferreira
Endereco Lattes do orientador : http://lattes.cnpq.br/2526739219416964
Palavras-chave: Aprendizado do computador;Sistemas de recuperação da informação – Segurança;Software – Proteção;Cibernética
Data do documento: 2019
Citação: SIMIÃO, Augusto Fernando de Melo. Análise da utilização de aprendizado de máquina na redução do volume de alertas benignos. 2019. 45 f. Trabalho de Conclusão de Curso (Bacharelado em Sistemas de Informação)- Departamento de Estatística e Informática, Universidade Federal Rural de Pernambuco, Recife, 2019.
Abstract: To aid in combating cyber attacks, Managed Security Services Providers (MSSPs) use SIEMs (Security Information and Event Management). SIEMs are able to aggregate, process and correlate vast amounts of events from different systems, alerting security analysts of the existence of threats, such as computer viruses and cyber attacks, in computer networks. However, SIEMs are known for the high rates of benign alertas (non-threatening alerts) warnings relative to malign alerts (threatening alerts). Due to the high volumes and prevalence of benign alertas, the analyst ignores alerts as a whole, which includes those that represent potential threats, thereby increasing the risk of a network compromise. This phenomenon is known as alert fatigue and has been a frequent target of applying machine learning techniques to reduce the volume of benign alerts. Modern SIEMs use machine learning, in correlation of events, so that only alerts that actually represent possible threats are reported. However, this correlation does not consider the analyst’s deliberation, thus allowing SIEMs to continue to generate alerts previously identified as benign. This paper investigates the use of the algorithms Naïve Bayesian Learning, Decision Tree and Random Forest, to reduce the volume of benign alerts using alerts previously identified by analysts, rather than the chain of events that generate such alerts. In this way, it was possible to show, through experiments, that supervised machine learning techniques can be applied in the identification of alerts previously identified as benign.
Resumo: Para auxiliar no combate a ataques cibernéticos, Managed Security Services Providers (MSSPs) usam SIEMs (Security Information and Event Management). SIEMs são capazes de agregar, processar e correlacionar vastas quantidades de eventos provenientes de diferentes sistemas, alertando analistas de segurança da existência de ameças, tais como vírus de computador e ataques cibernéticos, em redes de computadores. No entanto, SIEMs são conhecidos pelas altas taxas de alertas benignos (alertas que não representam ameaça) em relação aos malignos (alertas que representam ameaça). Devido aos altos volumes e predominância de falsos alertas, o analista passa a ignorar alertas como um todo, o que inclui aqueles que representam incidentes em potencial, aumentando assim o risco da rede ser comprometida. Esse fenômeno é conhecido como fadiga de alerta e tem sido alvo frequente da aplicação de técnicas de aprendizado de máquina para a redução dos volume de alertas benignos. SIEMs modernos utilizam aprendizado de máquina, na correlação de eventos, para que apenas alertas que realmente representam possíveis ameaças sejam reportados. No entanto, essa correlação não leva em conta a deliberação do analista de segurança, permitindo assim que os SIEMs continuem gerando alertas previamente identificadas como benignos. Este trabalho investiga a utilização dos algorítimos Naïve Bayesian Learning, Árvore de Decisão e Random Forest, para a redução do volume de alertas benignos, utilizando alertas previamente identificados por analistas, ao invés da corrente de eventos que geram tais alertas. Dessa forma, foi possível mostrar, através de experimentos, que técnicas de aprendizado de máquina supervisionado podem ser aplicadas na identificação e alertas benignos previamente analisados.
URI: http://hdl.handle.net/123456789/1070
Aparece nas coleções:(CDIBSI) Trabalho de conclusão de curso

Arquivos associados a este item:
Arquivo Descrição TamanhoFormato 
tcc_augustofernandodemelosimião.pdf1,09 MBAdobe PDFVisualizar/Abrir


Os itens no repositório estão protegidos por copyright, com todos os direitos reservados, salvo quando é indicado o contrário.