Uma Abordagem Para a Correlação De Eventos De Segurança Baseada Em Tecnicas De Aprendizado De Maquina

Organizacoes enfrentam o desafio crescente de garantir a seguranca da informacao junto as suas infraestruturas tecnologicas. Abordagens estaticas a seguranca, como a defesa de perimetros, tem se mostrado pouco eficazes num novo cenario marcado pelo aumento da complexidade dos sistemas _ e consequentemente de suas vulnerabilidades - e pela evolucao e automatizacao de ataques. Por outro lado, a deteccao dinâmica de ataques por meio de IDSs (Intrusion Detection Systems) apresenta um numero demasiadamente elevado de falsos positivos. Este trabalho propoe uma abordagem para coleta e normalizacao, e fusao e classificacao de alertas de seguranca. Tal abordagem envolve a coleta de alertas de diferentes fontes, e sua normalizacao segundo modelo de representacao padronizado - IDMEF (Intrusion Detection Message Exchange Format). Os alertas normalizados sao agrupados em meta-alertas (fusao ou agrupamento), os quais sao classificados _ atraves de tecnicas de aprendizado de maquina _ entre ataques e alarmes falsos. Uma implementacao desta abordagem foi testada junto aos dados do desafio DARPA e Scan of the Month, contando com tres implementacoes distintas de classificadores (SVM - Support Vector Machine -, Rede Bayesiana e Arvore de Decisao), bem como uma coletânea (ensemble) de SVM com Rede Bayesiana, atingindo resultados bastante relevantes Abstract