iCatch - Sistema de intelligence para caracterização de ciberataques multi-etapa

Abstract

Ataques inform aticos têm amea cado utilizadores e organiza ções, e têm cado cada vez mais complexos e so sticados. Os NIDSs (Network Intrusion Detection Systems) são das ferramentas mais importantes utilizadas para monitorizar redes de computadores. Estes sistemas fornecem informa ções importantes, na forma de alertas, quando atividades potencialmente indesejadas são identificadas. Contudo, cada alerta isolado e baseado na observa ção de uma atividade de ataque individual, levando a ausência de um modelo adequado para detetar ataques multi-etapa. A presente disserta ção, com o intuito de melhorar a seguran ca em redes informáticas, aborda aspetos importantes relacionados com a correla ção de alertas de intrusão, propõe um sistema autom atico capaz de identificar e reconhecer ataques de rede multi-etapa com base em alertas provenientes de NIDSs, e descreve a implementação realizada de uma prova de conceito com a finalidade de demonstrar a potencialidade do sistema proposto. Os resultados dos testes realizados ao sistema revelaram-se bastante promissores, mostrando atrav es do uso do CPM (Clique Percolation Method) a possibilidade de separar ataques potencialmente não relacionados, mostrando que os algoritmos de machine learning não supervisionados são uma mais valia na identificação de passos de ataque, e que o reconhecimento de cen arios de ataque com base na semelhançca de passos de ataque individuais permite oferecer uma abordagem flexí vel no reconhecimento de ataques multi-etapa.