Document details

Open-source intelligence em sistemas SIEM

Author(s): Rodrigues, Bernardo de Simas Gaspar

Date: 2015

Persistent ID: http://hdl.handle.net/10451/20145

Origin: Repositório da Universidade de Lisboa

Subject(s): SIEM; OSINT; Intelligence; ArcSight; Computer security; Teses de mestrado - 2015


Description

A OSINT é uma interminável fonte de informação valiosa, em qualquer que seja o contexto, no qual exista a necessidade de lidar com ameaças humanas e imprevisíveis. A segurança informática não é excepção a esta regra e o uso de informação proveniente de canais OSINT tem-se, como temos vindo a observar com o advento da Threat Intelligence, firmado como um componente fundamental. Propomo-nos, com este trabalho, a integrar este canal de valioso conhecimento no SIEM (um paradigma também indispensável da área) de uma forma automatizada, através de uma ferramenta/framework que visa estabelecer a fundação de um instrumento extensível para recolher e reduzir grandes quantidades de informação a conjuntos, utilizáveis e úteis, de valiosos dados e conhecimentos sobre ameaças. Essa ferramenta irá recolher dados e, servindo-se de uma técnica simplista de aprendizagem de máquinas supervisionada, refiná-los, garantindo que ao SIEM apenas é passada informação relevante. Por forma a validar os nossos esforços, providenciamos provas empíricas da aplicabilidade da nossa solução, em contexto prático e real, demonstrando, efectivamente, o poder de síntese, com base em feedback do utilizador, da nossa solução. Os nossos resultados apresentam bons indicadores de que a nossa abordagem é viável e que o nosso componente é capaz de reduzir e filtrar volumes significativos de informação de redes sociais a conjuntos, manuseáveis, de informação estratégica.

OSINT is a source of endlessly valuable information for all contexts that have to deal with unpredictable human threats. Computer Security is no exception to this idea and the use of OSINT for Threat Intelligence has been widely established as a fundamental component. We propose to integrate this channel of knowledge into a SIEM platform, a widely employed paradigm in the sector. We also aim to do it in an automated fashion, through a tool that tries to lay the groundwork of an extendable instrument to collect and reduce vast amounts of information to usable amounts of threat data. This tool retrieves data and, leveraging a simplistic supervised machine learning technique, refines it ensuring that the SIEM platform is to receive only relevant information. In order to validate our efforts we provide empirical evidence of the applicability of our solution, demonstrating, in practical context, its power for synthesizing information based on user-provided feedback. Our results reveal good evidence that our approach is a viable one and that our prototype is capable of reducing and filtering large volumes of social networking data, to manageable sets of intelligence.

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015

Document Type Master thesis
Language Portuguese
Advisor(s) Bessani, Alysson Neves, 1978-; Sá, Sérgio Valentim
Contributor(s) Rodrigues, Bernardo de Simas Gaspar
facebook logo  linkedin logo  twitter logo 
mendeley logo

Related documents

No related documents