detecção de alertas de segurança em redes de computadores usando redes sociais - sbrc

27
Detecção de Alertas de Segurança em Redes de Computadores Usando Redes Sociais Autores: Este trabalho de Luiz Arthur Feitosa Santos, Rodrigo Campiolo, Daniel Macêdo Batista e Marco Aurélio Gerosa foi licenciado com uma Licença Creative Commons - Atribuição – Não Comercial 3.0 Não Adaptada. Luiz Arthur F. Santos [email protected] Rodrigo Campiolo [email protected] Daniel Macêdo Batista [email protected] Marco Aurélio Gerosa [email protected]

Upload: luiz-arthur

Post on 14-Dec-2014

856 views

Category:

Technology


1 download

DESCRIPTION

 

TRANSCRIPT

Page 1: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Detecção de Alertas de Segurança em Redes de Computadores Usando

Redes Sociais

Autores:

Este trabalho de Luiz Arthur Feitosa Santos, Rodrigo Campiolo, Daniel Macêdo Batista e Marco Aurélio Gerosa foi licenciado com uma Licença Creative Commons - Atribuição – Não Comercial 3.0 Não Adaptada.

Luiz Arthur F. [email protected]

Rodrigo [email protected]

Daniel Macêdo [email protected]

Marco Aurélio [email protected]

Page 2: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Introdução:

● Problema de pesquisa:

Atraso na propagação de alertas de novas ameaças.

Aplicativos especializados não são totalmente eficazes contra novas ameaças.

● Possíveis soluções:

O problema pode ser amenizado por meio da propagação rápida de alertas.

Uso de redes sociais.

2

Page 3: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Objetivo:

Elaboração de um mecanismo para extrair notificações de segurança de computadores em mensagens postadas no microblog Twitter.

Contribuições:

Mecanismo que viabiliza o rápido acesso a importantes notificações de segurança.

Uso de redes sociais como fontes de informação sobre alertas de segurança.

3

Page 4: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Desafios:

Em trabalhos anteriores foram identificados desafios para extração de alertas de segurança:

Quantidade e diversidade de mensagens de segurança.

Importância das mensagens como alertas.

Mensagens irrelevantes para segurança computacional.

4

Page 5: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Questões de Pesquisa:

Q1 – É possível minimizar o impacto negativo das mensagens que não são notificações de segurança computacional?

Q2 – Dentre os inúmeros problemas de segurança postados em redes sociais, é possível evidenciar quais são os problemas com maior relevância e que estão sendo mais comentados neste tipo de ambiente?

5

Page 6: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Passos do mecanismo:

6

Figura 1. Método para extrair alertas de segurança do Twitter.

Tweetsimportantes

1. Obter tweets de Segurança

5. Aumentar a visibilidadeda mensagem

InternetInternet

2. Filtrarmensagens

3. Agrupar por

similaridade

4. Gerarlista de

mensagensrelevantes

Interface devisualizaçãodos alertas

Page 7: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

7Figura 1. Método para extrair alertas de segurança do Twitter.

Passo 1:1.Problema #vírus X cuidado2.#vírus X problema3.Novo #Malware Y4.Atualize seu antivírus W5.Atualize seu antivírus W6.#malware Y ataca7.Atualize seu antivírus W8.Possível #falha Z9.Solução #vírus X10. Atualize seu antivírus W11. Como resolver #vírus X12. Guerra País B.13. A é o melhor antivírus.14. ola!

Tweetsimportantes

1. Obter tweets de Segurança

5. Aumentar a visibilidadeda mensagem

InternetInternet

2. Filtrarmensagens

3. Agrupar por

similaridade

4. Gerarlista de

mensagensrelevantes

Interface devisualizaçãodos alertas

Page 8: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

8Figura 1. Método para extrair alertas de segurança do Twitter.

Passo 1:1.Problema #vírus X cuidado2.#vírus X problema3.Novo #Malware Y4.Atualize seu antivírus W5.Atualize seu antivírus W6.#malware Y ataca7.Atualize seu antivírus W8.Possível #falha Z9.Solução #vírus X10. Atualize seu antivírus W11. Como resolver #vírus X12. Guerra País B.13. A é o melhor antivírus.14. ola!

Tweetsimportantes

1. Obter tweets de Segurança

5. Aumentar a visibilidadeda mensagem

InternetInternet

2. Filtrarmensagens

3. Agrupar por

similaridade

4. Gerarlista de

mensagensrelevantes

Interface devisualizaçãodos alertas

Passo 2:1.Problema #vírus X cuidado2.#vírus X problema3.Novo #Malware Y4.Atualize seu antivírus W5.Atualize seu antivírus W6.#malware Y ataca7.Atualize seu antivírus W8.Possível #falha Z9.Solução #vírus X10. Atualize seu antivírus W11. Como resolver #vírus X12. Guerra País B.13. A é o melhor antivírus.14. ola!

Page 9: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Tweetsimportantes

1. Obter tweets de Segurança

5. Aumentar a visibilidadeda mensagem

InternetInternet

2. Filtrarmensagens

3. Agrupar por

similaridade

4. Gerarlista de

mensagensrelevantes

Interface devisualizaçãodos alertas

9Figura 1. Método para extrair alertas de segurança do Twitter.

Passo 1:1.Problema #vírus X cuidado2.#vírus X problema3.Novo #Malware Y4.Atualize seu antivírus W5.Atualize seu antivírus W6.#malware Y ataca7.Atualize seu antivírus W8.Possível #falha Z9.Solução #vírus X10. Atualize seu antivírus W11. Como resolver #vírus X12. Guerra País B.13. A é o melhor antivírus.14. ola!

Passo 2:1.Problema #vírus X cuidado2.#vírus X problema3.Novo #Malware Y4.Atualize seu antivírus W5.Atualize seu antivírus W6.#malware Y ataca7.Atualize seu antivírus W8.Possível #falha Z9.Solução #vírus X10. Atualize seu antivírus W11. Como resolver #vírus X12. Guerra País B.13. A é o melhor antivírus.14. ola!

Passo 3:

a1.Problema #vírus X cuidadoa2.#vírus X problema

b3.Novo #Malware Yb6.#malware Y ataca

c4.Atualize seu antivírus Wc5.Atualize seu antivírus Wc7.Atualize seu antivírus Wc10. Atualize seu antivírus W

d8.Possível #falha Z

e9.Solução #vírus Xe11. Como resolver #vírus X

Page 10: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Tweetsimportantes

1. Obter tweets de Segurança

5. Aumentar a visibilidadeda mensagem

InternetInternet

2. Filtrarmensagens

3. Agrupar por

similaridade

4. Gerarlista de

mensagensrelevantes

Interface devisualizaçãodos alertas

10Figura 1. Método para extrair alertas de segurança do Twitter.

Passo 1:1.Problema #vírus X cuidado2.#vírus X problema3.Novo #Malware Y4.Atualize seu antivírus W5.Atualize seu antivírus W6.#malware Y ataca7.Atualize seu antivírus W8.Possível #falha Z9.Solução #vírus X10. Atualize seu antivírus W11. Como resolver #vírus X12. Guerra País B.13. A é o melhor antivírus.14. ola!

Passo 2:1.Problema #vírus X cuidado2.#vírus X problema3.Novo #Malware Y4.Atualize seu antivírus W5.Atualize seu antivírus W6.#malware Y ataca7.Atualize seu antivírus W8.Possível #falha Z9.Solução #vírus X10. Atualize seu antivírus W11. Como resolver #vírus X12. Guerra País B.13. A é o melhor antivírus.14. ola!

Passo 3:

a1.Problema #vírus X cuidadoa2.#vírus X problema

b3.Novo #Malware Yb6.#malware Y ataca

c4.Atualize seu antivírus Wc5.Atualize seu antivírus Wc7.Atualize seu antivírus Wc10. Atualize seu antivírus W

d8.Possível #falha Z

e9.Solução #vírus Xe11. Como resolver #vírus X

Passo 4:

c4.Atualize seu antivírus Wc5.Atualize seu antivírus Wc7.Atualize seu antivírus Wc10. Atualize seu antivírus W

a1.Problema #vírus X cuidadoa2.#vírus X problema

b3.Novo #Malware Yb6.#malware Y ataca

d8.Possível #falha Z

e9.Solução #vírus Xe11. Como resolver #vírus X

Page 11: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Tweetsimportantes

1. Obter tweets de Segurança

5. Aumentar a visibilidadeda mensagem

InternetInternet

2. Filtrarmensagens

3. Agrupar por

similaridade

4. Gerarlista de

mensagensrelevantes

Interface devisualizaçãodos alertas

11Figura 1. Método para extrair alertas de segurança do Twitter.

Passo 1:1.Problema #vírus X cuidado2.#vírus X problema3.Novo #Malware Y4.Atualize seu antivírus W5.Atualize seu antivírus W6.#malware Y ataca7.Atualize seu antivírus W8.Possível #falha Z9.Solução #vírus X10. Atualize seu antivírus W11. Como resolver #vírus X12. Guerra País B.13. A é o melhor antivírus.14. ola!

Passo 2:1.Problema #vírus X cuidado2.#vírus X problema3.Novo #Malware Y4.Atualize seu antivírus W5.Atualize seu antivírus W6.#malware Y ataca7.Atualize seu antivírus W8.Possível #falha Z9.Solução #vírus X10. Atualize seu antivírus W11. Como resolver #vírus X12. Guerra País B.13. A é o melhor antivírus.14. ola!

Passo 3:

a1.Problema #vírus X cuidadoa2.#vírus X problema

b3.Novo #Malware Yb6.#malware Y ataca

c4.Atualize seu antivírus Wc5.Atualize seu antivírus Wc7.Atualize seu antivírus Wc10. Atualize seu antivírus W

d8.Possível #falha Z

e9.Solução #vírus Xe11. Como resolver #vírus X

Passo 4:

c4.Atualize seu antivírus Wc5.Atualize seu antivírus Wc7.Atualize seu antivírus Wc10. Atualize seu antivírus W

a1.Problema #vírus X cuidadoa2.#vírus X problema

b3.Novo #Malware Yb6.#malware Y ataca

d8.Possível #falha Z

e9.Solução #vírus Xe11. Como resolver #vírus X

Passo 5:

a1.Problema #vírus X cuidadoa2.#vírus X problema

d8.Possível #falha Z

b3.Novo #Malware Yb6.#malware Y ataca

e9.Solução #vírus Xe11. Como resolver #vírus X

Page 12: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

12

1. Obter tweets de segurança:

Software desenvolvido para coleta de tweets.

Consultas em intervalos periódicos de 1 minuto.

Consultas com termos da área de segurança.

Dados coletados entre 28/Abril/2012 a 05/Dezembro/2012.

Resultados

Tweets Usuários URLs Hashtags Menções

155.631 74.809 84,9% 37% 43%

Page 13: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

2. Filtrar mensagens

13

Figura 2. Fluxograma do processo de filtragem.

Page 14: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

3. Agrupar por similaridade

Estratégia: Agrupar baseado em um limiar fixo usando o Apache Lucene.

Problema: Termos de busca curtos.

Solução: Usar um limiar variável baseado na Equação 1.

14

GrauSimilaridade = −x×

160× (1)

δ→ limiar mínimo para texto máximox→ tamanho da mensagemα→ fator de crescimento

Page 15: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

160

150

140

130

120

110

100

90 80 70 60 50 40 30 20 10 10

1

2

3

4

5

6

7

8

α = 2α = 8

Tamanho da mensagem

Esc

ore

exig

ido

com

o ín

dic

e d

e si

mila

ridad

e n

a b

usc

a p

or t

wee

ts s

imila

res

3. Agrupar por similaridade (cont.)

15

GrauSimilaridade = −x×160

× (1)

#Vírus novo vírusX está atacando computadores através de falha no sistema operacional X

http://endereço1GrauSimilaridade=1,58

#antiVirus atualizaçãoGrauSimilaridade=2,05

#malware X ataca servidores com o sistema operacional Y através de uma falha de estouro de pilha no servidor Web Z causando

DDoS http://endereço2 - GrauSimilaridade=0,93

Page 16: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

4. Gerar lista de tweets mais relevantes

Inicialmente, considerávamos importante um grupo com 10 ou mais mensagens.

Problema: mensagens irrelevantes e spams.

Solução: considerar a quantidade de usuários que retransmitiram a mensagem.

Pseudo algoritmo:

Agrupa por similaridade usando Apache Lucene

Seleciona grupos com 10 ou mais mensagens

Filtra os grupos considerando a quantidade de usuários que retransmitiram a mensagem.

16

Page 17: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

5. Aumentar a visibilidade das mensagens

Critérios:

Número de usuários que postaram a mensagem.

Variação da frequência diária de palavras.

Ocorrência de palavras raras.

Aumento expressivo de mensagens no segundo dia.

Variação elevada de frequência de mensagens.

Propagação de 10 a 14 dias.

17

Page 18: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Análise dos Resultados:

Filtrar por URL

18

Domínios descartados Domínios considerados

Qtd Domínios Qtd Domínios

1117 washingtonpost.com 1369 net-security.org

484 forbes.com 1311 zdnet.com

428 amazon.com 1266 sophos.com

405 computerworld.com 1144 thehackersnews.com

356 pcworld.com 917 h-online.com

27 inforwars.com 98 blog.sucuri.net

26 inquisitr.com 34 blog.webroot.com

Page 19: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Análise dos Resultados:

Filtrar por termos comuns

19

Termos comuns em mensagens irrelevantes

Termos comuns em mensagens relevantes

Qtd Termos Qtd Termos

4164 libya 7334 exploit

3304 benghazi 3233 ddos

2291 obama 1919 zero(day)

1848 iran 1850 vunerab(ility)

984 killed 866 trojan

708 nuclear 856 bots ou botnet

435 ambassador 850 bug

429 dead 628 hijack

422 terrorism 558 inject

345 free 282 backdoor

Page 20: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Análise dos Resultados:

Resultados com o uso de filtro (Alertas)

20

Mês Trecho da mensagem

Mai Microsoft boots Chinese firm for leaking Windows exploit..

Jun Scientists crack RSA SecurID 800 tokens steal cryptographic keys

Jul More malware found hosted in Google's official Android market

Ago ...MS-CHAPv2 puts hundreds of crypto apps at risk

Set Android security suffers as malware explodes by 700%

Out DSL modem hack used to infect millions with banking fraud malware...

Nov New Linux rootkit injects mal HTML into Web servers

Page 21: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Análise dos Resultados:

Resultados com o uso de filtro (Não alertas)

21

Android has made malware for Linux a reality

...How Flame has changed everything for online security firms...

Serial hacker says latest Android will be "pretty hard" to exploit...

..Hacker Scores $60 000 From Google For Discovering Security Issue In Chrome...

Page 22: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Avaliação dos Procedimentos:

Uso de filtros reduziu a base em cerca de 50% .

Propagação, número de dias e pico de mensagens viabilizam a detecção de mensagens que não são spam.

Análise de frequência de palavras e palavras raras identificam mensagens importantes e fora de contexto.

Listas de termos específicos em segurança podem ser usadas para evidenciar alertas nas mensagens de segurança.

22

Page 23: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Sem filtro junho

Com filtro junho

Sem filtro setembro

Com filtro setembro

0%10%20%30%40%50%60%70%80%90%

100%

SpamSegurança

Avaliação das Questões de Pesquisa:

Q1 – É possível minimizar o impacto negativo das mensagens que não são notificações de segurança computacional?

23

Figura 3. Comparação de resultados nos meses de junho e setembro.

Page 24: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

Avaliação das Questões de Pesquisa:

Q2 – Dentre os inúmeros problemas de segurança postados em redes sociais, é possível evidenciar quais são os problemas com maior relevância e que estão sendo mais comentados neste tipo de ambiente?

24junho setembro

0

10

20

30

40

50

60

70

não alertasalertas%

Page 25: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

25

Conclusões:

Em nossos experimentos verificamos que:

92% das mensagens abordam segurança computacional.Mais de 50% das mensagens representam alertas.

O método produz bons resultados em recuperar notícias associadas a segurança em redes.

Dificuldade de evidenciar mensagens pouco citadas como alertas relevantes.

Page 26: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

26

Trabalhos Futuros:

Uso de aprendizagem supervisionada para a classificação.

Otimização e automatização dos métodos de filtragem.

Desenvolvimento de software para processar fluxos contínuos de mensagens de redes sociais.

Mecanismo de recomendação de alertas para viabilizar a colaboração entre administradores de rede.

Page 27: Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC

27

Luiz Arthur F. Santos

[email protected]

Rodrigo Campiolo

[email protected]

Daniel Macêdo Batista

[email protected]

Marco Aurélio Gerosa

[email protected]

Obrigado!

Perguntas?