Aplicação de técnicas de mineração de texto para categorização de eventos de segurança no CTIR Gov

Abstract

De acordo com a metodologia de tratamento de incidentes de segurança da Universidade de Carnegie Mellon, todos os eventos recebidos em um centro de tratamento de incidentes passam pela tarefa de categorização. Dependendo da importância e abrangência da atuação do grupo de resposta a incidentes, o número de eventos ou mensagens pode se tornar difícil de ser classificado manualmente ou através do uso de filtros de mensagens. Neste trabalho, foi proposta uma solução para a classificação supervisionada de eventos no âmbito do Centro de Tratamento de Incidentes de Segurança em Redes de Computadores da Administração Pública Federal (CTIR Gov). A solução adotada inclui um processo de mineração de textos com uma fase de pré-processamento e uso da ferramenta PreTexT, além da fase de classificação automática de eventos, utilizando a ferramenta de mineração Weka. Na experimentação, foram adotados três algoritmos diferentes: (i) J48, da família de árvores de decisão; (ii) Naïve Bayes, pela sua abordagem probabilística; e (iii) Support Vector Machine (SVM) com otimização Sequential Minimal Optimization (SMO). Para avaliação dos resultados, foram realizadas comparações entre a categorização semi-automática registrada em relatórios consolidados e os algoritmos citados. Foram obtidos resultados de classificação com índice de acerto na ordem de 73%. _________________________________________________________________________________ ABSTRACT

According to Carnegie Mellon University computer security incident response methodology, all events in a computer security incident response team should be categorized. Depending on the importance and scope of the incident response team, the number of events or messages can become difficult to be classified manually or only by means of message filters. This work, proposes a solution to supervised categorization of events in the National Brazilian Government Computer Security Incident Response Team (CTIR Gov). The adopted solution includes a text mining process with a preprocess stage using the PreTexT tool, and an automatic event categorization phase using the data mining tool Weka. In the experimental phase, three algorithms were adopted: (i) J48, from the decision tree family; (ii) Naïve Bayes, with its probabilistic approach; and (iii) Support Vector Machine (SVM) optimized by Sequential Minimal Optimization (SMO). To evaluate the results, comparisons were conducted between the semi-automatic categorization documented in reports and the cited algorithms. Classification results displayed a rate of about 73% of correctly classified instances.