Agrupamento de recomendações de raciocínio baseado em casos na resposta a incidentes de segurança cibernética
Visualizar/ Abrir
Data
2024-04-26Primeiro coorientador
Nunes, Raul Ceretta
Primeiro membro da banca
Winck, Ana Trindade
Segundo membro da banca
Santos, Carlos Raniery Paula dos
Metadata
Mostrar registro completoResumo
Raciocínio Baseado em Casos (Case-Based Reasoning - CBR) e Agrupamento de Dados
(clustering) têm reconhecida relevância na resolução de diferentes problemas de aplicação.
Entretanto, a integração destas técnicas de Inteligência Artificial (IA) ainda apresenta desafios
de pesquisa importantes relacionados ao desenvolvimento de sistemas na área de
segurança cibernética. O problema de pesquisa abordado nesta dissertação envolve como
recomendar e reusar planos de resposta para incidentes de segurança cibernética. Neste
contexto, a dinâmica e sofisticação crescente dos ataques cibernéticos e a exploração de
vulnerabilidades instituem a necessidade de novas abordagens de IA que auxiliem na manutenção
da resiliência cibernética em organizações. Este trabalho investiga a construção
de uma memória reusável de experiências de resposta a incidentes de segurança cibernética,
capturando experiências em estruturas de casos armazenadas numa base de casos.
Casos possuem detalhes do contexto do incidente (problema) e planos com ações de resposta
(solução). Métodos de similaridade são empregados para consultar essa memória,
partindo de um contexto de incidente especificado (consulta), para recomendar casos relevantes
para reúso. As principais contribuições deste trabalho incluem: o desenvolvimento
de um método que integra CBR e clustering na organização das soluções recuperadas em
clusters; e a modelagem de uma nova ontologia de aplicação para facilitar a aquisição e
representação de planos de resposta a incidentes. Experimentos de validação cruzada
e com novos incidentes foram desenvolvidos para avaliação da abordagem proposta. Os
resultados indicam que a integração de CBR e clustering pode aumentar a precisão na seleção
de planos de resposta para reúso, especialmente quando os analistas de segurança
conseguem identificar e escolher o grupo mais adequado resultante do agrupamento das
recomendações apresentadas para consultas CBR. A seleção aleatória de um grupo de
recomendações pode apresentar resultados equivalentes de precisão ao uso exclusivo de
consultas CBR. Por outro lado, a seleção do pior grupo obtido implica numa queda de precisão
em relação ao uso exclusivo de recomendações apresentadas em consultas CBR.
Isso demonstra que o refinamento de recomendações obtidas para consultas CBR, com
base em clustering, pode otimizar a análise e o reúso de recomendações na resposta a
incidentes, embora a seleção de grupos de casos obtidos e realizada pelo analista possa
impactar significativamente nos resultados de precisão alcançados.
Coleções
Os arquivos de licença a seguir estão associados a este item: