Agrupamento de recomendações de raciocínio baseado em casos na resposta a incidentes de segurança cibernética
| Ano de defesa: | 2024 |
|---|---|
| Autor(a) principal: | |
| Orientador(a): | |
| Banca de defesa: | |
| Tipo de documento: | Dissertação |
| Tipo de acesso: | Acesso aberto |
| dARK ID: | ark:/26339/00130000119k0 |
| Idioma: | por |
| Instituição de defesa: |
Universidade Federal de Santa Maria
Brasil Ciência da Computação UFSM Programa de Pós-Graduação em Ciência da Computação Centro de Tecnologia |
| Programa de Pós-Graduação: |
Não Informado pela instituição
|
| Departamento: |
Não Informado pela instituição
|
| País: |
Não Informado pela instituição
|
| Palavras-chave em Português: | |
| Link de acesso: | http://repositorio.ufsm.br/handle/1/32093 |
Resumo: | Case-Based Reasoning (CBR) and Clustering are recognized for their relevance in solving various application problems. However, integrating these Artificial Intelligence (AI) techniques still presents significant research challenges related to the development of systems in the field of cybersecurity. The research problem addressed in this dissertation involves recommending and reusing response plans for cybersecurity incidents. In this context, the increasing dynamics and sophistication of cyber attacks and the exploitation of vulnerabilities establish the need for new AI approaches that assist in maintaining cyber resilience in organizations. This work investigates the construction of a reusable memory of cybersecurity incident response experiences, capturing experiences in case structures stored in a case base. Cases contain details of the incident context (problem) and plans with response actions (solution). Similarity methods are employed to query this memory, starting from a specified incident context (query), to recommend relevant cases for reuse. The main contributions of this work include: the development of a method that integrates CBR and clustering in organizing the retrieved solutions into clusters; and the modeling of a new application ontology to facilitate the acquisition and representation of incident response plans. Cross-validation experiments and with new incidents were developed to evaluate the proposed approach. The results indicate that the integration of CBR and clustering can increase the precision in selecting response plans for reuse, especially when security analysts can identify and choose the most appropriate group resulting from the clustering of recommendations presented for CBR queries. Random selection of a group of recommendations can yield precision results equivalent to the exclusive use of CBR queries. On the other hand, selecting the worst group obtained implies a decrease in precision compared to the exclusive use of recommendations presented in CBR queries. This demonstrates that refining recommendations obtained for CBR queries, based on clustering, can optimize the analysis and reuse of recommendations in incident response, although the selection of case groups obtained and carried out by the analyst can significantly impact the precision results achieved. |
| id |
UFSM_a40685ab75798fab9433d942ef99bb30 |
|---|---|
| oai_identifier_str |
oai:repositorio.ufsm.br:1/32093 |
| network_acronym_str |
UFSM |
| network_name_str |
Manancial - Repositório Digital da UFSM |
| repository_id_str |
|
| spelling |
Agrupamento de recomendações de raciocínio baseado em casos na resposta a incidentes de segurança cibernéticaClustering of case-based reasoning recommendations in cybersecurity incident responseRaciocínio baseado em casosAgrupamento de dadosOntologias de aplicaçãoResposta a incidentesSegurança cibernéticaCase-based reasoningClusteringApplication ontologiesIncident responseCybersecurityCNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAOCase-Based Reasoning (CBR) and Clustering are recognized for their relevance in solving various application problems. However, integrating these Artificial Intelligence (AI) techniques still presents significant research challenges related to the development of systems in the field of cybersecurity. The research problem addressed in this dissertation involves recommending and reusing response plans for cybersecurity incidents. In this context, the increasing dynamics and sophistication of cyber attacks and the exploitation of vulnerabilities establish the need for new AI approaches that assist in maintaining cyber resilience in organizations. This work investigates the construction of a reusable memory of cybersecurity incident response experiences, capturing experiences in case structures stored in a case base. Cases contain details of the incident context (problem) and plans with response actions (solution). Similarity methods are employed to query this memory, starting from a specified incident context (query), to recommend relevant cases for reuse. The main contributions of this work include: the development of a method that integrates CBR and clustering in organizing the retrieved solutions into clusters; and the modeling of a new application ontology to facilitate the acquisition and representation of incident response plans. Cross-validation experiments and with new incidents were developed to evaluate the proposed approach. The results indicate that the integration of CBR and clustering can increase the precision in selecting response plans for reuse, especially when security analysts can identify and choose the most appropriate group resulting from the clustering of recommendations presented for CBR queries. Random selection of a group of recommendations can yield precision results equivalent to the exclusive use of CBR queries. On the other hand, selecting the worst group obtained implies a decrease in precision compared to the exclusive use of recommendations presented in CBR queries. This demonstrates that refining recommendations obtained for CBR queries, based on clustering, can optimize the analysis and reuse of recommendations in incident response, although the selection of case groups obtained and carried out by the analyst can significantly impact the precision results achieved.Raciocínio Baseado em Casos (Case-Based Reasoning - CBR) e Agrupamento de Dados (clustering) têm reconhecida relevância na resolução de diferentes problemas de aplicação. Entretanto, a integração destas técnicas de Inteligência Artificial (IA) ainda apresenta desafios de pesquisa importantes relacionados ao desenvolvimento de sistemas na área de segurança cibernética. O problema de pesquisa abordado nesta dissertação envolve como recomendar e reusar planos de resposta para incidentes de segurança cibernética. Neste contexto, a dinâmica e sofisticação crescente dos ataques cibernéticos e a exploração de vulnerabilidades instituem a necessidade de novas abordagens de IA que auxiliem na manutenção da resiliência cibernética em organizações. Este trabalho investiga a construção de uma memória reusável de experiências de resposta a incidentes de segurança cibernética, capturando experiências em estruturas de casos armazenadas numa base de casos. Casos possuem detalhes do contexto do incidente (problema) e planos com ações de resposta (solução). Métodos de similaridade são empregados para consultar essa memória, partindo de um contexto de incidente especificado (consulta), para recomendar casos relevantes para reúso. As principais contribuições deste trabalho incluem: o desenvolvimento de um método que integra CBR e clustering na organização das soluções recuperadas em clusters; e a modelagem de uma nova ontologia de aplicação para facilitar a aquisição e representação de planos de resposta a incidentes. Experimentos de validação cruzada e com novos incidentes foram desenvolvidos para avaliação da abordagem proposta. Os resultados indicam que a integração de CBR e clustering pode aumentar a precisão na seleção de planos de resposta para reúso, especialmente quando os analistas de segurança conseguem identificar e escolher o grupo mais adequado resultante do agrupamento das recomendações apresentadas para consultas CBR. A seleção aleatória de um grupo de recomendações pode apresentar resultados equivalentes de precisão ao uso exclusivo de consultas CBR. Por outro lado, a seleção do pior grupo obtido implica numa queda de precisão em relação ao uso exclusivo de recomendações apresentadas em consultas CBR. Isso demonstra que o refinamento de recomendações obtidas para consultas CBR, com base em clustering, pode otimizar a análise e o reúso de recomendações na resposta a incidentes, embora a seleção de grupos de casos obtidos e realizada pelo analista possa impactar significativamente nos resultados de precisão alcançados.Universidade Federal de Santa MariaBrasilCiência da ComputaçãoUFSMPrograma de Pós-Graduação em Ciência da ComputaçãoCentro de TecnologiaSilva, Luís Alvaro de Limahttp://lattes.cnpq.br/8066370508832550Nunes, Raul CerettaWinck, Ana TrindadeSantos, Carlos Raniery Paula dosGuerra, Patrick Andrei Caron2024-06-26T15:24:49Z2024-06-26T15:24:49Z2024-04-26info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://repositorio.ufsm.br/handle/1/32093ark:/26339/00130000119k0porAttribution-NonCommercial-NoDerivatives 4.0 Internationalinfo:eu-repo/semantics/openAccessreponame:Manancial - Repositório Digital da UFSMinstname:Universidade Federal de Santa Maria (UFSM)instacron:UFSM2024-06-26T15:24:49Zoai:repositorio.ufsm.br:1/32093Biblioteca Digital de Teses e Dissertaçõeshttps://repositorio.ufsm.br/PUBhttps://repositorio.ufsm.br/oai/requestatendimento.sib@ufsm.br||tedebc@gmail.com||manancial@ufsm.bropendoar:2024-06-26T15:24:49Manancial - Repositório Digital da UFSM - Universidade Federal de Santa Maria (UFSM)false |
| dc.title.none.fl_str_mv |
Agrupamento de recomendações de raciocínio baseado em casos na resposta a incidentes de segurança cibernética Clustering of case-based reasoning recommendations in cybersecurity incident response |
| title |
Agrupamento de recomendações de raciocínio baseado em casos na resposta a incidentes de segurança cibernética |
| spellingShingle |
Agrupamento de recomendações de raciocínio baseado em casos na resposta a incidentes de segurança cibernética Guerra, Patrick Andrei Caron Raciocínio baseado em casos Agrupamento de dados Ontologias de aplicação Resposta a incidentes Segurança cibernética Case-based reasoning Clustering Application ontologies Incident response Cybersecurity CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO |
| title_short |
Agrupamento de recomendações de raciocínio baseado em casos na resposta a incidentes de segurança cibernética |
| title_full |
Agrupamento de recomendações de raciocínio baseado em casos na resposta a incidentes de segurança cibernética |
| title_fullStr |
Agrupamento de recomendações de raciocínio baseado em casos na resposta a incidentes de segurança cibernética |
| title_full_unstemmed |
Agrupamento de recomendações de raciocínio baseado em casos na resposta a incidentes de segurança cibernética |
| title_sort |
Agrupamento de recomendações de raciocínio baseado em casos na resposta a incidentes de segurança cibernética |
| author |
Guerra, Patrick Andrei Caron |
| author_facet |
Guerra, Patrick Andrei Caron |
| author_role |
author |
| dc.contributor.none.fl_str_mv |
Silva, Luís Alvaro de Lima http://lattes.cnpq.br/8066370508832550 Nunes, Raul Ceretta Winck, Ana Trindade Santos, Carlos Raniery Paula dos |
| dc.contributor.author.fl_str_mv |
Guerra, Patrick Andrei Caron |
| dc.subject.por.fl_str_mv |
Raciocínio baseado em casos Agrupamento de dados Ontologias de aplicação Resposta a incidentes Segurança cibernética Case-based reasoning Clustering Application ontologies Incident response Cybersecurity CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO |
| topic |
Raciocínio baseado em casos Agrupamento de dados Ontologias de aplicação Resposta a incidentes Segurança cibernética Case-based reasoning Clustering Application ontologies Incident response Cybersecurity CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO |
| description |
Case-Based Reasoning (CBR) and Clustering are recognized for their relevance in solving various application problems. However, integrating these Artificial Intelligence (AI) techniques still presents significant research challenges related to the development of systems in the field of cybersecurity. The research problem addressed in this dissertation involves recommending and reusing response plans for cybersecurity incidents. In this context, the increasing dynamics and sophistication of cyber attacks and the exploitation of vulnerabilities establish the need for new AI approaches that assist in maintaining cyber resilience in organizations. This work investigates the construction of a reusable memory of cybersecurity incident response experiences, capturing experiences in case structures stored in a case base. Cases contain details of the incident context (problem) and plans with response actions (solution). Similarity methods are employed to query this memory, starting from a specified incident context (query), to recommend relevant cases for reuse. The main contributions of this work include: the development of a method that integrates CBR and clustering in organizing the retrieved solutions into clusters; and the modeling of a new application ontology to facilitate the acquisition and representation of incident response plans. Cross-validation experiments and with new incidents were developed to evaluate the proposed approach. The results indicate that the integration of CBR and clustering can increase the precision in selecting response plans for reuse, especially when security analysts can identify and choose the most appropriate group resulting from the clustering of recommendations presented for CBR queries. Random selection of a group of recommendations can yield precision results equivalent to the exclusive use of CBR queries. On the other hand, selecting the worst group obtained implies a decrease in precision compared to the exclusive use of recommendations presented in CBR queries. This demonstrates that refining recommendations obtained for CBR queries, based on clustering, can optimize the analysis and reuse of recommendations in incident response, although the selection of case groups obtained and carried out by the analyst can significantly impact the precision results achieved. |
| publishDate |
2024 |
| dc.date.none.fl_str_mv |
2024-06-26T15:24:49Z 2024-06-26T15:24:49Z 2024-04-26 |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| format |
masterThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
http://repositorio.ufsm.br/handle/1/32093 |
| dc.identifier.dark.fl_str_mv |
ark:/26339/00130000119k0 |
| url |
http://repositorio.ufsm.br/handle/1/32093 |
| identifier_str_mv |
ark:/26339/00130000119k0 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
Attribution-NonCommercial-NoDerivatives 4.0 International info:eu-repo/semantics/openAccess |
| rights_invalid_str_mv |
Attribution-NonCommercial-NoDerivatives 4.0 International |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.publisher.none.fl_str_mv |
Universidade Federal de Santa Maria Brasil Ciência da Computação UFSM Programa de Pós-Graduação em Ciência da Computação Centro de Tecnologia |
| publisher.none.fl_str_mv |
Universidade Federal de Santa Maria Brasil Ciência da Computação UFSM Programa de Pós-Graduação em Ciência da Computação Centro de Tecnologia |
| dc.source.none.fl_str_mv |
reponame:Manancial - Repositório Digital da UFSM instname:Universidade Federal de Santa Maria (UFSM) instacron:UFSM |
| instname_str |
Universidade Federal de Santa Maria (UFSM) |
| instacron_str |
UFSM |
| institution |
UFSM |
| reponame_str |
Manancial - Repositório Digital da UFSM |
| collection |
Manancial - Repositório Digital da UFSM |
| repository.name.fl_str_mv |
Manancial - Repositório Digital da UFSM - Universidade Federal de Santa Maria (UFSM) |
| repository.mail.fl_str_mv |
atendimento.sib@ufsm.br||tedebc@gmail.com||manancial@ufsm.br |
| _version_ |
1847153476804542464 |