1. O documento descreve um mecanismo para extrair alertas de segurança de redes sociais como o Twitter usando agrupamento de tweets similares e análise da propagação das mensagens.
2. O método filtra tweets sobre segurança, os agrupa por similaridade, gera uma lista de mensagens relevantes e aumenta a visibilidade das mais importantes.
3. O objetivo é viabilizar o rápido acesso a notificações de segurança importantes utilizando redes sociais como fonte de informação sobre alertas.
Detecção de alertas de segurança em redes de computadores usando redes sociais - SBRC
1. Detecção de Alertas de Segurança em
Redes de Computadores Usando
Redes Sociais
Autores:
Este trabalho de Luiz Arthur Feitosa Santos, Rodrigo Campiolo, Daniel Macêdo Batista e Marco
Aurélio Gerosa foi licenciado com uma Licença Creative Commons - Atribuição – Não Comercial
3.0 Não Adaptada.
Luiz Arthur F. Santos
luizsantos@utfpr.edu.br
Rodrigo Campiolo
rcampiolo@utfpr.edu.br
Daniel Macêdo Batista
batista@ime.usp.br
Marco Aurélio Gerosa
gerosa@ime.usp.br
2. Introdução:
● Problema de pesquisa:
Atraso na propagação de alertas de novas ameaças.
Aplicativos especializados não são totalmente eficazes contra
novas ameaças.
● Possíveis soluções:
O problema pode ser amenizado por meio da propagação
rápida de alertas.
Uso de redes sociais.
2
3. Objetivo:
Elaboração de um mecanismo para extrair notificações de
segurança de computadores em mensagens postadas no
microblog Twitter.
Contribuições:
Mecanismo que viabiliza o rápido acesso a importantes
notificações de segurança.
Uso de redes sociais como fontes de informação sobre alertas
de segurança.
3
4. Desafios:
Em trabalhos anteriores foram identificados desafios para
extração de alertas de segurança:
Quantidade e diversidade de mensagens de segurança.
Importância das mensagens como alertas.
Mensagens irrelevantes para segurança computacional.
4
5. Questões de Pesquisa:
Q1 – É possível minimizar o impacto negativo das mensagens
que não são notificações de segurança computacional?
Q2 – Dentre os inúmeros problemas de segurança postados
em redes sociais, é possível evidenciar quais são os problemas
com maior relevância e que estão sendo mais comentados
neste tipo de ambiente?
5
6. Passos do mecanismo:
6
Figura 1. Método para extrair alertas de segurança do Twitter.
Tweets
importantes
1. Obter
tweets de
Segurança
5. Aumentar
a visibilidade
da mensagem
InternetInternet
2. Filtrar
mensagens
3. Agrupar
por
similaridade
4. Gerar
lista de
mensagens
relevantes
Interface de
visualização
dos alertas
7. 7Figura 1. Método para extrair alertas de segurança do Twitter.
Passo 1:
1.Problema #vírus X cuidado
2.#vírus X problema
3.Novo #Malware Y
4.Atualize seu antivírus W
5.Atualize seu antivírus W
6.#malware Y ataca
7.Atualize seu antivírus W
8.Possível #falha Z
9.Solução #vírus X
10. Atualize seu antivírus W
11. Como resolver #vírus X
12. Guerra País B.
13. A é o melhor antivírus.
14. ola!
Tweets
importantes
1. Obter
tweets de
Segurança
5. Aumentar
a visibilidade
da mensagem
InternetInternet
2. Filtrar
mensagens
3. Agrupar
por
similaridade
4. Gerar
lista de
mensagens
relevantes
Interface de
visualização
dos alertas
8. 8Figura 1. Método para extrair alertas de segurança do Twitter.
Passo 1:
1.Problema #vírus X cuidado
2.#vírus X problema
3.Novo #Malware Y
4.Atualize seu antivírus W
5.Atualize seu antivírus W
6.#malware Y ataca
7.Atualize seu antivírus W
8.Possível #falha Z
9.Solução #vírus X
10. Atualize seu antivírus W
11. Como resolver #vírus X
12. Guerra País B.
13. A é o melhor antivírus.
14. ola!
Tweets
importantes
1. Obter
tweets de
Segurança
5. Aumentar
a visibilidade
da mensagem
InternetInternet
2. Filtrar
mensagens
3. Agrupar
por
similaridade
4. Gerar
lista de
mensagens
relevantes
Interface de
visualização
dos alertas
Passo 2:
1.Problema #vírus X cuidado
2.#vírus X problema
3.Novo #Malware Y
4.Atualize seu antivírus W
5.Atualize seu antivírus W
6.#malware Y ataca
7.Atualize seu antivírus W
8.Possível #falha Z
9.Solução #vírus X
10. Atualize seu antivírus W
11. Como resolver #vírus X
12. Guerra País B.
13. A é o melhor antivírus.
14. ola!
9. Tweets
importantes
1. Obter
tweets de
Segurança
5. Aumentar
a visibilidade
da mensagem
InternetInternet
2. Filtrar
mensagens
3. Agrupar
por
similaridade
4. Gerar
lista de
mensagens
relevantes
Interface de
visualização
dos alertas
9Figura 1. Método para extrair alertas de segurança do Twitter.
Passo 1:
1.Problema #vírus X cuidado
2.#vírus X problema
3.Novo #Malware Y
4.Atualize seu antivírus W
5.Atualize seu antivírus W
6.#malware Y ataca
7.Atualize seu antivírus W
8.Possível #falha Z
9.Solução #vírus X
10. Atualize seu antivírus W
11. Como resolver #vírus X
12. Guerra País B.
13. A é o melhor antivírus.
14. ola!
Passo 2:
1.Problema #vírus X cuidado
2.#vírus X problema
3.Novo #Malware Y
4.Atualize seu antivírus W
5.Atualize seu antivírus W
6.#malware Y ataca
7.Atualize seu antivírus W
8.Possível #falha Z
9.Solução #vírus X
10. Atualize seu antivírus W
11. Como resolver #vírus X
12. Guerra País B.
13. A é o melhor antivírus.
14. ola!
Passo 3:
a1.Problema #vírus X cuidado
a2.#vírus X problema
b3.Novo #Malware Y
b6.#malware Y ataca
c4.Atualize seu antivírus W
c5.Atualize seu antivírus W
c7.Atualize seu antivírus W
c10. Atualize seu antivírus W
d8.Possível #falha Z
e9.Solução #vírus X
e11. Como resolver #vírus X
10. Tweets
importantes
1. Obter
tweets de
Segurança
5. Aumentar
a visibilidade
da mensagem
InternetInternet
2. Filtrar
mensagens
3. Agrupar
por
similaridade
4. Gerar
lista de
mensagens
relevantes
Interface de
visualização
dos alertas
10Figura 1. Método para extrair alertas de segurança do Twitter.
Passo 1:
1.Problema #vírus X cuidado
2.#vírus X problema
3.Novo #Malware Y
4.Atualize seu antivírus W
5.Atualize seu antivírus W
6.#malware Y ataca
7.Atualize seu antivírus W
8.Possível #falha Z
9.Solução #vírus X
10. Atualize seu antivírus W
11. Como resolver #vírus X
12. Guerra País B.
13. A é o melhor antivírus.
14. ola!
Passo 2:
1.Problema #vírus X cuidado
2.#vírus X problema
3.Novo #Malware Y
4.Atualize seu antivírus W
5.Atualize seu antivírus W
6.#malware Y ataca
7.Atualize seu antivírus W
8.Possível #falha Z
9.Solução #vírus X
10. Atualize seu antivírus W
11. Como resolver #vírus X
12. Guerra País B.
13. A é o melhor antivírus.
14. ola!
Passo 3:
a1.Problema #vírus X cuidado
a2.#vírus X problema
b3.Novo #Malware Y
b6.#malware Y ataca
c4.Atualize seu antivírus W
c5.Atualize seu antivírus W
c7.Atualize seu antivírus W
c10. Atualize seu antivírus W
d8.Possível #falha Z
e9.Solução #vírus X
e11. Como resolver #vírus X
Passo 4:
c4.Atualize seu antivírus W
c5.Atualize seu antivírus W
c7.Atualize seu antivírus W
c10. Atualize seu antivírus W
a1.Problema #vírus X cuidado
a2.#vírus X problema
b3.Novo #Malware Y
b6.#malware Y ataca
d8.Possível #falha Z
e9.Solução #vírus X
e11. Como resolver #vírus X
11. Tweets
importantes
1. Obter
tweets de
Segurança
5. Aumentar
a visibilidade
da mensagem
InternetInternet
2. Filtrar
mensagens
3. Agrupar
por
similaridade
4. Gerar
lista de
mensagens
relevantes
Interface de
visualização
dos alertas
11Figura 1. Método para extrair alertas de segurança do Twitter.
Passo 1:
1.Problema #vírus X cuidado
2.#vírus X problema
3.Novo #Malware Y
4.Atualize seu antivírus W
5.Atualize seu antivírus W
6.#malware Y ataca
7.Atualize seu antivírus W
8.Possível #falha Z
9.Solução #vírus X
10. Atualize seu antivírus W
11. Como resolver #vírus X
12. Guerra País B.
13. A é o melhor antivírus.
14. ola!
Passo 2:
1.Problema #vírus X cuidado
2.#vírus X problema
3.Novo #Malware Y
4.Atualize seu antivírus W
5.Atualize seu antivírus W
6.#malware Y ataca
7.Atualize seu antivírus W
8.Possível #falha Z
9.Solução #vírus X
10. Atualize seu antivírus W
11. Como resolver #vírus X
12. Guerra País B.
13. A é o melhor antivírus.
14. ola!
Passo 3:
a1.Problema #vírus X cuidado
a2.#vírus X problema
b3.Novo #Malware Y
b6.#malware Y ataca
c4.Atualize seu antivírus W
c5.Atualize seu antivírus W
c7.Atualize seu antivírus W
c10. Atualize seu antivírus W
d8.Possível #falha Z
e9.Solução #vírus X
e11. Como resolver #vírus X
Passo 4:
c4.Atualize seu antivírus W
c5.Atualize seu antivírus W
c7.Atualize seu antivírus W
c10. Atualize seu antivírus W
a1.Problema #vírus X cuidado
a2.#vírus X problema
b3.Novo #Malware Y
b6.#malware Y ataca
d8.Possível #falha Z
e9.Solução #vírus X
e11. Como resolver #vírus X
Passo 5:
a1.Problema #vírus X cuidado
a2.#vírus X problema
d8.Possível #falha Z
b3.Novo #Malware Y
b6.#malware Y ataca
e9.Solução #vírus X
e11. Como resolver #vírus X
12. 12
1. Obter tweets de segurança:
Software desenvolvido para coleta de tweets.
Consultas em intervalos periódicos de 1 minuto.
Consultas com termos da área de segurança.
Dados coletados entre 28/Abril/2012 a 05/Dezembro/2012.
Resultados
Tweets Usuários URLs Hashtags Menções
155.631 74.809 84,9% 37% 43%
14. 3. Agrupar por similaridade
Estratégia: Agrupar baseado em um limiar fixo usando o Apache
Lucene.
Problema: Termos de busca curtos.
Solução: Usar um limiar variável baseado na Equação 1.
14
GrauSimilaridade = −
x×
160
× (1)
δ→ limiar mínimo para texto máximo
x→ tamanho da mensagem
α→ fator de crescimento
15. 160
150
140
130
120
110
100
90
80
70
60
50
40
30
20
10
1
0
1
2
3
4
5
6
7
8
α = 2
α = 8
Tamanho da mensagem
Escoreexigidocomoíndicedesimilaridade
nabuscaportweetssimilares
3. Agrupar por similaridade (cont.)
15
GrauSimilaridade = −
x×
160
× (1)
#Vírus novo vírusX está atacando computadores
através de falha no sistema operacional X
http://endereço1
GrauSimilaridade=1,58
#antiVirus atualização
GrauSimilaridade=2,05
#malware X ataca servidores com o sistema operacional Y através
de uma falha de estouro de pilha no servidor Web Z causando
DDoS http://endereço2 - GrauSimilaridade=0,93
16. 4. Gerar lista de tweets mais relevantes
Inicialmente, considerávamos importante um grupo com 10 ou
mais mensagens.
Problema: mensagens irrelevantes e spams.
Solução: considerar a quantidade de usuários que retransmitiram
a mensagem.
Pseudo algoritmo:
Agrupa por similaridade usando Apache Lucene
Seleciona grupos com 10 ou mais mensagens
Filtra os grupos considerando a quantidade de usuários que
retransmitiram a mensagem.
16
17. 5. Aumentar a visibilidade das mensagens
Critérios:
Número de usuários que postaram a mensagem.
Variação da frequência diária de palavras.
Ocorrência de palavras raras.
Aumento expressivo de mensagens no segundo dia.
Variação elevada de frequência de mensagens.
Propagação de 10 a 14 dias.
17
20. Análise dos Resultados:
Resultados com o uso de filtro (Alertas)
20
Mês Trecho da mensagem
Mai Microsoft boots Chinese firm for leaking Windows exploit..
Jun Scientists crack RSA SecurID 800 tokens steal cryptographic keys
Jul More malware found hosted in Google's official Android market
Ago ...MS-CHAPv2 puts hundreds of crypto apps at risk
Set Android security suffers as malware explodes by 700%
Out DSL modem hack used to infect millions with banking fraud
malware...
Nov New Linux rootkit injects mal HTML into Web servers
21. Análise dos Resultados:
Resultados com o uso de filtro (Não alertas)
21
Android has made malware for Linux a reality
...How Flame has changed everything for online security firms...
Serial hacker says latest Android will be "pretty hard" to exploit...
..Hacker Scores $60 000 From Google For Discovering Security
Issue In Chrome...
22. Avaliação dos Procedimentos:
Uso de filtros reduziu a base em cerca de 50% .
Propagação, número de dias e pico de mensagens viabilizam a
detecção de mensagens que não são spam.
Análise de frequência de palavras e palavras raras identificam
mensagens importantes e fora de contexto.
Listas de termos específicos em segurança podem ser usadas
para evidenciar alertas nas mensagens de segurança.
22
23. Sem filtro
junho
Com filtro
junho
Sem filtro
setembro
Com filtro
setembro
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Spam
Segurança
Avaliação das Questões de Pesquisa:
Q1 – É possível minimizar o impacto negativo das mensagens
que não são notificações de segurança computacional?
23
Figura 3. Comparação de resultados nos meses de junho e setembro.
24. Avaliação das Questões de Pesquisa:
Q2 – Dentre os inúmeros problemas de segurança postados em
redes sociais, é possível evidenciar quais são os problemas com
maior relevância e que estão sendo mais comentados neste tipo
de ambiente?
24
junho setembro
0
10
20
30
40
50
60
70
não alertas
alertas
%
25. 25
Conclusões:
Em nossos experimentos verificamos que:
92% das mensagens abordam segurança computacional.
Mais de 50% das mensagens representam alertas.
O método produz bons resultados em recuperar notícias
associadas a segurança em redes.
Dificuldade de evidenciar mensagens pouco citadas como
alertas relevantes.
26. 26
Trabalhos Futuros:
Uso de aprendizagem supervisionada para a classificação.
Otimização e automatização dos métodos de filtragem.
Desenvolvimento de software para processar fluxos contínuos
de mensagens de redes sociais.
Mecanismo de recomendação de alertas para viabilizar a
colaboração entre administradores de rede.
27. 27
Luiz Arthur F. Santos
luizsantos@utfpr.edu.br
Rodrigo Campiolo
rcampiolo@utfpr.edu.br
Daniel Macêdo Batista
batista@ime.usp.br
Marco Aurélio Gerosa
gerosa@ime.usp.br
Obrigado!
Perguntas?