Use este identificador para citar ou linkar para este item: http://repositorio.utfpr.edu.br/jspui/handle/1/35492
Título: Modelo para análise de comportamento de usuário em computador pessoal utilizando aprendizado de máquina
Título(s) alternativo(s): Model for analysis of user behavior on a personal computer using machine learning
Autor(es): Sibirkin, Eder
Orientador(es): Góis, Lourival Aparecido de
Palavras-chave: Avaliação do comportamento
Aprendizado do computador
Computadores - Avaliação
Behavioral assessment
Machine learning
Computers - Valuation
Data do documento: 29-Ago-2024
Editor: Universidade Tecnológica Federal do Paraná
Câmpus: Ponta Grossa
Citação: SIBIRKIN, Eder. Modelo para análise de comportamento de usuário em computador pessoal utilizando aprendizado de máquina. 2024. Dissertação (Mestrado em Ciência da Computação) - Universidade Tecnológica Federal do Paraná, Ponta Grossa, 2024.
Resumo: Sistemas de detecção de intrusão são uma importante ferramenta de monitoramento para alertar os administradores para possíveis tentativas de invasão, seja para uso em ambientes de rede lógica ou simplesmente em um dispositivo local. Em alguns ambientes como o corporativo, educacional e ou financeiro, usuários legítimos podem querer buscar informações internas e com elas explorar brechas de segurança na tentativa de invadir um sistema ou uma rede de computadores, sejam eles motivados por simples curiosidade, descontentamento ou ainda para causar prejuízos. A proposta do trabalho é apresentar um modelo para análise de comportamento de usuário baseado em contas locais legítimas criadas no sistema operacional windows, que orientado por um conjunto das regras, técnicas e táticas de conhecimento global do MITRE | ATT&C, possam ajudar administradores de sistemas a entenderem melhor o comportamento destes usuários, através da coleta e da análise de eventos locais fornecidos pelo sistema operacional. O conjunto de dados do Laboratório de Los Alamos (hostEvents) fornece os logs das contas locais do windows para o ambiente de teste simulado preparado com características e configurações próximas ao ambiente real, tal como a utilização de eventos gerados pelo mesmo sistema operacional. Para a definição de comportamentos normais e anormais para uma conta local é utilizado uma base de dados chamada assinaturas, que conta com diversas linhas representando características comportamentais prédefinidas, sendo elas geradas pela técnica de combinação matemática. Além disso, os algoritmos de aprendizado de máquina Support Vector Machine (SVM), KNearest Neighbors (KNN) e Naive Bayes (NB) são utilizados para classificar os comportamentos normais e anormais das contas. A análise dos resultados demonstrou que o modelo proposto atendeu ao seu objetivo geral. Também verificou-se que os algoritmos utilizados no ambiente simulado obtiveram resultados satisfatórios, com destaque para o SVM que apresentou o melhor desempenho e a menor taxa de falsos positivos (FP) entre seus pares.
Abstract: Intrusion detection systems are an important monitoring tool to alert administrators to possible intrusion attempts, whether for use in logical network environments or simply on a local device. In some environments such as corporate, educational and/or financial environments, legitimate users may seek internal information and use it to exploit security breaches in an attempt to invade a system or computer network, whether motivated by simple curiosity, discontent or even to cause damage. The purpose of this paper is to present a model for analyzing user behavior based on legitimate local accounts created in the Windows operating system, which, guided by a set of rules, techniques and tactics from global knowledge of MITRE | ATT&C, can help system administrators better understand the behavior of these users, through the collection and analysis of local events provided by the operating system. The Los Alamos Laboratory dataset (hostEvents) provides the logs of local Windows accounts for the simulated test environment prepared with characteristics and configurations close to the real environment, such as the use of events generated by the same operating system. To define normal and abnormal behaviors for a local account, a database called signatures is used, which has several lines representing predefined behavioral characteristics, which are generated by the mathematical combination technique. In addition, the machine learning algorithms Support Vector Machine (SVM), K-Nearest Neighbors (KNN) and Naive Bayes (NB) are used to classify the normal and abnormal behaviors of the accounts. The analysis of the results demonstrated that the proposed model met its general objective. It was also found that the algorithms used in the simulated environment obtained satisfactory results, with emphasis on the SVM, which presented the best performance and the lowest false positive rate (FP) among its peers.
URI: http://repositorio.utfpr.edu.br/jspui/handle/1/35492
Aparece nas coleções:PG - Programa de Pós-Graduação em Ciência da Computação

Arquivos associados a este item:
Arquivo Descrição TamanhoFormato 
analisecomportamentousuario.pdf2,36 MBAdobe PDFThumbnail
Visualizar/Abrir


Este item está licenciada sob uma Licença Creative Commons Creative Commons