Detecção e modelagem de ameaças persistentes avançadas na fase de movimentação lateral: uma abordagem com process mining
Data
2025-03-20
Autores
Lattes da Autoria
Orientação Docente
Lattes da Orientação Docente
Título da Revista
ISSN da Revista
Título de Volume
Editor
Resumo
A crescente ameaça de ataques cibernéticos complexos tem exigido estratégias avançadas de defesa, especialmente na detecção precoce de atividades suspeitas em redes comprometidas. Com isso, Ameaças Persistentes Avançadas (APTs) representam um desafio significativo para a segurança cibernética, caracterizando-se por ataques sofisticados e direcionados. Este trabalho tem como objetivo investigar a movimentação lateral dentro de redes comprometidas, utilizando mineração de processos para detectar padrões suspeitos de comportamento. Para isso, foi configurado um ambiente experimental com máquinas virtuais simulando um ataque APT. Logs do sistema e do Wazuh registraram as atividades, possibilitando a extração de eventos relevantes para o presente estudo. A metodologia consiste na coleta de dados em dois cenários: uso normal e ataque, seguida pela aplicação de algoritmos de Process Mining, como AlphaMiner, através da biblioteca pm4py. Com isso, foi possível identificar diferenças estruturais entre os processos normais e aqueles manipulados pelo invasor, possibilitando a criação de indicadores de comprometimento (IoCs). Os resultados contribuem para a melhoria de mecanismos de detecção e resposta a APTs, auxiliando na proteção de redes corporativas contra ataques avançados.
Resumo outro idioma
The growing threat of complex cyberattacks has demanded advanced defense strategies, particularly for the early detection of suspicious activities in compromised networks. In this context, Advanced Persistent Threats (APTs) represent a significant cybersecurity challenge, characterized by sophisticated and targeted attacks. This study aims to investigate lateral movement within compromised networks using process mining to detect suspicious behavioral patterns. To achieve this, an experimental environment was set up with virtual machines simulating an APT attack. System logs and Wazuh recorded the activities, enabling the extraction of relevant events for this study. The methodology consists of data collection in two scenarios: normal usage and attack, followed by the application of Process Mining algorithms, such as AlphaMiner, using the pm4py library. This approach allowed for the identification of structural differences between normal processes and those manipulated by the attacker, enabling the creation of Indicators of Compromise (IoCs). The results contribute to improving detection and response mechanisms for APTs, aiding in the protection of corporate networks against advanced attacks.
Descrição
Referência
SILVA, Jonathas Felipe da. Detecção e modelagem de ameaças persistentes avançadas na fase de movimentação lateral: uma abordagem com process mining. 2025. 56 f. Trabalho de Conclusão de Curso (Bacharelado em Sistemas de Informação) – Departamento de Estatística e Informática, Universidade Federal Rural de Pernambuco, Recife, 2025.
Identificador dARK
Avaliação
Revisão
Suplementado Por
Referenciado Por
Licença Creative Commons
Exceto quando indicado de outra forma, a licença deste item é descrita como openAccess