Enriquecimento de Base de Dorks Com Processamento de Linguagem Natural / Dorks Base Enrichment With Natural Language Processing

João Rafael Gonçalves Evangelista, Ellen Martins Lopes da Silva, Renato José Sassi

Abstract


Na era digital, a informação é um dos principais ativos de uma organização, tornando-se um diferencial competitivo. Para proteger a informação, a segurança da informação dispõe de práticas para encontrar vulnerabilidades onde a informação está armazenada. Uma prática utilizada para encontrar vulnerabilidade em páginas web é o Google Hacking. O Google Hacking é uma prática de segurança da informação que utiliza dorks, strings de busca com adição ou não de operadores avançados do google. Encontra-se disponível na internet o Google Hacking Database, uma base de dados da organização Offensive Security contendo dorks testadas e validadas. Apesar da grande quantidade de dorks disponível na base, a base possui poucos atributos, fazendo-se necessário que quem a utilize, possua conhecimento prévio. Um modo de enriquecer esta base de dorks é utilizando técnicas de processamento de linguagem natural, subárea da inteligência artificial responsável por compreender, produzir e interpretar conteúdo em linguagem humana. Diante deste cenário, o objetivo deste trabalho enriquecer base de dorks com processamento de linguagem natural no apoio em testes de segurança da informação. Como metodologia, utilizou-se pesquisa experimental com abordagem quantitativa. Os resultados mostram que o processamento de linguagem natural pode ser utilizado para enriquecer uma base de dorks.


Keywords


Processamento de Linguagem Natural, Google Hacking, Google Hacking Database, Dorks, Python.

References


AGGARWAL, Shivam; KUMAR, Vishal; SUDARSAN, S. D. Identification and detection of phishing emails using natural language processing techniques. In: Proceedings of the 7th International Conference on Security of Information and Networks. ACM, p. 217. 2014. https://doi.org/10.1145/2659651.2659691.

DOBROVOLJC, Andrej; TRČEK, Denis; LIKAR, Borut. Predicting Exploitations of Information Systems Vulnerabilities Through Attackers’ Characteristics. IEEE Access, p. 26063-26075, 2017. https://doi.org/10.1109/ACCESS.2017.2769063.

FAN, Youping; LI, Jingjiao; ZHANG, Dai. A Method for Identifying Critical Elements of a Cyber-Physical System Under Data Attack. IEEE Access, v. 6, p. 16972-16984, 2018. https://doi.org/10.1109/ACCESS.2018.2812812.

GIL, Antônio Carlos. Métodos e técnicas de pesquisa social. 6. ed. Ediitora Atlas SA, 2008.

HAN, Xu; KWOH, Chee K. Natural Language Processing Approaches in Bioinformatics. Encyclopedia of Bioinformatics and Computational Biology. v. 1. p. 561-574. 2019. https://doi.org/10.1016/B978-0-12-809633-8.20463-9.

HAQAF, Husam; KOYUNCU, Murat. Understanding key skills for information security managers. Interna-tional Journal of Information Management, v. 43, p. 165-172, 2018. https://doi.org/10.1016/j.ijinfo-mgt.2018.07.013.

ISO, ABNT NBR. IEC 17799: 2005: Tecnologia da informação–Técnicas de segurança–Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2006.

LIU, Yixian; MU, Dejun. A Network Security Situation Awareness Model Based on Risk Assessment. In: The Euro-China Conference on Intelligent Data Analysis and Applications. Springer. p. 17-24. 2018. https://doi.org/10.1007/978-3-030-03766-6_3.

LY, Pham Thi Minh; LAI, Wen-Hsiang; HSU, Chiung-Wen; SHIH, Fang-Yin. Fuzzy AHP analysis of Internet of Things (IoT) in enterprises. Technological Forecasting and Social Change, v. 136, p. 1-13, 2018. https://doi.org/10.1016/j.techfore.2018.08.016.

MANSFIELD-DEVINE, Steve. Taking responsibility for security. Computer Fraud & Security, v. 2015, n. 12, p. 15-18, 2015. https://doi.org/10.1016/S1361-3723(15)30112-3.

MUNIR, Rashid; MUFTI, Muhammad Rafiq; AWAN, Irfan; HU, Yim Fun; DISSO, Jules Pagna. Detection, mitigation and quantitative security risk assessment of invisible attacks at enterprise network. In: 2015 3rd International Conference on Future Internet of Things and Cloud. IEEE, p. 256-263. 2015. https://doi.org/10.1109/FiCloud.2015.24.

NAARTTIJÄRVI, Markus. Balancing data protection and privacy–The case of information security sensor systems. Computer Law & Security Review, v. 34, p. 1019-1038. 2018. https://doi.org/10.1016/j.clsr.2018.04.006.

PAN, Daoxin; BAI, Wei; ZHANG, Siyu; ZOU, Futai. Detecting Malicious Queries from Search Engine Trae-fic. In: 2012 8th International Conference on Wireless Communications, Networking and Mobile Computing. IEEE, p. 1-4. 2012. https://doi.org/10.1109/WiCOM.2012.6478492.

ROY, Ahana; MEIJA, Louis; HELLING, Paul; OLMSTED, Aspen. Automation of cyber-reconnaissance: A Java-based open source tool for information gathering. In: ICITST - International Conference for Internet Technology and Secured Transactions. p. 424-426. 2017. https://doi.org/10.23919/ICITST.2017.8356437.

SUN, Shiliang; LUO, Chen; CHEN, Junyu. A review of natural language processing techniques for opinion mining systems. Information Fusion, v. 36, p. 10-25, 2017. https://doi.org/10.1016/j.inffus.2016.10.004.

YOU, Wei; ZONG, Peiyuan; CHEN; Kai, WANG, XiaoFeng; LIAO, Xiaojing; BIAN, Pan; LIANG, Bin. Sem-Fuzz: Semantics-based Automatic Generation of Proof-of-Concept Exploits. In: Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security. ACM, p. 2139-2154. 2017.

ZEROUAL, Imad; LAKHOUAJA, Abdelhak. Data science in light of natural language processing: An over-view. Procedia Computer Science, v. 127, p. 82-91, 2018. https://doi.org/10.1016/j.procs.2018.01.101.




DOI: https://doi.org/10.34117/bjdv6n3-085

Refbacks

  • There are currently no refbacks.