Clasificador de logs de acceso para detección de incidentes de ciberseguridad

Palabras clave Filtrado, Respuesta de ciberseguridad, CLF, Aprendizaje automático

Resumen

Recientemente los sitios web de los gobiernos en el mundo han sido objeto de ataques informáticos. Por ello urge una solución que asista a los analistas de ciberseguridad a detectar los incidentes con rapidez. Para optimizar el tiempo de detección en el proyecto se desarrolló un clasificador que filtre líneas de logs de servidores web en formato CLF (Combined Log Format) que indican comportamiento anómalo. Para ello, se codifican los logs de acceso en representación vectorial y luego se usa el algoritmo de aprendizaje automático K-NN ponderado (K vecinos más próximos) para filtrar los logs. Los datos de entrada fueron provistos por el CERTuy (Equipo de Respuesta ante Emergencias Informáticas) y el SOC (Centro de Operaciones de Seguridad). De las pruebas realizadas sobre el servicio de clasificación, se detectó el 82% de ofensas de ciberseguridad de un conjunto de datos asociado, se logró filtrar el 80% de logs que indican comportamiento normal y se disminuyó el tiempo de detección de logs que indican comportamiento anómalo de 13 horas a 15 minutos.

Descargas

La descarga de datos todavía no está disponible.

Citas

E. Skoudis and T. Liston, Counter hack reloaded: a step-by-step guide to computer attacks and effective defenses. Stoughton, Massachusetts, EEUU: Prentice Hall Press, 2005.

S. Zhang, B. Li, J. Li, M. Zhang and Y. Chen, "A novel anomaly detection approach for mitigating web-based attacks against clouds," in IEEE 2nd International Conference on Cyber Security and Cloud Computing, New York, 2015, pp. 289-2942. [Online], Available: http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=7371496&isnumber=7371418

C. Bertero, M. Roy, C. Sauvanaud, and G. Trédan, “Experience report: log mining using natural language processing and application to anomaly detection,” in 28th International Symposium on Software Reliability Engineering, Toulouse, 2017. [Online], Available: https://hal.laas.fr/hal-01576291/document

A. Tuor, S. Kaplan, B. Hutchinson, N. Nichols, and S. Robinson, Deep learning for unsupervised insider threat detection in structured cybersecurity data streams. Ithaca, Nueva York: Universidad de Cornell, 2017. [Online], Available: https://arxiv.org/abs/1710.00811

Z. Ming, X. Boyi, B. Shuai, L. Shuaibing, L. Zhechao, L. Derong, X. Shengli, L. Yuanqing, and Z. Dongbin, “A deep learning method to detect web attacks using a specially designed CNN”, Neural Information Processing, International Conference on Neural Information Processing, Lecture Notes in Computer Science, vol. 10638, pp. 828-836, 2017.

Z. Liu, T. Qin, X. Guan, H. Jiang and C. Wang, "An integrated method for anomaly detection from massive system logs," IEEE Access, vol. 6, pp. 30602-30611, 2018.

Publicado
2020-06-29
Cómo citar
[1]
M. Pérez del Castillo, G. Rial, R. Sotelo, y M. Gurméndez, Clasificador de logs de acceso para detección de incidentes de ciberseguridad, ingenieria, n.º 18, pp. 47-52, jun. 2020.
Palabras clave: Filtrado, Respuesta de ciberseguridad, CLF, Aprendizaje automático