Clasificador de logs de acceso para detección de incidentes de ciberseguridad

Clasificador de logs de acceso para detección de incidentes de ciberseguridad

Recientemente los sitios web de los gobiernos en el mundo en han sido objeto de ataques informáticos. Por ello urge una solución que asista a los analistas de ciberseguridad a detectar los incidentes con rapidez. Para optimizar el tiempo de detección en el proyecto se desarrolló un clasificador que...

Full description

Bibliographic Details
Main Authors: Miguel Pérez del Castillo, Gastón Rial, Rafael Sotelo, M´´áximo Gurméndez
Format: Article
Language:English
Published: Universidad de Montevideo 2020-06-01
Series:Memoria Investigaciones en Ingeniería
Subjects:
Filtrado
Respuesta de ciberseguridad
CLF
Aprendizaje automático
Online Access:http://revistas.um.edu.uy/index.php/ingenieria/article/view/602
id doaj-c51b3b6ec19f4d01b3884e46c2b3a768
record_format Article
spelling doaj-c51b3b6ec19f4d01b3884e46c2b3a7682021-05-02T22:03:05ZengUniversidad de MontevideoMemoria Investigaciones en Ingeniería2301-10922301-11062020-06-0118Clasificador de logs de acceso para detección de incidentes de ciberseguridadMiguel Pérez del Castillo0Gastón Rial1Rafael Sotelo2M´´áximo Gurméndez3Universidad de Montevideo, UruguayUniversidad de Montevideo, UruguayUniversidad de Montevideo, UruguayUniversidad de Montevideo, Uruguay Recientemente los sitios web de los gobiernos en el mundo en han sido objeto de ataques informáticos. Por ello urge una solución que asista a los analistas de ciberseguridad a detectar los incidentes con rapidez. Para optimizar el tiempo de detección en el proyecto se desarrolló un clasificador que filtre líneas de logs de servidores web en formato CLF (Combined Log Format) que indican comportamiento anómalo. Para ello, se codifican los logs de acceso en representación vectorial y luego se usa el algoritmo de aprendizaje automático K-NN ponderado (K vecinos más próximos) para filtrar los logs. Los datos de entrada fueron provistos por el CERTuy (Equipo de Respuesta ante Emergencias Informáticas) y el SOC (Centro de Operaciones de Seguridad). De las pruebas realizadas sobre el servicio de clasificación, se detectó el 82% de ofensas de ciberseguridad de un conjunto de datos asociado, se logró filtrar el 80% de logs que indican comportamiento normal y se disminuyó el tiempo de detección de logs que indican comportamiento anómalo de 13 horas a 15 minutos. http://revistas.um.edu.uy/index.php/ingenieria/article/view/602FiltradoRespuesta de ciberseguridadCLFAprendizaje automático
collection DOAJ
language English
format Article
sources DOAJ
author Miguel Pérez del Castillo
Gastón Rial
Rafael Sotelo
M´´áximo Gurméndez
spellingShingle Miguel Pérez del Castillo
Gastón Rial
Rafael Sotelo
M´´áximo Gurméndez
Clasificador de logs de acceso para detección de incidentes de ciberseguridad
Memoria Investigaciones en Ingeniería
Filtrado
Respuesta de ciberseguridad
CLF
Aprendizaje automático
author_facet Miguel Pérez del Castillo
Gastón Rial
Rafael Sotelo
M´´áximo Gurméndez
author_sort Miguel Pérez del Castillo
title Clasificador de logs de acceso para detección de incidentes de ciberseguridad
title_short Clasificador de logs de acceso para detección de incidentes de ciberseguridad
title_full Clasificador de logs de acceso para detección de incidentes de ciberseguridad
title_fullStr Clasificador de logs de acceso para detección de incidentes de ciberseguridad
title_full_unstemmed Clasificador de logs de acceso para detección de incidentes de ciberseguridad
title_sort clasificador de logs de acceso para detección de incidentes de ciberseguridad
publisher Universidad de Montevideo
series Memoria Investigaciones en Ingeniería
issn 2301-1092
2301-1106
publishDate 2020-06-01
description Recientemente los sitios web de los gobiernos en el mundo en han sido objeto de ataques informáticos. Por ello urge una solución que asista a los analistas de ciberseguridad a detectar los incidentes con rapidez. Para optimizar el tiempo de detección en el proyecto se desarrolló un clasificador que filtre líneas de logs de servidores web en formato CLF (Combined Log Format) que indican comportamiento anómalo. Para ello, se codifican los logs de acceso en representación vectorial y luego se usa el algoritmo de aprendizaje automático K-NN ponderado (K vecinos más próximos) para filtrar los logs. Los datos de entrada fueron provistos por el CERTuy (Equipo de Respuesta ante Emergencias Informáticas) y el SOC (Centro de Operaciones de Seguridad). De las pruebas realizadas sobre el servicio de clasificación, se detectó el 82% de ofensas de ciberseguridad de un conjunto de datos asociado, se logró filtrar el 80% de logs que indican comportamiento normal y se disminuyó el tiempo de detección de logs que indican comportamiento anómalo de 13 horas a 15 minutos.
topic Filtrado
Respuesta de ciberseguridad
CLF
Aprendizaje automático
url http://revistas.um.edu.uy/index.php/ingenieria/article/view/602
work_keys_str_mv AT miguelperezdelcastillo clasificadordelogsdeaccesoparadetecciondeincidentesdeciberseguridad
AT gastonrial clasificadordelogsdeaccesoparadetecciondeincidentesdeciberseguridad
AT rafaelsotelo clasificadordelogsdeaccesoparadetecciondeincidentesdeciberseguridad
AT maximogurmendez clasificadordelogsdeaccesoparadetecciondeincidentesdeciberseguridad
_version_ 1721487134568742912

Similar Items