Conocimiento experto y minería de datos sobre reportes de firewall aplicado a la detección de Amenazas Persistentes Avanzadas

Resum

En este trabajo se propone una metodología basada en conocimiento experto para construir un sistema inteligente capaz de detectar comportamientos anómalos y clasificar, en su caso, Amenazas Persistentes Avanzadas (APTs). Un experto puede intuir si existe peligro real para una infraestructura TIC a partir de la información contenida en los registros de log del firewall que controla su tráfico de entrada/salida. Este conocimiento experto se puede modelar, y con la ayuda de minería de datos y de sistemas de aprendizaje automático se puede construir una herramienta capaz de identificar tráfico malicioso. Para seleccionar el sistema de aprendizaje automático más adecuado, la información de tráfico real se ha completado con datos sintéticos, a fin de representar diferentes proporciones de actividad anómala en el conjunto de datos de tráfico. Esta metodología se ha aplicado a un entorno de tráfico real, y el sistema inteligente desarrollado muestra unas tasas de comportamiento aceptables en la detección de ataques por APT.