Conocimiento experto y minería de datos sobre reportes de firewall aplicado a la detección de Amenazas Persistentes Avanzadas

  1. Moya Vasco, Juan Ramón
Dirixida por:
  1. Ramón Ángel Fernández Díaz Director
  2. Miguel Carriegos Vieira Co-director

Universidade de defensa: Universidad de León

Fecha de defensa: 24 de novembro de 2017

Tribunal:
  1. Luis Panizo Alonso Presidente
  2. José Luis Calvo Rolle Secretario/a
  3. Juan Ángel Contreras Vas Vogal
Departamento:
  1. ING. MECÁNICA, INFORMÁTICA Y AEROESPACIAL

Tipo: Tese

Teseo: 521280 DIALNET lock_openBULERIA editor

Resumo

En este trabajo se propone una metodología basada en conocimiento experto para construir un sistema inteligente capaz de detectar comportamientos anómalos y clasificar, en su caso, Amenazas Persistentes Avanzadas (APTs). Un experto puede intuir si existe peligro real para una infraestructura TIC a partir de la información contenida en los registros de log del firewall que controla su tráfico de entrada/salida. Este conocimiento experto se puede modelar, y con la ayuda de minería de datos y de sistemas de aprendizaje automático se puede construir una herramienta capaz de identificar tráfico malicioso. Para seleccionar el sistema de aprendizaje automático más adecuado, la información de tráfico real se ha completado con datos sintéticos, a fin de representar diferentes proporciones de actividad anómala en el conjunto de datos de tráfico. Esta metodología se ha aplicado a un entorno de tráfico real, y el sistema inteligente desarrollado muestra unas tasas de comportamiento aceptables en la detección de ataques por APT.