用于检测网络安全事件的访问日志分类器

IF 0.4 Q4 ENGINEERING, MULTIDISCIPLINARY Memoria Investigaciones en Ingenieria Pub Date : 2020-06-06 DOI:10.36561/ing.18.7
Miguel Pérez del Castillo, Gastón Rial, R. Sotelo, Máximo Gurméndez
{"title":"用于检测网络安全事件的访问日志分类器","authors":"Miguel Pérez del Castillo, Gastón Rial, R. Sotelo, Máximo Gurméndez","doi":"10.36561/ing.18.7","DOIUrl":null,"url":null,"abstract":"espanolRecientemente los sitios web de los gobiernos en el mundo han sido objeto de ataques informaticos. Por ello urge una solucion que asista a los analistas de ciberseguridad a detectar los incidentes con rapidez. Para optimizar el tiempo de deteccion en el proyecto se desarrollo un clasificador que filtre lineas de logs de servidores web en formato CLF (Combined Log Format) que indican comportamiento anomalo. Para ello, se codifican los logs de acceso en representacion vectorial y luego se usa el algoritmo de aprendizaje automatico K-NN ponderado (K vecinos mas proximos) para filtrar los logs. Los datos de entrada fueron provistos por el CERTuy (Equipo de Respuesta ante Emergencias Informaticas) y el SOC (Centro de Operaciones de Seguridad). De las pruebas realizadas sobre el servicio de clasificacion, se detecto el 82% de ofensas de ciberseguridad de un conjunto de datos asociado, se logro filtrar el 80% de logs que indican comportamiento normal y se disminuyo el tiempo de deteccion de logs que indican comportamiento anomalo de 13 horas a 15 minutos. EnglishThe number of attacks on government websites has escalated in the last years. In order to assist in the detection process conducted by cybersecurity analysts, this document suggests implementing machine learning techniques over web server access logs. The overall objective is to optimize the detection time using a customized classifier which selects traces corresponding to anomalous activity. Specifically, web server combined log format (CLF) access logs coded as real vectors are an input to a weighted K-NN nearest neighbors’ model. The methodology was tested on datasets and premises provided by the CERTuy (National Cybersecurity Event Response Team) and the SOC (Security Operations Center). According to evaluations 82% of cybersecurity offenses have been detected, 80% of normal behavior has been filtered and the reduction time has been reduced from 13 hours to 15 minutes.","PeriodicalId":42925,"journal":{"name":"Memoria Investigaciones en Ingenieria","volume":null,"pages":null},"PeriodicalIF":0.4000,"publicationDate":"2020-06-06","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":"{\"title\":\"Clasificador de logs de acceso para detección de incidentes de ciberseguridad\",\"authors\":\"Miguel Pérez del Castillo, Gastón Rial, R. Sotelo, Máximo Gurméndez\",\"doi\":\"10.36561/ing.18.7\",\"DOIUrl\":null,\"url\":null,\"abstract\":\"espanolRecientemente los sitios web de los gobiernos en el mundo han sido objeto de ataques informaticos. Por ello urge una solucion que asista a los analistas de ciberseguridad a detectar los incidentes con rapidez. Para optimizar el tiempo de deteccion en el proyecto se desarrollo un clasificador que filtre lineas de logs de servidores web en formato CLF (Combined Log Format) que indican comportamiento anomalo. Para ello, se codifican los logs de acceso en representacion vectorial y luego se usa el algoritmo de aprendizaje automatico K-NN ponderado (K vecinos mas proximos) para filtrar los logs. Los datos de entrada fueron provistos por el CERTuy (Equipo de Respuesta ante Emergencias Informaticas) y el SOC (Centro de Operaciones de Seguridad). De las pruebas realizadas sobre el servicio de clasificacion, se detecto el 82% de ofensas de ciberseguridad de un conjunto de datos asociado, se logro filtrar el 80% de logs que indican comportamiento normal y se disminuyo el tiempo de deteccion de logs que indican comportamiento anomalo de 13 horas a 15 minutos. EnglishThe number of attacks on government websites has escalated in the last years. In order to assist in the detection process conducted by cybersecurity analysts, this document suggests implementing machine learning techniques over web server access logs. The overall objective is to optimize the detection time using a customized classifier which selects traces corresponding to anomalous activity. Specifically, web server combined log format (CLF) access logs coded as real vectors are an input to a weighted K-NN nearest neighbors’ model. The methodology was tested on datasets and premises provided by the CERTuy (National Cybersecurity Event Response Team) and the SOC (Security Operations Center). According to evaluations 82% of cybersecurity offenses have been detected, 80% of normal behavior has been filtered and the reduction time has been reduced from 13 hours to 15 minutes.\",\"PeriodicalId\":42925,\"journal\":{\"name\":\"Memoria Investigaciones en Ingenieria\",\"volume\":null,\"pages\":null},\"PeriodicalIF\":0.4000,\"publicationDate\":\"2020-06-06\",\"publicationTypes\":\"Journal Article\",\"fieldsOfStudy\":null,\"isOpenAccess\":false,\"openAccessPdf\":\"\",\"citationCount\":\"0\",\"resultStr\":null,\"platform\":\"Semanticscholar\",\"paperid\":null,\"PeriodicalName\":\"Memoria Investigaciones en Ingenieria\",\"FirstCategoryId\":\"1085\",\"ListUrlMain\":\"https://doi.org/10.36561/ing.18.7\",\"RegionNum\":0,\"RegionCategory\":null,\"ArticlePicture\":[],\"TitleCN\":null,\"AbstractTextCN\":null,\"PMCID\":null,\"EPubDate\":\"\",\"PubModel\":\"\",\"JCR\":\"Q4\",\"JCRName\":\"ENGINEERING, MULTIDISCIPLINARY\",\"Score\":null,\"Total\":0}","platform":"Semanticscholar","paperid":null,"PeriodicalName":"Memoria Investigaciones en Ingenieria","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.36561/ing.18.7","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"Q4","JCRName":"ENGINEERING, MULTIDISCIPLINARY","Score":null,"Total":0}
引用次数: 0

摘要

最近,世界各地的政府网站都受到了网络攻击。因此,迫切需要一个解决方案,帮助网络安全分析师快速检测事件。为了优化项目中的检测时间,我们开发了一个分类器,该分类器以CLF(组合日志格式)格式过滤显示异常行为的web服务器日志行。为此,我们将访问日志编码为向量表示,然后使用加权K- nn机器学习算法(K个最近的邻居)过滤日志。输入数据由CERTuy(计算机紧急响应小组)和SOC(安全操作中心)提供。clasificacion检测服务,拾起了82%的网络安全犯罪相关联的一组数据显示,80%实现过滤logs正常行为和disminuyo时间成为logs表示anomalo行为13小时15分钟。在过去的几年里,针对政府网站的攻击数量有所增加。为了协助网络安全分析师进行的检测过程,本文建议通过web服务器访问日志实现机器学习技术。总体目标是优化检测时间,使用定制分类器选择与异常活动相对应的轨迹。为此,web server logs combined log format (CLF) access coded as real载体are an input to a weighted K-NN nearest在“model。该方法在CERTuy(国家网络安全事件响应小组)和SOC(安全行动中心)提供的数据集和设施上进行了测试。根据评估,82%的网络安全犯罪被发现,80%的正常行为被过滤,减少时间从13小时减少到15分钟。
本文章由计算机程序翻译,如有差异,请以英文原文为准。
查看原文
分享 分享
微信好友 朋友圈 QQ好友 复制链接
本刊更多论文
Clasificador de logs de acceso para detección de incidentes de ciberseguridad
espanolRecientemente los sitios web de los gobiernos en el mundo han sido objeto de ataques informaticos. Por ello urge una solucion que asista a los analistas de ciberseguridad a detectar los incidentes con rapidez. Para optimizar el tiempo de deteccion en el proyecto se desarrollo un clasificador que filtre lineas de logs de servidores web en formato CLF (Combined Log Format) que indican comportamiento anomalo. Para ello, se codifican los logs de acceso en representacion vectorial y luego se usa el algoritmo de aprendizaje automatico K-NN ponderado (K vecinos mas proximos) para filtrar los logs. Los datos de entrada fueron provistos por el CERTuy (Equipo de Respuesta ante Emergencias Informaticas) y el SOC (Centro de Operaciones de Seguridad). De las pruebas realizadas sobre el servicio de clasificacion, se detecto el 82% de ofensas de ciberseguridad de un conjunto de datos asociado, se logro filtrar el 80% de logs que indican comportamiento normal y se disminuyo el tiempo de deteccion de logs que indican comportamiento anomalo de 13 horas a 15 minutos. EnglishThe number of attacks on government websites has escalated in the last years. In order to assist in the detection process conducted by cybersecurity analysts, this document suggests implementing machine learning techniques over web server access logs. The overall objective is to optimize the detection time using a customized classifier which selects traces corresponding to anomalous activity. Specifically, web server combined log format (CLF) access logs coded as real vectors are an input to a weighted K-NN nearest neighbors’ model. The methodology was tested on datasets and premises provided by the CERTuy (National Cybersecurity Event Response Team) and the SOC (Security Operations Center). According to evaluations 82% of cybersecurity offenses have been detected, 80% of normal behavior has been filtered and the reduction time has been reduced from 13 hours to 15 minutes.
求助全文
通过发布文献求助,成功后即可免费获取论文全文。 去求助
来源期刊
Memoria Investigaciones en Ingenieria
Memoria Investigaciones en Ingenieria ENGINEERING, MULTIDISCIPLINARY-
自引率
0.00%
发文量
6
审稿时长
16 weeks
期刊最新文献
Desarrollo de Sistema de Aislamiento Sísmico de Bajo Costo para Viviendas de Albañilería de 01 a 02 niveles Estrés abiótico en clima neotropical influencia la producción de pigmentos, capacidad antioxidante y expresión de desórdenes fisiológicos en manzanas Un Análisis Basado en Modelos de las Propiedades de Seguridad de Mimblewimble y las Implementaciones del Protocolo En defensa de una arquitectura extrema centrada en la base de datos Sobre la especificación y verificación del patrón de programación paralela PCR en TLA+
×
引用
GB/T 7714-2015
复制
MLA
复制
APA
复制
导出至
BibTeX EndNote RefMan NoteFirst NoteExpress
×
×
提示
您的信息不完整,为了账户安全,请先补充。
现在去补充
×
提示
您因"违规操作"
具体请查看互助需知
我知道了
×
提示
现在去查看 取消
×
提示
确定
0
微信
客服QQ
Book学术公众号 扫码关注我们
反馈
×
意见反馈
请填写您的意见或建议
请填写您的手机或邮箱
已复制链接
已复制链接
快去分享给好友吧!
我知道了
×
扫码分享
扫码分享
Book学术官方微信
Book学术文献互助
Book学术文献互助群
群 号:481959085
Book学术
文献互助 智能选刊 最新文献 互助须知 联系我们:info@booksci.cn
Book学术提供免费学术资源搜索服务,方便国内外学者检索中英文文献。致力于提供最便捷和优质的服务体验。
Copyright © 2023 Book学术 All rights reserved.
ghs 京公网安备 11010802042870号 京ICP备2023020795号-1