UGRansome1819: Un Conjunto de Datos Novel para la Detección de Anomalías y Amenazas de Día Cero
Autores: Nkongolo, Mike; van Deventer, Jacobus Philippus; Kasongo, Sydney Mambwe
Idioma: Inglés
Editor: MDPI
Año: 2021
Acceso abierto
Artículo científico
2021
UGRansome1819: Un Conjunto de Datos Novel para la Detección de Anomalías y Amenazas de Día Cero
Categoría
Gestión y administración
Subcategoría
Gestión de la tecnología y la inovación
Palabras clave
Investigación
Conjunto de datos de detección de anomalías
UGRansome
Tráfico de red
Ataques de día cero
Algoritmos de aprendizaje en conjunto
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 1
Citaciones: Sin citaciones
Esta investigación intenta introducir la metodología de producción de un conjunto de datos de detección de anomalías utilizando diez requisitos deseables. Posteriormente, el artículo presenta el conjunto de datos producido llamado UGRansome, creado con tráfico de red (netflow) actualizado y moderno, que representa patrones cíclicos de clases normales y anormales de comportamientos amenazantes. Se descubrió que la marca de tiempo de varios ataques de red es inferior a un minuto y este patrón de características se utilizó para registrar el tiempo que tarda la amenaza en infiltrarse en un nodo de red. El principal activo del conjunto de datos propuesto es su implicación en la detección de ataques de día cero y anomalías que no han sido exploradas antes y que no pueden ser reconocidas por firmas de amenazas conocidas. Por ejemplo, se ha encontrado que el ataque UDP Scan utiliza el netflow más bajo en el corpus, mientras que el Razy utiliza el más alto. A su vez, el malware EDA2 y Globe son las amenazas de día cero más anormales en el conjunto de datos propuesto. Estos patrones de características están incluidos en el corpus, pero derivados de dos conjuntos de datos bien conocidos, a saber, UGR"16 y ransomware que incluyen instancias de la vida real. El primero incorpora patrones cíclicos mientras que el segundo incluye características de ransomware. El conjunto de datos UGRansome fue probado con validación cruzada y comparado con los conjuntos de datos KDD99 y NSL-KDD para evaluar el rendimiento de los algoritmos de Aprendizaje por Conjuntos. Las falsas alarmas se han minimizado con un error empírico nulo durante el experimento, lo que demuestra que la implementación del algoritmo Random Forest aplicado a UGRansome puede facilitar resultados precisos para mejorar la detección de amenazas de día cero. Además, la mayoría de las amenazas de día cero como Razy, Globe, EDA2 y TowerWeb son reconocidas como amenazas persistentes avanzadas que son cíclicas por naturaleza y se predice que utilizarán spam y phishing para la intrusión. Por último, se encontró que lograr el equilibrio de UGRansome es NP-Difícil debido a las clases amenazantes de la vida real que no tienen una distribución uniforme en términos de varias instancias.
Descripción
Esta investigación intenta introducir la metodología de producción de un conjunto de datos de detección de anomalías utilizando diez requisitos deseables. Posteriormente, el artículo presenta el conjunto de datos producido llamado UGRansome, creado con tráfico de red (netflow) actualizado y moderno, que representa patrones cíclicos de clases normales y anormales de comportamientos amenazantes. Se descubrió que la marca de tiempo de varios ataques de red es inferior a un minuto y este patrón de características se utilizó para registrar el tiempo que tarda la amenaza en infiltrarse en un nodo de red. El principal activo del conjunto de datos propuesto es su implicación en la detección de ataques de día cero y anomalías que no han sido exploradas antes y que no pueden ser reconocidas por firmas de amenazas conocidas. Por ejemplo, se ha encontrado que el ataque UDP Scan utiliza el netflow más bajo en el corpus, mientras que el Razy utiliza el más alto. A su vez, el malware EDA2 y Globe son las amenazas de día cero más anormales en el conjunto de datos propuesto. Estos patrones de características están incluidos en el corpus, pero derivados de dos conjuntos de datos bien conocidos, a saber, UGR"16 y ransomware que incluyen instancias de la vida real. El primero incorpora patrones cíclicos mientras que el segundo incluye características de ransomware. El conjunto de datos UGRansome fue probado con validación cruzada y comparado con los conjuntos de datos KDD99 y NSL-KDD para evaluar el rendimiento de los algoritmos de Aprendizaje por Conjuntos. Las falsas alarmas se han minimizado con un error empírico nulo durante el experimento, lo que demuestra que la implementación del algoritmo Random Forest aplicado a UGRansome puede facilitar resultados precisos para mejorar la detección de amenazas de día cero. Además, la mayoría de las amenazas de día cero como Razy, Globe, EDA2 y TowerWeb son reconocidas como amenazas persistentes avanzadas que son cíclicas por naturaleza y se predice que utilizarán spam y phishing para la intrusión. Por último, se encontró que lograr el equilibrio de UGRansome es NP-Difícil debido a las clases amenazantes de la vida real que no tienen una distribución uniforme en términos de varias instancias.