A novel rule generator for intrusion detection based on frequent subgraph mining
Novedoso generador de reglas para la detección de intrusos basado en minería de subgrafo frecuentes
El desarrollo actual de las tecnologías ha impulsado el uso de servicios de telecomunicaciones. Este hecho implica un aumento en los volúmenes de datos generados en las empresas de telecomunicaciones. Dichos datos requieren ser procesados con el fin de detectar potenciales intrusos o fraudes. Las técnicas de evaluación regla son ampliamente utilizadas en estos contextos de aplicación por su alta efectividad sobre ataques conocidos. La incorporación de un generador automático de reglas en dichas técnicas, permite obtener reglas a partir de grandes volúmenes de datos, lo cual contribuye al trabajo de los analistas de información e incrementa la precisión durante la detección de intrusos. En este trabajo, se presenta un método de generación automática de reglas, que comprende una estrategia basada en el procesamiento de patrones extraídos de un conjunto de entrenamiento y la conformación de reglas de clasificación. Finalmente, nuestra propuesta es evaluada y comparada con respecto a otros clasificadores, alcanzando buenos resultados.
INTRODUCCIÓN
Los avances tecnológicos en las telecomunicaciones impulsan la creación de nuevos servicios que atraen a más usuarios, entre los que se encuentran los usuarios maliciosos conocidos como intrusos. Los intrusos ejecutan actividades no autorizadas utilizando los servicios de telecomunicaciones, causando pérdidas millonarias y dañando el prestigio de la empresa afectada. Los datos a analizar en los escenarios de detección de intrusos tienen características particulares; por ejemplo: alto volumen de instancias, alto número de características, sistemas bajo ataque (esto hace que los intrusos modifiquen sus ataques para evitar la detección), problema de categorización multiclase y los datos se generan a gran velocidad.
Existen varias técnicas de detección de intrusos [2]. Algunas de las técnicas más utilizadas se basan en la evaluación de reglas, la generación automática de reglas (ARG), la detección de anomalías, el análisis de redes sociales, las redes bayesianas, las redes neuronales o los sistemas híbridos. Estas técnicas pueden basarse en el enfoque supervisado [3] (requiere una colección de entrenamiento supervisado) o en el enfoque no supervisado [4] (no hay conocimiento a priori). Nuestra propuesta se basa en el enfoque supervisado.
La detección temprana de intrusiones reduce los daños a las empresas afectadas. La evaluación de reglas es una de las técnicas más utilizadas, ya que puede aplicarse en tiempo real, logrando una alta efectividad en comportamientos de intrusión ya conocidos.
Sin embargo, las técnicas basadas en la evaluación de reglas presentan algunos problemas. Uno de ellos es que el analista debe definir manualmente las reglas específicas para cada clase, lo cual es una tarea extremadamente compleja y que requiere mucho tiempo [19]. Otro problema es que no detectan los pequeños cambios en los datos [1], que podrían indicar la aparición de una actividad delictiva. Para resolver los problemas anteriores, se han propuesto varias técnicas basadas en ARG.
Recursos
-
Formatopdf
-
Idioma:inglés
-
Tamaño:611 kb