Modelo de clasificación de indicadores de compromiso de malware para asistencia en procesos de análisis de amenazas
Cargando...
Autores
Director
Tipo de contenido
Editor
Document language:
Español
Fecha
Título de la revista
ISSN de la revista
Título del volumen
Documentos PDF
Resumen
El análisis de red en ciberseguridad implica la revisión continua de las alertas generadas por diferentes herramientas perimetrales en la infraestructura. El objetivo es evitar que amenazas como el malware generado por atacantes, comprometan el sistema; la cantidad de detecciones que se pueden generar tiende a ser superior a la capacidad de operación de los equipos. Es por esto que resulta de utilidad validar si los eventos son falsos positivos, o amenazas reales.
En este trabajo se diseña un modelo de aprendizaje automático con el objetivo de optimizar el análisis de red en ciberseguridad mediante la clasificación de indicadores de compromiso (IOC) de distribución de malware frente a falsos positivos. La validación de eventos requiere identificar IOC activos para prevenir el compromiso de la integridad, confidencialidad y disponibilidad de la información. El estudio se centra en características de red generadas a partir de una colección de dominios/IPs clasificados por analistas de amenazas y enriquecidos con información tanto privada, como de fuentes externas.
Se llevó a cabo un análisis exploratorio de datos y un proceso de entrenamiento de 15 modelos de clasificación. Luego, sobre los tres modelos con mejor desempeño, se realizó una optimización de hiperparámetros; el modelo final obtenido demuestra una exactitud superior al 80% y una tasa de recuperación (recall) cercana al 90% en la detección de IOCs de distribución de malware. (Texto tomado de la fuente)
Abstract
Network analysis in cybersecurity requires the continuous review of alerts generated by the perimetral tools. The objective of this is to prevent threats generated by attackers, such as malware, ever compromising the system; the amount of detections commonly generated tend to be superior to the operationalized capabilities of the teams. This is why it becomes useful to verify whether an event is a false positive or a real threat.
This work designs a machine learning model with the goal of optimizing the network analysis through Indicators of compromise (IOC) discrimination, from malware distribution to false positives. Event validation requires a proper identification of active IOCs to prevent the compromise of confidentiality, integrity and availability of the information. This study is centered on network features generated through a collection of domains/IP addresses manually curated by cyber threat intel analysts and enriched with private and OSINT data.
EDA was performed, and then 15 classification models were trained. Then, the top 3 performers were selected for hyper-parameter optimization; the final model displays over 80% accuracy and close to 90% recall in the detection of active IOCs distributing malware.
Palabras clave propuestas
Indicador de Compromiso (IOC); Malware; Ciberseguridad; Fatiga de alertas; Priorización de eventos; Análisis Exploratorio de Datos (EDA); Bosque Aleatorio; Gradient Boosting; Falso positivo; P-valor; Indicator of Compromise (IOC); Cybersecurity; Alert fatigue; Event Prioritization; Exploratory Data Analysis (EDA); Random Forest Classifier; Gradient Boosting Classifier; False positive; P-value
Descripción
ilustraciones a color, diagramas