Modelo de clasificación de indicadores de compromiso de malware para asistencia en procesos de análisis de amenazas

Miniatura

Archivos

Tesis de Maestría en Ingeniería de Sistemas y Computación (1.97 MB)

Autores

Director

Camargo Mendoza, Jorge Eliecer

Tipo de contenido

Trabajo de grado - Maestría

Editor

Document language:

Español

Fecha

2025

Título de la revista

ISSN de la revista

Título del volumen

Documentos PDF

Resumen

El análisis de red en ciberseguridad implica la revisión continua de las alertas generadas por diferentes herramientas perimetrales en la infraestructura. El objetivo es evitar que amenazas como el malware generado por atacantes, comprometan el sistema; la cantidad de detecciones que se pueden generar tiende a ser superior a la capacidad de operación de los equipos. Es por esto que resulta de utilidad validar si los eventos son falsos positivos, o amenazas reales. En este trabajo se diseña un modelo de aprendizaje automático con el objetivo de optimizar el análisis de red en ciberseguridad mediante la clasificación de indicadores de compromiso (IOC) de distribución de malware frente a falsos positivos. La validación de eventos requiere identificar IOC activos para prevenir el compromiso de la integridad, confidencialidad y disponibilidad de la información. El estudio se centra en características de red generadas a partir de una colección de dominios/IPs clasificados por analistas de amenazas y enriquecidos con información tanto privada, como de fuentes externas. Se llevó a cabo un análisis exploratorio de datos y un proceso de entrenamiento de 15 modelos de clasificación. Luego, sobre los tres modelos con mejor desempeño, se realizó una optimización de hiperparámetros; el modelo final obtenido demuestra una exactitud superior al 80% y una tasa de recuperación (recall) cercana al 90% en la detección de IOCs de distribución de malware. (Texto tomado de la fuente)

Abstract

Network analysis in cybersecurity requires the continuous review of alerts generated by the perimetral tools. The objective of this is to prevent threats generated by attackers, such as malware, ever compromising the system; the amount of detections commonly generated tend to be superior to the operationalized capabilities of the teams. This is why it becomes useful to verify whether an event is a false positive or a real threat. This work designs a machine learning model with the goal of optimizing the network analysis through Indicators of compromise (IOC) discrimination, from malware distribution to false positives. Event validation requires a proper identification of active IOCs to prevent the compromise of confidentiality, integrity and availability of the information. This study is centered on network features generated through a collection of domains/IP addresses manually curated by cyber threat intel analysts and enriched with private and OSINT data. EDA was performed, and then 15 classification models were trained. Then, the top 3 performers were selected for hyper-parameter optimization; the final model displays over 80% accuracy and close to 90% recall in the detection of active IOCs distributing malware.

Palabras clave propuestas

Indicador de Compromiso (IOC); Malware; Ciberseguridad; Fatiga de alertas; Priorización de eventos; Análisis Exploratorio de Datos (EDA); Bosque Aleatorio; Gradient Boosting; Falso positivo; P-valor; Indicator of Compromise (IOC); Cybersecurity; Alert fatigue; Event Prioritization; Exploratory Data Analysis (EDA); Random Forest Classifier; Gradient Boosting Classifier; False positive; P-value

Descripción

ilustraciones a color, diagramas

Palabras clave

Citación

URI

https://repositorio.unal.edu.co/handle/unal/89907

Colecciones

Maestría en Ingeniería - Sistemas y Computación