Show simple item record

Customized access log classifier for cybersecurity incident detection

Clasificador de logs de acceso para detección de incidentes de ciberseguridad

dc.creatorPérez del Castillo, Miguel
dc.creatorRial, Gastón
dc.creatorSotelo, Rafael
dc.creatorGurméndez, Máximo
dc.date2020-06-29
dc.identifierhttp://revistas.um.edu.uy/index.php/ingenieria/article/view/602
dc.identifier10.36561/ING.18.7
dc.descriptionThe number of attacks on government websites has escalated in the last years. In order to assist in the detection process conducted by cybersecurity analysts, this document suggests implementing machine learning techniques over web server access logs. The overall objective is to optimize the detection time using a customized classifier which selects traces corresponding to anomalous activity. Specifically, web server combined log format (CLF) access logs coded as real vectors are an input to a weighted K-NN nearest neighbors’ model. The methodology was tested on datasets and premises provided by the CERTuy (National Cybersecurity Event Response Team) and the SOC (Security Operations Center). According to evaluations 82% of cybersecurity offenses have been detected, 80% of normal behavior has been filtered and the reduction time has been reduced from 13 hours to 15 minutes.en-US
dc.descriptionRecientemente los sitios web de los gobiernos en el mundo han sido objeto de ataques informáticos. Por ello urge una solución que asista a los analistas de ciberseguridad a detectar los incidentes con rapidez. Para optimizar el tiempo de detección en el proyecto se desarrolló un clasificador que filtre líneas de logs de servidores web en formato CLF (Combined Log Format) que indican comportamiento anómalo. Para ello, se codifican los logs de acceso en representación vectorial y luego se usa el algoritmo de aprendizaje automático K-NN ponderado (K vecinos más próximos) para filtrar los logs. Los datos de entrada fueron provistos por el CERTuy (Equipo de Respuesta ante Emergencias Informáticas) y el SOC (Centro de Operaciones de Seguridad). De las pruebas realizadas sobre el servicio de clasificación, se detectó el 82% de ofensas de ciberseguridad de un conjunto de datos asociado, se logró filtrar el 80% de logs que indican comportamiento normal y se disminuyó el tiempo de detección de logs que indican comportamiento anómalo de 13 horas a 15 minutos.es-ES
dc.formatapplication/pdf
dc.formattext/html
dc.languagespa
dc.publisherUniversidad de Montevideoes-ES
dc.relationhttp://revistas.um.edu.uy/index.php/ingenieria/article/view/602/697
dc.relationhttp://revistas.um.edu.uy/index.php/ingenieria/article/view/602/819
dc.rightsDerechos de autor 2020 Miguel Pérez del Castillo, Gastón Rial, Rafael Sotelo, M´´áximo Gurméndezes-ES
dc.sourceMemoria Investigaciones en Ingeniería; No. 18 (2020): Special Edition ANIU Awards; 47-52en-US
dc.sourceMemoria Investigaciones en Ingeniería; Núm. 18 (2020): Edición Especial Premios ANIU; 47-52es-ES
dc.sourceMemoria Investigaciones en Ingenieria; n. 18 (2020): Edición Especial Premios ANIU; 47-52pt-BR
dc.source2301-1106
dc.source2301-1092
dc.source10.36561/ING.18
dc.subjectFiltradoes-ES
dc.subjectRespuesta de ciberseguridades-ES
dc.subjectCLFes-ES
dc.subjectAprendizaje automáticoes-ES
dc.subjectFilteringen-US
dc.subjectCybersecurity responseen-US
dc.subjectCLFen-US
dc.subjectCachine learningen-US
dc.titleCustomized access log classifier for cybersecurity incident detectionen-US
dc.titleClasificador de logs de acceso para detección de incidentes de ciberseguridades-ES
dc.typeinfo:eu-repo/semantics/article
dc.typeinfo:eu-repo/semantics/publishedVersion
dc.typePeer reviewed articlesen-US
dc.typeArtículos evaluados por pareses-ES
dc.typeArtigos revistos por parespt-BR

Files in this item
FilesSizeFormatView

There are no files associated with this item.

This item appears in the following Collection(s)

Show simple item record