Customized access log classifier for cybersecurity incident detection
Clasificador de logs de acceso para detección de incidentes de ciberseguridad
| 2020 | |
|
Filtrado Respuesta de ciberseguridad CLF Aprendizaje automático Filtering Cybersecurity response CLF Cachine learning |
|
| Español | |
| Universidad de Montevideo | |
| REDUM | |
| http://revistas.um.edu.uy/index.php/ingenieria/article/view/602 | |
| Acceso abierto | |
| Atribución 4.0 Internacional |
| _version_ | 1807356689106599936 |
|---|---|
| author | Pérez del Castillo, Miguel |
| author2 | Rial, Gastón Sotelo, Rafael Gurméndez, Máximo |
| author2_role | author author author |
| author_facet | Pérez del Castillo, Miguel Rial, Gastón Sotelo, Rafael Gurméndez, Máximo |
| author_role | author |
| collection | REDUM |
| dc.creator.none.fl_str_mv | Pérez del Castillo, Miguel Rial, Gastón Sotelo, Rafael Gurméndez, Máximo |
| dc.date.none.fl_str_mv | 2020-06-29 |
| dc.description.en-US.fl_txt_mv | The number of attacks on government websites has escalated in the last years. In order to assist in the detection process conducted by cybersecurity analysts, this document suggests implementing machine learning techniques over web server access logs. The overall objective is to optimize the detection time using a customized classifier which selects traces corresponding to anomalous activity. Specifically, web server combined log format (CLF) access logs coded as real vectors are an input to a weighted K-NN nearest neighbors’ model. The methodology was tested on datasets and premises provided by the CERTuy (National Cybersecurity Event Response Team) and the SOC (Security Operations Center). According to evaluations 82% of cybersecurity offenses have been detected, 80% of normal behavior has been filtered and the reduction time has been reduced from 13 hours to 15 minutes. |
| dc.description.es-ES.fl_txt_mv | Recientemente los sitios web de los gobiernos en el mundo han sido objeto de ataques informáticos. Por ello urge una solución que asista a los analistas de ciberseguridad a detectar los incidentes con rapidez. Para optimizar el tiempo de detección en el proyecto se desarrolló un clasificador que filtre líneas de logs de servidores web en formato CLF (Combined Log Format) que indican comportamiento anómalo. Para ello, se codifican los logs de acceso en representación vectorial y luego se usa el algoritmo de aprendizaje automático K-NN ponderado (K vecinos más próximos) para filtrar los logs. Los datos de entrada fueron provistos por el CERTuy (Equipo de Respuesta ante Emergencias Informáticas) y el SOC (Centro de Operaciones de Seguridad). De las pruebas realizadas sobre el servicio de clasificación, se detectó el 82% de ofensas de ciberseguridad de un conjunto de datos asociado, se logró filtrar el 80% de logs que indican comportamiento normal y se disminuyó el tiempo de detección de logs que indican comportamiento anómalo de 13 horas a 15 minutos. |
| dc.format.none.fl_str_mv | application/pdf text/html |
| dc.identifier.none.fl_str_mv | http://revistas.um.edu.uy/index.php/ingenieria/article/view/602 10.36561/ING.18.7 |
| dc.language.iso.none.fl_str_mv | spa |
| dc.publisher.es-ES.fl_str_mv | Universidad de Montevideo |
| dc.relation.none.fl_str_mv | http://revistas.um.edu.uy/index.php/ingenieria/article/view/602/697 http://revistas.um.edu.uy/index.php/ingenieria/article/view/602/819 |
| dc.rights.es-ES.fl_str_mv | Derechos de autor 2020 Miguel Pérez del Castillo, Gastón Rial, Rafael Sotelo, M´´áximo Gurméndez |
| dc.rights.license.none.fl_str_mv | Atribución 4.0 Internacional |
| dc.rights.none.fl_str_mv | info:eu-repo/semantics/openAccess |
| dc.source.en-US.fl_str_mv | Memoria Investigaciones en Ingeniería; No. 18 (2020): Special Edition ANIU Awards; 47-52 |
| dc.source.es-ES.fl_str_mv | Memoria Investigaciones en Ingeniería; Núm. 18 (2020): Edición Especial Premios ANIU; 47-52 |
| dc.source.none.fl_str_mv | 2301-1106 2301-1092 10.36561/ING.18 reponame:REDUM instname:Universidad de Montevideo instacron:Universidad de Montevideo |
| dc.source.pt-BR.fl_str_mv | Memoria Investigaciones en Ingenieria; n. 18 (2020): Edición Especial Premios ANIU; 47-52 |
| dc.subject.en-US.fl_str_mv | Filtering Cybersecurity response CLF Cachine learning |
| dc.subject.es-ES.fl_str_mv | Filtrado Respuesta de ciberseguridad CLF Aprendizaje automático |
| dc.title.none.fl_str_mv | Customized access log classifier for cybersecurity incident detection Clasificador de logs de acceso para detección de incidentes de ciberseguridad |
| dc.type.en-US.fl_str_mv | Peer reviewed articles |
| dc.type.es-ES.fl_str_mv | Artículos evaluados por pares |
| dc.type.none.fl_str_mv | info:eu-repo/semantics/article info:eu-repo/semantics/publishedVersion |
| dc.type.pt-BR.fl_str_mv | Artigos revistos por pares |
| dc.type.version.none.fl_str_mv | publishedVersion info:eu-repo/semantics/publishedVersion |
| description | The number of attacks on government websites has escalated in the last years. In order to assist in the detection process conducted by cybersecurity analysts, this document suggests implementing machine learning techniques over web server access logs. The overall objective is to optimize the detection time using a customized classifier which selects traces corresponding to anomalous activity. Specifically, web server combined log format (CLF) access logs coded as real vectors are an input to a weighted K-NN nearest neighbors’ model. The methodology was tested on datasets and premises provided by the CERTuy (National Cybersecurity Event Response Team) and the SOC (Security Operations Center). According to evaluations 82% of cybersecurity offenses have been detected, 80% of normal behavior has been filtered and the reduction time has been reduced from 13 hours to 15 minutes. |
| eu_rights_str_mv | openAccess |
| format | article |
| id | REDUM_87dff4f98755c6cb07f9202746b03e4b |
| identifier_str_mv | 10.36561/ING.18.7 |
| instacron_str | Universidad de Montevideo |
| institution | Universidad de Montevideo |
| instname_str | Universidad de Montevideo |
| language | spa |
| network_acronym_str | REDUM |
| network_name_str | REDUM |
| oai_identifier_str | oai:redum.um.edu.uy:20.500.12806/2541 |
| publishDate | 2020 |
| reponame_str | REDUM |
| repository.mail.fl_str_mv | nolascoaga@um.edu.uy |
| repository.name.fl_str_mv | REDUM - Universidad de Montevideo |
| repository_id_str | 10501 |
| rights_invalid_str_mv | Derechos de autor 2020 Miguel Pérez del Castillo, Gastón Rial, Rafael Sotelo, M´´áximo Gurméndez Atribución 4.0 Internacional |
| spelling | Pérez del Castillo, MiguelRial, GastónSotelo, RafaelGurméndez, Máximo2020-06-29http://revistas.um.edu.uy/index.php/ingenieria/article/view/60210.36561/ING.18.7The number of attacks on government websites has escalated in the last years. In order to assist in the detection process conducted by cybersecurity analysts, this document suggests implementing machine learning techniques over web server access logs. The overall objective is to optimize the detection time using a customized classifier which selects traces corresponding to anomalous activity. Specifically, web server combined log format (CLF) access logs coded as real vectors are an input to a weighted K-NN nearest neighbors’ model. The methodology was tested on datasets and premises provided by the CERTuy (National Cybersecurity Event Response Team) and the SOC (Security Operations Center). According to evaluations 82% of cybersecurity offenses have been detected, 80% of normal behavior has been filtered and the reduction time has been reduced from 13 hours to 15 minutes.Recientemente los sitios web de los gobiernos en el mundo han sido objeto de ataques informáticos. Por ello urge una solución que asista a los analistas de ciberseguridad a detectar los incidentes con rapidez. Para optimizar el tiempo de detección en el proyecto se desarrolló un clasificador que filtre líneas de logs de servidores web en formato CLF (Combined Log Format) que indican comportamiento anómalo. Para ello, se codifican los logs de acceso en representación vectorial y luego se usa el algoritmo de aprendizaje automático K-NN ponderado (K vecinos más próximos) para filtrar los logs. Los datos de entrada fueron provistos por el CERTuy (Equipo de Respuesta ante Emergencias Informáticas) y el SOC (Centro de Operaciones de Seguridad). De las pruebas realizadas sobre el servicio de clasificación, se detectó el 82% de ofensas de ciberseguridad de un conjunto de datos asociado, se logró filtrar el 80% de logs que indican comportamiento normal y se disminuyó el tiempo de detección de logs que indican comportamiento anómalo de 13 horas a 15 minutos.application/pdftext/htmlspaUniversidad de Montevideohttp://revistas.um.edu.uy/index.php/ingenieria/article/view/602/697http://revistas.um.edu.uy/index.php/ingenieria/article/view/602/819Derechos de autor 2020 Miguel Pérez del Castillo, Gastón Rial, Rafael Sotelo, M´´áximo Gurméndezinfo:eu-repo/semantics/openAccessAtribución 4.0 InternacionalMemoria Investigaciones en Ingeniería; No. 18 (2020): Special Edition ANIU Awards; 47-52Memoria Investigaciones en Ingeniería; Núm. 18 (2020): Edición Especial Premios ANIU; 47-52Memoria Investigaciones en Ingenieria; n. 18 (2020): Edición Especial Premios ANIU; 47-522301-11062301-109210.36561/ING.18reponame:REDUMinstname:Universidad de Montevideoinstacron:Universidad de MontevideoFiltradoRespuesta de ciberseguridadCLFAprendizaje automáticoFilteringCybersecurity responseCLFCachine learningCustomized access log classifier for cybersecurity incident detectionClasificador de logs de acceso para detección de incidentes de ciberseguridadinfo:eu-repo/semantics/articleinfo:eu-repo/semantics/publishedVersionPeer reviewed articlesArtículos evaluados por paresArtigos revistos por parespublishedVersioninfo:eu-repo/semantics/publishedVersion20.500.12806/25412024-07-17 09:46:41.647oai:redum.um.edu.uy:20.500.12806/2541Universidadhttps://um.edu.uy/https://redum.um.edu.uy/oai/requestnolascoaga@um.edu.uyUruguayopendoar:105012024-07-17T12:46:41REDUM - Universidad de Montevideofalse |
| spellingShingle | Customized access log classifier for cybersecurity incident detection Pérez del Castillo, Miguel Filtrado Respuesta de ciberseguridad CLF Aprendizaje automático Filtering Cybersecurity response CLF Cachine learning |
| status_str | publishedVersion |
| title | Customized access log classifier for cybersecurity incident detection |
| title_full | Customized access log classifier for cybersecurity incident detection |
| title_fullStr | Customized access log classifier for cybersecurity incident detection |
| title_full_unstemmed | Customized access log classifier for cybersecurity incident detection |
| title_short | Customized access log classifier for cybersecurity incident detection |
| title_sort | Customized access log classifier for cybersecurity incident detection |
| topic | Filtrado Respuesta de ciberseguridad CLF Aprendizaje automático Filtering Cybersecurity response CLF Cachine learning |
| url | http://revistas.um.edu.uy/index.php/ingenieria/article/view/602 |
