Una aproximación efectiva a la detección de anomalías en el tráfico TCP/IP usando técnicas de inteligencia artificial
El presente artículo introduce una aproximación al problema de “Anomaly Intrusion Detection” basada en una combinación de algoritmos de “Machine Learning” (ML) supervisados y no supervisados. Los objetivos que se persiguen son: el modelar en forma efectiva el tráfico de una organización y el reducir...
Guardado en:
| Autores principales: | , , , |
|---|---|
| Formato: | Objeto de conferencia |
| Lenguaje: | Español |
| Publicado: |
2005
|
| Materias: | |
| Acceso en línea: | http://sedici.unlp.edu.ar/handle/10915/22919 |
| Aporte de: |
| Sumario: | El presente artículo introduce una aproximación al problema de “Anomaly Intrusion Detection” basada en una combinación de algoritmos de “Machine Learning” (ML) supervisados y no supervisados. Los objetivos que se persiguen son: el modelar en forma efectiva el tráfico de una organización y el reducir en forma substancial el porcentaje de Falsos Positivos mientras se mantiene un nivel razonable de detección de anomalías. Se presenta una arquitectura basada en un conjunto de “Self-Organizing Maps” (SOM) para el modelado del tráfico y en el uso de “Linear Vector Quantization” (LVQ) para la clasificación definitiva de los paquetes de tráfico. Los algoritmos desarrollados usan Snort para el preprocesamiento del tráfico de red, y están pensados para ser un complemento de esta herramienta. Los resultados alcanzados hasta el momento muestran que se pueden lograr niveles aceptables de acierto en comparación con otras técnicas. Al final se plantean las conclusiones extraídas del trabajo y direcciones en las cuales se puede continuar el desarrollo y mejorar los resultados obtenidos |
|---|