Referencia completa:
N. M. Fuentes-García, J. Camacho and G. Maciá-Fernández. "Evaluación de mejoras en la monitorización estadística multivariante para la detección de anomalías en tráfico ciclo-estacionario", V Jornadas Nacionales de Investigación en Ciberseguridad (JNIC), 2019.
Abstract:
El tráfico de red tiene un claro carácter ciclo-estacionario
(por ejemplo, ciclos día/noche o laborables/fines de
semana). Esto hace que se puedan identificar patrones de comportamiento
distintos dentro de ciertos intervalos temporales: el
comportamiento de la red puede variar según las horas dentro de
un mismo día. Por otra parte, estos mismos patrones se repiten
de forma periódica: por ejemplo, el tráfico de red es similar todas
las mañanas los días laborables. Esta particularidad hace más
compleja la creación de modelos de normalidad adecuados para
la detección de anomalías, así como la aplicación de técnicas que
capturen estas dinámicas de manera adecuada sin generar una
alta tasa de falsos positivos.
Nuestro trabajo actual está centrado en evaluar la aplicación
de distintas alternativas de detección de anomalíaas dentro del
enfoque de monitorización de redes estadística multivariante
(MSNM). En concreto, nuestro objetivo es mejorar el área bajo la
curva (AUC) y garantizar así un elevado número de verdaderos
positivos a la par que se reducen los falsos positivos.