Filtrando eventos de seguridad en forma conservativa mediante deep learning

Abstract

Actualmente, los sistemas de seguridad utilizados en grandes organizaciones producen diariamente millones de eventos, que mediante otros productos se reducen a cientos de miles de alertas. Estas últimas deben ser analizadas por un conjunto reducido de personas, como los analistas de un Security Operations Center (SOC), lo cual supone un trabajo abrumador para realizar manualmente. Por mucho tiempo se desarrollaron soluciones modelando detectores de anomalías que luego cuesta trasladar a la industria efectivamente por requerir suficientes datos de ataques. En este trabajo se propone modelar un baseline que requiera principalmente datos de eventos "normales" para entrenarse, y que sirva para retener sólo aquellos que se desvían del comportamiento normal asimilado. Se utilizaron Stacked Auto-Encoders en el diseño, una técnica popular de deep learning en forma no supervisada, y los resultados obtenidos con datos de NSL-KDD impulsan la viabilidad de este enfoque para señalar incidentes con precisión sobre eventos de seguridad.