Análisis y caracterización de conjuntos de datos para detección de intrusiones

• Autores: Olia Castellanos Leyva, Milton García Borroto
• Localización: Serie Científica de la Universidad de las Ciencias Informáticas, ISSN-e 2306-2495, Vol. 13, Nº. 4, 2020, págs. 39-52
• Idioma: español
• Títulos paralelos:
  • Analysis and characterization of data sets for intrusion detection
• Enlaces
  • Texto completo (pdf)
• Resumen
  • español

    La variedad de incidentes de seguridad que aparecen en las redes cada día hace que los investigadores deban renovar constantemente sus propuestas de solución. La detección de intrusiones es un problema de seguridad que evidencia esta problemática. Dentro de esta área la detección de anomalías modela el comportamiento normal de la red e identifica las anomalías como desviaciones de dicho modelo. Aunque existen numerosas investigaciones sobre este tema, aún queda mucho por hacer para elevar los niveles de detección y disminuir el nivel de falsos positivos. Uno de los mayores retos para lograr un sistema de detección de anomalías eficaz y eficiente reside en la elección de un conjunto de datos exhaustivo y realista que permita su evaluación. El conjunto de datos que se escoja debe reflejar los escenarios actuales del tráfico de red, proveer información estructurada del mismo y poseer variedad de intrusiones. El conjunto de datos más utilizado por la comunidad científica ha sido KDDCUP99 y sus distintas versiones. Sin embargo, existen numerosos argumentos por los que han ido surgiendo otros conjuntos de datos para sustituirlo. Con la intención de lograr el conjunto de datos más representativo se han desarrollado propuestas como ISCX2012, UNSW-NB15 y CICIDS2017, entre muchas otras. El presente trabajo pretende proporcionar un análisis y caracterización de los conjuntos de datos más utilizados, de manera que pueda emplearse como punto de partida para elegir aquel que mejor se ajuste a las necesidades de cada investigación y que refleje el comportamiento actual del tráfico de las redes.

  • English

    The variety of security incidents that appear on the networks every day causes researchers to constantly renew their proposed solutions. Hence, intrusion detection is a security problem that evidences this problem. Within this area, anomaly detection models normal network behavior and identifies anomalies as deviations from that model. Although there are numerous investigations on this subject, there is still much to do to raise the levels of detection and decrease the level of false positives. One of the biggest challenges in achieving an efficient anomaly detection system is the choice of a comprehensive and realistic data set that allows its evaluation. The dataset chosen should reflect the current scenarios of network traffic, provide structured information and have a variety of intrusions. The dataset most used by the scientific community has been KDDCUP99 and its different versions. However, there are numerous arguments for which other datasets have emerged to replace it. With the intention of achieving the most representative dataset, proposals such as ISCX2012, UNSW-NB15 and CICIDS2017, among many others, have been developed. The present work intends to provide an analysis and characterization of the most used data sets, so that it can be used as a starting point to choose the one that best suits the needs of each investigation and that reflects the current behavior of network traffic.