Análisis de grandes cantidades de datos por medio de técnicas de máquinas de aprendizaje para la ciberseguridad

Abstract

I. Resumen Después del capital humano, el activo principal de una organización es la información, con la que se genera valor y con la que se permite realizar sus actividades. La información se extrae, se recolecta e integra para poder ser almacenada donde es posible procesarla, y posteriormente analizarla para convertirse en un elemento valioso para la toma de decisiones. Esta información debe ser protegida contra robos, ataques, clonación, fraude y destrucción, por lo que se requiere implementar acciones, tanto preventivas como correctivas. Ante un ataque es necesario reducir el tiempo empleado en validar diferentes hipótesis de seguridad tales como, el posible origen del ataque, que aplicaciones de servicios fueron los objetivos del ataque y los datos afectados, así como los incidentes en el que una persona o entidad no autorizada han accedido a la información, también conocidas como brechas de seguridad. Así pues, se busca minimizar la necesidad de un soporte externo o lateral, es decir, soporte extra que trabaje a la par del ya existente en los sistemas. Además, se busca disminuir la latencia de observación en tiempo real y la toma de decisiones que presenta el Instituto Nacional de Estadística y Geografía (INEGI) tras la posible invasión, así como ampliar el mapa de revisión de amenazas cibernéticas conocidas y definidas por parte de la organización. Todo esto con el fin de cubrir la necesidad de identificar las direcciones IPs y DNS maliciosos, los cuales son dominios de internet que realizan ataques a hacia la organización.

I. Resumen (Abstract) After human capital, the main asset of an organization is the information, in which, value is generated and this allows to perform its activities. Information is extracted, gather and integrated in order to be stored where is possible, to be processed and then analyze, this in order it to be transformed in a valuable asset for decision making. This information must be protected against theft, attacks, cloning, fraud and destruction, because of this, it is required implement preventive and corrective actions. In the case of an attack occurs, it is necessary to reduce the time used to validate different security hypothesis, such as the possible origin of the attack, the applications of the services target by the attack, and the affected data, as well as incidents in which an unauthorized person or entity has accessed to the information, also known as security breaches. The above, in the search for minimize the need for external or lateral support, that means, an extra support that works alongside with the team that already exist in the system. In addition, it also seeks to decrease the latency in real-time to perform the observation and decision making of the Instituto Nacional de Estadística y Geografía (INEGI) after the invasion, as well as expanding the revision map in order to known and defined cyber threats in the organization. All the above in order to cover the need to identify malicious IP addresses and DNS, which are internet domains that execute attacks in the organization.