Desarrollo de un modelo de detección de URLs maliciosos usando aprendizaje automático supervisado

Abstract

La distribución de ataques cibernéticos mediante protocolos web ha sido una manera, para sus actores, de evadir detección y filtrado de red al camuflarse entre la cantidad de tráfico legítimo existente [1]. A pesar de la gran cantidad de sitios que son bloqueados diariamente, los atacantes siguen mejorando sus técnicas de evasión, por lo que se han realizado esfuerzos para mejorar el filtrado y bloqueo de estos ataques usando técnicas de aprendizaje automático. Los modelos de predicción basados en aprendizaje automático han ayudado a mejorar la capacidad de detección de los sistemas de monitoreo y presentan una alternativa de mayor escalabilidad, comparado a las tecnologías de bloqueo basadas en listas negras [10]. Estos modelos requieren una correcta caracterización del conjunto de datos para poder diferenciar un comportamiento de otro y su selección puede influir en los resultados de la predicción. En este trabajo se usa caracterización léxica para la construcción de un clasificador que pueda detectar los principales tipos de URL de alto riesgo incluyendo malware, phishing, spam y botnet usando aprendizaje automático supervisado. Nuestros resultados mostraron que estas características otorgan flexibilidad a la etapa de implementación y logran obtener buenos resultados en su exactitud sin depender de características basadas en la observación de cambios en el tiempo.