Aportaciones a la clasificación no supervisada y a su validación. Aplicación a la seguridad informática

Resumen

Dado el número y las características de las transacciones que se pueden realizar hoy en día a través de las redes de computadores, la seguridad informática es un área cada vez más importante. Sin embargo, dada la gran cantidad de datos involucrados, un análisis manual es inviable. Este trabajo aplica técnicas de aprendizaje automático, más concretamente de clasificación no supervisada, a dos problemas de seguridad informática. En el primero de ellos se agrupa código malicioso en base a su comportamiento con el objeto de poder catalogarlos de forma eficiente. En el segundo se analiza tráfico de red con el objeto de detectar intrusiones. El estudio de las técnicas de clasificación no supervisada ha llevado a realizar tres aportaciones en este área que también se reflejan en este trabajo. La primera aportación es un algoritmo de clustering jerárquico incremental que garantiza la estabilidad de las estructuras actualizadas. La segunda aportación propone un nuevo método para extraer particiones de una jerarquía de clusters ya que se muestra que el método tradicional tiene problemas en determinados contextos. Finalmente, la última aportación define una nueva metodología de evaluación de índices de validación de clusters. Se muestra que la metodología tradicional se basa en un supuesto que a menudo no se cumple y se propone una variación que evita dicho problema.