Metrics and techniques for early detection in cybersecurity

Abstract

Resumo] A importancia da detección temperá aumentou nos últimos anos conforme as redes de comunicacións pasaron a formar parte da vida diaria, e por tanto os perigos que supón aumentaron. Neste sentido, non só a seguridade das redes de comunicacións, sistemas e protección de datos están en perigo, senón tamén os seus usuarios. Coa proliferación das comunidades en liñaa e das redes sociais, os comportamentos que xa supoñían un problema atoparon unha plataforma que intensifica as súas capacidades, superando as limitacións do mundo físico. As probabilidades de producir un dano increméntanse no tempo para calquera tipo de ameaza de seguridade, polo tanto, canto antes se detecte e deteña, as probabilidades de mitigar os problemas xerados aumentan. Neste sentido, o ciberacoso converteuse nun problema urxente na Internet, especialmente nas redes sociais. Para abordar este problema deben definirse procedementos de detección temperá tanto en relación a métodos de detección coma métricas para medir o seu rendemento dende o punto de vista da detección consciente do tempo. Co obxectivo de alcanzar isto, por unha parte o problema da detección temperá definiuse formalmente e estudáronse diversas alternativas para a súa avaliación. En canto as métricas de detección temperá, estudáronse métricas de última xeración como Early Risk Detection Error (ERDE) e F-latency e propuxéronse alternativas coma Nor-malizedERDE, Time aware Precision (TaP) e Time aware F-score (TaF) para resolver problemas detectados nas outras métricas. Para mellorar os resul-tados obtidos coa utilización das métricas conscientes do tempo preséntanse tres modelos: de punto fixo, limiar e dual. Ademais, estudouse a incorpo-ración de conxuntos de características para a detección temperá do ciberacoso en redes sociais: Doc2Vec e Multiple Instance Learning.

[Resumen] La importancia de la detección temprana ha aumentado en los últimos años conforme las redes de comunicaciones han pasado a formar parte de la vida diaria, y por tanto los peligros que conllevan han aumentado. En ese sentido, no solo la seguridad de las redes de comunicaciones, sistemas y protección de datos están en peligro, si no también sus usuarios. Con la proliferación de las comunidades en línea y las redes sociales, aquellos comportamientos que ya suponían un problema han encontrado una plataforma que intensifica sus capacidades, superando las limitaciones del mundo físico. Las probabilidades de producir un daño se incrementan en el tiempo para cualquier tipo de amenaza de seguridad, por tanto, cuanto antes se detecte y detenga, las probabilidades de mitigar los problemas generados aumentan. En este sentido, el ciberacoso se ha convertido en un problema urgente en Inter-net, especialmente en las redes sociales. Para abordar este problema han de definirse procedimientos de detección temprana tanto en cuanto a métodos de detección como a métricas para medir su rendimiento desde el punto de vista de la detección consciente del tiempo. Con el objetivo de alcanzar esto, por una parte, el problema de la detección temprana se ha definido formalmente y se han estudiado diversas alternativas para su evaluación. En cuanto a las métricas de detección temprana, se han estudiado métricas de última generación como Early Detection Risk Error (ERDE) y F-latency y se han propuesto alternativas como NormalizedERDE, Time aware Precision (TAP) y Time aware F-score (TAF) para resolver problemas detectados en las otras métricas. Para mejorar los resultados obtenidos con la utilización de las métricas conscientes del tiempo se presentan tres modelos: modelo de punto fijo, modelo umbral y modelo dual. Además, se ha estudiado la incorporación de dos conjuntos de características para la detección temprana del ciberacoso en redes sociales: Doc2Vec y Multiple Instance Learning.

[Abstract] Early detection importance has grown in the last years and, as communi-cation networks had become part of everyday life, threats that come within had increased. In this sense, not only the security of networks, systems and data protection is in danger but also its users. With the spread of online communities and social networks, behaviours that already were a problem found a platform to grow as the capabilities of the platform allows to expand the limits of the physical world. Any security threat increases its chances of damage over time, so the earlier it is detected and stopped, there are more chances that outcome problems can be mitigated. In this sense, cyberbul-lying has become an urgent matter on the Internet and specially on social media networks. To approach this problem, a formal early detection proce-dure should be defined both in terms of methods of detection and metrics to measure the performance from the point of view of time aware detection. To achieve that, on the one hand, the early detection problem has been formally defined and multiple alternatives for the evaluation studied. Regarding early detection metrics, state of the art Early Detection Risk Error (ERDE) and F-latency had been reviewed and alternatives such as NormalizedERDE, Time aware Precision (TAP) and Time aware F-score (TAF) had been proposed to overcome problems detected. In order to improve results obtained with time aware metrics, the use of three early detection models is presented: fixed point model, threshold model and dual model. Finally, two sets of features for early detection of cyberbullying in social networks is considered: Doc2Vec and Multiple Instance Learning.