RI
PC

Co-ocurrencia · grafo de ataque

¿Qué técnicas viajan juntas en el kill chain?

Análisis de reglas de asociación (Apriori clásico + Fisher's exact + corrección Benjamini-Hochberg) y métricas de centralidad sobre el grafo de co-ocurrencia. 1.060 artículos como transacciones, 305 técnicas como ítems.

Hallazgo · cuello de botella
T1003 — OS Credential Dumping
Betweenness más alto del grafo excisado: 0.237. Bloquearlo desconecta la ruta principal del kill chain.
Regla BH-significativa #1
T1490 → T1486
Inhibit System Recovery → Data Encrypted. conf=56.6%, lift=2.06, p≈5e-6.
Regla BH-significativa #2
T1047 → T1486
WMI → Data Encrypted. conf=50%, lift=1.82, p=0.019.
Hallazgo metodológico
T1486 dominante (27.5%)
Aparece en 1 de cada 4 artículos: dilúe el lift de la mayoría de co-ocurrencias. Solo lo que co-ocurre significativamente más de lo esperado sobrevive.

Grafo de co-ocurrencias · interactivo

force-directed · D3.js · Jaccard como peso

Nodos = técnicas (color por táctica · tamaño por degree). Aristas = co-ocurrencia (grosor por Jaccard). Arrastra para reorganizar, rueda para zoom, click en nodo para detalles.

Top centralidad · cuellos de botella del grafo

graph_centrality.csv
Modo:
Top 10 por betweenness
Top 10 por PageRank
Top 10 por degree (Jaccard)

Interpretación defensiva: betweenness identifica cuellos de botella del kill chain (técnicas que están en muchos caminos cortos entre otros pares). T1003 ocupa la primera posición tras excisar T1486 — bloquearlo desconecta la ruta principal del grafo de ataque.

Reglas de asociación · BH-significativas

arm_rules.csv

Umbrales: support ≥ 1%, confidence ≥ 40%, lift > 1.2, BH-FDR α=0.05. Solo dos reglas pasan al ser T1486 dominante.

Regla Tácticas Support Confidence Lift Jaccard Fisher p N Dirección

Reglas top por par de táctica

top_rules_by_tactic_pair.csv

Vista del kill chain: la mejor regla entre cada par origen→destino de tácticas.

Datos generados por cooccurrence_analysis.py.