Un Estudio Comparativo de Detección de Intrusiones en Dos Etapas Utilizando Enfoques Modernos de Aprendizaje Automático en el Conjunto de Datos CSE-CIC-IDS2018
Autores: Hewapathirana, Isuru Udayangani
Idioma: Inglés
Editor: MDPI
Año: 2025
Acceso abierto
Artículo científico
2025
Un Estudio Comparativo de Detección de Intrusiones en Dos Etapas Utilizando Enfoques Modernos de Aprendizaje Automático en el Conjunto de Datos CSE-CIC-IDS2018
Categoría
Gestión y administración
Subcategoría
Gestión del conocimiento
Palabras clave
Detección de intrusiones
Ciberseguridad
Amenazas a la red
Conjunto de datos CSE-CIC-IDS2018
Autoencoder apilado
Apache Spark
Representación de características
Análisis de componentes principales
Clasificador binario
Tipos de ataques
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 17
Citaciones: Sin citaciones
La detección de intrusiones es un componente crítico de la ciberseguridad, que permite la identificación y mitigación oportuna de amenazas en la red. Este estudio propone un novedoso marco de detección de intrusiones en dos etapas utilizando el conjunto de datos CSE-CIC-IDS2018, un referente integral y realista para el análisis del tráfico de red. La investigación explora dos enfoques distintos: el enfoque de autoencoder apilado (SAE) y el enfoque basado en Apache Spark (ASpark). Cada uno de estos enfoques emplea una técnica única de representación de características. El enfoque SAE aprovecha un autoencoder para aprender representaciones de características no lineales y basadas en datos. En contraste, el enfoque ASpark utiliza análisis de componentes principales (PCA) para reducir la dimensionalidad y retener el 95% de la varianza de los datos. En ambos enfoques, un clasificador binario primero identifica el tráfico benigno y de ataque, generando puntuaciones de probabilidad que se utilizan posteriormente como características junto con el conjunto de características reducido para entrenar un clasificador multiclase para predecir tipos específicos de ataque. Los resultados demuestran que el enfoque SAE logra una precisión y robustez superiores, particularmente para tipos de ataque complejos como los ataques DoS, incluyendo SlowHTTPTest, FTP-BruteForce e Infiltración. El enfoque SAE supera consistentemente a ASpark en términos de precisión, recuperación y puntuaciones F1, destacando su capacidad para manejar eficazmente espacios de características superpuestos. Sin embargo, el enfoque ASpark sobresale en eficiencia computacional, completando tareas de clasificación significativamente más rápido que SAE, lo que lo hace adecuado para aplicaciones en tiempo real o a gran escala. Ambos métodos muestran un rendimiento sólido para tipos de ataque distintos y bien separados, como el ataque DDOS-HOIC y SSH-Bruteforce. Esta investigación contribuye al campo al introducir un marco equilibrado y efectivo en dos etapas, aprovechando modelos modernos de aprendizaje automático y abordando el desbalance de clases a través de una estrategia de remuestreo híbrido. Los hallazgos enfatizan la naturaleza complementaria de los dos enfoques, sugiriendo que un modelo combinado podría lograr un equilibrio entre precisión y eficiencia computacional. Este trabajo proporciona valiosos conocimientos para diseñar sistemas de detección de intrusiones escalables y de alto rendimiento en entornos de red modernos.
Descripción
La detección de intrusiones es un componente crítico de la ciberseguridad, que permite la identificación y mitigación oportuna de amenazas en la red. Este estudio propone un novedoso marco de detección de intrusiones en dos etapas utilizando el conjunto de datos CSE-CIC-IDS2018, un referente integral y realista para el análisis del tráfico de red. La investigación explora dos enfoques distintos: el enfoque de autoencoder apilado (SAE) y el enfoque basado en Apache Spark (ASpark). Cada uno de estos enfoques emplea una técnica única de representación de características. El enfoque SAE aprovecha un autoencoder para aprender representaciones de características no lineales y basadas en datos. En contraste, el enfoque ASpark utiliza análisis de componentes principales (PCA) para reducir la dimensionalidad y retener el 95% de la varianza de los datos. En ambos enfoques, un clasificador binario primero identifica el tráfico benigno y de ataque, generando puntuaciones de probabilidad que se utilizan posteriormente como características junto con el conjunto de características reducido para entrenar un clasificador multiclase para predecir tipos específicos de ataque. Los resultados demuestran que el enfoque SAE logra una precisión y robustez superiores, particularmente para tipos de ataque complejos como los ataques DoS, incluyendo SlowHTTPTest, FTP-BruteForce e Infiltración. El enfoque SAE supera consistentemente a ASpark en términos de precisión, recuperación y puntuaciones F1, destacando su capacidad para manejar eficazmente espacios de características superpuestos. Sin embargo, el enfoque ASpark sobresale en eficiencia computacional, completando tareas de clasificación significativamente más rápido que SAE, lo que lo hace adecuado para aplicaciones en tiempo real o a gran escala. Ambos métodos muestran un rendimiento sólido para tipos de ataque distintos y bien separados, como el ataque DDOS-HOIC y SSH-Bruteforce. Esta investigación contribuye al campo al introducir un marco equilibrado y efectivo en dos etapas, aprovechando modelos modernos de aprendizaje automático y abordando el desbalance de clases a través de una estrategia de remuestreo híbrido. Los hallazgos enfatizan la naturaleza complementaria de los dos enfoques, sugiriendo que un modelo combinado podría lograr un equilibrio entre precisión y eficiencia computacional. Este trabajo proporciona valiosos conocimientos para diseñar sistemas de detección de intrusiones escalables y de alto rendimiento en entornos de red modernos.