Detección de DDoS de baja latencia para redes IIoT y SCADA utilizando optimización de políticas proximales y aprendizaje profundo por refuerzo
Autores: Alemayehu, Mikiyas; Ghanem, Mohamed Chahine; Kheddar, Hamza; Dunsin, Dipo; Kerrache, Chaker Abdelaziz; Rathee, Geetanjali
Idioma: Inglés
Editor: MDPI
Año: 2026
Acceso abierto
Artículo científico
2026
Detección de DDoS de baja latencia para redes IIoT y SCADA utilizando optimización de políticas proximales y aprendizaje profundo por refuerzo
Categoría
Gestión y administración
Subcategoría
Gestión de la tecnología y la inovación
Palabras clave
Internet industrial de las cosas
Redes conectadas a SCADA
Ataques de denegación de servicio distribuido
Aprendizaje por refuerzo profundo
Optimización de políticas proximales
Entornos IIoT con recursos limitados
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 1
Citaciones: Sin citaciones
El Internet Industrial de las Cosas (IIoT) y las redes conectadas a SCADA son cada vez más vulnerables a ataques de Denegación de Servicio Distribuida (DDoS), que pueden interrumpir procesos industriales sensibles al tiempo y comprometer la continuidad operativa. La mitigación efectiva requiere una detección de ataques precisa y de baja latencia en el borde de la red, donde las puertas de enlace industriales operan bajo estrictas limitaciones en computación, memoria y energía. Este estudio investiga el Aprendizaje por Refuerzo Profundo (DRL) para la detección binaria de DDoS en tiempo real y propone un detector basado en la Optimización de Políticas Proximales (PPO) para su implementación en entornos IIoT con recursos limitados. Cuatro agentes de DRL, a saber, Deep Q-Network (DQN), Double DQN, Dueling DQN y PPO, son entrenados y evaluados dentro de un pipeline experimental unificado que incorpora mapeo automático de etiquetas, selección de características numéricas, escalado robusto y balanceo de clases. Se realizan experimentos en tres conjuntos de datos de referencia representativos: CIC-DDoS2019, Edge-IIoTset y CICIoT23. El rendimiento se evalúa utilizando precisión, exactitud, recuperación, puntuación F1, tasa de falsos positivos, tasa de falsos negativos y latencia de inferencia de CPU. La función de recompensa es asimétrica: +1 por clasificación correcta, -1 por falso positivo y -2 por falso negativo, penalizando más severamente los ataques perdidos por la seguridad del IIoT. Los resultados muestran que PPO proporciona un compromiso competitivo entre precisión y latencia en los tres conjuntos de datos, logrando la mayor precisión media del 97.65% y ocupando el primer lugar en CIC-DDoS2019 con una puntuación del 95.92%, mientras se mantiene competitivo en Edge-IIoTset (99.11%) y CICIoT23 (97.92%). PPO también converge más rápido que las líneas base basadas en valor. La latencia de inferencia es inferior a 0.8 ms por muestra en una CPU estándar (Intel i7-11800H), confirmando la viabilidad en tiempo real. Para apoyar la implementación práctica, las políticas PPO entrenadas se exportan al formato ONNX (~9 KB por modelo), lo que permite una inferencia ligera e independiente de PyTorch en puertas de enlace industriales de borde.
Descripción
El Internet Industrial de las Cosas (IIoT) y las redes conectadas a SCADA son cada vez más vulnerables a ataques de Denegación de Servicio Distribuida (DDoS), que pueden interrumpir procesos industriales sensibles al tiempo y comprometer la continuidad operativa. La mitigación efectiva requiere una detección de ataques precisa y de baja latencia en el borde de la red, donde las puertas de enlace industriales operan bajo estrictas limitaciones en computación, memoria y energía. Este estudio investiga el Aprendizaje por Refuerzo Profundo (DRL) para la detección binaria de DDoS en tiempo real y propone un detector basado en la Optimización de Políticas Proximales (PPO) para su implementación en entornos IIoT con recursos limitados. Cuatro agentes de DRL, a saber, Deep Q-Network (DQN), Double DQN, Dueling DQN y PPO, son entrenados y evaluados dentro de un pipeline experimental unificado que incorpora mapeo automático de etiquetas, selección de características numéricas, escalado robusto y balanceo de clases. Se realizan experimentos en tres conjuntos de datos de referencia representativos: CIC-DDoS2019, Edge-IIoTset y CICIoT23. El rendimiento se evalúa utilizando precisión, exactitud, recuperación, puntuación F1, tasa de falsos positivos, tasa de falsos negativos y latencia de inferencia de CPU. La función de recompensa es asimétrica: +1 por clasificación correcta, -1 por falso positivo y -2 por falso negativo, penalizando más severamente los ataques perdidos por la seguridad del IIoT. Los resultados muestran que PPO proporciona un compromiso competitivo entre precisión y latencia en los tres conjuntos de datos, logrando la mayor precisión media del 97.65% y ocupando el primer lugar en CIC-DDoS2019 con una puntuación del 95.92%, mientras se mantiene competitivo en Edge-IIoTset (99.11%) y CICIoT23 (97.92%). PPO también converge más rápido que las líneas base basadas en valor. La latencia de inferencia es inferior a 0.8 ms por muestra en una CPU estándar (Intel i7-11800H), confirmando la viabilidad en tiempo real. Para apoyar la implementación práctica, las políticas PPO entrenadas se exportan al formato ONNX (~9 KB por modelo), lo que permite una inferencia ligera e independiente de PyTorch en puertas de enlace industriales de borde.