Un enfoque optimizado de aprendizaje profundo para la detección de anomalías multicategoría
Autores: Khalifa, Saad; Marie, Mohamed; Mohamed, Wael
Idioma: Inglés
Editor: MDPI
Año: 2026
Acceso abierto
Artículo científico
2026
Un enfoque optimizado de aprendizaje profundo para la detección de anomalías multicategoría
Categoría
Gestión y administración
Subcategoría
Gestión de la tecnología y la inovación
Palabras clave
Tráfico de red moderno
Sistemas de detección de intrusiones
Tipos de ataques raros
Marco híbrido de detección de intrusiones
Aprendizaje de características no supervisado
Puntuación de anomalías
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 1
Citaciones: Sin citaciones
La creciente escala y el desequilibrio del tráfico de red moderno plantean desafíos significativos para los sistemas de detección de intrusiones de múltiples clases (IDS), particularmente en la identificación de tipos de ataques raros. Los enfoques tradicionales de detección de intrusiones basados en clasificación supervisada o detección de anomalías no supervisada a menudo sufren de una generalización limitada bajo un severo desequilibrio de clases, espacios de características de alta dimensión y tráfico ruidoso, lo que resulta en una mala detección de clases de ataque minoritarias. Para abordar estas limitaciones, este estudio presenta un marco híbrido de detección de intrusiones que integra el aprendizaje de características no supervisado, la puntuación de anomalías y la clasificación supervisada dentro de un pipeline unificado. Se emplea un autoencoder de eliminación de ruido entrenado exclusivamente en tráfico normal para aprender representaciones de características compactas y resistentes al ruido, mientras que un bosque de aislamiento genera de manera independiente puntuaciones estadísticas de anomalías. Estas características complementarias se fusionan y clasifican utilizando una Máquina de Aumento de Gradiente Ligero (LightGBM). La principal contribución de este trabajo radica en la integración efectiva de estos componentes, combinada con una estrategia de entrenamiento equilibrada basada en la Técnica de Sobremuestreo de Minorías Sintéticas con Vecinos Más Cercanos Editados (SMOTE-ENN), así como procedimientos de validación robustos. El marco se evalúa en el conjunto de datos de Descubrimiento de Conocimiento y Minería de Datos del Laboratorio de Seguridad de Redes (NSL-KDD) y el conjunto de datos de detección de intrusiones UNSW-NB15 utilizando validación cruzada estratificada y múltiples ejecuciones independientes. Los resultados experimentales demuestran una precisión de clasificación consistentemente alta (~99%) y un fuerte rendimiento macro-F1 (>97%) en todas las categorías de ataque en ambos conjuntos de datos NSL-KDD y UNSW-NB15. El marco logra una detección excepcional de clases raras (R2L: 99% F1, U2R: 100% F1), superando significativamente enfoques anteriores (AE-SAC: 83.97% F1, RL-NIDS: pobre recuerdo U2R), mientras mantiene una baja latencia de inferencia (~2-3 ms por muestra, 415 muestras/segundo) adecuada para el despliegue de seguridad de red en tiempo real.
Descripción
La creciente escala y el desequilibrio del tráfico de red moderno plantean desafíos significativos para los sistemas de detección de intrusiones de múltiples clases (IDS), particularmente en la identificación de tipos de ataques raros. Los enfoques tradicionales de detección de intrusiones basados en clasificación supervisada o detección de anomalías no supervisada a menudo sufren de una generalización limitada bajo un severo desequilibrio de clases, espacios de características de alta dimensión y tráfico ruidoso, lo que resulta en una mala detección de clases de ataque minoritarias. Para abordar estas limitaciones, este estudio presenta un marco híbrido de detección de intrusiones que integra el aprendizaje de características no supervisado, la puntuación de anomalías y la clasificación supervisada dentro de un pipeline unificado. Se emplea un autoencoder de eliminación de ruido entrenado exclusivamente en tráfico normal para aprender representaciones de características compactas y resistentes al ruido, mientras que un bosque de aislamiento genera de manera independiente puntuaciones estadísticas de anomalías. Estas características complementarias se fusionan y clasifican utilizando una Máquina de Aumento de Gradiente Ligero (LightGBM). La principal contribución de este trabajo radica en la integración efectiva de estos componentes, combinada con una estrategia de entrenamiento equilibrada basada en la Técnica de Sobremuestreo de Minorías Sintéticas con Vecinos Más Cercanos Editados (SMOTE-ENN), así como procedimientos de validación robustos. El marco se evalúa en el conjunto de datos de Descubrimiento de Conocimiento y Minería de Datos del Laboratorio de Seguridad de Redes (NSL-KDD) y el conjunto de datos de detección de intrusiones UNSW-NB15 utilizando validación cruzada estratificada y múltiples ejecuciones independientes. Los resultados experimentales demuestran una precisión de clasificación consistentemente alta (~99%) y un fuerte rendimiento macro-F1 (>97%) en todas las categorías de ataque en ambos conjuntos de datos NSL-KDD y UNSW-NB15. El marco logra una detección excepcional de clases raras (R2L: 99% F1, U2R: 100% F1), superando significativamente enfoques anteriores (AE-SAC: 83.97% F1, RL-NIDS: pobre recuerdo U2R), mientras mantiene una baja latencia de inferencia (~2-3 ms por muestra, 415 muestras/segundo) adecuada para el despliegue de seguridad de red en tiempo real.