Sistema de clasificación de tráfico de red usando autocodificadores para la detección de anomalías

Abstract

Este proyecto presenta un sistema de detección de tráfico anómalo en redes utilizando autocodificadores, una técnica de aprendizaje no supervisado. Surge como respuesta al aumento significativo de ciberataques en los últimos años y a las limitaciones de los sistemas tradicionales de detección de intrusiones, que dependen de firmas y no logran identificar amenazas desconocidas. El sistema propuesto entrena dos modelos de autocodificadores por separado: uno con tráfico benigno y otro con tráfico malicioso, utilizando el dataset CICIDS2017. Tras un riguroso preprocesamiento, los datos son normalizados y preparados para el entrenamiento, permitiendo que cada modelo aprenda los patrones característicos de su clase. Durante la inferencia, los flujos de red se evalúan con ambos modelos para calcular su error de reconstrucción, que luego se transforma en una puntuación de confianza o "trust score". Si el flujo se asemeja más al patrón benigno, se clasifica como BENIGNO; si se asemeja más al patrón maligno, se clasifica como MALIGNO. Los resultados fueron evaluados con el conjunto de datos CSE-CIC-IDS2018, obteniendo una clasificación equilibrada: 50.01% BENIGNO y 49.99% MALIGNO. La matriz de confusión mostró una alta precisión, con un 99.97% de recall para tráfico benigno y 87.11% para tráfico maligno. Se detectaron diferencias en rendimiento atribuibles al desbalance de datos en el entrenamiento. En conclusión, el uso de autocodificadores dedicados por tipo de tráfico demuestra ser efectivo para la detección temprana de ataques DDoS. Se propone mejorar el sistema mediante el balanceo de datos y técnicas avanzadas de modelado.