Un nuevo modelo de detección de intrusiones internas basado en síntesis profunda (DS-IID) para insiders maliciosos y amenazas generadas por IA

Publicado: 2 de enero de 2025 | Scientific Reports
Autores: Hazem M. Kotb, Tarek Gaber, Salem AlJanah, Hossam M. Zawbaa, Mohammed Alkhathami, et al.

Tabla de contenidos

Introducción
Comprender las amenazas internas y los peligros generados por IA
El modelo DS-IID: conceptos básicos y aportes
- Síntesis profunda de características (DFS) para el perfilado de usuarios
- Integración de IA generativa y aprendizaje profundo
Abordar el desbalanceo de datos en ciberseguridad
Arquitectura técnica e implementación
Ejemplos de aplicación real y fragmentos de código
- Ejemplo de escaneo de registros con Bash
- Script en Python para análisis y síntesis profunda de características
Resultados experimentales y evaluación del modelo
Mejores prácticas para el despliegue en sistemas reales
Conclusión
Referencias

La ciberseguridad sigue siendo uno de los retos más críticos para las empresas modernas. Aunque tradicionalmente las organizaciones han invertido en medidas de seguridad perimetral como cortafuegos y sistemas de detección de intrusiones (IDS), la creciente prevalencia de amenazas internas ha desplazado el foco hacia la detección de anomalías internas. Las amenazas internas—ya provengan de empleados maliciosos, usuarios negligentes o cuentas comprometidas—representan una porción significativa de los incidentes de ciberseguridad. Además, el auge de la inteligencia artificial generativa ha introducido nuevas complejidades: sistemas automatizados pueden generar perfiles de usuario falsos muy convincentes que imitan el comportamiento legítimo.

En esta publicación exploramos un nuevo modelo de Detección de Intrusiones Internas basado en Síntesis Profunda (DS-IID) que aborda estos desafíos de forma directa. El modelo no solo identifica insiders maliciosos mediante aprendizaje profundo, sino que también distingue entre perfiles reales y generados de manera sintética por IA. Recorreremos los principios subyacentes, los aspectos técnicos, mostraremos fragmentos de código para escenarios reales de detección y discutiremos el rendimiento obtenido con el conjunto de datos CERT de amenazas internas.

Comprender las amenazas internas y los peligros generados por IA

Amenazas internas: un desafío persistente

Las amenazas internas se originan en entidades internas—empleados, contratistas o dispositivos de confianza—que poseen acceso legítimo a los recursos de la organización. Puesto que estos usuarios ya cuentan con privilegios, su comportamiento anómalo puede eludir las medidas de seguridad tradicionales, lo que dificulta su detección con sistemas de anomalías estándar. Según estudios recientes, las amenazas internas representan hasta el 79 % de los problemas de ciberseguridad en muchas organizaciones.

El impacto de la IA generativa en la detección de amenazas internas

La situación se vuelve aún más compleja con la aparición de tecnologías de IA generativa. Estos sistemas son capaces de crear datos sintéticos realistas que suplantan el comportamiento legítimo de usuarios. Al generar perfiles falsos automáticamente, los atacantes pueden ocultar actividades maliciosas tras una fachada de autenticidad. Los IDS tradicionales suelen tener dificultades para diferenciar entre actividades genuinas y sintéticas, lo que conduce a posibles fallos de seguridad.

El modelo DS-IID: conceptos básicos y aportes

El modelo DS-IID combina la potencia de la síntesis profunda de características, el modelado generativo y el aprendizaje profundo binario para detectar amenazas internas. Este enfoque multifacético permite alcanzar tres objetivos principales:

Detectar insiders maliciosos mediante técnicas de aprendizaje supervisado.
Evaluar la capacidad de algoritmos generativos para imitar perfiles reales.
Diferenciar entre perfiles anómalos reales y sintéticos, garantizando que las amenazas generadas por IA se señalen adecuadamente.

Síntesis profunda de características (DFS) para el perfilado de usuarios

La DFS es el núcleo del modelo DS-IID. A diferencia de la ingeniería manual, la DFS posibilita la extracción automatizada de perfiles detallados a partir de datos de eventos en bruto. Al sintetizar características complejas de registros, tráfico de red y comportamiento del usuario, el modelo construye una visión integral de la actividad de cada usuario. Esto es clave para:

Reducir la intervención humana y los posibles errores.
Adaptar el sistema rápidamente a nuevos tipos de datos y paisajes de amenaza en evolución.
Mejorar la robustez de las tareas de clasificación posteriores.

Integración de IA generativa y aprendizaje profundo

El modelo DS-IID integra modelos generativos para simular perfiles de usuario reales. Esta simulación es crucial para evaluar la probabilidad de que un perfil sospechoso haya sido generado por IA. Paralelamente, un clasificador binario—entrenado con datos reales y sintéticos—determina si el perfil es legítimo o malicioso. Este enfoque dual permite:

Detección de alta precisión (hasta 97 % de exactitud y AUC de 0.99 en CERT).
Manejo efectivo del desbalanceo, garantizando robustez frente a falsos positivos y falsos negativos.

Abordar el desbalanceo de datos en ciberseguridad

El desbalanceo de datos es común en ciberseguridad: la cantidad de instancias benignas supera con creces la de eventos maliciosos. Para afrontarlo, DS-IID emplea muestreo aleatorio ponderado “on-the-fly”. Esta técnica ajusta dinámicamente el muestreo durante el entrenamiento, asegurando que los eventos maliciosos raros tengan impacto suficiente en el proceso de aprendizaje.

Mediante el muestreo ponderado, DS-IID se enfoca en la clase minoritaria sin sacrificar el rendimiento global, logrando tasas de detección más fiables y reduciendo el riesgo de clasificar erróneamente comportamientos benignos.

Arquitectura técnica e implementación

El modelo DS-IID se basa en una arquitectura multinivel que integra métodos de procesamiento de datos, extracción de características y clasificación. A continuación se presenta una visión técnica de cada módulo.

Adquisición y preprocesamiento de datos

DS-IID utiliza conjuntos públicos como el CERT Insider Threat Dataset. El proceso incluye:

Normalización: estandarizar los datos para garantizar coherencia.
Limpieza: eliminar puntos de datos irrelevantes o ruidosos.
Alineación temporal: asegurar la correcta secuenciación cronológica de eventos.

Extracción y síntesis de características

Tras el preprocesado, se aplica DFS:

Transformación tabular de registros sin procesar.
Generación automatizada de características (agregados, patrones temporales, etc.).
Selección de características mediante criterios estadísticos o de ML (información mutua, correlación de Pearson).

Clasificación binaria con aprendizaje profundo

La etapa final es la clasificación:

Arquitectura: varias capas densas con activaciones no lineales (p. ej., ReLU) y dropout.
Función de pérdida: entropía cruzada binaria.
Muestreo ponderado “on-the-fly” para equilibrar clases durante el entrenamiento.

import tensorflow as tf
from tensorflow.keras.models import Sequential
from tensorflow.keras.layers import Dense, Dropout

# Definir el modelo de clasificación binaria DS-IID
def build_ds_iid_model(input_dim):
    model = Sequential()
    model.add(Dense(128, activation='relu', input_dim=input_dim))
    model.add(Dropout(0.3))
    model.add(Dense(64, activation='relu'))
    model.add(Dropout(0.3))
    model.add(Dense(32, activation='relu'))
    model.add(Dropout(0.3))
    model.add(Dense(1, activation='sigmoid'))
    
    model.compile(optimizer='adam', loss='binary_crossentropy', metrics=['accuracy'])
    return model

# Ejemplo de uso
if __name__ == "__main__":
    input_dimensions = 30  # Ejemplo de número de características tras DFS
    model = build_ds_iid_model(input_dimensions)
    model.summary()

Ejemplos de aplicación real y fragmentos de código

Ejemplo de escaneo de registros con Bash

#!/bin/bash
# Ruta al archivo de registro (ejemplo: /var/log/auth.log)
LOG_FILE="/var/log/auth.log"

# Patrón para entradas sospechosas: múltiples intentos fallidos, usuarios inválidos, etc.
PATTERN="Failed password|Invalid user"

echo "Escaneando registros en busca de actividad sospechosa..."
grep -E "$PATTERN" "$LOG_FILE" > actividad_sospechosa.log

echo "Resumen de entradas sospechosas:"
wc -l actividad_sospechosa.log

echo "Primeras 10 entradas sospechosas:"
head -n 10 actividad_sospechosa.log

Script en Python para análisis y síntesis profunda de características

import pandas as pd
import numpy as np
from datetime import datetime

# Función para analizar un archivo de registro y crear un DataFrame estructurado
def parse_log_file(log_file_path):
    data = []
    with open(log_file_path, 'r') as f:
        for line in f:
            # Formato de línea de registro de ejemplo:
            # "Jan 01 12:34:56 hostname sshd[1234]: Failed password for invalid user"
            parts = line.split()
            timestamp_str = " ".join(parts[0:3])
            try:
                timestamp = datetime.strptime(timestamp_str, '%b %d %H:%M:%S')
            except ValueError:
                continue
            log_entry = {
                'timestamp': timestamp,
                'hostname': parts[3],
                'service': parts[4].split('[')[0],
                'message': " ".join(parts[5:])
            }
            data.append(log_entry)
    return pd.DataFrame(data)

# Síntesis de características: agregación por hostname y rasgos temporales
def generate_features(df):
    # Conteo de eventos sospechosos por hostname
    feature_df = df.groupby('hostname').size().reset_index(name='suspicious_count')
    
    # Características basadas en hora (eventos promedio por hora)
    df['hour'] = df['timestamp'].dt.hour
    hourly_features = df.groupby(['hostname', 'hour']).size().unstack(fill_value=0)
    feature_df = feature_df.merge(hourly_features, on='hostname', how='left')
    
    return feature_df

if __name__ == "__main__":
    log_df = parse_log_file('actividad_sospechosa.log')
    features = generate_features(log_df)
    print("Características generadas:")
    print(features.head())

    # Guardar las características para el entrenamiento del modelo DS-IID
    features.to_csv('user_features.csv', index=False)

Resultados experimentales y evaluación del modelo

Exactitud: 97 %
AUC: 0.99
Diferenciación real vs. sintético: > 99 % de acierto.

Métricas de evaluación

El rendimiento se midió con nueve métricas:

Kappa de Cohen
Tasa de verdaderos positivos (TPR)
Tasa de falsos positivos (FPR)
Tasa de alarmas falsas (FAR)
Recall y precisión
F1-Score
Exactitud global
AUC

El muestreo ponderado dinámico permitió mantener un alto desempeño pese al desbalanceo de clases.

Comparativa con métodos tradicionales

A diferencia de los IDS convencionales basados en reglas o clustering no supervisado, DS-IID integra síntesis automática de características y maneja datos sintéticos generados por IA, logrando una ventaja significativa con exactitudes cercanas al 97 %.

Mejores prácticas para el despliegue en sistemas reales

Integración con SIEM para alertas en tiempo real.
Reentrenamiento periódico con datos recientes.
Despliegue híbrido junto a IDS tradicionales.
Cumplimiento de normativas de privacidad de datos.
Monitorización continua y bucles de retroalimentación.
Capacitación del personal de seguridad sobre la interpretación de alertas.

Conclusión

El modelo DS-IID supone un avance notable en la detección de amenazas internas, especialmente en la era de la IA generativa. Aprovechando la síntesis profunda de características y el aprendizaje profundo binario, alcanza alta exactitud y eficiencia frente a perfiles tanto tradicionales como sintéticos.

En resumen:

Aborda el desbalanceo con muestreo ponderado dinámico.
Minimiza la intervención manual mediante DFS automatizada.
Demuestra un 97 % de exactitud y 0.99 de AUC en CERT.
Los ejemplos de Bash y Python evidencian su utilidad práctica.

Integrar DS-IID en las infraestructuras de ciberseguridad ofrece un camino prometedor para enfrentar amenazas internas sofisticadas y generadas por IA.

Referencias

¡Feliz codificación y mantente seguro!

Untitled Post