Entrenando la red para detectar ciberataques sin ver sus datos

Los investigadores del SUTD prueban un enfoque de preservación de la privacidad que combina el aprendizaje federado con la coordinación de la nube para redes inteligentes en futuros entornos 6G.

Las redes eléctricas modernas dependen de un ruido constante. Los medidores inteligentes, las puertas de enlace y los centros de control intercambian datos cada segundo para equilibrar la demanda, facturar con precisión y mantener el flujo de electricidad. Esa conectividad, sin embargo, también es una vulnerabilidad. Los ataques distribuidos de denegación de servicio (DDoS) (intentos maliciosos de inundar un servidor con tráfico excesivo y falso) pueden retrasar las lecturas, interrumpir las operaciones y, en el peor de los casos, provocar interrupciones.

Con las redes 6G en el horizonte, los investigadores de la Universidad de Tecnología y Diseño de Singapur (SUTD) anticipan una red más densa, más rápida y más automatizada. Como tal, exploraron cómo detectar ataques DDoS de manera temprana y a escala sin exponer los datos de uso de energía de las personas en su artículo, «Hacia mejorar la seguridad para las próximas redes inteligentes listas para 6G a través del aprendizaje federado y soluciones en la nube». publicado en Ciberseguridad.

Dirigido por el profesor Yeo Kiat Seng, el equipo de investigación construyó y probó un prototipo de marco de detección de intrusiones que entrena modelos donde residen los datos (en dispositivos), coordina el aprendizaje en la nube y se alinea conceptualmente con la latencia ultrabaja y la alta densidad de dispositivos que se esperan de las futuras redes 6G.

El aprendizaje federado constituye el núcleo de su solución: en lugar de enviar datos de medidores sin procesar a un servidor central, cada dispositivo entrena un modelo local y comparte solo actualizaciones del modelo. Luego, un coordinador de la nube agrega las actualizaciones para mejorar un modelo global y las redistribuye a los dispositivos, de modo que toda la flota aprenda de manera colaborativa mientras los datos privados permanecen. Esta combinación de aprendizaje federado en el borde con coordinación en la nube muestra cómo el uso del diseño, la inteligencia artificial (IA) y la tecnología podrían crear una red que sea más inteligente y más segura.

«Nuestro trabajo es un paso exploratorio hacia la comprensión de cómo el aprendizaje federado y las tecnologías de la nube podrían ayudar a proteger las futuras redes inteligentes a medida que surjan entornos 6G», explicó el profesor Yeo, quien añadió que su trabajo es complementario y no reemplaza las medidas existentes.

Para explorar la viabilidad, el equipo construyó dos bancos de pruebas de prueba de concepto en condiciones experimentales controladas. En el primero, los dispositivos Raspberry Pi sustituyeron a los medidores inteligentes, entrenaban modelos locales y enviaban actualizaciones a una estación de trabajo que desempeñaba el papel de una pequeña estación base.

En el segundo, simularon medidores en Amazon Web Services (AWS), utilizando instancias de nube informática elástica virtual (EC2) equipadas con Greengrass para capacitación local y funciones AWS Lambda para coordinación. Se utilizaron otros servicios de AWS, como IoT Core, S3, DynamoDB y Step Functions, para gestionar la mensajería, el almacenamiento de datos y la orquestación dentro del entorno simulado.

«Es importante tener en cuenta que no utilizamos una red 6G activa», compartió el profesor Yeo. «En conjunto, nuestros dos prototipos ilustraron cómo el aprendizaje federado en el borde puede ser respaldado por la coordinación de la nube, y cómo las características proyectadas de 6G, como latencia muy baja, alta densidad de dispositivos y alto rendimiento, podrían permitir actualizaciones rápidas y que preserven la privacidad en muchos dispositivos en futuras redes inteligentes».

Los investigadores evaluaron varios modelos, incluida la regresión logística, una red neuronal de retroalimentación y una red neuronal convolucional unidimensional (1D-CNN), en un punto de referencia ampliamente utilizado de tráfico DDoS (CIC-DDoS2019). Una CNN residual, diseñada para aprender patrones temporales más profundos y evitar gradientes que desaparecen, funcionó mejor en el banco de pruebas del dispositivo, alcanzando alrededor del 97,9% de precisión con gran precisión y recuperación.

Es importante destacar que cuando se ejecutó el mismo enfoque en el prototipo basado en la nube bajo condiciones experimentales controladas, el rendimiento se mantuvo en términos generales consistente. Utilizando pruebas de permutación, el equipo no encontró diferencias estadísticamente significativas en la precisión promedio, la recuperación o la exactitud entre las ejecuciones locales y en la nube, resultados que son alentadores para una futura coordinación a gran escala.

Las mediciones prácticas fueron igualmente importantes. En los dispositivos Raspberry Pi, el equipo cuantificó el uso de memoria y CPU, el consumo de energía, el tiempo de entrenamiento y la sobrecarga de comunicación en todos los modelos y rondas de entrenamiento federado. La CNN residual entregó la detección más sólida pero consumió más recursos, lo que apunta a compensaciones en el mundo real.

Los estudios de escala de 4 a 64 nodos simulados mostraron una convergencia más rápida y una mejor precisión/recuperación a medida que participaron más dispositivos, al tiempo que revelaron la creciente proporción de tiempo dedicado a la comunicación. Estos resultados sugieren que el ancho de banda y la orquestación serán cada vez más importantes a medida que dichos sistemas crezcan.

Si bien los resultados son prometedores, el equipo se mantiene cauteloso. Su solución es un marco en etapa de investigación validado en prototipos y conjuntos de datos de referencia, no una implementación de utilidad en vivo.

«Nuestra investigación se encuentra en la etapa de prueba de concepto, por lo que la aplicación inmediata radica en proporcionar un marco y conocimientos experimentales que muestren cómo el aprendizaje federado con integración en la nube podría mejorar potencialmente la detección de intrusiones en redes inteligentes», describió el profesor Yeo.

Destaca que la adopción requeriría pilotos con datos reales de la red, integración con las defensas existentes (desde la autenticación hasta la limitación de velocidad) y alineación con las regulaciones. El equipo también ve espacio para comparar familias de modelos, como arquitecturas basadas en transformadores, e incorporar técnicas semisupervisadas (por ejemplo, pseudoetiquetado) para aprender de los grandes volúmenes de tráfico no etiquetado común en las redes operativas.

«A medida que 6G proporcione una conectividad más densa y una comunicación de latencia ultrabaja, las ciberamenazas también evolucionarán», señaló el profesor Yeo. «Necesitamos defensas que aprendan continuamente de datos locales diversos y al mismo tiempo garanticen que la información sensible de la red permanezca protegida. Esa es la promesa del aprendizaje federado, sólo si lo combinamos con una ingeniería cuidadosa y una validación rigurosa».

Para las empresas de servicios públicos, el valor a corto plazo es direccional. El estudio mapea cómo una capa de detección que preserva la privacidad podría combinarse con los sistemas actuales de detección de intrusiones, qué recursos necesitarían los dispositivos perimetrales y cómo los servicios en la nube podrían orquestar la capacitación y las actualizaciones. También destaca los primeros cuellos de botella, como los presupuestos de energía, el ancho de banda y la sincronización, que deben abordarse antes de su implementación en el mundo real.

Los próximos pasos del equipo de SUTD incluyen recopilar conjuntos de datos que combinen el tráfico de la red con mediciones físicas (voltaje, corriente), probar esquemas adaptativos que ajusten los modelos a los niveles de amenaza y las condiciones de la red, y explorar variantes energéticamente eficientes para dispositivos con recursos limitados.

«Junto con socios de servicios públicos, esperamos traducir los prototipos en estudios piloto colaborativos que midan la calidad de la detección, la latencia y el impacto operativo en el campo», añadió el profesor Yeo.