Neurosymbolic Learning for Advanced Persistent Threat Detection under Extreme Class Imbalance

Este artículo propone una arquitectura neurosimbólica que integra un modelo BERT optimizado con redes tensoriales lógicas para detectar amenazas persistentes avanzadas en redes IoT inalámbricas, logrando un alto rendimiento y explicabilidad a pesar del desequilibrio extremo de clases mediante el uso de pérdida focal, clasificación jerárquica y estrategias de muestreo adaptativo.

Lo esencial

Imagina que tu ciudad inteligente (con sus semáforos, cámaras y sensores) es como una gran fiesta donde miles de personas (los dispositivos IoT) están hablando, bailando y compartiendo información todo el tiempo.

El problema es que, entre toda esa gente, hay un grupo muy pequeño de ladrones sigilosos (las amenazas persistentes avanzadas o APTs). Estos ladrones no entran rompiendo puertas; se mezclan con la multitud, observan, se mueven de habitación en habitación y roban cosas poco a poco sin que nadie se dé cuenta.

El desafío para los sistemas de seguridad actuales es doble:

1. Hay demasiada gente buena: De cada 100 personas en la fiesta, 98 son inocentes y solo 2 son ladrones. Es como buscar una aguja en un pajar, pero el pajar es gigante.
2. Los detectores actuales son "cajas negras": Si un sistema de seguridad grita "¡Ladrón!", a menudo no puede explicar por qué. Para un humano, es como si un guardia te dijera "Me da mala espina" sin poder mostrarte qué hizo el ladrón. Eso es peligroso porque no podemos confiar en la decisión.

La Solución: El Detective Híbrido (Neurosimbólico)

Los autores de este paper proponen una nueva arquitectura llamada Neurosimbólica. Para entenderla, imagina que en lugar de un solo guardia, tienes un equipo de dos expertos trabajando juntos:

1. El Experto en Patrones (BERT - La parte "Neural")

Imagina a un detective con una memoria fotográfica increíble. Este detective ha leído millones de libros sobre cómo se comportan las personas en fiestas.

• Su trabajo: Observa el flujo de datos (la conversación de la fiesta) y busca patrones extraños. ¿Alguien está hablando demasiado rápido? ¿Alguien se mueve de un grupo a otro de forma sospechosa?
• La magia: A diferencia de los sistemas antiguos, este detective puede entender el contexto. No solo mira una palabra suelta, sino la frase completa.

2. El Lógico Racional (LTN - La parte "Simbólica")

Ahora imagina a un juez o un abogado muy estricto que tiene un libro de reglas escrito a mano.

• Su trabajo: No adivina. Aplica lógica pura. Por ejemplo: "Si alguien envía una cantidad enorme de datos hacia afuera a las 3 de la mañana Y usa un puerto raro, entonces es sospechoso".
• La magia: Este juez puede explicarte exactamente qué regla se rompió. Si te detiene, puede decirte: "Te detuve porque violaste la regla número 4 sobre el volumen de datos".

¿Cómo trabajan juntos? (La Arquitectura)

El sistema funciona en dos etapas, como un filtro de seguridad en un aeropuerto:

1. Etapa 1: El Filtro Rápido (Detección Binaria)

   • El sistema primero pregunta: "¿Es esto normal o es un ataque?".
   • Como hay tantos pasajeros normales (98%), el sistema está entrenado para ser extremadamente cuidadoso. Si duda, deja pasar. Pero si ve algo raro, lo detiene.
   • Resultado: Logran detectar el 95% de los ataques reales y solo alarmar falsamente al 0.14% de la gente buena. ¡Es como tener un detector de metales que casi nunca se equivoca!

2. Etapa 2: El Análisis Detallado (Clasificación)

   • Solo si el sistema detiene a alguien en la Etapa 1, entonces el "Juez" y el "Detective" se ponen a trabajar en equipo para decir: "¿Qué tipo de ladrón es?".
   • ¿Está haciendo reconocimiento? ¿Está moviéndose lateralmente? ¿Está robando datos?
   • Al no tener que analizar a todos los pasajeros, solo a los sospechosos, el sistema es mucho más eficiente.

¿Por qué es especial este sistema?

1. No inventa datos: Muchos sistemas antiguos intentan "inventar" ejemplos de ladrones para entrenarse (como usar fotos falsas). Este sistema aprende de la realidad, lo que hace que sus conclusiones sean más honestas.
2. Explicabilidad (La clave de la confianza):
   • Cuando el sistema dice "¡Ladrón!", puede mostrarte una lista de razones: "El tráfico de datos fue inusualmente alto, el tiempo entre paquetes fue extraño y se usó un puerto no estándar".
   • Los autores probaron estadísticamente que estas razones no son al azar; realmente corresponden a lo que hacen los ladrones. Es como si el guardia te mostrara las pruebas en lugar de solo decir "confía en mí".

En resumen

Este paper presenta un sistema de seguridad para ciudades inteligentes que es rápido, preciso y, lo más importante, honesto.

En lugar de ser una "caja negra" que toma decisiones misteriosas, es como un detective con un asistente lógico: uno ve los patrones ocultos y el otro explica las reglas que se rompieron. Esto permite que las ciudades y las industrias puedan confiar en que sus sistemas de seguridad funcionan de verdad, incluso cuando los ladrones son muy raros y muy sigilosos.

El resultado final: Un sistema que detecta el 95% de los ataques avanzados, casi nunca molesta a los usuarios inocentes y puede explicar exactamente por qué tomó cada decisión.

Resumen técnico

Aquí tienes un resumen técnico detallado del artículo en español, estructurado según los puntos solicitados:

Título: Aprendizaje Neurosimbólico para la Detección de Amenazas Persistentes Avanzadas (APTs) bajo Desequilibrio de Clases Extremo

1. El Problema

La creciente implementación de dispositivos del Internet de las Cosas (IoT) en ciudades inteligentes e infraestructuras críticas ha expandido la superficie de ataque frente a amenazas persistentes avanzadas (APTs). Estas amenazas son sigilosas, multi-etapa y explotan vulnerabilidades en comunicaciones inalámbricas. La detección efectiva enfrenta dos desafíos principales:

• Desequilibrio Extremo de Clases: El tráfico de red es abrumadoramente benigno (aprox. 98.35% en el conjunto de datos utilizado), lo que hace que las muestras de ataque sean extremadamente raras. Los enfoques de aprendizaje profundo tradicionales suelen optimizar la precisión general, fallando en detectar las clases minoritarias (ataques).
• Falta de Explicabilidad: Los sistemas actuales de detección de intrusos (IDS) basados en IA actúan como "cajas negras". Esto impide que los analistas comprendan los patrones de ataque, validen las alertas o desarrollen estrategias de mitigación, lo cual es crítico para el despliegue autónomo sin supervisión humana constante.

2. Metodología Propuesta

Los autores proponen una arquitectura neurosimbólica que integra un modelo BERT optimizado (componente neuronal) con Redes de Tensores Lógicos (LTN) (componente simbólico) para la detección de APTs en redes IoT inalámbricas.

• Preprocesamiento y Dataset: Se utiliza el conjunto de datos SCVIC-APT2021, que refleja tráfico IoT realista con un desequilibrio severo (98.35% tráfico normal). Se seleccionaron 12 características clave tras un proceso riguroso de selección de características y normalización adaptada al tráfico IoT.
• Arquitectura Dual:
  • Componente Neuronal (BERT): Adapta un modelo BERT pre-entrenado para procesar datos tabulares de flujo de red. Las 12 características se codifican como tokens y se alimentan a BERT para el reconocimiento de patrones complejos y dependencias temporales. Se extraen los pesos de atención (attention weights) para la atribución de características.
  • Componente Simbólico (LTN): Opera en paralelo sobre las mismas características normalizadas. Utiliza 16 predicados lógicos aprendibles (implementados como MLPs) que representan conceptos interpretables del dominio (ej. "transferencia de datos grande", "actividad de puerto inusual"). Estos predicados generan un grado de satisfacción lógico que se combina para la decisión final.
• Clasificación Jerárquica de Dos Etapas: Para abordar el desequilibrio, el sistema no intenta clasificar todo en una sola pasada:
  1. Etapa 1 (Detección Binaria): Clasifica el tráfico como "Normal" o "Ataque". Utiliza Focal Loss para priorizar los ejemplos difíciles de clasificar en este escenario extremadamente desbalanceado.
  2. Etapa 2 (Categorización de APT): Solo se activa si la Etapa 1 detecta un ataque. Clasifica el ataque en una de las 5 etapas de la APT (Compromiso inicial, Reconocimiento, Movimiento lateral, Pivotamiento, Exfiltración de datos). Esto reduce drásticamente el desequilibrio dentro de la sub-tarea de clasificación.
• Entrenamiento Multi-objetivo: La función de pérdida combina tres componentes: pérdida focal para la detección binaria, pérdida de entropía cruzada ponderada para la categorización de ataques y una pérdida de consistencia lógica que asegura que el razonamiento simbólico (LTN) esté alineado con la detección real.

3. Contribuciones Clave

• Marco Neurosimbólico Unificado: Es la primera propuesta en la literatura de IDS para IoT basada en transformadores que integra BERT y LTNs durante el entrenamiento, proporcionando explicaciones fundamentadas en firmas de ataque reales y no en artefactos de aprendizaje.
• Estrategia Jerárquica sin Muestreo Sintético: A diferencia de métodos que usan SMOTE (que generan muestras sintéticas y borran patrones reales), este enfoque aborda el desequilibrio arquitectónicamente mediante la separación de tareas, preservando la integridad de los patrones de ataque reales.
• Validación Estadística de la Explicabilidad: Proporcionan evidencia estadística rigurosa (pruebas t, tamaño del efecto Cohen's d) demostrando que el 75% de las características extraídas muestran diferencias significativas entre tráfico de ataque y normal, validando que las explicaciones del modelo son genuinas.

4. Resultados

El modelo fue evaluado en el conjunto de datos SCVIC-APT2021 (56,432 muestras de prueba):

• Detección Binaria: Logró un F1-score del 95.27% con una tasa de falsos positivos (FPR) extremadamente baja de 0.14%. Esto es crucial para evitar la fatiga de alertas en sistemas autónomos.
• Categorización de Ataques: Obtuvo un F1 macro del 76.75% para la clasificación de las 5 etapas de APT. Aunque inferior a algunos modelos de "caja negra" en métricas puras, el modelo prioriza la viabilidad operativa y la transparencia.
• Comparativa: Superó significativamente a las líneas base puramente neuronales (BERT puro, MLP+BERT) que obtuvieron F1 macro entre 0.39 y 0.43, demostrando la necesidad del componente simbólico.
• Explicabilidad: El análisis de los pesos de atención de BERT y los predicados LTN mostró consistencia y estabilidad, permitiendo a los analistas rastrear decisiones específicas (ej. identificar un ataque de movimiento lateral basado en anomalías en la bandera PSH y volúmenes de paquetes).

5. Significado e Impacto

Este trabajo representa un avance fundamental en la seguridad de redes IoT al demostrar que es posible construir sistemas de detección de intrusos de alto rendimiento, interpretables y operativamente viables.

• Viabilidad Operativa: La baja tasa de falsos positivos y la arquitectura jerárquica hacen que el sistema sea adecuado para el despliegue en nodos de pasarela IoT o servidores de monitoreo con recursos limitados.
• Confianza Autónoma: Al integrar la explicabilidad directamente en el proceso de entrenamiento (en lugar de post-hoc), el sistema permite la toma de decisiones autónoma confiable, donde los analistas pueden validar y entender las alertas generadas.
• Nueva Dirección: Establece un nuevo estándar para la investigación en IDS, moviéndose más allá de la simple optimización de métricas hacia sistemas que son transparentes, estadísticamente validados y capaces de manejar el desequilibrio de datos inherente a las amenazas cibernéticas modernas.