Examinando por Autor "Nieves Hernández, Juan Camilo"

Mostrando 1 - 1 de 1
  • Miniatura
    PublicaciónAcceso abierto
    Detección de anomalías mediante Machine Learning y respuesta activa inteligente en entornos IoT utilizando el motor SnortML y orquestación con n8n
    (Universidad de los Andes, 2026-05-27) Nieves Hernández, Juan Camilo; Donoso Meisel, Yezyd Enrique
    El Internet de las Cosas (IoT, por Internet of Things) es el nombre que recibe la red formada por dispositivos físicos cotidianos —sensores, cámaras, electrodomésticos, equipos industriales- que se conectan a Internet para intercambiar datos. Su rápido crecimiento ha ampliado la superficie de ataque de las redes: cada nuevo dispositivo es una posible puerta de entrada para un atacante. La situación se agrava porque muchos de estos equipos se comunican mediante protocolos ligeros como MQTT (Message Queuing Telemetry Transport) y CoAP (Constrained Application Protocol), que los sistemas de detección de intrusiones (IDS, Intrusion Detection Systems) tradicionales no entienden en profundidad y por tanto no protegen bien. Este trabajo presenta el diseño, la implementación y la validación de SnortML, un sistema que aborda esa carencia combinando tres capas que trabajan en cascada. La primera capa extiende el motor de inspección de tráfico Snort 3 con dos inspectores escritos en el lenguaje Lua, uno para MQTT y otro para CoAP. Estos inspectores leen los paquetes en tiempo real y extraen hasta 26 features (características numéricas que describen cada paquete: tipo de mensaje, longitud, banderas, presencia de payload, etc.) que luego pueden ser analizadas por un algoritmo. La segunda capa aplica Machine Learning (ML, aprendizaje automático) sobre esas características. En lugar de un único modelo general, se entrenó una arquitectura de router: dos modelos especializados, uno por protocolo, y un despachador que decide cuál usar según el origen del paquete. El modelo de CoAP se construyó con Random Forest (un clasificador formado por muchos árboles de decisión que votan) y alcanza un F1-macro —métrica que mide el balance entre precisión y exhaustividad promediando todas las clases por igual— de 1,0 en datos limpios y 0,95 con 15 % de ruido inyectado sobre un dataset propio de 1 782 paquetes. El modelo de MQTT usa XGBoost (eXtreme Gradient Boosting, un método más avanzado de árboles que se entrenan en serie corrigiéndose entre sí) y logra F1-macro = 0,73 sobre el dataset público MQTT-IoT-IDS2020 con 50 000 muestras. La tercera capa convierte cada detección en una acción concreta. Cuando el modelo marca un paquete como ataque, un bridge en Python envía la alerta vía HTTP a n8n, una plataforma open-source de orquestación tipo SOAR (Security Orchestration, Automation and Response). El workflow configurado en n8n ejecuta automáticamente dos respuestas: un bloqueo de firewall simulado y una notificación instantánea al administrador a través de Telegram. En las pruebas de demostración el tiempo total desde la detección hasta la notificación se mantuvo por debajo de los 2 segundos. En conjunto, SnortML demuestra que la inspección de protocolo, el aprendizaje automático y la respuesta automatizada -tres capas que normalmente se estudian por separado- pueden integrarse en un único pipeline reproducible y extensible, y ofrecer detección y contención de ataques IoT en cuestión de segundos sobre un stack totalmente abierto y de bajo costo.