Framework para la detección de botnets en redes IoT utilizando técnicas de aprendizaje automático y microservicios

Abstract

En los últimos años, la rápida evolución en las redes de comunicaciones – caracterizada por mayor conectividad y menores latencias – ha impulsado la consolidación del paradigma de el Internet de las Cosas (IoT por sus siglas en inglés).

Este paradigma ha potenciado la conexión a Internet de forma masiva de dispositivos IoT en el ámbito doméstico, lo cual ha expuesto vulnerabilidades de seguridad significativas en las redes privadas de los usuarios, comprometiendo la seguridad de los mismos. En consecuencia, estas brechas de seguridad están siendo explotadas para la formación de botnets, que evaden la vigilancia de los mecanismos tradicionales de monitorización y detección debido a las particularidades operativas de las capas intermedias (frontera/niebla) de las redes IoT.

El objetivo del presente trabajo es el diseño y despliegue de un framework de detección de botnets en redes IoT basado en Aprendizaje Automático. Para ello, se propone una arquitectura en microservicios en tres capas donde los servicios están expuestos vía HTTP permitiendo un despliegue ligero y escalable similar a propuestas de Detection-as-a-service en el estado del arte. Se demuestra la factibilidad de implementar modelos ligeros capaces de ofrecer resultados competitivos en la detección de las botnets sin un consumo excesivo de recursos.

Con el fin de validar la solidez del sistema de detección se emplean diferentes datasets, métodos de selección de características y técnicas de desbalanceo. Se analizan algunos modelos clásicos (XGBoost, Random Forest y MLP) junto a Redes Neuronales Recurrentes de tipo GRU para estudiar su aplicabilidad. Esta metodología de validación ha llevado a la obtención de métricas muy competitivas (F1 y AUPRC) aunque con algunas limitaciones en datasets profundamente desbalanceados (bajo MCC) destacando los modelos XGBoost y MLP por su equilibrio entre robustez y eficiencia.

In the last few years, the fast evolution of communication networks – characterised by more connectivity and reduced latencies – has driven the consolidation of the Internet of Things paradigm (IoT). This paradigm has promoted the massive Internet connection of IoT devices in the domestic field, which has exposed significant security vulnerabilities in users’ private networks, compromising their security. Consequently, these security breaches are being exploited for the formation of botnets, which avoid the surveillance of traditional monitoring and detection mechanisms due to the distinctive operative features of the intermediate layers (edge/fog) of IoT networks.

The main goal of this paper is the design and deployment of a botnet detection framework based on Machine Learning. In order to achieve that, a three layer microservices based architecture is proposed where the services are exposed via HTTP enabling a scalable and light deployment, similar to Detection-as-a-service proposals in the state of the art. The feasibility of implementing light models that are able to offer competitive results In order to validate the proposed detection framework different datasets, feature selectors and imbalance handling techniques have been tested. Several classical models (XG-Boost, Random Forest and MLP) as well as GRU Recurrent Neural Networks have been studied.

This validation methodology has lead to competitive metrics (F1 and AUPRC) as well as limitations in severely imbalanced datasets (lower MCC) with XGBoost and MLP standing out due to their balance between efficiency and robustness.