Este Trabajo Fin de Máster desarrolla una investigación y análisis exhaustivo sobre la clasificación y detección temprana de ataques de denegación de servicio y conexiones Heavy Hitter benignas en redes 5G/6G, a través de modelos avanzados de Inteligencia Artificial. Los Heavy Hitters son conexiones de red, como transmisiones de video, ataques DDoS o transferencias de ficheros muy grandes, que consumen una proporción desmesurada del ancho de banda. Distinguir correctamente entre los flujos Heavy-Hitter benignos y los maliciosos es fundamental para el rendimiento y la seguridad de la red.
Haciendo uso de datos estadísticos agregados de las conexiones de un escenario realista de una red 5G/6G, en este TFM diseñamos y evaluamos un conjunto de modelos IA cuyo objetivo es poder identificar lo antes posible y con precisión si las conexiones analizadas son benignas o maliciosas, manteniendo en privado todos los detalles de la conexión. Este análisis busca ver las fortalezas y debilidades de los modelos dependiendo de la ventana temporal de captura. La investigación de este TFM abarcará la evaluación desde métodos de Machine Learning tradicional, como Random Forest, hasta modelos representativos del estado del arte actual. Este TFM busca comprender el impacto de la arquitectura del modelo y del volumen temporal de datos procesados tanto en la capacidad de detección temprana de los ataques como en la precisión de la detección.
Para garantizar la validez y privacidad de los datos, los conjuntos de entrenamiento, validación y prueba se generaron mediante tecnología de Gemelos Digitales de Red (Network Digital Twins, NDT), la cual permite emular y etiquetar tanto tráfico benigno como ataques sin comprometer información sensible.
El proyecto se enfoca en analizar el equilibrio entre la velocidad de detección y la precisión, así como la sensibilidad frente a los ataques. A medida que se espera más tiempo para que una conexión genere más ventanas temporales, los modelos reciben mayor cantidad de información, aunque esto implica que la detección del ataque se prolongue en el tiempo. El objetivo principal de este trabajo es identificar cómo varía la precisión en función del tiempo de observación y del modelo seleccionado.
Durante el proyecto, los modelos seleccionados se entrenaron, validaron y evaluaron en distintos escenarios de captura y tiempos de decisión, con el fin de proporcionar una visión detallada del comportamiento de los algoritmos de IA. Como resultado del proyecto se han obtenido un conjunto de modelos entrenados y ajustados para la detección temprana de los ataques junto con un análisis extensivo y comparativo de su funcionamiento. Es importante destacar que todo el trabajo se ha realizado utilizando datos extraídos de un escenario realista de red 5G/6G en el que se combina tráfico normal con ataques de denegación de servicio de diferentes tipos y tráfico del tipo Heavy-Hitter.
Abstract:
This Master’s Thesis presents a comprehensive investigation and analysis on the classification and early detection of Denial-of-Service (DoS) attacks and benign Heavy Hitter connections in 5G/6G networks, using advanced Artificial Intelligence models.
Heavy Hitters are network connections such as video streams, DDoS attacks, or large file transfers that consume a disproportionate share of bandwidth. Correctly distinguishing between benign and malicious Heavy Hitter flows is essential for maintaining both network performance and security.
Using aggregated statistical data from a realistic 5G/6G network scenario, this thesis designs and evaluates a set of AI models aimed at accurately and rapidly identifying whether the analyzed connections are benign or malicious, without revealing any private connection details. The analysis examines the strengths and weaknesses of different models depending on the temporal observation window. The research spans traditional Machine Learning methods, such as Random Forest, as well as state-of-the-art deep learning models. The thesis seeks to understand the impact of model architecture and temporal data volume on detection accuracy and early threat identification.
To ensure data privacy and validity, the training, validation, and test datasets were generated using Network Digital Twin (NDT) technology, which enables the emulation and labeling of both benign traffic and attacks without exposing sensitive information.
The project focuses on analyzing the trade-off between detection speed and accuracy, as well as model sensitivity to attacks. The more time allowed for a connection to generate multiple time windows, the more information is available to the model though this also means that detection may be delayed. The main objective of this work is to identify how detection accuracy varies based on the length of the observation period and the model used.
Throughout the project, the selected models were trained, validated, and evaluated across different capture scenarios and decision times to provide a detailed view of AI behavior. As a result, the project delivers a set of trained and tuned models for early attack detection, along with an extensive comparative analysis of their performance. It is worth highlighting that all experiments were conducted using data derived from a realistic 5G/6G network use case, combining benign traffic with various types of DoS attacks and Heavy Hitter flows.
Este Trabajo Fin de Máster desarrolla una investigación y análisis exhaustivo sobre la clasificación y detección temprana de ataques de denegación de servicio y conexiones Heavy Hitter benignas en redes 5G/6G, a través de modelos avanzados de Inteligencia Artificial. Los Heavy Hitters son conexiones de red, como transmisiones de video, ataques DDoS o transferencias de ficheros muy grandes, que consumen una proporción desmesurada del ancho de banda. Distinguir correctamente entre los flujos Heavy-Hitter benignos y los maliciosos es fundamental para el rendimiento y la seguridad de la red.
Haciendo uso de datos estadísticos agregados de las conexiones de un escenario realista de una red 5G/6G, en este TFM diseñamos y evaluamos un conjunto de modelos IA cuyo objetivo es poder identificar lo antes posible y con precisión si las conexiones analizadas son benignas o maliciosas, manteniendo en privado todos los detalles de la conexión. Este análisis busca ver las fortalezas y debilidades de los modelos dependiendo de la ventana temporal de captura. La investigación de este TFM abarcará la evaluación desde métodos de Machine Learning tradicional, como Random Forest, hasta modelos representativos del estado del arte actual. Este TFM busca comprender el impacto de la arquitectura del modelo y del volumen temporal de datos procesados tanto en la capacidad de detección temprana de los ataques como en la precisión de la detección.
Para garantizar la validez y privacidad de los datos, los conjuntos de entrenamiento, validación y prueba se generaron mediante tecnología de Gemelos Digitales de Red (Network Digital Twins, NDT), la cual permite emular y etiquetar tanto tráfico benigno como ataques sin comprometer información sensible.
El proyecto se enfoca en analizar el equilibrio entre la velocidad de detección y la precisión, así como la sensibilidad frente a los ataques. A medida que se espera más tiempo para que una conexión genere más ventanas temporales, los modelos reciben mayor cantidad de información, aunque esto implica que la detección del ataque se prolongue en el tiempo. El objetivo principal de este trabajo es identificar cómo varía la precisión en función del tiempo de observación y del modelo seleccionado.
Durante el proyecto, los modelos seleccionados se entrenaron, validaron y evaluaron en distintos escenarios de captura y tiempos de decisión, con el fin de proporcionar una visión detallada del comportamiento de los algoritmos de IA. Como resultado del proyecto se han obtenido un conjunto de modelos entrenados y ajustados para la detección temprana de los ataques junto con un análisis extensivo y comparativo de su funcionamiento. Es importante destacar que todo el trabajo se ha realizado utilizando datos extraídos de un escenario realista de red 5G/6G en el que se combina tráfico normal con ataques de denegación de servicio de diferentes tipos y tráfico del tipo Heavy-Hitter.
Abstract:
This Master’s Thesis presents a comprehensive investigation and analysis on the classification and early detection of Denial-of-Service (DoS) attacks and benign Heavy Hitter connections in 5G/6G networks, using advanced Artificial Intelligence models.
Heavy Hitters are network connections such as video streams, DDoS attacks, or large file transfers that consume a disproportionate share of bandwidth. Correctly distinguishing between benign and malicious Heavy Hitter flows is essential for maintaining both network performance and security.
Using aggregated statistical data from a realistic 5G/6G network scenario, this thesis designs and evaluates a set of AI models aimed at accurately and rapidly identifying whether the analyzed connections are benign or malicious, without revealing any private connection details. The analysis examines the strengths and weaknesses of different models depending on the temporal observation window. The research spans traditional Machine Learning methods, such as Random Forest, as well as state-of-the-art deep learning models. The thesis seeks to understand the impact of model architecture and temporal data volume on detection accuracy and early threat identification.
To ensure data privacy and validity, the training, validation, and test datasets were generated using Network Digital Twin (NDT) technology, which enables the emulation and labeling of both benign traffic and attacks without exposing sensitive information.
The project focuses on analyzing the trade-off between detection speed and accuracy, as well as model sensitivity to attacks. The more time allowed for a connection to generate multiple time windows, the more information is available to the model though this also means that detection may be delayed. The main objective of this work is to identify how detection accuracy varies based on the length of the observation period and the model used.
Throughout the project, the selected models were trained, validated, and evaluated across different capture scenarios and decision times to provide a detailed view of AI behavior. As a result, the project delivers a set of trained and tuned models for early attack detection, along with an extensive comparative analysis of their performance. It is worth highlighting that all experiments were conducted using data derived from a realistic 5G/6G network use case, combining benign traffic with various types of DoS attacks and Heavy Hitter flows. Read More
Related posts:
Detección de ataques DDoS mediante el uso de una red neuronal
Diseño de una plataforma inteligente para la detección de ataques DDoS
Detección de plagio en textos por uso de chatbots basados en grandes modelos de lenguaje generativos
Desarrollo de un sistema de diagnóstico de afecciones, utilizando deep learning
Sistema de detección y clasificación automática de anomalías en radiografías de tórax utilizando Deep Learning
Detección y clasificación de aeronaves en imágenes SAR mediante machine learning y generación sintética con modelos de difusión