La detección de intrusiones constituye una de las áreas fundamentales en la ciberseguridad. Su objetivo es identificar accesos no autorizados, ataques maliciosos o violaciones de políticas dentro de redes y sistemas informáticos. Esta tarea se lleva a cabo mediante Sistemas de Detección de Intrusos (IDS, por sus siglas en inglés), los cuales pueden clasificarse en dos enfoques principales: detección basada en firmas (identificación de patrones conocidos) y detección basada en anomalías (identificación de comportamientos sospechosos mediante análisis estadístico o inteligencia artificial).

​

1. Tipos de Sistemas de Detección de Intrusos (IDS)

Existen dos categorías principales de IDS:

    • HIDS (Host-based Intrusion Detection System): Se encargan de analizar eventos ocurridos en un dispositivo individual. Detectan              cambios en archivos críticos, ejecución de procesos sospechosos o accesos no autorizados.

    • NIDS (Network-based Intrusion Detection System): Se enfocan en la supervisión del tráfico de red, buscando patrones anómalos o            indicios de ataques como denegación de servicio distribuido (DDoS), escaneos de puertos, exploits o malware.

​

Los sistemas IDS modernos incorporan técnicas de aprendizaje automático (ML) y redes neuronales para identificar ataques sofisticados que podrían evadir métodos tradicionales de detección.

 

2. Desafíos del Uso de Aprendizaje Automático en IDS

A pesar de sus ventajas, el uso de ML en sistemas de detección de intrusiones conlleva diversos retos:

     • Falsos positivos y falsos negativos: Es crucial reducir al mínimo las alertas incorrectas (falsos positivos) y los ataques no detectados         (falsos negativos), ya que ambos afectan la eficacia del sistema.

     • Datos desbalanceados: La frecuencia de ciertos tipos de ataques puede ser baja, lo cual complica el entrenamiento de modelos de         clasificación precisos.

     • Evasión de ataques: Los atacantes pueden desarrollar técnicas específicamente diseñadas para evitar la detección, lo que obliga a         mantener los modelos constantemente actualizados.

    • Alto costo computacional: Algunos algoritmos, especialmente los basados en aprendizaje profundo (deep learning), requieren una          considerable cantidad de recursos computacionales para procesar datos en tiempo real.

​