Mitigación de ataques de día cero en redes e Internet de las Cosas (IoT)

Abstract

[ES]Los ataques de día cero dirigidos a dispositivos del Internet de las Cosas (IoT) y a infraestructuras criticas conectadas a red explotan vulnerabilidades desconocidas, dejando a los defensores sin firmas, parches ni indicadores utilizables. Las contramedidas tradicionales como la detección de intrusiones basada en firmas y los modelos de anomalías de una sola capa ofrecen una cobertura incompleta debido a su dependencia de conocimiento previo o a su operación en una única escala. Además, los entornos IoT con recursos limitados requieren técnicas que preserven la privacidad, evitando la transmisión de trafico en bruto a servidores centrales y manteniendo un coste computacional mínimo. Esta tesis desarrolla un marco de defensa estratificado y adaptativo que integra tres mecanismos complementarios: (1) un Autoencoder Transformer Federado, regulado por un agente de aprendizaje por refuerzo, que aprende líneas base de comportamiento directamente en dispositivos de borde y reajusta de forma adaptativa sus umbrales de decisión. (2) un esquema de Diversificacion Temporal de Claves que proporciona autenticación por paquete sin estado y garantías de frescura mediante claves criptográficas evolutivas. (3) un motor de Detección Bioinspirada en el Sistema Inmunitario con lógica mecanismo de vacunación que genera y refina continuamente detectores para reconocer amenazas previamente no observadas. Dispuestas en serie, estas capas cierran brechas especificas que quedan cuando se emplean métodos aislados: la capa temporal filtra rápidamente trafico malformado o repetido, el autoencoder federado detecta anomalías a nivel de secuencia sin vulnerar la soberanía de los datos, y la capa inmunoinspirada aporta protección proactiva y reactiva frente a mimetismo adversario y deriva de concepto. Experimentos exhaustivos sobre conjuntos de datos heterogéneos de trafico IoT y de red demuestran el impacto de esta arquitectura integrada. El sistema combinado alcanza una detección casi perfecta con falsos positivos despreciables y tiempos de respuesta a escala de microsegundos; en evaluaciones cruzadas de dominio, generaliza desde trafico IoT hasta trazas publicas de redes de PC, logrando un 100% de precisión, exhaustividad (recall) y puntuación F1. No obstante, dado que ningún detector puede garantizar de todo ataque de día cero en su primera aparición especialmente cuando el comportamiento inicial imita de cerca la actividad benigna puede persistir una pequeña exposición residual bajo el supuesto de “brecha asumida” (assume-breach). Para abordar este riesgo remanente, el marco incorpora FG-RCA (Fine- Grained Runtime Containment Agent): una capa de contención post-explotación, aplicada en el kernel, que aprende un perfil de mínimo privilegio a partir del funcionamiento benigno del dispositivo y bloquea en tiempo de ejecución acciones del sistema fuera de política (p. ej., comportamientos inesperados de procesos, archivos, red o privilegios), limitando los objetivos del atacante y reduciendo el impacto incluso si una intrusión logra eludir inicialmente la detección. La capa inmunoinspirada, además, aprende a reconocer comportamientos de día cero tras unas pocas exposiciones, reforzando la resiliencia a largo plazo frente a la deriva y la adaptación adversaria. En conjunto, estos resultados muestran que un sistema inmunitario digital multicapa puede conciliar privacidad, escalabilidad, adaptabilidad, generalización y contención, ofreciendo un modelo de referencia para la defensa resiliente de infraestructuras IoT y redes de próxima generación.

[EN]Zero-day attacks targeting Internet-of-Things (IoT) devices and critical networked infrastructures exploit unknown vulnerabilities, leaving defenders without usable signatures, patches, or indicators. Traditional countermeasures, such as signature-based intrusion detection and single-layer anomaly models, provide incomplete coverage due to their reliance on pre-existing knowledge and limited operational scope. Resource-constrained IoT deployments further require privacy-preserving methods that avoid transmitting raw traffic to central servers while imposing minimal computational overhead. This dissertation develops a layered, adaptive defense framework that integrates three complementary mechanisms: (1) A Federated Transformer Autoencoder regulated by a reinforcement learning agent to learn behavioral baselines directly on edge devices and adaptively re-tune decision thresholds. (2) A Temporal Key Diversification scheme providing stateless per-packet authentication and freshness guarantees through evolving cryptographic keys. (3) An Adaptive Immune-Inspired Intrusion Detection engine with vaccination mechanism logic that continually generates and refines detectors to recognize previously unseen threats. Arranged in series, these layers close specific detection gaps left by individual methods: the temporal layer rapidly filters malformed or replayed traffic, the federated Autoencoder detects sequence-level anomalies without violating data sovereignty, and the immune-inspired layer provides proactive and reactive protection against adversarial mimicry and concept drift. Comprehensive experiments on heterogeneous IoT and network traffic datasets demonstrate the impact of this integrated architecture. The combined system achieves near-perfect detection with negligible false positives and microsecond-scale response times; in cross-domain evaluations it generalizes from IoT traffic to publicly available PC-network traces, attaining 100% precision, recall, and F1-score. Nevertheless, because no detector can guarantee immediate of every zero-day attack especially when early behavior closely mimics benign activity a small residual “assumed breach” exposure can remain. To address this leftover risk, the framework incorporates FG-RCA (Fine-Grained Runtime Containment Agent): a kernel-enforced postexploitation containment layer that learns a least-privilege behavior profile from benign device operation and blocks out-of-policy system actions at runtime (e.g., unexpected process, file, network, or privilege behaviors), constraining attacker objectives and limiting impact even if an intrusion initially slips past detection. The immune-inspired layer further learns to recognize zero-day behaviors within a few exposures, reinforcing long-term resilience under drift and adversarial adaptation. Overall, these results show that a multi-layered digital immune system can reconcile privacy, scalability, adaptability, generalization, and containment, offering a blueprint for resilient defense of next-generation IoT and networked infrastructures.