Resumen:
CyberLLM-Net propone un enfoque avanzado para la detección de amenazas cibernéticas mediante el uso de modelos de lenguaje grandes (LLMs) aplicados al análisis de protocolos de red. Frente a las limitaciones de los sistemas SIEM tradicionales —como la alta tasa de falsos positivos, la falta de contextualización del tráfico y la complejidad creciente de los ciberataques— este trabajo integra técnicas de inteligencia artificial explicable (xAI) y modelos LLM para mejorar la eficacia en la detección y la interpretabilidad de resultados.

El sistema combina un autoencoder entrenado sobre tráfico benigno, capaz de identificar anomalías a partir del error de reconstrucción, con técnicas de explicabilidad como SHAP para atribuir decisiones a características concretas del tráfico. Además, se incorpora un LLM fine-tuned para traducir explicaciones técnicas en lenguaje natural comprensible, mejorando así la adopción del sistema por parte de analistas humanos.

El trabajo emplea datasets públicos como CIC-IDS2018 y UNSW-NB15, y transforma tráfico de red a nivel de paquete en representaciones vectoriales mediante BERT. Estas representaciones permiten realizar tareas de clasificación, clustering y generación de explicaciones semánticas con alta precisión (F1-score > 99%).

CyberLLM-Net se presenta como una arquitectura híbrida y explicable, capaz de adaptarse a tráfico realista, identificar patrones complejos en tiempo real y contribuir a la mejora de los SIEMs actuales en términos de precisión, eficiencia y sostenibilidad.

Anfitriones: Alejandro Hevia (DCC/CLCERT) y Javier Bustos (NIC Labs)

--
Comunicaciones DCC