Entitat: Universitat Rovira i Virgili (URV)
Confidencialitat: No
Ensenyament(s): Enginyeria de la Seguretat Informàtica i Intel·ligència Artificial
Títol en diferents idiomes: Detecció de novetats i classificació primerenca d'activitats malicioses en sistemes de control industrial
Resum: Els sistemes de control industrial (IC) són un conjunt de processos industrials que gestionen, dirigeixen i regulen el comportament d'altres dispositius. En particular, aquests processos són vitals per al servei d'infraestructures crítiques, com les comunicacions, la fabricació i l'energia. Un atac a aquestes infraestructures pot suposar una amenaça per al dia a dia dels Estats. Malauradament, en els últims anys, els sistemes de detecció d'anomalies de xarxa (SIGC) han estat subjectes a un augment en el nombre d'atacs, tot i que els sistemes de detecció d'anomalies de xarxa (NSD) són capaços de detectar atacs existents i de zero dies, encara no s'implementa universalment en la indústria i les aplicacions reals, ja que els sistemes actuals produeixen alts índexs de falsos positius (FPR) i baixos índexs de detecció (DR). En conseqüència, la detecció d'anomalies segueix sent infrautilitzada en l'àmbit de la ciberseguretat. No obstant això, la tècnica alternativa, la detecció d'abusos, està limitada pel fet que només aborda les vulnerabilitats conegudes. Per tant, hi ha una necessitat obligatòria de detecció d'anomalia per ser operacional per augmentar la cobertura dels sistemes actuals de detecció d'intrusió (IDS). L'objectiu d'aquesta tesi mestra és aplicar l'aprenentatge automàtic i les tècniques d'aprenentatge profund que permeten la definició de l'espai de normalitat per abordar la detecció de novetats i la classificació primerenca d'activitats malicioses en ICS. La raó que hi ha darrere és que si la infraestructura subjacent de mostres de malware és similar (per exemple, com a resultat de ser controlat pel mateix atacant, o reutilitzar codi d'un altre autor), els seus comportaments o l'ordre en què realitzen certes accions serien similars. Concretament, la solució mira les similituds mostrades en el trànsit de xarxa industrial modelitzat per un conjunt de característiques millorades compost de característiques simples d'alt nivell, extretes de les capçaleres i càrregues útils dels paquets de xarxa. Pel que fa a les tècniques d'aprenentatge automàtic, s'han implementat i provat alguns mètodes tradicionals d'aprenentatge automàtic i xarxes neuronals profundes molt adequades per a conjunts de dades d'alta dimensió. Després de diversos rastres, la solució final combina una tècnica de detecció d'anomalia no supervisada anomenada AutoEncoder (per a la detecció d'atacs desconeguts) amb Random Forest, un aprenentatge automàtic supervisat que suporta la detecció d'atacs coneguts, així com reduir la falsa taxa positiva. Aquest nou conducte d'aprenentatge automàtic detecta amb èxit atacs de zero dies i específics, ja que aconsegueix una precisió de 0,998425, recordant de 0,9607375 i f1- puntuació de 0,9733375, mentre que redueix a un valor insignificant la falsa taxa positiva. Les avaluacions de rendiment d'aquest enfocament s'han dut a terme utilitzant el conjunt de dades de referència anomenat CICIDS2017. Aquest conjunt de dades va ser creat per l'Institut Canadenc de Ciberseguretat (CIC) i la Universitat de Nova Brunsvic (UNB). Aquest conjunt de dades s'adapta a una varietat d'atacs multi-escenaris actualitzats i estratègies d'intrusos en comportaments normals moderns.
Matèria: Enginyeria informàtica
Curs acadèmic: 2020-2021
Idioma: en
Data de la defensa del treball: 2021-09-21
Àrees temàtiques: Enginyeria informàtica
Estudiant: Palacios Prados, Maria Carmen
Codirector del treball: 46557028Z
Departament: Enginyeria Informàtica i Matemàtiques
Data d'alta al repositori: 2022-05-17
Paraules clau: Detecció d’intrusions, AutoEncoder, Random Forest
Títol en la llengua original: Novelty detection and early classification of malicious activities on industrial control systems
Drets d'accés: info:eu-repo/semantics/openAccess
Director del projecte: Gómez Jiménez, Sergio
Repositori URV