Behavioral modeling for anomaly detection in industrial control system

• Autores: Iñaki Garitano Garitano
• Directores de la Tesis: Roberto Uribeetxeberria Ezpeleta (dir. tes.) , Urko Zurutuza Ortega (codir. tes.)
• Lectura: En la Mondragon Unibertsitatea ( España ) en 2014
• Idioma: inglés
• Tribunal Calificador de la Tesis: Francisco Javier López (presid.) , Félix Larrinaga Barrenechea (secret.) , Christopher J Bennett (voc.) , Eduardo Jacob Taquet (voc.) , Julian Florez Esnal (voc.)
• Enlaces
  • Tesis en acceso abierto en:  TESEO  eBiltegia 
• Resumen

  • En los an¿os 90, la industria proclamo¿ la interconexión de las redes corporativas y los de producción. Así¿, los Sistemas de Control Industrial (SCI) evolucionaron desde el hardware y software propietario de los 70 hasta los dispositivos comunes de hoy en di¿a. Incluso si esta adopción implico¿ diversas ventajas, como el uso de hardware y software comunes, conlleva múltiples vulnerabilidades. Gusanos especialmente desarrollados como Stuxnet, Duqu, Night Dragon y Flame mostraron su potencial para causar dan¿os y obtener informacio¿n. Los Sistemas de Deteccio¿n de Anomali¿as (SDA) esta¿n considerados como mecanismos de seguridad apropiados para los SCI debido a la repetitividad y la arquitectura esta¿tica de los procesos industriales. Los SDA basan su operacio¿n en modelos de comportamiento que requieren datos libres de ataque o extensas descripciones de proceso para su creacio¿n.

    Esta tesis propone un nuevo enfoque para el ana¿lisis de los datos de la carga u¿til del tra¿fico de protocolos industriales binarios y la generacio¿n automa¿tica de modelos de comportamiento sintetizados en reglas. Asi¿ mismo, mediante este trabajo se ha desarrollado un me¿todo para generar tra¿fico de red realista en condiciones de laboratorio sin la necesidad de instalaciones SCI reales. Esta contribucio¿n establece las bases de un futuro SDA asi¿ como el respaldo a la experimentacio¿n mediante la recreacio¿n de tra¿fico realista en entornos simulados. Adema¿s, se ha propuesto un nuevo enfoque para la correccio¿n de retraso y latencia. Esta propuesta mejora la calidad del SDA basados en tiempo reduciendo el ratio de falsos positivos.

    Mediante la experimentacio¿n se han validado los enfoques propuestos utilizando algunos me¿todos estadi¿sticos, medidas de calidad de SDA y comparando los resultados con tra¿fico obtenido a partir de instalaciones reales. Se ha demostrado que son posibles los SDA basados en carga u¿til sin la necesidad de entender el contenido de la carga, que la generacio¿n de tra¿fico realista en condiciones de laboratorio es posible y que la correccio¿n del retraso y la latencia mejoran la calidad de los modelos de comportamiento.

    Como conclusio¿n, las propuestas presentadas proporcionan un SDA capaz de trabajar con protocolos privados de control industrial a la vez que un me¿todo para la creacio¿n de modelos de comportamiento para SCI sin la necesidad de datos de entrenamiento.