Detección de instrucciones en redes industriales.

Abstract

Ataques cibernéticos a sistemas industriales de infraestructura crítica son una realidad en la actualidad y sus consecuencias constituyen un riesgo a la continuidad de los negocios, la economía y el bienestar de la población. Este trabajo presenta una evaluación experimental de mecanismos utilizados en distintos sistemas de detección de intrusiones aplicados a redes industriales utilizadas en infraestructuras críticas. Nueve algoritmos de aprendizaje de máquina fueron evaluados utilizando dos conjuntos de datos. El primero de estos conjuntos proviene de un sistema del tipo gasoducto en el que se utiliza el protocolo de comunicaciones Modbus. En segundo conjunto es obtenido de un sistema de control de subestación en el que se utiliza el protocolo IEC 60870-5-104. Ambos conjuntos contienen datos de 39 escenarios de ataque cibernéticos, ejecutados a través de protocolos de comunicación industriales y no industriales agrupados en 1 1 grupos. Los resultados experimentales obtenidos mostraron que los algoritmo asados en árboles de decisión presentan mejores resultados para la métrica de Fl-Score, en particular Gradient Boost Tree, con el mejor resultado para 8 de los 11 grupos. En cuanto a los taques se observó que los de tipo reconocimiento o reconnaissance fueron los más fáciles de reconocer con más de 99.7% de promedio de la métrica para todos los algoritmos. Por otro lado, los ataques de tipo inyección de comandos y respuestas a nivel de los protocolos industriales fueron los más difíciles de identificar con promedios de métrica inferiores al 93.7%