Evaluación de algoritmos de detección de intrusiones basados en aprendizaje automático para redes SCADA IEC 60870-5-104

Resumen

Ciberataques a sistemas de automatización industrial de infraestructura crítica, constituyen un riesgo para la continuidad del servicio, la economía y el bienestar social. Este trabajo trata sobre sistemas de detección de intrusos industriales presentando: 1) Breve análisis de implementaciones previas de algoritmos, conjuntos de datos, características y métricas para la evaluación, y 2) Evaluación experimental de conjunto de algoritmos de aprendizaje automático utilizados en este tipo de sistemas, fueron nueve algoritmos, considerando un conjunto de datos obtenidos de un banco de pruebas que representa una subestación eléctrica cuyo sistema de supervisión y control emplea el protocolo de comunicación IEC 60870-5-104. La métrica para la evaluación es la F1-Score. El conjunto de datos consta de información sobre 4 escenarios de ataque. La revisión inicial es para seleccionar los algoritmos, el conjunto de datos, las características y la clasificación de los ataques. Los resultados experimentales muestran que los algoritmos basados en árboles de decisión son mejores según la métrica seleccionada, en particular Random Forest, con el mejor resultado en todos los escenarios de ataque. Los ataques de tipo reconocimiento fueron más fáciles de detectar, con más de 99,9% de media en todos los algoritmos. Los ataques de inyección de comandos y respuestas a protocolos industriales fueron los más difíciles de identificar, con medias métricas inferiores a 99,5 %.