Detecção de ataques em duas fases usando aprendizado de máquinas em sistemas de controle industrial de infraestruturas crítica
| Ano de defesa: | 2024 |
|---|---|
| Autor(a) principal: | |
| Orientador(a): | |
| Banca de defesa: | |
| Tipo de documento: | Dissertação |
| Tipo de acesso: | Acesso aberto |
| Idioma: | por |
| Instituição de defesa: |
Universidade Tecnológica Federal do Paraná
Curitiba Brasil Programa de Pós-Graduação em Engenharia Elétrica e Informática Industrial UTFPR |
| Programa de Pós-Graduação: |
Não Informado pela instituição
|
| Departamento: |
Não Informado pela instituição
|
| País: |
Não Informado pela instituição
|
| Palavras-chave em Português: | |
| Link de acesso: | http://repositorio.utfpr.edu.br/jspui/handle/1/34807 |
Resumo: | The advent of Industry 4.0 has been led an increasingly integration of Industrial Control Systems (ICS) into corporate networks and to the internet. If there is the advantage of real time access to processes information and remote execution of industrial process routines, on the other hand there is an increase on the cyberattack surface, backed by different motivations. Such environments are not exclusive to corporate industries, but are an essential part of critical infrastructure from various sectors, like energy, water and nuclear plants. Attacks in those environments have impacts that are difficult or even impossible to measure, and have often been covered by journalistic articles, as in the case of the war between Russia and Ukraine. Security strategies are already used in the Information Technology (IT) networks, but they are not effective in detecting attacks in the Operation Technology (OT) environment. This work proposes a composition of supervised and unsupervised learning based on traditional Machine Learning classifiers for detecting threats, mainly as a result of False Data Injection attacks, in data from an industrial network dataset. The proposal is applied to a dataset from a Hardware-in-the-Loop simulation integrated with real components, representative of a Smart Grid that suffers injection attacks and manipulation of data transmitted by the ICS components. Several scenarios were derived from the initial dataset and the detections were evaluated by the metrics accuracy, recall, AUC and F1-score. The composition results are compared with signature detection, obtaining average relative gains between 32.3% and 179.15% depending on the metric used. The composition allowed absolute values of metrics greater than 0.952 and false negative rates reductions up to 19.36% on average depending on the metric. The analysis of false positives and false negatives made way for different choices of metric evaluations to apply on the composition, in accordance with the polices of the organization responsible for the critical infrastructure. |
| id |
UTFPR-12_52c944e2d01ebea7798947edede225bc |
|---|---|
| oai_identifier_str |
oai:repositorio.utfpr.edu.br:1/34807 |
| network_acronym_str |
UTFPR-12 |
| network_name_str |
Repositório Institucional da UTFPR (da Universidade Tecnológica Federal do Paraná (RIUT)) |
| repository_id_str |
|
| spelling |
Detecção de ataques em duas fases usando aprendizado de máquinas em sistemas de controle industrial de infraestruturas críticaTwo-phase attack detection using mMachine learning in critical infrastructure industrial control systemsControle automático - IndústriasAprendizado do computadorSistemas de segurançaIndústria 4.0Computadores - Medidas de segurançaLocalização de falhas (Engenharia)Automatic control - IndustriesMachine learningSecurity systemsIndustry 4.0Computer securityFault location (Engineering)CNPQ::ENGENHARIAS::ENGENHARIA ELETRICAEngenharia ElétricaThe advent of Industry 4.0 has been led an increasingly integration of Industrial Control Systems (ICS) into corporate networks and to the internet. If there is the advantage of real time access to processes information and remote execution of industrial process routines, on the other hand there is an increase on the cyberattack surface, backed by different motivations. Such environments are not exclusive to corporate industries, but are an essential part of critical infrastructure from various sectors, like energy, water and nuclear plants. Attacks in those environments have impacts that are difficult or even impossible to measure, and have often been covered by journalistic articles, as in the case of the war between Russia and Ukraine. Security strategies are already used in the Information Technology (IT) networks, but they are not effective in detecting attacks in the Operation Technology (OT) environment. This work proposes a composition of supervised and unsupervised learning based on traditional Machine Learning classifiers for detecting threats, mainly as a result of False Data Injection attacks, in data from an industrial network dataset. The proposal is applied to a dataset from a Hardware-in-the-Loop simulation integrated with real components, representative of a Smart Grid that suffers injection attacks and manipulation of data transmitted by the ICS components. Several scenarios were derived from the initial dataset and the detections were evaluated by the metrics accuracy, recall, AUC and F1-score. The composition results are compared with signature detection, obtaining average relative gains between 32.3% and 179.15% depending on the metric used. The composition allowed absolute values of metrics greater than 0.952 and false negative rates reductions up to 19.36% on average depending on the metric. The analysis of false positives and false negatives made way for different choices of metric evaluations to apply on the composition, in accordance with the polices of the organization responsible for the critical infrastructure.Com o advento da Indústria 4.0, Sistemas de Controle Industrial (ICS) estão cada vez mais integrados às redes corporativas e à internet. Se, por um lado, há a vantagem do acesso à informação em tempo real e execução remota de rotinas do processo industrial, por outro, há o aumento da superfície de ataque cibernético com motivações diversas. Tais ambientes não são exclusivos de indústrias de corporações, mas são parte essencial de infraestruturas críticas de diversos setores, como energia, água e nuclear. Ataques em tais ambientes trazem impactos se não difíceis, impossíveis de calcular, e, não raro, têm sido abordados por matérias jornalísticas, como no caso da guerra entre Rússia e Ucrânia. Estratégias de segurança já são empregadas no ambiente de Tecnologia da Informação (TI), porém não são eficazes na detecção de ataques no ambiente de Tecnologia da Operação (TO). Este trabalho propõe uma composição de aprendizado supervisionado e não supervisionado baseada em classificadores tradicionais de Aprendizado de Máquinas para a detecção de ameaças, causadas especialmente por ataques de injeção de dados falsos, em dados de um dataset de rede industrial. A proposta é aplicada em dataset proveniente de simulação em Hardware-in-the-Loop integrado com componentes reais, representativo de uma usina de geração de energia elétrica que sofre ataques de injeção e manipulação dos dados trafegados pelo ICS. São criados vários cenários derivados do dataset inicial e as detecções avaliadas pelas métricas acurácia, recall, AUC e F1-score. Os resultados da composição são comparados com a detecção por assinatura, obtendo ganhos médios relativos variando entre 32,3% e 179,15%, conforme a métrica empregada. Foi possível obter, com a composição, valores absolutos de métricas superiores a 0,952 e reduções de taxa de falsos negativos na média de até 19,36%, conforme a métrica. A análise de falsos positivos e falsos negativos abriu espaço para escolha de diferentes métricas para avaliação da composição, conforme políticas da organização responsável pela infraestrutura crítica.Universidade Tecnológica Federal do ParanáCuritibaBrasilPrograma de Pós-Graduação em Engenharia Elétrica e Informática IndustrialUTFPRFonseca, Anelise Munarettohttps://orcid.org/0000-0002-0182-7128http://lattes.cnpq.br/4992303457891284Fonseca, Mauro Sergio Pereirahttp://orcid.org/0000-0003-1604-0915http://lattes.cnpq.br/6534637358360971Fonseca, Mauro Sergio Pereirahttp://orcid.org/0000-0003-1604-0915http://lattes.cnpq.br/6534637358360971Lima, Michele Nogueirahttps://orcid.org/0000-0001-5427-2384http://lattes.cnpq.br/7862253799240671Pellanda, Paulo Césarhttps://orcid.org/0000-0002-4505-2838http://lattes.cnpq.br/1185487031019435Nicolaio, Ivo Gabriel de Abreu2024-09-13T18:58:45Z2024-09-13T18:58:45Z2024-03-08info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfNICOLAIO, Ivo Gabriel de Abreu. Detecção de ataques em duas fases usando aprendizado de máquinas em sistemas de controle industrial de infraestruturas críticas. 2024. Dissertação (Mestrado em Engenharia Elétrica e Informática Industrial) - Universidade Tecnológica Federal do Paraná, Curitiba, 2024.http://repositorio.utfpr.edu.br/jspui/handle/1/34807porhttp://creativecommons.org/licenses/by/4.0/info:eu-repo/semantics/openAccessreponame:Repositório Institucional da UTFPR (da Universidade Tecnológica Federal do Paraná (RIUT))instname:Universidade Tecnológica Federal do Paraná (UTFPR)instacron:UTFPR2024-09-14T06:08:52Zoai:repositorio.utfpr.edu.br:1/34807Repositório InstitucionalPUBhttp://repositorio.utfpr.edu.br:8080/oai/requestriut@utfpr.edu.br || sibi@utfpr.edu.bropendoar:2024-09-14T06:08:52Repositório Institucional da UTFPR (da Universidade Tecnológica Federal do Paraná (RIUT)) - Universidade Tecnológica Federal do Paraná (UTFPR)false |
| dc.title.none.fl_str_mv |
Detecção de ataques em duas fases usando aprendizado de máquinas em sistemas de controle industrial de infraestruturas crítica Two-phase attack detection using mMachine learning in critical infrastructure industrial control systems |
| title |
Detecção de ataques em duas fases usando aprendizado de máquinas em sistemas de controle industrial de infraestruturas crítica |
| spellingShingle |
Detecção de ataques em duas fases usando aprendizado de máquinas em sistemas de controle industrial de infraestruturas crítica Nicolaio, Ivo Gabriel de Abreu Controle automático - Indústrias Aprendizado do computador Sistemas de segurança Indústria 4.0 Computadores - Medidas de segurança Localização de falhas (Engenharia) Automatic control - Industries Machine learning Security systems Industry 4.0 Computer security Fault location (Engineering) CNPQ::ENGENHARIAS::ENGENHARIA ELETRICA Engenharia Elétrica |
| title_short |
Detecção de ataques em duas fases usando aprendizado de máquinas em sistemas de controle industrial de infraestruturas crítica |
| title_full |
Detecção de ataques em duas fases usando aprendizado de máquinas em sistemas de controle industrial de infraestruturas crítica |
| title_fullStr |
Detecção de ataques em duas fases usando aprendizado de máquinas em sistemas de controle industrial de infraestruturas crítica |
| title_full_unstemmed |
Detecção de ataques em duas fases usando aprendizado de máquinas em sistemas de controle industrial de infraestruturas crítica |
| title_sort |
Detecção de ataques em duas fases usando aprendizado de máquinas em sistemas de controle industrial de infraestruturas crítica |
| author |
Nicolaio, Ivo Gabriel de Abreu |
| author_facet |
Nicolaio, Ivo Gabriel de Abreu |
| author_role |
author |
| dc.contributor.none.fl_str_mv |
Fonseca, Anelise Munaretto https://orcid.org/0000-0002-0182-7128 http://lattes.cnpq.br/4992303457891284 Fonseca, Mauro Sergio Pereira http://orcid.org/0000-0003-1604-0915 http://lattes.cnpq.br/6534637358360971 Fonseca, Mauro Sergio Pereira http://orcid.org/0000-0003-1604-0915 http://lattes.cnpq.br/6534637358360971 Lima, Michele Nogueira https://orcid.org/0000-0001-5427-2384 http://lattes.cnpq.br/7862253799240671 Pellanda, Paulo César https://orcid.org/0000-0002-4505-2838 http://lattes.cnpq.br/1185487031019435 |
| dc.contributor.author.fl_str_mv |
Nicolaio, Ivo Gabriel de Abreu |
| dc.subject.por.fl_str_mv |
Controle automático - Indústrias Aprendizado do computador Sistemas de segurança Indústria 4.0 Computadores - Medidas de segurança Localização de falhas (Engenharia) Automatic control - Industries Machine learning Security systems Industry 4.0 Computer security Fault location (Engineering) CNPQ::ENGENHARIAS::ENGENHARIA ELETRICA Engenharia Elétrica |
| topic |
Controle automático - Indústrias Aprendizado do computador Sistemas de segurança Indústria 4.0 Computadores - Medidas de segurança Localização de falhas (Engenharia) Automatic control - Industries Machine learning Security systems Industry 4.0 Computer security Fault location (Engineering) CNPQ::ENGENHARIAS::ENGENHARIA ELETRICA Engenharia Elétrica |
| description |
The advent of Industry 4.0 has been led an increasingly integration of Industrial Control Systems (ICS) into corporate networks and to the internet. If there is the advantage of real time access to processes information and remote execution of industrial process routines, on the other hand there is an increase on the cyberattack surface, backed by different motivations. Such environments are not exclusive to corporate industries, but are an essential part of critical infrastructure from various sectors, like energy, water and nuclear plants. Attacks in those environments have impacts that are difficult or even impossible to measure, and have often been covered by journalistic articles, as in the case of the war between Russia and Ukraine. Security strategies are already used in the Information Technology (IT) networks, but they are not effective in detecting attacks in the Operation Technology (OT) environment. This work proposes a composition of supervised and unsupervised learning based on traditional Machine Learning classifiers for detecting threats, mainly as a result of False Data Injection attacks, in data from an industrial network dataset. The proposal is applied to a dataset from a Hardware-in-the-Loop simulation integrated with real components, representative of a Smart Grid that suffers injection attacks and manipulation of data transmitted by the ICS components. Several scenarios were derived from the initial dataset and the detections were evaluated by the metrics accuracy, recall, AUC and F1-score. The composition results are compared with signature detection, obtaining average relative gains between 32.3% and 179.15% depending on the metric used. The composition allowed absolute values of metrics greater than 0.952 and false negative rates reductions up to 19.36% on average depending on the metric. The analysis of false positives and false negatives made way for different choices of metric evaluations to apply on the composition, in accordance with the polices of the organization responsible for the critical infrastructure. |
| publishDate |
2024 |
| dc.date.none.fl_str_mv |
2024-09-13T18:58:45Z 2024-09-13T18:58:45Z 2024-03-08 |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| format |
masterThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
NICOLAIO, Ivo Gabriel de Abreu. Detecção de ataques em duas fases usando aprendizado de máquinas em sistemas de controle industrial de infraestruturas críticas. 2024. Dissertação (Mestrado em Engenharia Elétrica e Informática Industrial) - Universidade Tecnológica Federal do Paraná, Curitiba, 2024. http://repositorio.utfpr.edu.br/jspui/handle/1/34807 |
| identifier_str_mv |
NICOLAIO, Ivo Gabriel de Abreu. Detecção de ataques em duas fases usando aprendizado de máquinas em sistemas de controle industrial de infraestruturas críticas. 2024. Dissertação (Mestrado em Engenharia Elétrica e Informática Industrial) - Universidade Tecnológica Federal do Paraná, Curitiba, 2024. |
| url |
http://repositorio.utfpr.edu.br/jspui/handle/1/34807 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
http://creativecommons.org/licenses/by/4.0/ info:eu-repo/semantics/openAccess |
| rights_invalid_str_mv |
http://creativecommons.org/licenses/by/4.0/ |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.publisher.none.fl_str_mv |
Universidade Tecnológica Federal do Paraná Curitiba Brasil Programa de Pós-Graduação em Engenharia Elétrica e Informática Industrial UTFPR |
| publisher.none.fl_str_mv |
Universidade Tecnológica Federal do Paraná Curitiba Brasil Programa de Pós-Graduação em Engenharia Elétrica e Informática Industrial UTFPR |
| dc.source.none.fl_str_mv |
reponame:Repositório Institucional da UTFPR (da Universidade Tecnológica Federal do Paraná (RIUT)) instname:Universidade Tecnológica Federal do Paraná (UTFPR) instacron:UTFPR |
| instname_str |
Universidade Tecnológica Federal do Paraná (UTFPR) |
| instacron_str |
UTFPR |
| institution |
UTFPR |
| reponame_str |
Repositório Institucional da UTFPR (da Universidade Tecnológica Federal do Paraná (RIUT)) |
| collection |
Repositório Institucional da UTFPR (da Universidade Tecnológica Federal do Paraná (RIUT)) |
| repository.name.fl_str_mv |
Repositório Institucional da UTFPR (da Universidade Tecnológica Federal do Paraná (RIUT)) - Universidade Tecnológica Federal do Paraná (UTFPR) |
| repository.mail.fl_str_mv |
riut@utfpr.edu.br || sibi@utfpr.edu.br |
| _version_ |
1850498347327029248 |