Applying machine learning techniques on the detection of cyber-physic attacks

Abstract

A sociedade atual tem tido uma confiança crescente em Sistemas de Controlo Industrial (e de Automação), especialmente no controlo de Infraestruturas Críticas, tais como a geração, transmissão e distribuição de energia elétrica, ou tratamento de águas, onde o trabalho ininterrupto da infraestrutura é essencial para a segurança e manutenção de uma sociedade moderna. A disrupção das operações normais de tais infraestruturas, devido a uma falha ou ataque, tem o potencial de ter sérias consequências, pelo que estes sistemas têm um significado estratégico que não pode ser ignorado. Estas infraestruturas foram pensadas assumindo que existia uma separação do mundo exterior, contudo, o crescente uso de equipamentos comerciais, e de tecnologias e protocolos abertos tem-nas exposto a ameaças que antigamente não eram uma preocupação.Vários estudos têm proposto várias estratégias para proteger estas infraestruturas, focando-se principalmente em algoritmos novos ou adaptação de algoritmos já conhecidos ao domínio destas infraestruturas. Contudo, as restrições das mesmas têm impedido a existência de conjuntos de dados comuns, dos quais seria possível realizar uma comparação do seu desempenho. Este trabalho procura apresentar alguma introspeção sobre como os algoritmos mais usados na literatura se comportam quando algumas das características dos conjuntos de dados variam, nomeadamente o tamanho da captura de tráfego e o tamanho relativo dos ataques nesses dados. São também estudados os efeitos da afinação de hiperparâmetros desses algoritmos. Finalmente, é também apresentada uma estrutura genérica para a deteção de ataques Man-in-the-Middle, baseada nos tempos de resposta dos pacotes TCP dentro da rede.

Today’s society has had an increasing reliance on Industrial (Automation and) Control Systems, especially in the control of Critical Infrastructures, such as generation, transmission and distribution of electrical energy, or water treatment, and where the uninterrupted work of the infrastructure is essential for the safety and livelihood of a modern society. A disruption of the normal operation of such infrastructures, due to a fault or an attack, has the potential to create serious consequences, whereby these systems have strategic significance, which cannot be ignored. These infrastructures were designed with the assumption that an airgap from the outside world was in place, however, their increasing reliance on Commercial, Off-The-Shelf equipment, open technologies and open protocols has exposed them to threats that previously were not a concern.Several studies have proposed many strategies to secure these infrastructures, which mainly rely on novel algorithms or domain-adaptations of known algorithms. However, the constraints of these infrastructures prevent the existence of common datasets from which a comparison of their performances can be made. This work aims at presenting some insight on how many of the most used algorithms in the literature behave when some of the characteristics of datasets are varied, namely the size of the traffic captures and the relative size of the attacks within those captures. An insight on the effects of hyperparameter tuning of the algorithms is also studied. Finally, a generalized framework for the detection of Man-in-the-Middle attacks is presented based on the Time-To-Response of the TCP packets within the network.