Machine Translated by Google

Recibido el 7 de agosto de 2023, aceptado el 31 de agosto de 2023, fecha de publicación 4 de septiembre de 2023, fecha de la versión actual 11 de septiembre de 2023.

Identificador de objeto digital 10.1109/ACCESS.2023.3311822

Un IDPS colaborativo de baja latencia basado en DNN para

Redes de fábricas inteligentes de misión crítica

POULMANOGO ILLY 1Departamento 1 Y GEORGES KADDOUM 1,2, (Miembro principal, IEEE)

de Ingeniería Eléctrica, École de Technologie Supérieure, Montreal, Quebec H3C 1K3, Canadá 2Centro de
Investigación de Sistemas de Seguridad Cibernética e IA Aplicada, Universidad Libanesa Americana, Beirut 1102,

Líbano Autor para correspondencia: Poulmanogo Illy (poulmanogo.illy.1@ens.etsmtl .California)

Este trabajo fue apoyado por NSERC bajo la subvención B­CITI CRDPJ 501617­16.

RESUMEN Los sistemas de control industrial (ICS) han entrado en una era de modernización habilitada por el reciente
progreso en las tecnologías de la información (TI), en particular el Internet industrial de las cosas (IIoT). Esto permite una
mejor automatización de los procesos industriales, pero ahora expone a los ICS a ciberataques que explotan las
vulnerabilidades del IIoT. Por lo tanto, para garantizar la seguridad de los ICS, numerosos trabajos de investigación se han
centrado en el diseño de sistemas de prevención y detección de intrusiones (IDPS), y el aprendizaje profundo ha recibido
recientemente una atención considerable, ya que tiene el potencial de mejorar la precisión de la detección. Sin embargo, la
mayoría de las soluciones de aprendizaje profundo propuestas se centran únicamente en la precisión del modelo sin
considerar la latencia, que es un requisito esencial en muchos ICS. La novedad de este artículo es el análisis de la
complejidad temporal de las redes neuronales profundas (DNN) y el diseño de un IDPS colaborativo basado en aprendizaje
profundo robusto y de baja latencia. La arquitectura propuesta emplea dos modelos de clasificación. En el primer modelo,
se utiliza un DNN ligero para realizar una clasificación binaria, es decir, normal o de ataque, lo que garantiza una rápida
detección de intrusiones. Un segundo modelo asegura la identificación del tipo de ataques realizando una clasificación
multiclase de la anomalía detectada, que es manejada por un DNN robusto y complejo para lograr una mayor precisión.
Esta investigación también propone medidas de respuesta a intrusiones para hacer frente a los ataques detectados, primero
tras la detección de la anomalía y luego tras la identificación del tipo de ataque. Se proporcionó una evaluación experimental
utilizando varias funciones de detección, conjuntos de datos y algoritmos DNN, y los resultados demuestran la efectividad de la solución propuesta.

ÍNDICE TÉRMINOS Aprendizaje profundo, sistema de control industrial (ICS), Internet de las cosas industrial (IIoT), sistema
de detección de intrusiones (IDS), sistema de respuesta a intrusiones (IRS), seguridad de red, fábrica inteligente.

I. INTRODUCCIÓN Estados Unidos (EE. UU.) en 2020, lo que supone un aumento

Las instalaciones industriales suelen ser entornos muy delicados y
riesgosos, que requieren máxima seguridad para trabajar con
productos químicos y herramientas potencialmente peligrosos, y
privacidad para fabricar productos altamente competitivos. Por lo
tanto, a lo largo de los años se han implementado muchos estándares
de seguridad y privacidad para proteger estos entornos [1], [2], [3].
Sin embargo, los accidentes y desastres industriales todavía ocurren
con frecuencia en todo el mundo y causan daños importantes,
incluidas muertes, lesiones, pérdidas económicas e impactos
ambientales a largo plazo. Según la encuesta publicada en junio de
2021 por el departamento de investigación de la empresa de bases
independientes tradicionales, que solían estar aislados de las redes
de datos Statista, hubo 984 incidentes con explosivos en todo Estados Unidos.
El editor asociado que coordina la revisión de este manuscrito y
quien aprobó su publicación fue Varuna De Silva.
significativo en comparación con años anteriores [4]. Las fuentes de
estas explosiones incluyen plantas de fabricación, empresas de
servicios eléctricos, industrias petroleras (upstream, midstream,
downstream, oleoductos) y otras fábricas de productos químicos. La
evolución del ámbito industrial hacia la nueva era de modernización
impulsada por el Internet Industrial de las Cosas (IIoT) permite
aplicaciones de seguridad en tiempo real para prevenir el tradicional
riesgo de incidentes. Sin embargo, genera nuevos riesgos de
seguridad, en particular debido a ciberataques que explotan las
vulnerabilidades de los objetos conectados.
A diferencia de los sistemas de control industrial (ICS)
de tecnologías de la información y la comunicación (TIC), los nuevos
ICS integran estas redes para permitir una gestión de supervisión de
procesos de alto nivel. De hecho, gracias a los sensores, actuadores,

Esta obra está bajo una licencia Creative Commons Atribución­No Comercial­SinDerivadas 4.0.
VOLUMEN 11, 2023 Para obtener más información, consulte https://creativecommons.org/licenses/by­nc­nd/4.0/ 96317
Machine Translated by Google
y los dispositivos IIoT, los equipos de fabricación (bombas, válvulas,
compresores, tanques, etc.) y las condiciones de fabricación (calidad
del aire, humedad, temperatura, etc.) ahora se pueden monitorear y
controlar fácilmente de forma remota mediante computadoras, tabletas
o teléfonos inteligentes. Para una operación más eficiente de los
sistemas de control (mejor asignación de recursos, recopilación de
datos más fácil y rápida), muchas industrias están adoptando la
arquitectura de Supervisión, Control y Adquisición de Datos (SCADA).
Esta arquitectura se compone generalmente de tres niveles principales.
El primer nivel consta de sensores y actuadores, donde los sensores
recopilan datos sobre el sistema y los actuadores controlan el estado
del sistema. El segundo nivel está compuesto por controladores lógicos
programables (PLC), que se conectan al primer nivel para controlar los
actuadores y recopilar información de los sensores. El tercer nivel
contiene los controles de supervisión, que se comunican con los PLC
para enviar comandos de control desde las estaciones de trabajo,
almacenar los datos del sistema en servidores (historiales de datos) y
proporcionar una representación visual del sistema en una interfaz
hombre­máquina (HMI). La Fig. 1 ilustra un sistema SCADA genérico.
FIGURA 1. Arquitectura SCADA genérica.
En términos de seguridad industrial, la adopción de las TIC,
especialmente IIoT, trae muchas oportunidades y desafíos. Por ejemplo,
un sistema de seguridad de fábrica integrado con el sistema de
automatización de fábrica puede proporcionar servicios de seguridad
adicionales, tales como alertas personalizadas (por ejemplo, defecto
físico del material, humedad del lugar, temperatura anormal, etc.),
control de acceso, detección de ocupación, identificación de personas,
control central. cierre de todas las puertas y ventanas perimetrales,
vigilancia remota de cámaras y sensores de seguridad a través de
Internet, entre otros. Sin embargo, el IIoT de la fábrica puede traer
importantes problemas de seguridad a la fábrica debido a las
vulnerabilidades de seguridad en los dispositivos y el software de IoT
que los piratas informáticos podrían aprovechar para llevar a cabo
actividades maliciosas. Por ejemplo, los atacantes encontraron
vulnerabilidades en Siemens Step7, un software utilizado en los PLC, y
las explotaron para lanzar un ataque llamado Stuxnet. Stuxnet recopiló datos de vigilancia
Instituto
96318
P. Illy, G. Kaddoum: IDPS colaborativos de baja latencia basados en DNN
en un estado crítico, e incluso respondieron falsamente para evitar
alarmas [5]. Un ciberataque exitoso a una fábrica inteligente puede
tener consecuencias críticas, incluida la filtración de datos privados y el
ciberterrorismo.
A. TRABAJO RELACIONADO
Para superar los desafíos de ciberseguridad de los ICS inteligentes, la
comunidad de investigación participa activamente en el diseño de
soluciones para diferentes capas de seguridad, especialmente sistemas
de detección de intrusiones (IDS), para detectar intentos maliciosos
(exitosos o fallidos) de penetrar en las redes IIoT. Por ejemplo, Beaver
et al. [6] aplicaron algoritmos de aprendizaje automático para detectar
comunicaciones maliciosas de unidades terminales remotas (RTU). Los
autores utilizaron un conjunto de datos compuesto por datos de
telemetría RTU etiquetados de un sistema de gasoductos en el Centro
de Protección de Infraestructura Crítica de la Universidad Estatal de
Mississippi, EE. UU. En este conjunto de datos, se consideraron
variantes de ataques de inyección de comandos y de inyección de
datos. Los autores implementaron seis algoritmos diferentes de
aprendizaje automático, incluidos Naive Bayes, Random Forests, One
Rule (OneR), J48 (un tipo de técnica de árbol de decisión), ejemplos
generalizados no anidados (NNge) y máquinas de vectores de soporte
(SVM). . Sus resultados experimentales demostraron la capacidad de
los algoritmos de aprendizaje para detectar estos ataques. Lin et al. [7]
establecieron un banco de pruebas de sistemas de control industrial
donde examinaron casos operativos y desarrollaron un programa de
ataque a la red Modbus/Protocolo de control de transmisión (TCP).
Ejecutaron con éxito docenas de ataques de penetración, incluidos
escaneos de códigos de funciones y direcciones, inyecciones de
comandos y respuestas, y denegación de servicio (DoS). Se recopiló
toda la actividad de la red, incluidos registros de patrones de
comportamiento normales. Al explotar el contenido de la capa de enlace
de datos a través de la capa de aplicación, especialmente las
direcciones de control de acceso al medio (MAC) y protocolo de Internet
(IP), los puertos TCP y las funciones y datos Modbus, los autores
planearon como investigación futura aprovechar Modelos de detección
basados en aprendizaje automático, por ejemplo, una SVM de una
clase para encontrar valores atípicos y, por tanto, detectar eficazmente
la aparición de eventos anormales. Teixeira et al. [8] desarrollaron un
banco de pruebas del sistema SCADA donde llevaron a cabo sofisticados
ciberataques, incluidos escaneos de puertos y direcciones, ataques de
identificación de dispositivos y exploits. Los autores capturaron el tráfico
de la red durante los ataques, extrajeron funciones y crearon un
conjunto de datos para entrenar y probar diferentes algoritmos de
aprendizaje automático. Se entrenaron cinco algoritmos superficiales
de aprendizaje automático para detectar los ataques, a saber, Random
Forest, Deci­sion Tree, Logistic Regression, Naïve Bayes y K­Nearest
Neighbors (KNN). Los resultados de su evaluación mostraron la
eficiencia de los modelos de aprendizaje automático para detectar ataques en tiemp
Para lograr baja complejidad computacional y latencia en modelos
de detección de intrusiones basados en anomalías para redes SCADA,
Ullah y Mahmoud [9] implementaron un filtro de selección de
características basado en la ganancia de información. Utilizando un
conjunto de datos de un sistema de control industrial desarrollado en el
y colocó ICS
de Seguridad y Análisis Distribuido de la Universidad Estatal de Mississippi
VOLUMEN 11, 2023
Machine Translated by Google
P. Illy, G. Kaddoum: IDPS colaborativos de baja latencia basados en DNN
El modelo propuesto seleccionó un subconjunto de cinco características de las
20 características iniciales.
El conjunto de datos se utilizó para entrenar un clasificador J48. Entonces,
Luego se utilizó un clasificador de redes bayesianas para desarrollar
el modelo propuesto, que clasificó correctamente todas las instancias
de los conjuntos de datos etiquetados binariamente y etiquetados categorizados.
An Le et al. [10] propuso un sistema de prevención y detección de intrusiones
(IDPS) que aprovechaba el sistema definido por software.
Enfoque de redes (SDN) para reducir el costo y disminuir
latencia de detección y mitigación. En el sistema propuesto, el
Los autores emplearon un algoritmo de árbol de decisión C4.5 para construir el
modelo de detección. Los datos utilizados para entrenar el modelo incluyeron
25 funciones básicas (encabezados de paquetes) y funciones derivadas
(características que se calculan). El sistema fue evaluado utilizando
Los ataques de sondeo y DoS presentes en DARPA de 1999.
conjunto de datos y un pequeño banco de pruebas donde generaron ataques
que constan de 3 tipos de DoS y 8 tipos de Probe. En la implementación, se
implementaron conmutadores OpenFlow para reemplazar
conmutadores tradicionales, sensores IDPS y el firewall, para reducir
el costo total de los desplazados internos.
La mayoría de estas soluciones se basan en máquinas poco profundas.
métodos de aprendizaje; por lo tanto, pueden sufrir importantes limitaciones
asociadas con el aprendizaje superficial. Para superar estas limitaciones,
trabajos de investigación recientes investigan
IDS basados en aprendizaje profundo. Por ejemplo, Al­Abassi et al. [11]
demostró un modelo de detección de ataques que aprovechó Deep
Clasificadores de redes neuronales (DNN) y árboles de decisión para
detectar ciberataques en un entorno ICS. Li y col. [12]
diseñó un modelo de detección de intrusiones basado en aprendizaje profundo
haciendo uso de una red neuronal convolucional (CNN)
y una unidad recurrente cerrada (GRU). Luego, los autores desarrollaron un
marco de aprendizaje federado, que permite múltiples ICS.
para construir colectivamente un sistema integral de detección de intrusiones
modelo de forma que se preserve la privacidad. Ling et al. [13] estudiado
las limitaciones de los métodos de detección de intrusos basados en análisis profundos
aprendizaje, como la memoria a largo plazo (LSTM) y
GRU, para resaltar los problemas a los que aún se enfrentan estos métodos,
como la desaparición de gradientes y la baja eficiencia del entrenamiento.
Luego, los autores propusieron un método de detección de intrusiones.
basado en una Unidad Recurrente Simple Bidireccional (BiSRU).
Con conexiones de salto empleadas, el bidireccional optimizado
La estructura en la red neuronal SRU alivió el problema del gradiente de
desaparición y mejoró la efectividad del entrenamiento. El autor en [14] propuso
una red neuronal recurrente cerrada bidireccional basada en la atención (ABi­
GRNN)
modelo con un algoritmo de optimización pobre y rico basado
Optimizador de hiperparámetros para construir un IDS eficiente para sistemas
ciberfísicos. El sistema propuesto aplicó blockchain.
tecnología para impulsar la seguridad en el entorno ciberfísico. La solución se
evaluó utilizando el NSL­KDD y
conjuntos de datos de CICIDS, y los resultados experimentales mostraron una
mejor precisión en comparación con otros DNN, como GRU y
GRU óptimo.
Aunque instructivos, la mayoría de estos métodos basados en el aprendizaje profundo
Los IDS para ICS no analizan la complejidad temporal de
DNN y la latencia de los modelos de detección propuestos.
VOLUMEN 11, 2023
Para permitir una identificación oportuna de varios ataques y
Neutralización de amenazas casi en tiempo real, Shafi et al. [15] propuso un
SDN asistido por niebla y un IDPS impulsado por blockchain para
Redes de IoT. Los autores emplearon tres clasificadores basados en DNN, a
saber, red neuronal recurrente (RNN), perceptrón multicapa (MLP) y árbol de
decisión alternativo (ADT).
en paralelo con un sistema de votación para identificar ataques en el
red de borde justo al lado de los dispositivos IoT. Este enfoque reduce
la latencia de detección llevando el sistema de detección lo más
lo más cerca posible de los dispositivos periféricos. Sin embargo, a diferencia de nuestro
enfoque, todos los modelos de clasificación se implementan en cloudlet o
nodos de niebla y no se aprovechan los recursos de la nube.
Alkadi et al. [16] propuso un IDS distribuido que empleaba
una memoria bidireccional de largo plazo a corto plazo (BiLSTM) profunda
Algoritmo de aprendizaje para manejar datos de red secuenciales.
El sistema propuesto implementó una cadena de bloques e inteligente.
Método de contrato para proporcionar privacidad a los motores distribuidos de
detección de intrusiones. Este enfoque proporciona seguridad y
Al mismo tiempo, garantiza la privacidad de los datos en entornos de nube, pero
no aborda los problemas de latencia para IoT de misión crítica
aplicaciones.
Además de la falta de análisis de complejidad temporal para la mayoría
IDS basados en DNN para ICS, la mayoría de los estudios previos no consideran
la clasificación de ataques ni los métodos de respuesta a intrusiones.
cuando se detectan ataques, o la arquitectura de implementación de
los IDS basados en aprendizaje profundo dentro de las redes ICS.
B. CONTRIBUCIONES
La novedad de este estudio está en su esfuerzo por diseñar un sistema basado en DNN.
IDPS que preserva los requisitos de ICS de misión crítica.
Los ICS de misión crítica se refieren a aplicaciones IIoT que requieren
alta disponibilidad y baja latencia para garantizar operaciones en tiempo real.
En tales aplicaciones, se deben tomar medidas de seguridad.
diseñado para preservar el requisito de baja latencia. Por lo tanto, este estudio
propone una solución de detección y respuesta a intrusiones.
sistema que combina robustez y baja latencia. Conseguir
robustez, este trabajo identifica varias características de detección y
emplea los DNN más prometedores para construir la detección
modelos. Para cumplir con el requisito de baja latencia de los ICS, el
Estructura de las redes neuronales y su complejidad temporal.
son estudiados. Entonces, un esquema colaborativo que separa a los
tarea de clasificación en dos modelos consecutivos organizados
basado en un principio de prioridad en el IDPS. El
El primer modelo, basado en un DNN ligero, realiza una anomalía.
detección en servidores locales para permitir la detección oportuna de ataques y
respuesta. El segundo modelo realiza la clasificación de ataques.
del tráfico anómalo para ayudar a elegir las medidas de respuesta a intrusiones
adecuadas para detener el ataque. Esta multiclase
El clasificador se implementa en servidores en la nube para beneficiarse de la
Altos recursos de cálculo disponibles para ejecutar complejos.
DNN. Los principales aportes del trabajo propuesto son
cuádruple:
• Este artículo propone un análisis de la complejidad temporal de la
DNN y resalta las variables que impactan el entrenamiento y la latencia
de predicción.
96319
Machine Translated by Google
P. Illy, G. Kaddoum: IDPS colaborativos de baja latencia basados en DNN

• Se propone un IDS colaborativo basado en aprendizaje profundo

que emplea dos modelos de clasificación junto con su
arquitectura de implementación en el
ICS. • Se proponen varias funciones de detección, algoritmos DNN
y medidas del Sistema de respuesta a intrusiones (IRS) para
implementar el IDPS.
• Se realiza una evaluación experimental utilizando diferentes
conjuntos de datos, lo que demuestra la eficiencia del enfoque
propuesto.

C. ORGANIZACIÓN
El resto del trabajo de investigación está organizado de la siguiente manera.
La Sección II presenta el análisis de complejidad temporal de las DNN y
destaca las variables que impactan el entrenamiento y la latencia de
predicción. La Sección III ilustra el IDPS colaborativo basado en aprendizaje
profundo y la arquitectura de implementación. La Sección IV presenta las
funciones de detección, los algoritmos de aprendizaje y las medidas del
IRS. La Sección V presenta la evaluación experimental y discute los
resultados obtenidos.
Finalmente, la Sección VI concluye este trabajo.

II. ANÁLISIS DE COMPLEJIDAD TIEMPO DE REDES NEURALES

PROFUNDAS
La complejidad temporal en el entrenamiento y predicción de las DNN es
proporcional al número y tamaño de las estructuras y funciones elementales
involucradas en sus redes, es decir, las neuronas, recursiones,
convoluciones, pooling, etc. Esta sección evalúa cómo algunas de estas FIGURA 2. La arquitectura de MLP(a), RNN(b), LSTM(c), Auto Encoder(d) y CNN(e).
estructuras elementales aumentan la latencia de entrenamiento y detección.
Para comprender el esquema de reducción de latencia, esta evaluación es
fundamental. La Fig. 2 ilustra las arquitecturas DNN consideradas en este
trabajo.
Sin embargo, para ser concisos, el proceso de evaluación de la complejidad
del tiempo solo se detalla para la arquitectura MLP.
Para evaluar la complejidad temporal del MLP, primero evaluamos las
principales operaciones involucradas en una red neuronal de una sola capa,
es decir, el perceptrón, y formulamos las complejidades temporales de FIGURA 3. Red neuronal monocapa: Perceptrón.
estas operaciones. Luego, basándonos en los algoritmos de entrenamiento
y predicción, evaluamos toda la complejidad temporal del MLP.
Las principales operaciones en el perceptrón son la retroalimentación,
las escalas de latencia con respecto a las variables. Por lo tanto, para
el cálculo de errores y las actualizaciones de pesos. Considerando el
simplificar la aproximación de la complejidad temporal, hacemos las
perceptrón ilustrado en la Fig. 3, estas operaciones se definen en la Tabla 1.
siguientes suposiciones: • En

el feed­forward, la complejidad temporal para calcular cada perceptrón

TABLA 1. Operaciones de entrenamiento de perceptrones. (unidad oculta o de salida) es idéntica y representada por TFW ;

• En el cálculo del error, la complejidad temporal para calcular

cada error de unidad de salida es idéntica e idéntica según TOE;

• En la actualización de pesos, la complejidad temporal para

En estas definiciones, x0 representa la unidad de sesgo. Los valores de
entrada (características) están representados por x1, x2 ,. . . , xn. Los pesos
están representados por wi y o representa la unidad de salida calculada. La
tasa de aprendizaje está representada por η y el resultado objetivo está
representado por t.
En el análisis de la complejidad del tiempo, las operaciones que tienen
tiempos constantes pueden ignorarse porque el objetivo es resaltar cómo
actualizar cada peso es idéntica y está representada por TWU ;
El entrenamiento de la red neuronal consta de retroalimentación
recursiva, cálculo de errores y propagación hacia atrás para ajustar los
pesos de la red. La condición de la recursividad es obtener los valores de
pesos que minimicen el error de salida en un conjunto particular de datos
de entrenamiento. El algoritmo 1 define el proceso de entrenamiento de
MLP.

96320 VOLUMEN 11, 2023

Machine Translated by Google
P. Illy, G. Kaddoum: IDPS colaborativos de baja latencia basados en DNN

Algoritmo 1 Resultado del TABLA 3. Latencia de entrenamiento y predicción en diferentes MLP y conjuntos de datos
tamaños.

entrenamiento MLP : Pesos que minimizan el error de predicción.

Entrada 1: ejemplos_entrenamiento, donde cada instancia está
representada por x, t , x representa el vector de
características y t es la clase de la instancia.

Entrada 2: Pesos wi,j donde i y j representan las unidades

de entrada y salida, respectivamente.
Entrada 3: Tasa de aprendizaje η.
Inicialice todos los pesos wi,j en números aleatorios pequeños;
mientras que la condición de terminación no se cumple,
haga foreach x, t en ejemplos_de
entrenamiento haga Ejecutar
Feed­forward para cada unidad oculta y de La Tabla 2 presenta la complejidad temporal de cada operación para una
salida j do oj = i entradas iteración del entrenamiento. La complejidad temporal para entrenar el MLP
wi,j se define en (3). Al utilizar la red MLP entrenada, la fase de predicción es
oi end Compute Errores de tan compleja como las operaciones de avance. La complejidad temporal
salida para cada unidad de última de esta fase se define en (4).
capa k haga δk = ok (1 − ok )
(tk − ok ) fin
Ejecute la propagación hacia atrás C(entrenamiento) = NepochNte[CO1 + CO2 + CO3 + CO4]
para cada unidad oculta h do = No mover[NnuTFW + NoutTOE
δh = oh(1 − oh) end
k salidas wh,k δk + ( Nhi )TBP + NwgTWU ]

Ejecutar actualización de pesos = No te muevas[(Nin + Nhi + Nout)TFW

para cada peso de red wi,j do wi,j =
ηδjxi,j wi,j = wi,j + NoutTOE + ( Nhi )TBP
+wi,j end end end
+ (NinNh1 + NniNhi+1

+ NhnNota)TWU ] (3)

C(predicción) = CO1

= NnuTFW

TABLA 2. Complejidad temporal de las operaciones de entrenamiento de MLP. = (Nin + Nhi + No)TFW (4)

Para visualizar mejor cómo la estructura DNN afecta la latencia, hemos

generado datos de simulación que contienen 100 características, 50
ataques categorizados en 10 categorías de ataque y 200.000 (200.000)
ejemplos de entrenamiento. Este conjunto de datos de simulación se
utiliza únicamente para ilustrar la evolución de la latencia en el
entrenamiento y la predicción de modelos que utilizan DNN con varias
La complejidad temporal de este entrenamiento depende de las estructuras. Para evaluar y comparar la precisión de los modelos, se
siguientes variables: utilizan más datos en la sección de experimentación. Utilizando el conjunto

• Nin = el número de unidades de entrada (tamaño del vector de de datos de simulación, entrenamos y evaluamos cinco modelos MLP de
varios tamaños (M1 a M5). La Tabla 3 describe estos modelos y presenta
características), • Nhi = el número de unidades de la capa
oculta hi , • Nout = el número de unidades de salida ( número de la latencia de entrenamiento expresada en minutos (mn) y la latencia de

clases), • Nnu = el número total de unidades (perceptrones), predicción expresada en milisegundos (ms). La figura 4 ilustra la evolución

• Nwg = el número total de pesos, • Nepoch de la latencia según el MLP y el tamaño de los datos. Se aplica el mismo

= el número de iteraciones en el conjunto de datos de entrenamiento, proceso para evaluar la complejidad temporal de todos los demás DNN, es

• Nte = el número de ejemplos de entrenamiento, decir, RNN, LSTM, Auto Encoder y CNN.

donde: Nnu y Nwg se definen en (1) y (2), respectivamente.

Nnu = Nin + Nhi + Nout
Nwg = NinNh1 + NhiNhi+1 + NhnNosal
Para simplificar la aproximación de la complejidad temporal, también
asumimos en la propagación hacia atrás que la complejidad temporal para
calcular cada unidad oculta es idéntica y está representada por TBP.
En este análisis, es crucial señalar que el tamaño de las DNN y, en
(1) consecuencia, sus latencias también están determinadas por las
características de los datos a clasificar, es decir, el tamaño del vector de
(2)
características , el número de clases y la distribución de los datos. En
primer lugar, el número de características y clases preestablece el número
de neuronas en las capas de entrada y salida del DNN, respectivamente.
En segundo lugar, cuanto más compleja es la distribución de datos, más

VOLUMEN 11, 2023 96321

Machine Translated by Google
FIGURA 4. Latencia de entrenamiento y predicción según MLP y conjunto de datos
tamaños.
Se necesitan capas ocultas y neuronas en cada capa oculta para dar
forma a los límites de decisión. Además, cuanto más compleja sea esta
distribución de datos, más ejemplos de entrenamiento e iteraciones de
los ejemplos de entrenamiento (número de épocas) se necesitarán.
III. ID COLABORATIVAS E IMPLEMENTACIÓN PROPUESTAS
ARQUITECTURA
Como se demostró en la sección anterior, los IDS que emplean redes
neuronales complejas producen una alta latencia de entrenamiento y
predicción. Sin embargo, la clasificación de datos complejos, como los
conjuntos de datos IIoT, generalmente requiere DNN complejas.
Específicamente, cuantas más clases (Nout) tengamos, más
características (Nin), ejemplos de entrenamiento (Nte), iteraciones en
los ejemplos de entrenamiento (Nepoch) y capas en los DNN (Nh) se
necesitarán para encontrar la mejor decisión. límites. Sin embargo, en
los ICS de misión crítica, la detección de intrusiones requiere una
latencia muy baja. Por lo tanto, para reducir la latencia en el IDPS
propuesto, empleamos una técnica que diseñamos previamente para
estudiantes de conjuntos pesados [17], [18] y diseñamos un esquema
de clasificación que divide el problema en dos tareas colaborativas:
detección de anomalías y clasificación de ataques. ficación. La figura 5
ilustra la arquitectura de nuestro marco colaborativo IDPS para ICS.
Al realizar la detección de anomalías como primera tarea, el IDPS
colaborativo propuesto puede cumplir con los requisitos de latencia de
IIoT de misión crítica. Esta reducción de latencia se logra reduciendo la
mayoría de las variables que impactan la complejidad temporal de las
DNN. En primer lugar, como clasificación binaria, la detección de
anomalías tiene menos neuronas en la capa de salida (Nout = 2).
En segundo lugar, al tener una función de decisión menos compleja que
una clasificación multiclase, la clasificación binaria podría alcanzar una
precisión óptima con menos Nh, Nhi y Nepoch. Además, la clasificación
binaria podría requerir menos funciones que la clasificación multiclase.
Por lo tanto, la detección de anomalías puede beneficiarse de una
mayor reducción de dimensionalidad de las características.
96322
P. Illy, G. Kaddoum: IDPS colaborativos de baja latencia basados en DNN
FIGURA 5. Arquitectura general de nuestro marco colaborativo de IDPS para ICS.
es decir, Nin reducido (por ejemplo, M5 presentado en la sección II).
Finalmente, al ser menos intensivo desde el punto de vista
computacional que una clasificación multiclase, el modelo de detección
de anomalías se puede implementar en cualquier servidor local en las
estaciones ICS y beneficiarse de una menor latencia de comunicación.
Cuando se detecta una anomalía, la información se envía
inmediatamente al IRS y a los administradores de seguridad para aplicar
medidas de respuesta urgente y de emergencia. Luego, el tráfico
anómalo se envía a un modelo de clasificación de ataques.
La tarea de clasificación de ataques es menos sensible a la latencia
que la detección de anomalías. Por lo tanto, este modelo de clasificación
puede emplear DNN complejos y desplegarse en servidores con más
recursos computacionales, como servidores en la nube. A diferencia de
la clasificación binaria, la clasificación de ataques podría requerir más
funciones. Por lo tanto, para este modelo, se pueden incluir más
funciones de clasificación durante el entrenamiento y la predicción para
mejorar la precisión. Cuando se predice una clase de ataque, la
información se envía al IRS y a los administradores de seguridad para
aplicar mecanismos de prevención complementarios y más precisos
según el tipo de ataque.
La arquitectura de implementación de nuestro IDPS propuesto se
ilustra en la Fig. 6. Esta arquitectura adopta la innovadora SDN y la
virtualización de funciones de red (NFV) para implementar eficientemente
el IDPS en redes IIoT. En cada estación de la red IIoT, los sensores y
actuadores están conectados a un PLC a través de un conmutador
SDN. Los datos del conmutador son recopilados por un servidor local,
donde se realiza la detección de anomalías. Una estación puede
conectarse a estaciones remotas a través de varios protocolos de red
de área amplia. SDN y NFV permiten el aprovisionamiento bajo demanda
de las funciones de red, incluidos IDS e IRS [19]. Para el IDS, SDN
permite el monitoreo bajo demanda de los recursos, donde el conjunto
de recursos a monitorear se puede cambiar dinámicamente [20], [21].
Además, el rendimiento del IDS se puede mejorar mediante funciones
de supervisión avanzadas. Para el módulo de respuesta, las arquitecturas
SDN permiten reacciones automáticas y en tiempo real para bloquear o
redirigir el tráfico malicioso [22]. Además, la programabilidad de la red
permite la automatización de la gestión.
VOLUMEN 11, 2023
Machine Translated by Google
P. Illy, G. Kaddoum: IDPS colaborativos de baja latencia basados en DNN

y minimiza la intervención humana y los costos operativos relacionados. La Fig. Algoritmo 2 Selección de características de IIoT Salida
7 detalla cómo funcionan los módulos IDPS utilizando el diagrama de secuencia lógica : Conjunto de características relevantes (Relevant_Features).
del Lenguaje de modelado unificado (UML). Este diagrama muestra la Entrada 1: Ciberamenazas IIoT dirigidas
interacción entre las principales entidades del IDPS en el orden en que tienen (Targeted_cyber_threats).
lugar estas interacciones. Entrada 2: Todas las funciones del sistema
Las entidades principales incluyen las puertas de recopilación de datos IIoT (All_IIoT_Features).
(conmutadores SDN), el orquestador del sistema, el modelo de detección de foreach attackx en Targeted_cyber_threats hacer foreach
anomalías (ADM), el modelo de clasificación de ataques (ACM), el IRS y el
featurey en All_IIoT_Features hacer si el featurey es
controlador SDN.
cambiado por attackx entonces Agregar featurey
Este IDPS colaborativo proporciona un sistema de detección de intrusiones en Relevant_Features end end end Eliminar
más rápido con clasificación de ataques para una respuesta eficiente.
En esta arquitectura, sólo el tráfico anómalo necesita pasar por la compleja
clasificación de ataques DNN, que representa una porción extremadamente
pequeña de los datos de IIoT. redundancia en Relevant_Features Eliminar
La siguiente sección presenta la selección de funciones de detección, los correlación en Relevant_Features Reducir la
modelos de aprendizaje profundo implementados y la respuesta. dimensionalidad de Relevant_Features
medidas.

TABLA 4. Características relevantes para los IDS IIoT.

IV. CARACTERÍSTICAS DE DETECCIÓN PROPUESTAS, MODELO
DE APRENDIZAJE Y MEDIDAS DEL IRS
A. CARACTERÍSTICAS DE DETECCIÓN PROPUESTAS

La elección del conjunto de funciones es un desafío en todas las soluciones de

aprendizaje automático. En algunas aplicaciones es más conveniente reunir
todas las funciones que están disponibles (el conjunto de funciones inicial) y
luego utilizar métodos de reducción de dimensionalidad para seleccionar las
mejores funciones (el conjunto de funciones final). Por ejemplo, con el
procesamiento de imágenes, es factible tomar todos los píxeles en lugar de
estudiar e identificar cada característica relevante. Sin embargo, un conjunto
de características inicial no es directamente evidente en algunas aplicaciones.
En la detección de intrusiones para aplicaciones IIoT, la selección de
características es una tarea más compleja debido a la multiplicidad y variedad
de elementos involucrados en los sistemas ciberfísicos (organización funcional,
software, principios operativos, carga de trabajo de la red, protocolos,
hardware, consumo de energía, etc. ). Por lo tanto, es crucial estudiar e
identificar características relevantes y constituir un conjunto de características
inicial [23]. Luego, se pueden aplicar los métodos de reducción de
dimensionalidad para mantener las mejores características.
En este estudio seleccionamos las funciones de detección según el
comportamiento de los ataques y las características de la red IIoT.

El algoritmo 2 describe la metodología adoptada para la selección de

características. Esta es una tarea compleja pero conveniente ya que puede
explicar claramente el papel de cada característica utilizada en el IDS.
La Tabla 4 presenta todas las funciones de detección propuestas y sus
funciones.

B. MODELOS DE DETECCIÓN PROPUESTOS

Múltiples algoritmos DNN han demostrado excelentes capacidades para

construir modelos precisos para diferentes problemas de la vida real. A pesar
de esto, no existe un DNN específico que produzca el alumno más preciso para
cada conjunto de datos. Cada DNN se centra en aspectos particulares de la
distribución de datos para construir los modelos. Por ejemplo, las CNN aprenden
relaciones espaciales entre características separadas y funcionan mejor cuando
manejan datos con una topología similar a una cuadrícula, como imágenes.
Mientras tanto, los RNN y LSTM están especializados en el aprendizaje.
información temporal o secuencial y son más adecuados para datos temporales,
como análisis de texto y voz. En la detección de intrusiones, cada DNN se
centra en alguna parte de los patrones de datos. Por lo tanto, es necesario
implementar y evaluar diferentes DNN y desplegar solo aquellos que produzcan
los mejores modelos de detección para los datos especificados. Por lo tanto,
este trabajo estudia e implementa las DNN más prometedoras, incluidas

VOLUMEN 11, 2023 96323

Machine Translated by Google
P. Illy, G. Kaddoum: IDPS colaborativos de baja latencia basados en DNN

FIGURA 6. La arquitectura IDPS propuesta en el ICS.

FIGURA 7. Diagrama de secuencia UML del IDPS propuesto.

CNN, RNN, LSTM y MLP. El modelo de detección de anomalías C. MEDIDAS DE RESPUESTA PROPUESTAS
puede emplear un DNN simple, como MLP; sin embargo, el modelo El éxito de algunos ataques depende principalmente del lapso de
de clasificación de ataques utiliza DNN más complejos, como RNN, tiempo entre la detección y la respuesta defensiva contra el ataque.
LSTM y CNN. Sistemas de respuesta a intrusiones (IRS), también conocidos como

96324 VOLUMEN 11, 2023

Machine Translated by Google
P. Illy, G. Kaddoum: IDPS colaborativos de baja latencia basados en DNN
Los sistemas de prevención de intrusiones (IPS) lanzan contraataques
automáticamente cuando el IDS detecta ataques, para defender el
sistema objetivo. En comparación con los IDS que simplemente generan
informes o alarmas, los IRS reducen la ventana de vulnerabilidad entre
el momento en que se detecta una intrusión y el momento en que se
toman medidas defensivas. Por ello, este trabajo propone una respuesta
de emergencia y en tiempo casi real cuando se detecta una anomalía.
Luego, clasifica esta anomalía para identificar medidas complementarias
adecuadas según el tipo de ataque.
El procedimiento de mitigación básico es bloquear los paquetes
involucrados en la intrusión reportada y rechazar todo el tráfico entrante
y saliente del dispositivo malicioso (por ejemplo, usando filtrado MAC de
lista de bloqueo o lista de permitidos). Esto puede detener muchos
ataques, incluidos R2L y U2R, y salvaguardar la confidencialidad e
integridad del ICS. Esta medida de emergencia también puede mantener
los servicios del sistema al reducir el escaneo, el sondeo y los ataques
DoS. También es posible desviar y redirigir a los usuarios maliciosos
hacia un Honeypot u otros sistemas de análisis de ataques para obtener
más información sobre la forma en que operan [33], [34]. Estas medidas
preventivas se implementan en la arquitectura de implementación
basada en SDN. Por ejemplo, cuando el IRS recibe un mensaje de
anomalía del ADM, utiliza la información contenida en el mensaje
recibido para crear el conjunto de reglas SDN y enviarlo al controlador
SDN (Fig. 7) . Luego, el controlador transmite esas reglas a las tablas
de flujo de los dispositivos de reenvío para descartar los paquetes en
cuestión o reenviarlos a un sistema de análisis de ataques.
Del mismo modo, cuando el IRS recibe un mensaje de ataque del ACM,
utiliza esta información para crear el conjunto de reglas SDN y enviarlo
al controlador. El controlador SDN transmite esta información de
enrutamiento a las tablas de flujo de los dispositivos de reenvío para
mitigar el ataque. Para una mayor respuesta, es posible desarrollar un
módulo adicional que pueda contraatacar a la entidad atacante para
neutralizar o atenuar su impacto.
Las medidas de respuesta complementarias se definen en función de
cada tipo de ataque específico. Por ejemplo, para superar un ataque
de interferencia detectado, el ancho de banda de comunicación se puede
cambiar a otras frecuencias. Para lograrlo, se puede implementar la
selección dinámica de canales (DCS) [35]. El DCS permite a los
transmisores inalámbricos monitorear el nivel de interferencia y, cuando
excede el umbral de DCS predefinido, los transmisores inalámbricos
dejan de funcionar en ese canal. Luego, el punto de acceso inalámbrico
(WAP) utiliza la selección automática de canales para determinar un
canal alternativo para cambiar la comunicación. Además, se puede
aumentar la robustez de la señal legítima para mantener una
comunicación inalámbrica segura durante los ataques de interferencia.
Para una defensa avanzada, se pueden emplear sistemas de seguimiento
para localizar la estación de interferencia y ponerle fin [36]. Estas
tecnologías también son efectivas contra otros ataques inalámbricos
activos, incluida la contaminación y la suplantación de identidad.
V. EXPERIMENTACIÓN
Esta sección presenta el experimento y analiza los resultados.
La experimentación tiene como objetivo evaluar el desempeño de la
VOLUMEN 11, 2023
IDS colaborativo basado en DNN. Por lo tanto, explotamos tres conjuntos
de datos que presentan diferentes desafíos.
El primer conjunto de datos, WUSTL­IIOT­2018, presentado en [8] y
[37], se utiliza para la investigación de ciberseguridad SCADA. El
conjunto de datos se construyó utilizando un banco de pruebas del
sistema SCADA. Para generar estos datos, se utilizaron herramientas
de escaneo para inspeccionar la topología de la red víctima e identificar
los dispositivos en la red, así como sus vulnerabilidades. Los ataques
llevados a cabo contra el banco de pruebas incluyen escáner de puertos,
ataques de escaneo de direcciones, ataques de identificación de
dispositivos y exploits. Todo el tráfico de la red (tráfico normal y anormal)
fue monitoreado por la herramienta Audit Record Generation and Utilization System
El tráfico captado comprende 7.049.989 observaciones, siendo el
93,93% tráfico normal (sin ataques) y el 6,07% tráfico anormal (tráfico
atacado). Los datos sin procesar tienen 25 funciones de red, donde
algunas funciones se utilizan para clasificar los datos, mientras que otras
se utilizan para entrenar y probar algoritmos de aprendizaje automático.
Después del proceso de limpieza de datos y la reducción de
dimensionalidad, se proporcionó un archivo de valores separados por
comas (CSV) que contenía 7.037.983 observaciones (vectores en el
conjunto de datos) y cinco características. Cada vector del conjunto de
datos está etiquetado como normal o de ataque, según el caso.
El segundo conjunto de datos, NSL­KDD, se creó a partir de una red
normal (no una IIoT); sin embargo, es uno de los conjuntos de datos
más completos, realistas y desafiantes disponibles, que se utiliza para
comparar IDS basados en aprendizaje automático [38]. NSL­KDD
incluye un total de 39 ataques específicos reagrupados en cuatro
categorías de ataques diferentes, a saber, sondeo (Probe), DoS, R2L y
U2R. El conjunto de datos de entrenamiento (KDDTrain+) y el conjunto
de datos de prueba (KDDTest+) contienen 125,973 y 22,544 vectores
de conexión únicos, respectivamente. Cada vector de conexión está
representado por 41 características y etiquetado como normal o de
ataque, con exactamente un tipo de ataque específico. Este conjunto de
datos también está disponible en un archivo CSV.
El tercer conjunto de datos, UNSW­NB15, presentado en [39] y [40]
también se construyó a partir de una red regular; sin embargo, a
diferencia del conjunto de datos NSL­KDD, contiene un híbrido del tráfico
de red normal y anormal moderno. Para generar estos datos, se utilizó
la herramienta IXIA PerfectStorm en el laboratorio de ciberseguridad del
Centro Australiano de Seguridad Cibernética. UNSW­NB15 incluye un
total de 205 ataques específicos reagrupados en nueve categorías de
ataques, a saber, Fuzzers, Análisis, Puertas traseras, DoS, Exploits,
Genéricos, Reconocimiento, Shellcode y Worms. El conjunto de datos,
proporcionado en un archivo CSV, contiene un total de 2.540.044
registros, cada uno representado por 47 características y etiquetados
como normal o ataque, incluida la categoría de ataque específica.
La experimentación emplea cuatro DNN diferentes para construir los
modelos de detección. Estos DNN incluyen MLP, Simple RNN, LSTM y
CNN. La implementación se realiza en las etapas de detección de
anomalías y clasificación de ataques. La plataforma de aprendizaje
automático utilizada para entrenar y evaluar los modelos es scikit­learn
(sklearn), una biblioteca de software gratuita para el lenguaje de
programación Python, instalada con Anaconda, una distribución de
código abierto para Python y R.
96325
Machine Translated by Google
A. EL MODELO DE DETECCIÓN DE ANOMALÍAS
Comenzamos la implementación con el modelo de detección de
anomalías. La Tabla 5 presenta la distribución de las instancias en los
conjuntos de datos binarios WUSTL­IIOT­2018, NSL­KDD y UNSW­
NB15.
TABLA 5. Distribución de instancias en los conjuntos de datos binarios WUSTL­IIOT­2018, NSL­KDD y UNSW­
NB15.
Para cada modelo DNN, ajustamos los hiperparámetros, como el
número de capas ocultas, el número de unidades para cada capa oculta,
las tasas de aprendizaje, las funciones de activación y resolución, el
número y tamaño de los filtros CNN y el número de épocas. . Para
WUSTL­IIOT­2018 y UNSW­NB15, dividimos el conjunto de datos en
conjuntos de entrenamiento (80%) y prueba (20%). Para NSL­KDD,
entrenamos los modelos usando KDDTrain+ y los evaluamos con
KDDTest+. Las Figuras 8, 9 y 10 presentan la precisión de los modelos
en los conjuntos de datos WUSTL­IIOT­2018, NSL­KDD y UNSW­NB15,
respectivamente.
FIGURA 8. Precisión de los modelos de detección de anomalías utilizando el conjunto de datos WUSTL­
IIOT­2018 con etiqueta binaria.
FIGURA 9. Precisión de los modelos de detección de anomalías que utilizan etiquetas binarias.
Conjunto de datos NSL­KDD.
96326
P. Illy, G. Kaddoum: IDPS colaborativos de baja latencia basados en DNN
FIGURA 10. Precisión de los modelos de detección de anomalías que utilizan etiquetas binarias.
Conjunto de datos UNSW­NB15.
Para cada modelo, la precisión presentada se obtiene a partir de
hiperparámetros ajustados.
Los resultados de la experimentación con los conjuntos de datos
WUSTL­IIOT­2018 y UNSW­NB15 confirman que la detección de
anomalías no requiere DNN complejas para producir un modelo de
predicción de alta precisión. En ambos conjuntos de datos, las DNN
ligeras (por ejemplo, MLP con una capa oculta de 100 neuronas)
pudieron alcanzar una precisión de detección superior al 99 %. Estos
DNN se pueden entrenar e implementar fácilmente en un servidor local
para una detección y respuesta a intrusiones de latencia ultrabaja. En
nuestro servidor local, el tiempo de capacitación es de menos de 15
minutos y 6 minutos para WUSTL­IIOT­2018 y UNSW­NB15,
respectivamente. El tiempo de predicción para los conjuntos de datos de
prueba es de aproximadamente 0,7 segundos (WUSTL­IIOT­2018) y
0,4 segundos (UNSW­NB15). Sin embargo, para el conjunto de datos
NSL­KDD, los modelos muestran una precisión menor (menos del 87%).
Esto puede explicarse por el hecho de que este conjunto de datos se
creó deliberadamente a partir de muestras difíciles de clasificar. Por lo
tanto, la clasificación en este conjunto de datos presenta más desafíos en comparac
B. EL MODELO DE CLASIFICACIÓN DE ATAQUES
La segunda parte de la experimentación se refiere al modelo de
clasificación de ataques. Dado que el conjunto de datos publicado
WUSTL­IIOT­2018 no indica los tipos de ataque, solo utilizamos los
conjuntos de datos NSL­KDD y UNSW­NB15. Las Tablas 6 y 7 presentan
la organización de estos conjuntos de datos para la clasificación de
clases múltiples.
TABLA 6. Distribución de instancias de ataques en el conjunto de datos NSL­KDD.
Los mismos DNN, es decir, MLP, Simple RNN, LSTM y CNN, se
utilizan para construir los modelos de clasificación de ataques.
Las figuras 11 y 12 ilustran la precisión de los modelos en los conjuntos
de datos NSL­KDD y UNSW­NB15, respectivamente. Para
VOLUMEN 11, 2023
Machine Translated by Google
P. Illy, G. Kaddoum: IDPS colaborativos de baja latencia basados en DNN
TABLA 7. Distribución de instancias de ataques en el conjunto de datos UNSW­NB15.
FIGURA 11. Precisión de los modelos de clasificación de ataques utilizando el
conjunto de datos NSL­KDD etiquetado y categorizado.
FIGURA 12. Precisión de los modelos de clasificación de ataques utilizando el
conjunto de datos UNSW­NB15 etiquetado y categorizado.
En cada modelo, la precisión presentada se obtiene a partir de los
hiperparámetros ajustados.
Este experimento confirma que la clasificación de ataques puede
requerir DNN complejas y un largo tiempo de entrenamiento. Con
NSL­KDD, la mejor precisión del 87,66% la proporcionó el modelo
CNN, seguido del modelo LSTM con un 86,99% de precisión. En
comparación con trabajos anteriores que emplearon el conjunto de
datos NSL­KDD, el IDS colaborativo basado en DNN propuesto
muestra una mejor precisión de predicción. La Tabla 8 compara estas
soluciones anteriores con nuestro modelo de clasificación de ataques
(clasificación de cuatro categorías). Con UNSW­NB15, la mejor
precisión del 99,63% también la proporcionó el modelo CNN, seguido
por el modelo LSTM con un 92,43% de precisión.
VOLUMEN 11, 2023
TABLA 8. Comparación con soluciones que explotan el conjunto de datos NSL­KDD
para clasificación multiclase.
TABLA 9. Comparación con soluciones que explotan el conjunto de datos UNSW­NB15 para
clasificación multiclase.
En comparación con trabajos anteriores que emplearon el conjunto
de datos UNSW­NB15, el IDS colaborativo basado en DNN propuesto
muestra nuevamente una mejor precisión de predicción. La Tabla 9
compara estas soluciones anteriores con nuestro modelo de
clasificación de ataques (clasificación de nueve categorías). En
nuestro entorno de experimentación, el entrenamiento de los modelos
de clasificación de ataques puede llevar varias horas, y la predicción
tarda aproximadamente 10 segundos y 3 minutos 36 segundos para
los conjuntos de datos de prueba NSL­KDD y UNSW­NB15,
respectivamente. Sin embargo, como esta tarea se puede realizar en
la nube, la complejidad se puede manejar gracias a la disponibilidad de más com
recursos.
Este experimento demuestra que este enfoque es eficiente para
la detección de intrusiones en fábricas inteligentes de misión crítica.
La detección de anomalías se realiza localmente con un DNN liviano,
que ofrece un IDS de latencia ultrabaja para una respuesta rápida en
el IRS. Luego, un DNN más grande implementado en la nube
proporciona una clasificación de ataques sólida para respuestas más
precisas en el IRS, es decir, respuestas que lanzan medidas de
mitigación adecuadas según la categoría de los ataques detectados.
96327
Machine Translated by Google
VI. CONCLUSIÓN
Un IDS basado en aprendizaje profundo produce mejores predicciones
para redes futuras, pero cuanto más compleja sea la estructura de la
red neuronal, mayor será su impacto en la latencia. Para aprovechar
estos modelos de aprendizaje innovadores y abordar el requisito de
latencia de los ICS, este trabajo introdujo un análisis de complejidad
temporal de los algoritmos DNN para resaltar las variables con mayor
impacto en la latencia de entrenamiento y predicción.
Con base en este análisis, se propone un IDPS colaborativo basado
en DNN que emplea dos modelos de clasificación. El primer modelo
emplea un DNN liviano que realiza detección de anomalías de baja
latencia, es decir, una clasificación binaria simple. Este DNN liviano
se implementa en servidores locales para permitir una detección de
amenazas y una respuesta de emergencia más rápidas. El segundo
modelo realiza clasificaciones de ataques del tráfico anómalo para
guiar las tareas de respuesta a intrusiones. Este segundo clasificador
se puede implementar en la nube para beneficiarse de más recursos
informáticos para ejecutar DNN más complejos.
Además, se presentó una arquitectura de implementación basada
en SDN del IDPS colaborativo propuesto en redes ICS. Esta
arquitectura proporcionó una implementación eficiente del IDPS con
características innovadoras clave, como el monitoreo de recursos
bajo demanda en el IDS y la respuesta en tiempo real en el IRS.
Además, este trabajo propuso varias funciones de detección, medidas
de respuesta e implementó diferentes métodos de aprendizaje,
incluidos CNN, LSTM, RNN y MLP. La experimentación, que se
realizó en tres conjuntos de datos con diferentes desafíos, demostró
la eficiencia del enfoque propuesto. Esto se puede mejorar aún más
investigando más DNN en nuestras investigaciones futuras.
REFERENCIAS
[1] F. Stoessel, Seguridad térmica de procesos químicos: evaluación de riesgos y
Diseño de procesos. Hoboken, Nueva Jersey, EE. UU.: Wiley, 2021.
[2] S. Robla­Gómez, VM Becerra, JR Llata, E. González­Sarabia, C. Torre­Ferrero y J. Pérez­Oria, IEEE
Access, vol. 5, págs. Rev. 26754–26773,
[3] M. Zhao y M. Barati, ''Modelo inteligente de concienciación sobre la seguridad de la subestación:
detección rápida de equipos de protección personal mediante el enfoque GNN'', IEEE Trans.
Solicitud de Indiana, vol. 59, núm. 3, págs. 3142–3150, mayo/junio. 2023.
[4] Departamento de Investigación de Statista. (2021). Número de incidentes de explosiones en los
Estados Unidos de 2012 a 2020. Consultado: agosto de 2021.
[En línea]. Disponible: https://www.statista.com/statistics/785950/number­of­explosion­incidents­in­
the­united­states/
[5] S. Al­Rabiaah, ''El virus 'Stuxnet' de 2010 como ejemplo de una 'APT' y sus variaciones 'recientes''', en
Proc . XXI Computación Saudita. Soc. Nat. Computadora.
Conf. (NCC), abril de 2018, págs. 1 a 5.
[6] JM Beaver, RC Borges­Hink y MA Buckner, ''Una evaluación de métodos de aprendizaje automático
para detectar comunicaciones SCADA maliciosas'', en Proc. 12° Int. Conf. Mach. Aprender. Aplica.
(ICMLA), vol. 2, diciembre de 2013, págs. 54–59, diciembre de 2013.
[7] C.­T. Lin, S.­L. Wu y M.­L. Lee, ''Ciberataque y defensa en sistemas de control de la industria'', en
Proc. Conferencia IEEE. Dependable Secure Comput., agosto de 2017, págs. 524–526.
[8] M. Teixeira, T. Salman, M. Zolanvari, R. Jain, N. Meskin y M. Samaka, "Banco de pruebas del sistema
SCADA para la investigación en ciberseguridad utilizando un enfoque de aprendizaje automático",
Future Internet, vol . 10, núm. 8, pág. 76, agosto de 2018.
[9] I. Ullah y QH Mahmoud, ''Un modelo híbrido para la detección de intrusiones basada en anomalías en
redes SCADA'', en Proc. IEEE Internacional. Conf. Big Data (Big Data), diciembre de 2017, págs.
2160–2167.
96328
P. Illy, G. Kaddoum: IDPS colaborativos de baja latencia basados en DNN
[10] A. Le, P. Dinh, H. Le y NC Tran, "Sistema flexible de prevención y detección de intrusiones basado en
redes en redes definidas por software", en Proc .
En t. Conf. Adv. Computadora. Aplica. (ACOMP), noviembre de 2015, págs. 106­111.
[11] A. Al­Abassi, H. Karimipour, A. Dehghantanha y RM Parizi, ''Un conjunto de detección de ciberataques
basado en aprendizaje profundo en un sistema de control industrial'', IEEE Access, vol . 8, págs.
83965–83973, 2020.
[12] B. Li, Y. Wu, J. Song, R. Lu, T. Li y L. Zhao, ''DeepFed: aprendizaje profundo federado para la detección
de intrusiones en sistemas ciberfísicos industriales'', IEEE Trans . Ind. Informat., vol. 17, núm. 8,
págs. 5615–5624, agosto de 2021.
[13] J. Ling, Z. Zhu, Y. Luo y H. Wang, ''Un método de detección de intrusiones para sistemas de control
industrial basado en una unidad recurrente simple bidireccional'', Comput . eléctrico. Ing., vol. 91,
mayo de 2021, art. No. 107049.
[14] RF Mansour, ''La optimización basada en inteligencia artificial con un modelo de aprendizaje profundo
para blockchain permitió la detección de intrusiones en un entorno CPS'', Sci. Rep., vol. 12, núm.
1, pág. 12937, julio de 2022.
[15] Q. Shafi, A. Basit, S. Qaisar, A. Koay e I. Welch, ''Marco controlado por SDN asistido por niebla para la
detección duradera de anomalías en una red de IoT'', IEEE Access, vol . 6, págs. 73713–73723,
2018.
[16] O. Alkadi, N. Moustafa, B. Turnbull y KR Choo, ''Una detección de intrusiones colaborativa habilitada
por un marco blockchain profundo para proteger IoT y redes en la nube'', IEEE Internet Things J.,
vol. 8, núm. 12, págs. 9463–9472, junio de 2021.
[17] P. Illy, G. Kaddoum, C. Miranda Moreira, K. Kaur y S. Garg, "Seguridad del entorno de niebla a las
cosas mediante un sistema de detección de intrusiones basado en el aprendizaje conjunto", en
Proc . Comunicaciones inalámbricas IEEE. Neto. Conf.
(WCNC), abril de 2019, págs. 1–7.
[18] P. Illy, G. Kaddoum, PF de Araujo­Filho, K. Kaur y S. Garg, ''Un IDPS colaborativo híbrido multietapa
basado en DNN para redes de fábricas inteligentes de alto riesgo'', IEEE Trans . Neto. Gestión de
servicios., vol. 19, núm. 4, págs. 4273–4283, diciembre de 2022.
[19] Y. Li y M. Chen, ''Virtualización de funciones de red definida por software: una encuesta'', IEEE Access,
vol. 3, págs. 2542­2553, 2015.
[20] T. Chin, X. Mountrouidou, X. Li y K. Xiong, ''Un enfoque colaborativo apoyado por SDN para la detección
y contención de inundaciones DDoS'', en Proc . IEEE mil. Comunitario. Conf. (MILCOM), octubre de
2015, págs. 659–664.
[21] A. Hermosilla, AM Zarca, JB Bernabe, J. Ortiz y A. Skarmeta, ''Orquestación y aplicación de la seguridad
en implementaciones de UAV con reconocimiento de NFV/SDN'', IEEE Access, vol . 8, págs.
131779–131795, 2020.
[22] M. Campos y JSB Martins. (2017). Un sistema flexible basado en SDN para monitoreo y tratamiento
sobre la marcha de eventos de seguridad. [En línea].
Disponible: https://zenodo.org/record/1291094 [23] P. Illy, G.
Kaddoum, K. Kaur y S. Garg, ''Mejora de IDPS basada en ML con características complementarias para
redes domésticas de IoT''. Traducción IEEE. Neto.
Gestión de servicios., vol. 19, núm. 2, págs. 772–783, junio de 2022.
[24] E. Anthi, L. Williams, M. Slowinska, G. Theodorakopoulos y P. Burnap, ''Un sistema supervisado de
detección de intrusiones para dispositivos IoT domésticos inteligentes'', IEEE Internet Things J.,
vol. 6, núm. 5, págs. 9042–9053, octubre de 2019.
[25] W. Zhong, N. Yu y C. Ai, "Aplicación de un sistema de aprendizaje profundo basado en big data a la
detección de intrusiones", Big Data Mining Anal., vol. 3, núm. 3, págs. 181­195, septiembre de 2020.
[26] A. Abusitta, M. Bellaiche, M. Dagenais y T. Halabi, ''Un enfoque de aprendizaje profundo para un
sistema proactivo de detección de intrusiones cooperativo de múltiples nubes'', Future Gener.
Computadora. Sistema, vol. 98, págs. 308–318, septiembre de 2019.
[27] F. Iglesias y T. Zseby, ''Análisis de características del tráfico de red para la detección de anomalías'',
Mach. Aprende., vol. 101, núms. 1–3, págs. 59–84, octubre de 2015.
[28] C. Xu, S. Chen, J. Su, SM Yiu y LCK Hui, ''Una encuesta sobre la coincidencia de expresiones regulares
para la inspección profunda de paquetes: aplicaciones, algoritmos y plataformas de hardware'',
IEEE Commun . Encuestas Tuts., vol. 18, núm. 4, págs. 2991–3029, cuarto trimestre, 2016.
[29] W. Wang, M. Zhu, J. Wang, X. Zeng y Z. Yang, ''Clasificación de tráfico cifrado de extremo a extremo
con redes neuronales convolucionales unidimensionales'', en Proc . IEEE Internacional. Conf. Intel.
Seguro. Información. (ISI), julio de 2017, págs. 43–48.
[30] BW Ramsey, BE Mullins, MA Temple y MR Grimaila, ''Detección de intrusiones inalámbricas y huellas
dactilares de dispositivos mediante manipulación del preámbulo'', IEEE Trans. Computación segura
confiable, vol. 12, núm. 5, págs. 585–596, septiembre de 2015.
[31] N. Soltanieh, Y. Norouzi, Y. Yang y NC Karmakar, ''Una revisión de las técnicas de toma de huellas
dactilares por radiofrecuencia'', IEEE J. Radio Freq. Identificat., vol. 4, núm. 3, págs. 222­233,
septiembre de 2020.
[32] Q. Tian, Y. Lin, X. Guo, J. Wen, Y. Fang, J. Rodriguez y S. Mumtaz, ''Nuevos mecanismos de seguridad
de comunicación de IoT de alta confiabilidad basados en huellas dactilares de radiofrecuencia'. '
IEEE Internet Things J., vol. 6, núm. 5, págs. 7980–7987, octubre de 2019.
VOLUMEN 11, 2023
Machine Translated by Google
P. Illy, G. Kaddoum: IDPS colaborativos de baja latencia basados en DNN
[33] W. Tian, X. Ji, W. Liu, G. Liu, J. Zhai, Y. Dai y S. Huang, "Estudio teórico prospectivo de la defensa
honeypot contra amenazas persistentes avanzadas en la red eléctrica". Acceso IEEE, vol. 8, págs.
64075–64085, 2020.
[34] IMM Matin y B. Rahardjo, ''El uso de honeypot en el aprendizaje automático basado en la detección de
malware: una revisión'', en Proc. 8vo Int. Conf. Gestión de servicios de TI cibernéticos. (CITSM),
octubre de 2020, págs. 1 a 6.
[35] V. Navda, A. Bohra, S. Ganguly y D. Rubenstein, "Uso de salto de canal para aumentar la resistencia
de 802.11 a ataques de interferencia", en Proc.
IEEE 26° IEEE Int. Conf. Computadora. Comunitario. (INFOCOM), mayo de 2007, págs. 2526–2530.
[36] W. Aldosari, M. Zohdy y R. Olawoyin, "Seguimiento del bloqueador móvil en redes de sensores
inalámbricos utilizando un filtro Kalman extendido", en Proc. IEEE décimo año. Computación ubicua,
electrón. Comunicacion movil. Conf. (UEM­CON), octubre de 2019, págs.
[37] S. Alem, D. Espes, E. Martin, L. Nana y F. de Lamotte, ''Nuevo conjunto de datos para la Industria 4.0
para abordar el cambio en el panorama de amenazas'', en Proc . 15° Int. Conf. Riesgos seguros.
Sistema de Internet. (Crisis). París, Francia: Springer, noviembre de 2021, págs. 273–288.
[38] M. Tavallaee, E. Bagheri, W. Lu y A. Ghorbani, “Un análisis detallado del conjunto de datos KDD CUP
99”, en Proc . Síntoma IEEE. Informática. Intel. Seguro.
Aplicación de defensa. (CISDA), julio de 2009, págs. 1 a 6.
[39] N. Moustafa y J. Slay, ''UNSW­NB15: Un conjunto de datos completo para sistemas de detección de
intrusiones en la red (conjunto de datos de red UNSW­NB15)'', en Proc . Mil. Comunitario. inf.
Sistema. Conf. (MilCIS), noviembre de 2015, págs. 1–6.
[40] N. Moustafa y J. Slay, ''La evaluación de los sistemas de detección de anomalías de red: análisis
estadístico del conjunto de datos UNSW­NB15 y comparación con el conjunto de datos KDD99'',
Inf . Seguro. J., Una perspectiva global, vol. 25, núms. 1–3, págs. 18–31, abril de 2016.
[41] K. Bajaj y A. Arora, ''Mejorar la detección de intrusiones utilizando un enfoque de aprendizaje
automático discriminativo y mejorar la complejidad del tiempo mediante métodos de selección de
características de minería de datos'', Int . J. Computación. Aplicación, vol. 76, núm. 1, págs. 5 a 11,
agosto de 2013.
[42] C. Yin, Y. Zhu, J. Fei y X. He, ''Un enfoque de aprendizaje profundo para la detección de intrusiones
utilizando redes neuronales recurrentes'', IEEE Access, vol. 5, págs. 21954–21961, 2017.
[43] B. Ingre y A. Yadav, ''Análisis de rendimiento del conjunto de datos NSL­KDD utilizando ANN'', en Proc.
En t. Conf. Proceso de señal. Comunitario. Ing. Sistema. (ESPACIOS), enero de 2015, págs. 92–96.
[44] HH Pajouh, R. Javidan, R. Khayami, A. Dehghantanha y KR Choo, "Un modelo de reducción de
dimensiones de dos capas y clasificación de dos niveles para la detección de intrusiones basada en
anomalías en redes troncales de IoT", IEEE Trans. Emergente. Temas Comput., vol. 7, núm. 2,
págs. 314–323, abril de 2019.
[45] M. Vishwakarma y N. Kesswani, ''Un sistema de detección de intrusiones de dos etapas (TIDS) para
Internet de las cosas'', en Avances en aprendizaje profundo, inteligencia artificial y robótica. Cham,
Suiza: Springer, 2022, págs. 89–97.
[46] T. Janarthanan y S. Zargari, ''Selección de características en conjuntos de datos UNSW­NB15 y
KDDCUP'99'', en Proc. IEEE 26° Int. Síntoma. Indiana electrón.
(ISIE), junio. 2017, págs. 101­1 1881–1886.
[47] M. Cavojský, G. Bugár y D. Levický, ''Análisis comparativo de modelos RNN y feed­forward para la
detección de intrusiones en la seguridad de redes de datos con el conjunto de datos UNSW­NB15'',
en Proc . 33° Int. Conf. Radioelektronika (RADIOELEKTRONIKA), abril de 2023, págs.
[48] A. Husain, A. Salem, C. Jim y G. Dimitoglou, ''Desarrollo de un modelo eficiente de detección de
intrusiones en la red utilizando un aumento de gradiente extremo (XGBoost) en el conjunto de datos
UNSW­NB15'', en Proc . . IEEE Internacional. Síntoma. Proceso de señal. inf. Tecnología. (ISSPIT),
diciembre de 2019, págs. 1 a 7.
[49] D. Jing y H.­B. Chen, ''Detección de intrusiones en la red basada en SVM para el conjunto de datos
UNSW­NB15'', en Proc. IEEE 13° Int. Conf. ASIC (ASICON), octubre de 2019, págs. 1–4.
VOLUMEN 11, 2023
POULMANOGO ILLY obtuvo su licenciatura en
ingeniería informática, análisis de opciones y
programación de la École Supérieure d'Informatique
(ESI), la Université Nazi BONI (anteriormente
Université Polytechnique de Bobo­Dioulasso), Burkina­
Faso, en 2014, y la maestría. Licenciado en escala
de datos (gestión de datos en sistemas distribuidos a
gran escala) de la Université Paris Saclay­Université
de Versailles Saint­Quentin­en­Yvelines, Francia, en
2017. Actualmente está cursando el doctorado en
ingeniería eléctrica en la École de Tecnología Superior (ÉTS), Universidad de
Quebec, Montreal, Canadá. Los resultados de su investigación se publican en
lugares prestigiosos, como IEEE WCNC, IEEE ISNCC e IEEE TRANSACTIONS
ON NETWORK AND SERVICE MANAGEMENT.
Sus intereses de investigación incluyen seguridad de redes, seguridad de IoT, detección de
intrusiones, prevención de intrusiones, aprendizaje automático y aprendizaje profundo.
GEORGES KADDOUM (Miembro principal, IEEE) recibió su
licenciatura en ingeniería eléctrica de la École Nationale
Supérieure de Techniques Avancées (ENSTA Bretagne),
Brest, Francia, en 2004, la maestría en telecomunicaciones y
procesamiento de señales (circuitos, sistemas ­tems y
procesamiento de señales) de la Université de Bretagne
Occidentale y Telecom Bretagne (ENSTB), Brest, en 2005, y
el Ph.D. Licenciatura (Hons.) en procesamiento de señales y
telecomunicaciones del Instituto Nacional de Ciencias
Aplicadas (INSA), Universidad de Toulouse, Toulouse,
Francia, en 2009. Desde 2010, ha sido consultor científico en el campo del espacio y la
tecnología inalámbrica. telecomunicaciones para varias empresas estadounidenses y
canadienses. En 2014, recibió la Cátedra de Investigación ÉTS en seguridad de capa física
para redes inalámbricas. Actualmente es profesor y catedrático de investigación de nivel 2 de
Canadá en la École de Technologie Supérieure (ÉTS), Université du Québec, Montreal,
Canadá, y también miembro de la facultad del Centro de Investigación de Sistemas de
Seguridad Cibernética e IA Aplicada de la Universidad Libanesa Americana, Beirut. , Líbano.
Ha publicado más de 200 artículos en revistas y ponencias en congresos y tiene dos patentes
pendientes.
Sus actividades de investigación recientes cubren sistemas de comunicaciones
móviles, modulaciones, seguridad y comunicaciones y navegación espaciales.
Recibió el premio al Mejor Trabajo de la Conferencia Internacional IEEE de 2014
sobre Computación, Redes y Comunicaciones Inalámbricas y Móviles (WIMOB),
con tres coautores, y del Simposio Internacional IEEE de 2017 sobre
Comunicaciones por Radio Móviles e Interiores Personales (PIMRC), con cuatro
coautores. Además, recibió el premio IEEE TRANSACTIONS ON
COMMUNICATION Exemplary Reviewer Award, en 2015, 2017 y 2019. Recibió
el premio a la excelencia en investigación de la Université du Québec, en 2018.
En 2019, recibió el premio a la excelencia en investigación de la ÉTS en
reconocimiento a su resultados de investigación sobresalientes. También se
desempeña como editor asociado de IEEE TRANSACTIONS ON INFORMACIÓN
FORENSE Y SEGURIDAD y IEEE COMMUNICATION LETTERS. También es
editor de área de IEEE TRANSACTIONS ON MACHINE APRENDIZAJE EN COMUNICACION
96329