Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Recibido el 7 de agosto de 2023, aceptado el 31 de agosto de 2023, fecha de publicación 4 de septiembre de 2023, fecha de la versión actual 11 de septiembre de 2023.
Este trabajo fue apoyado por NSERC bajo la subvención BCITI CRDPJ 50161716.
RESUMEN Los sistemas de control industrial (ICS) han entrado en una era de modernización habilitada por el reciente
progreso en las tecnologías de la información (TI), en particular el Internet industrial de las cosas (IIoT). Esto permite una
mejor automatización de los procesos industriales, pero ahora expone a los ICS a ciberataques que explotan las
vulnerabilidades del IIoT. Por lo tanto, para garantizar la seguridad de los ICS, numerosos trabajos de investigación se han
centrado en el diseño de sistemas de prevención y detección de intrusiones (IDPS), y el aprendizaje profundo ha recibido
recientemente una atención considerable, ya que tiene el potencial de mejorar la precisión de la detección. Sin embargo, la
mayoría de las soluciones de aprendizaje profundo propuestas se centran únicamente en la precisión del modelo sin
considerar la latencia, que es un requisito esencial en muchos ICS. La novedad de este artículo es el análisis de la
complejidad temporal de las redes neuronales profundas (DNN) y el diseño de un IDPS colaborativo basado en aprendizaje
profundo robusto y de baja latencia. La arquitectura propuesta emplea dos modelos de clasificación. En el primer modelo,
se utiliza un DNN ligero para realizar una clasificación binaria, es decir, normal o de ataque, lo que garantiza una rápida
detección de intrusiones. Un segundo modelo asegura la identificación del tipo de ataques realizando una clasificación
multiclase de la anomalía detectada, que es manejada por un DNN robusto y complejo para lograr una mayor precisión.
Esta investigación también propone medidas de respuesta a intrusiones para hacer frente a los ataques detectados, primero
tras la detección de la anomalía y luego tras la identificación del tipo de ataque. Se proporcionó una evaluación experimental
utilizando varias funciones de detección, conjuntos de datos y algoritmos DNN, y los resultados demuestran la efectividad de la solución propuesta.
ÍNDICE TÉRMINOS Aprendizaje profundo, sistema de control industrial (ICS), Internet de las cosas industrial (IIoT), sistema
de detección de intrusiones (IDS), sistema de respuesta a intrusiones (IRS), seguridad de red, fábrica inteligente.
Esta obra está bajo una licencia Creative Commons AtribuciónNo ComercialSinDerivadas 4.0.
VOLUMEN 11, 2023 Para obtener más información, consulte https://creativecommons.org/licenses/byncnd/4.0/ 96317
Machine Translated by Google
P. Illy, G. Kaddoum: IDPS colaborativos de baja latencia basados en DNN
y los dispositivos IIoT, los equipos de fabricación (bombas, válvulas, en un estado crítico, e incluso respondieron falsamente para evitar
compresores, tanques, etc.) y las condiciones de fabricación (calidad alarmas [5]. Un ciberataque exitoso a una fábrica inteligente puede
del aire, humedad, temperatura, etc.) ahora se pueden monitorear y tener consecuencias críticas, incluida la filtración de datos privados y el
controlar fácilmente de forma remota mediante computadoras, tabletas ciberterrorismo.
o teléfonos inteligentes. Para una operación más eficiente de los
sistemas de control (mejor asignación de recursos, recopilación de
datos más fácil y rápida), muchas industrias están adoptando la A. TRABAJO RELACIONADO
arquitectura de Supervisión, Control y Adquisición de Datos (SCADA). Para superar los desafíos de ciberseguridad de los ICS inteligentes, la
Esta arquitectura se compone generalmente de tres niveles principales. comunidad de investigación participa activamente en el diseño de
El primer nivel consta de sensores y actuadores, donde los sensores soluciones para diferentes capas de seguridad, especialmente sistemas
recopilan datos sobre el sistema y los actuadores controlan el estado de detección de intrusiones (IDS), para detectar intentos maliciosos
del sistema. El segundo nivel está compuesto por controladores lógicos (exitosos o fallidos) de penetrar en las redes IIoT. Por ejemplo, Beaver
programables (PLC), que se conectan al primer nivel para controlar los et al. [6] aplicaron algoritmos de aprendizaje automático para detectar
actuadores y recopilar información de los sensores. El tercer nivel comunicaciones maliciosas de unidades terminales remotas (RTU). Los
contiene los controles de supervisión, que se comunican con los PLC autores utilizaron un conjunto de datos compuesto por datos de
para enviar comandos de control desde las estaciones de trabajo, telemetría RTU etiquetados de un sistema de gasoductos en el Centro
almacenar los datos del sistema en servidores (historiales de datos) y de Protección de Infraestructura Crítica de la Universidad Estatal de
proporcionar una representación visual del sistema en una interfaz Mississippi, EE. UU. En este conjunto de datos, se consideraron
hombremáquina (HMI). La Fig. 1 ilustra un sistema SCADA genérico. variantes de ataques de inyección de comandos y de inyección de
datos. Los autores implementaron seis algoritmos diferentes de
aprendizaje automático, incluidos Naive Bayes, Random Forests, One
Rule (OneR), J48 (un tipo de técnica de árbol de decisión), ejemplos
generalizados no anidados (NNge) y máquinas de vectores de soporte
(SVM). . Sus resultados experimentales demostraron la capacidad de
los algoritmos de aprendizaje para detectar estos ataques. Lin et al. [7]
establecieron un banco de pruebas de sistemas de control industrial
donde examinaron casos operativos y desarrollaron un programa de
ataque a la red Modbus/Protocolo de control de transmisión (TCP).
Ejecutaron con éxito docenas de ataques de penetración, incluidos
escaneos de códigos de funciones y direcciones, inyecciones de
comandos y respuestas, y denegación de servicio (DoS). Se recopiló
toda la actividad de la red, incluidos registros de patrones de
comportamiento normales. Al explotar el contenido de la capa de enlace
de datos a través de la capa de aplicación, especialmente las
direcciones de control de acceso al medio (MAC) y protocolo de Internet
(IP), los puertos TCP y las funciones y datos Modbus, los autores
planearon como investigación futura aprovechar Modelos de detección
basados en aprendizaje automático, por ejemplo, una SVM de una
FIGURA 1. Arquitectura SCADA genérica. clase para encontrar valores atípicos y, por tanto, detectar eficazmente
la aparición de eventos anormales. Teixeira et al. [8] desarrollaron un
En términos de seguridad industrial, la adopción de las TIC, banco de pruebas del sistema SCADA donde llevaron a cabo sofisticados
especialmente IIoT, trae muchas oportunidades y desafíos. Por ejemplo, ciberataques, incluidos escaneos de puertos y direcciones, ataques de
un sistema de seguridad de fábrica integrado con el sistema de identificación de dispositivos y exploits. Los autores capturaron el tráfico
automatización de fábrica puede proporcionar servicios de seguridad de la red durante los ataques, extrajeron funciones y crearon un
adicionales, tales como alertas personalizadas (por ejemplo, defecto conjunto de datos para entrenar y probar diferentes algoritmos de
físico del material, humedad del lugar, temperatura anormal, etc.), aprendizaje automático. Se entrenaron cinco algoritmos superficiales
control de acceso, detección de ocupación, identificación de personas, de aprendizaje automático para detectar los ataques, a saber, Random
control central. cierre de todas las puertas y ventanas perimetrales, Forest, Decision Tree, Logistic Regression, Naïve Bayes y KNearest
vigilancia remota de cámaras y sensores de seguridad a través de Neighbors (KNN). Los resultados de su evaluación mostraron la
Internet, entre otros. Sin embargo, el IIoT de la fábrica puede traer eficiencia de los modelos de aprendizaje automático para detectar ataques en tiemp
importantes problemas de seguridad a la fábrica debido a las Para lograr baja complejidad computacional y latencia en modelos
vulnerabilidades de seguridad en los dispositivos y el software de IoT de detección de intrusiones basados en anomalías para redes SCADA,
que los piratas informáticos podrían aprovechar para llevar a cabo Ullah y Mahmoud [9] implementaron un filtro de selección de
actividades maliciosas. Por ejemplo, los atacantes encontraron características basado en la ganancia de información. Utilizando un
vulnerabilidades en Siemens Step7, un software utilizado en los PLC, y conjunto de datos de un sistema de control industrial desarrollado en el
las explotaron para lanzar un ataque llamado Stuxnet. Stuxnet recopiló datos de vigilancia
Instituto y colocó ICS
de Seguridad y Análisis Distribuido de la Universidad Estatal de Mississippi
El modelo propuesto seleccionó un subconjunto de cinco características de las Para permitir una identificación oportuna de varios ataques y
20 características iniciales. Neutralización de amenazas casi en tiempo real, Shafi et al. [15] propuso un
El conjunto de datos se utilizó para entrenar un clasificador J48. Entonces, SDN asistido por niebla y un IDPS impulsado por blockchain para
Luego se utilizó un clasificador de redes bayesianas para desarrollar Redes de IoT. Los autores emplearon tres clasificadores basados en DNN, a
el modelo propuesto, que clasificó correctamente todas las instancias saber, red neuronal recurrente (RNN), perceptrón multicapa (MLP) y árbol de
de los conjuntos de datos etiquetados binariamente y etiquetados categorizados. decisión alternativo (ADT).
An Le et al. [10] propuso un sistema de prevención y detección de intrusiones en paralelo con un sistema de votación para identificar ataques en el
(IDPS) que aprovechaba el sistema definido por software. red de borde justo al lado de los dispositivos IoT. Este enfoque reduce
Enfoque de redes (SDN) para reducir el costo y disminuir la latencia de detección llevando el sistema de detección lo más
latencia de detección y mitigación. En el sistema propuesto, el lo más cerca posible de los dispositivos periféricos. Sin embargo, a diferencia de nuestro
Los autores emplearon un algoritmo de árbol de decisión C4.5 para construir el enfoque, todos los modelos de clasificación se implementan en cloudlet o
modelo de detección. Los datos utilizados para entrenar el modelo incluyeron nodos de niebla y no se aprovechan los recursos de la nube.
25 funciones básicas (encabezados de paquetes) y funciones derivadas Alkadi et al. [16] propuso un IDS distribuido que empleaba
(características que se calculan). El sistema fue evaluado utilizando una memoria bidireccional de largo plazo a corto plazo (BiLSTM) profunda
Los ataques de sondeo y DoS presentes en DARPA de 1999. Algoritmo de aprendizaje para manejar datos de red secuenciales.
conjunto de datos y un pequeño banco de pruebas donde generaron ataques El sistema propuesto implementó una cadena de bloques e inteligente.
que constan de 3 tipos de DoS y 8 tipos de Probe. En la implementación, se Método de contrato para proporcionar privacidad a los motores distribuidos de
implementaron conmutadores OpenFlow para reemplazar detección de intrusiones. Este enfoque proporciona seguridad y
conmutadores tradicionales, sensores IDPS y el firewall, para reducir Al mismo tiempo, garantiza la privacidad de los datos en entornos de nube, pero
el costo total de los desplazados internos. no aborda los problemas de latencia para IoT de misión crítica
La mayoría de estas soluciones se basan en máquinas poco profundas. aplicaciones.
métodos de aprendizaje; por lo tanto, pueden sufrir importantes limitaciones Además de la falta de análisis de complejidad temporal para la mayoría
asociadas con el aprendizaje superficial. Para superar estas limitaciones, IDS basados en DNN para ICS, la mayoría de los estudios previos no consideran
trabajos de investigación recientes investigan la clasificación de ataques ni los métodos de respuesta a intrusiones.
IDS basados en aprendizaje profundo. Por ejemplo, AlAbassi et al. [11] cuando se detectan ataques, o la arquitectura de implementación de
demostró un modelo de detección de ataques que aprovechó Deep los IDS basados en aprendizaje profundo dentro de las redes ICS.
Clasificadores de redes neuronales (DNN) y árboles de decisión para
detectar ciberataques en un entorno ICS. Li y col. [12]
B. CONTRIBUCIONES
diseñó un modelo de detección de intrusiones basado en aprendizaje profundo
La novedad de este estudio está en su esfuerzo por diseñar un sistema basado en DNN.
haciendo uso de una red neuronal convolucional (CNN)
IDPS que preserva los requisitos de ICS de misión crítica.
y una unidad recurrente cerrada (GRU). Luego, los autores desarrollaron un
Los ICS de misión crítica se refieren a aplicaciones IIoT que requieren
marco de aprendizaje federado, que permite múltiples ICS.
alta disponibilidad y baja latencia para garantizar operaciones en tiempo real.
para construir colectivamente un sistema integral de detección de intrusiones
En tales aplicaciones, se deben tomar medidas de seguridad.
modelo de forma que se preserve la privacidad. Ling et al. [13] estudiado
diseñado para preservar el requisito de baja latencia. Por lo tanto, este estudio
las limitaciones de los métodos de detección de intrusos basados en análisis profundos
propone una solución de detección y respuesta a intrusiones.
aprendizaje, como la memoria a largo plazo (LSTM) y
sistema que combina robustez y baja latencia. Conseguir
GRU, para resaltar los problemas a los que aún se enfrentan estos métodos,
robustez, este trabajo identifica varias características de detección y
como la desaparición de gradientes y la baja eficiencia del entrenamiento.
emplea los DNN más prometedores para construir la detección
Luego, los autores propusieron un método de detección de intrusiones.
modelos. Para cumplir con el requisito de baja latencia de los ICS, el
basado en una Unidad Recurrente Simple Bidireccional (BiSRU).
Estructura de las redes neuronales y su complejidad temporal.
Con conexiones de salto empleadas, el bidireccional optimizado
son estudiados. Entonces, un esquema colaborativo que separa a los
La estructura en la red neuronal SRU alivió el problema del gradiente de
tarea de clasificación en dos modelos consecutivos organizados
desaparición y mejoró la efectividad del entrenamiento. El autor en [14] propuso
basado en un principio de prioridad en el IDPS. El
una red neuronal recurrente cerrada bidireccional basada en la atención (ABi
El primer modelo, basado en un DNN ligero, realiza una anomalía.
GRNN)
detección en servidores locales para permitir la detección oportuna de ataques y
modelo con un algoritmo de optimización pobre y rico basado
respuesta. El segundo modelo realiza la clasificación de ataques.
Optimizador de hiperparámetros para construir un IDS eficiente para sistemas
del tráfico anómalo para ayudar a elegir las medidas de respuesta a intrusiones
ciberfísicos. El sistema propuesto aplicó blockchain.
adecuadas para detener el ataque. Esta multiclase
tecnología para impulsar la seguridad en el entorno ciberfísico. La solución se
El clasificador se implementa en servidores en la nube para beneficiarse de la
evaluó utilizando el NSLKDD y
Altos recursos de cálculo disponibles para ejecutar complejos.
conjuntos de datos de CICIDS, y los resultados experimentales mostraron una
DNN. Los principales aportes del trabajo propuesto son
mejor precisión en comparación con otros DNN, como GRU y
cuádruple:
GRU óptimo.
Aunque instructivos, la mayoría de estos métodos basados en el aprendizaje profundo • Este artículo propone un análisis de la complejidad temporal de la
Los IDS para ICS no analizan la complejidad temporal de DNN y resalta las variables que impactan el entrenamiento y la latencia
DNN y la latencia de los modelos de detección propuestos. de predicción.
C. ORGANIZACIÓN
El resto del trabajo de investigación está organizado de la siguiente manera.
La Sección II presenta el análisis de complejidad temporal de las DNN y
destaca las variables que impactan el entrenamiento y la latencia de
predicción. La Sección III ilustra el IDPS colaborativo basado en aprendizaje
profundo y la arquitectura de implementación. La Sección IV presenta las
funciones de detección, los algoritmos de aprendizaje y las medidas del
IRS. La Sección V presenta la evaluación experimental y discute los
resultados obtenidos.
Finalmente, la Sección VI concluye este trabajo.
Algoritmo 1 Resultado del TABLA 3. Latencia de entrenamiento y predicción en diferentes MLP y conjuntos de datos
tamaños.
+ NhnNota)TWU ] (3)
C(predicción) = CO1
= NnuTFW
TABLA 2. Complejidad temporal de las operaciones de entrenamiento de MLP. = (Nin + Nhi + No)TFW (4)
• Nin = el número de unidades de entrada (tamaño del vector de de datos de simulación, entrenamos y evaluamos cinco modelos MLP de
varios tamaños (M1 a M5). La Tabla 3 describe estos modelos y presenta
características), • Nhi = el número de unidades de la capa
oculta hi , • Nout = el número de unidades de salida ( número de la latencia de entrenamiento expresada en minutos (mn) y la latencia de
clases), • Nnu = el número total de unidades (perceptrones), predicción expresada en milisegundos (ms). La figura 4 ilustra la evolución
• Nwg = el número total de pesos, • Nepoch de la latencia según el MLP y el tamaño de los datos. Se aplica el mismo
= el número de iteraciones en el conjunto de datos de entrenamiento, proceso para evaluar la complejidad temporal de todos los demás DNN, es
• Nte = el número de ejemplos de entrenamiento, decir, RNN, LSTM, Auto Encoder y CNN.
y minimiza la intervención humana y los costos operativos relacionados. La Fig. Algoritmo 2 Selección de características de IIoT Salida
7 detalla cómo funcionan los módulos IDPS utilizando el diagrama de secuencia lógica : Conjunto de características relevantes (Relevant_Features).
del Lenguaje de modelado unificado (UML). Este diagrama muestra la Entrada 1: Ciberamenazas IIoT dirigidas
interacción entre las principales entidades del IDPS en el orden en que tienen (Targeted_cyber_threats).
lugar estas interacciones. Entrada 2: Todas las funciones del sistema
Las entidades principales incluyen las puertas de recopilación de datos IIoT (All_IIoT_Features).
(conmutadores SDN), el orquestador del sistema, el modelo de detección de foreach attackx en Targeted_cyber_threats hacer foreach
anomalías (ADM), el modelo de clasificación de ataques (ACM), el IRS y el
featurey en All_IIoT_Features hacer si el featurey es
controlador SDN.
cambiado por attackx entonces Agregar featurey
Este IDPS colaborativo proporciona un sistema de detección de intrusiones en Relevant_Features end end end Eliminar
más rápido con clasificación de ataques para una respuesta eficiente.
En esta arquitectura, sólo el tráfico anómalo necesita pasar por la compleja
clasificación de ataques DNN, que representa una porción extremadamente
pequeña de los datos de IIoT. redundancia en Relevant_Features Eliminar
La siguiente sección presenta la selección de funciones de detección, los correlación en Relevant_Features Reducir la
modelos de aprendizaje profundo implementados y la respuesta. dimensionalidad de Relevant_Features
medidas.
CNN, RNN, LSTM y MLP. El modelo de detección de anomalías C. MEDIDAS DE RESPUESTA PROPUESTAS
puede emplear un DNN simple, como MLP; sin embargo, el modelo El éxito de algunos ataques depende principalmente del lapso de
de clasificación de ataques utiliza DNN más complejos, como RNN, tiempo entre la detección y la respuesta defensiva contra el ataque.
LSTM y CNN. Sistemas de respuesta a intrusiones (IRS), también conocidos como
Los sistemas de prevención de intrusiones (IPS) lanzan contraataques IDS colaborativo basado en DNN. Por lo tanto, explotamos tres conjuntos
automáticamente cuando el IDS detecta ataques, para defender el de datos que presentan diferentes desafíos.
sistema objetivo. En comparación con los IDS que simplemente generan El primer conjunto de datos, WUSTLIIOT2018, presentado en [8] y
informes o alarmas, los IRS reducen la ventana de vulnerabilidad entre [37], se utiliza para la investigación de ciberseguridad SCADA. El
el momento en que se detecta una intrusión y el momento en que se conjunto de datos se construyó utilizando un banco de pruebas del
toman medidas defensivas. Por ello, este trabajo propone una respuesta sistema SCADA. Para generar estos datos, se utilizaron herramientas
de emergencia y en tiempo casi real cuando se detecta una anomalía. de escaneo para inspeccionar la topología de la red víctima e identificar
Luego, clasifica esta anomalía para identificar medidas complementarias los dispositivos en la red, así como sus vulnerabilidades. Los ataques
adecuadas según el tipo de ataque. llevados a cabo contra el banco de pruebas incluyen escáner de puertos,
El procedimiento de mitigación básico es bloquear los paquetes ataques de escaneo de direcciones, ataques de identificación de
involucrados en la intrusión reportada y rechazar todo el tráfico entrante dispositivos y exploits. Todo el tráfico de la red (tráfico normal y anormal)
y saliente del dispositivo malicioso (por ejemplo, usando filtrado MAC de fue monitoreado por la herramienta Audit Record Generation and Utilization System
lista de bloqueo o lista de permitidos). Esto puede detener muchos El tráfico captado comprende 7.049.989 observaciones, siendo el
ataques, incluidos R2L y U2R, y salvaguardar la confidencialidad e 93,93% tráfico normal (sin ataques) y el 6,07% tráfico anormal (tráfico
integridad del ICS. Esta medida de emergencia también puede mantener atacado). Los datos sin procesar tienen 25 funciones de red, donde
los servicios del sistema al reducir el escaneo, el sondeo y los ataques algunas funciones se utilizan para clasificar los datos, mientras que otras
DoS. También es posible desviar y redirigir a los usuarios maliciosos se utilizan para entrenar y probar algoritmos de aprendizaje automático.
hacia un Honeypot u otros sistemas de análisis de ataques para obtener Después del proceso de limpieza de datos y la reducción de
más información sobre la forma en que operan [33], [34]. Estas medidas dimensionalidad, se proporcionó un archivo de valores separados por
preventivas se implementan en la arquitectura de implementación comas (CSV) que contenía 7.037.983 observaciones (vectores en el
basada en SDN. Por ejemplo, cuando el IRS recibe un mensaje de conjunto de datos) y cinco características. Cada vector del conjunto de
anomalía del ADM, utiliza la información contenida en el mensaje datos está etiquetado como normal o de ataque, según el caso.
recibido para crear el conjunto de reglas SDN y enviarlo al controlador El segundo conjunto de datos, NSLKDD, se creó a partir de una red
SDN (Fig. 7) . Luego, el controlador transmite esas reglas a las tablas normal (no una IIoT); sin embargo, es uno de los conjuntos de datos
de flujo de los dispositivos de reenvío para descartar los paquetes en más completos, realistas y desafiantes disponibles, que se utiliza para
cuestión o reenviarlos a un sistema de análisis de ataques. comparar IDS basados en aprendizaje automático [38]. NSLKDD
incluye un total de 39 ataques específicos reagrupados en cuatro
Del mismo modo, cuando el IRS recibe un mensaje de ataque del ACM, categorías de ataques diferentes, a saber, sondeo (Probe), DoS, R2L y
utiliza esta información para crear el conjunto de reglas SDN y enviarlo U2R. El conjunto de datos de entrenamiento (KDDTrain+) y el conjunto
al controlador. El controlador SDN transmite esta información de de datos de prueba (KDDTest+) contienen 125,973 y 22,544 vectores
enrutamiento a las tablas de flujo de los dispositivos de reenvío para de conexión únicos, respectivamente. Cada vector de conexión está
mitigar el ataque. Para una mayor respuesta, es posible desarrollar un representado por 41 características y etiquetado como normal o de
módulo adicional que pueda contraatacar a la entidad atacante para ataque, con exactamente un tipo de ataque específico. Este conjunto de
neutralizar o atenuar su impacto. datos también está disponible en un archivo CSV.
Las medidas de respuesta complementarias se definen en función de El tercer conjunto de datos, UNSWNB15, presentado en [39] y [40]
cada tipo de ataque específico. Por ejemplo, para superar un ataque también se construyó a partir de una red regular; sin embargo, a
de interferencia detectado, el ancho de banda de comunicación se puede diferencia del conjunto de datos NSLKDD, contiene un híbrido del tráfico
cambiar a otras frecuencias. Para lograrlo, se puede implementar la de red normal y anormal moderno. Para generar estos datos, se utilizó
selección dinámica de canales (DCS) [35]. El DCS permite a los la herramienta IXIA PerfectStorm en el laboratorio de ciberseguridad del
transmisores inalámbricos monitorear el nivel de interferencia y, cuando Centro Australiano de Seguridad Cibernética. UNSWNB15 incluye un
excede el umbral de DCS predefinido, los transmisores inalámbricos total de 205 ataques específicos reagrupados en nueve categorías de
dejan de funcionar en ese canal. Luego, el punto de acceso inalámbrico ataques, a saber, Fuzzers, Análisis, Puertas traseras, DoS, Exploits,
(WAP) utiliza la selección automática de canales para determinar un Genéricos, Reconocimiento, Shellcode y Worms. El conjunto de datos,
canal alternativo para cambiar la comunicación. Además, se puede proporcionado en un archivo CSV, contiene un total de 2.540.044
aumentar la robustez de la señal legítima para mantener una registros, cada uno representado por 47 características y etiquetados
comunicación inalámbrica segura durante los ataques de interferencia. como normal o ataque, incluida la categoría de ataque específica.
Para una defensa avanzada, se pueden emplear sistemas de seguimiento
para localizar la estación de interferencia y ponerle fin [36]. Estas La experimentación emplea cuatro DNN diferentes para construir los
tecnologías también son efectivas contra otros ataques inalámbricos modelos de detección. Estos DNN incluyen MLP, Simple RNN, LSTM y
activos, incluida la contaminación y la suplantación de identidad. CNN. La implementación se realiza en las etapas de detección de
anomalías y clasificación de ataques. La plataforma de aprendizaje
automático utilizada para entrenar y evaluar los modelos es scikitlearn
(sklearn), una biblioteca de software gratuita para el lenguaje de
V. EXPERIMENTACIÓN programación Python, instalada con Anaconda, una distribución de
Esta sección presenta el experimento y analiza los resultados. código abierto para Python y R.
La experimentación tiene como objetivo evaluar el desempeño de la
TABLA 5. Distribución de instancias en los conjuntos de datos binarios WUSTLIIOT2018, NSLKDD y UNSW
NB15.
FIGURA 10. Precisión de los modelos de detección de anomalías que utilizan etiquetas binarias.
Conjunto de datos UNSWNB15.
TABLA 7. Distribución de instancias de ataques en el conjunto de datos UNSWNB15. TABLA 8. Comparación con soluciones que explotan el conjunto de datos NSLKDD
para clasificación multiclase.
TABLA 9. Comparación con soluciones que explotan el conjunto de datos UNSWNB15 para
clasificación multiclase.
VI. CONCLUSIÓN [10] A. Le, P. Dinh, H. Le y NC Tran, "Sistema flexible de prevención y detección de intrusiones basado en
redes en redes definidas por software", en Proc .
Un IDS basado en aprendizaje profundo produce mejores predicciones
En t. Conf. Adv. Computadora. Aplica. (ACOMP), noviembre de 2015, págs. 106111.
para redes futuras, pero cuanto más compleja sea la estructura de la [11] A. AlAbassi, H. Karimipour, A. Dehghantanha y RM Parizi, ''Un conjunto de detección de ciberataques
red neuronal, mayor será su impacto en la latencia. Para aprovechar basado en aprendizaje profundo en un sistema de control industrial'', IEEE Access, vol . 8, págs.
83965–83973, 2020.
estos modelos de aprendizaje innovadores y abordar el requisito de
[12] B. Li, Y. Wu, J. Song, R. Lu, T. Li y L. Zhao, ''DeepFed: aprendizaje profundo federado para la detección
latencia de los ICS, este trabajo introdujo un análisis de complejidad de intrusiones en sistemas ciberfísicos industriales'', IEEE Trans . Ind. Informat., vol. 17, núm. 8,
temporal de los algoritmos DNN para resaltar las variables con mayor págs. 5615–5624, agosto de 2021.
impacto en la latencia de entrenamiento y predicción. [13] J. Ling, Z. Zhu, Y. Luo y H. Wang, ''Un método de detección de intrusiones para sistemas de control
industrial basado en una unidad recurrente simple bidireccional'', Comput . eléctrico. Ing., vol. 91,
Con base en este análisis, se propone un IDPS colaborativo basado
mayo de 2021, art. No. 107049.
en DNN que emplea dos modelos de clasificación. El primer modelo [14] RF Mansour, ''La optimización basada en inteligencia artificial con un modelo de aprendizaje profundo
emplea un DNN liviano que realiza detección de anomalías de baja para blockchain permitió la detección de intrusiones en un entorno CPS'', Sci. Rep., vol. 12, núm.
1, pág. 12937, julio de 2022.
latencia, es decir, una clasificación binaria simple. Este DNN liviano
[15] Q. Shafi, A. Basit, S. Qaisar, A. Koay e I. Welch, ''Marco controlado por SDN asistido por niebla para la
se implementa en servidores locales para permitir una detección de detección duradera de anomalías en una red de IoT'', IEEE Access, vol . 6, págs. 73713–73723,
amenazas y una respuesta de emergencia más rápidas. El segundo 2018.
[16] O. Alkadi, N. Moustafa, B. Turnbull y KR Choo, ''Una detección de intrusiones colaborativa habilitada
modelo realiza clasificaciones de ataques del tráfico anómalo para
por un marco blockchain profundo para proteger IoT y redes en la nube'', IEEE Internet Things J.,
guiar las tareas de respuesta a intrusiones. Este segundo clasificador vol. 8, núm. 12, págs. 9463–9472, junio de 2021.
se puede implementar en la nube para beneficiarse de más recursos
informáticos para ejecutar DNN más complejos. [17] P. Illy, G. Kaddoum, C. Miranda Moreira, K. Kaur y S. Garg, "Seguridad del entorno de niebla a las
cosas mediante un sistema de detección de intrusiones basado en el aprendizaje conjunto", en
Además, se presentó una arquitectura de implementación basada Proc . Comunicaciones inalámbricas IEEE. Neto. Conf.
en SDN del IDPS colaborativo propuesto en redes ICS. Esta (WCNC), abril de 2019, págs. 1–7.
arquitectura proporcionó una implementación eficiente del IDPS con [18] P. Illy, G. Kaddoum, PF de AraujoFilho, K. Kaur y S. Garg, ''Un IDPS colaborativo híbrido multietapa
basado en DNN para redes de fábricas inteligentes de alto riesgo'', IEEE Trans . Neto. Gestión de
características innovadoras clave, como el monitoreo de recursos
servicios., vol. 19, núm. 4, págs. 4273–4283, diciembre de 2022.
bajo demanda en el IDS y la respuesta en tiempo real en el IRS.
Además, este trabajo propuso varias funciones de detección, medidas [19] Y. Li y M. Chen, ''Virtualización de funciones de red definida por software: una encuesta'', IEEE Access,
vol. 3, págs. 25422553, 2015.
de respuesta e implementó diferentes métodos de aprendizaje,
[20] T. Chin, X. Mountrouidou, X. Li y K. Xiong, ''Un enfoque colaborativo apoyado por SDN para la detección
incluidos CNN, LSTM, RNN y MLP. La experimentación, que se y contención de inundaciones DDoS'', en Proc . IEEE mil. Comunitario. Conf. (MILCOM), octubre de
realizó en tres conjuntos de datos con diferentes desafíos, demostró 2015, págs. 659–664.
[21] A. Hermosilla, AM Zarca, JB Bernabe, J. Ortiz y A. Skarmeta, ''Orquestación y aplicación de la seguridad
la eficiencia del enfoque propuesto. Esto se puede mejorar aún más
en implementaciones de UAV con reconocimiento de NFV/SDN'', IEEE Access, vol . 8, págs.
investigando más DNN en nuestras investigaciones futuras. 131779–131795, 2020.
[22] M. Campos y JSB Martins. (2017). Un sistema flexible basado en SDN para monitoreo y tratamiento
sobre la marcha de eventos de seguridad. [En línea].
Disponible: https://zenodo.org/record/1291094 [23] P. Illy, G.
Kaddoum, K. Kaur y S. Garg, ''Mejora de IDPS basada en ML con características complementarias para
REFERENCIAS redes domésticas de IoT''. Traducción IEEE. Neto.
Gestión de servicios., vol. 19, núm. 2, págs. 772–783, junio de 2022.
[1] F. Stoessel, Seguridad térmica de procesos químicos: evaluación de riesgos y
[24] E. Anthi, L. Williams, M. Slowinska, G. Theodorakopoulos y P. Burnap, ''Un sistema supervisado de
Diseño de procesos. Hoboken, Nueva Jersey, EE. UU.: Wiley, 2021.
detección de intrusiones para dispositivos IoT domésticos inteligentes'', IEEE Internet Things J.,
[2] S. RoblaGómez, VM Becerra, JR Llata, E. GonzálezSarabia, C. TorreFerrero y J. PérezOria, IEEE
vol. 6, núm. 5, págs. 9042–9053, octubre de 2019.
Access, vol. 5, págs. Rev. 26754–26773,
[25] W. Zhong, N. Yu y C. Ai, "Aplicación de un sistema de aprendizaje profundo basado en big data a la
detección de intrusiones", Big Data Mining Anal., vol. 3, núm. 3, págs. 181195, septiembre de 2020.
[31] N. Soltanieh, Y. Norouzi, Y. Yang y NC Karmakar, ''Una revisión de las técnicas de toma de huellas
[8] M. Teixeira, T. Salman, M. Zolanvari, R. Jain, N. Meskin y M. Samaka, "Banco de pruebas del sistema dactilares por radiofrecuencia'', IEEE J. Radio Freq. Identificat., vol. 4, núm. 3, págs. 222233,
SCADA para la investigación en ciberseguridad utilizando un enfoque de aprendizaje automático", septiembre de 2020.
Future Internet, vol . 10, núm. 8, pág. 76, agosto de 2018. [32] Q. Tian, Y. Lin, X. Guo, J. Wen, Y. Fang, J. Rodriguez y S. Mumtaz, ''Nuevos mecanismos de seguridad
[9] I. Ullah y QH Mahmoud, ''Un modelo híbrido para la detección de intrusiones basada en anomalías en de comunicación de IoT de alta confiabilidad basados en huellas dactilares de radiofrecuencia'. '
redes SCADA'', en Proc. IEEE Internacional. Conf. Big Data (Big Data), diciembre de 2017, págs. IEEE Internet Things J., vol. 6, núm. 5, págs. 7980–7987, octubre de 2019.
2160–2167.
[33] W. Tian, X. Ji, W. Liu, G. Liu, J. Zhai, Y. Dai y S. Huang, "Estudio teórico prospectivo de la defensa POULMANOGO ILLY obtuvo su licenciatura en
honeypot contra amenazas persistentes avanzadas en la red eléctrica". Acceso IEEE, vol. 8, págs. ingeniería informática, análisis de opciones y
64075–64085, 2020. programación de la École Supérieure d'Informatique
[34] IMM Matin y B. Rahardjo, ''El uso de honeypot en el aprendizaje automático basado en la detección de (ESI), la Université Nazi BONI (anteriormente
malware: una revisión'', en Proc. 8vo Int. Conf. Gestión de servicios de TI cibernéticos. (CITSM), Université Polytechnique de BoboDioulasso), Burkina
octubre de 2020, págs. 1 a 6.
Faso, en 2014, y la maestría. Licenciado en escala
[35] V. Navda, A. Bohra, S. Ganguly y D. Rubenstein, "Uso de salto de canal para aumentar la resistencia
de datos (gestión de datos en sistemas distribuidos a
de 802.11 a ataques de interferencia", en Proc.
gran escala) de la Université Paris SaclayUniversité
IEEE 26° IEEE Int. Conf. Computadora. Comunitario. (INFOCOM), mayo de 2007, págs. 2526–2530.
de Versailles SaintQuentinenYvelines, Francia, en
2017. Actualmente está cursando el doctorado en
[36] W. Aldosari, M. Zohdy y R. Olawoyin, "Seguimiento del bloqueador móvil en redes de sensores
ingeniería eléctrica en la École de Tecnología Superior (ÉTS), Universidad de
inalámbricos utilizando un filtro Kalman extendido", en Proc. IEEE décimo año. Computación ubicua,
electrón. Comunicacion movil. Conf. (UEMCON), octubre de 2019, págs.
Quebec, Montreal, Canadá. Los resultados de su investigación se publican en
lugares prestigiosos, como IEEE WCNC, IEEE ISNCC e IEEE TRANSACTIONS
[37] S. Alem, D. Espes, E. Martin, L. Nana y F. de Lamotte, ''Nuevo conjunto de datos para la Industria 4.0
ON NETWORK AND SERVICE MANAGEMENT.
para abordar el cambio en el panorama de amenazas'', en Proc . 15° Int. Conf. Riesgos seguros. Sus intereses de investigación incluyen seguridad de redes, seguridad de IoT, detección de
Sistema de Internet. (Crisis). París, Francia: Springer, noviembre de 2021, págs. 273–288. intrusiones, prevención de intrusiones, aprendizaje automático y aprendizaje profundo.
[38] M. Tavallaee, E. Bagheri, W. Lu y A. Ghorbani, “Un análisis detallado del conjunto de datos KDD CUP
99”, en Proc . Síntoma IEEE. Informática. Intel. Seguro.
Aplicación de defensa. (CISDA), julio de 2009, págs. 1 a 6.
[39] N. Moustafa y J. Slay, ''UNSWNB15: Un conjunto de datos completo para sistemas de detección de
intrusiones en la red (conjunto de datos de red UNSWNB15)'', en Proc . Mil. Comunitario. inf.
Sistema. Conf. (MilCIS), noviembre de 2015, págs. 1–6. GEORGES KADDOUM (Miembro principal, IEEE) recibió su
[40] N. Moustafa y J. Slay, ''La evaluación de los sistemas de detección de anomalías de red: análisis licenciatura en ingeniería eléctrica de la École Nationale
estadístico del conjunto de datos UNSWNB15 y comparación con el conjunto de datos KDD99'', Supérieure de Techniques Avancées (ENSTA Bretagne),
Inf . Seguro. J., Una perspectiva global, vol. 25, núms. 1–3, págs. 18–31, abril de 2016. Brest, Francia, en 2004, la maestría en telecomunicaciones y
procesamiento de señales (circuitos, sistemas tems y
[41] K. Bajaj y A. Arora, ''Mejorar la detección de intrusiones utilizando un enfoque de aprendizaje
procesamiento de señales) de la Université de Bretagne
automático discriminativo y mejorar la complejidad del tiempo mediante métodos de selección de
Occidentale y Telecom Bretagne (ENSTB), Brest, en 2005, y
características de minería de datos'', Int . J. Computación. Aplicación, vol. 76, núm. 1, págs. 5 a 11,
el Ph.D. Licenciatura (Hons.) en procesamiento de señales y
agosto de 2013.
telecomunicaciones del Instituto Nacional de Ciencias
[42] C. Yin, Y. Zhu, J. Fei y X. He, ''Un enfoque de aprendizaje profundo para la detección de intrusiones
Aplicadas (INSA), Universidad de Toulouse, Toulouse,
utilizando redes neuronales recurrentes'', IEEE Access, vol. 5, págs. 21954–21961, 2017.
Francia, en 2009. Desde 2010, ha sido consultor científico en el campo del espacio y la
tecnología inalámbrica. telecomunicaciones para varias empresas estadounidenses y
[43] B. Ingre y A. Yadav, ''Análisis de rendimiento del conjunto de datos NSLKDD utilizando ANN'', en Proc.
En t. Conf. Proceso de señal. Comunitario. Ing. Sistema. (ESPACIOS), enero de 2015, págs. 92–96. canadienses. En 2014, recibió la Cátedra de Investigación ÉTS en seguridad de capa física
para redes inalámbricas. Actualmente es profesor y catedrático de investigación de nivel 2 de
[44] HH Pajouh, R. Javidan, R. Khayami, A. Dehghantanha y KR Choo, "Un modelo de reducción de Canadá en la École de Technologie Supérieure (ÉTS), Université du Québec, Montreal,
dimensiones de dos capas y clasificación de dos niveles para la detección de intrusiones basada en Canadá, y también miembro de la facultad del Centro de Investigación de Sistemas de
anomalías en redes troncales de IoT", IEEE Trans. Emergente. Temas Comput., vol. 7, núm. 2, Seguridad Cibernética e IA Aplicada de la Universidad Libanesa Americana, Beirut. , Líbano.
págs. 314–323, abril de 2019. Ha publicado más de 200 artículos en revistas y ponencias en congresos y tiene dos patentes
[45] M. Vishwakarma y N. Kesswani, ''Un sistema de detección de intrusiones de dos etapas (TIDS) para pendientes.
Internet de las cosas'', en Avances en aprendizaje profundo, inteligencia artificial y robótica. Cham,
Suiza: Springer, 2022, págs. 89–97. Sus actividades de investigación recientes cubren sistemas de comunicaciones
móviles, modulaciones, seguridad y comunicaciones y navegación espaciales.
[46] T. Janarthanan y S. Zargari, ''Selección de características en conjuntos de datos UNSWNB15 y
Recibió el premio al Mejor Trabajo de la Conferencia Internacional IEEE de 2014
KDDCUP'99'', en Proc. IEEE 26° Int. Síntoma. Indiana electrón.
sobre Computación, Redes y Comunicaciones Inalámbricas y Móviles (WIMOB),
(ISIE), junio. 2017, págs. 1011 1881–1886.
con tres coautores, y del Simposio Internacional IEEE de 2017 sobre
[47] M. Cavojský, G. Bugár y D. Levický, ''Análisis comparativo de modelos RNN y feedforward para la
Comunicaciones por Radio Móviles e Interiores Personales (PIMRC), con cuatro
detección de intrusiones en la seguridad de redes de datos con el conjunto de datos UNSWNB15'',
coautores. Además, recibió el premio IEEE TRANSACTIONS ON
en Proc . 33° Int. Conf. Radioelektronika (RADIOELEKTRONIKA), abril de 2023, págs.
COMMUNICATION Exemplary Reviewer Award, en 2015, 2017 y 2019. Recibió
el premio a la excelencia en investigación de la Université du Québec, en 2018.
[48] A. Husain, A. Salem, C. Jim y G. Dimitoglou, ''Desarrollo de un modelo eficiente de detección de
intrusiones en la red utilizando un aumento de gradiente extremo (XGBoost) en el conjunto de datos En 2019, recibió el premio a la excelencia en investigación de la ÉTS en
UNSWNB15'', en Proc . . IEEE Internacional. Síntoma. Proceso de señal. inf. Tecnología. (ISSPIT), reconocimiento a su resultados de investigación sobresalientes. También se
diciembre de 2019, págs. 1 a 7.
desempeña como editor asociado de IEEE TRANSACTIONS ON INFORMACIÓN
[49] D. Jing y H.B. Chen, ''Detección de intrusiones en la red basada en SVM para el conjunto de datos
FORENSE Y SEGURIDAD y IEEE COMMUNICATION LETTERS. También es
UNSWNB15'', en Proc. IEEE 13° Int. Conf. ASIC (ASICON), octubre de 2019, págs. 1–4. editor de área de IEEE TRANSACTIONS ON MACHINE APRENDIZAJE EN COMUNICACION