Detección básica de anomalías en el protocolo DNP3

El objetivo de este trabajo es la investigación y desarrollo de técnicas de detección de anomalías de la capa de aplicación en el tráfico de las redes de ambiente industrial, más concretamente en la detección de anomalías en el protocolo de aplicación DNP3. Se ha diseñado para ello un sistema que consta de un disector de paquetes del protocolo DNP3 integrado en la herramienta tranalyzer. A continuación, la salida del disector es procesada para identificar las variables de interés y almacenarlas en una base de datos. Las series temporales de las variables almacenadas en la base de datos constituyen el tráfico de entrada de un detector de anomalías basado en EWMA. Se han realizado pruebas de detección tanto con tráfico limpio como con tráfico contaminado. Los resultados obtenidos indican que el sistema es capaz de detectar los verdaderos positivos en el 100% de los casos y detecta falsos positivos en un 15% de las muestras.The objective of this document is to research and develop techniques to identify anomalies of the application layer in the industrial networks traffic, more specifically in identifying anomalies in the DNP3 application layer protocol. A system has been designed that consists of a packet dissector of the DNP3 protocol integrated in the tranalyzer tool. Following, the dissector output is processed to identify the useful variables and store them in a database. The time series of the variables stored in the database make the input traffic of an EWMA-based anomaly detector. Screening tests have been carried out with clean and poisoned traffic. The results reached point out that the system can detect true positives in 100% of the tests and detect false positives in the 15% of the samples.Universidad de Sevilla. Grado en Ingeniería de las Tecnologías de Telecomunicació

Caracterización y Análisis de la Propagación de Ciberataques Jamming en Redes de Sensores Inalámbricos mediante Modelos Epidemiológicos

En general, los resultados obtenidos en los experimentos demuestran que los modelos epidemiológicos propuestos son capaces de determinar curvas características de ataques jamming (incluso con datos empíricos limitados), similares a las curvas que se obtendrían en un brote epidémico. La investigación desarrollada para el análisis predictivo de la propagación de ataques jamming, puede considerarse especialmente relevante, teniendo posibles aplicaciones en soluciones de Ciberseguridad para redes de sensores inalámbricosLa presente Tesis Doctoral aborda el análisis de ciberataques tipo jamming contra redes de sensores inalámbricos, aunando dos campos de investigación tan dispares como son la Ciberseguridad y la Epidemiología. Como hipótesis de base, se propone que la dinámica de propagación de este ciberataque dentro una red de sensores inalámbricos, debe presentar un patrón muy similar al de la propagación de una enfermedad producida por un patógeno infeccioso o virus dentro de una población de humanos, y cuyo principal vector de contagio sea el aire. Para validar esta hipótesis, y basándose en criterios propios de la investigación de brotes epidémicos, se han realizado una serie de experimentos caracterizando la propagación de ataques jamming aleatorios y reactivos contra una red de sensores inalámbricos, utilizando tres modelos epidemiológicos. Un modelo Susceptible-Infectado-Recuperado perteneciente al grupo de los modelos mecanicistas; y dos modelos de crecimiento logístico, pertenecientes al grupo de los modelos fenomenológicos, los cuales suelen utilizarse para realizar pronósticos a corto y medio plazo de la evolución de una enfermedad dentro de una población. Este doble enfoque, tratando los ciberataques jamming desde un punto de vista retrospectivo y predictivo, se consigue gracias al establecimiento de una relación directa entre el número de nodos afectados por el ataque y la dinámica de propagación de éste, tal y como se propone en la teoría epidemiológica, donde se reportan los individuos afectados por la enfermedad a estudio