Detección básica de anomalías en el protocolo DNP3

Abstract

El objetivo de este trabajo es la investigación y desarrollo de técnicas de detección de anomalías de la capa de aplicación en el tráfico de las redes de ambiente industrial, más concretamente en la detección de anomalías en el protocolo de aplicación DNP3. Se ha diseñado para ello un sistema que consta de un disector de paquetes del protocolo DNP3 integrado en la herramienta tranalyzer. A continuación, la salida del disector es procesada para identificar las variables de interés y almacenarlas en una base de datos. Las series temporales de las variables almacenadas en la base de datos constituyen el tráfico de entrada de un detector de anomalías basado en EWMA. Se han realizado pruebas de detección tanto con tráfico limpio como con tráfico contaminado. Los resultados obtenidos indican que el sistema es capaz de detectar los verdaderos positivos en el 100% de los casos y detecta falsos positivos en un 15% de las muestras.

The objective of this document is to research and develop techniques to identify anomalies of the application layer in the industrial networks traffic, more specifically in identifying anomalies in the DNP3 application layer protocol. A system has been designed that consists of a packet dissector of the DNP3 protocol integrated in the tranalyzer tool. Following, the dissector output is processed to identify the useful variables and store them in a database. The time series of the variables stored in the database make the input traffic of an EWMA-based anomaly detector. Screening tests have been carried out with clean and poisoned traffic. The results reached point out that the system can detect true positives in 100% of the tests and detect false positives in the 15% of the samples.