Analisi e sviluppo di tecniche basate su Machine Learning per il rilevamento di intrusioni nelle reti OT

In the thesis herein, the use of Intrusion Detection Systems in the industrial environment is first analyzed. OT (Operational Techonology) security has over time become an increasingly critical factor, since a cyberattack on an industrial network can cause very serious damage not only to the affected company, but also to external parties in the most severe cases. Consider, for example, the damage that can be caused by a cyberattack directed at a power distribution network. Thus, in the first section of the thesis, IDSs are presented as a possible means of defense, the composition and evolution of SCADA systems are studied, and two of the communication protocols most commonly found in industrial environment are also analyzed: the Modbus and S7comm protocols. Subsequently, in the second part of the thesis, a description of a few experiments, alongside their results, are presented. The ability of certain classification algorithms to distinguish between real, secure traffic and malicious traffic within a district heating network was tested through these experiments. These tests are preceded by the creation of a dataset, whose features characterize individual packets transmitted in the network under normal operation, during which attack simulations were performed. The production of the dataset from real traffic of an industrial network is a determining factor in producing data as close as possible to a real attack situation, although this choice placed limitations on the types of attacks that could be executed. The classifiers tested were of three types: supervised binary classifiers, supervised multiclass classifiers and one-class classifiers. The results obtained in the various performed experiments are promising, and they show a good ability of some of the tested classifiers to properly handle almost all attack classes present in the dataset.

Nella tesi qui presentata viene per prima cosa analizzato l'utilizzo degli Intrusion Detection System in ambito industriale. La sicurezza OT (Operational Techonology) è col tempo diventata un fattore sempre più critico, dato che un attacco informatico a una rete industriale può causare gravissimi danni non solo all'azienda colpita, ma anche a soggetti esterni, nei casi più gravi. Si pensi, per esempio, ai danni che possono essere causati da un attacco informatico diretto verso una rete di distribuzione energetica. Nella prima sezione della tesi sono dunque presentati gli IDS come possibile strumento di difesa, viene studiata la composizione e l'evoluzione dei sistemi SCADA e sono anche analizzati due dei protocolli di comunicazione maggiormente presenti in ambito industriale: il Modbus e l'S7comm. Successivamente, nella seconda parte della tesi, sono invece presentati i risultati di esperimenti tramite i quali è stata testata la capacità di alcuni algoritmi di classificazione di distinguere fra traffico reale e sicuro e traffico malevolo all'interno di una rete di teleriscaldamento. Questi esperimenti sono preceduti dalla produzione di un dataset, le cui feature caratterizzano i singoli pacchetti trasmessi nella rete di riferimento in normale operatività, durante la quale sono state eseguite delle simulazioni di attacco. La produzione del dataset a partire da traffico reale di una rete industriale è un fattore determinante per la produzione di dati i più vicini possibile a una situazione di attacco reale, anche se questa scelta ha posto delle limitazioni sulle tipologie di attacco eseguibili. I classificatori testati sono di tre tipologie: classificatori supervisionati biclasse, classificatori supervisionati multiclasse e classificatori one-class. I risultati ottenuti nei vari esperimenti eseguiti sono promettenti, e mostrano una buona capacità di alcuni dei classificatori testati di gestire correttamente quasi tutte le classi di attacco presenti nel dataset.