Usando el aprendizaje en conjunto para la detección de anomalías en sistemas ciberfísicos
Autores: Jeffrey, Nicholas; Tan, Qing; Villar, José R.
Idioma: Inglés
Editor: MDPI
Año: 2024
Acceso abierto
Artículo científico
2024
Usando el aprendizaje en conjunto para la detección de anomalías en sistemas ciberfísicos
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Paradigmas de la industria 4.0
Tecnología de la información
Tecnología operativa
Sistemas ciberfísicos
Algoritmos de aprendizaje automático
Detección de anomalías.
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 42
Citaciones: Sin citaciones
El rápido abrazo de los paradigmas de la Industria 4.0 ha llevado a la creciente convergencia de las redes de Tecnología de la Información (TI) y las redes de Tecnología Operativa (TO). Tradicionalmente aisladas en redes de confianza total y completamente separadas, las redes de TO ahora están volviéndose más interconectadas con las redes de TI debido al avance y aplicaciones del IoT. Esta superficie de ataque expandida ha llevado a vulnerabilidades en los Sistemas Ciberfísicos (CPS), lo que resulta en compromisos cada vez más frecuentes con repercusiones económicas y de seguridad vital significativas. Los métodos existentes para la detección de anomalías de amenazas de seguridad típicamente utilizan estrategias simples basadas en umbrales o aplican algoritmos de Aprendizaje Automático (AA) a datos históricos para la predicción de futuras anomalías. Sin embargo, debido a los altos niveles de heterogeneidad en diferentes entornos de CPS, minimizando las oportunidades para el aprendizaje de transferencia, y la escasez de datos del mundo real para el entrenamiento, las técnicas de detección de anomalías basadas en AA existentes sufren de un bajo rendimiento predictivo. Este documento presenta un enfoque híbrido de detección de anomalías diseñado para identificar amenazas a los CPS combinando la detección de anomalías basada en firmas típicamente utilizada en redes de TI, la detección de anomalías basada en umbrales típicamente utilizada en redes de TO, y la detección de anomalías basada en comportamiento utilizando Aprendizaje en Conjunto (EL), que aprovecha las fortalezas de múltiples algoritmos de AA contra el mismo conjunto de datos para aumentar la precisión. Se utilizaron múltiples conjuntos de datos de investigación públicos para validar el enfoque propuesto, con la metodología híbrida empleando una estrategia de dividir y conquistar para desviar la detección de ciertas amenazas cibernéticas a métodos de detección basados en firmas y umbrales computacionalmente baratos utilizando conocimiento de dominio para minimizar el tamaño de los datos basados en comportamiento necesarios para el entrenamiento del modelo de AA, logrando así una mayor precisión en un período de tiempo reducido. Los resultados experimentales mostraron mejoras de precisión del 4-7% sobre las de los clasificadores de AA convencionales en la detección de anomalías en múltiples conjuntos de datos, lo cual es particularmente importante para los operadores de entornos de CPS debido a los altos costos financieros y de seguridad vital asociados con interrupciones en la disponibilidad del sistema.
Descripción
El rápido abrazo de los paradigmas de la Industria 4.0 ha llevado a la creciente convergencia de las redes de Tecnología de la Información (TI) y las redes de Tecnología Operativa (TO). Tradicionalmente aisladas en redes de confianza total y completamente separadas, las redes de TO ahora están volviéndose más interconectadas con las redes de TI debido al avance y aplicaciones del IoT. Esta superficie de ataque expandida ha llevado a vulnerabilidades en los Sistemas Ciberfísicos (CPS), lo que resulta en compromisos cada vez más frecuentes con repercusiones económicas y de seguridad vital significativas. Los métodos existentes para la detección de anomalías de amenazas de seguridad típicamente utilizan estrategias simples basadas en umbrales o aplican algoritmos de Aprendizaje Automático (AA) a datos históricos para la predicción de futuras anomalías. Sin embargo, debido a los altos niveles de heterogeneidad en diferentes entornos de CPS, minimizando las oportunidades para el aprendizaje de transferencia, y la escasez de datos del mundo real para el entrenamiento, las técnicas de detección de anomalías basadas en AA existentes sufren de un bajo rendimiento predictivo. Este documento presenta un enfoque híbrido de detección de anomalías diseñado para identificar amenazas a los CPS combinando la detección de anomalías basada en firmas típicamente utilizada en redes de TI, la detección de anomalías basada en umbrales típicamente utilizada en redes de TO, y la detección de anomalías basada en comportamiento utilizando Aprendizaje en Conjunto (EL), que aprovecha las fortalezas de múltiples algoritmos de AA contra el mismo conjunto de datos para aumentar la precisión. Se utilizaron múltiples conjuntos de datos de investigación públicos para validar el enfoque propuesto, con la metodología híbrida empleando una estrategia de dividir y conquistar para desviar la detección de ciertas amenazas cibernéticas a métodos de detección basados en firmas y umbrales computacionalmente baratos utilizando conocimiento de dominio para minimizar el tamaño de los datos basados en comportamiento necesarios para el entrenamiento del modelo de AA, logrando así una mayor precisión en un período de tiempo reducido. Los resultados experimentales mostraron mejoras de precisión del 4-7% sobre las de los clasificadores de AA convencionales en la detección de anomalías en múltiples conjuntos de datos, lo cual es particularmente importante para los operadores de entornos de CPS debido a los altos costos financieros y de seguridad vital asociados con interrupciones en la disponibilidad del sistema.