Machine learning approaches and explainability for real-time cyberattack detection
UNIVERSAL IDENTIFIER: http://hdl.handle.net/11093/7256
UNESCO SUBJECT: 1203.04 Inteligencia Artificial ; 1209.13 Técnicas de Inferencia Estadística ; 3325 Tecnología de las Telecomunicaciones
DOCUMENT TYPE: doctoralThesis
ABSTRACT
The emergence of Industry 4.0, also known as connected industry, has blurred the boundary between IT (Information Technology) and OT (Operational Technology) domains. This integration has led to increased exposure of industrial environments to cyberattacks, data privacy risks, and software system vulnerabilities, significantly expanding the number of potential entry points for cyberattackers. Each connected device, be it a sensor, actuator, or control system, can become a vulnerability if not appropriately secured or monitored. Besides, the complexity and diversity of the systems in Industry 4.0 environments make it difficult to detect and respond to security incidents. Traditional security solutions may not be effective against sophisticated attacks designed to exploit industrial systems; in particular, Denial-of-service (DoS) attacks pose one of the most significant threats to Industrial Control Systems (ICS), as they can impact both the communication network and the cyber-physical layer.
A common approach to securing information networks is Intrusion Detection Systems (IDS). Anomalybased IDS have gained popularity in recent years due to their ability to detect and mitigate unknown or zero-day attacks, whereas signature-based IDS can only respond to known attacks. Industrial systems operate under vastly different conditions compared to traditional networks, with much stricter requirements for real-time performance and availability. However, they usually exhibit a stable pattern of behaviour that can be leveraged by machine learning algorithms for the detection of advanced cyberattacks.
This thesis, which is presented as a compendium of articles, has as its primary goal the research and development of novel machine learning methods for detecting advanced cyberattacks and intrusions in industrial networks, with a focus on their unique conditions and characteristics. The research begins by examining various types of Denial of Service (DoS) attacks and their effects on smart grids, a type of industrial control system where IT integration with the electrical distribution network enhances power distribution and management. Through this investigation, the impact of advanced DoS attacks in the industry was assessed, setting them as a promising research path given the ease of implementation of the attack, their applicability to different industrial settings, and the high impact on the behaviour of legitimate devices.
Subsequently, an advanced Intrusion Detection System (IDS) was designed, evaluated and validated, enabling near real-time processing and analysis of industrial network traffic. This IDS has three principal features: its capability for near real-time, passive network traffic collection that does not interfere with industrial devices’ operations; the employment of unsupervised neural network techniques for anomaly detection, outperforming other state-of-the-art methods; and the validation of our approach in a real industrial setting within the Galician food industry. This validation assessed the IDS’s false positive rate and the practicality of the proposed IDS architecture in a near real-time context.
Furthermore, this thesis introduces a novel approach to provide complete explainability of the decision-making processes of deep neural networks, enabling the determination of how each variable influences the detection of cyber attacks. This approach utilises a neural network architecture based on Generalized Additive Models, resulting in a deep learning model that is both highly accurate and interpretable, surpassing other GAM-based neural network implementations in terms of interpretability while having a similar accuracy. This method has been released as an open-source package for the software environment for statistical computing R to promote reproducible research and facilitate continuous development and improvement of the developed methodology. O crecemento da Industria 4.0, ou industria conectada, ten diluído a fronteira entre o ámbito IT e OT: as redes operativas atópanse cada vez máis expostas a ciberataques, riscos contra a privacidade dos datos e vulnerabilidades nos sistemas software. Un enfoque común á seguridade das redes de información son os Sistemas de Deteccion de Intrusións (IDS, polas súas siglas en inglés). Os IDS baseados en anomalías popularizáronse nos últimos anos grazas á súa habilidade para detectar e mitigar ataques descoñecidos ou de día 0, mentres que os baseados en firmas tan só poden dar resposta a ataques coñecidos. Os sistemas industriais traballan baixo condicións moi diferentes das redes tradicionais: os requerimentos de tempo real e dispoñibilidade son moito máis estritos, pero presentan un patrón de comportamento estable que pode ser aproveitado por algoritmos de aprendizaxe automática. Esta tese de doutoramento ten como principal obxectivo desenvolver novos métodos basados en aprendizaxe automático para a detección de ciberataques e intrusións en redes industriais, que teñan en consideración as condicións e características particulares destas redes. Este estudo propón o deseño, análise e evaluación dun IDS indutrial que permita o procesado de tráfico de rede industrial en case tempo real. O IDS caracterizarase por ofrecer tres funcionalidades clave: a capacidade de recoller tráfico de rede en case tempo real de forma pasiva, sen interrumpir a operación dos dispositivos industriais; o emprego de novos métodos baseados no uso de redes neuronáis (tanto supervisados como non supervisados) para determinar se o comportamento actual é anómalo, e o estudo de métodos que permitan explicar os motivos que levaron á detección do ataque a partir das variables que influíron na decisión dos algoritmos. Os enfoques actuáis á detección de anomalías e explicabilidade en redes neuronáis necesitan ser analizadas para establecer unha liña base de estudo, asegurando a novidade da proposta. Os métodos propostos deben ser capaces de determinar, a partires de datos estadísticos capturados de forma pasiva na rede, se o estado actual é normal ou anómalo. Os resultados deben ser explicables e entendibles por un operador humano, facilitando a interpretación dos resultados e a toma de decisións. A decisión sobre as técnicas de aprendizaxe automático a empregar realizarase partindo dunha análise en profundidade das aproximacións actuáis á detección de anomalías e métodos estadísticos clásicos, seleccionando aquelas máis axeitadas para os entornos industriais. As diferencias entre os ámbitos industriais e de información deben ser descritas formalmente para decidir o mellor conxunto de características a empregar. Por último, os patróns de ataque máis comúns no ámbito industrial deben ser identificados para determinar as variables que deberá capturar e analizar o sistema. Ademáis, cremos firmemente na difusión dos métodos propostos e na súa posible aplicación en outras áreas de coñecemento, polo que se distribuirán os métodos desenvolvidos en forma de paquetes R. Por último, a metodoloxía proposta aplicarase nun escenario real de ciberseguridade industrial para a súa validación. El crecimiento de la Industria 4.0, o industria conectada, ha difuminado la frontera entre el ámbito de TI y OT: las redes operativas están cada vez más expuestas a ciberataques, riesgos contra la privacidad de los datos y vulnerabilidades en los sistemas de software. Un enfoque común para la seguridad de las redes de información son los Sistemas de Detección de Intrusiones (IDS, por sus siglas en inglés). Los IDS basados en anomalías se han popularizado en los últimos años debido a su capacidad para detectar y mitigar ataques desconocidos o de día cero, mientras que los basados en firmas solo pueden responder a ataques conocidos. Los sistemas industriales trabajan bajo condiciones muy diferentes a las redes tradicionales: los requisitos de tiempo real y disponibilidad son mucho más estrictos, pero presentan un patrón de comportamiento estable que puede ser aprovechado por algoritmos de aprendizaje automático. Esta tesis de doctorado tiene como objetivo principal desarrollar nuevos métodos basados en aprendizaje automático para la detección de ciberataques e intrusiones en redes industriales, teniendo en cuenta las condiciones y características particulares de estas redes. Este estudio propone el diseño, análisis y evaluación de un IDS industrial que permita el procesamiento de tráfico de red industrial casi en tiempo real. El IDS se caracterizará por ofrecer tres funcionalidades clave: la capacidad de recolectar tráfico de red casi en tiempo real de forma pasiva, sin interrumpir la operación de los dispositivos industriales; el empleo de nuevos métodos basados en el uso de redes neuronales (tanto supervisados como no supervisados) para determinar si el comportamiento actual es anómalo, y el estudio de métodos que permitan explicar los motivos que llevaron a la detección del ataque a partir de las variables que influyeron en la decisión de los algoritmos. Los enfoques actuales de detección de anomalías y explicabilidad en redes neuronales deben ser analizados para establecer una línea base de estudio, asegurando la novedad de la propuesta. Los métodos propuestos deben ser capaces de determinar, a partir de datos estadísticos capturados de forma pasiva en la red, si el estado actual es normal o anómalo. Los resultados deben ser explicables y comprensibles para un operador humano, facilitando la interpretación de los resultados y la toma de decisiones. La decisión sobre las técnicas de aprendizaje automático a emplear se realizará a partir de un análisis en profundidad de las aproximaciones actuales a la detección de anomalías y métodos estadísticos clásicos, seleccionando aquellos más adecuados para los entornos industriales. Las diferencias entre los ámbitos industriales y de información deben ser descritas formalmente para decidir el mejor conjunto de características a emplear. Por último, los patrones de ataque más comunes en el ámbito industrial deben ser identificados para determinar las variables que el sistema deberá capturar y analizar. Además, creemos firmemente en la difusión de los métodos propuestos y su posible aplicación en otras áreas de conocimiento, por lo que los métodos desarrollados se distribuirán en forma de paquetes R. Por último, la metodología propuesta se aplicará en un escenario real de ciberseguridad industrial para su validación.