Detección Inteligente de Incidentes de Ciberseguridad en redes IoT en base a gramáticas adaptativas

Esta propuesta propone el uso de técnicas de Inteligencia Artificial para identificar ciberataques no detectables mediante sistemas convencionales.

Investigador principal

Rafael Mª Estepa Alonso

Sede

US

Tecnología

Ciberseguridad

Sector

2

Agentes agregados

Wellness TechGroup

Resumen de la propuesta

Esta propuesta propone el uso de técnicas de Inteligencia Artificial para identificar ciberataques no detectables mediante sistemas convencionales (e.g. IDS/IPS, firewall) o ataques sofisticados y dirigidos contra una empresa o infraestructura crítica (e.g., Smart-city). Proponemos utilizar una semántica adaptativa de los datos recibidos en una red IoT para identificar anomalías asociadas a posibles ataques. Se realizará un demostrador con los datos de una red IoT real y se medirá la eficiencia y el rendimiento del sistema propuesto.

Objetivo del proyecto

Se desea crear un sistema para la detección de ciberataques a redes IoT en sus estadios iniciales, lo que permite minimizar el posible impacto de los mismos.  
Para cumplir dicho objetivo el proyecto plantea:
 
FASE1:  
(investigación, diseño y desarrollo)

  • El diseño y desarrollo de un sistema de captura de datos para la seguridad de una red IoT en operación dentro de un sistema real integrado en una smart-city.
  • El acondicionamiento y sanitización de los datos anteriores para su uso en sistema de Inteligencia Artificial
  • La selección de variables representativas de los datos recogidas (reducción de su dimensionalidad) y agrupación de dichos datos en virtud de su naturaleza, fuentes (aplicación de IoT), etc...
  • La elaboración de n-gramáticas adaptativas para cada uno de los grupos formados en el paso anterior. Estas n-gramáticas serán la fuente de datos del detector de anomalías propuesto
  • El diseño de un sistema detector de anomalías basado en las n-gramáticas anteriores, así como en las variaciones previsibles de éstas. Este sistema utilizará los valores actuales de variables representativas para predecir un comportamiento considerado razonable en distintas escalas temporales. Los valores futuros registrados fuera de estos umbrales serán considerados anomalías susceptibles de formar parte de un posible ciberataque. El sistema, por último, ofrecerá datos probabilísticos sobre la tipología de ataque que podría estar llevándose a cabo.

 
FASE 2:   
(experimental)

  • Implementación del sistema anterior en un piloto de laboratorio donde poder medir su eficacia y rendimiento, así como el consumo de recursos computaciones.
  • Elaboración de datasets de entrenamiento, test y validación del sistema detector realizado.
  • Ajuste de parámetros del sistema detector en virtud de las tasas de falsos/verdaderos positivos y falsos/verdaderos negativos encontrados.
  • Medidas de eficacia y rendimiento del sistema final.  
  • Medida de los recursos computaciones y pruebas de carga.

 
Con el proyecto propuesto, una empresa podría detectar, y por tanto, reaccionar, con mayor celeridad ante posibles incidentes de ciberseguridad en sus redes IoT en operación, ya que el sistema se basa en anomalías, y por tanto es susceptible de identificar ataques ATP y/o ataques tipo zero-days.  Esto supondría una disminución en el posible impacto de este tipo de incidentes, con el consiguiente ahorro económico. Este sistema complementa, por tanto, los sistemas actuales utilizados por las empresas (firewalls, ids/ips, etc...) centrados en la detección de ataques conocidos.

Resultados esperados e indicadores

Indicadores (esperados hasta el 31/12/2021)
    Nuevo personal investigador (equivalente anual): 1
    Patentes:
    Nº contratos transferencia: 1
    Congresos:2
    Publicaciones indexadas: 2
    Tesis doctorales: 1

Justificación potencial impacto tecnológico del proyecto (TRL)

TRL 7 – Demostración de prototipo en entorno operacional.

Dado que los datos se obtendrán de una red IoT real en explotación, los resultados esperados permiten su aplicación directa a proyectos en entornos reales de infraestructuras críticas y empresas, contribuyendo a minimizar el impacto de los ciberincidentes.

La empresa colaboradora va a aplicar los resultados de este proyecto en casos reales que actualmente están desplegados dentro de Andalucía, por lo  que su impacto en el entorno Andaluz se prevé elevado.