Sistema detección de intrusión para microrredes con el protocolo DNP3

Abstract

La seguridad en las redes de datos es una de las principales necesidades de la mayoría de las industrias u organizaciones tecnológicas de un país. Los avances científicos dentro de las microrredes eléctricas brindan numerosos beneficios a la industria eléctrica. Sin embargo, la mayor disponibilidad de datos, las nuevas tecnologías de comunicación utilizadas y los altos índices de automatización, permiten que los ciberatacantes puedan realizar diferentes ataques cibernéticos en la industria. Cortes del suministro eléctrico de manera prolongada, ocasionará pérdidas significativas a las instituciones, afectará de manera directa a los usuarios y degradará la confiabilidad de la red eléctrica. De esta manera, las empresas encargadas del despliegue de las microrredes están potenciando alternativas para detectar la presencia de agentes externos al sistema eléctrico y tomar las medidas para minimizar el riesgo. Con el propósito de desarrollar un sistema de comunicación confiable dentro de una microrred, en esta investigación se propone utilizar un sistema de detección de intrusiones (IDS) basado en técnicas de inteligencia computacional. El aporte fundamental de esta investigación radica en la configuración un IDS sobre el protocolo de comunicaciones DNP3 utilizado para el intercambio de mensajes de control y datos, en microrredes eléctricas. Los datos utilizados fueron obtenidos desde una fuente disponible en internet, con datos procesados el año 2016, donde se registraron ataques a través del protocolo DNP3. Estos datos fueron organizados y se procesaron de tal manera que se extrajeron las características del protocolo que interesaban y se utilizaron para poder realizar las pruebas correspondientes. Se utilizaron 70 mil registros y un total de 434.270 tramas, sobre los cuales se aplicó un proceso de preparación y clasificación, separando las tramas de datos normales con las de datos anómalos para la ejecución de las pruebas. El sistema de detección de intrusiones también ayuda a la notificación oportuna de incidentes de seguridad, las cuales son mostradas a través de alertas de diferentes tipos, a las personas responsables. Además se desarrolló una aplicación web y se configuró el servicio SMTP para mostrar y enviar notificaciones respectivamente cuando se detecte una alerta. Se comprobó que el sistema de detección de intrusos Snort, para una red basada en el protocolo de comunicación DNP3, logra índices de detección por encima de un 98%. Esto es particularmente útil en sistemas de control como el caso de las microrredes eléctricas, ya que permite elevar la disponibilidad, al detectar intrusiones en el sistema de una manera efectiva.