Original title:
Rozpoznávání energetických protokolů pomocí umělé inteligence
Translated title:
Energy protocol recognition using artificial intelligence
Authors:
Racka, Jan ; Holasová, Eva (referee) ; Bohačík, Antonín (advisor) Document type: Master’s theses
Year:
2023
Language:
cze Publisher:
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií Abstract:
[cze][eng]
Diplomová práce je zaměřena na klasifikaci zabezpečeného síťového provozu energetických protokolů pomocí konvoluční neuronové sítě. V teoretické části je rozebrána problematika neuronových sítí a jejich využití při klasifikaci síťového provozu. Dále jsou rozebrány energetické protokoly Modbus, IEC 104, TASE.2, DNP3, GOOSE, SMV, MMS a standard DLMS/COSEM včetně zabezpečení. V následné praktické části je realizována konvoluční neuronová síť sloužící k rozpoznání zmíněných protokolů v jejich zabezpečených variantách. Pro natrénovaní sítě byly použity záznamy nezabezpečeného provozu z veřejně dostupných repositářů, ze simulátorů provozu daných protokolů a ze zachycených dat v energetickém polygonu. Pro získání zabezpečeného provozu byly vyvinuty TLS a GOOSE konvertory zajišťující jednotný přístup v zabezpečení protokolů. Výsledný zabezpečený provoz byl předzpracován do dvojrozměrného formátu a předložen k učení neuronové síti. Vstupní obraz byl vytvořen z aplikačních částí paketů relace energetického protokolu a naformátován do velikosti 28 × 28 bajtů. Výsledná přesnost sítě na testovacích datech byla 95,75 %. Dále byla síť testována na reálném provozu v energetickém polygonu, kde byla schopna některé protokoly správně rozeznat. Následně byl v rámci dílčího cíle práce vyvinut klasifikátor provozního stavu stanice komunikující pomocí IEC 104 s TLS. Klasifikátor byl tvořen konvoluční neuronovou sítí s definovaným dvojrozměrným vstupním obrazem. Obraz byl složen z informací pětice po sobě jdoucích paketů. Informace byly vytvořeny z mezičasu příchodu mezi pakety, z délky TLS zašifrovaných aplikačních dat a ze zašifrovaných aplikačních dat do velikost 64 B. Pro získání dostatku dat pro trénování konvoluční sítě byl vyvinut simulátor charakteristických zpráv pro jednotlivé stavy. Po ukončení učící fáze byla vykázána přesnost klasifikátoru 43,05 % na testovacích datech. Dále byl klasifikátor testován na samotné testované stanici. Pomocí klasifikátoru byl rozeznán běžný provoz stanice od událostí, avšak v případě událostí podobného charakteru docházelo k záměnám.
The master's thesis focuses on classification of secure network traffic of energy protocols using convolutional neural network. The theoretical part discusses the issues of neural networks and their use in network traffic classification. In addition, the energy protocols Modbus, IEC 104, TASE.2, DNP3, GOOSE, SMV, MMS, and the standard DLMS/COSEM are analyzed, including their security. In the subsequent practical part, a convolutional neural network is implemented to recognize the mentioned protocols in their secured versions. Unsecured traffic records from publicly available repositories and from traffic simulators of the mentioned protocols, and captured data in an energy polygon were used to train the neural network. TLS and GOOSE convertotrs were developed to obtain secured traffic, which ensured that the protocols using same security mechanisms were secured uniformly. The resulting secured traffic was preprocessed into a two-dimensional format and was presented as input to the neural network for learning. The input image was created from the application parts of packets of the energy protocol session and formatted to the 28 × 28 byte image. The resulting network accuracy on the test data was 95,75 %. Furthermore, the network was tested on real traffic in an energy polygon, where it correctly recognized several protocols. A classifier for the operational state of a station that communicates using IEC 104 secured with TLS was developed as part of a partial objective of the thesis. The task of the classifier was to recognize, using encrypted messages, the state of the tested station. The classifier consisted of a convolutional neural network, which were usinga two-dimensional image consisting of information from a sequence of five consecutive packets as input. The information consisted of the interarrival time between packets, the length of the TLS encrypted application data, and the encrypted application data up to size 64 B. To obtain enough data to train the convolutional network, a simulator of characteristic messages for each state was developed. The classifier showed an accuracy of 43,05 % on the test data after the learning phase. Next, the classifier underwent testing on the test stations, where it was able to distinguish normal state of the state from events, but could not distinguish certain events of similar nature from each other.
Keywords:
convolutional networks; DLMS/COSEM; DNP3; energy protocol; GOOSE; IEC 104; IEC 62351; MACSec; MMS; Modbus; R-GOOSE; R-SMV; SMV; TLS; traffic classification; DLMS/COSEM; DNP3; energetický protokol; GOOSE; IEC 104; IEC 62351; klasifikace; konvoluční sítě; MACSec; MMS; Modbus; R-GOOSE; R-SMV; SMV; TLS
Institution: Brno University of Technology
(web)
Document availability information: Fulltext is available in the Brno University of Technology Digital Library. Original record: http://hdl.handle.net/11012/210097