El grupo de investigación SUPPRESS dispone de un demostrador funcional y escalable de Sistema para la Supervisión de Eventos de Seguridad y Detección de Intrusiones (IDS) en redes industriales. Dicho demostrador obtiene eventos de seguridad a partir del tráfico de red, que es capturado de forma transparente, mediante la aplicación de filtros. Además, permite el análisis y visualización de eventos de seguridad tanto actuales (para la detección de incidentes) como pasados (para el apoyo al análisis forense).
El sistema de automatización en que se encuadra el demostrador incluye los tres niveles inferiores de la pirámide de automatización (campo, control y supervisión). El nivel de campo es una planta piloto industrial de control de procesos que maneja 30 variables físicas como nivel, presión, caudal, temperatura, etc. El nivel de control está formado por un PLC maestro, donde se ejecuta la estrategia de control, y un PLC esclavo, con las tarjetas de entrada-salida que adquieren las señales de la planta piloto. El nivel de supervisión es un sistema SCADA en el que se monitorizan las variables y alarmas del proceso. La comunicación entre los diferentes elementos que conforman el sistema de automatización está basada en el estándar Modbus TCP/IP y en su variante utilizada como protocolo de configuración de Schneider Electric.
El IDS puede manejar eventos obtenidos a partir de sondas que escuchan el tráfico en la red de control o la de supervisión de dicho sistema. La configuración adecuada de dichas sondas permite detectar ataques de denegación de servicio, así como eventos potencialmente asociados a un incidente de seguridad como podrían ser la carga o descarga inesperadas de estrategias de control, el uso de códigos Modbus no permitidos, intentos de actualización de firmware, etc.
