Publicação
Multi-class anomaly detection in IoV and IIoT networks
| dc.contributor.advisor | Alves, Ana Cristina da Costa Oliveira | |
| dc.contributor.advisor | Antunes, Mário | |
| dc.contributor.author | Palma, Ágata Ramalho Simões | |
| dc.date.accessioned | 2026-03-25T16:50:41Z | |
| dc.date.available | 2026-03-25T16:50:41Z | |
| dc.date.issued | 2026-02-06 | |
| dc.description.abstract | A crescente conectividade nos veículos e infraestruturas industriais tem aumentado a exposição de protocolos antigos, como o CAN e o MODBUS, a uma superfície de ataque mais ampla e sofisticada. A literatura tem destacado de forma consistente a necessidade de desenvolver sistemas de deteção de intrusões capazes de identificar de forma automática estes ataques, dada a ausência de mecanismos de segurança nativos nestes protocolos. Contudo, a deteção eficaz continua a ser desafiante devido ao acentuado desequilíbrio de classes, à sobreposição de assinaturas entre ataques e tráfego normal e à dificuldade em manter um desempenho estável em condições operacionais realistas. Este trabalho aborda estas lacunas através de um estudo experimental dividido em três fases: a Fase I avalia a deteção de intrusões multi-classe para tráfego CAN, a Fase II avalia a deteção multi-classe para tráfego MODBUS e a Fase III consolida ambos os domínios num enquadramento unificado e transversal, validando o seu desempenho num cenário orientado para processamento em streaming. Utilizando os datasets CICIoV2024 e ICS-Flow, avaliamos vários classificadores de machine learning, nomeadamente Random Forest, Extra Trees, XGBoost, AdaBoost, Logistic Regression, Artificial Neural Networks e Deep Neural Networks. Todos os classificadores são otimizados com Optuna e preservam o desequilíbrio dos dados, mantendo a distribuição original dos mesmos. Os resultados, já publicados, das Fases I e II mostram que, para o CAN, a deteção de intrusões multi-classe está virtualmente resolvida, com ensembles baseados em árvores e DNN a atingir desempenhos quase perfeitos. Em contraste, o protocolo MODBUS continua a apresentar desafios: os ensembles mantêm a liderança e detetam quase perfeitamente o tráfego Normal e DDoS, mas classes como IP-Scan e Replay são mais difíceis de distinguir. Com base nestas conclusões, a Fase III propõe o Legacy-IDS, uma toolkit unificada para pré-processamento, otimização, treino, avaliação e inferência em streaming para ambos os protocolos, complementado por um CAN-BUS Dataset Converter que normaliza registos CAN heterogéneos para um formato compatível com o Legacy-IDS. | por |
| dc.description.abstract | The growing connectivity of vehicles and industrial infrastructures has increased the exposure of legacy protocols such as CAN and MODBUS to a wider and more sophisticated attack surface. Previous research consistently highlights the need for intrusion detection systems capable of automatically identifying these attacks, given the absence of native security mechanisms in these protocols. However, effective detection remains challenging due to severe class imbalance, overlapping attack signatures, and the difficulty of maintaining reliable performance under realistic operating conditions. This work addresses these gaps through a three-phase experimental design: Phase I evaluates multi-class intrusion detection for CAN traffic, Phase II evaluates multi-class intrusion detection for MODBUS traffic, and Phase III consolidates both domains into a unified cross-domain framework and validates its performance in a streaming-ready setting. Using CICIoV2024 and ICS-Flow, we evaluate several machine learning classifiers like Random Forest, Extra Trees, XGBoost, AdaBoost, Logistic Regression, Artificial Neural Networks and Deep Neural Networks. All classifiers are optimized using Optuna and maintain the data imbalance, the original dataset distribution. The results, already published, for Phase I and II show that, for CAN, multi-class intrusion detection is virtually solved with tree-based ensembles and DNN achieving near-perfect performance. In contrast, MODBUS remains challenging: ensembles still lead and almost perfectly detect Normal and DDoS traffic, but classes such as IP-Scan and Replay are harder to separate from other flows. Building on these findings, Phase III proposes Legacy-IDS, a unified toolkit for preprocessing, optimization, training, evaluation and streaming inference across both protocols, complemented by a CANBUS Dataset Converter that standardizes heterogeneous CAN logs into a Legacy-IDS compatible format. | eng |
| dc.identifier.tid | 204216397 | |
| dc.identifier.uri | http://hdl.handle.net/10400.26/62448 | |
| dc.language.iso | eng | |
| dc.rights.uri | N/A | |
| dc.subject | Sistemas de deteção de intrusões | |
| dc.subject | Internet dos veículos | |
| dc.subject | Sistemas de controlo industrial | |
| dc.subject | CAN bus | |
| dc.subject | MODBUS | |
| dc.subject | Machine learning | |
| dc.title | Multi-class anomaly detection in IoV and IIoT networks | eng |
| dc.type | master thesis | |
| dspace.entity.type | Publication |