Esta tese propõe uma metodologia de detecção de anomalias por meio da otimização da extração, seleção e classificação de características relacionadas ao tráfego de redes Real Time Ethernet (RTE). Em resumo, dois classificadores são treinados usando características que são extraídas do tráfego por meio da técnica de janela deslizante e posteriormente selecionadas de acordo com sua correlação com o evento a ser classificado. O número de características relevantes pode variar de acordo com os indicadores de desempenho de cada classificador. Reduzindo a dimensionalidade do evento a ser classificado com o menor número de características possíveis que o represente, são garantidos a redução do esforço computacional, ganho de tempo, dentre outros benefícios. Posteriormente, os classificadores são comparados em função dos indicadores de desempenho: acurácia, taxa de falsos positivos, taxa de falsos negativos, tempo de processamento e erro relativo. A metodologia proposta foi utilizada para identificar quatro diferentes eventos (três anomalias e o estado normal de operação) em redes PROFINET reais e com configurações distintas entre si; também foi aplicada em três eventos (duas anomalias e o estado normal de operação) em redes SERCOS III. O desempenho de cada classificador é analisado em suas particularidades e comparados com pesquisas correlatas. Por fim, é explorada a possibilidade de aplicação da metodologia proposta para outros protocolos baseados em RTE.

This thesis proposes an anomaly detection methodology by optimizing extraction, selection and classification of characteristics related to Real Time Ethernet (RTE) network traffic. In summary, two classifiers are trained using features which are extracted from network traffic through the sliding window technique and selected according to their correlation with the event being classified. The number of relevant characteristics could vary according to performance indicators of each classifier. Reducing the dimensionality of the event to be classified using the smallest number of characteristics which represent it, guarantees reduction in computational effort, processing time, among other benefits. The classifiers are compared according to performance indicators: accuracy, false positive rate, false negative rate, processing time and relative error. The proposed methodology was used to identify four different events (three anomalies and normal operation) in real PROFINET networks, using different configurations. It was also applied in 3 events (two anomalies and normal operation) in SERCOS III networks. The results obtained are analyzed in its particularities and compared with related research. Finally, the possibility of applying the proposed methodology for other protocols based on RTE is explored.