Detail publikace
A Network Traffic Processing Library for ICS Anomaly Detection
Detekce anomálií, Průmyslové řídicí systémy, Klasifikace síťového provozu, Zpracování síťového provozu, Detekce anomálií ICS, Analýza paketů
Detekce anomálií v průmyslových řídicích systémech založená na monitorování provozu je jednou z klíčových součástí při zabezpečení těchto kritických kyberfyzikálních prostředí. V uplynulém desetiletí bylo navrženo mnoho metod detekce anomálií. Jsou založeny na různých principech vyplývajících z detekce podpisů, statistické analýzy nebo strojového učení. Z důvodu nedostatku datových souborů komunikace ICS je jejich vyhodnocení a hlavně porovnání jejich výkonu problematické. Pokud jsou poskytovány jako implementace prototypu, jsou metody implementovány v různých jazycích a vyžadují různé vstupní formáty. V tomto příspěvku navrhujeme knihovnu, která může zpracovávat komunikaci ICS, extrahovat požadované informace, např. různé funkce na úrovni paketů nebo na úrovni toku, a poskytovat data metodě detekce anomálií zadané uživatelem. Je možné integrovat knihovnu do systému, který automatizuje celý proces zpracování, což nám umožňuje provádět experimenty s různými metodami a zároveň šetřit čas potřebný pro manuální přípravu dat. Poskytujeme také předběžné hodnocení výkonu knihovny a demonstrujeme systém pomocí dvou jednoduchých metod detekce anomálií.
@INPROCEEDINGS{FITPUB12483, author = "Ond\v{r}ej Ry\v{s}av\'{y} and Petr Matou\v{s}ek", title = "A Network Traffic Processing Library for ICS Anomaly Detection", pages = "144--151", booktitle = "ECBS '21: Proceedings of the 7th Conference on the Engineering of Computer Based Systems", year = 2021, location = "Novi Sad, RS", publisher = "Association for Computing Machinery", ISBN = "978-1-4503-9057-6", doi = "10.1145/3459960.3459963", language = "english", url = "https://www.fit.vut.cz/research/publication/12483" }