Detail publikace
Efficient Modelling of ICS Communication For Anomaly Detection Using Probabilistic Automata
ICS, pravděpodobnostní automaty, monitorování sítě, detekce anomálií, IPFIX, IEC 104
Průmyslová řídící komunikace ICS slouží k monitorování i řízení průmyslových procesů kritické infrastruktury, kam patří výroba a distribuce elektřiny, vody, plynu či řízení dopravy. Bezpečnost řídící komukace ICS je obvykle implementována na perimetru sítí pomocí firewallů či zařízení IDS. Tyto prostředky jsou vhodné na ochranu proti externím hrozbám, nejsou schopny však zabránit útokům z vnitřní sítě, například ze stanic nakažených malwarem. Pro zamezení vnitřních hrozeb je potřeba sledovat vnitřní komunikaci ICS a detekovat podezřelé přenosy, které se liší od běžné komunikace. V této publikaci se zaměřujeme na detekci anomálií ICS komunikace pomocí pravděpodobnostních modelů. Ukazujeme, jak lze pomocí prefixových stromů či deterministických pravděpodobnostních automatů vytvořit model ICS komunikaci, který slouží k detekci základních typů anomálií: podvržení paketu, změna obsahu paketu, skenování sítě, ztráta komunikace či útok DoS. Navržený postup získává monitorovací data ICS pomocí sondy IPFIX, což umožňuje integraci do stávajících monitorovacích systémů z podporou IEC 104. V článku ukážeme experimenty na protokolu IEC 104, který se používá k řízení energetických provozů.
@inproceedings{BUT168495,
author="Petr {Matoušek} and Vojtěch {Havlena} and Lukáš {Holík}",
title="Efficient Modelling of ICS Communication For Anomaly Detection Using Probabilistic Automata",
booktitle="Proceedings of IFIP/IEEE International Symposium on Integrated Network Management",
year="2021",
pages="81--89",
publisher="International Federation for Information Processing",
address="Bordeaux",
isbn="978-3-903176-32-4",
url="http://dl.ifip.org/db/conf/im/im2021/210993.pdf"
}