Detail publikace
A Network Traffic Processing Library for ICS Anomaly Detection
Detekce anomálií, Průmyslové řídicí systémy, Klasifikace síťového provozu, Zpracování síťového provozu, Detekce anomálií ICS, Analýza paketů
Detekce anomálií v průmyslových řídicích systémech založená na monitorování provozu je jednou z klíčových součástí při zabezpečení těchto kritických kyberfyzikálních prostředí. V uplynulém desetiletí bylo navrženo mnoho metod detekce anomálií. Jsou založeny na různých principech vyplývajících z detekce podpisů, statistické analýzy nebo strojového učení. Z důvodu nedostatku datových souborů komunikace ICS je jejich vyhodnocení a hlavně porovnání jejich výkonu problematické. Pokud jsou poskytovány jako implementace prototypu, jsou metody implementovány v různých jazycích a vyžadují různé vstupní formáty. V tomto příspěvku navrhujeme knihovnu, která může zpracovávat komunikaci ICS, extrahovat požadované informace, např. různé funkce na úrovni paketů nebo na úrovni toku, a poskytovat data metodě detekce anomálií zadané uživatelem. Je možné integrovat knihovnu do systému, který automatizuje celý proces zpracování, což nám umožňuje provádět experimenty s různými metodami a zároveň šetřit čas potřebný pro manuální přípravu dat. Poskytujeme také předběžné hodnocení výkonu knihovny a demonstrujeme systém pomocí dvou jednoduchých metod detekce anomálií.
@inproceedings{BUT171483,
author="Ondřej {Ryšavý} and Petr {Matoušek}",
title="A Network Traffic Processing Library for ICS Anomaly Detection",
booktitle="ECBS '21: Proceedings of the 7th Conference on the Engineering of Computer Based Systems",
year="2021",
pages="144--151",
publisher="Association for Computing Machinery",
address="Novi Sad",
doi="10.1145/3459960.3459963",
isbn="978-1-4503-9057-6",
url="https://www.fit.vut.cz/research/publication/12483/"
}