Anomaly Detection of ICS Communication Using Statistical Models

Řídicí komunikace průmyslových sítí ICS (Industrial Control Systems) slouží k přenosu příkazů a monitorovaných date mezi zařízeními v průmyslovém prostředí, které zahrnuje například chytré rozvodné sítě (smart grids), distribuci vody, plynu, řízení provozu, apod. Narozdíl od tradiční internetové komunikace jsou průmyslové přenosy stabilní a vykazují periodické komunikační vzory, které je možné popsat statistickými modely. Sledováním vybraných znaků (atributů) paketů ICS normálního provozu, například směru přenosu, mezipaketových mezer, apod., můžeme vytvořit statistický profil komunikace, který popisuje pravděpodobnostní rozložení těchto znaků v síťovém provozu ICS. Pomocí statistické modelu provozu můžeme detekovat různé
typy anomálií, jako jsou například chyby zařízení či přenosového media, případně i kybernetické útoky typu vložení paketu, skenování či útok typu DoS. Tento článek představuje způsob automatizovaného vytvoření statistického modelu na základě trénovací komunikace. Při modelování uvažujeme dva typy statistickým profilů: master-oriented profil, který modeluje komunikaci typu one-to-many, a profil peer-to-peer popisující přenosy mezi dvěma zařízeními ICS. Navrhovaný způsob modelování je rychlý a lze ho snadno implementovat do systému pro detekci průniků IDS. Navržená metoda byla testována na dvou průmyslových protokolech: IEC 60870-5-104 (IEC 104) a IEC 61850 (Goose).