Ανάπτυξη ανίχνευσης ανωμαλιών στο IEC 60870-5-104 με τη χρήση τεχνικών μηχανικής μάθησης

Abstract

Η ασφάλεια από κυβερνοεπιθέσεις αποτελεί ερευνητική περιοχή αυξημένου ενδιαφέροντος. Ιδιαίτερα η ανάγκη προστασίας κρίσιμων υποδομών, όπως: συστήματα Εποπτικού Ελέγχου και Απόκτησης Δεδομένων (SCADA), Συστήματα Βιομηχανικού Ελέγχου (ICS), από κακόβουλες επιθέσεις αποτελεί επιτακτική ανάγκη. Η αύξηση της πολυπλοκότητας και της διασυνδεσιμότητας στα συστήματα κρίσιμων υποδομών τα καθιστά ευάλωτα σε εξωτερικές κυβερνοεπιθέσεις. Τα βιομηχανικά πρωτόκολλα επικοινωνίας, που χρησιμοποιούνται στις εγκαταστάσεις αυτές, συχνά εκθέτουν την υποδομή σε κινδύνους. Η παρούσα διπλωματική εργασία αποσκοπεί στη δημιουργία συστήματος ανίχνευσης ανωμαλιών σε δεδομένα δικτυακών καταγραφών του βιομηχανικού πρωτοκόλλου IEC 60870- 5-104 με χρήση τεχνικών μηχανικής μάθησης. Τα δεδομένα, με τα οποία έγινε η αξιολόγηση του συστήματος αυτού, παράχθηκαν στα πλαίσια της διπλωματικής εργασίας με την προσομοίωση ενός συστήματος SCADA και την εκτέλεση επιθέσεων εναντίον του. Σε πρώτο επίπεδο γίνεται μελέτη του βιομηχανικού πρωτοκόλλου επικοινωνίας IEC 60870-5-104 αναφορικά με τη δομή των μηνυμάτων και των κινδύνων που εισάγει η χρήση του σε κρίσιμες υποδομές. Στη συνέχεια, παρατίθενται λεπτομέρειες σχετικά με την τοπολογία του συστήματος SCADA, το οποίο προσομοιώνεται. Πρωτόκολλο επικοινωνίας του σύστηματος είναι το πρωτόκολλο IEC 60870-5-104. Ακολούθως παρουσιάζονται λεπτομερώς οι τεχνικές που χρησιμοποιήθηκαν με στόχο την διατάραξη της ομαλής λειτουργίας του. Στο επόμενο στάδιο της διπλωματικής εργασίας αναλύεται η καταγεγραμμένη δικτυακή κίνηση στο εικονικό σύστημα SCADA με χρήση προγράμματος ανάλυσης δικτυακών καταγραφών και εξαγωγής στοιχείων σε επίπεδο δικτυακών ροών, που αναπτύχθηκε στα πλαίσια της εργασίας. Τέλος γίνεται ανίχνευση και κατηγοριοποίηση διαφορετικών τύπων ανωμαλιών στα στοιχεία δικτυακών ροών με τη χρήση τεχνικών μηχανικής μάθησης, τα είδη των οποίων παρουσιάζονται εκτενώς, καθώς και τα αποτελέσματα που προκύπτουν από την ανίχνευση ανωμαλιών. Επιπροσθέτως, γίνεται σύγκριση των αποτελεσμάτων της ανίχνευσης ανωμαλιών με χρήση των δεδομένων, που υπέστησαν επεξεργασία με το προαναφερθέν πρόγραμμα ανάλυσης δεδομένων δικτυακών καταγραφών, με τα αντίστοιχα αποτελέσματα της ανίχνευσης ανωμαλιών, που προέκυψαν με τη χρήση των δεδομένων, που εξήχθησαν μετά από επεξεργασία του λογισμικού ανάλυσης δικτυακής κίνησης CICFlowMeter.

Cybersecurity is a research area of paramount importance, specifically regarding Critical Infrastructures, such as Supervisory Control and Data Acquisition (SCADA) systems or Industrial Control Systems (ICS), where the need for security from malicious cyber-attacks is critical. The increase in complexity and interconnectivity of Critical Infrastructures deems them vulnerable to cyber-attacks. The industrial communication protocols which are used in these infrastructures often expose them to such threats. The goal of this thesis is the development of a system which detects anomalies in network data of the industrial communication protocol IEC 60870-5-104, utilizing machine learning techniques. The data used for the evaluation of the developed system were generated, in the scope of this thesis, with the simulation of a SCADA system and the execution of cyberattacks against it. At first, the industrial protocol IEC 60870-5-104 is studied regarding the structure of its messages and the risks of its utilization in Critical Infrastructures. Next, details are provided regarding the simulated SCADA system, which utilizes the IEC 60870-5-104 industrial protocol, for the purposes of this thesis. Moreover, the techniques aiming to disrupt the normal operation of the system are described. Consequently, the captured network traffic of the SCADA system is analyzed with a custom program, which exports network flow level parameters. Finally, anomaly detection is attempted on the processed data, along with the classification of the different types of detected anomalies. The machine learning techniques which are used for the anomaly detection and the evaluation results are presented as well. There is also a comparison between the anomaly detection results from the collected data, processed with the aforementioned script, with the anomaly detection results from the collected data, processed with the CICFlowMeter network traffic analysis tool. Keywords: Intrusion Detection Systems, network flows, Classification, anomaly detection, industrial communication protocols, IEC 60870-5-104, Machine Learning, Supervisory Control and Data Acquisition Systems.