本文提出了一种名为Goosewolf的PLC入侵检测系统,旨在防御针对工业设施的网络攻击,尤其是虚假数据注入攻击(FDIA)。通过在西门子S7-1518 PLC上执行并监控程序,Goosewolf检测过程异常和PLC状态变化。文章还介绍了使用局部自联想核回归(AAKR)模型成功检测FDIA的实验结果。
基于PLC的网络攻击检测:最后一道防线
一、摘要
本文介绍了一种旨在用于检测破坏设施功能的网络攻击的系统,利用广泛使用的最先进PLC的功能,系统直接在控制进程的设备上执行,目的是为破坏性袭击提供最后一道防线。此外,描述了一种检测FDIA(虚假数据注入攻击)的方法,该方法使用系统预测状态和测量状态之间的残差(差值)来识别异常行为,该方法旨在集成到所提议的系统中。
二、介绍
(一)基于PLC的入侵检测系统
为西门子S7-1518 MFP PLC开发的入侵检测系统,称为Goosewolf,其主要功能是监控PLC的执行、记录安全事件,以及向外部计算机发送安全警报。表1总结了GooseWalf程序检查和记录的主要功能,通过监控这些功能,Goosewolf旨在确定两个主要问题:(i)受控过程出现异常;以及(ii)PLC的状态发生变化,这可能表明发生了攻击。
Goosewolf的运作可以总结如下。如果PLC正常运行,则每次执行Goosewolf程序时都会生成三个日志:init.log, conn.log, 和 cycles.log。init.log记录程序执行的初始时间,conn.log记录首次连接到OPC UA服务器的时间,此后,每次处理数据时,都会记录循环时间信息到cycles.log。下图1总结了该操作。除了在正常条件下创建的日志外,还有异常操作条件、危险控制操作和程序更改检测的日志(aoc.log, hca.log, and proginf.log, respectively)。
(二)检测FDIA
为了破坏流程的运行,对手可以在PLC上进行FDIA,FDIA涉及敌方操纵传感器测量值(PLC用于控制),以导致应用不正确的控制动作。为了检测这些形式的攻击,开发了一种局部自联想核回归(AAKR)模型。
为了使用预测值检测攻击,计算预测值和测量值(即与PLC通信的值)之间的残差。可以定义一个残差阈值,表明测量异常,即被理解为被操纵。
三、实验评估
(一)PLC实时性检测
在PLC上实施IDS时,一个问题是它可能会对设备提供的控制功能产生潜在影响。此外,实施异常检测算法,可能会影响PLC上实时CPU运行时的性能。为了实现性能测评,实现了一个C++程序,该程序重复计算威廉·莎士比亚的大量作品的MD5散列,这是一个相对昂贵的计算任务。在S7-1518 PLC的C++运行时执行该程序,同时使用S7-1518上的OPC UA接口收集CPU运行周期。此实验的结果如图2所示,它显示了CPU运行周期时间(以纳秒为单位)随时间的移动平均值。
(二)基于AAKR的过程异常检测
图3显示了使用AAKR模型在稳压器FDIA期间的检测结果。图3a中的蓝色实线显示了AAKR模型预测值与从攻击计算机收集(测量)的值之间的残差(即差异)。(对于建议的基于PLC的ID,测量值将由Goosewolf程序从CPU运行时收集。)同时,图中的红色虚线描绘了一个阈值——超过这些阈值的残差被认为是异常的,这可能表示攻击。在AAKR模型的MATLAB实现中,当残差超过阈值时,将生成“1”假设——警报,如图3b所示。在实验中,AAKR模型在观测值2060左右开始产生警报,这与FDIA的开始相对应。这些初步结果表明,AAKR模型能够正确检测PLC的FDIA。
四、总结
本文提出了一种可以在最先进的PLC上执行的入侵检测系统。该系统的目的是为攻击提供最后一道防线。该系统称为GooseWalf,可检测用户定义PLC功能的操纵和数据篡改,例如,作为虚假数据注入攻击(FDIA)的一部分。Goosewolf本身可能容易受到攻击。然而,它有几个潜在的好处,使得对手以未被发现的方式攻击PLC更具挑战性。此外,如果安全配置,我们建议Goosewolf不会引入重要的新攻击面。初步结果表明,系统可以在不影响PLC控制行为的情况下运行,并且检测FDIA的方法是有效的,可以直接在PLC上执行。
[1] JIN, C., VALIZADEH, S., VAN DIJK, M., “Snapshotter: Lightweight intrusion detection and prevention system for
industrial control systems”, IEEE Industrial Cyber
最低0.47元/天 解锁文章
714
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
