Consequence-based Detection of Cyberattacks in Operational Technology
Master thesis
Permanent lenke
https://hdl.handle.net/11250/3093315Utgivelsesdato
2023Metadata
Vis full innførselSamlinger
Sammendrag
Med økende sammenkobling av industrielle systemer står organisasjoner overfor større risiko knyttet til cyberangrep. Når det gjelder kritisk infrastruktur utgjør dette en betydelig utfordring. Et vanlig verktøy for å oppdage cyberangrep er innbruddsdeteksjonsystemer.
Denne studien har som mål å forbedre signaturbaserte deteksjonssystemer ved å inkorporere teknikker fra spesifikasjonsbasert deteksjon for kritiske system. Ved å identifisere hendelser som kan føre til stor-ulykker og implementere deteksjon basert på observerbare parametere knyttet til disse hendelsene, kan en øke evnen til å oppdage angrep og forbedre situasjonsforståelse. Dette er en kostnadseffektiv måte å forbedre deteksjonsevne uten å måtte modellere og implementere et helt system til bruk i spesifikasjonsbasert deteksjon.
Studien bruker CCE-metoden for å identifisere kritiske subsystemer og komponenter innenfor en organisasjon. Disse komponentene analyseres videre for å bestemme sentrale parametere som indikerer fiendtlig aktivitet. De valgte parameterne modelleres deretter ved hjelp av systemkunnskap og spesifikasjoner. Denne modellen brukes sa i deteksjon for å oppdage både fiendtlig aktivitet og systemfeil. En begrensning med fremgangsmåten er at den kun gir delvis dekning. Dette er fordi den kun ser på ett subsystem og ett scenario. Imidlertid, ved å prioritere kritiske elementer og hendelser med potensielt store konsekvenser, kan den fremdeles være en kostnadseffektiv måte å forbedre sikkerheten med et lavere ressursforbruk.
Denne studien bidrar til feltet innenfor cybersikkerhet i industriell teknologi ved å foreslå en metode for å forbedre deteksjonen inspirert av signaturbasert deteksjon. Testing av den foreslåtte løsningen gjøres ved bruk av et representativt datasett. Resultatene viser at løsningen effektivt kan oppdage potensielle angrep. Studien illustrerer også hvordan overvåking kan brukes for å opprettholde systemtillit når TCP/IP-basert kommunikasjon benyttes på de laveste nivåene av industrielle systemer.
Nøkkelord: Cybersikkerhet, Innbruddsdeteksjon, Signaturbasert Innbruddsdeteksjon, Spesifikasjonsbasert Innbruddsdeteksjon, Konsekvensbasert Evaluering, Industrielle Kontrollsystemer, Operasjonell Teknologi. With the increasing interconnectedness of industrial systems, organizations face a growing risk of cyber-related incidents. This poses a significant challenge to ensuring the safety and security of critical infrastructure. A well-known mitigating strategy is monitoring to detect ongoing cyber-attacks. Monitoring is performed using intrusion detection system.
This study aims to enhance intrusion detection in industrial control systems by incorporating techniques from specification-based detection. Identifying worst-case scenarios and implementing detection based on specific feature specifications can increase the ability to detect attacks and enhance situational awareness. This approach allows for cost-effective detection by focusing on critical system components and process variables rather than implementing a complete specification-based solution.
The research methodology involves utilizing the CCE method to identify critical subsystems and components within an organization. These components are further analyzed to determine essential parameters that indicate malicious activity based on an adversary’ expected approach. The chosen parameters are modelled using system knowledge and specifications, and the specific aspects of the systems behavioural model are integrated into the detection routine. A limitation of this method is that it only provides partial coverage, focusing on specific components and process variables. However, by prioritizing critical elements and high consequence incident evasion, this approach offers a cost-effective solution to enhance safety and security with limited resources.
The research contributes to the existing body of knowledge by proposing a methodology to improve detection in critical components, supplementing existing intrusion detection system. The implementation and testing of the proposed approach using a representative dataset demonstrate its effectiveness in detecting potential attacks. The study also illustrates how monitoring can be used to ensure system integrity confidence when utilizing TCP/IP-based communication in the lower levels of industrial systems.
Keywords: Cybersecurity, Industrial Control Systems, Intrusion Detection Systems, Specification-based Detection, Operational Technology, Signature-based Detection, Consequence-based Cyber-informed Engineering.