ارائه یک روش نوین تشخیص نفوذ مبتنی بر ناهنجاری در شبکه های کنترل صنعتی

SUPERVISOR
Ali Fanian
علی فانیان (استاد راهنما)
 
STUDENT
Hamed Farsi
حامد فارسی

FACULTY - DEPARTMENT

دانشکده مهندسی برق و کامپیوتر
DEGREE
Master of Science (MSc)
YEAR
1392

TITLE

Introducing a Novel Anomaly Based Intrusion Detection Approach in Industrial Control Networks
Industrial control systems is the core part of infrastructures such as power grid. nowadays , with enhancement in technology, the need for centralized control over infrastructures is intensified. For this reason, there is a rising trend to extract industrial networks from isolation and connect them to public networks such as internet. There are some advantages in connecting industrial networks to public networks such as various control network interconnection via WAN, remote control over control networks and adoption to TCP/IP stack. One important disadvantage of connecting industrial networks to public network is security degradation which is unacceptable for industrial networks which control critical infrastructures. As a result, control networks become more vulnerable to cyber attacks and being exposed to the same threats that make suffer IT networks. For this reasons, securing industrial networks become very important. However, public networks and industrial networks are inherently different and security strategies which are used in public networks, cannot be adopted to industrial networks. One of the network security elements, is intrusion detection system. Intrusion detection systems are deployed in networks and detect intrusions and attacks by means of analyzing network traffic. In this thesis, a comprehensive intrusion detection system for Modbus/TCP networks, is proposed, with the consideration of security differences between industrial network and public networks in mind. The proposed intrusion detection system is a state-based intrusion detection and designed with this principle in mind that, during stable situation, industrial network status is not changed significantly. The proposed intrusion detection system triggers an alarm when state of the process, changes. The proposed comprehensive detection system comprises three complementary components: first component is state-based intrusion detection which detects transformation in process state. Second component is critical state detection which determines whether the process state is in critical hypervolume or not and the third component is anomaly origin detection which determines the process variable that causes anomaly. For evaluating efficiency of proposed approach , a boiler control system is simulated and test datasets are provided from this simulation. Proposed intrusion detection system, evaluated through these datasets. Results show that proposed approach is highly efficient for detecting these anomalies. Key words: Intrusion Detection System , Industrial Networks , Modbus/TCP , anomaly Detection
سیستم‌‌های کنترل صنعتی، هسته‌ی مرکزی کنترل زیرساخت‌هایی نظیر شبکه‌ی برق هستند. امروزه با پیش‌رفت تکنولوژی نیاز به کنترل مرکزی و یکنواخت این زیرساخت‌ها تشدید شده است. به همین دلیل، گرایش شدیدی برای خارج کردن شبکه‌های کنترل صنعتی از حالت منزوی و قرنطینه و اتصال این شبکه‌ها به شبکه‌های عمومی پیدا شده است. اتصال شبکه‌های کنترل صنعتی به شبکه‌های عمومی، فواید زیادی دارد، از جمله‌ی این فواید می‌توان به اتصال شبکه‌های کنترلی مختلف به یکدیگر از طریق اینترنت، دسترسی از راه دور به شبکه‌ی کنترلی و سازگاری با پشته‌ی TCP/IP به منظور اتصالات مختلف اشاره کرد. عیب بسیار مهمی که نمی‌توان به راحتی از آن چشم‌پوشی کرد، پایین آمدن امنیت شبکه‌های کنترل صنعتی است که زیرساخت‌های حساس را کنترل می‌کنند. در نتیجه‌ی این اتصال، شبکه‌های صنعتی در مقابل حملات سایبری آسیب‌پذیر می‌شوند و در معرض همان تهدیدهایی قرار می‌گیرند که در شبکه‌های عمومی و اینترنت وجود دارد. به همین دلیل، تامین امنیت شبکه‌‌های کنترلی بسیار اهمیت پیدا می‌کند. اما به دلیل اینکه ماهیت شبکه‌‌های عمومی و شبکه‌های کنترل صنعتی با یکدیگر متفاوت است، نمی‌توان استراتژی‌‌های تامین امنیت در شبکه‌‌های عمومی را در شبکه‌‍‌های کنترل صنعتی به کار برد. یکی از موجودیت‌هایی که در تامین امنیت شبکه‌ها کاربرد دارد، سیستم‌های تشخیص نفوذ است. این سیستم‌ها با قرارگیری در شبکه و رصد ترافیک آن، حملات و نفوذهای احتمالی را شناسایی می‌کنند. در این پایان‌نامه با لحاظ تفاوت‌‌های شبکه‌های کنترل صنعتی و شبکه‌های عمومی، یک سیستم تشخیص نفوذ جامع برای شبکه‌های صنعتی مبتنی بر پروتکل Modbus/TCP پیشنهاد شده است. این سیستم تشخیص نفوذ، مبتنی بر حالت شبکه است و بر اساس این واقعیت طراحی شده است که وضعیت شبکه‌های کنترل صنعتی در حالت پایدار، تغییرات چندانی ندارد. بنابراین می‌توان این‌گونه استدلال نمود که تغییرات ناخواسته به مفهوم رخداد ناهنجاری در این شبکه‌ها است، از این رو در سیستم تشخیص نفوذ پیشنهادی با تغییر حالت شبکه، هشدار تولید می‌شود. این سیستم جامع از سه بخش تشکیل شده است که مکمل یکدیگر هستند. بخش اول، تشخیص نفوذ مبتنی برحالت است که تغییرات در حالت سیستم را شناسایی می‌کند، بخش دوم، تشخیص حالت بحرانی است که وظیفه‌ی این بخش شناسایی حالتی از شبکه است که وضعیت بحرانی داشته باشد و بخش سوم شناسایی مبداء ناهنجاری است که وظیفه‌ی آن پیدا کردن متغیری از فرآیند است که باعث ناهنجاری سیستم شده است. برای ارزیابی عملکرد سیستم پیشنهادی، یک فرایند کنترل صنعتی دیگ بخار به منظور تهیه مجموعه داده، شبیه سازی گردید. در این مجموعه با اعمال ناهنجاری‌هایی در فرایند مورد نظر، توانایی سیستم در ارتباط با کشف آنها مورد بررسی قرار گرفت. نتایج بررسی، نشان دهنده کارایی بالای سیستم پیشنهادی در ارتباط با تشخیص ناهنجاری‌های مربوطه می باشد. واژه‌های کلیدی: سیستم تشخیص نفوذ،شبکه‌های صنعتی،مدباس، تشخیص مبتنی بر ناهنجاری.

ارتقاء امنیت وب با وف بومی