PLC-based Cyber-Attack Detection A Last Line of Defence

一、摘要

  本文介绍了一种旨在用于检测破坏设施功能的网络攻击的系统,利用广泛使用的最先进PLC的功能,系统直接在控制进程的设备上执行,目的是为破坏性袭击提供最后一道防线。此外,描述了一种检测FDIA(虚假数据注入攻击)的方法,该方法使用系统预测状态和测量状态之间的残差(差值)来识别异常行为,该方法旨在集成到所提议的系统中。

二、介绍

(一)基于PLC的入侵检测系统

  为西门子S7-1518 MFP PLC开发的入侵检测系统,称为Goosewolf,其主要功能是监控PLC的执行、记录安全事件,以及向外部计算机发送安全警报。表1总结了GooseWalf程序检查和记录的主要功能,通过监控这些功能,Goosewolf旨在确定两个主要问题:(i)受控过程出现异常;以及(ii)PLC的状态发生变化,这可能表明发生了攻击。

表1 GOOSEWOLF程序的功能摘要

摘要
  Goosewolf的运作可以总结如下。如果PLC正常运行,则每次执行Goosewolf程序时都会生成三个日志:init.log, conn.log, 和 cycles.log。init.log记录程序执行的初始时间,conn.log记录首次连接到OPC UA服务器的时间,此后,每次处理数据时,都会记录循环时间信息到cycles.log。下图1总结了该操作。除了在正常条件下创建的日志外,还有异常操作条件、危险控制操作和程序更改检测的日志(aoc.log, hca.log, and proginf.log, respectively)。

图1 西门子S7-1518 MFP PLC运行Goosewolf的CPU与C++运行时通信及功能概述

日志生成

(二)检测FDIA

  为了破坏流程的运行,对手可以在PLC上进行FDIA,FDIA涉及敌方操纵传感器测量值(PLC用于控制),以导致应用不正确的控制动作。为了检测这些形式的攻击,开发了一种局部自联想核回归(AAKR)模型。
  为了使用预测值检测攻击,计算预测值和测量值(即与PLC通信的值)之间的残差。可以定义一个残差阈值,表明测量异常,即被理解为被操纵。

三、实验评估

(一)PLC实时性检测

  在PLC上实施IDS时,一个问题是它可能会对设备提供的控制功能产生潜在影响。此外,实施异常检测算法,可能会影响PLC上实时CPU运行时的性能。为了实现性能测评,实现了一个C++程序,该程序重复计算威廉·莎士比亚的大量作品的MD5散列,这是一个相对昂贵的计算任务。在S7-1518 PLC的C++运行时执行该程序,同时使用S7-1518上的OPC UA接口收集CPU运行周期。此实验的结果如图2所示,它显示了CPU运行周期时间(以纳秒为单位)随时间的移动平均值。

图2 在正常情况下,同时压力测试C++运行时,CPU运行周期时间

周期时间

(二)基于AAKR的过程异常检测

  图3显示了使用AAKR模型在稳压器FDIA期间的检测结果。图3a中的蓝色实线显示了AAKR模型预测值与从攻击计算机收集(测量)的值之间的残差(即差异)。(对于建议的基于PLC的ID,测量值将由Goosewolf程序从CPU运行时收集。)同时,图中的红色虚线描绘了一个阈值——超过这些阈值的残差被认为是异常的,这可能表示攻击。在AAKR模型的MATLAB实现中,当残差超过阈值时,将生成“1”假设——警报,如图3b所示。在实验中,AAKR模型在观测值2060左右开始产生警报,这与FDIA的开始相对应。这些初步结果表明,AAKR模型能够正确检测PLC的FDIA。

图3 使用AAKR模型的错误数据注入场景检测结果

检测结果

四、总结

  本文提出了一种可以在最先进的PLC上执行的入侵检测系统。该系统的目的是为攻击提供最后一道防线。该系统称为GooseWalf,可检测用户定义PLC功能的操纵和数据篡改,例如,作为虚假数据注入攻击(FDIA)的一部分。Goosewolf本身可能容易受到攻击。然而,它有几个潜在的好处,使得对手以未被发现的方式攻击PLC更具挑战性。此外,如果安全配置,我们建议Goosewolf不会引入重要的新攻击面。初步结果表明,系统可以在不影响PLC控制行为的情况下运行,并且检测FDIA的方法是有效的,可以直接在PLC上执行。

[1] JIN, C., VALIZADEH, S., VAN DIJK, M., “Snapshotter: Lightweight intrusion detection and prevention system for 
industrial control systems”, IEEE Industrial Cyber-Physical Systems (ICPS), St. Petersburg (2018). 
[2] GARCIA, L., ZONOUZ, S., WEI, D., PFLEGER DE AGUIAR, L., “Detecting PLC control corruption via on-device 
runtime verification”, Resilience Week (RWS), Chicago (2016). 
[3] GOH, J., ADEPU, S., TAN, M., LEE, Z.S., “Anomaly detection in cyber physical systems using recurrent neural 
networks” IEEE 18th International Symposium on High Assurance Systems Engineering (HASE), IEEE (2017). 
[4] GOH, J., ADEPU, S., JUNEJO, K. N., and MATHUR, A.,A dataset to support research in the design of secure 
water treatment systems”, International Conference on Critical Information Infrastructures Security, pages 8899. 
Springer, (2016). 
[5] EGGERS, S.L., “Adapting anomaly detection techniques for online intrusion detection in nuclear facilities”, PhD 
thesis, University of Florida (2018). 
[6] ZHANG, F., KODITUWAKKU, H., HINES, J.W., COBLE, J., Multi-layer data-driven cyber-attack detection 
system for industrial control systems based on network, system and process data, IEEE Transactions on Industrial 
Informatics 5 7 (2019) 43624369. 
[7] ZHANG F., HINES, J.W., COBLE, J.,A robust cybersecurity solution platform architecture digital instrumentation 
and control systems in nuclear power facilities”, Nuclear Technology (2019). 
[8] ZHANG, F., HINES, J.W., COBLE, J., “Industrial control system testbed for cybersecurity research with industrial 
process data”, International Congress on Advances in Nuclear Power Plants (ICAPP 2018), Charlotte, NC, USA 
(2018). 
[9] SIEMENS  AG,  SIMATIC  S7-1500/ET  200  CPUs  Highlights  FW2.5  with  TIA  Portal  V15  (2018), 
https://www.totallyintegratedautomation.com/wpcontent/uploads/2018/04/Siemens-Advanced-Controllers-
Webinar_Apr-25-2018.pdf. 
[10] ZHANG, F., PAYNE T., HINES J.W., COBLE, J., “Enhancing the resilience of key Equipment to false data injection 
attacks in NPPs”, ANS Winter Meeting 2019, Washington, DC, USA, November (2019). 
[11] ALLISON, D.M., “Utilising the multi-functional platform of the Siemens S7-1518 PN/DP MFP programmable logic 
controller for security applications”, M.Sc. Thesis, Queen's University Belfast, Belfast (2019). 
[12] LEI, C., DONGHONG, L., LIANG, M., “The spear to break the security wall of S7CommPlus”, Blackhat USA, Las 
Vegas USA (2017).

posted @ 2022-07-03 21:44  哆啦哆啦呦  阅读(161)  评论(0编辑  收藏  举报