MITRE ICS Attack Simulation and Detection on EtherCAT Based Drinking Water System

一、摘要

  ICS系统包括发生操作过程的现场设备和提供这些设备管理的控制系统。在从控制层获得访问权后,攻击者参与了整个过程。因此,关键的基础设施系统受到了网络攻击的威胁,持续监控和安全审计也是关键基础设施的必要过程。本研究针对水管理过程的关键基础设施进行了网络攻击与检测系统的研究。在基于EtherCAT的水管理过程中,通过MITRE ICS ATT&CK Matrix中的技术,为现场设备开发了6种不同的攻击向量,这些攻击通过从网络流量中获得的数据分离,并通过支持向量机算法确定。攻击场景是通过选择7种不同的MITRE ICS攻击和CK Matrix技术,通过工程计算机在同一进程上攻击控制中心的SCADA系统。SCADA系统的入侵检测系统采用Wazuh HIDS。在ELK上对两次攻击进行了可视化。

二、介绍

(一)MITRE ATT&CK Matrix

  MITRE ATT&CK Matrix是基于已知网络攻击的战术和技术组成的数据库。MITRE ATT&CK Matrix技术和程序通过分析网络和终端系统提供行为可观察性来检测攻击。三种类型的MITRE Matrix:企业 ,移动 ,ICS 。我们使用MITRE ICS ATT&CK Matrix类型进行研究。在现有的ICS矩阵中有11种战术和81种技术,我们在研究中使用ICS矩阵来创建第三节中的攻击场景。

(二)WAZUH基于主机的IDS和Sysmon

  Wazuh是一个开源的基于主机的入侵检测系统。它提供了多种功能,如完整性监控、安全监控、事件响应、漏洞管理等。通过触发系统的相关事件,可以尽早产生告警,及早发现潜在的威胁,防止严重的攻击。告警规则可以添加到默认规则中。系统监视器(Sysmon)是用于监视系统活动和在Windows事件日志中记录系统事件的Windows系统服务和设备驱动程序。提供关于进程创建进程、网络连接和文件创建时间更改的详细信息。

三、实验评估

  EtherCAT协议不包含信息技术中使用的标准认证、加密、授权等基本安全参数。因此,媒体访问控制很容易受到泄露、远程数据采集和其他需要高级信息的高级攻击。本文介绍了关于ICS网络以及端点系统,实验过程我们就ICS网络展开介绍关于ICS网络的攻击向量与异常检测与可视化。

(一)实验环境

  测试环境拓扑包括管理总共4个站点,包括一个处理站、两个泵站和一个仓库。每个站都有用于控制的PLC和I/O设备(图1)。
测试环境

(二)ICS网络的攻击向量

  本节讨论在工厂级使用EtherCAT协议的安全性。Ethercat协议不包含信息技术中使用的标准认证、加密、授权等基本安全参数。因此,媒体访问控制很容易受到泄露、远程数据采集和其他需要高级信息的高级攻击。
MITRE ICS ATT&CK技术

(三)ICS网络异常检测与可视化

  使用SVM算法检测上一节创建的攻击向量。根据对工厂级攻击的检测方案,从流量中进行实时学习。用于检测此学习的攻击的参数被解析并保存在CSV文件中,由于学习而形成的模型被保存在一个文件中。根据该模型对后续攻击进行评估,并对PLC设备的状态进行分类。分类攻击被转移到ELK系统并被可视化。

ICS网络异常检测
  在支持向量机算法的学习部分,使用5个属性作为特征。下表根据其预期用途对其进行了定义。
SVM特征
使用开源的ELK Stack来可视化攻击。通过filebeat将支持向量机攻击产生的日志文件转移到ELK机器。在Kibana中创建了仪表板屏幕,其中以图形方式显示了攻击的详细数据。
可视化

四、总结

  本文开发了一种解决方案,在基于EtherCAT的水处理过程中,为端点设备和SCADA系统提供可能的攻击和检测。用于现场级别的机器学习算法,用于检测可能发生在工厂级别的针对EtherCAT协议的网络攻击;为控制中心开发了一套基于Wazuh HIDS的入侵检测系统。ELK系统可以方便地监控设备,该系统集成在一起用于监控系统。以后的研究中,攻击和检测的解决方案都可以在这个矩阵上多样化。定期对这个矩阵进行最新的研究也可以提供系统的持续可追溯性。

[1] J.  Wheeler, “Modernizing  Threat  Management  for  the  Evolving 
Attack  Surfaces of  OT, IoT  and  IoMT,” 2019. 
https://securityintelligence.com/posts/modernizing-threat-
management-for-the-evolving-attack-surfaces-of-ot-iot-and-iomt/ 
(accessed Jun. 07, 2020). 
[2] J.  Inoue,  Y.  Yamagata,  Y.  Chen,  C.  M.  Poskitt,  and  J.  Sun, 
“Anomaly  detection  for a water  treatment  system  using 
unsupervised machine learning,” IEEE Int. Conf. Data Min. Work. 
ICDMW,  vol.  2017-Novem,  pp.  1058–1065,  2017,  doi: 
10.1109/ICDMW.2017.149. 
[3] F. A. Alhaidari and E. M. Al-Dahasi, “New approach to determine 
DDoS attack patterns on SCADA system using machine learning,” 
2019 Int. Conf. Comput. Inf. Sci. ICCIS 2019, pp. 2–7, 2019, doi: 
10.1109/ICCISci.2019.8716432. 
[4] K.  O.  Akpinar  and  I.  Ozcelik, “Analysis  of  Machine  Learning 
Methods in  EtherCAT-Based  Anomaly  Detection,” IEEE  Access, 
vol.  7,  pp.  184365–184374,  2019,  doi: 
10.1109/ACCESS.2019.2960497. 
[5] A.  GRANAT,  H.  HÖFKEN,  and  M.  SCHUBA, “Intrusion 
Detection of the ICS Protocol EtherCAT,” DEStech Trans. Comput. 
Sci. Eng., no. cnsce, 2017, doi: 10.12783/dtcse/cnsce2017/8885. 
[6] J.  Zhang,  S.  Gan,  X.  Liu,  and  P.  Zhu, “Intrusion  detection  in 
SCADA  systems  by  traffic  periodicity  and  telemetry  analysis,” 
Proc. - IEEE Symp. Comput. Commun., vol. 2016-Augus, pp. 318–
325, 2016, doi: 10.1109/ISCC.2016.7543760. 
[7] R.  Al-Shaer,  J. M.  Spring,  and  E.  Christou, “Learning  the 
Associations of MITRE ATT&CK Adversarial Techniques,” 2020, 
[Online]. Available: http://arxiv.org/abs/2005.01654. 
[8] “Wazuh  Anomaly  and Malware  Detection.” 
https://documentation.wazuh.com/3.13/user-
manual/capabilities/anomalies-detection/how-it-works.html 
(accessed Jul. 05, 2020). 
[9] J. Steele, “MITRE ATT & CK ® for Industrial Control Systems : 
Design  and  Philosophy  Authors :  Otis  Alexander Misha Belisle,” 
no. March, 2020. 
[10] “ATT&CK  Matrix  for  Enterprise.” https://attack.mitre.org/ 
(accessed Jun. 28, 2020). 
[11] T.  M.  Corporation, “Mobile  Matrices.” 
https://attack.mitre.org/matrices/mobile/. 
[12] “ATT&CK® for  Industrial  Control  Systems.” 
https://collaborate.mitre.org/attackics/index.php/Main_Page 
(accessed Apr. 20, 2020). 
[13] “WAZUH.” https://wazuh.com/. 
[14] “WAZUH  Architecture.” 
https://documentation.wazuh.com/3.12/getting-
started/architecture.html (accessed Jun. 10, 2020). 
[15] T. G. Mark Russinovich, “Sysmon.” https://docs.microsoft.com/en-
us/sysinternals/downloads/sysmon. 
[16] “Critical  Infrastructures  National  Testbed  Center.” 
https://center.sakarya.edu.tr/. 
[17] K.  O.  Akpinar  and  I.  Ozcelik, “Methodology  to  Determine  the 
Device-Level  Periodicity  for  Anomaly  Detection  in  EtherCAT-
Based  Industrial  Control  Networks,” IEEE  Trans.  Netw.  Serv. 
Manag., vol. 4537, no. c, 2020, doi: 10.1109/TNSM.2020.3037050. 
[18] K. O. Akpinar and I. Ozcelik, “A Standalone Gray-Box EtherCAT 
Fuzzer,” in 2018 2nd International Symposium on Multidisciplinary 
Studies and Innovative Technologies (ISMSIT), Oct. 2018, pp. 1–4, 
doi: 10.1109/ISMSIT.2018.8566695. 
[19] O. Hartong, “A Sysmon configuration repository for everybody to customise.” https://github.com/olafhartong/sysmon-
modular/blob/master/sysmonconfig
posted @ 2022-07-03 21:45  哆啦哆啦呦  阅读(89)  评论(0编辑  收藏  举报