Cyber attack detection in remote terminal units of SCADA system

Abstract

Siber güvenlik tehditleri gittikçe daha belirgin hale geliyor ve İnternet Servis Sağlayıcıdaki (ISS) bağlantı bağlantıları hızlanıyor. Geleneksel Ağ İzinsiz Giriş Tespit Sistemi, imzalara veya davranışa dayalıdır; bu, paketlere bilinen siber izinsiz girişleri aramak veya standart işlemlerini tespit etmek anlamına gelir. Bu siber izinsiz giriş tespit ağları, çoğu, önceden bilinen veya izinsiz giriş ile eğitilmiş belirli izinsiz girişleri tespit etmek üzere tasarlandığından, ağ güvenliği tehditlerinin yüksek oranda artmasıyla baş edemez. Ayrıca, çoğu gerçek zamanlı tespitinde bir tıkanıklık yaratabilen yük kontrolüne güveniyor. Dahası, şimdi sık sık her iletişim şifreli mesajlar yoluyla yapılıyor, gözlenen yükü yorumlamak neredeyse imkansız. Bu sınırlamalara karşı koymak için, SCADA sistemlerinde ve makine öğrenmesinde, belirli bir standart zaman diliminde belirli bir gözlem tespit eden makine öğreniminde RTU akışlarını kullanarak kötü niyetli konakçıları tespit eden bir Siber Saldırı Tespiti öneririz. Bu nedenle, bu çalışma, önceden belirlenmiş bir bilgiye sahip olmadan kötü niyetli ev sahibi tespit edebilen bir makine öğrenmesi tabanlı Siber Saldırı Tespiti (CADS) için bir öneri sunacak. Önerilen bu sistemin sonuçları, ağ operatörleri tarafından çevrimiçi olarak sağlanan zararlı verileri içeren gerçekçi bir metin dosyalarıyla doğrulandı. SCADA sistemlerini kullanarak, bir insanı döngüde tutarken ağa ve anahtarlara yetkisiz erişim daha sıkı kontrol edilebilir; yani, insan denetimi ve etkileşimi SCADA sistemlerinin bir parçasıydı ve hala da öyle. Bununla birlikte, teknolojik gelişmeler ve SCADA sistemlerinin olgunlaşması, denetleyici işlevlerin daha fazlasını modern SCADA sistemlerini oluşturan bilgisayar sistemlerine itti. SCADA sistemlerinin erken gelişmesinde fiziksel güvenliğe dikkat edildi, ancak elektronik veya siber güvenliğe neredeyse hiç dikkat edilmedi. Sistemler belirsizdi ve sistemler ile etkileşimde bulunmak ve ağ güvenliğini güncellemek için gereken beceriler ve teknooji basitçe mevcut değildi; Bu tür güvenlik genellikle `belirsizlik yoluyla güvenlik. Bu model devam etti ve bugün` olarak adlandırılır. Çoğu özel SCADA uygulaması yerleşik güvenliği içermez. Ne yazık ki, açık protokoller, gelişmiş telekomünikasyon ağları, ucuz bilgisayar elektroniği ve World Wide Web üzerinden en belirsiz bilgilere bile sınırsız erişim, SCADA'nın güvenliğini gizlilikten mahrum bırakmıştır.

Cyber security threats are becoming more and more prominent and the connection links at the Internet Service Provider (ISP) are getting faster. These cyber intrusion detection networks are not able to cope with the high increase of network security threats, as the majority of them are designed to detect specific intrusions that are previously known, or trained with intrusion-free traffic. Also, most of them rely on payload inspection, which can create a bottleneck in real-time detection. Furthermore, now that frequently every communication is done through encrypted messages, it is almost impossible to interpret the observed payload. In order to counter these limitations, we propose a Cyber Attack Detection that detects malicious hosts by using flows of RTU in SCADA systems and machine learning, that detects a specific observation in a given standard time period. This work will therefore present a proposal for a machine learning-based Cyber Attack Detection Systems (CADS) capable of detecting malicious hosts without any a priori knowledge. The results from this proposed system were validated with a realistic text files with malicious data provided by the network operators online. Using SCADA systems, unauthorized access to network and switches could be more tightly controlled while keeping a human in the loop; that is, human supervision and interaction were, and still are, part of SCADA systems. However, technological advances and the maturation of SCADA systems has pushed more of the supervisory function onto the computer systems that make up modern SCADA systems. In the early development of SCADA systems attention was given to physical security, but virtually no attention was given to electronic or cyber security. The systems were obscure and the skills and technology needed to interact with the systems and update network security were simply not readily available; security of this type is often referred to as security through obscurity. This pattern has continued and today, most dedicated SCADA applications have not included built-in security. Unfortunately, open protocols, advanced telecommunication networks, cheap computer electronics, and unlimited access to even the most obscure information through the World Wide Web have made SCADA's security through obscurity up to date.