Skip to main content
QUICK REVIEW

[논문 리뷰] A Deep Learning-based Framework for Conducting Stealthy Attacks in Industrial Control Systems

Cheng Feng, Tingting Li|arXiv (Cornell University)|2017. 09. 19.
Smart Grid Security and Resilience참고 문헌 25인용 수 34
한 줄 요약

이 논문은 산업 제어 시스템(ICS)에 대한 도청성 있고 고해상도 공격을 가능하게 하는 GAN 기반 프레임워크를 제시한다. 이는 타겟 시스템에 대한 사전 지식을 최소한으로 가진 채로, 이상 탐지기의 블랙박스 환경에서도 탐지를 피할 수 있도록 위조 센서 측정값을 학습한다. 이 방법은 엄격한 위조 경고 임계값 조건에서도 탐지를 회피하는 데 최대 90%의 성공률을 기록하며, 현재의 이상 탐지 메커니즘이 딥러닝 기반의 도청 공격에 취약하다는 것을 입증한다.

ABSTRACT

Industrial control systems (ICS), which in many cases are components of critical national infrastructure, are increasingly being connected to other networks and the wider internet motivated by factors such as enhanced operational functionality and improved efficiency. However, set in this context, it is easy to see that the cyber attack surface of these systems is expanding, making it more important than ever that innovative solutions for securing ICS be developed and that the limitations of these solutions are well understood. The development of anomaly based intrusion detection techniques has provided capability for protecting ICS from the serious physical damage that cyber breaches are capable of delivering to them by monitoring sensor and control signals for abnormal activity. Recently, the use of so-called stealthy attacks has been demonstrated where the injection of false sensor measurements can be used to mimic normal control system signals, thereby defeating anomaly detectors whilst still delivering attack objectives. In this paper we define a deep learning-based framework which allows an attacker to conduct stealthy attacks with minimal a-priori knowledge of the target ICS. Specifically, we show that by intercepting the sensor and/or control signals in an ICS for a period of time, a malicious program is able to automatically learn to generate high-quality stealthy attacks which can achieve specific attack goals whilst bypassing a black box anomaly detector. Furthermore, we demonstrate the effectiveness of our framework for conducting stealthy attacks using two real-world ICS case studies. We contend that our results motivate greater attention on this area by the security community as we demonstrate that currently assumed barriers for the successful execution of such attacks are relaxed.

연구 동기 및 목표

  • 증가하는 연결성과 기존 이상 탐지 시스템의 한계로 인한 ICS의 사이버-물리적 손상 위험 증가 문제를 해결하기 위해.
  • 딥러닝이 타겟 시스템의 동역학이나 프로토콜에 대한 최소한의 사전 지식으로도 도청 공격을 가능하게 하는지 조사하기 위해.
  • 이상 탐지기의 행동을 학습함으로써 이상 탐지기를 회피할 수 있는 고품질의 위조 센서 측정값을 자동으로 생성하는 프레임워크를 개발하기 위해.
  • 다양한 탐지 임계값과 공격 시나리오 하에서 실제 ICS 데이터셋을 대상으로 프레임워크의 효과성을 평가하기 위해.
  • 현재 이상 탐지 메커니즘의 취약성을 부각하고, ICS에 대해 더 견고하고 다층적인 보안 조치를 개발할 필요성을 제기하기 위해.

제안 방법

  • 프레임워크는 생성자(generator)가 정상 시스템 동작을 유사하게 모방하는 위조 센서 측정값을 생성하도록 학습하는 생성적 적대적 네트워크(GAN)를 사용한다.
  • 생성자는 이상 탐지기의 내부 모델 기반으로 예측값과 실제 센서 읽기 간의 잔차 오차를 최소화하는 잔차 오차 손실 함수를 사용하여 훈련된다.
  • 판별자(discriminator)는 실제 센서 데이터와 생성된 위조 데이터를 구분하도록 훈련되며, 동시에 생성자는 탐지 가능성을 최소화하는 방식으로 이상 탐지기를 속이도록 학습된다.
  • 공격 과정은 적응형이다: 프레임워크는 이상 탐지기의 예측에 비해 잔차 오차가 낮게 유지되도록 주입된 위조 측정값의 크기를 동적으로 조정한다.
  • 이 방법은 블랙박스 가정 하에서 작동하며, 훈련 단계 동안 타겟 시스템의 세부 모델이 아닌, 단지 가로질러 캐치한 센서 및 제어 신호만 필요로 한다.
  • 프레임워크는 SWaT와 WADI 두 개의 실제 ICS 데이터셋을 사용하여 평가되었으며, 공격 성공률은 임계값 기반 및 CUSUM 기반 이상 탐지기와 비교하여 측정되었다.

실험 결과

연구 질문

  • RQ1딥러닝 기반 프레임워크는 타겟 시스템의 동역학이나 프로토콜에 대한 최소한의 사전 지식으로도 ICS에 도청 공격을 생성할 수 있는가?
  • RQ2GAN 기반 생성자는 잔차 오차를 최소화함으로써 블랙박스 이상 탐지 시스템을 얼마나 효과적으로 피할 수 있는가?
  • RQ3다양한 위조 경고 비율 조건 하에서, 임계값 기반 및 CUSUM 기반 모델을 포함한 다양한 종류의 이상 탐지기들을 얼마나 효과적으로 우회할 수 있는가?
  • RQ4PLC-센서 채널에만 접근할 수 있는 부분적 시스템 지식이 도청 공격의 성공률에 어떤 영향을 미치는가?
  • RQ5주입된 측정값의 편차 크기를 제어할 수 있는 프레임워크의 능력이 공격의 도청성과 성공률에 어떤 영향을 미치는가?

주요 결과

  • 모든 PLC-센서 채널이 손상된 상황에서 CUSUM 기반 이상 탐지기의 탐지를 회피하는 데 90%의 성공률을 기록하였다. 이는 1시간의 예상 위조 경고 간격 조건에서도 성립한다.
  • 예상 위조 경고 비율이 0.01(100분에 1회)일 경우, 공격 성공률는 약 40%로 유지되었으며, 이는 탐지에 대한 강력한 저항성을 보여준다.
  • 위조 경고 간격이 3분일 경우에도 공격 성공률는 약 20%로 유지되었으며, 이는 실질적인 탐지 설정 조건 하에서도 상당한 도청성을 입증한다.
  • 프레임워크는 실제 센서 데이터의 행동과 매우 유사한 고품질의 위조 측정값을 성공적으로 생성하여, 현재의 이상 탐지 시스템으로서는 매우 어려운 탐지 가능성을 보였다.
  • 제한된 시스템 지식 조건에서도 메서드는 효과적이었으며, PLC-AIT202 및 PLC-AIT203 채널만 손상된 경우 CUSUM 탐지 조건에서 80%의 성공률를 기록하였다.
  • 결과적으로 현재 이상 탐지 메커니즘의 신뢰성은 과대평가되고 있으며, 딥러닝 기반의 도청 공격이 ICS 보안에 실제 위협이 될 수 있음을 보여준다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.