Skip to main content
QUICK REVIEW

[논문 리뷰] Anomaly detection; Industrial control systems; convolutional neural networks

Moshe Kravchik, Asaf Shabtai|arXiv (Cornell University)|2018. 06. 21.
Smart Grid Security and Resilience인용 수 1
한 줄 요약

이 논문은 1D 컨볼루션 신경망을 사용하여 산업 제어 시스템에서 통계적 편차를 측정하여 사이버 공격을 탐지하는 비지도 이상 탐지 방법을 제안한다. 이 방법은 낮은 가짜 경고 비율을 유지하면서도 높은 공격 탐지율을 달성하며, 순환 신경망보다 속도와 모델 크기 측면에서 뛰어나며, 36개의 공격 시나리오가 포함된 SWaT 테스트베드 데이터셋을 사용한다.

ABSTRACT

This paper presents a study on detecting cyberattacks on industrial control systems (ICS) using unsupervised deep neural networks, specifically, convolutional neural networks. The study was performed on a SecureWater Treatment testbed (SWaT) dataset, which represents a scaled-down version of a real-world industrial water treatment plant. e suggest a method for anomaly detection based on measuring the statistical deviation of the predicted value from the observed value.We applied the proposed method by using a variety of deep neural networks architectures including different variants of convolutional and recurrent networks. The test dataset from SWaT included 36 different cyberattacks. The proposed method successfully detects the vast majority of the attacks with a low false positive rate thus improving on previous works based on this data set. The results of the study show that 1D convolutional networks can be successfully applied to anomaly detection in industrial control systems and outperform more complex recurrent networks while being much smaller and faster to train.

연구 동기 및 목표

  • 라벨이 부여된 공격 데이터가 부족한 산업 제어 시스템에서 미묘한 사이버 공격을 탐지하는 데 도전하는 것.
  • 공격 패턴에 대한 사전 지식이 필요 없이 이상을 탐지할 수 있는 비지도 딥 러닝 방법을 개발하는 것.
  • 컨볼루션 신경망과 순환 신경망이 산업 제어 시스템의 공격 탐지에 대해 어떻게 성능을 비교하는지 평가하는 것.
  • 실제 산업 테스트베드 데이터에서 높은 탐지율과 최소한의 가짜 경고 비율을 달성하는 것.

제안 방법

  • 이 방법은 SWaT 테스트베드의 센서 데이터로부터 시간적 패턴을 학습하기 위해 1D 컨볼루션 신경망을 사용한다.
  • 이상은 네트워크의 예측 출력과 실제 관측값 사이의 통계적 편차를 측정하여 탐지한다.
  • 이 방법은 비지도 학습이며, 훈련에 정상 작동 데이터만을 기반으로 한다.
  • 성능과 효율성을 평가하기 위해 다양한 아키텍처, 즉 다양한 컨볼루션 및 순환 신경망 변종이 평가된다.
  • 모델은 향후 센서 값을 재구성하거나 예측하도록 훈련되며, 큰 예측 오차는 잠재적인 이상을 나타낸다.
  • 이 방법은 1D 컨볼루션의 국소 패턴 추출 능력을 활용하여 시계열 ICS 데이터의 시간적 의존성을 포착한다.

실험 결과

연구 질문

  • RQ1라벨가 없는 공격 예제가 있는 산업 제어 시스템 데이터에서 1D 컨볼루션 신경망이 이상을 효과적으로 탐지할 수 있는가?
  • RQ2ICS 데이터에서 1D CNN의 성능은 정확도와 훈련 효율성 측면에서 순환 신경망과 어떻게 비교되는가?
  • RQ3다양한 알려진 공격이 포함된 실세계 ICS 테스트베드에 적용했을 때 제안된 방법의 가짜 경고 비율은 얼마인가?
  • RQ4예측값과 관측값 사이의 통계적 편차가 ICS에서 이상 탐지에 신뢰할 수 있는 지표로 사용될 수 있는 정도는 어느 정도인가?

주요 결과

  • 제안된 1D CNN 기반 방법은 SWaT 데이터셋에 포함된 36개의 알려진 사이버 공격 중 대부분을 성공적으로 탐지한다.
  • 이 방법은 동일한 데이터셋을 사용한 이전 방법보다 낮은 가짜 경고 비율을 기록한다.
  • 1D 컨볼루션 네트워크는 탐지 성능과 훈련 속도 측면에서 더 복잡한 순환 신경망보다 뛰어나다.
  • 1D CNN은 순환 아키텍처보다 훨씬 작고 훈련 속도가 빨라 실시간 구현에 더 적합하다.
  • 예측값과 관측값 사이의 통계적 편차는 ICS에서 이상 탐지에 강력한 지표로 기능한다.
  • 이 방법은 SWaT 테스트베드 환경 내에서 미리 보지 못한 공격 시나리오에 대해서도 뛰어난 일반화 성능을 보였다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.