سیستم تشخیص نفوذ ترکیبی برای مقابله با حملات سایبری در سیستم های کنترل صنعتی با شبکه اختصاصی

اغلب سیستم های کنترل، دارای شبکه ارتباطی با پروتکل های خاص هستند. سیستم های تشخیص نفوذی که بر پایه روش های کنترل ترافیک شبکه با پروتکل های معمول توسعه داده شده اند و یا از مجموعه داده های موجود استفاده کرده اند، برای سیستم های کنترل کارایی لازم را ندارند. همچنین کدهای مخرب جدید و پیچیده برای حمله به سیستم های کنترل و در نهایت خراب کاری در فرایند فیزیکی از دستورات شناخته شده و قابل درک سیستم های کنترل استفاده می کنند. این حملات تغییری در ترافیک شبکه ایجاد نمی کنند، بنابراین به وسیله سیستم های تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. در این مقاله روشی ابتکاری و ترکیبی برای شناسایی انواع حملات به سیستم های کنترل با شبکه اختصاصی پیشنهاد شده است. به منظور شناسایی کامل حملات به سیستم های کنترل ترکیبی از روش های شناسایی حملات معنایی یا دزدکی و شناسایی حملات با تاثیر بر ترافیک شبکه سیستم کنترل ارائه شده است. برای اولین بار به صورت عملی تاثیر انواع حملات معمول بر روی یک سیستم کنترل با شبکه خاص بررسی و قوانین تشخیص این حملات به دست آمده است. نتایج تجربی در این مطالعه نشان داده است که قوانین استخراج شده به صورت صددرصد حملات مرتبط از قبل شناخته شده را شناسایی می کند. روش جدید ارائه شده مبتنی بر شناسایی دستورات سیستم کنترل از روی رکوردهای استخراج شده شبکه نیز به صورت کامل حملات معنایی را تشخیص می دهد. روش مبتنی بر داده های فرایندی نیز قادر به تشخیص حدود 99 درصد از حملات معنایی با استفاده از الگوریتم های طبقه بندی و مجموعه داده استفاده شده است.

combined intrusion detection system to deal with cyber attacks in industrial control systems with a dedicated network

most control systems use a dedicated communication network with specific protocols. intrusion detection systems developed based on network traffic with standard protocols, or existing datasets can not detect significant threats on these control systems. new sophisticated malicious codes usually attacked these systems by sending known and understandable commands to the control systems and ultimately sabotaging the physical process. these attacks do not alter network traffic, so they are not detectable with standard networkbased intrusion detection systems. in this paper, we proposed an innovative combined method for identifying different types of attacks on control systems with a dedicated network. we have provided a combination of methods for detecting semantic or stealth attacks and identifying attacks that affect the traffic of the control system network. for the first time in practice, the effect of common types of attacks on a control system with a specific network has been investigated, and the rules for detecting these attacks have been obtained. experimental results in this study show that the extracted rules identify 100% of the already known attacks. the proposed new approach, based on identifying the control system commands from the extracted network records, also thoroughly detects semantic attacks. the process data behavioral method used in this study can detect about 99% of semantic attacks using classification algorithms base on data set which is created in this study.