Forgalmi mintázat alapú anomália detekció ipari irányítási rendszerekben

OData támogatás
Konzulens:
Dr. Holczer Tamás
Hálózati Rendszerek és Szolgáltatások Tanszék

Ipari vezérlőrendszerek már sok évtizede fontos részét képezik az iparnak. Ezek az eszközök értékes és érzékeny gépeket felügyelnek és veszélyes folyamatokat irányítanak gyakran extrém körülmények között. Vezérlő rendszerek üzemelnek például az erőművekben, atom reaktorokban, kőolaj finomítókban és gyárakban. Ahogy fejlődött az informatika, az analóg pneumatikus, hidraulikus vagy mechanikus vezérlőrendszerek helyét átvették a digitális eszközök, PLCk és PCk, kommunikáció terén pedig folyamatos elmozdulás figyelhető meg a zárt protokolloktól az Ethernet, TCP valamint IP protokollok felé.

A váltás analóg eszközökről digitális eszközökre rengeteg előnnyel jár. Az olcsóbb, programozható eszközök képesek gyorsabban, pontosabban szabályozni folyamatokat, valamint nagyobb kontrollt engednek az üzemeltetők számára. Azonban az előnyök mellett a digitális programozható eszközök sérülékenységeit is elhozta az ipari vezérlő rendszerekbe. A szigetszerűen izolált működtetés nem jelent biztonságot többé ezen rendszereknek, mert a teljes izoláció sok esetben nem biztosítható vagy kijátszható. Egy támadáshoz készített malware még a teljesen elszigetelt rendszerekbe is bejuttatható például social engineering segítségével. A kibertámadások végrehajthatóak távolról, észrevétlenül, alacsony kockázat mellett. Bevethető scriptek és eszközök széles köre áll a támadók rendelkezésére, valamint célzott támadások esetén ismert vagy zero day sérülékenységeket kihasználva kompromittálhatják a vezérlő alkalmazásokat futtató gépek operációs rendszereit. Az ipari vezérlőrendszereket célzó támadások nem igényelnek jelentősen eltérő eszköz készletet a támadóktól.

A védekezés oldaláról nézve azonban jelentősek a különbségek. Míg a normál elektronikus eszközök kevesebb mint öt éven belül lecserélődnek valamint a szoftver frissítések megjelenésük után rövid időn belül telepítésre kerülnek, addig az ipari vezérlőrendszereket felépítő eszközöket nem gazdaságos vagy a körülmények miatt nem lehetséges ilyen ütemben cserélni, frissíteni. A használt eszközök hitelesítettek és alaposan teszteltek, gyakran húsz évnél is idősebbek. Számítási teljesítményük kicsi, erőforrásaik a felügyelt folyamataiknak dedikáltak. Biztonságot nem vagy csak sokadlagos szempontként figyelembe vevő kommunikációs protokollokat használnak adat szolgáltatásra és konfigurációra, frissítésük csak az előre megtervezett karbantartási időpontokban lehetséges.

Ezek a sajátosságok sebezhetővé teszik az ipari vezérlőrendszereket.

Napjainkban egyre több politikailag motivált támadás ér üzemeket, valamint válnak ipari kémkedés vagy szabotázs áldozataivá. Az elmúlt évek leghíresebb támadásait elemezve, ezen támadások karakterisztikáját figyelembe véve célom volt egy hálózati forgalom alapú behatolás detekciós eszköz megtervezése, elkészítése és tesztelése. A tervezett rendszer viselkedési modellek felépítésével és távolságuk kiszámításával valósít meg anomália detekciót, lehetővé téve az ismeretlen támadások detektálását és az ellenlépések megtételét.

Az eszköz három rétegű architektúrával rendelkezik, nyílt forráskódú eszközökön és technológiákon alapszik, mint a MongoDB, Bro framework, Angular és Node.js, a back-end réteg pedig Python nyelven van implementálva. A felhasználó webes felületen keresztül láthatja a rendszer állapotát, viselkedési modelljeit és a riasztásokat. Az elkészült rendszer moduláris, a rétegek egymástól szétválaszthatóak és külön node-okra telepíthetőek. Az eszköz a hálózati forgalmat elemzi, ami lehet élő forgalom vagy felvétel is.

Letölthető fájlok

A témához tartozó fájlokat csak bejelentkezett felhasználók tölthetik le.