یک سیستم تشخیص نفوذ امنیت سایبری برای سیستم های کنترل صنعتی

2 مه 2022 -توسط پژوهشکده جنوب غرب

SwRI یک شبکه صنعتی برای شناسایی حملات سایبری از یک کامپیوتر مخرب طراحی کرد. شبکه از پروتکل Modbus/TCP برای انتقال بسته های داده بین دستگاه های ورودی/خروجی (I/O) و کنترل کننده های منطقی قابل برنامه ریزی (PLC) متصل شده از طریق یک سوئیچ اترنت استفاده کرد. اعتبار: پژوهشکده جنوب غرب

مؤسسه تحقیقاتی Southwest فناوری را توسعه داده است تا به دولت و صنعت کمک کند تا تهدیدات سایبری شبکه های صنعتی مورد استفاده در زیرساخت های حیاتی و سیستم های تولیدی را شناسایی کند. SwRI بودجه این تحقیق را برای رسیدگی به تهدیدات سایبری در حال ظهور در اکوسیستم اتوماسیون صنعتی که به سرعت در حال تکامل است، تامین کرد.

این تیم از الگوریتم‌هایی برای اسکن تهدیدات سایبری در پروتکل‌های شبکه استفاده کرد که داده‌های کنترل صنعتی را برای همه چیز از خطوط لوله گاز طبیعی گرفته تا روبات‌های تولیدی انتقال می‌دهد. این تحقیق منجر به توسعه یک سیستم تشخیص نفوذ (IDS) برای سیستم‌های کنترل صنعتی (ICS) شد.

Ian R. Meinzen، مهندس ماشین‌های هوشمند SwRI که روی این پروژه کار می‌کرد، گفت: «از لحاظ تاریخی، سیستم‌های کنترل صنعتی با در نظر گرفتن امنیت طراحی نشده بودند. آنها از مزیت یک «شکاف هوایی» برخوردار بودند که در آن می‌توانستند بدون اتصال به شبکه‌های فناوری اطلاعات به طور ایمن کار کنند.»

با این حال، جدا کردن شبکه‌های صنعتی از شبکه‌های فناوری اطلاعات (IT)، دیگر گزینه‌ای برای سیستم‌های اتوماسیون مدرنی نیست که به اینترنت اشیا (IoT) برای انتقال حجم وسیعی از داده‌ها متکی هستند. اینترنت اشیا شبکه ای از اشیاء فیزیکی تعبیه شده با حسگرها و نرم افزار برای اتصال و تبادل داده ها با دستگاه ها و سیستم های دیگر از طریق شبکه های ارتباطی از طریق اینترنت را توصیف می کند.

پیتر مولدنهاور، دانشمند کامپیوتر SwRI متخصص در امنیت سایبری می گوید: «اتصال دستگاه های اینترنت اشیا و سایر سخت افزارها، شبکه های صنعتی را در معرض آسیب پذیری های امنیتی قرار می دهد. حملات می توانند از طریق یک دستگاه اینترنت اشیا یا حتی پروتکل های شبکه و نرم افزارهای قدیمی رخ دهند.

تیم SwRI این تحقیق را بر روی اسکن حملات سایبری از طریق پروتکل Modbus/TCP متمرکز کرد. شرکت‌ها و صنعت از این پروتکل شبکه مبتنی بر اترنت برای چندین دهه در تجهیزات سیستم‌های کنترل‌های نظارتی و جمع‌آوری داده (SCADA) استفاده کرده‌اند.

محققان SwRI در ابتدا الگوریتم‌هایی را برای اسکن شبکه‌های باس شبکه کنترل‌کننده (CAN) مورد استفاده در سخت‌افزار خودرو توسعه دادند. آنها الگوریتم های امنیت سایبری را سفارشی کردند تا قبل از ارزیابی الگوریتم های جدید در یک شبکه صنعتی دنیای واقعی، یک شبکه شبیه سازی شده مجهز به دستگاه های صنعتی را اسکن کنند. سیستم تست از پروتکل Modbus/TCP برای ارسال بسته های داده از طریق شبکه استفاده می کرد. این شبکه دارای یک سوئیچ اترنت بود که رایانه های شخصی، کنترل کننده های منطقی قابل برنامه ریزی (PLC) و ماژول های ورودی/خروجی (I/O) را به هم متصل می کرد. چنین دستگاه‌های محاسباتی صنعتی دستورات و داده‌ها را برای روبات‌های خودکار و تجهیزات مکانیزه ارسال می‌کنند.

جاناتان اسکویول، دانشمند کامپیوتر SwRI، می‌گوید: «ما مجبور بودیم الگوریتم‌های قبلی را سفارشی کنیم تا روش‌های مختلفی را که پروتکل Modbus/TCP بسته‌های داده را در ترتیب و امضاهای زمانی گروه‌بندی می‌کند، تشخیص دهیم.

الگوریتم‌های جدید توسعه‌یافته که در شبکه آزمایشی اعمال شده‌اند، ترافیک معمولی Modbus/TCP را شناسایی کرده و بردارهای حمله سایبری مانند زمان‌بندی خارج از باند، کاوش آدرس و مبهم/دستکاری داده‌ها را شناسایی می‌کنند. الگوریتم‌ها بسته‌های داده را به‌عنوان «عادی» طبقه‌بندی می‌کنند، اگر از یک دستگاه کنترل صنعتی بی‌خطر می‌آیند یا اگر منبع یک دستگاه غیرمنتظره یا آسیب‌دیده باشد، «حمله» می‌کنند.

تیم تحقیقاتی متخصصانی از دپارتمان سیستم‌های بحرانی SwRI، که در سیستم‌های جاسازی شده و امنیت سایبری تخصص دارد، و بخش فناوری‌های تولید مؤسسه، که متخصص در یکپارچه‌سازی نرم‌افزار و سخت‌افزار برای روباتیک و اتوماسیون صنعتی است، حضور داشتند.

دکتر استیون دلن‌بک، معاون بخش سیستم‌های هوشمند SwRI، گفت: «روندهای تجاری و فناوری‌های جدید – که تا حدی با فشار همه‌گیر به سمت اتوماسیون هدایت می‌شوند – آسیب‌پذیری‌های سایبری بیشتری را در سیستم‌های صنعتی آشکار می‌کنند. ما مفتخریم که از دولت و صنعت با تخصص چند رشته ای در فناوری های امنیت سایبری و اتوماسیون حمایت می کنیم.