Study on Unsupervised Learning and Cyber Threat Detection in Industrial Control Systems Woo-Hyun Choi Gwangju Institute of Science and Technology

Abstract

산업 제어 시스템(ICS)은 제조 및 에너지와 같은 분야의 중요 인프라를 관리하는 데 필수적입니다. 이러한 시스템들의 네트워크 연결성이 증가함에 따라 사이버 보안 위험 에 대한 취약성이 높아졌습니다. 격리된 환경을 위해 설계된 ICS는 이제 중요한 위협에 노출되어 있으며, 이는 중요 인프라에 물리적 손상을 초래한 Stuxnet 공격과 같은 사례 에서확인되었습니다.전통적인 IT시스템과달리 ICS는 물리적 프로세스를 제어하므로 사이버 공격이 실제 세계에 구체적인 영향을 미칠 수 있습니다. ICS 보안의 주요 과 제는 다양한 장치와 독점 프로토콜로 구성된 이러한 시스템의 복잡성과 이질성입니다. 지속적인 운영 요구로인해 보안 업데이트 기회가 제한되어 기존 IT보안조치의 효과가 감소됩니다. 그결과, 실시간으로 알려지지 않은 위협과 이상을 탐지하기 위해 머신러닝과 비지도학습기술을 포함한 고급 접근 방식을 탐구하는 데 관심이 증가하고 있습니다. 이 논문은 두 부분으로 구성되어 있습니다. 첫 번째 부분은 비지도 기계 학습을 사용한 ICS의 이상 탐지를 검토합니다. 이 연구는 사전에 레이블이 지정된 데이터 없이 이상 행동을 식별하기 위한 복합 오토인코더 모델을 조사합니다. HIL-based Augmented ICS(HAI)의 데이터셋을 활용하여 값과 시간 모두와 관련된 이상을 탐지하는 모델의 능력을 분석합니다. 이 접근 방식은 ICS 환경 에서 시스템 신뢰성과 운영 효율성을 향상시키기 위한 지속적인 노력에 기여하는 것을 목표로 합니다. 두 번째 부분에서는 MITRE ATT&CK 프레임워크와 함께 ICS 트래픽의 이상 탐지를 위한 영과잉 포아송(ZIP) 기반 GRU 학습 모델을 탐구합니다. 모델의 성능은 ’Stuxnet’ 과 ’Industroyer’라는 두가지 주요 사이버 공격 시나리오 시뮬레이션을 통해 평가 되었습니다. 탐지된 이상을 MITRE ATT&CK 프레임워크에 매핑함으로써, 이 연구는 이러한 공격에 대한 정보에 입각한 대응 전략 개발에 기여하고자 합니다. 이 연구는 ICS 보안의 지속적인 과제를 다루며,진화하는 사이버위협으로부터 이러한 중요시스템을 보호하기 위한 잠재적 접근 방식을 연구합니다.|Industrial Control Systems (ICS) are essential for managing critical infrastructure in sectors such as manufacturing and energy. The increasing connectivity of these systems to networks has heightened their vulnerability to cybersecurity risks. Originally designed for isolated environments, ICS are now exposed to significant threats, as evidenced by incidents like the Stuxnet attack, which resulted in physical damage to critical infrastructure. Unlike traditional IT systems, ICS control physical processes, meaning cyberattacks can have tangible, real-world impacts. A significant challenge in ICS security is the complexity and heterogeneity of these systems, which comprise diverse devices and proprietary protocols. The requirement for continuous operation limits opportunities for security updates, reducing the effectiveness of conventional IT security measures. As a result, there is growing interest in exploring advanced approaches, including machine learning and unsupervised learning techniques, for real- time detection of unknown threats and anomalies. This dissertation examines two key topics. The first examines anomaly detection in ICS using unsupervised machine learning. The study investigates a composite autoencoder model for identifying anomalous behavior without pre-labeled data. Utilizing a dataset from HIL-based Augmented ICS (HAI), the research analyzes the model’s capacity to detect anomalies related to both value and time. This approach aims to contribute to the ongoing efforts to enhance system reliability and operational efficiency in ICS environments. The second focuses on a Zero Inflated Poisson (ZIP) based GRU Learning model for anomaly detection in ICS traffic, in conjunction with the MITRE ATT&CK framework. The model’s performance was evaluated through simulations of two major cyberattack scenarios, Stuxnet and Industroyer. By mapping detected anomalies to the MITRE ATT&CK framework, the study seeks to contribute to the development of more in- formed response strategies for such attacks. This research addresses the ongoing challenges in ICS security and studies potential approaches to enhance the protection of these critical systems against evolving cyber threats.