針對過程控制系統之威脅評估和攻擊偵測模組

Abstract

在這個研究中，我們針對過程控制系統（Process Control System）的安全性進行分析。在假設控制器有足夠自保能力的情況下，我們先試著分析並找出系統中最弱、最關鍵的傳感器節點（sensor nodes）。這些節點在遇到入侵攻擊時，會對系統運轉產生影響，並可能造成系統無法正常運作或引起重大危害。我們在這篇論文中的主要貢獻有：一、提出傳感器攻擊模型，以模擬各種完整性攻擊；二、以化學反應爐作為實驗平台，透過一連串的實驗，探討傳感器攻擊對系統效能產生的影響；三、找出防禦行為之間的重大關聯性，並據此建構出以模型為基底之異常偵測模組（Anomaly Detection Module）。此偵測模組可以透過參數的調整，找出最佳的偵測時間與錯誤警報率，使異常偵測模組能夠精確地應用於不同控制系統中。我們同時透過實驗，證明當傳感器遭受到攻擊時，本論文中所提出的異常偵測模組仍能有效地維持系統運作的穩定度與安全度。此外，考慮到攻擊者可能已經洞察或熟悉偵測機制和系統控制的情況，攻擊者可以發動隱密性攻擊（stealthy attack）以躲避異常偵測模組，因此，本研究亦針對隱密性攻擊可能對系統造成的影響加以實驗、分析與討論。本研究結果證實所提出的異常偵測模組可以有效的防禦針對過程控制系統的完整性攻擊與隱密性攻擊，確保整體系統的正常運作。

We present security analysis of process control systems (PCS) when an attacker can compromise sensor measurements that are critical for maintaining the operational goals. We present the general sensor attack model that can represent a wide variety of integrity attacks. By taking example of a well studied process control system, we discuss the consequences of sensor attacks on the performance of the system and important implications for designing defense actions. We develop model-based detection methods that can be tuned to limit the false-alarm rates while detecting a large class of sensor attacks. From the attacker's viewpoint, we show that when the detection mechanisms and control system operations are understood by the attacker, it can carry stealth attacks that maximize the chance of missed detection. From the defender's viewpoint, we show that when an attack is detected, the use of model-based outputs maintains safety under compromised sensor measurements.