Sistem fisik Cyber (CPS) adalah skala besar, secara geografis, federasi,
heterogen, sistem kritis kehidupan yang terdiri sensor, aktuator dan kontrol
dan komponen jaringan. Responden pertama sistem kesadaran situasional,
meresap sistem perawatan kesehatan, smart grid dan sistem pesawat tak
berawak adalah beberapa contoh dari CPS. Sistem ini memiliki beberapa loop
kontrol, persyaratan waktu yang ketat, diprediksi jaringan lalu lintas fi c,
komponen warisan dan jaringan nirkabel mungkin segmen. CPS sekering
maya (yang terdiri komponen jaringan dan server komoditas) dan fisik (yang
terdiri dari sensor dan aktuator) domain.
Model serangan untuk CPS meliputi serangan durasi pendek dan panjang.
Sebuah sembrono
musuh bisa masuk jaringan dan segera mengganggu proses yang
bersangkutan untuk menyebabkan bencana. Di sisi lain, musuh yang lebih
canggih mungkin mengurus untuk tidak mengganggu operasi sistem normal
dalam rangka untuk menyebarkan dan mendirikan didistribusikan Serangan
diluncurkan pada satu titik waktu. Ini adalah merek serangan Stuxnet
digunakan [Keizer 2010; Stuxnet 2013]. Untuk alasan ini, kecepatan deteksi
(detection latency) adalah kuncinya Tantangan dalam CPS sistem deteksi
intrusi (IDS) desain. Fokus untuk CPS IDS desain memanfaatkan sifat-sifat
mereka yang unik dan mendeteksi serangan yang tidak dikenal. Ini survei
kertas prinsip desain IDS dan teknik untuk CPS. Khususnya, kami
mengklasifikasikan ada teknik CPS IDS dalam literatur, mendiskusikan
manfaat dan kelemahan, meringkas kekuatan dan kelemahan dalam
penelitian deteksi intrusi dan menyarankan daerah penelitian di masa depan.
Sisa kertas ini disusun sebagai berikut: Bagian 2 membahas inti fungsi
deteksi intrusi di CPS. Bagian 3 menyediakan pohon klasifikasi untuk
mengorganisir protokol CPS IDS yang ada dan menjelaskan dimensi
digunakan untuk CPS IDS klasifikasi. Bagian 4 survei literatur intrusion
detection CPS dan es fi klasifikasi ada IDS teknik CPS dikelompokkan dengan
domain aplikasi. Dalam Bagian 5, kita terlebih dahulu meringkas keuntungan
dan kelemahan dari teknik dan paling CPS IDS yang ada dan setidaknya
mempelajari teknik CPS IDS dalam literatur. Kemudian kami memberikan
wawasan pada efektivitas teknik IDS sebagai berlaku untuk CPS dan
mengidentifikasi kesenjangan penelitian yang layak upaya penelitian lebih
lanjut. Bagian 6 menyajikan kesimpulan kami dan menyarankan arah
penelitian masa depan.
gagal jika periode mereka lebih panjang dari yang diharapkan. Teknik kontrol
otomatis
dapat
mengatasi
kehandalan
CPS.
Namun,
keamanan
membutuhkan langkah-langkah yang berbeda dari kehandalan. Selain itu,
node dikompromikan mungkin berkolusi untuk mencegah atau mengganggu
CPS fungsi. Sebuah efektif namun energi e fi sien IDS sangat menarik untuk
mendeteksi dan mengusir node dikompromikan dari CPS yang gagal dapat
menyebabkan konsekuensi yang mengerikan.
yang
membedakan
dari
Deteksi
CPS
fitur. Desain penulis 'tampil buruk (42,7% p fn , 45,1% pfp) Terhadap ulangan
serangan, tetapi jauh lebih baik terhadap Man-In-The-Tengah (MITM) (0-8,9%
pfp) dan Denial of Service (DoS) (0-2,0% p fn, 0-8,2% pfp) Serangan. Gao et al.
menggunakan empiris dataset yang dihasilkan oleh testbed MSU SCADA. Para
penulis mensintesis serangan dengan menggunakan enam spesifikasi-modi
untuk pembacaan ketinggian air di dataset: ketinggian air negatif, ketinggian
air di atas HH set point, ketinggian air di atas H set point tetapi di bawah HH
set point, Tingkat air di bawah L set point tetapi di atas LL set point,
ketinggian air di bawah LL set point dan nilai ketinggian air acak. Sensor
audit desain dan data aktuator (air pembacaan tingkat dan pengaturan
dan Mahoney dan Chan mempelajari topik yang sama di [Mahoney dan Chan
2003]. Model ancaman adalah canggih: Ini terdiri DoS, U2R, R2L dan
serangan menyelidik. Investigasi ini tidak mempertimbangkan hardware
warisan. Makalah ini membahas salah satu aspek unik CPS. Asfaw dkk.
[Asfaw dkk. 2010] mempelajari IDS berbasis perilaku untuk CPS medis.
Penulis mengusulkan desain didistribusikan di mana perangkat mobile
mengumpulkan data yang mereka meneruskan ke server audit yang
terpusat. Log audit yang terdiri dari data lokasi dan Akses rekam medis.
Mereka Klasifikasi Berdasarkan Association (CBA) adalah algoritma artefak
kunci dan terdiri dari dua bagian: Aturan Generator (CBA-RG) dan Klasi fi er
Builder (CBA-CB). Mereka tidak melaporkan negatif palsu probabilitas p fn atau
palsu probabilitas positif pfp. Asfaw dkk. digunakan rekaman empiris 20 yang
normal catatan dari satu pengguna sebagai dataset mereka. Karena penulis
dianggap dataset bebas dari perilaku, ini menjelaskan kurangnya hasil
negatif palsu. Juga, ini dataset adalah fi terlalu kecil (20 catatan) dan spesifik
c (satu user) untuk menjadi berguna. Model ancaman adalah wajar: Para
penulis hanya mempertimbangkan mantan serangan infiltrasi. Investigasi ini
tidak mempertimbangkan hardware warisan. Tulisan ini tidak membahas
salah satu yang unik aspek CPS.
Bigham dkk. [Bigham dkk. 2003] belajar IDS untuk utilitas pintar (listrik)
aplikasi yang menunjukkan kontrol menjanjikan deteksi dan tingkat negatif
palsu. Para penulis yang dihasilkan dataset dengan menghitung jumlah
beban sistem untuk jaringan enam bus untuk setiap jam lebih satu tahun.
Untuk mensintesis data abnormal, mereka diperkenalkan antara satu dan 44
kesalahan dalam beberapa bacaan jam. Kesalahan ini termasuk mengubah
tanda, bergerak radix dan mengubah salah satu digit pembacaan: Ini
membentuk model serangan canggih. Investigasi ini menganggap hardware
warisan dengan berurusan dengan infrastruktur kota yang keras dan
perangkat lunak yang serti fi ed untuk keselamatan dan kehandalan. Makalah
ini membahas salah satu aspek yang unik dari CPS. IDS otomotif di [Mitchell
dan Chen 2011; 2013d; 2013c] yang mengandalkan suara adalah salah satu
contoh penggunaan hasil deteksi perilaku dalam konteks multitrust. Satu
Kelemahan dari penelitian ini adalah kurangnya simulasi untuk memvalidasi
model probabilitas. Mitchell dan Chen menggunakan Stochastic Petri Net
(SPN) teknik pemodelan [Chen dan Wang 1996b; 1996a; Chen et al. 1998; Gu
dan Chen 2005; Li dan Chen 2011] untuk menghasilkan dataset untuk
analisis mereka. Model ancaman canggih: Ini mempertimbangkan manipulasi
data, spoo fi ng, fitnah, suara stuf fi ng dan simpul menangkap serangan
sembrono,
acak
dan
berbahaya
musuh.
Penyelidikan
ini
tidak
mempertimbangkan warisan hardware. Makalah ini membahas salah satu
aspek yang unik dari CPS. Lauf dkk. [Lauf dkk. 2010] mengusulkan
pendekatan berbasis perilaku untuk IDS untuk kedirgantaraan aplikasi
disebut hibrida. Ini terdiri dari dua metode deteksi intrusi: Maxima Detection
System (MDS) dan Cross-korelatif Detection System (CCD). Secara khusus,
kedua pendekatan semi-diawasi menggabungkan dalam tiga tahap
operasional: MDS pelatihan, pengujian MDS / pelatihan CCD dan CCD
pengujian. MDS mendeteksi penyusup tunggal setelah fase pelatihan singkat
dan melakukan fase pelatihan mendalam untuk CCD. CCD dapat mendeteksi
bekerja sama penyusup setelah fase pelatihan lagi disediakan oleh MDS. Para
normal dan 30% untuk data testing. Penulis menggunakan random generasi
dan waktu-pergeseran untuk benih data pengujian dengan artefak yang
abnormal. The model ancaman canggih: Ini terdiri serangan replay.
Investigasi ini menganggap warisan hardware dengan berurusan dengan
peralatan medis yang keras dan perangkat lunak yang serti fi kasi untuk
keamanan dan kehandalan. Makalah ini membahas dua aspek yang unik dari
CPS. Bellettini dan Rrushi [Bellettini dan Rrushi 2008] belajar IDS untuk
utilitas pintar (kekuasaan) aplikasi yang biji tumpukan runtime dengan
panggilan NULL, berlaku shuf fl e operasi dan berkinerja deteksi
menggunakan mesin produk. Para penulis membawa mereka belajar melalui
penerapan pada mikroprosesor ARM menjalankan Linux dengan tumpukan
Modbus. Bellettini dan Rrushi menggunakan pendekatan semi-diawasi. Selagi
penulis tidak melaporkan negatif palsu probabilitas p fn atau probabilitas positif
palsu pfp, Mereka melaporkan penalti runtime 6% untuk target
diinstrumentasi. Bellettini dan Rrushi membuat dataset mereka secara
empiris menggunakan testbed eksperimental. Ancaman model canggih:
Disuntik shellcode mendirikan penempatan persisten (nakal perpustakaan)
serangan. Investigasi ini menganggap hardware warisan dengan berurusan
dengan Modbus lalu lintas fi c dari perangkat berbasis ARM. Makalah ini
membahas dua aspek yang unik dari CPS.
Sementara Killourhy dan maxion [Killourhy dan maxion 2010] tidak
mempelajari fi spesifik c IDS, mereka melakukan analisis yang sangat ketat
dari dampak beberapa parameter pada kinerja detektor anomali yang
mengaudit data keystroke. Anomali ini detektor tidak spesifik untuk CPS,
tetapi mereka dapat digunakan sebagai perilaku berbasis IDS yang
menggunakan audit berbasis host diterapkan untuk menghadiri node CPS.
Para penulis mengusulkan enam parameter kandidat: algoritma deteksi,
durasi pelatihan, set fitur, memperbarui strategi, praktek penipu dan
pengetik-to-pengetik variasi. Algoritma deteksi mereka mempertimbangkan
adalah: Tetangga terdekat (Mahalanobis), outlier Hitungan (z-score) dan
Manhattan (skala). Praktek penipu dapat berhubungan dengan skenario
serangan CPS mana musuh telah surveilled target dan memiliki rekaman sesi
sah. Pengetik-to-pengetik variasi dapat berhubungan dengan skenario CPS
mana subjek memiliki pengguna atau proses yang menyimpang dari satu
sama lain untuk tingkat yang lebih besar atau lebih kecil. Killourhy dan
maxion digunakan dibatasi maksimum likelihood (REML) estimasi untuk
menentukan bahwa algoritma deteksi, durasi pelatihan dan strategi
memperbarui paling kuat memengaruhi kinerja deteksi anomali. Penulis
menggunakan dataset dari studi sebelumnya [Killourhy dan maxion 2009]
yang diproduksi oleh 51 subyek mengetik password sepuluh karakter 400
kali. Model serangan canggih: Penyerang memiliki kesempatan untuk berlatih
menyamar sebagai pengguna yang sah. Penyelidikan ini tidak
mempertimbangkan warisan hardware. Makalah ini membahas salah satu
aspek yang unik dari CPS.
4.2. Perilaku / Jaringan
Linda dkk. [Linda dkk. 2009] mempelajari IDS semi-diawasi untuk utilitas
pintar (power) aplikasi yang disebut Intrusion Detection System
menggunakan Neural Network berdasarkan Modeling (IDS-NNM). IDS-NNM
Shin et al. [Shin et al. 2010] menyajikan perpanjangan teknik WSN yang ada
dengan menggunakan satu pengelompokan hop untuk aplikasi SCADA; dalam
sebuah cluster satu hop setiap anggota jatuh dalam jangkauan radio dari
kepala klaster. Mereka menggabungkan satu pengelompokan hop untuk
efektif deteksi intrusi ("kedua" pengelompokan) dengan pengelompokan
multi-hop untuk e fi sien Data agregasi (yang "pertama" pengelompokan)
menjadi dua tingkat pengelompokan pendekatan hirarki untuk keseimbangan
antara keamanan dan efisiensi. Hal ini menghasilkan hirarki empat lapisan:
Node anggota (MN) adalah daun, kepala cluster (CH) mengelola MNs,
gateway bundel cluster dan base station adalah akar dari hirarki. Peran-peran
yang berbeda menganalisis data audit dengan cara yang sama, tetapi
mereka merespon secara berbeda. Pendekatan heterogen ini memiliki
keuntungan dari meminimalkan masalah kepercayaan; yang CHs perlu
membangun kepercayaan sementara MNs tidak. Mereka menunjukkan bahwa
satu pengelompokan hop adalah sangat efektif ketika mendeteksi serangan
ng spoo fi. Salah satu kekuatan dari penelitian ini adalah hasil numerik;
penulis melaporkan tingkat deteksi untuk jamming, spoofing, halo flooding,
manipulasi data, greyhole, menguping, routing dan serangan sinkhole: ni
merupakan model serangan canggih. Salah satu kelemahan dari penelitian ini
adalah hasilnya saling bertentangan; misalnya, mereka mengklaim 25 tingkat deteksi 43% untuk serangan spoo fi ng dalam Tabel merangkum
tingkat deteksi rata-rata dan 60 - tingkat deteksi 100% untuk spoofing
serangan dalam angka fi yang plot tingkat deteksi rata sebagai fungsi dari
jumlah hop. The solusi yang diusulkan adalah tambal sulam dari teknik
deteksi ditetapkan sebelumnya, dan penulis tidak menggunakan uni dataset
fi ed tunggal untuk menguji semua teknik bekerja sama. Penyelidikan ini
tidak mempertimbangkan hardware warisan. Makalah ini membahas salah
satu aspek unik dari CPS.
Verba dan Milvich [Verba dan Milvich 2008] belajar IDS untuk utilitas pintar
(kekuasaan) aplikasi yang mengambil multitrust pendekatan hybrid yang
menggunakan networkbased audit. Model serangan penulis termasuk fuzzing
dan MITM: Ini membentuk model serangan canggih. Salah satu kelemahan
dari penelitian ini adalah kurangnya hasil numerik. Tidak ada dataset yang
terlibat dalam penelitian ini. Sensor audit desain dan data aktuator dan
menganggap hardware warisan. Makalah ini membahas tiga aspek unik CPS.
4.4. Pengetahuan / Host
Oman dan Phillips [Oman dan Phillips 2007] belajar IDS untuk utilitas pintar
(listrik) aplikasi yang mengubah data yang dikumpulkan dalam extensible
markup language (XML) Format mendengus [Snort 2012] tanda tangan di
laboratorium distribusi listrik. Salah satu kelemahan dari penelitian ini adalah
kurangnya hasil numerik. Para penulis Audit Login rincian (waktu, sumber,
sukses dan frekuensi), administrasi password, con fi gurasi manajemen
(perangkat lunak dan pengaturan) dan eskalasi hak istimewa. Tak satu pun
dari item ini secara unik terhubung ke aplikasi jaringan listrik. Oman dan
Phillips membuat mereka dataset secara empiris menggunakan testbed
eksperimental. Para penulis tidak membahas model serangan. Investigasi ini
menganggap hardware warisan. Makalah ini membahas salah satu aspek
yang unik dari CPS.
aturan yang menentukan apakah CPS dalam keadaan yang tidak aman
(fungsi analisis dari Bagian 2.2). Carcano dkk. membuat dataset mereka
secara empiris menggunakan testbed eksperimental oleh perintah
pengiriman Modbus pada 2 Hz. Penulis membuat komponen yang abnormal
oleh mengirimkan serangkaian 10 perintah yang mencoba untuk melakukan
write valid untuk satu mendaftar dan 2 perintah yang mencoba untuk
melakukan write valid untuk bank dari kumparan (single-bit output fisik).
Audit desain sensor dan aktuator data. Model serangan canggih: Urutan
perintah SCADA yang sah membentuk jelly serangan ikan. Ini Penyelidikan
menganggap hardware warisan oleh berurusan dengan Modbus node.
makalah ini alamat tiga aspek yang unik dari CPS.
Cheung et al. [Cheung et al. 2007] mempelajari fi IDS berbasis kation
perilaku-spesifik yang menggunakan Prototype Veri fi kasi System (PVS)
untuk mengubah protokol, komunikasi pola dan ketersediaan layanan
spesifikasi-spesifikasi ke dalam format yang kompatibel dengan EMERALD
dan Snort. Para penulis mengaudit medan paket Modbus. Secara khusus,
mereka memastikan medan individu berada dalam jangkauan (misalnya, 0127 berlaku untuk satu byte lapangan tapi 128-255 tidak) dan hubungan
antara medan yang diawetkan (misalnya, lapangan 0 kurang
dari lapangan 1). Salah satu kelemahan dari penelitian ini adalah kurangnya
hasil numerik. Cheung et al. menggunakan dataset empiris yang dihasilkan
oleh SNL SCADA testbed. Audit desain sensor dan aktuator data. Model
ancaman canggih: Sebuah serangan multistage menembus jaringan
perusahaan Internet-menghadap, merambat ke DMZ, terus dengan Process
Control Network (PCN), probe PCN untuk belajar topografi dan menyerang
Modbus node. Investigasi ini menganggap hardware warisan dengan
berurusan dengan Node Modbus. Makalah ini membahas tiga aspek yang
unik dari CPS.
5. PEMBELAJARAN
Pada bagian ini, kita membahas pelajaran. Kami pertama-tama meringkas
keuntungan dan kelemahan dari teknik CPS IDS yang ada di pilihan masingmasing dimensi desain, seperti dibuktikan dengan paling dan paling dipelajari
teknik CPS IDS dalam literatur. Kemudian kami memberikan wawasan tentang
Kelemahan
audit
berbasis
jaringan
adalah
visibilitas
node
berdasarkan pada dua dimensi desain klasifikasi pohon: teknik deteksi dan
materi audit, sebagai berikut:
(1) Teknik Deteksi: desain berbasis pengetahuan tidak efektif untuk CPS pada
mereka sendiri. Mereka membawa persyaratan penyimpanan yang besar
yang warisan hardware atau skala mungkin menghalangi. Desain berbasis
pengetahuan memerlukan update kamus sering di memesan untuk
melindungi sumber daya terhadap ancaman terbaru; penyebaran tanpa
pengawasan atau serti fi kasi gurations con fi melarang ini. Bahkan jika
kamus serangan segar mungkin, desain ini tidak mampu menemukan
serangan yang tidak diketahui sehingga meninggalkan infrastruktur penting
rentan. Namun, tanda tangan setelah dikembangkan mereka adalah metode
yang efisien paling untuk mendeteksi serangan untuk sumber daya terbatas
perangkat umum untuk CPS, dan bahkan serangan kamus basi dapat
mendeteksi beberapa serangan. Ketika digunakan, metode berbasis
pengetahuan harus dipasangkan dengan pelengkap Metode. Desain berbasis
perilaku yang lebih efektif daripada yang lain untuk highlyredundant CPS
dengan marjin prosesor yang cukup. Sangat-berlebihan CPS bisa mentolerir
penggusuran salah disebabkan oleh tingkat positif palsu tinggi behaviorbased
IDS karena node cadangan mengimbangi tingkat penggusuran agresif. Cukup
Margin prosesor memungkinkan komputasi-intensif teknik data mining untuk
menjalankan tanpa mempengaruhi kemampuan misi CPS. Fi desain berbasis
kation perilaku-spesifik lebih efektif daripada yang lain untuk sebagian CPS:
Saluran kelangkaan melakukan tidak mengakomodasi update kamus terkait
dengan desain berbasis pengetahuan. Selanjutnya, kendala penyimpanan
akan membatasi ukuran kamus serangan. Sementara kedua fi kasi dan
perilaku berbasis desain perilaku-spesifik dapat menangani serangan tidak
diketahui, fi desain berbasis kation perilaku-spesifik memiliki positif palsu
lebih rendah tarif dari desain perilaku berbasis pada umumnya.
(2) Audit Bahan: desain jaringan berbasis efektif untuk CPS dengan nirkabel
segmen karena CPS ini menyediakan fitur yang tidak hadir dalam wireline
yang lingkungan seperti RSSI dan rasio (SNR) signal-to-noise. Sebagai contoh,
sebuah IDS dapat memeriksa bahwa parameter ini tidak berubah sama sekali
untuk node stasioner atau perubahan sesuai dengan gerak untuk mobile
node. Berbasis host audit efektif untuk CPS tanpa pengawasan: otomatis
operasi akan mengakibatkan stabil pro fi les sementara manusia dalam
lingkaran akan menghasilkan menentu dataset normal. Sementara tertentu
CPS mungkin mendukung satu atau yang lain, baik jaringan dan desain
berbasis host yang penting dari perspektif deteksi serangan ketika ada baik
jaringan dan host serangan sentris. The musuh memilih vektor serangan;
"Musuh memiliki suara" sebagai ghters perang fi mengatakan. Peralatan
keamanan harus mengatur pertahanan mereka didasarkan pada model
ancaman dan bukan hanya berdasarkan pada apa yang nyaman.
5.4. Meninjau kembali IDS Teknik dan Kesenjangan dalam Penelitian
CPS IDS
Pada bagian ini kita mengidentifikasi kesenjangan penelitian tetap dan layak
lanjut upaya penelitian. Kami mendukung temuan ini dengan tren diamati
pada Tabel II-VI.
Tabel VI menunjukkan bahwa ada karya lebih yang ada pada IDS ditargetkan
untuk cerdas utilitas daripada ada untuk SCADA, medis, aerospace dan
aplikasi otomotif dikombinasikan. Namun, lebih dari setengah (11 dari 18)
dari penelitian utilitas berfokus pintar tidak menyediakan data kinerja. Jelas,
fokus ini adalah area penelitian aktif sekarang, tapi ada kesenjangan ketika
datang ke hasil numerik.
Ada lebih bekerja pada CPS IDS yang menggunakan deteksi perilaku berbasis
(termasuk perilaku-spesifik deteksi berbasis kation) dari deteksi berbasis
pengetahuan menurut Tabel VI. Kami atribut perbedaan ini untuk menyerang
kecanggihan dan probabilitas tinggi serangan zero-day untuk CPS, rendering
pendekatan berbasis pengetahuan tidak efektif dan penggunaan perilaku
berbasis pendekatan kebutuhan untuk mencapai tingkat yang mencukupi
keamanan. Tetap sebagai tantangan untuk dapat sepenuhnya mendefinisikan
semua perubahan lingkungan yang mungkin dan memasukkan hukum fisika
untuk mendefinisikan perilaku yang dapat diterima terhadap lingkungan
perubahan untuk intrusi berbasis perilaku. Ada pendekatan berbasis perilaku
tidak mungkin yang paling efektif karena mungkin ada kasus hilang. Deteksi
perilaku berbasis berdasarkan spesifik aturan fi kasi, di sisi lain, muncul dan,
dengan cara teknik kation-spesifikasi, memiliki potensi untuk sepenuhnya
menentukan interaksi antara komponen fisik dan lingkungan CPS, diatur oleh
proses fisik balik perilakunya. Namun, sebagian besar penyelidikan memiliki
sempit atau sakit-didefinisikan model serangan. Misalnya, serangan replay
tampaknya menantang perilaku-spesifik cationbased IDS. Studi baru harus
mengikat model serangan ke repositori standar kerentanan seperti database
CVE. Kekokohan model serangan bisa diukur dalam hal cakupan CVE.
Tabel VI menunjukkan bahwa telah terjadi penekanan yang sama pada host
dan jaringan berbasis audit untuk deteksi intrusi CPS. Masing-masing adalah
spesifik untuk salah satu dari segelintir warisan protokol seperti CAN [ISO
11898 2003], DNP3 [DNP3 2010] atau Modbus [Modbus Aplikasi 2012;
Modbus Messaging 2006]. Fi kota tertentu ini membatasi relevansi IDS ini
dalam hal waktu dan ruang lingkup. Tabel V menunjukkan bahwa kelemahan
host berbasis audit menampung pelaku dengan tidak menentu pro fi les.
Sebuah pertanyaan terbuka terkait adalah bagaimana untuk mengidentifikasi
menentu tapi baik node dan menerapkan alternatif bentuk IDS kepada
mereka. Tabel V juga menunjukkan bahwa kelemahan audit berbasis jaringan
adalah bahwa efektivitas adalah dibatasi oleh visibilitas node mengumpulkan
bahan audit. Mengatasi kelemahan ini adalah kesenjangan penting dalam
literatur.
Empat aspek CPS berdampak unik deteksi intrusi: proses fisik pemantauan,
ditutup loop kontrol, serangan kecanggihan dan teknologi warisan. Sebagai
ditunjukkan pada Tabel VI, dari 28 studi kami survei, 20 teknologi warisan
dipertimbangkan, 17 dianggap sebagai model serangan canggih, 11
dianggap pemantauan proses fisik, dan dua dianggap loop kontrol tertutup.
Tidak ada dianggap semua. Jelas ada kurangnya Teknik CPS IDS yang secara
khusus mempertimbangkan aspek-aspek yang unik sebagian besar atau
semua CPS yang membedakan CPS dari sistem ICT.
6. WILAYAH PENELITIAN DEPAN
menghindari banyak digunakan IDS. IDS lapisan aplikasi Audit Data fokus
pada mendeteksi musuh di mana mereka harus mengungkapkan diri untuk
menyerang sistem.
Kelima, model berbasis teknik analisis seperti [Cho et al. 2010; Al-Hamadi
dan Chen 2013; Mitchell dan Chen 2011; 2013d; 2013c] perlu untuk
dikembangkan dan divalidasi untuk menganalisis kinerja protokol CPS IDS
dan mengidentifikasi protokol CPS IDS optimal pengaturan untuk
memaksimalkan kinerja CPS IDS berdasarkan metrik kinerja didefinisikan.
Item konfigurasi con fi (misalnya, jumlah detektor intrusi, selang audit dan
deteksi threshold) berdampak deteksi dan palsu tingkat positif dari IDS dan
umur panjang CPS secara keseluruhan. Peneliti harus mengidentifikasi
parameter yang memiliki lokal maksimum dan parameter yang kovarian.
Mereka harus menetapkan heuristik untuk menemukan nilai optimal untuk
mantan set dan persamaan yang mencirikan tradeoff untuk set kedua. Untuk
tujuan ini, ditutup model matematika bentuk adalah alat terbaik. Dalam
ketidakhadiran mereka, peneliti harus membentuk model analitis. Selain itu,
mereka harus simulasi instrumen untuk memvalidasi model analitis.
Keenam, tidak semua musuh berperilaku sama, sehingga peneliti harus
mengidentifikasi penyerang model. Karakteristik utama meliputi perilaku
(mempertimbangkan waktu, tingkat kolusi dan kecanggihan) dan tingkat
menangkap. Literatur tipis pada pemodelan musuh [Mitchell dan Chen
2013c]. Ada kebutuhan untuk pemodelan dan analisis musuh perilaku dan
deteksi intrusi pertahanan untuk CPS.
Ketujuh, deteksi berbasis kation fi perilaku-spesifik layak penelitian lebih
lanjut perhatian. Teknik deteksi berbasis pengetahuan mungkin tidak layak
untuk banyak aplikasi CPS karena mereka tidak dapat mendeteksi serangan
yang tidak dikenal. Teknik deteksi perilaku berbasis mungkin tidak layak
karena tingkat positif palsu yang tinggi. Namun, lebih banyak usaha adalah
diperlukan untuk lebih re fi ne teknik pemantauan ambang ditambah dengan
perilaku- spesifik kasi berbasis deteksi. Secara khusus, karya yang ada
[Mitchell dan Chen 2012b; 2012a] menggunakan ambang kegagalan biner
untuk mengklasifikasikan sebuah node sebagai berbahaya atau normal,
yaitu, berdasarkan tingkat kepatuhan jika node saat ini adalah lebih rendah
atau lebih tinggi dari ambang batas. Kriteria ambang kegagalan lainnya
berdasarkan kriteria kegagalan kabur [Bastani et al. 1994; Chen dan Bastani
1991; Chen et al. 1995] mungkin terbukti lebih efektif terhadap kebisingan
lingkungan dan / atau penyerang cerdas. Mengidentifikasi lingkungan
variabel, mendefinisikan perubahan lingkungan dalam hal perubahan variabel
lingkungan dan menggabungkan hukum fisika untuk mendefinisikan perilaku
yang dapat diterima terhadap lingkungan Perubahan tersebut tonggak
penting dalam baris ini penyelidikan.
Kedelapan, peneliti harus mengejar tanggapan disesuaikan dengan
penyerang perilaku. The Tanggapan intrusi terbaik adalah situasional: Jika
musuh adalah terus-menerus, mengusir mereka adalah prioritas. Jika musuh
bersifat sementara, memperbaiki sistem adalah prioritas. Jika musuh tidak
efektif, membangun atribusi atas serangan itu adalah prioritas. Peneliti harus
mempelajari respon proaktif: Sebuah CPS yang benar-benar tergantung pada