PENGANTAR

Sistem fisik Cyber (CPS) adalah skala besar, secara geografis, federasi,
heterogen, sistem kritis kehidupan yang terdiri sensor, aktuator dan kontrol
dan komponen jaringan. Responden pertama sistem kesadaran situasional,
meresap sistem perawatan kesehatan, smart grid dan sistem pesawat tak
berawak adalah beberapa contoh dari CPS. Sistem ini memiliki beberapa loop
kontrol, persyaratan waktu yang ketat, diprediksi jaringan lalu lintas fi c,
komponen warisan dan jaringan nirkabel mungkin segmen. CPS sekering
maya (yang terdiri komponen jaringan dan server komoditas) dan fisik (yang
terdiri dari sensor dan aktuator) domain.
Model serangan untuk CPS meliputi serangan durasi pendek dan panjang.
Sebuah sembrono
musuh bisa masuk jaringan dan segera mengganggu proses yang
bersangkutan untuk menyebabkan bencana. Di sisi lain, musuh yang lebih
canggih mungkin mengurus untuk tidak mengganggu operasi sistem normal
dalam rangka untuk menyebarkan dan mendirikan didistribusikan Serangan
diluncurkan pada satu titik waktu. Ini adalah merek serangan Stuxnet
digunakan [Keizer 2010; Stuxnet 2013]. Untuk alasan ini, kecepatan deteksi
(detection latency) adalah kuncinya Tantangan dalam CPS sistem deteksi
intrusi (IDS) desain. Fokus untuk CPS IDS desain memanfaatkan sifat-sifat
mereka yang unik dan mendeteksi serangan yang tidak dikenal. Ini survei
kertas prinsip desain IDS dan teknik untuk CPS. Khususnya, kami
mengklasifikasikan ada teknik CPS IDS dalam literatur, mendiskusikan
manfaat dan kelemahan, meringkas kekuatan dan kelemahan dalam
penelitian deteksi intrusi dan menyarankan daerah penelitian di masa depan.
Sisa kertas ini disusun sebagai berikut: Bagian 2 membahas inti fungsi
deteksi intrusi di CPS. Bagian 3 menyediakan pohon klasifikasi untuk
mengorganisir protokol CPS IDS yang ada dan menjelaskan dimensi
digunakan untuk CPS IDS klasifikasi. Bagian 4 survei literatur intrusion
detection CPS dan es fi klasifikasi ada IDS teknik CPS dikelompokkan dengan
domain aplikasi. Dalam Bagian 5, kita terlebih dahulu meringkas keuntungan
dan kelemahan dari teknik dan paling CPS IDS yang ada dan setidaknya
mempelajari teknik CPS IDS dalam literatur. Kemudian kami memberikan
wawasan pada efektivitas teknik IDS sebagai berlaku untuk CPS dan
mengidentifikasi kesenjangan penelitian yang layak upaya penelitian lebih
lanjut. Bagian 6 menyajikan kesimpulan kami dan menyarankan arah
penelitian masa depan.

Mengamankan CPS telah muncul sebagai bunga kritis semua pemerintah.

Literatur juga mengacu pada CPS sebagai Sistem Pengendalian Terdistribusi
(DCS), Kontrol Jaringan System (NCS), Sensor Actuator Network (SAN) atau
Wireless Sensor Network Industri (WISN) [Shin et al. 2010]. Juga, Supervisory
Control And Data Acquisition (SCADA) adalah subkelompok CPS. Fungsi
mereka dalam umum penginderaan (akuisisi) dan aktuasi (kontrol). Sistem ini
mungkin memiliki segmen nirkabel dan heterogen dan geografis. Sistem ini
mungkin federasi, mobile, dihadiri atau benar-benar tidak dapat diakses.
Kantong mendefinisikan tepi segmen sistem federasi. Node yang
mengandung sensor dan aktuator yang disebut Remote Unit Terminal (RTUs),
Perangkat Elektronik Cerdas (IED) atau Programmable Logic Controller (PLC).
RTU dapat mengimplementasikan beberapa fungsi kendali taktis terbatas.
Data Systems Akuisisi (DASS) pembacaan agregat dari RTUs dan beradaptasi
(jembatan atau terowongan) protokol RTU lokal (seperti CAN [ISO 11898
2003], DNP3 [DNP3 2010] atau Modbus [Modbus Messaging 2006; Aplikasi
Modbus 2012]) dengan longhaul yang protokol berbagi dengan pusat kontrol
(seperti TCP). Server pengolahan data mempengaruhi logika bisnis dari CPS;
ini mungkin komputasi kinerja tinggi awan yang memproses dataset besar
yang dihasilkan oleh kelenjar ekonomis. Server Sejarawan mengumpulkan,
menyimpan dan mendistribusikan data dari sensor [Rockwell Automation
Technologies, Inc 2009]. Node yang mengandung kontrol logika dan
memberikan jasa manajemen kepada sebuah Human Machine Interface (HMI)
disebut Guru Terminal Unit (MTU); di kontras dengan RTUs, MTU
mengimplementasikan fungsi strategis kontrol yang luas. Gambar 1
menggambarkan CPS khas menggunakan komponen ini. Masalah CPS umum
adalah: ketersediaan, pengintaian fi gurability, kontrol terdistribusi
(manajemen didistribusikan), real-time operasi (ketepatan waktu), toleransi
kesalahan, skalabilitas, otonomi, kehandalan, keamanan, heterogenitas,
federasi dan geografis dispersi [National Science Foundation 2011].
Ketepatan waktu sangat penting dalam CPS karena situasi dapat berubah
dengan cepat [Chen et al. 2011; Al-Hamadi dan Chen 2013]; loop kontrol

gagal jika periode mereka lebih panjang dari yang diharapkan. Teknik kontrol
otomatis
dapat
mengatasi
kehandalan
CPS.
Namun,
keamanan
membutuhkan langkah-langkah yang berbeda dari kehandalan. Selain itu,
node dikompromikan mungkin berkolusi untuk mencegah atau mengganggu
CPS fungsi. Sebuah efektif namun energi e fi sien IDS sangat menarik untuk
mendeteksi dan mengusir node dikompromikan dari CPS yang gagal dapat
menyebabkan konsekuensi yang mengerikan.

Gambar 2 menggambarkan model abstraksi hirarkis untuk CPS federasi. Saya

t mewakili semua artefak CPS kunci diperkenalkan: kantong-kantong, sensor,
aktuator, RTUs, Dass, MTU, server pengolahan data, server sejarawan, HMIs,
operator dan link komunikasi. RTU terdiri sensor dan aktuator saling
berhubungan melalui lokal jaringan atau bus kecepatan tinggi link. Pada
gilirannya, mereka dikelola oleh DAS yang menjembatani kesenjangan antara
segmen terpencil dan kontrol dengan link nirkabel jarak jauh. Mereka
meningkat data sensor ke server sejarawan dan menerima pesan kontrol dari
MTU. Operator menggunakan HMIs untuk membaca data sensor di sejarawan
colocated dan memanfaatkannya dengan bantuan prosesor data yang
colocated. Beberapa kantong menulis CPS; aturan bisnis yang sangat diteliti
mengatur pertukaran data antara
server sejarawan.
2.2. Inti Fungsi Intrusion Detection
Sebuah CPS IDS mengimplementasikan dua fungsi utama:
Data: memungut mengenai tersangka;
-analyzing Data.
Pengumpulan data adalah proses dimana CPS terakumulasi data audit; hasil
adalah salah satu atau lebih biner atau terbaca-manusia fi les atau database.
Contoh koleksi adalah: sistem penebangan panggilan pada node lokal,
merekam lalu lintas fi c diterima pada jaringan antarmuka dan
mengumpulkan skor reputasi kabar angin. Analisis data adalah proses mana
CPS mengaudit data yang dikumpulkan; hasilnya bisa biner (buruk / baik),

terner (buruk / baik / tidak meyakinkan) atau terus-menerus (antara 0 dan

100% probabilitas buruk). contoh analisis adalah: pencocokan pola, analisis
statistik dan data mining.

2.3. Intrusion Detection Performance Metrics

IDS peneliti secara tradisional menggunakan tiga metrik untuk
mengukur kinerja: false positive Tingkat (FPR), tingkat negatif palsu
(FNR) dan komplemennya, tingkat positif benar (TPR). Sebuah negatif
palsu terjadi ketika IDS misidenti fi es node berbahaya seperti
berkelakuan baik. Literatur mengacu negatif palsu sebagai kegagalan
untuk melaporkan dan mengacu invers dari FNR sebagai kelengkapan.
Di sisi lain, deteksi (positif benar) terjadi ketika IDS dengan benar
mengidentifikasikan node berbahaya. Akhirnya, positif palsu terjadi
ketika IDS misidenti fi es node berperilaku baik sebagai penyusup.
Literatur juga mengacu pada positif palsu sebagai alarm palsu dan
mengacu pada kebalikan dari FPR sebagai akurasi. Dalam literatur, FPR
adalah sama dengan false positive probabilitas pfp , Dan FNR adalah
sama dengan negatif palsu probabilitas pfn fp . Akibatnya TPR = 1
-FNR = 1-pfn. Dalam tulisan ini kita hanya akan menggunakan notasi p fn
dan pfp ke untuk merujuk ke tingkat negatif palsu dan positif palsu
tingkat, masing-masing. Ketika kita perlu mengacu pada tingkat positif
benar kita akan menggunakan akronim TPR. Ini adalah adat untuk
menilai kinerja IDS oleh Karakteristik Receiver Operating (ROC) grafik,
yaitu, tingkat deteksi vs palsu menilai positif rencana. Beberapa
penelitian mencoba untuk membangun metrik baru yang efektif untuk
memperkaya IDS penelitian. Deteksi latency adalah jarang digunakan
tetapi kritis sarana untuk mengukur IDS kinerja [modern ini ad dkk.
2009]. Ini mengukur interval waktu antara musuh menembus sistem
dilindungi (untuk orang dalam) atau awal serangan mereka (untuk
luar) dan IDS mengidentifikasi musuh. Untuk sistem target dengan
sumber daya keterbatasan, konsumsi daya, komunikasi overhead dan
beban prosesor yang metrik penting juga. Paket sampel efisiensi
adalah persentase dianalisis Paket IDS mengidentifikasikan sebagai
berbahaya; ide dasarnya adalah bahwa hal itu boros untuk sampel
banyak paket ketika hanya beberapa memicu deteksi intrusi [Misra et
al. 2010]. Sommer dan Paxson [Sommer dan Paxson 2010] dan
McHugh [McHugh 2000] memberikan wawasan yang luas tentang
bagaimana sulitnya adalah untuk menyediakan pengukuran yang baik
untuk IDS.
2.4. Karakteristik
Intrusion

yang

membedakan

dari

Deteksi

CPS

Intrusion detection CPS membahas komponen fisik tertanam dan fisik

lingkungan dalam CPS, yang di bawah serangan, sifat fisik nyata dan
biasanya memerlukan kontrol loop tertutup untuk bereaksi terhadap

manifestasi fisik dari serangan. Seperti digambarkan pada Tabel I, kami

merangkum empat perbedaan utama antara deteksi intrusi CPS dan
fungsi yang sama untuk Informasi tradisional dan Komunikasi (TIK)
sistem:
Pemantauan proses -Physical (PPM): Sementara IDS ICT dapat
memantau host-atau pada jaringan tingkat pengguna / aktivitas mesin
(misalnya, permintaan HTTP atau web server), sebuah CPS IDS
mengukur sifat fisik. Secara khusus, CPS IDS memonitor fisik proses
(dan karenanya hukum fisika) yang mengatur perilaku perangkat fisik
yang membuat perilaku tertentu lebih mungkin untuk dilihat daripada
yang lain.
Loop kontrol -Closed (CCL): Kegiatan di lingkungan CPS sering otomatis
dan waktu-didorong dalam pengaturan loop tertutup, sehingga
memberikan beberapa keteraturan dan prediktabilitas untuk
pemantauan perilaku. Hal ini sebagai lawan lingkungan ICT di yang
kegiatan-pengguna dipicu, sehingga mengarah ke sangat tinggi positif
palsu.

tarif karena ketidakpastian perilaku pengguna. Prediktabilitas CPS ini

Oleh karena itu kesempatan penelitian untuk meninjau kembali
pendekatan berbasis perilaku. Kecanggihan -Attack (AS): The hadiah
untuk sebuah serangan yang berhasil terhadap CPS adalah substansial.
Dengan membahayakan nyawa ratusan pasien di rumah sakit atau
menyangkal pelayanan kepada jutaan pelanggan utilitas, negara
saingan keuntungan tuas yang kuat untuk mengubah kebijakan bangsa
subjek. Oleh mantan infiltratif dikumpulkan data produk atau rencana
operasional militer subjek atau informasi identitas pribadi (PII) dari
warga sipil, bangsa saingan atau kelompok secara finansial penjahat
termotivasi mencetak sebuah Kemenangan intelijen. The payoff tinggi
akan menyebabkan peningkatan dalam serangan kecanggihan dan
ekstensif menggunakan serangan zero-day (seperti yang telah kita

lihat di Stuxnet). Teknologi -Legacy (LT): Banyak CPS lingkungan

beroperasi dengan hardware warisan yang sulit untuk memodifikasi
atau fisik akses. Banyak komponen fisik di CPS, komponen fisik
terutama warisan berdasarkan kontrol mekanis atau hidrolik, lakukan
tidak perangkat lunak yang diinstal, dan perilaku mereka pada
dasarnya diatur oleh fisik proses. Tantangannya adalah untuk
mengidentifikasi variabel lingkungan, de fi lingkungan ne perubahan
dalam hal perubahan variabel lingkungan dan memasukkan hukum
fisika untuk mendefinisikan perilaku yang dapat diterima pada
perubahan lingkungan. Ini khususnya membuat perilaku-spesifik
deteksi berbasis kation lebih cocok untuk CPS IDS, karena proses fisik
dapat didefinisikan lebih tepat oleh perilaku spesifik kation fi untuk
komponen fisik individu.
3. KLASIFIKASI POHON
Pada bagian ini, kami mengembangkan fi kasi pohon klasifikasi untuk
mengatur yang ada CPS IDS teknik untuk mengidentifikasi kesenjangan
penelitian dalam penelitian CPS IDS berdasarkan taksonomi didirikan
oleh Debar di al. [Debar dkk. 2000]. Gambar 3 menunjukkan pohon
klasifikasi kami didasarkan pada dua dimensi fi kasi klasifikasi:
(1) teknik deteksi: kriteria ini mendefinisikan "apa" perilaku dari fisik
komponen IDS mencari untuk mendeteksi intrusi;
(2) bahan pemeriksaan: kriteria ini mendefinisikan "bagaimana" IDS
mengumpulkan data sebelum data analisis;
Di bawah ini kita membahas setiap klasifikasi dimensi fi kasi secara
rinci.
3.1. Teknik deteksi
Ada teknik deteksi CPS IDS termasuk pengetahuan dan perilaku
berbasis teknik.

3.1.1. Pengetahuan Berbasis Intrusion Detection. Deteksi intrusi

berbasis pengetahuan pendekatan mencari fitur runtime yang cocok
dengan pola yang spesifik dari perilaku [Whitman dan Mattord 2011].
Beberapa sumber menyebut pendekatan ini sebagai deteksi
penyalahgunaan [Han et al. 2002; Foo et al. 2005; Haddadi dan Sarram
2010; Ying et al. 2010], deteksi diawasi [Zhong et al. 2005],
berdasarkan pola-deteksi [Farid Rahman dan 2008] atau penyusup pro
fi ling [White et al. 1996].
Salah satu keuntungan utama dari kategori ini adalah tingkat positif
palsu yang rendah. Dengan definisi, pendekatan ini hanya bereaksi
terhadap perilaku buruk yang dikenal; ide dasarnya adalah sebuah
node yang baik tidak akan menunjukkan tanda tangan serangan.
Kerugian utama dari kategori ini adalah bahwa teknik harus mencari
pola yang spesifik; kamus harus menentukan setiap vektor serangan
dan tinggal saat ini. Tanda tangan serangan dapat menjadi urutan data
univariat: misalnya, byte ditransmisikan pada jaringan, sejarah sistem
panggilan program atau aplikasi-spesifik Informasi fl mengalir
(misalnya, pengukuran sensor). Salah satu kecanggihan adalah untuk
menggabungkan sederhana urutan data ke dalam urutan data
multivariat. Masalah penelitian yang penting dalam deteksi intrusi
berbasis pengetahuan adalah menciptakan serangan kamus yang
efektif. Perlu dicatat bahwa pengetahuan dan berbasis signature
desain tidak identik: Beberapa berbasis pengetahuan IDS tidak
menggunakan implementasi berbasis signature dan beberapa perilaku
berbasis IDS lakukan.

3.1.2. Perilaku Berbasis Intrusion Detection. Deteksi intrusi berbasis

perilaku pendekatan mencari fitur runtime yang luar biasa [Whitman
dan Mattord 2011]. Biasa dapat didefinisikan sehubungan dengan
sejarah tes sinyal (tanpa pengawasan) [Hinton dan Sejnowski 1999]
atau sehubungan dengan koleksi data pelatihan (semi-diawasi)
[Chapelle et al. 2006]. Pendekatan Unsupervised berlatih dengan data
hidup. Clustering adalah contoh tanpa pengawasan pembelajaran
mesin. Pendekatan semi-diawasi berlatih dengan satu set data
kebenaran. Peneliti mengambil yang berbeda pendekatan untuk
diskrit, kontinu dan multivariat dataset. Contoh diskrit dataset yang
angka atau sistem negara keluar; Terpanjang umum subsequence
(LCS) dapat diterapkan untuk data diskrit pada interval sementara
jarak Hamming dapat diterapkan data diskrit seketika [Taman dkk.
2010; Cormen et al. 2001]. Posisi dan data rate adalah contoh dataset
terus menerus; jenis data panggilan untuk sistem ambang batas
karena pertandingan yang sebenarnya akan langka. Contoh dari
dataset multivariat adalah 3-tupel dari posisi, menerima indikasi
kekuatan sinyal (RSSI) dan waktu; mesin pendekatan belajar (misalnya
pemrograman genetik [Gong et al. 2009], clustering [Ni dan Zheng
2007], jaringan saraf [Ali dkk. 2009] dan Bayesian ers dikelompokkan
[Luo 2010]) berguna untuk merek ini data.
Keuntungan utama dari pendekatan berbasis perilaku adalah mereka
tidak mencari sesuatu spesifik. Hal ini menghilangkan kebutuhan untuk
sepenuhnya menentukan semua vektor serangan yang dikenal dan
menjaga ini kamus serangan saat ini. Salah satu kelemahan utama dari
kategori ini adalah kerentanan positif palsu. Kerugian besar lain dari
kategori ini adalah pelatihan / pro fi ling fase, di mana sistem ini
rentan. (Ini hanya berlaku untuk semi-diawasi teknik.) Kami lebih
mengklasifikasikan pendekatan berbasis perilaku menjadi konvensional
statistik
berbasis
pendekatan
dan
metode
non-parametrik.
Pendekatan-statistik berdasarkan konvensional mungkin menguji
apakah pembacaan sensor atau aktuator pengaturan ini dalam
beberapa
jumlah
standar
penyimpangan
dari
rata-rata.
Pengelompokan data dan dukungan mesin vektor (SVMs) adalah
contoh metode non-parametrik [Cortes dan Vapnik 1995]. Sebuah fitur
adalah komponen dataset multivariat (misalnya, waktu mulai, waktu
akhir, sumber data, data tenggelam dan posisi). Ukuran set fitur
adalah indikator kasar dari efisiensi untuk behaviorbased pendekatan;
set fitur yang lebih besar menunjukkan kebutuhan memori yang lebih
besar dan lebih tinggi penggunaan mikroprosesor. Temukan fitur
adalah masalah penelitian kunci dengan berbasis perilakupendekatan: Lebih banyak fitur tidak selalu memberikan hasil yang
lebih baik.
3.1.3. Perilaku-Speci fi kasi Berbasis Intrusion Detection. Berbasis

kation perilaku-spesifik deteksi intrusi [Uppuluri dan Sekar 2001]

adalah varian dari intrusi berbasis perilaku deteksi, seperti yang
ditunjukkan dalam dikelompokkan pohon kasi pada Gambar 3. Kami
membuat berbasis kation behaviorspeci fi Deteksi teknik khas karena
memiliki potensi untuk menjadi teknik yang paling efektif untuk
deteksi intrusi CPS. Berbasis kasi perilaku-spesifik pendekatan deteksi
intrusi resmi de fi perilaku yang sah ne dan mendeteksi intrusi ketika
sistem berangkat dari model ini. Salah satu keunggulan utama dari
behaviorspeci fi kasi berbasis deteksi intrusi adalah tingkat negatif
palsu yang rendah. Hanya situasi yang berangkat dari apa yang
manusia ahli yang sebelumnya didefinisikan sebagai perilaku sistem
yang tepat menghasilkan pendeteksian. Ide dasarnya adalah sebuah
node yang buruk akan mengganggu resmi spesifik kation dari sistem.
Keuntungan lainnya dari intrusi berbasis kation fi perilaku-spesifik
deteksi sistem ini segera efektif karena tidak ada pelatihan / pro fi ling
fase. Kerugian utama dari perilaku-spesifik berbasis kation deteksi
intrusi adalah upaya yang diperlukan untuk menghasilkan spesifik
kation formal. Deteksi intrusi berbasis kation perilaku-spesifik adalah
bentuk perilaku berbasis deteksi intrusi yang tidak memanfaatkan
pengguna, kelompok atau data pro fi ling. Sebagai gantinya, manusia
menentukan perilaku yang sah, dan IDS mengukur perilaku node oleh
deviasi dari spesi fi kasi. Hal ini memungkinkan untuk deteksi intrusi
ringan untuk digunakan di sistem dengan keterbatasan sumber daya
yang parah di mana pengguna, kelompok atau data pro fi ling tidak
mungkin.
3.2. audit Material
Untuk CPS, ada dua cara untuk mengumpulkan data sebelum analisis, yaitu,
tuan rumah dan networkbased audit.
3.2.1. Tuan rumah Berbasis Audit. Banyak IDS [Taman dkk. 2010; Mitchell dan
Chen 2011; 2013d;
2013c; Lauf dkk. 2010; Dia dan Blum 2011; Zhang et al. 2011b; 2011a; Asfaw
dkk.
2010; Carcano dkk. 2011; Zimmer dkk. 2010; Mitchell dan Chen 2012b;
2012a;
2013b; 2013a] bahwa penggunaan berbasis host audit menganalisis log
dikelola oleh sebuah node atau data audit lainnya, seperti fi le rincian sistem,
untuk menentukan apakah itu dikompromikan. Satu Keuntungan utama
menggunakan audit berbasis host didistribusikan kontrol; ini adalah menarik
untuk volume tinggi con fi gurations seperti smart grid. Keuntungan lainnya
menggunakan audit berbasis host adalah kemudahan menentukan /
mendeteksi host-tingkat kenakalan karena satu dapat menerapkan fi baik-de

ned host-spesifik pengetahuan untuk mendeteksi penyusup. Satu besar

Kerugian dari audit berbasis host adalah setiap node harus melakukan
pekerjaan tambahan untuk mengumpulkan, menganalisis jika tidak, data
audit mereka. Hal ini relevan dalam sumber daya terbatas aplikasi seperti
smart grid. Kerugian besar lain dari teknik ini adalah bahwa penyerang
canggih dapat menutupi jejak mereka dengan memodifikasi data audit pada
ditangkap simpul. Kelemahan ketiga dari teknik ini adalah bahwa hal itu
dapat OS atau aplikasi spesifik (tergantung pada konten tertentu dari log).
3.2.2. Jaringan Berbasis Audit. Banyak IDS [Shin et al. 2010; Tsang dan Kwong
2005]
bahwa aktivitas jaringan studi audit berbasis jaringan digunakan untuk
menentukan apakah sebuah node dikompromikan. Audit ini dapat bersifat
umum (misalnya, lalu lintas fi c atau analisis frekuensi) atau protokol-spesifik
(misalnya, dalam inspeksi paket). Kunci keuntungan mengenai sumber daya
manajemen adalah bahwa node individu bebas dari kebutuhan untuk
mempertahankan atau menganalisis log mereka. Kerugian utama mengenai
pengumpulan data adalah bahwa visibilitas dari pengumpulan data audit
node membatasi efektivitas teknik berbasis jaringan. Artinya, itu menantang
untuk mengatur sensor audit berbasis jaringan untuk mendapatkan intrasel
lengkap dan gambar-sel antar aktivitas jaringan.
4. KLASIFIKASI CPS IDS
Keadaan saat ini seni dalam desain CPS IDS adalah awal, dan tidak terlalu
banyak CPS IDS dapat ditemukan dalam literatur. Kami survei 28 CPS IDS
dilaporkan dalam literatur dan mengatur mereka sesuai dengan
dikelompokkan pohon kasi pada Gambar 3. Tujuannya adalah untuk
memeriksa penelitian yang paling dan paling intensif di IDS to date dan
mengidentifikasi penelitian kesenjangan belum dieksplorasi. Kami meringkas
temuan kami dalam Tabel II dan III. Meskipun kamiupaya terbaik, tabel ini
tidak mengandung semua pekerjaan yang tersedia.Untuk membedakan 28
CPS IDS disurvei dalam Tabel II dan III, kami terdaftar unik CPS aspek yang
telah dipertimbangkan oleh setiap CPS IDS di bawah kolom "Aspek CPS,"
sehingga kita dapat membandingkan ini 28 CPS IDS, yaitu, apakah atau tidak
aspek CPS unik memiliki dieksplorasi dalam desain mereka CPS IDS, serta
mengidentifikasi penelitian CPS IDS peluang / tantangan. Dalam Tabel II dan
III, kami kelompok teknik CPS IDS yang ada berdasarkan aplikasi CPS (kolom
2), dan kemudian, untuk setiap aplikasi CPS, kami kelompok Teknik CPS IDS
dalam format bahan deteksi teknik / audit. Kolom "Serangan Type"
memberikan deskripsi dari serangan yang CPS IDS dirancang. The Kolom
"Fitur Audit" memberikan gambaran tentang apa fitur sistem bekerja pada.
Kolom "Dataset Kualitas" menunjukkan kualitas dataset terlibat untuk setiap
CPS IDS disurvei, diukur dengan apakah data yang digunakan untuk

eksperimen adalah sistem nyata data operasional vs simulasi data, dan

apakah data yang digunakan terbuat publik. Bawah di setiap ayat kita
membahas CPS teknik IDS jatuh ke sama kelas secara rinci. Kinerja setiap
CPS IDS dikutip dievaluasi dalam hal pfn dan pfp dilaporkan. Bila mungkin, kita
mengukur kualitas dataset di atas yang Evaluasi itu dilakukan, untuk
memberikan kepada pembaca gambaran tentang keandalan dari hasil yang
dilaporkan
4.1. Perilaku / Host
Gao et al. [Gao et al. 2010] belajar IDS untuk utilitas pintar (air) aplikasi yang
menggunakan tiga tahap kembali propagasi arti fi cial neural network (ANN)
berdasarkan Modbus

fitur. Desain penulis 'tampil buruk (42,7% p fn , 45,1% pfp) Terhadap ulangan
serangan, tetapi jauh lebih baik terhadap Man-In-The-Tengah (MITM) (0-8,9%
pfp) dan Denial of Service (DoS) (0-2,0% p fn, 0-8,2% pfp) Serangan. Gao et al.
menggunakan empiris dataset yang dihasilkan oleh testbed MSU SCADA. Para
penulis mensintesis serangan dengan menggunakan enam spesifikasi-modi
untuk pembacaan ketinggian air di dataset: ketinggian air negatif, ketinggian
air di atas HH set point, ketinggian air di atas H set point tetapi di bawah HH
set point, Tingkat air di bawah L set point tetapi di atas LL set point,
ketinggian air di bawah LL set point dan nilai ketinggian air acak. Sensor
audit desain dan data aktuator (air pembacaan tingkat dan pengaturan

katup, secara khusus). Model ancaman canggih: Ini menganggap replay,

MITM dan serangan DoS. Investigasi ini menganggap hardware warisan

dengan berurusan dengan infrastruktur kota yang prangkat keras dan

perangkat lunak yang sertifikasi untuk keamanan dan kehandalan. Makalah
ini membahas dua aspek yang unik dari CPS. Zhang et al. [Zhang et al.
2011b; 2011a] mengusulkan CLONALG dan AIRS2Parallel untuk tilitas pintar
(listrik) aplikasi. CLONALG adalah tanpa pengawasan, sementara
AIRS2Parallel adalah semi-diawasi. Para penulis melaporkan bahwa CLONALG
memiliki akurasi deteksi antara 80,1% dan 99,7% dan AIRS2Parallel memiliki
akurasi antara 82,1% dan 98,7%, di mana keakuratan deteksi kemungkinan
bahwa IDS diklasifikasikan node benar, dihitung dengan 1 -p fp - pfn. Namun,
[Zhang et al. 2011b; 2011a] tidak memberikan ROC data (dalam hal 1 - p fn vs. pfp grafik). Imunologi mengilhami mereka untuk model kekebalan sistem,
antigen, sel limfosit dan sel-B dalam pendekatan mereka. Studi-studi ini
menggunakan versi alternatif dari Piala KDD dataset 1999 disebut NSL-KDD.
McHugh mempelajari keterbatasan Piala KDD dataset 1999 di [McHugh 2000]

dan Mahoney dan Chan mempelajari topik yang sama di [Mahoney dan Chan
2003]. Model ancaman adalah canggih: Ini terdiri DoS, U2R, R2L dan
serangan menyelidik. Investigasi ini tidak mempertimbangkan hardware
warisan. Makalah ini membahas salah satu aspek unik CPS. Asfaw dkk.
[Asfaw dkk. 2010] mempelajari IDS berbasis perilaku untuk CPS medis.
Penulis mengusulkan desain didistribusikan di mana perangkat mobile
mengumpulkan data yang mereka meneruskan ke server audit yang
terpusat. Log audit yang terdiri dari data lokasi dan Akses rekam medis.
Mereka Klasifikasi Berdasarkan Association (CBA) adalah algoritma artefak
kunci dan terdiri dari dua bagian: Aturan Generator (CBA-RG) dan Klasi fi er
Builder (CBA-CB). Mereka tidak melaporkan negatif palsu probabilitas p fn atau
palsu probabilitas positif pfp. Asfaw dkk. digunakan rekaman empiris 20 yang
normal catatan dari satu pengguna sebagai dataset mereka. Karena penulis
dianggap dataset bebas dari perilaku, ini menjelaskan kurangnya hasil
negatif palsu. Juga, ini dataset adalah fi terlalu kecil (20 catatan) dan spesifik
c (satu user) untuk menjadi berguna. Model ancaman adalah wajar: Para
penulis hanya mempertimbangkan mantan serangan infiltrasi. Investigasi ini
tidak mempertimbangkan hardware warisan. Tulisan ini tidak membahas
salah satu yang unik aspek CPS.
Bigham dkk. [Bigham dkk. 2003] belajar IDS untuk utilitas pintar (listrik)
aplikasi yang menunjukkan kontrol menjanjikan deteksi dan tingkat negatif
palsu. Para penulis yang dihasilkan dataset dengan menghitung jumlah
beban sistem untuk jaringan enam bus untuk setiap jam lebih satu tahun.
Untuk mensintesis data abnormal, mereka diperkenalkan antara satu dan 44
kesalahan dalam beberapa bacaan jam. Kesalahan ini termasuk mengubah
tanda, bergerak radix dan mengubah salah satu digit pembacaan: Ini
membentuk model serangan canggih. Investigasi ini menganggap hardware
warisan dengan berurusan dengan infrastruktur kota yang keras dan
perangkat lunak yang serti fi ed untuk keselamatan dan kehandalan. Makalah
ini membahas salah satu aspek yang unik dari CPS. IDS otomotif di [Mitchell
dan Chen 2011; 2013d; 2013c] yang mengandalkan suara adalah salah satu
contoh penggunaan hasil deteksi perilaku dalam konteks multitrust. Satu
Kelemahan dari penelitian ini adalah kurangnya simulasi untuk memvalidasi
model probabilitas. Mitchell dan Chen menggunakan Stochastic Petri Net
(SPN) teknik pemodelan [Chen dan Wang 1996b; 1996a; Chen et al. 1998; Gu
dan Chen 2005; Li dan Chen 2011] untuk menghasilkan dataset untuk
analisis mereka. Model ancaman canggih: Ini mempertimbangkan manipulasi
data, spoo fi ng, fitnah, suara stuf fi ng dan simpul menangkap serangan
sembrono,
acak
dan
berbahaya
musuh.
Penyelidikan
ini
tidak
mempertimbangkan warisan hardware. Makalah ini membahas salah satu
aspek yang unik dari CPS. Lauf dkk. [Lauf dkk. 2010] mengusulkan
pendekatan berbasis perilaku untuk IDS untuk kedirgantaraan aplikasi
disebut hibrida. Ini terdiri dari dua metode deteksi intrusi: Maxima Detection
System (MDS) dan Cross-korelatif Detection System (CCD). Secara khusus,
kedua pendekatan semi-diawasi menggabungkan dalam tiga tahap
operasional: MDS pelatihan, pengujian MDS / pelatihan CCD dan CCD
pengujian. MDS mendeteksi penyusup tunggal setelah fase pelatihan singkat
dan melakukan fase pelatihan mendalam untuk CCD. CCD dapat mendeteksi
bekerja sama penyusup setelah fase pelatihan lagi disediakan oleh MDS. Para

penulis memilih pendekatan berbasis host daripada pendekatan berbasis

jaringan karena dengan waktu dan memori kendala sistem embedded.
Hibrida didistribusikan untuk skalabilitas. Mereka mengukur kinerja hibrida
menggunakan peliputan, yang mereka mendefinisikan sebagai persentase
dari node buruk dalam sistem. Lauf dkk. bisa mendeteksi penyusup bahkan
dengan 22% peliputan; untuk perspektif, model kesalahan Bizantium
menetapkan batas teoritis 33%. Selama fase pelatihan / MDS, penulis
mengumpulkan data mengenai sistem negara. Mereka urutan negara sistem
nominal untuk digunakan oleh CCD sehingga fungsi kepadatan probabilitas
(PDF) menyerupai distribusi chi-squared. Lauf dkk. atau didistribusikan
protokol microrobotics [NASA 2005] penggunaan B ADS-log sebagai mereka
data audit. Para penulis mengidentifikasi dua parameter untuk membuat IDS
efektif untuk sumber daya aplikasi dibatasi: periode pengumpulan Audit
[siklus pengumpulan data (DCC)] dan periode analisis audit yang [siklus
pengolahan data (DPC)]. Sebuah lagi DCC meningkatkan stres memori
sementara meningkatkan akurasi deteksi detektor intrusi, dan sebuah DPC
pendek meningkatkan stres prosesor sedangkan penurunan latency deteksi
dari detektor intrusi. Mereka tidak memberikan analisis mengenai pertukaran
antara DCC dan DPC. Lauf dkk. tidak melaporkan negatif palsu probabilitas p fn
(yaitu, hilang simpul buruk) atau false positive probabilitas p fp (yaitu,
misidentifying node yang baik sebagai simpul buruk). Penulis menggunakan
script MATLAB untuk menghasilkan dataset mereka: Script menggunakan
fungsi kepadatan probabilitas untuk menghasilkan data misi normal, dan
disuntikkan tindakan darurat dan akhir misi perintah 10% lebih sering dari
biasanya untuk menghasilkan serangan Data: ini membentuk model
serangan canggih. Investigasi ini menganggap hardware warisan dengan
berurusan dengan pesawat yang hardware dan software yang serti fi kasi
untuk keamanan dan kehandalan. Makalah ini membahas salah satu aspek
unik CPS. Dia dan Blum [ia dan Blum 2011] menyelidiki serangkaian perilaku
berbasis IDS untuk utilitas pintar (listrik) aplikasi termasuk Lokal Optimum
diketahui Arah (LOUD), Lokal Optimum arah Perkiraan (loed), kerasGeneralized Kemungkinan Ratio (LOUD-GLR) dan loed-Generalized
kemungkinan Ratio (loed-GLR). LOUD-GLR pendekatan penulis 'dilakukan
yang terbaik: Tingkat deteksi maksimum (yaitu, 1 - p fn) Dilaporkan 95%.
Namun, [Dia dan Blum 2011] tidak memberikan data yang ROC. The penulis
menjalankan simulasi Monte Carlo 5000 kali untuk membuat dataset. Penulis
melakukan tidak membahas model serangan. Penyelidikan ini tidak
mempertimbangkan hardware warisan. Tulisan ini tidak membahas salah satu
aspek yang unik dari CPS.
Park dkk. [Taman dkk. 2010] mengusulkan IDS berbasis perilaku semi-diawasi
ditargetkan untuk medis CPS (secara khusus, lingkungan hidup dibantu).
Desain mereka hostbased dan seri audit peristiwa yang mereka sebut
episode. Peristiwa penulis 'yang 3-tupel terdiri sensor ID, waktu mulai dan
durasi. Taman dkk. dataset uji menggunakan empat fungsi kesamaan
berdasarkan: SKB, hitungan kejadian umum tidak di LCS, acara mulai kali dan
durasi acara. Mereka mengontrol panjang episode dan fungsi kesamaan
sebagai variabel independen. Para penulis memberikan data ROC baik.
Taman dkk. penggunaan kembali dataset dari studi sebelumnya [Tapia dkk.
2004]. Mereka membagikan 70% dari dataset untuk data pelatihan dianggap

normal dan 30% untuk data testing. Penulis menggunakan random generasi
dan waktu-pergeseran untuk benih data pengujian dengan artefak yang
abnormal. The model ancaman canggih: Ini terdiri serangan replay.
Investigasi ini menganggap warisan hardware dengan berurusan dengan
peralatan medis yang keras dan perangkat lunak yang serti fi kasi untuk
keamanan dan kehandalan. Makalah ini membahas dua aspek yang unik dari
CPS. Bellettini dan Rrushi [Bellettini dan Rrushi 2008] belajar IDS untuk
utilitas pintar (kekuasaan) aplikasi yang biji tumpukan runtime dengan
panggilan NULL, berlaku shuf fl e operasi dan berkinerja deteksi
menggunakan mesin produk. Para penulis membawa mereka belajar melalui
penerapan pada mikroprosesor ARM menjalankan Linux dengan tumpukan
Modbus. Bellettini dan Rrushi menggunakan pendekatan semi-diawasi. Selagi
penulis tidak melaporkan negatif palsu probabilitas p fn atau probabilitas positif
palsu pfp, Mereka melaporkan penalti runtime 6% untuk target
diinstrumentasi. Bellettini dan Rrushi membuat dataset mereka secara
empiris menggunakan testbed eksperimental. Ancaman model canggih:
Disuntik shellcode mendirikan penempatan persisten (nakal perpustakaan)
serangan. Investigasi ini menganggap hardware warisan dengan berurusan
dengan Modbus lalu lintas fi c dari perangkat berbasis ARM. Makalah ini
membahas dua aspek yang unik dari CPS.
Sementara Killourhy dan maxion [Killourhy dan maxion 2010] tidak
mempelajari fi spesifik c IDS, mereka melakukan analisis yang sangat ketat
dari dampak beberapa parameter pada kinerja detektor anomali yang
mengaudit data keystroke. Anomali ini detektor tidak spesifik untuk CPS,
tetapi mereka dapat digunakan sebagai perilaku berbasis IDS yang
menggunakan audit berbasis host diterapkan untuk menghadiri node CPS.
Para penulis mengusulkan enam parameter kandidat: algoritma deteksi,
durasi pelatihan, set fitur, memperbarui strategi, praktek penipu dan
pengetik-to-pengetik variasi. Algoritma deteksi mereka mempertimbangkan
adalah: Tetangga terdekat (Mahalanobis), outlier Hitungan (z-score) dan
Manhattan (skala). Praktek penipu dapat berhubungan dengan skenario
serangan CPS mana musuh telah surveilled target dan memiliki rekaman sesi
sah. Pengetik-to-pengetik variasi dapat berhubungan dengan skenario CPS
mana subjek memiliki pengguna atau proses yang menyimpang dari satu
sama lain untuk tingkat yang lebih besar atau lebih kecil. Killourhy dan
maxion digunakan dibatasi maksimum likelihood (REML) estimasi untuk
menentukan bahwa algoritma deteksi, durasi pelatihan dan strategi
memperbarui paling kuat memengaruhi kinerja deteksi anomali. Penulis
menggunakan dataset dari studi sebelumnya [Killourhy dan maxion 2009]
yang diproduksi oleh 51 subyek mengetik password sepuluh karakter 400
kali. Model serangan canggih: Penyerang memiliki kesempatan untuk berlatih
menyamar sebagai pengguna yang sah. Penyelidikan ini tidak
mempertimbangkan warisan hardware. Makalah ini membahas salah satu
aspek yang unik dari CPS.
4.2. Perilaku / Jaringan
Linda dkk. [Linda dkk. 2009] mempelajari IDS semi-diawasi untuk utilitas
pintar (power) aplikasi yang disebut Intrusion Detection System
menggunakan Neural Network berdasarkan Modeling (IDS-NNM). IDS-NNM

menggunakan error-kembali propagasi dan LevenbergMarquardt pendekatan

dengan jendela berdasarkan fitur ekstraksi. Yang paling signifikan dari 16 fitur
IDS mereka diaudit termasuk: alamat IP hitung, rata-rata interval antara
paket, jumlah protokol, fl kode count ag, jumlah nol paket window-ukuran, nol
panjang hitungan paket, rata-rata ukuran jendela dan rata-rata panjang data.
Para penulis empiris fi tercatat pernah 20.000 paket dataset antara Allen
Bradley PLC 5 dan workstation tuan rumah. Mereka arti fi secara resmi
dihasilkan 100.000 intrusi menggunakan Metasploit, Nessus dan Nmap: ini
membentuk model serangan canggih. Investigasi ini menganggap hardware
warisan. Makalah ini membahas dua aspek yang unik dari CPS.
Tsang dan Kwong [Tsang dan Kwong 2005] mengusulkan IDS multitrust
disebut multiagen System (MAS) untuk aplikasi SCADA. Fungsi analisis
mereka, Ant Colony Clustering Model (ACCM), secara biologis terinspirasi oleh
senama, koloni semut. Penulis bermaksud untuk ACCM untuk mengurangi
khas tinggi palsu positif tingkat pendekatan berbasis perilaku dan
meminimalkan periode pelatihan dengan menggunakan Pendekatan tanpa
pengawasan untuk pembelajaran mesin. MAS adalah hirarkis dan berisi besar
jumlah peran: agen Monitor mengumpulkan data audit, agen keputusan
melakukan analisis, tindakan tanggapan efek agen, agen koordinasi
mengelola komunikasi multitrust, agen antarmuka pengguna berinteraksi
dengan operator manusia dan agen pendaftaran mengelola penampilan agen
dan hilangnya. Hasil Tsang dan Kwong ini menunjukkan ACCM sedikit
melebihi tingkat deteksi dan secara signifikan melebihi palsu tingkat positif kcara dan pendekatan harapan-besarnya. Salah satu kekuatan dari penelitian
ini adalah besar palsu hasil positif: The ACCM puncak tingkat positif palsu
sebesar 6%. Penulis menggunakan "recall tingkat" sebagai salah satu metrik
kinerja mereka tetapi tidak menjelaskan maknanya. Penelitian ini
menggunakan Piala KDD dataset 1999. Model ancaman adalah canggih: Ini
mempertimbangkan DoS, U2R, R2L dan serangan menyelidik. Penelitian ini
tidak tidak mempertimbangkan hardware warisan. Makalah ini membahas
salah satu aspek yang unik dari CPS.
DUssel dkk. [DUssel dkk. 2010] mempelajari semi-diawasi IDS berbasis
perilaku untuk aplikasi SCADA yang menggunakan audit berbasis jaringan.
IDS ini adalah centroidbased ekstensi untuk Bro [Paxson 1999] dan mencapai
TPR dari 90% dan FPR 0,2%. Mereka menggunakan dua dataset secara
empiris mencatat: Satu (Web07) mengandung HTTP lalu lintas fi c dari
jaringan perimeter (zona demiliterisasi atau DMZ) dari beberapa lembaga,
dan lainnya (Aut09) mengandung TCP lalu lintas fi c dari sistem SCADA. Salah
satu kekuatan dari penelitian ini adalah bahwa model serangan penulis
'sangat kuat; itu termasuk 18 entri yang terdiri ancaman internal dan
eksternal dari Pemerintah AS yang didukung Kerentanan umum dan Eksposur
(CVE) database. Para penulis menerapkan ancaman ini menggunakan
Metasploit, securityfocus.com dan remote-exploit.org untuk membentuk
model serangan canggih. Penyelidikan ini tidak mempertimbangkan hardware
warisan. Ini kertas membahas salah satu aspek yang unik dari CPS.
Yang et al. [Yang et al. 2005] belajar IDS untuk utilitas pintar (listrik) aplikasi
yang menggunakan protokol manajemen jaringan sederhana (SNMP) untuk
mendorong prediksi, sisa perhitungan dan deteksi modul untuk testbed

eksperimental. Para penulis membawa mereka belajar melalui implementasi

MATLAB.
Mereka
menggunakan
pendekatan
semi-diawasi.
Penulis
menggunakan karya sebelum [regresi kernel autoassociative (AAKR) dan
berurutan uji rasio kemungkinan (SPRT)] untuk fungsi analisis mereka.
Mereka mengklaim ketentuan tingkat positif palsu dari 1% dan tingkat negatif
palsu dari 10% tetapi tidak memberikan angka Data menunjukkan bahwa
kinerja sesuai parameterisasi. Dari 62 fitur . Yang et al dataset meliputi,
paling berdampak adalah: penggunaan prosesor, prosesor waktu idle dan
beban rata-rata satu menit. Dataset penulis 'terdiri dari 1000 pelatihan
pengamatan (normal) dataset dan tes 300 observasi (termasuk intrusi)
dataset. . Yang et al model ancaman adalah tidak canggih: Ini terdiri hanya
ping banjir, jolt2 dan pes serangan DoS. Penyelidikan ini tidak
mempertimbangkan hardware warisan: hanya workstation dan server
komoditas. Tulisan ini tidak membahas salah satu yang unik aspek CPS.
Hadeli dkk. [Hadeli dkk. 2009] mempelajari IDS berbasis perilaku untuk
utilitas pintar (listrik) aplikasi yang menggunakan audit berbasis jaringan.
Tidak ada dataset yang terlibat dalam hal ini studi. Audit desain sensor dan
aktuator data (pembacaan ketinggian air dan katup pengaturan, secara
khusus). Juga, menganggap waktu kontrol loop tertutup (secara khusus, yang
tingkat kedatangan pesan ANGSA). Para penulis tidak membahas model
serangan. Ini Penyelidikan menganggap hardware warisan dengan berurusan
dengan perangkat ABB Sistem 800xA. Makalah ini membahas tiga aspek
yang unik dari CPS. Barbosa dan Pras [Barbosa dan Pras 2010] belajar IDS
untuk utilitas pintar (air) aplikasi yang menguji mesin negara dan rantai
Markov pendekatan yang menggunakan networkbased audit pada sistem
distribusi air didasarkan pada kerentanan yang komprehensif penilaian.
Penyelidikan penulis tidak lengkap: Mereka tidak memberikan rincian
pemodelan, simulasi atau implementasi atau memberikan hasil numerik. Di
sana ada dataset yang terlibat dalam penelitian ini. Para penulis tidak
membahas model serangan. Investigasi ini menganggap hardware warisan.
Makalah ini membahas salah satu yang unik aspek CPS.
Memiliki ziosmanovic dkk. [Telahziosmanovic dkk. 2012] dibandingkan
berbasis perilaku empat IDS yang menggunakan audit berbasis jaringan.
Salah satu dataset mereka berkaitan secara khusus dengan Modbus, yang
secara luas digunakan dalam dan unik untuk CPS. Empat implementasi (PAYL,
POSEIDON, Anagram dan McPAD) penulis mempertimbangkan analisis
penggunaan n-gram. Semua implementasi dilakukan dengan sangat baik
untuk ICS (Modbus) dataset tapi berjuang untuk mencapai tingkat deteksi
yang tinggi dengan tetap menjaga tingkat positif palsu rendah untuk LAN
(SMB / CIFS) dataset. Mereka menciptakan dataset dengan menggabungkan
data normal diduga direkam dari operasi jaringan kontemporer dengan data
serangan disintesis dari tanda tangan disediakan oleh database kerentanan
umum: ini merupakan model serangan canggih. memiliki ziosmanovic dkk.
mengukur tingkat positif dan deteksi palsu. investigasi ini menganggap
hardware warisan dengan berurusan dengan perangkat Modbus. Makalah ini
membahas dua aspek yang unik dari CPS.
4.3. Perilaku + Pengetahuan / Jaringan

Shin et al. [Shin et al. 2010] menyajikan perpanjangan teknik WSN yang ada
dengan menggunakan satu pengelompokan hop untuk aplikasi SCADA; dalam
sebuah cluster satu hop setiap anggota jatuh dalam jangkauan radio dari
kepala klaster. Mereka menggabungkan satu pengelompokan hop untuk
efektif deteksi intrusi ("kedua" pengelompokan) dengan pengelompokan
multi-hop untuk e fi sien Data agregasi (yang "pertama" pengelompokan)
menjadi dua tingkat pengelompokan pendekatan hirarki untuk keseimbangan
antara keamanan dan efisiensi. Hal ini menghasilkan hirarki empat lapisan:
Node anggota (MN) adalah daun, kepala cluster (CH) mengelola MNs,
gateway bundel cluster dan base station adalah akar dari hirarki. Peran-peran
yang berbeda menganalisis data audit dengan cara yang sama, tetapi
mereka merespon secara berbeda. Pendekatan heterogen ini memiliki
keuntungan dari meminimalkan masalah kepercayaan; yang CHs perlu
membangun kepercayaan sementara MNs tidak. Mereka menunjukkan bahwa
satu pengelompokan hop adalah sangat efektif ketika mendeteksi serangan
ng spoo fi. Salah satu kekuatan dari penelitian ini adalah hasil numerik;
penulis melaporkan tingkat deteksi untuk jamming, spoofing, halo flooding,
manipulasi data, greyhole, menguping, routing dan serangan sinkhole: ni
merupakan model serangan canggih. Salah satu kelemahan dari penelitian ini
adalah hasilnya saling bertentangan; misalnya, mereka mengklaim 25 tingkat deteksi 43% untuk serangan spoo fi ng dalam Tabel merangkum
tingkat deteksi rata-rata dan 60 - tingkat deteksi 100% untuk spoofing
serangan dalam angka fi yang plot tingkat deteksi rata sebagai fungsi dari
jumlah hop. The solusi yang diusulkan adalah tambal sulam dari teknik
deteksi ditetapkan sebelumnya, dan penulis tidak menggunakan uni dataset
fi ed tunggal untuk menguji semua teknik bekerja sama. Penyelidikan ini
tidak mempertimbangkan hardware warisan. Makalah ini membahas salah
satu aspek unik dari CPS.
Verba dan Milvich [Verba dan Milvich 2008] belajar IDS untuk utilitas pintar
(kekuasaan) aplikasi yang mengambil multitrust pendekatan hybrid yang
menggunakan networkbased audit. Model serangan penulis termasuk fuzzing
dan MITM: Ini membentuk model serangan canggih. Salah satu kelemahan
dari penelitian ini adalah kurangnya hasil numerik. Tidak ada dataset yang
terlibat dalam penelitian ini. Sensor audit desain dan data aktuator dan
menganggap hardware warisan. Makalah ini membahas tiga aspek unik CPS.
4.4. Pengetahuan / Host
Oman dan Phillips [Oman dan Phillips 2007] belajar IDS untuk utilitas pintar
(listrik) aplikasi yang mengubah data yang dikumpulkan dalam extensible
markup language (XML) Format mendengus [Snort 2012] tanda tangan di
laboratorium distribusi listrik. Salah satu kelemahan dari penelitian ini adalah
kurangnya hasil numerik. Para penulis Audit Login rincian (waktu, sumber,
sukses dan frekuensi), administrasi password, con fi gurasi manajemen
(perangkat lunak dan pengaturan) dan eskalasi hak istimewa. Tak satu pun
dari item ini secara unik terhubung ke aplikasi jaringan listrik. Oman dan
Phillips membuat mereka dataset secara empiris menggunakan testbed
eksperimental. Para penulis tidak membahas model serangan. Investigasi ini
menganggap hardware warisan. Makalah ini membahas salah satu aspek
yang unik dari CPS.

4.5. Pengetahuan / Jaringan

Premaratne dkk. [Premaratne dkk. 2010] mempelajari IDS berbasis
pengetahuan untuk cerdas utilitas (listrik) aplikasi yang menggunakan audit
berbasis jaringan. Desain penulis 'adalah spesifik IEC 61850 infrastruktur.
Model serangan mereka termasuk resolusi alamat protokol (ARP) spoo fi ng,
DoS dan password cracking: Ini membentuk canggih ancaman. Premaratne
dkk. Desain isolat alat deteksi intrusi pada host yang terpisah. Ini adalah
praktek terbaik, meskipun banyak IDSS yang colocated dengan sumber daya
mereka melindungi. Para penulis memperluas Snort untuk efek desain
mereka. Mereka disajikan beberapa hasil minor: Waktu serangan cyber tidak
sesuai dengan waktu hari; Sebaliknya, kekuatan-on-force serangan kinetik
tradisional biasanya diluncurkan sesaat sebelum fajar. Juga, Premaratne dkk.
membahas bagaimana posisi IDS dalam CPS utilitas pintar. Para penulis
menciptakan komponen normal dari dataset mereka dengan jaringan
rekaman lalu lintas fi c untuk dua jaringan selama 24 jam setiap. Mereka
mencatat lalu lintas fi c untuk open-source ARP sniffer yang berjalan pada
dua host selama satu jam untuk menciptakan yang abnormal komponen
dataset mereka. Investigasi ini menganggap hardware warisan. makalah ini
alamat salah satu aspek yang unik dari CPS.
4.6. Perilaku-Speci fi kasi / Host
Di Santo dkk. [Di Santo dkk. 2004] mempelajari fi IDS berbasis kation
perilaku-spesifik untuk utilitas pintar (listrik) aplikasi yang menggunakan
audit berbasis host. Utama penulis ' kontribusi adalah untuk mengusulkan
suatu algoritma paralel berjalan dalam sistem terdistribusi untuk efek deteksi
intrusi. Mereka memberikan sedikit perhatian pada deteksi intrusi yang
sebenarnya masalah. Di Santo dkk. membuat dataset mereka secara empiris
menggunakan eksperimental testbed. Model serangan canggih: Ini terdiri
gangguan terkoordinasi jalur transmisi. Investigasi ini menganggap hardware
warisan dengan berurusan dengan infrastruktur kota yang keras dan
perangkat lunak yang serti fi ed untuk keselamatan dan kehandalan. Makalah
ini membahas dua aspek yang unik dari CPS.
Carcano dkk. [Carcano dkk. 2011] mengusulkan pendekatan berbasis kation fi
perilaku-spesifik untuk deteksi intrusi untuk utilitas pintar (listrik) aplikasi
disebut ISML. ISML menggunakan audit berbasis jaringan. Desain adalah
perluasan untuk [Fovino dkk. 2010] yang membedakan kesalahan dan
serangan, menggambarkan bahasa untuk mengekspresikan cerdas jaringan
Speci fi kasi dan menetapkan jarak keadaan kritis metrik. Para penulis dasar
pekerjaan ini pada [Fovino dkk. 2010] yang menjaga terhadap serangan
kompleks dengan Modbus / DNP3 mesin negara. Carcano dkk. membuat
dataset mereka secara empiris selama Tentu saja dari 15 hari menggunakan
testbed eksperimental. Sensor audit desain dan aktuator Data. Model
serangan canggih: Secara khusus, mereka menjaga terhadap urutan perintah
SCADA yang sah yang membentuk jelly serangan ikan. Investigasi ini
menganggap hardware warisan oleh berurusan dengan node Modbus.
Makalah ini membahas tiga aspek yang unik dari CPS.
Zimmer dkk. [Zimmer dkk. 2010] mengusulkan pendekatan berbasis kation fi

perilaku-spesifik untuk deteksi intrusi untuk utilitas pintar (listrik) aplikasi

yang disebut T-Rex. T-Rex menggunakan berbasis host audit. Instrumen
desain aplikasi dilindungi dan menggunakan scheduler untuk con fi rm hasil
analisis waktu. Zimmer dkk. membuat dataset mereka empiris menggunakan
testbed eksperimental. Sensor audit desain dan data aktuator dan
menganggap waktu kontrol loop tertutup. Model ancaman canggih: Injected
shellcode mendirikan penempatan persisten (perpustakaan nakal) serangan.
Investigasi ini tidak mempertimbangkan hardware warisan; Namun, mereka
bereksperimen pada sumber daya terbatas hardware (Spectrum Digital
DSK6713). Makalah ini membahas tiga dari unik aspek CPS.
Mitchell dan Chen [Mitchell dan Chen 2012b; 2012a; 2013b] mengusulkan
IDSs untuk aerospace, utilitas medis dan pintar (listrik) aplikasi, masingmasing. Ini adalah semua fi pendekatan berbasis kation perilaku-spesifik
didorong oleh mesin negara yang berasal dari aturan perilaku manusia
dibangun. Juga, mereka menganggap tujuh pemantauan ambang
pendekatan: biner, Hamming, Manhattan, Euclidean, LCS, Levenshtein dan
Damerau-Levenshtein. Penulis menggunakan simulasi Monte Carlo untuk
membuat dataset untuk node yang baik dan node rusak oleh berbagai jenis
penyerang. Audit makalah ini sensor dan aktuator data. Model serangan
canggih: Satu-satunya penulis pertimbangkan musuh sembrono dan acak
menuntut injeksi perintah, greyhole dan mantan serangan infiltrasi.
Investigasi ini menganggap hardware warisan dengan berurusan engan
pesawat, infrastruktur medis dan kota yang keras dan perangkat lunak yang
serti fi kasi untuk keamanan dan kehandalan. Makalah ini membahas dua
aspek yang unik dari CPS.
Xiao et al. [Xiao et al. 2007] mempelajari fi IDS berbasis kation perilakuspesifik untuk cerdas utilitas (air) aplikasi yang menggunakan audit berbasis
host. Ini adalah IDS sistem tingkat bahwa audit negara kolektif dari semua
node sistem. Para penulis mengusulkan pemodelan bekerja fl ow lapisan
untuk CPS subjek yang terdiri dari manajer simulasi dan karya aliran. The
bekerja aliran mengumpulkan data audit dan melakukan deteksi intrusi
sementara simulasi Manajer memprediksi bagaimana serangan itu mungkin
menyebarkan. Sementara mereka tidak sepenuhnya mengembangkan ini
Fungsi propagasi serangan, itu adalah garis besar dari penyelidikan diberikan
pijakan atau pulau-hopping taktik bahwa serangan CPS kontemporer
pameran [Keizer 2010; Stuxnet 2013]. Tidak ada dataset yang terlibat dalam
penelitian ini. Sensor audit desain dan aktuator Data. Para penulis tidak
membahas model serangan. Penyelidikan ini menganggap warisan hardware.
Makalah ini membahas dua aspek yang unik dari CPS.
4.7. Perilaku-Speci fi kasi / Jaringan
Carcano dkk. [Carcano dkk. 2010] mempelajari fi IDS berbasis kation perilakuspesifik untuk aplikasi utilitas pintar yang menggunakan audit berbasis
jaringan disebut SCADA IDS. The penulis mengusulkan bahasa untuk
menggambarkan fi kasi tertentu. IDS mereka terdiri dari tiga modul: sistem
beban yang menginisialisasi model CPS menggunakan XML fi le merinci
configurasi dari CPS, controller negara yang update model CPS berbasis pada
jaringan lalu lintas fi c (fungsi koleksi dari Bagian 2.2) dan penganalisis

aturan yang menentukan apakah CPS dalam keadaan yang tidak aman
(fungsi analisis dari Bagian 2.2). Carcano dkk. membuat dataset mereka
secara empiris menggunakan testbed eksperimental oleh perintah
pengiriman Modbus pada 2 Hz. Penulis membuat komponen yang abnormal
oleh mengirimkan serangkaian 10 perintah yang mencoba untuk melakukan
write valid untuk satu mendaftar dan 2 perintah yang mencoba untuk
melakukan write valid untuk bank dari kumparan (single-bit output fisik).
Audit desain sensor dan aktuator data. Model serangan canggih: Urutan
perintah SCADA yang sah membentuk jelly serangan ikan. Ini Penyelidikan
menganggap hardware warisan oleh berurusan dengan Modbus node.
makalah ini alamat tiga aspek yang unik dari CPS.
Cheung et al. [Cheung et al. 2007] mempelajari fi IDS berbasis kation
perilaku-spesifik yang menggunakan Prototype Veri fi kasi System (PVS)
untuk mengubah protokol, komunikasi pola dan ketersediaan layanan
spesifikasi-spesifikasi ke dalam format yang kompatibel dengan EMERALD
dan Snort. Para penulis mengaudit medan paket Modbus. Secara khusus,
mereka memastikan medan individu berada dalam jangkauan (misalnya, 0127 berlaku untuk satu byte lapangan tapi 128-255 tidak) dan hubungan
antara medan yang diawetkan (misalnya, lapangan 0 kurang
dari lapangan 1). Salah satu kelemahan dari penelitian ini adalah kurangnya
hasil numerik. Cheung et al. menggunakan dataset empiris yang dihasilkan
oleh SNL SCADA testbed. Audit desain sensor dan aktuator data. Model
ancaman canggih: Sebuah serangan multistage menembus jaringan
perusahaan Internet-menghadap, merambat ke DMZ, terus dengan Process
Control Network (PCN), probe PCN untuk belajar topografi dan menyerang
Modbus node. Investigasi ini menganggap hardware warisan dengan
berurusan dengan Node Modbus. Makalah ini membahas tiga aspek yang
unik dari CPS.

5. PEMBELAJARAN
Pada bagian ini, kita membahas pelajaran. Kami pertama-tama meringkas
keuntungan dan kelemahan dari teknik CPS IDS yang ada di pilihan masingmasing dimensi desain, seperti dibuktikan dengan paling dan paling dipelajari
teknik CPS IDS dalam literatur. Kemudian kami memberikan wawasan tentang

efektivitas teknik IDS sebagai berlaku untuk CPS dan mengidentifikasi

kesenjangan penelitian layak upaya penelitian lebih lanjut. 5.1. Keuntungan
dan Kerugian dari Teknik IDS sebagai Menerapkan untuk CPS Di sini kita
membahas kesesuaian IDS deteksi bahan teknik / audit dalam hal kelebihan
dan kelemahan mereka saat mendaftar CPS. Tabel IV merangkum keuntungan
dari berbagai teknik deteksi / bahan pemeriksaan sebagai berlaku untuk CPS,
dibahas secara lebih rinci sebagai berikut:
-The Keuntungan dari teknik deteksi berbasis perilaku adalah mereka
mendeteksi nol-hari serangan. Pentingnya mendeteksi serangan yang tidak
diketahui tidak dapat dilebih-lebihkan. The kebanyakan musuh canggih akan
menargetkan sistem yang paling penting, dan ini penyerang tidak akan
bergantung pada kerentanan diungkapkan sebelumnya.
-The Keuntungan fi teknik deteksi berbasis kation perilaku-spesifik yang
mereka mendeteksi serangan zero-day dan mereka menghasilkan tingkat
positif palsu yang rendah.
-The Keuntungan dari teknik deteksi berbasis pengetahuan mereka
menghasilkan palsu rendah tingkat positif dan mereka membuat tuntutan
minimal pada mikroprosesor tuan rumah.
-The Keuntungan dari audit berbasis host didistribusikan kontrol dan
kemudahan menentukan / mendeteksi host-tingkat kenakalan.
-The Keuntungan dari audit berbasis jaringan mengurangi permintaan untuk
prosesor dan memori pada node sumber daya terbatas.
Tabel V merangkum kelemahan dari berbagai teknik deteksi / bahan
pemeriksaan sebagai berlaku untuk CPS, dibahas secara lebih rinci sebagai
berikut:
-The Kelemahan teknik deteksi berbasis perilaku positif palsu mereka tinggi
tingkat. Untuk tanpa pengawasan CPS yang beroperasi di lokasi yang
bermusuhan atau tidak dapat diakses, penggusuran yang tidak perlu akan
mengurangi seumur hidup dan meningkatkan biaya operasi.
-The Kelemahan fi teknik deteksi berbasis kation perilaku-spesifik adalah
suatu keharusan manusia instrumen mesin negara atau tata bahasa yang
mewakili sistem yang aman perilaku. Kegiatan ini mahal, lambat dan rawan
kesalahan.
-The Kelemahan dari teknik deteksi berbasis pengetahuan yang mereka tidak
berdaya terhadap serangan zero-day dan mereka mengandalkan kamus
serangan yang harus disimpan dan diperbarui. The CPS paling sensitif
beroperasi pada jaringan terisolasi, yang menghalangi pemeliharaan
serangan kamus.
-The Kelemahan audit berbasis host meningkat prosesor dan memori
permintaan pada node sumber daya terbatas, kerentanan bahan audit dan
terbatas umum berdasarkan OS atau aplikasi.
-The

Kelemahan

audit

berbasis

jaringan

adalah

visibilitas

node

mengumpulkan Audit bahan membatasi efektivitas.

5.2. Kebanyakan dan Least IDS belajar teknik di Sastra yang

Tabel VI merangkum paling dan paling IDS dipelajari teknik dalam literatur
dikelompokkan berdasarkan jenis aplikasi di urutan paling untuk sedikitnya.
Kita melihat bahwa untuk semua aplikasi yang diteliti, yang paling umum
digunakan gurations teknik deteksi perilaku berbasis dan audit berbasis host.
Tabel VI menunjukkan bahwa ada sedikit penelitian yang berkaitan dengan
otomotif aplikasi, teknik deteksi berbasis pengetahuan dan audit berbasis
jaringan.
Beberapa hal mungkin tidak dipelajari karena mereka tidak relevan dalam
literatur. Kasus ini bisa dibuat untuk teknik deteksi berbasis pengetahuan
karena mereka tidak mengatasi serangan yang tidak diketahui; asumsi
musuh menggunakan serangan sebelumnya dilihat membuat untuk yang
lemah, model yang realistis. Juga, hal ini bisa dibuat untuk jaringan berbasis
audit; topologi telah berkembang (misalnya dari titik-to-point atau bintang
untuk mesh) mengancam yang tractability dari pendekatan ini. Namun,
aplikasi otomotif yang sangat relevan sebagai kendaraan kami menjadi lebih
cerdas (misalnya sistem menghindari tabrakan), mobilitas kami pola
berkembang (misalnya tiga dimensi gerak, kemacetan panjang dan ngarai
perkotaan traversals) dan kapasitas manusia untuk menghitung saat Komuter
(karena kendaraan otonomi) meningkat.
5.3. Efektivitas Teknik IDS Menerapkan untuk CPS
Berdasarkan kelebihan dan kelemahan dari teknik CPS IDS yang ada dibahas
dalam Bagian 5.1 dan yang paling dan paling penelitian dalam literatur
diringkas dalam bagian 5.2, di bagian ini kita memberikan wawasan tentang
efektivitas teknik IDS menerapkan untuk CPS. Kita mengatur diskusi kita

berdasarkan pada dua dimensi desain klasifikasi pohon: teknik deteksi dan
materi audit, sebagai berikut:
(1) Teknik Deteksi: desain berbasis pengetahuan tidak efektif untuk CPS pada
mereka sendiri. Mereka membawa persyaratan penyimpanan yang besar
yang warisan hardware atau skala mungkin menghalangi. Desain berbasis
pengetahuan memerlukan update kamus sering di memesan untuk
melindungi sumber daya terhadap ancaman terbaru; penyebaran tanpa
pengawasan atau serti fi kasi gurations con fi melarang ini. Bahkan jika
kamus serangan segar mungkin, desain ini tidak mampu menemukan
serangan yang tidak diketahui sehingga meninggalkan infrastruktur penting
rentan. Namun, tanda tangan setelah dikembangkan mereka adalah metode
yang efisien paling untuk mendeteksi serangan untuk sumber daya terbatas
perangkat umum untuk CPS, dan bahkan serangan kamus basi dapat
mendeteksi beberapa serangan. Ketika digunakan, metode berbasis
pengetahuan harus dipasangkan dengan pelengkap Metode. Desain berbasis
perilaku yang lebih efektif daripada yang lain untuk highlyredundant CPS
dengan marjin prosesor yang cukup. Sangat-berlebihan CPS bisa mentolerir
penggusuran salah disebabkan oleh tingkat positif palsu tinggi behaviorbased
IDS karena node cadangan mengimbangi tingkat penggusuran agresif. Cukup
Margin prosesor memungkinkan komputasi-intensif teknik data mining untuk
menjalankan tanpa mempengaruhi kemampuan misi CPS. Fi desain berbasis
kation perilaku-spesifik lebih efektif daripada yang lain untuk sebagian CPS:
Saluran kelangkaan melakukan tidak mengakomodasi update kamus terkait
dengan desain berbasis pengetahuan. Selanjutnya, kendala penyimpanan
akan membatasi ukuran kamus serangan. Sementara kedua fi kasi dan
perilaku berbasis desain perilaku-spesifik dapat menangani serangan tidak
diketahui, fi desain berbasis kation perilaku-spesifik memiliki positif palsu
lebih rendah tarif dari desain perilaku berbasis pada umumnya.
(2) Audit Bahan: desain jaringan berbasis efektif untuk CPS dengan nirkabel
segmen karena CPS ini menyediakan fitur yang tidak hadir dalam wireline
yang lingkungan seperti RSSI dan rasio (SNR) signal-to-noise. Sebagai contoh,
sebuah IDS dapat memeriksa bahwa parameter ini tidak berubah sama sekali
untuk node stasioner atau perubahan sesuai dengan gerak untuk mobile
node. Berbasis host audit efektif untuk CPS tanpa pengawasan: otomatis
operasi akan mengakibatkan stabil pro fi les sementara manusia dalam
lingkaran akan menghasilkan menentu dataset normal. Sementara tertentu
CPS mungkin mendukung satu atau yang lain, baik jaringan dan desain
berbasis host yang penting dari perspektif deteksi serangan ketika ada baik
jaringan dan host serangan sentris. The musuh memilih vektor serangan;
"Musuh memiliki suara" sebagai ghters perang fi mengatakan. Peralatan
keamanan harus mengatur pertahanan mereka didasarkan pada model
ancaman dan bukan hanya berdasarkan pada apa yang nyaman.
5.4. Meninjau kembali IDS Teknik dan Kesenjangan dalam Penelitian
CPS IDS
Pada bagian ini kita mengidentifikasi kesenjangan penelitian tetap dan layak
lanjut upaya penelitian. Kami mendukung temuan ini dengan tren diamati
pada Tabel II-VI.

Tabel VI menunjukkan bahwa ada karya lebih yang ada pada IDS ditargetkan
untuk cerdas utilitas daripada ada untuk SCADA, medis, aerospace dan
aplikasi otomotif dikombinasikan. Namun, lebih dari setengah (11 dari 18)
dari penelitian utilitas berfokus pintar tidak menyediakan data kinerja. Jelas,
fokus ini adalah area penelitian aktif sekarang, tapi ada kesenjangan ketika
datang ke hasil numerik.
Ada lebih bekerja pada CPS IDS yang menggunakan deteksi perilaku berbasis
(termasuk perilaku-spesifik deteksi berbasis kation) dari deteksi berbasis
pengetahuan menurut Tabel VI. Kami atribut perbedaan ini untuk menyerang
kecanggihan dan probabilitas tinggi serangan zero-day untuk CPS, rendering
pendekatan berbasis pengetahuan tidak efektif dan penggunaan perilaku
berbasis pendekatan kebutuhan untuk mencapai tingkat yang mencukupi
keamanan. Tetap sebagai tantangan untuk dapat sepenuhnya mendefinisikan
semua perubahan lingkungan yang mungkin dan memasukkan hukum fisika
untuk mendefinisikan perilaku yang dapat diterima terhadap lingkungan
perubahan untuk intrusi berbasis perilaku. Ada pendekatan berbasis perilaku
tidak mungkin yang paling efektif karena mungkin ada kasus hilang. Deteksi
perilaku berbasis berdasarkan spesifik aturan fi kasi, di sisi lain, muncul dan,
dengan cara teknik kation-spesifikasi, memiliki potensi untuk sepenuhnya
menentukan interaksi antara komponen fisik dan lingkungan CPS, diatur oleh
proses fisik balik perilakunya. Namun, sebagian besar penyelidikan memiliki
sempit atau sakit-didefinisikan model serangan. Misalnya, serangan replay
tampaknya menantang perilaku-spesifik cationbased IDS. Studi baru harus
mengikat model serangan ke repositori standar kerentanan seperti database
CVE. Kekokohan model serangan bisa diukur dalam hal cakupan CVE.
Tabel VI menunjukkan bahwa telah terjadi penekanan yang sama pada host
dan jaringan berbasis audit untuk deteksi intrusi CPS. Masing-masing adalah
spesifik untuk salah satu dari segelintir warisan protokol seperti CAN [ISO
11898 2003], DNP3 [DNP3 2010] atau Modbus [Modbus Aplikasi 2012;
Modbus Messaging 2006]. Fi kota tertentu ini membatasi relevansi IDS ini
dalam hal waktu dan ruang lingkup. Tabel V menunjukkan bahwa kelemahan
host berbasis audit menampung pelaku dengan tidak menentu pro fi les.
Sebuah pertanyaan terbuka terkait adalah bagaimana untuk mengidentifikasi
menentu tapi baik node dan menerapkan alternatif bentuk IDS kepada
mereka. Tabel V juga menunjukkan bahwa kelemahan audit berbasis jaringan
adalah bahwa efektivitas adalah dibatasi oleh visibilitas node mengumpulkan
bahan audit. Mengatasi kelemahan ini adalah kesenjangan penting dalam
literatur.
Empat aspek CPS berdampak unik deteksi intrusi: proses fisik pemantauan,
ditutup loop kontrol, serangan kecanggihan dan teknologi warisan. Sebagai
ditunjukkan pada Tabel VI, dari 28 studi kami survei, 20 teknologi warisan
dipertimbangkan, 17 dianggap sebagai model serangan canggih, 11
dianggap pemantauan proses fisik, dan dua dianggap loop kontrol tertutup.
Tidak ada dianggap semua. Jelas ada kurangnya Teknik CPS IDS yang secara
khusus mempertimbangkan aspek-aspek yang unik sebagian besar atau
semua CPS yang membedakan CPS dari sistem ICT.
6. WILAYAH PENELITIAN DEPAN

Ada banyak lead terbuka di daerah CPS IDS.

Pertama dan terpenting, penelitian diperlukan untuk mendefinisikan CPS IDS
metrik kinerja. Kapan hasil numerik dilaporkan sama sekali, hanya tingkat
deteksi, tingkat positif palsu dan palsu tingkat negatif diberikan biasanya.
Namun, deteksi latency adalah metrik kritis yang peneliti jarang melaporkan.
Tingkat deteksi 100% merupakan prestasi besar, tetapi jika ini IDS
membutuhkan waktu yang berlebihan untuk mendeteksi penyusup, musuh
mungkin masih memiliki cukup waktu merusak sistem target. Kami tak
menemukan deteksi latency sedang dipelajari di literatur, tetapi jelas
merupakan metrik penting. Oleh karena itu, peneliti harus mengembangkan
deteksi latency sebagai IDS metrik kunci.
Kedua, multitrust [Cho et al. 2011] adalah belum diselidiki dalam penelitian
CPS IDS. Ini adalah konsep menggunakan desas-desus / melaporkan
informasi (data dari saksi atau ketiga pihak). [Liu dan Issarny 2004]
menyebut jenis informasi ini rekomendasi.
Dalam kasus lain, literatur
menyebut multitrust pendekatan kooperatif. Tanpa memperhatikan label,
multitrust dapat didistribusikan atau hirarkis [Shin et al. 2010]. Ini Informasi
kabar angin dapat data mentah atau hasil analisis. Buchegger dan Le Boudec
[Buchegger dan Le Boudec 2002] membedakan tiga tingkat multitrust:
mengalami data rekening fi rsthand yang memiliki paling berat, diamati Data
terjadi di lingkungan (dalam jangkauan radio) dan melaporkan data akun
yang datang dari luar lingkungan yang memiliki berat badan kurang dari data
yang dialami atau diamati. Desas-desus atau gosip juga dapat digunakan
untuk merujuk pada data yang dilaporkan. Kontras dengan apa rekomendasi
[Shin et al. 2010] panggilan pemantauan langsung. Memberikan bobot untuk
rekomendasi lain dalam lingkungan federasi menyebabkan dilema: Di satu
sisi, sebuah node menempatkan cukup kepercayaan tetangga untuk
memasukkan desas-desus mereka dalam perhitungan reputasi. Di sisi lain
tangan, node cukup dari lingkungan mereka yang mencurigakan untuk
mengukur dan merespon reputasi tetangga mereka. Oleh karena itu,
multitrust lebih cocok untuk meningkatkan keamanan dikelola / dikonfirmasi
lingkungan daripada untuk membangun dasar tingkat keamanan. Masalah
kunci menjamin dataset yang lebih besar menghasilkan keuntungan bersih di
metrik kunci meskipun kehadiran buruk-mengucapkan dan pemungutan
suara serangan stuf fi ng [Chen et al. 2010; 2013; Bao et al. 2011; 2012; Cho
et al. 2009; 2012]. Multitrust layak perhatian lebih karena memperluas
dataset yang tersedia untuk IDS.
Ketiga, ada berbasis jaringan kecil CPS IDS penelitian dalam literatur
berdasarkan kami Hasil survei yang tercantum dalam Tabel VI. Namun, patut
mendapat perhatian karena CPS akan memiliki diprediksi misi-penting lalu
lintas fi c pro fi les yang IDSS mereka harus memanfaatkan. Juga, CPS IDS
harus sangat hemat dalam artefak yang mereka pelajari untuk menghindari
meningkatnya permintaan prosesor.
Keempat, audit harus fokus pada data lapisan aplikasi. Audit data lapisan
bawah yang umum untuk aplikasi apapun telah dipelajari dengan baik,
sehingga lawan berharap ini tindakan defensif. Sebuah musuh yang licik akan
kerajinan serangan mereka tampil normal setiap cara yang mungkin untuk

menghindari banyak digunakan IDS. IDS lapisan aplikasi Audit Data fokus
pada mendeteksi musuh di mana mereka harus mengungkapkan diri untuk
menyerang sistem.
Kelima, model berbasis teknik analisis seperti [Cho et al. 2010; Al-Hamadi
dan Chen 2013; Mitchell dan Chen 2011; 2013d; 2013c] perlu untuk
dikembangkan dan divalidasi untuk menganalisis kinerja protokol CPS IDS
dan mengidentifikasi protokol CPS IDS optimal pengaturan untuk
memaksimalkan kinerja CPS IDS berdasarkan metrik kinerja didefinisikan.
Item konfigurasi con fi (misalnya, jumlah detektor intrusi, selang audit dan
deteksi threshold) berdampak deteksi dan palsu tingkat positif dari IDS dan
umur panjang CPS secara keseluruhan. Peneliti harus mengidentifikasi
parameter yang memiliki lokal maksimum dan parameter yang kovarian.
Mereka harus menetapkan heuristik untuk menemukan nilai optimal untuk
mantan set dan persamaan yang mencirikan tradeoff untuk set kedua. Untuk
tujuan ini, ditutup model matematika bentuk adalah alat terbaik. Dalam
ketidakhadiran mereka, peneliti harus membentuk model analitis. Selain itu,
mereka harus simulasi instrumen untuk memvalidasi model analitis.
Keenam, tidak semua musuh berperilaku sama, sehingga peneliti harus
mengidentifikasi penyerang model. Karakteristik utama meliputi perilaku
(mempertimbangkan waktu, tingkat kolusi dan kecanggihan) dan tingkat
menangkap. Literatur tipis pada pemodelan musuh [Mitchell dan Chen
2013c]. Ada kebutuhan untuk pemodelan dan analisis musuh perilaku dan
deteksi intrusi pertahanan untuk CPS.
Ketujuh, deteksi berbasis kation fi perilaku-spesifik layak penelitian lebih
lanjut perhatian. Teknik deteksi berbasis pengetahuan mungkin tidak layak
untuk banyak aplikasi CPS karena mereka tidak dapat mendeteksi serangan
yang tidak dikenal. Teknik deteksi perilaku berbasis mungkin tidak layak
karena tingkat positif palsu yang tinggi. Namun, lebih banyak usaha adalah
diperlukan untuk lebih re fi ne teknik pemantauan ambang ditambah dengan
perilaku- spesifik kasi berbasis deteksi. Secara khusus, karya yang ada
[Mitchell dan Chen 2012b; 2012a] menggunakan ambang kegagalan biner
untuk mengklasifikasikan sebuah node sebagai berbahaya atau normal,
yaitu, berdasarkan tingkat kepatuhan jika node saat ini adalah lebih rendah
atau lebih tinggi dari ambang batas. Kriteria ambang kegagalan lainnya
berdasarkan kriteria kegagalan kabur [Bastani et al. 1994; Chen dan Bastani
1991; Chen et al. 1995] mungkin terbukti lebih efektif terhadap kebisingan
lingkungan dan / atau penyerang cerdas. Mengidentifikasi lingkungan
variabel, mendefinisikan perubahan lingkungan dalam hal perubahan variabel
lingkungan dan menggabungkan hukum fisika untuk mendefinisikan perilaku
yang dapat diterima terhadap lingkungan Perubahan tersebut tonggak
penting dalam baris ini penyelidikan.
Kedelapan, peneliti harus mengejar tanggapan disesuaikan dengan
penyerang perilaku. The Tanggapan intrusi terbaik adalah situasional: Jika
musuh adalah terus-menerus, mengusir mereka adalah prioritas. Jika musuh
bersifat sementara, memperbaiki sistem adalah prioritas. Jika musuh tidak
efektif, membangun atribusi atas serangan itu adalah prioritas. Peneliti harus
mempelajari respon proaktif: Sebuah CPS yang benar-benar tergantung pada

langkah-langkah reaktif dapat menjadi korban serangan oleh musuh yang

terus memprovokasi respon intrusi misi-mempengaruhi. Dalam dunia ICT,
pendekatan sering aktif (bertujuan aktif memblokir lalu lintas berbahaya fi c)
lebih disukai daripada yang pasif (penebangan alert menjadi fi le besar untuk
analisis). Menemukan pendekatan respon yang efektif untuk CPS adalah
tantangan penting untuk mengatasi.
Kesembilan, ada sedikit penelitian CPS IDS dalam literatur yang
mempertimbangkan loop tertutup blok kontrol CPS a. Ini adalah artefak kunci
dari CPS; persyaratan real-time mereka menantang IDS untuk menghindari
gangguan saat mereka mampu peluang IDS dalam bentuk sangat perilaku
diprediksi pro fi les.
Kesepuluh, peneliti harus mempelajari Federasi CPS IDS. Aktor dari kantongkantong yang berbeda akan memiliki misi yang berbeda dan perilaku yang
berbeda karena itu pro fi les. IDSs dari kantong yang berbeda akan berjuang
untuk membangun kepercayaan sehingga mereka dapat berbagi data audit
dan efek sanksi trans-kantong. Multitrust dapat menjadi faktor desain kunci
dalam membangun masa depan Federasi CPS IDS.
Akhirnya, ada sedikit penelitian CPS IDS dalam literatur yang menganggap
otomotif aplikasi. Namun, aplikasi otomotif yang sangat relevan sebagai
kendaraan kami menjadi lebih cerdas (misalnya sistem menghindari
tabrakan), pola mobilitas kami berevolusi untuk memasukkan tiga dimensi
gerak, kemacetan panjang dan traversals canyon perkotaan dan kapasitas
manusia untuk menghitung saat bepergian (karena otonomi kendaraan)
meningkatkan.