Machine Translated by Google
Penemuan Sistem Cyber-Fisik –
Membalikkan Proses Fisik Rekayasa
Alexander Winnicki Marina Krotofil
Universitas Hamburg Cyber Industri Honeywell
Teknologi Lab Keamanan
Hamburg, Jerman Duluth, GA 30097, AS
ABSTRAK
Serangan dunia maya yang berhasil terhadap sistem fisik dunia maya
membutuhkan pengetahuan ahli tentang perilaku dinamis dari proses fisik
yang mendasarinya. Oleh karena itu, memperoleh informasi yang relevan
merupakan bagian penting selama persiapan serangan.
Pekerjaan sebelumnya telah menunjukkan perolehan pengetahuan
secara manual tentang dinamika proses menjadi sangat melelahkan.
Makalah ini menyajikan wawasan pertama tentang penemuan sistem
sadar proses semi-otomatis yang melampaui hal-hal sepele terkait TI,
dan berfokus pada inti fisik sistem.
Kata kunci
Sistem siber-fisik, penemuan proses, korelasi sinyal
1. PERKENALAN
Tahapan serangan dunia maya terhadap Sistem Cyber-Fisik (CPS)
dibagi menjadi akses, penemuan, kontrol, kerusakan, dan pembersihan,
di mana musuh harus melakukan tugas yang berbeda di setiap tahap
untuk mencapai tujuan tertentu [13]. Agar berhasil pada tahap kontrol,
penyerang perlu cukup memahami fisika yang mendasari sistem target
sehingga mereka dapat mengontrol proses inti fisik itu sendiri, dan
membawanya ke keadaan yang diinginkan.
Dengan asumsi keberadaan IT yang dapat dikompromikan dan perangkat
tertanam di dalam CPS, yang memungkinkan musuh mendapatkan akses
jarak jauh ke sistem kontrol operasi, kami memeriksa kemampuan
penyerang pada tahap kontrol.
Penemuan sistem yang ditargetkan terhadap CPS telah diamati di
alam liar pada tahun 2013, ketika malware Havex menginfeksi banyak
situs industri melalui trojanized installer paket perangkat lunak, dan mulai
mengumpulkan informasi tentang kontrol industri dan perangkat lapangan
[8]. Meskipun mudah didapat, jenis informasi ini tidak cukup untuk
mengontrol proses fisik dengan baik. Selain itu, informasi statis yang
terkait dengan fisika proses, misalnya lembar-aliran proses, juga mudah
diperoleh tetapi juga tidak memperhitungkan perilaku dinamis dari fisika
yang mendasarinya. Pekerjaan sebelumnya telah menunjukkan bahwa
memperoleh pengetahuan yang memadai tentang proses dinamis
Izin untuk membuat salinan digital atau hard copy dari semua atau sebagian dari karya ini untuk
penggunaan pribadi atau ruang kelas diberikan tanpa biaya asalkan salinan tidak dibuat atau
didistribusikan untuk keuntungan atau keuntungan komersial dan bahwa salinan memuat
pemberitahuan ini dan kutipan penuh pada yang pertama halaman. Hak cipta untuk komponen karya
ini dimiliki oleh orang lain selain ACM harus dihormati. Mengabstraksi dengan kredit diperbolehkan.
Untuk menyalin sebaliknya, atau mempublikasikan ulang, memposting di server atau mendistribusikan
ulang ke daftar, memerlukan izin khusus sebelumnya dan/atau biaya. Minta izin dari permissions@acm.org.
ASIA CCS '17, 2–6 April 2017, Abu Dhabi, Uni Emirat Arab. c.ACM
2017. ISBN 978-1-4503-4944-4/17/04. . . . . . . . . $15.00.
DOI: http://dx.doi.org/10.1145/3055186.3055195
3
Dieter Golmann
Universitas Hamburg
Teknologi
Hamburg, Jerman
perilaku tanpa informasi a-priori adalah tugas yang sulit karena skala
besar dan saling ketergantungan yang kompleks dari subkomponen CPS
[13]. Aspek tertentu dari perilaku proses mungkin tidak terdokumentasi
atau sebelumnya tidak terlihat, dan karena itu tidak diketahui bahkan oleh
operator proses.
Agar tetap tidak terdeteksi, penyerang perlu menghindari pemicu
kendala operasional dan keamanan saat mengontrol proses. Namun,
hanya mengetahui ambang batas saja tidak cukup, karena fisika proses
inti dapat berperilaku sangat non-linier, dengan mudah menyebabkan
alarm saat tidak diharapkan. Selain itu, perilaku proses di luar amplop
operasional dari struktur kontrol yang diterapkan mungkin tidak terdefinisi
dan tidak dapat diprediksi. Dari perspektif penyerang memahami keadaan
yang diinginkan dari proses fisik yang mencapai tujuan serangan tertentu,
dan mengetahui bagaimana mencapai keadaan tersebut adalah dua
masalah yang berbeda. Keduanya menuntut pengetahuan yang diperluas
tentang dinamika proses yang mendasarinya. Namun, kompleksitas CPS
dapat membuat perolehan informasi secara manual tentang perilaku
proses dinamis menjadi sangat melelahkan. Prosedur otomatis untuk
mengidentifikasi model tanaman perilaku melalui kontrol dan metode
rekayasa otomasi (lihat misalnya [7, 2]) mungkin tidak cocok untuk
penyerang yang telah menembus target tetapi harus bekerja dengan
sumber daya komputasi yang terbatas dan mungkin tidak mampu
mengekstrak data dalam jumlah besar.
Untuk mengatasi masalah ini, kami mengusulkan pendekatan umum
dan semi otomatis untuk membuat katalog dinamis proses fisik secara
menyeluruh dengan menangkap pembacaan sensor secara langsung.
Pertama, kami mengusulkan pendekatan penyerangan umum yang
terinspirasi oleh penyetelan pengontrol untuk memungkinkan pemeriksaan
proses tanpa deteksi, dan untuk memperhitungkan kurangnya
pengetahuan a-priori tentang batasan proses. Selanjutnya, kami
menyajikan algoritme ringan untuk pengelompokan pembacaan sensor
berbasis korelasi berdasarkan respons proses yang ditangkap yang
diinduksi oleh probing. Terakhir, kami memverifikasi hasil kami dengan
metrik turunan untuk memastikan presisi yang memadai, dan mengusulkan
representasi visual dari hasil untuk memungkinkan ringkasan yang nyaman dan ekspresif.
Makalah kami disusun sebagai berikut: Bagian 2 menyajikan kerangka
kerja simulasi yang kami gunakan sebagai testbed untuk pendekatan
kami dan menguraikan mengapa kerangka kerja yang diadopsi sesuai
dengan kasus penggunaan kami. Bagian 3 memberikan penjelasan rinci
tentang pendekatan yang kami usulkan. Bagian 4 membahas sekumpulan
hasil perwakilan yang dipilih, Bagian 5 merangkum pekerjaan kami.
2. KERANGKA SIMULASI
Kami menguji pendekatan kami dengan masalah tes Tennessee
Eastman (TE), awalnya ditawarkan untuk dipelajari oleh Eastman
Chemical Company [12], dan selanjutnya diperluas dengan model Mat
lab Simulink oleh Ricker [9]. Masalah tes adalah de
Machine Translated by Google
Gambar 1: Masalah pengujian seluruh pabrik Tennessee Eastman
diambil dari proses industri aktual di mana komponen, dinamika sistem,
dan kondisi disesuaikan untuk melindungi kekayaan intelektual
Eastman Chemical Company.
Namun demikian, masalahnya memberikan lingkungan simulasi umum
dan realistis dari CPS industri kimia.
Masalah tes TE sangat cocok untuk menguji pendekatan kami
karena tidak terikat pada kekhasan proses tertentu, misalnya komponen
kimia yang terlibat tidak diketahui. Dengan demikian kami dapat
memverifikasi pendekatan kami dalam hal sifat generiknya tanpa
memerlukan pengetahuan tentang aspek kimia dari proses tersebut.
Oleh karena itu, hasil kami dapat terlepas dari masalah khusus ini, dan
ditafsirkan dalam konteks berbagai CPS yang berbeda.
Tujuan kami adalah merekayasa balik perilaku proses fisik
berdasarkan dinamika data proses, tanpa mengandalkan makna
semantik dari data tersebut. Misalnya, kami mengidentifikasi sinyal
sensor yang berkorelasi karena respons pulsa im yang serupa, dan
bukan karena kimia yang mendasarinya akan menyiratkan korelasinya.
Oleh karena itu, pendekatan kami memperhitungkan situasi musuh
yang menghadapi proses tanpa pengetahuan apriori mengenai
perilakunya. Kami menyelidiki apakah mungkin untuk memperoleh
informasi perilaku dinamis dengan mengamati respons proses terhadap
impuls impuls buatan, dan apakah pengetahuan ini cukup untuk
memfasilitasi keberhasilan pada tahap pengendalian serangan dunia
maya.
Model Matlab dari masalah tes TE diimplementasikan sebagai fungsi
Mex S berbasis C dengan model Simulink. Waktu simulasi kesalahan
adalah tujuh puluh dua jam, dengan frekuensi pengambilan sampel
seratus pengukuran per jam. Kondisi start-up dan shutdown sistem
tidak disimulasikan; eksekusi dimulai dengan nilai dasar yang telah
ditentukan sebelumnya.
Ada dua belas pengontrol (disebut XMV), dan empat puluh satu sensor
(disebut XMEAS) yang memberikan pengukuran dari proses simulasi.
Semua pengukuran mengandung derau Gaus sian dengan standar
deviasi tipikal tertentu
4
jenis pengukuran. Selain itu, ada dua puluh mode gangguan yang
berbeda (disebut IDV) yang dapat dinyalakan dan dimatikan secara
selektif. Keluaran dari setiap simulasi adalah matriks data di mana
setiap kolom berisi pengukuran sensor yang berbeda, dan setiap baris
adalah langkah waktu, yaitu 36 detik simulasi. Akibatnya, simulasi
default memberikan 7201 pengukuran per sensor, menghasilkan
matriks berukuran 7201x41.
Waktu simulasi dapat diperpanjang atau dipersingkat untuk
menyesuaikan jumlah pengukuran sensor yang dihasilkan.
Diagram aliran proses dan struktur kontrol ditunjukkan pada Gambar
1. Proses memiliki lima unit operasional utama: reaktor, kondensor
produk, pemisah uap-cair, kompresor daur ulang, dan stripper produk.
Laju umpan reaktor sebagian dikendalikan oleh hasil analisis produk
kimia. Pada kenyataannya, analisis semacam itu adalah prosedur
luring non-otomatis, yang dapat memakan waktu hingga setengah jam.
Oleh karena itu instalasi nyata tidak dapat menerapkan strategi kontrol
seperti itu, karena laju umpan reaktor biasanya harus memenuhi
persyaratan waktu nyata yang ketat.
Untuk mensimulasikan serangan cyber terhadap proses TE kami
menggunakan ekstensi ke model Simulink asli yang disediakan di [4],
yang mendukung mode serangan yang berbeda terhadap proses tersebut.
Ekstensi menyediakan berbagai mode integritas data dan serangan
Denial of Service (DoS) terhadap sebagian besar pengontrol, sensor,
dan aktuator yang diberikan. Waktu, durasi, dan frekuensi serangan
dapat ditentukan untuk setiap simulasi yang dijalankan.
3. PENDEKATAN Kami
sekarang menyajikan pendekatan kami untuk merekayasa balik
proses fisik dari pengukuran sensor yang ditangkap. Prosedur yang
kami usulkan adalah semi-otomatis: Sementara at tacker harus secara
aktif melakukan probing proses yang kami berikan kerangka kerja
sistematis, pengumpulan dan pemrosesan data sensor dilakukan oleh
algoritme kami saat itu juga.
Machine Translated by Google
3.1 Proses Probing
Penyerang yang menghadapi proses yang tidak diketahui ditantang oleh
kurangnya pengetahuan tentang penyetelan dan respons loop kontrol. Oleh
karena itu, mencoba membuat katalog perilaku dinamis dari proses dengan
mengirimkan impuls buatan menjadi tugas yang tidak sepele. Pada akhirnya,
penyerang harus menerapkan trial-and error process-probing, di mana
kesalahan tidak boleh memicu alarm, deteksi, dan pencabutan target
penyerang.
Tidak ada solusi umum untuk masalah bagaimana secara khusus
menyerang loop kontrol yang diberikan dengan respons yang tidak diketahui,
sehingga tidak ada alarm yang dibunyikan. Namun, prosedur penyetelan loop
kontrol menghadapi masalah yang sama ketika mengatur loop kontrol di
seluruh pabrik untuk mengoptimalkan dan menyeimbangkan proses [10, 11].
Oleh karena itu kami memperoleh pendekatan serangan terpadu yang
terinspirasi oleh prosedur penyetelan loop kontrol sehingga kami memperoleh
pendekatan probing umum yang kami terapkan pada semua loop kontrol yang
tersedia. Tujuan dari pendekatan terpadu kami adalah untuk memberikan titik
awal untuk memeriksa proses dengan cara yang aman, yaitu tanpa
menyebabkan alarm atau pemutusan keamanan.
Kami mulai dengan menganalisis dan mengukur tingkat kebisingan sinyal
sensor. Untuk memperhitungkan sifat ringan dari pendekatan kami, kami
memperkirakan tingkat kebisingan dengan asumsi berikut. Tanpa pengaruh
luar, sinyal berfluktuasi di sekitar nilai rata-rata tertentu, dan fluktuasi memiliki
besaran yang hampir sama baik dalam arah positif maupun negatif. Kami
lebih lanjut mengasumsikan bahwa tingkat kebisingan sinyal adalah konstan
di seluruh rata-rata sinyal yang berbeda, yaitu pada titik setel yang dipaksakan.
Ini konsisten dengan pengamatan kami terhadap perilaku proses TE.
Persamaan 1 menggambarkan perkiraan kami tentang tingkat kebisingan
sinyal berdasarkan asumsi ini. Nilai signalmin dan signalmax merupakan nilai
pengamatan minimum dan maksimum untuk sinyal yang diberikan selama
operasi normal, dan tingkat derau yang dihasilkan mewakili besaran derau
maksimum yang diharapkan dalam arah positif atau negatif.
signalmax ÿ signalmin tingkat
kebisingan = 2
|rata-rata normal ÿ rata-rata menyimpang|
faktor kebisingan =
tingkat kebisingan
Selanjutnya, kami menginduksi perubahan langkah beberapa persen di
pengontrol yang merespons. Setelah sinyal sensor menetap di set-point baru,
kami menghitung besarnya perubahan sehubungan dengan keadaan
sebelumnya, dan menghitungnya sebagai faktor tingkat kebisingan. Kami
menyebut faktor kebisingan nilai yang dihasilkan, didefinisikan dalam
Persamaan 2. Nilai rata-rata dari keadaan normal sebelumnya dan keadaan
menyimpang yang diinduksi dilambangkan dengan rata-rata normal dan rata-
rata menyimpang. Seperti yang disarankan dalam [10], kami memeriksa
apakah deviasi sinyal yang dihasilkan melebihi ambang signifikansi lima kali
tingkat kebisingan sinyal. Jika tidak, kami sesuaikan titik setel pengontrol
beberapa persen lagi, dan biarkan sinyal stabil lagi. Kami melakukannya
sampai deviasi mengarah ke faktor kebisingan lebih besar dari lima. Titik setel
pengontrol yang menciptakan penyimpangan seperti itu adalah nilai serangan
awal yang kami gunakan untuk menganalisis respons proses lebih lanjut.
Gambar 2 menunjukkan sinyal sensor aliran umpan reaktor dengan
perubahan langkah yang diinduksi pada pengontrol yang sesuai pada t = 20
jam, menghasilkan deviasi dengan besaran kira-kira lima kali tingkat kebisingan
sinyal. Parameter serangan yang membuat respons ini direkam lebih lanjut
xmeas 3
5000
Faktor kebisingan: 5.36
4900
4800
4700
4600
4500
4400
4300
0 20 40 60 80 100
Waktu [jam]
Gambar 2: Penyimpangan dengan faktor kebisingan yang diinginkan
probing proses. Perhatikan bahwa dinamika katup tidak dimodelkan dalam
kerangka simulasi TE. Oleh karena itu set-point baru tercapai hampir secara
instan. Proses fisik dunia nyata akan membutuhkan waktu tertentu untuk
mencapai keadaan barunya.
Perubahan sinyal sensor yang menarik dapat dideteksi dengan cara otomatis,
misalnya dengan algoritma CUSUM ringan seperti yang ditunjukkan pada
pekerjaan kami sebelumnya [3].
Yang penting, pendekatan serangan kami memberi musuh cara umum
untuk secara diam-diam menyelidiki loop kontrol individu. Ini sama sekali
bukan solusi lengkap untuk masalah manipulasi proses tanpa pengetahuan
apriori.
Jadi, sementara untuk sebagian besar pengontrol proses TE cukup
menginduksi perubahan langkah sekitar 10% untuk mencapai faktor kebisingan
yang diinginkan, satu pengontrol memerlukan perubahan lebih dari 80%.
Selain itu, loop kontrol yang terkait dengan suhu dan aliran air pendingin
sangat sensitif sehingga tidak mungkin mencapai faktor kebisingan kurang
dari seratus.
Karena besarnya respons proses tidak diketahui oleh penyerang sebelumnya,
ini merupakan tantangan yang signifikan dan ketidakpastian bagi penyerang.
(1) Akibatnya, dari dua belas pengontrol yang tersedia dalam model TE, tiga
tidak dapat diserang karena memiliki pengaturan konstan, dan empat terkait
dengan parameter suhu dan karena itu terlalu sensitif. Dengan demikian, kami
memiliki lima pengontrol yang dapat diserang yang pendekatan terpadu kami
(2)
untuk menyelidiki proses secara diam-diam dapat diterapkan. Empat dari
pengontrol ini mengatur aliran umpan, dan satu bertanggung jawab atas laju
pembersihan reaktor. Tabel 1 menggambarkan parameter serangan yang
kami peroleh untuk pengontrol ini menggunakan pendekatan kami.
Tantangan lain dalam menyelidiki suatu proses adalah ketidakpastian
dalam hal waktu. Untuk menetapkan pendekatan penyerangan terpadu kami,
pertama-tama kami menggunakan serangan bertahap, yaitu perubahan terus-
menerus dari titik setel pengontrol. Namun, untuk memodelkan rangkaian
lengkap perilaku proses, penyerang tidak bisa hanya mengandalkan serangan
bertahap. Sebagai gantinya, serangan interval dengan parameter waktu yang
ditentukan harus diterapkan, sehingga setelah tindakan penyelidikan yang
berhasil, proses dibiarkan pulih sebelum serangan baru dapat dimulai. Fase
pemulihan proses penting untuk menemukan respons tersembunyi, misalnya
pasca-reaksi, yang terjadi setelah serangan selesai.
Respons proses dan waktu pemulihan tidak dapat ditebak.
Oleh karena itu, untuk setiap tindakan probing, penyerang memerlukan waktu
tertentu untuk mengamati penyimpangan, dan membiarkan proses pulih ke
keadaan semula. Selain itu, jika at tacker tidak dapat mengamati (mendeteksi)
respons apa pun untuk jangka waktu tertentu, tidak pasti apakah serangan itu
masuk.
5
Machine Translated by Google

Pengontrol Sensor Rata-rata Attack Value Unit Step Change Noise Factor XMV(1) (D Feed Flow)
XMEAS(2) 63,00 68,75 kg/jam 9,1% XMV(2) (E Aliran Umpan) 5.41
XMEAS(3) 53,13 58,00 kg/jam 9,2% XMV(3) (Aliran Umpan) 5.36
XMEAS(1) 26,11 29,00 kscmh 11,1% XMV(4) (Aliran Umpan A dan C) 5,07
XMEAS(4) 60,57 65,30 kscmh 7,8% XMV(6) (Katup Pembersih) 4,26
XMEAS(10) 25,74 47,00 % 82,6% 5,14

Tabel 1: Parameter serangan untuk pengontrol

signifikan dan tidak akan ada tanggapan, apakah ada tanggapan kecil tapi
tidak terlihat, atau apakah tanggapan belum terjadi. Menemukan parameter
waktu serangan dan ukuran jendela pengamatan proses memerlukan
eksperimen empiris pada proses langsung.
Saat bekerja dengan kerangka kerja simulasi, pemeriksaan proses
dapat dihentikan secara manual dan dimulai kembali kapan saja, sehingga
secara praktis memungkinkan untuk mengabaikan waktu pemulihan
proses. Namun, proses nyata yang diserang tidak dapat dimatikan dan
dimulai ulang begitu saja. Dalam pekerjaan kami, kami ingin serealistis
mungkin sambil mensimulasikan situasi penyerang. Oleh karena itu kami
memperluas parameter serangan yang ditemukan oleh pendekatan kami
dengan parameter waktu sehingga kami dapat melakukan serangan
interval yang aman dari alarm dengan waktu mulai dan akhir yang tetap.
Parameter waktu yang efektif dapat ditemukan dengan menggunakan
strategi yang sama, yaitu dengan memulai dengan interval kecil dan
memperpanjangnya hingga terlihat penyimpangan yang terlihat. Prosedur
ini sejalan dengan fakta bahwa interval serangan yang lebih pendek
menguntungkan penyerang dalam hal upaya, risiko, dan waktu pemulihan.
yang secara tidak sengaja memiliki jumlah kemiringan yang serupa juga
dapat dikelompokkan dalam kelompok yang sama, yang cukup sering
terjadi dalam simulasi kami. Terakhir, pendekatan SDA tidak memberikan
informasi tambahan tentang sinyal yang dianalisis.
Tidak dapat mencapai hasil yang memuaskan dengan algoritma SDA,
kami mengembangkan Sliding Mean Algorithm (SMA) kami sendiri. Intinya,
SMA secara iteratif menurunkan kelompok sensor terkait tanpa
menghitung gagasan matematis tentang korelasi. Menentukan korelasi
matematis untuk sejumlah besar pengukuran sensor yang terjadi akan
intensif secara komputasi. Sebagai gantinya, kami memperkirakan
hubungan korelasi antara sensor dengan membandingkan nilai rata-rata
di seluruh seri pengukuran yang berbeda dengan menggunakan interval
rata-rata geser. SMA kebal terhadap outlier data karena perhitungan rata-
rata yang melekat. Sinyal yang dikelompokkan bersama memiliki jenis
korelasi yang sama karena diidentifikasi memiliki pola respons yang
ditentukan, dan bukan hanya hitungan kemiringan yang serupa. Informasi
sinyal tambahan, misalnya besaran deviasi, waktu pemulihan, pasca-
reaksi, dikembalikan sebagai informasi jaminan yang diperoleh dengan
perhitungan rata-rata.

Singkatnya, probing proses melalui serangan terhadap titik setel
pengontrol adalah proses lambat yang terkait dengan sejumlah besar
ketidakpastian. Ketidakpastian seperti itu sangat tidak menguntungkan
penyerang karena meningkatkan kemungkinan kesalahan dan deteksi
yang tidak disengaja.
Seperti yang kami tunjukkan di Bagian 4, pendekatan kami ringan dan
menghasilkan hasil yang cukup akurat.
Penilaian rinci dan perbandingan kedua algoritma akan keluar dari
jumlah halaman makalah ini. Alih-alih, kami fokus pada Sliding Mean
Algorithm, yang memberikan hasil paling akurat dan berguna.

3.2 Sensor Clustering Kami

sekarang menyajikan pendekatan algoritmik kami untuk masalah
merekayasa balik proses fisik, dan ukuran korelasi tergantung waktu
sebagai alat verifikasi.
Pendekatan kami membedakan dua fase pemrosesan sinyal: perkiraan
dan pengelompokan (sinyal berkorelasi).
Dalam pendekatan awal kami, kami menggunakan adaptasi dan
modifikasi dari Swinging Door Algorithm (SDA), yang secara iteratif
mengurangi seri data menjadi satu set garis regresi linier [1, 6]. Pertama
kali disajikan pada tahun 1990, algoritma trending Pintu Swinging adalah
algoritma lossy yang banyak digunakan dalam kontrol proses industri. Ini
adalah algoritma pemasangan linier yang memampatkan data dengan
mengurangi jumlah titik data yang perlu disimpan. SDA banyak digunakan
oleh banyak database real-time seperti PI dan lainnya karena efisiensinya
yang tinggi dan tingkat kompresi yang tinggi.
Setelah memperkirakan perilaku dinamis dari sinyal sensor dengan
serangkaian garis, kami kemudian menganalisis garis yang dihasilkan
sehubungan dengan kemiringannya. Selanjutnya, kami mengelompokkan
sinyal dengan jumlah kemiringan naik dan turun yang serupa ke dalam kelompok. dimulai dari t = ta. Kami membagi interval menjadi dua bagian, dan
Namun, SDA sangat sensitif terhadap outlier data karena bahkan setelah
down-sampling setiap sampel memiliki dampak yang kuat pada garis
regresi yang dihasilkan. Oleh karena itu kami tidak dapat mencapai
pertukaran yang memuaskan antara jumlah perilaku sinyal signifikan
yang tersisa dan gangguan acak. Selain itu, kluster korelasi yang dihasilkan lebih besar atau lebih kecil dari yang kita gunakan untuk nilai referensi. Ini
tidak membedakan jenis korelasi yang berbeda, misalnya korelasi linier
dan invers linier dapat terjadi dalam kluster yang sama. Sinyal yang tidak
berkorelasi
3.2.1 Algoritma Inti
Algoritma Sliding Mean kami dimulai dengan menilai perilaku garis
dasar dari suatu sinyal. Ini dilakukan dengan menghitung nilai rata-rata
untuk jendela waktu sebelum serangan. Waktu dan durasi serangan
adalah parameter masukan untuk algoritme kami. Kami berasumsi bahwa
penyerang mengetahui kapan dan berapa lama menyerang sistem korban,
dan mampu menempatkan tindakan mereka dengan benar di garis waktu
peristiwa sistem.
Dengan asumsi bahwa serangan dimulai pada t = ta, algoritme kami
menghitung nilai rata-rata berdasarkan interval waktu t = ta ÿ s hingga t =
ta, di mana s adalah jumlah sampel yang kami rata-rata. Kami menggunakan
nilai s = 100 karena terbukti menjadi trade-off yang baik antara kompresi
dan presisi, dan untuk konsistensi. Rata-rata yang dihasilkan adalah nilai
referensi kami untuk perilaku normal dari sinyal yang diberikan. Selanjutnya,
kami menentukan nilai minimum dan maksimum yang terkandung dalam
sinyal sebelum serangan.
Selanjutnya, kita mengalihkan perhatian kita ke interval serangan yang
memeriksa masing-masing secara terpisah. Kami pertama kali menghitung
nilai rata-rata untuk paruh pertama, dan membandingkan hasilnya dengan
nilai referensi yang ditentukan sebelumnya. Perhatikan bahwa tergantung
pada durasi serangan, jendela data yang digunakan untuk rata-rata bisa
adalah adaptasi yang diperlukan, karena kami tidak dapat mengandalkan
interval serangan yang selalu dapat dibagi sempurna dengan interval rata-
rata kami.

6
Machine Translated by Google
Perbandingan referensi dilakukan dengan menghitung selisih
antara nilai referensi dan nilai rata-rata. Ritme algoritme kita
selanjutnya membutuhkan batas kesalahan untuk berfungsi sebagai
interval kepercayaan, yang berarti bahwa batas tersebut harus
dilampaui agar kita mengakui suatu reaksi. Jika perbedaan yang
dihitung lebih besar dari kesalahan maka tanda perbedaan
menentukan jenis reaksi, yang dapat berupa positif atau negatif. Kalau
tidak, kami berasumsi bahwa tidak ada reaksi.
Akibatnya, kami membedakan tiga kemungkinan respons untuk paruh
pertama serangan: positif, negatif, dan tidak ada.
Skala dan jangkauan sinyal sensor sangat berbeda di antara
pengukuran proses. Oleh karena itu, kami mewajibkan setiap sinyal
sensor untuk memiliki batas kesalahan yang disesuaikan dengan
skala individual. Untuk mencapai tujuan ini, pertama-tama kita
melakukan down-sample semua data, kemudian menentukan nilai
minimum dan maksimum di setiap rangkaian sinyal, menghitung jarak
mutlak di antara mereka, dan membagi hasilnya menjadi dua. Karena
ini dilakukan untuk setiap sinyal, hasil akhirnya berupa vektor nilai
kesalahan yang disesuaikan skala dan pengurangan noise untuk
semua sensor. Setiap nilai kesalahan mewakili seberapa besar sinyal
dapat bervariasi dalam arah positif dan negatif, sehingga penyimpangan
dianggap tidak signifikan.
Pengambilan sampel data dan pelatihan kesalahan keduanya ringan
Prosedur. Down-sampling kami didasarkan pada penghitungan nilai
rata-rata, di mana hanya dua nilai yang perlu disimpan: jumlah dan
jumlah sampel yang dikandung oleh jumlah tersebut. Setiap
perhitungan rata-rata selanjutnya membutuhkan s penjumlahan dan
satu pembagian, per interval rata-rata. Di sisi lain, pelatihan kesalahan
memerlukan prosedur standar untuk menemukan nilai minimum dan
maksimum dalam rangkaian data, selanjutnya satu pengurangan dan
satu pembagian.
Paruh kedua serangan berfungsi untuk memverifikasi respons
yang ditemukan di paruh pertama sinyal sensor, karena beberapa
alasan. Kami telah menemukan secara eksperimental bahwa banyak
sinyal memiliki waktu mati yang besar, yang berarti bahwa sinyal
tersebut menunjukkan respons yang tertunda. Ini berarti bahwa
mungkin tidak ada reaksi yang terlihat selama paruh pertama
serangan. Sebaliknya, tanggapan juga dapat muncul dengan
sendirinya segera tetapi hanya untuk waktu yang sangat singkat.
Dalam hal ini, tidak akan ada reaksi selama babak kedua. Memisahkan
serangan secara terval menjadi dua bagian yang berbeda
memungkinkan kita untuk mendeteksi dan mempertimbangkan sifat-
sifat perilaku sinyal ini dalam keputusan klasifikasi dan pengelompokan respons kita.
Selanjutnya, sementara beberapa sinyal menunjukkan reaksi positif
atau negatif yang sangat jelas terhadap impuls tertentu, untuk sinyal
lain sulit untuk memutuskan apakah respon meningkat atau menurun,
misalnya ketika sinyal menunjukkan osilasi dengan besaran yang
berubah. Dalam hal ini kita menganggap kemiringan osilasi dengan
magnitudo terbesar untuk mewakili sifat respons, misalnya sinyal
berosilasi tetapi ada kecenderungan meningkat, atau osilasi terkuat
bertanda positif, maka kita katakan responsnya positif. Melakukan hal
itu juga masuk akal bagi penyerang; bahkan jika responsnya secara
teoritis berbeda dalam interpretasi kimiawi, osilasi terkuat harus
menjadi fokus karena dapat mengenai batasan proses dan memicu
alarm potensial.
Jika kami tidak menemukan respons selama paruh pertama
serangan, kami belum dapat mengatakan apakah sinyal tersebut tidak
merespons sama sekali, atau apakah responsnya tertunda. Namun,
jika tidak ada respons selama paruh kedua, maka kami menganggap
bahwa sinyal tidak bereaksi terhadap impuls yang diberikan. Dalam
kasus akhirnya ada tanggapan selama babak kedua kami berpendapat
bahwa babak kedua merupakan reaksi yang sebenarnya. Kami
menerapkan argumentasi yang sama untuk kasus yang ada
7
tanggapan selama babak pertama tetapi tidak selama babak kedua,
di mana kami menganggap babak pertama sebagai perwakilan.
Selain itu, jika masing-masing bagian serangan berisi respons yang
berbeda, kami menganggap yang memiliki kekuatan terbesar sebagai
perwakilan dari respons yang sebenarnya.
Jika tidak ada reaksi yang ditemukan di kedua bagian serangan,
maka kami menggunakan nilai referensi sinyal minimum dan
maksimum yang ditentukan sebelumnya, dan membandingkannya
dengan nilai minimum dan maksimum yang terjadi selama serangan.
Jika yang terakhir melebihi nilai referensi dalam besarnya, kami
berasumsi bahwa osilasi yang sangat sering terjadi selama serangan.
Asumsi kami didasarkan pada fakta bahwa menghitung nilai rata-rata
selama osilasi frekuensi tinggi menghasilkan garis lurus yang tidak
menunjukkan reaksi. Namun keberadaan nilai magnitudo yang lebih
besar selama serangan bertentangan dengan gagasan tidak ada
reaksi, dan lebih tepatnya menunjukkan bahwa reaksi ditutupi oleh
perhitungan rata-rata kami (perataan sinyal). Meskipun menyadari
keterbatasan cara mendeteksi atau memperkirakan osilasi yang rawan
kesalahan ini, kami masih ingin menekankan bagaimana beberapa
perhitungan sederhana yang dikombinasikan dengan hasil yang
berbeda secara logis dapat menyarankan adanya respons yang
sebaliknya akan membutuhkan pemrosesan data yang ekstensif untuk
ditemukan.
Kami selanjutnya memperlakukan osilasi sebagai properti respons
sekunder untuk menghindari ledakan pola yang akan terjadi jika kami
menganggap semua properti turunan dari respons sinyal sama
pentingnya. Memiliki properti sekunder juga memungkinkan
pembedaan sub-kategori tambahan yang sederhana dan bersih,
sambil menghindari peningkatan eksponensial dari kemungkinan pola
melalui kombinasi semua properti yang ditentukan. Ini mendukung ide
kami tentang pendekatan ringan.
Terakhir, kami menentukan persentase deviasi maksimum dari
referensi sinyal yang dianalisis selama serangan, dan memajukan
jendela waktu kami selangkah demi selangkah hingga kami mencapai
akhir data. Untuk setiap jendela waktu kami menghitung nilai rata-rata
dan membandingkannya dengan nilai referensi kami untuk
menentukan apakah sinyal kembali ke keadaan semula atau bertransisi
menjadi yang baru. Dalam kasus sebelumnya kami mengatakan
bahwa sinyalnya tangguh karena mampu pulih dari serangan dan
kembali ke keadaan normalnya. Ketika sinyal mencapai dan tetap
dalam keadaan yang berbeda bahkan setelah serangan berakhir
maka kita katakan itu stabil, yaitu sinyal tidak pulih dengan baik tetapi
setidaknya
mampu menetap di keadaan baru.
3.2.2 Pasca-Reaksi
Dalam kasus tertentu sinyal tidak menunjukkan respon yang
signifikan selama serangan, namun mereka memiliki reaksi pasca
yang kuat, yaitu ada gangguan proses yang jelas ketika serangan
berhenti. Kami dapat mendeteksi pasca-reaksi ini dengan menghitung
nilai rata-rata sepanjang waktu, dari awal serangan hingga akhir
data, dan membandingkannya dengan nilai referensi. Kami selanjutnya
menggunakan nilai minimum dan maksimum untuk menggarisbawahi
kesimpulan yang ditarik dari perbandingan rata-rata ini. Selain itu,
kami menentukan persentase penyimpangan maksimum dari
referensi sinyal yang disebabkan oleh pasca-reaksi.
Pendekatan sederhana untuk menemukan pasca-reaksi ini
dimungkinkan karena pertama-tama kita menyimpulkan apakah suatu
sinyal bereaksi selama serangan atau tidak. Jika ya, kami
mengklasifikasikannya sebagai tangguh atau stabil dengan informasi
yang sesuai tentang penyimpangan. Namun jika tidak ada reaksi
selama serangan, itu bisa berarti tidak ada reaksi sama sekali, atau
respon tertunda sampai serangan selesai. Dalam hal ini pasca-reaksi
mudah terlihat hanya menggunakan satu com rata-rata
Machine Translated by Google
parison, dan memverifikasi mereka dengan menilai lebih lanjut nilai
minimum dan maksimum, dan membandingkannya dengan nilai referensi
juga.
Jika sinyal memiliki reaksi selama serangan dan juga setelahnya, maka
kami menganggap reaksi pertamanya sebagai reaksi definitif, karena itu
terjadi sebagai respons langsung terhadap serangan, sedangkan pasca-
reaksi kemungkinan besar hanya memanifestasikan pemulihan proses. .
Sinyal yang hanya memiliki pasca-reaksi jauh lebih menarik mengapa
suatu variabel memanifestasikan pemulihan reaktif sementara pada
awalnya tidak memiliki reaksi yang signifikan.
Karena kami menganggap osilasi sebagai sifat respons sekunder, kami
memperlakukan pasca-reaksi dengan cara yang sama karena, seperti yang
dikemukakan sebelumnya, fokus utama kami adalah pada respons
langsung. Post reaksi merupakan tambahan sub-kelas reaksi yang menarik
jika tidak ada tanggapan langsung yang signifikan sebelumnya.
Penting untuk dicatat bahwa meskipun pendeteksian pasca-reaksi ini
efektif dalam banyak kasus, masih rawan kesalahan, misalnya gangguan
tak terduga yang tidak disebabkan oleh serangan dapat mengaburkan hasil
dan dengan mudah menyebabkan kesimpulan yang salah. Namun,
sejumlah besar informasi berguna dapat diperoleh dengan menerapkan
metode yang relatif sederhana dan akurat tersebut. Terutama karena kami
secara teoritis bermaksud agar Programmable Logic Controller (PLC)
mengeksekusi algoritme kami, yang berarti kami harus bekerja dengan
sumber daya yang sangat terbatas.
3.2.3 Waktu Pemulihan
Terakhir, kami menggunakan sliding mean window lain untuk menghitung
waktu pemulihan untuk sinyal yang tangguh, yaitu jumlah waktu yang
dibutuhkan sinyal ini untuk kembali ke keadaan normalnya. Untuk
penyerang, ini bisa menjadi informasi penting dalam konteks menghindari
keadaan pasca-serangan abnormal yang bertahan lama, yang berpotensi
memicu interlock keselamatan. Setelah menentukan bahwa suatu sinyal
tangguh, kami menerapkan jendela rata-rata geser yang dimulai pada saat
serangan, dan mencoba untuk menemukan sejumlah jendela waktu yang
terhubung secara berurutan yang telah ditentukan sebelumnya yang cocok
dengan keadaan referensi, yaitu perbedaan rata-rata berada di dalam
kepercayaan selang. Jika algoritme menemukan jendela waktu yang tidak
cocok dengan status referensi, algoritme akan meningkatkan penghitung
untuk status yang tidak cocok. Jika penghitung ini mencapai batas yang
ditentukan sebelumnya, penghitung dari status pencocokan yang ditemukan
sebelumnya akan diatur ulang. Ketika penghitung untuk keadaan yang
cocok tidak dapat dipukul, nilai numerik dari waktu pemulihan tetap nol,
menunjukkan bahwa waktu pemulihan sinyal tidak dapat ditentukan.
Dengan kata lain, jika algoritme menemukan status pencocokan
referensi, algoritme akan terus memindahkan jendela rata-rata beberapa
kali yang telah ditentukan sebelumnya untuk memverifikasi bahwa sinyal
benar-benar stabil, dan bahwa status pencocokan bukan sekadar penemuan
yang tidak disengaja. Jika ia menemukan keadaan yang tidak cocok selama
periode verifikasi ini, ia tidak segera berasumsi bahwa verifikasi gagal,
tetapi sebaliknya mencoba untuk menilai apakah keadaan yang tidak
cocok itu cenderung selama periode waktu yang lebih lama, atau apakah
itu merupakan gangguan pendek yang acak. Gangguan yang diperpanjang
dapat menjadi bagian dari respons, dan menunjukkan bahwa sinyal belum diselesaikan.
Dalam kebanyakan kasus, prosedur ini memungkinkan algoritme untuk
secara akurat menentukan waktu pemulihan sinyal ketika semua
kemungkinan pasca-reaksi atau pasca-gangguan telah berhenti, sekaligus
meminimalkan dampak bias dari outlier data pendek dan acak. Namun,
dalam situasi tertentu titik waktu pemulihan tidak selalu dapat ditentukan
dengan tepat karena kuatnya pasca-reaksi atau karena variabilitas sinyal
yang tinggi. Terlebih lagi, tidak selalu jelas berapa banyak waktu yang
biasanya dihabiskan kembali
8
diperlukan agar seluruh proses pulih sepenuhnya, terutama saat memeriksa
satu sinyal pada satu waktu. Tantangan penyerang adalah untuk secara
empiris menurunkan variabel penghitung yang bekerja paling baik untuk
proses yang sedang dianalisis.
Menentukan nilai manjur untuk penghitung negara kita adalah trade-off
antara jumlah waktu pemulihan yang dihitung secara tidak akurat dan
ketidakmampuan untuk menghitung waktu pemulihan sama sekali. Nilai
penghitung yang rendah menghasilkan periode verifikasi yang singkat,
berpotensi menyebabkan algoritme berasumsi bahwa sinyal telah mencapai
status referensinya, sementara sebenarnya masih dalam osilasi pemulihan.
Nilai penghitung yang tinggi menyiratkan periode verifikasi yang lebih lama,
yang dalam kasus tertentu dapat menyebabkan ketidakmampuan untuk
mencapai penghitung untuk status pencocokan referensi karena tidak ada
cukup data yang tersisa, atau karena kebisingan yang diperpanjang
secara terus-menerus mengatur ulang penghitung untuk status pencocokan
referensi . Kami menggunakan nilai penghitung 1500 untuk status yang
cocok, dan 1250 untuk status yang tidak cocok. Selain itu, kami
menerapkan waktu simulasi 100 jam dan melakukan serangan lebih awal
ke dalam simulasi untuk meminimalkan ketidakmampuan menghitung
waktu pemulihan karena kekurangan data. Namun, kami melihat bahwa
peningkatan waktu simulasi dapat menyebabkan beberapa sinyal tangguh
diklasifikasikan sebagai stabilisasi karena fluktuasi proses yang tidak
terkait serangan ran dom yang terjadi menjelang akhir waktu simulasi.
3.2.4 Ringkasan
Keuntungan utama dari pendekatan rata-rata geser kami adalah
implementasi sederhana dan eksekusi cepat yang ramah sumber daya.
Menghitung nilai rata-rata bukanlah operasi yang menuntut sumber daya,
penyimpanan lebih lanjut dan membandingkan nilai-nilai ini juga tidak
memerlukan sumber daya yang luas. Seperti yang ditunjukkan secara lebih
rinci di Bagian 4, banyak informasi dapat digali dengan menggunakan
pendekatan sederhana ini. Di sisi lain, kesederhanaan yang mendasari
membuat pendekatan sensitif dan rawan kesalahan terhadap gangguan
tertentu atau kemungkinan respons proses yang kompleks, karena hanya
dapat mendeteksi dan mengklasifikasikan pola respons yang telah
ditentukan sebelumnya. Jika terjadi pola yang tidak diketahui, mereka
akan salah klasifikasi, seperti sinyal berisik yang secara keliru dapat
mencocokkan pola yang ditentukan secara kebetulan. Namun, kami telah
menemukan sebagian besar pola kejadian yang relevan dalam kerangka
kerja simulasi kami, dan kami dapat mendeteksi dan mengklasifikasikannya
dengan tingkat kebenaran yang tinggi.
3.3 Verifikasi Klaster
Koefisien korelasi Pearson adalah ukuran umum ketergantungan linear
antara dua variabel stokastik. Definisi matematisnya diberikan dalam
Persamaan 3, di mana X dan Y mewakili variabel stokastik, µX dan µY
adalah nilai ekspektasi yang sesuai, dan ÿX × ÿY adalah produk dari
standar deviasi X dan Y .
E[(X ÿ µX) × (Y ÿ µY )]
ÿX,Y = (3)
ÿX × ÿY
Koefisien mengambil nilai antara 1 dan ÿ1, di mana kasus pertama
mewakili ketergantungan linier sempurna, dan kasus terakhir menunjukkan
ketergantungan linier terbalik sempurna. Korelasi antara dua variabel
stokastik menjadi lebih lemah ketika koefisien mendekati 0, sampai tidak
ada ketergantungan linier setelah koefisien sama dengan 0. Namun, ini
tidak berarti tidak ada ketergantungan sama sekali, karena koefisien hanya
mendeteksi hubungan linier. Mungkin ada, misalnya, ketergantungan
kuadrat antara dua variabel yang diperiksa.
Machine Translated by Google
Namun, koefisien korelasi Pearson seperti dijelaskan di atas tidak
berguna untuk menentukan ketergantungan linear antara deret waktu
sinyal sensor. Ini karena koefisien adalah angka tunggal yang tidak dapat
menangkap perilaku dinamis pengukuran sensor dengan granularitas
yang memadai. Misalnya, tidak memungkinkan untuk menilai bagaimana
korelasi antara dua sinyal berkembang dari waktu ke waktu. Selain itu,
dua sinyal mungkin menunjukkan reaksi yang persis sama terhadap
beberapa impuls tetapi tidak pada waktu yang sama, yaitu salah satu
sinyal segera bereaksi sementara yang lain memiliki reaksi yang tertunda.
Koefisien korelasi Pearson akan gagal mengidentifikasi dengan tepat
hubungan linier ini karena pergeseran waktu. Faktanya, sebagian besar
sinyal sensor cyber-fisik tidak dapat bereaksi secara bersamaan karena
fisika yang mereka ukur terpisah secara lokal, sehingga perubahan status
menyebar dengan penundaan waktu.
Untuk mengatasi kekurangan koefisien Pearson ini, kami mengusulkan
pendekatan jangka waktu yang menentukan interval geser pada seri data
yang diberikan, dan di mana koefisien Pearson dihitung di setiap interval
ini secara individual.
Hasilnya adalah serangkaian koefisien korelasi Pearson yang tergantung
waktu, semuanya mewakili perkembangan hubungan linier antara dua
sinyal dari waktu ke waktu. Kami menggunakan pendekatan ini untuk
memverifikasi bahwa cluster sinyal yang kami hasilkan benar-benar
berkorelasi.
4. HASIL PERCOBAAN
Berikut ini kami sajikan dan diskusikan kemampuan pengelompokan
algoritma rata-rata geser dalam konteks serangan pengontrol yang dipilih.
Kami selanjutnya menyajikan teknik visualisasi seluruh tanaman untuk
menangkap hasil yang diperoleh dalam bentuk yang nyaman. Analisis
kami mengasumsikan bahwa penyerang telah memperoleh akses ke
sistem kontrol dari proses TE, dan bahwa Algoritma Sliding Mean yang
kami sajikan sebelumnya telah disuntikkan ke dalam sistem, misalnya
dalam bentuk kode berbahaya yang dijalankan pada PLC.
Dalam proses mengembangkan dan memverifikasi kedua pendekatan
kami, kami melakukan sekitar 500 simulasi berbeda yang menghasilkan
lebih dari 2000 plot. Karena keterbatasan ruang, kami hanya menyertakan
serangkaian hasil representatif terpilih. Kami memilih pengontrol yang
bertanggung jawab atas katup pembersih reaktor (XMV(6)). Katup
pembersih digunakan untuk melepaskan bahan kimia dari reaktor,
terutama untuk mengontrol tekanan reaktor. Di paku payung pada
pengontrol ini memiliki dampak seluruh pabrik dengan berbagai jenis
respons proses yang berbeda dan oleh karena itu representatif.
Kami melakukan simulasi 100 jam dan memulai serangan dalam
integritas pada t = 20 jam selama 20 jam.
Nilai rata-rata normal dari keadaan katup pembersih adalah 25,74 %,
tetapi untuk mencapai faktor derau yang diinginkan dalam sinyal
terkontrol, yaitu laju pembersihan, kami memerlukan nilai serangan
sebesar 47,00 %. Tidak seperti yang disarankan untuk penyetelan
pengontrol, perubahan langkah tinggi hampir dua kali nilai normal ini
diperlukan karena aliran massa katup pembersih relatif kecil dibandingkan
dengan aliran massa reaktor 1476,0 kgmol/jam.
Oleh karena itu, hanya perubahan langkah yang signifikan yang dapat
mencapai penyimpangan nyata pada sinyal yang dikontrol.
Gambar 3 menggambarkan tingkat pembersihan selama simulasi.
Sinyal hitam mewakili data sensor mentah, yang ditandai merah saat
serangan aktif, dan garis kuning mewakili sinyal yang sama yang diambil
sampelnya dengan interval rata-rata 100 sampel. Kami menyertakan sinyal
yang dihaluskan ini dalam plot kami hanya untuk visualisasi, karena dalam
beberapa kasus akan sangat membantu untuk membedakan perilaku
sinyal dari noise.
9
xmeas 10
Nilai referensi: 0,19
Penyimpangan serangan:
101,76% Waktu pemulihan: 39,3 jam
0,4
0,35
0,3
0,25
0,2
0,15
0,1
0,05
0
ÿ0,05
0 20 40 60 80 100
Waktu [jam]
Gambar 3: Tingkat pembersihan palsu
Seperti disebutkan sebelumnya, perilaku dinamis katup tidak dimodelkan
dalam model simulasi TE. Tingkat pembersihan dengan demikian
melompat ke keadaan baru segera pada t = 20 jam, dan turun ke nilai
kurang dari normal tepat ketika serangan berakhir pada t = 40 jam. Kalau
tidak, perilaku sinyal sensor sesuai dengan kenyataan. Oleh karena itu,
keadaan baru yang diinduksi dari tingkat pembersihan tidak diwakili oleh
garis lurus tetapi mengandung fluktuasi seperti sebelum serangan. Ini
karena serangan hanya mengubah set-point dari katup pembersih. Sinyal
respons yang sesuai dari laju pembersihan terus dikontrol dan disesuaikan
agar sesuai dengan titik setel baru ini, dan secara alami mengandung
fluktuasi yang disebabkan oleh fisika yang mendasarinya.
Kami juga mengamati bahwa tidak ada hubungan proporsional antara
katup pembersihan dan laju pembersihan, karena deviasi maksimum dari
laju pembersihan yang disebabkan oleh serangan adalah 101,76 %,
meskipun kami meningkatkan set-point katup pembersihan sebesar 82,6
%. Selain itu, setelah serangan berakhir dan titik setel asli dari katup
pembersih tidak lagi ditimpa oleh serangan integritas kami, sistem kontrol
memperhatikan keadaan katup pembersih yang sangat tidak normal dan
bereaksi dengan menutupnya sepenuhnya pada t = 40 jam. . Ini
memanifestasikan dirinya dalam tingkat pembersihan yang turun ke nol
pada saat itu. Pada sekitar t = 60 jam tingkat pembersihan kembali ke
keadaan normal.
Perhatikan bagaimana peningkatan laju pembersihan sekitar t = 50 jam
tidak memanifestasikan dirinya sebagai garis lurus sempurna, seperti di
awal serangan kita. Ini adalah petunjuk lain pada mekanisme umpan balik
yang mendasari loop kontrol yang bertanggung jawab, yang menyesuaikan
laju pembersihan secara terus-menerus dengan menyesuaikan katup
pembersihan. Sebaliknya, set-point jahat yang disebabkan oleh serangan
kami adalah pengaruh tiba-tiba dan eksternal pada proses, yang tidak
melibatkan mekanisme umpan balik.
Pendekatan rata-rata geser kami dengan tepat mengklasifikasikan laju
pembersihan sebagai sinyal tangguh dengan respons positif. Artinya,
tingkat pembersihan meningkat sebagai akibat dari serangan, tetapi dapat
kembali ke keadaan normal setelah pemulihan. Waktu pemulihan yang
ditentukan 39,3 jam juga sangat akurat seperti yang dapat dilihat pada
Gambar 3. Setelah t = 50 jam laju pembersihan mendekati keadaan
referensinya, dan berperilaku sesuai. Namun, masih dalam pemulihan,
karena ada overshoot kecil tapi terlihat yang disebabkan oleh pembukaan
katup secara bertahap setelah hampir tertutup beberapa saat. Pendekatan
kami mampu membedakan perilaku pemulihan ini dari status referensi
yang ditentukan sebelumnya.
Algoritma Sliding Mean kami menentukan tiga cluster utama untuk
serangan yang dijelaskan terhadap katup pembersih. Ini
Machine Translated by Google

cluster dibentuk oleh sinyal tangguh dengan respons positif, sinyal xmeas 22 xmeas 23
Nilai referensi: 91,86 Nilai referensi: 31,81
tangguh dengan respons negatif, dan sinyal tangguh tanpa Penyimpangan serangan:
3,34% Waktu pemulihan: 37,8 jam
Penyimpangan serangan:
17,71% Waktu pemulihan: 30,2 jam

respons. Satu sinyal dengan respons negatif salah diklasifikasikan 95 38

sebagai penstabil alih-alih tangguh. 94 36

93 34
4.1 Cluster Positif Tangguh
92 32

Gambar 4 dan 5 menunjukkan sinyal dari cluster sinyal tangguh 91 30

0 20 40 60 80 100 0 20 40 60 80 100
dengan respon positif, sebagaimana ditentukan oleh Algoritma Waktu [jam] Waktu [jam]

Sliding Mean kami. Semua sinyal yang terkandung meningkat xmeas 29

Nilai referensi: 32,14
xmeas 35
Nilai referensi: 6,63

sebagai reaksi terhadap serangan dan kembali ke keadaan semula Penyimpangan serangan:
23,12% Waktu pemulihan: 39,4 jam
Penyimpangan serangan:
24,42% Waktu pemulihan: 28,8 jam

setelah serangan selesai. Sebagian besar waktu pemulihan 40 8.5

38 8
dihitung dengan benar dan berfluktuasi sekitar 30 jam. Sinyal bising
36 7.5
cenderung menantang untuk penghitungan waktu pemulihan yang akurat. 34 7

Misalnya waktu pemulihan sinyal XMEAS(3) ditentukan oleh 32 6.5

algoritme kami sebagai t = 53,5 jam, terlalu pendek beberapa jam, 30 6

0 20 40 60 80 100 0 20 40 60 80 100
karena keadaan normal dicapai sekitar t = 60 jam. Waktu [jam] Waktu [jam]

Gambar 5: Sinyal tangguh dengan respons positif

xmeas 1 xmeas 2
Nilai referensi: 0,27 Nilai referensi: 3668.11
Penyimpangan serangan: Penyimpangan serangan:
29,62% Waktu pemulihan: 38,8 jam 2,07% Waktu pemulihan: 37,2 jam
0,35 3750
Kami memberikan detail proses kimia ini hanya untuk tujuan
0,3 3700 verifikasi, untuk menunjukkan bahwa perilaku sistem masuk akal
0,25 3650 dan kami dapat mendeteksinya. Namun, tujuan kami adalah
0,2 3600 menyajikan pendekatan abstrak untuk mendeteksi kluster sinyal
3550
berkorelasi yang terlepas dari proses kimia dasar. Pendekatan
0 20 40 60 80 100 0 20 40 60 80 100
Waktu [jam] Waktu [jam] kami tidak memverifikasi apakah cluster yang ditemukannya
xmeas 3
Nilai referensi: 4433,20
xmeas 4
Nilai referensi: 9,23
bermakna dalam kaitannya dengan kimia yang terlibat. Namun,
Penyimpangan serangan:
2,41% Waktu pemulihan: 33,5 jam
Penyimpangan serangan:
3,39% Waktu pemulihan: 31,5 jam
dengan melepaskan pendekatan kami dari kimia proses spesifik,
4550 9.8
dan juga dari test bed khusus kami, kami dapat memberikan
4500 9.6
pendekatan yang lebih umum yang dapat diterapkan pada proses
4450 9.4

4400 9.2
yang berbeda dengan modifikasi minimal.
4350 9

4300 8.8
4.2 Sinyal Cluster Negatif Tangguh dari
0 20 40 60 80 100 0 20 40 60 80 100
Waktu [jam] Waktu [jam] cluster berikutnya yang ditemukan oleh Algoritma Sliding Mean
kami ditunjukkan pada Gambar 6, 7 dan 8. Semua sinyal yang
Gambar 4: Sinyal tangguh dengan respons positif terlibat tangguh dan memiliki respon negatif terhadap serangan
terhadap katup pembersih. Sementara beberapa sinyal memiliki
Juga, reaksi overshoot sistem cenderung mengaburkan waktu reaksi penurunan yang terlihat jelas, misalnya XMEAS(7), sinyal
pemulihan. Misalnya, waktu pemulihan sinyal XMEAS(23) dalam bising seperti XMEAS(5) memiliki deviasi yang kurang dapat
5 diperkirakan 30,2 jam, bukan 35 jam sebenarnya. Reaksi over dibedakan. Namun demikian, algoritme kami mampu
shoot negatif yang sedikit tetapi dapat dilihat pada t = 50 jam mengklasifikasikan sinyal bising ini dengan benar.
menyesatkan algoritme kami untuk percaya bahwa keadaan
referensi tercapai, karena penuaan rata-rata selama periode xmeas 5
Nilai referensi: 32,21
xmeas 7
Nilai referensi: 2799,93

dengan pengukuran tinggi dan rendah abnormal menghasilkan Penyimpangan serangan:

2,99% Waktu pemulihan: 4,2 jam
Penyimpangan serangan:
7,52% Waktu pemulihan: 29,2 jam
33.5 2900
keadaan pencocokan referensi secara kebetulan. Fakta bahwa
kami menggunakan batas kesalahan sebagai interval kepercayaan 33
2800

32.5
untuk memperkirakan apakah status referensi tercapai atau tidak 2700
32

hanya memaksakan efek ini, karena sedikit penyimpangan 31.5

2600

diabaikan di dalam batas kesalahan ini. 31 2500

0 20 40 60 80 100 0 20 40 60 80 100

Menariknya, sinyal XMEAS{1, 2, 3, 4} pada Gambar 4 adalah Waktu [jam] Waktu [jam]

semua pengukuran aliran umpan reaktor dari berbagai komponen. xmeas 12 xmeas 13
Nilai referensi: 49,95 Nilai referensi: 2704,45

Karena serangan kami pada katup pembersih meningkatkan laju Penyimpangan serangan:
10,29% Waktu pemulihan: 32,1 jam
Penyimpangan serangan:
7,58% Waktu pemulihan: 29,2 jam
60 2800
pembersihan reaktor, sistem perlu mengkompensasi hilangnya
komponen kimia dari reaktor. Oleh karena itu masuk akal bahwa 55 2700

semua sinyal ini memiliki respon positif. 50 2600

Selain itu, respons XMEAS(1) sangat mirip dengan perilaku 45 2500

XMEAS(10) pada Gambar 3, tingkat pembersihan yang dibahas 40

0 20 40 60 80 100
2400
0 20 40 60 80 100

sebelumnya. Pada pandangan pertama, ini dapat menunjukkan Waktu [jam] Waktu [jam]

bahwa XMEAS(1) mewakili komponen pakan yang mendominasi,

karena reaksi yang hampir identik dengan peningkatan laju Gambar 6: Sinyal tangguh dengan respons negatif
pembersihan dapat berarti bahwa XMEAS(1) mengkompensasi
sebagian besar kerugian. Namun, mengingat laju aliran volume Sinyal XMEAS{5, 12, 15} lebih lanjut memanifestasikan pasca-
XMEAS(1) yang relatif kecil, hal ini tidak mungkin benar. Jelas, reaksi, yaitu setelah serangan selesai ada peningkatan tambahan
XMEAS{2, 3} mendominasi aliran umpan dalam hal massa. dan reaksi penurunan berikutnya. Apa yang dimiliki semua sinyal ini

10
Machine Translated by Google

kesamaannya adalah mereka pulih dengan cepat dan kembali ke xmeas 24 xmeas 27
Nilai referensi: 15,06 Nilai referensi: 16,96
keadaan normal bahkan sebelum serangan berakhir. Ini Penyimpangan serangan: Penyimpangan serangan:
34,27% Waktu pemulihan: 52,7 jam 7,53% Waktu pemulihan: 27,2 jam

menunjukkan bahwa sinyal-sinyal ini agak independen dari variabel 16 18

17.5
yang diserang, dalam hal ini katup pembersih, karena mereka 14

dapat pulih sendiri sebelum serangan berakhir. 12

17

16.5

10
16
xmeas 14 xmeas 15
Nilai referensi: 25,34 Nilai referensi: 49,95 8 15,5
0 20 40 60 80 100 0 20 40 60 80 100
Penyimpangan serangan: Penyimpangan serangan:
Waktu [jam] Waktu [jam]
3,88% Waktu pemulihan: 22,4 jam 16,21% Waktu pemulihan: 41,6 jam
26 70
xmeas 28 xmeas 30
Nilai referensi: 4,06 Nilai referensi: 22,13
25.5 60 Penyimpangan serangan: Penyimpangan serangan:
24,01% Waktu pemulihan: 0,0 jam 34,57% Waktu pemulihan: 0,0 jam
5 24
25 50

22
4.5
24.5 40
20
4
24 30
0 20 40 60 80 100 0 20 40 60 80 100 18

Waktu [jam] Waktu [jam] 3.5

16
xmeas 16 xmeas 21
Nilai referensi: 3331,99 Nilai referensi: 102,48 3 14
0 20 40 60 80 100 0 20 40 60 80 100
Penyimpangan serangan: Penyimpangan serangan:
Waktu [jam] Waktu [jam]
7,27% Waktu pemulihan: 29,0 jam 0,50% Waktu pemulihan: 41,0 jam
3400 103

3300
102.5 Gambar 8: Sinyal tangguh dengan respons negatif
3200

102
3100

3000 101,5
0 20 40 60 80 100
Waktu [jam]
Gambar 7: Sinyal tangguh dengan respons negatif
Namun, begitu serangan selesai dan sinyal yang terkena
dampak langsung mulai pulih, proses pemulihan berdampak luas
dan juga memengaruhi sinyal independen. Oleh karena itu kita
dapat mengamati osilasi tambahan dalam loop tertentu yang kita
sebut pasca-reaksi. Misalnya, XMEAS(15) mewakili tingkat penari
telanjang. Seperti yang bisa dilihat, sinyal ini pulih dengan
sendirinya sebelum serangan berakhir. Namun, karena kompensasi
pasca-serangan di seluruh pabrik atas hilangnya komponen kimia
sudah selesai. Setelah selesai, katup pembersih ditutup sementara,
0 20 40 60 80 100
Waktu [jam] secara efektif mengatur laju pembersihan ke nol. Ini adalah waktu
di mana aliran umpan tinggi yang masih abnormal menghasilkan
akumulasi komponen fisik dalam stripper, separator, dan aliran
daur ulang, yang bermanifestasi sebagai reaksi pasca.
Gambar 9 menggambarkan korelasi Pearson jangka waktu
untuk XMEAS{12, 15}. Hubungannya tidak kuat, tetapi ada korelasi
yang jelas. Perhatikan, korelasi selama pasca-reaksi secara
signifikan lebih tinggi daripada selama serangan.
Sinyal Sensor
60 70

yang disebabkan oleh serangan, pemulihan tanaman memiliki efek 55

xmeas12
60
xmeas15
osilasi pada tingkat stripper. 50 50
Terjadinya pasca-reaksi merupakan risiko bagi penyerang, yang
45 40
tidak dapat memprediksi sebelumnya apakah akan terjadi atau
tidak. Sinyal peka-alarm yang penting mungkin sama sekali tidak 40
00
30
90 100 90 100
10 10 20 20 30 30 40 40 50 50 60 60 70 70 80 80

terpengaruh oleh impuls buatan, namun pemulihan sinyal yang Waktu [jam]
Korelasi Pearson (WaktuÿJendela: 1000)
terpengaruh berikut berpotensi mengganggu keseluruhan sistem. 1

Jika sinyal memiliki kendala operasional dan keamanan yang ketat,

bahkan penyimpangan kecil pun dapat memicu alarm. Sebagai 0,5

contoh, perhatikan bagaimana deviasi maksimum reaksi pasca

0
untuk XMEAS(15) lebih besar dari deviasi maksimum selama
serangan. Ini berarti bahwa proses pemulihan sistem berdampak ÿ0,5
0 10 20 30 40 50 60 70 80 90 100
lebih besar pada tingkat stripper daripada serangan yang dilakukan Waktu [jam]

terhadap katup pembersih. Hal yang sama berlaku untuk

XMEAS(12), yang merupakan level pemisah produk. Juga, sinyal
XMEAS(5), yang merupakan aliran daur ulang, memiliki pasca- Gambar 9: Korelasi Pearson jangka waktu
reaksi yang serupa.
Selain reaktor, stripper dan separator adalah satu-satunya sub- Meskipun pasca-reaksi penting untuk dideteksi, dalam
komponen seperti tangki dari proses TE. Masuk akal bahwa ketiga pendekatan kami, kami mengklasifikasikan sinyal yang disebutkan
sinyal ini menunjukkan pasca-reaksi yang kuat untuk serangan sebagai tangguh dengan respons negatif, artinya mereka bereaksi
yang dilakukan. Serangan kami terhadap katup pembersih dengan penurunan dan kembali ke keadaan semula setelah serangan.
menghasilkan kehilangan reagen yang tinggi, yang dikompensasi Katalog pasca-reaksi dihilangkan karena suatu alasan. Seperti
dijelaskan sebelumnya, membedakan terlalu banyak properti
oleh sistem kontrol dengan meningkatkan aliran umpan reaktor secara drastis.
Tindakan ini dengan cepat memulihkan keadaan normal untuk respons proses akan menghasilkan sejumlah besar cluster yang
aliran stripper, separator, dan daur ulang. Sifat fisik dari komponen berbeda dengan lebih sedikit sinyal berkorelasi di masing-
ini menyiratkan bahwa mereka memiliki sejumlah besar komponen masingnya. Algoritme kami mengenali pasca-reaksi hanya jika
kimia yang terkandung di dalamnya sepanjang waktu, yang sinyal tidak bereaksi selama serangan, karena reaksi langsung adalah fokus utama
mengurangi dampak serangan kita sejak awal. Perhatikan juga bagaimana klaster berisi sinyal dengan skala
Oleh karena itu kami mengamati reaksi langsung singkat dan yang sangat berbeda, serupa dengan klaster yang dibahas
tidak signifikan di XMEAS{5, 12, 15}. Namun, sistem kontrol tetap sebelumnya dengan respons positif. Algoritme kami dapat
pada aliran umpan tinggi yang tidak normal hingga serangan mengidentifikasi sinyal ini sebagai serupa karena penerapan skala kami

11
Machine Translated by Google

disesuaikan dan batas kesalahan khusus sinyal. Karena kita xmeas 32 xmeas 37
Nilai referensi: 0,92 Nilai referensi: 0,01
memerlukan batasan kesalahan ini untuk pendekatan rata-rata geser 1.4 0,06

kita untuk berfungsi, saat kita mempresentasikan hasil Algoritma Rata- 1.2 0,04

rata Sliding, itu berarti kita melakukan dua contoh simulasi. Pertama, 1 0,02

kami menjalankan simulasi tanpa serangan atau modifikasi apa pun. 0,8 0

Setelah simulasi selesai, kami menghitung vektor batas kesalahan 0,6 ÿ0,02

berdasarkan keluaran model TE. Selanjutnya, kami menjalankan 0,4 ÿ0,04

0 20 40 60 80 100 0 20 40 60 80 100
simulasi yang dipengaruhi oleh serangan, dan menerapkan Algoritma Waktu [jam] Waktu [jam]

Sliding Mean ke data keluaran yang dihasilkan, menggunakan batas xmeas 40

Nilai referensi: 53,79
xmeas 41
Nilai referensi: 43,80

kesalahan kami untuk pengambilan keputusan. Dalam kehidupan 55.5 46

55
nyata, penyerang akan melakukan estimasi batas kesalahan, 45
54.5
serangan, dan analisis respons proses secara berurutan.
54 44

4.3 Klaster Tidak Aktif yang Tangguh 53.5

43
53

Cluster terakhir yang ditemukan oleh Algoritma Sliding Mean kami 52,5 42
0 20 40 60 80 100 0 20 40 60 80 100
digambarkan pada Gambar 10 dan 11. Ini terdiri dari sinyal sensor Waktu [jam] Waktu [jam]

yang tidak bereaksi terhadap serangan yang dilakukan. Namun, sinyal

XMEAS{6, 8, 17} salah diklasifikasikan karena skalanya yang kecil Gambar 11: Sinyal tangguh tanpa respons
dan tingkat kebisingan yang tinggi. Seperti dijelaskan sebelumnya,
noise sinyal dapat mengaburkan hasil Algoritma Sliding Mean kami.

xmeas 6 xmeas 8 xmeas 34

Nilai referensi: 47.36 Nilai referensi: 65.09
49 68 Nilai referensi: 5,43
Penyimpangan serangan: 22,60%
48.5
67
6.5
48
66
47.5
65 6
47

64
46.5
5.5
46 63
0 20 40 60 80 100 0 20 40 60 80 100
Waktu [jam] Waktu [jam]
5
xmeas 9 xmeas 17
Nilai referensi: 122,90 Nilai referensi: 22.88
123 23.6
4.5
23.4
122.95
23.2
4
122.9 23 0 20 40 60 80 100
22.8 Waktu [jam]
122.85
22.6

122,8 22,4
0 20 40 60 80 100 0 20 40 60 80 100
Waktu [jam] Waktu [jam] Gambar 12: Menstabilkan sinyal dengan respon negatif

Gambar 10: Sinyal tangguh tanpa respons

Gambar 12 menunjukkan klaster sinyal stabilisasi yang disebutkan
di atas yang dibuat oleh sinyal XMEAS(34) yang salah klasifikasi.
Saat melakukan serangan terhadap pengontrol, kami berharap semua
sinyal bereaksi dengan tangguh karena pemulihan proses yang cepat
setelah serangan ini.
Reaksi sinyal XMEAS(34) sangat mirip dengan XMEAS(28) pada
Gambar 8, di mana yang terakhir ini diklasifikasikan dengan benar
sebagai tangguh dengan respons negatif. Sementara XMEAS(28)
mewakili aliran umpan reaktor untuk komponen F, XMEAS(34)
mengukur laju pembersihan untuk komponen ini. Sinyal-sinyal ini
harus berada di cluster yang sama. Namun, dengan melihat lebih
dekat pada grafik XMEAS(34) dapat dilihat bahwa, pada akhir
simulasi, sinyal berada dalam keadaan yang sedikit lebih tinggi
daripada sebelum serangan dimulai. Algoritme kami keliru menafsirkan
perilaku ini sebagai XMEAS(34) tidak kembali ke keadaan semula.
Mempertimbangkan kesamaan antara XMEAS{28, 34}, fakta bahwa
mereka berada dalam kelompok terpisah menunjukkan bagaimana
derau sinyal dapat memiliki efek kabur pada Algoritma Sliding Mean
kami.
gram. Gagasan kami untuk visualisasi respons di seluruh pabrik
adalah untuk memberikan ikhtisar singkat tentang respons sistem
tanpa memberikan detail yang ekstensif. Oleh karena itu, kami tidak
membedakan sinyal yang tangguh dan stabil. Selain itu, besaran
deviasi dan waktu pemulihan tidak disertakan.
Kami juga menganggap reaksi berosilasi dan pasca-reaksi setara
dengan tidak ada respons. Yang terakhir menjelaskan logika Algoritma
Sliding Mean kami, karena osilasi dan pasca-reaksi adalah sifat
sekunder dari sinyal yang tidak memiliki reaksi yang dapat dideteksi
secara langsung. Singkatnya, Gambar 13 membedakan tiga pola
respons yang berbeda: positif, negatif, dan tidak ada respons.
Mari kita lihat hasilnya. Perhatikan perilaku konsisten dari komponen
kimia yang terlibat yang dilambangkan dengan XA, XB, dll.
Penyimpangan yang mempengaruhi komponen ini identik untuk laju
umpan reaktor dan laju pembersihan reaktor. Hanya jumlah komponen
G dan H yang terkandung dalam produk akhir yang tidak sesuai
dengan laju pembersihan. Akibat serangan itu, jumlah produk G dan
H yang dilepaskan melalui katup pembersih meningkat, tetapi tidak
mengubah komposisi produk akhir.

4.4 Visualisasi Respon Seluruh Tanaman Karena G dan H adalah dua produk yang diinginkan dari proses
Gambar 13 menggambarkan visualisasi serangan yang dilakukan TE, ini berarti secara ekonomis bahwa peningkatan laju pembersihan
dan hasil klasifikasi untuk keseluruhan sistem. Visualisasi seperti itu tidak berpengaruh pada komposisi produk akhir, selain penurunan
dapat dilakukan, misalnya melalui P&ID atau diagram aliran proses komponen sekunder E dan F. Kami

12
Machine Translated by Google

variabel yang diserang reaksi positif reaksi negatif tidak ada reaksi

Gambar 13: Visualisasi respons seluruh tanaman

dapat disimpulkan bahwa serangan yang dilakukan terhadap purge 4.5 Serangan pada Sensor
valve, meskipun sifatnya mengganggu, tidak berdampak langsung Ada enam belas sensor yang dapat diserang dalam model TE.
pada proses dalam hal kerugian finansial melalui kerugian produk. Menyerang sensor namun secara substansial berbeda dari pada
Komposisi produk akhir benar-benar meningkat karena serangan, pengontrol penyambungan. Serangan terhadap pengontrol secara
karena konsentrasi komponen E dan F sekunder dan yang tidak langsung memaksa sistem untuk masuk ke keadaan menyimpang
diinginkan berkurang. Namun, kerugian finansial disebabkan oleh karena perubahan titik setel pembuat katup. Sebaliknya, pengukuran
hilangnya reagen yang dikeluarkan dari proses karena tingginya sensor palsu menyebabkan sistem berasumsi bahwa ia sudah dalam
tingkat pembersihan yang tidak normal. Oleh karena itu penting untuk keadaan menyimpang, dan harus memulihkan prosesnya. Pemulihan
mengukur kinerja proses tidak hanya dalam hal kemurnian produk, status proses tersebut bersifat iteratif, yang berarti bahwa posisi
tetapi juga mengenai efisiensi konversi reagen. Diskusi yang lebih katup disesuaikan secara bertahap dengan perubahan set-point yang
rinci tentang strategi serangan pada laju reaksi dan analisis forensik kecil pada setiap siklus kontrol (berlawanan dengan perubahan set-
terkait dapat ditemukan dalam pekerjaan kami sebelumnya [13]. point tunggal dalam serangan pengontrol).
Masih mungkin untuk menyelidiki proses secara diam-diam dengan
Teknik visualisasi sederhana dari respons proses pemetaan atas bantuan serangan integritas data pada sinyal sensor. Namun, tidak
diagram P&ID (atau serupa), seperti yang kami usulkan, dapat ada rekomendasi berdasarkan metode teori kontrol yang ada untuk
membantu mempelajari dan membuat katalog perilaku dinamis dari mendukung proses ini. Seseorang harus mulai dengan serangan
setiap proses fisik. Serangkaian lengkap dari pola respons yang integritas data skala kecil dan secara bertahap meningkatkannya saat
teridentifikasi dapat berfungsi sebagai model yang disederhanakan respons yang diamati memungkinkan (pendekatan heuristik).
untuk menyiapkan serangan yang lebih canggih. Meskipun Gambar
13 hanya berisi sebagian kecil dari informasi yang ditemukan oleh
pendekatan rata-rata geser kami, ini memungkinkan penalaran yang
5. RINGKASAN DAN KESIMPULAN
nyaman tentang perilaku proses dan bahkan ekonomi sehubungan
Seorang penyerang yang menghadapi proses yang tidak diketahui
dengan serangan. Selain itu, visualisasi respons di seluruh pabrik
ditantang oleh kurangnya pengetahuan tentang penyetelan dan
kami dapat berguna bagi penyerang dan juga pembela, karena dalam
respons loop kontrolnya. Akibatnya, mencoba membuat katalog
kedua kasus, pengetahuan tentang proses yang mendasari sangat penting untuk sukses.
perilaku dinamis dari proses dengan mengirimkan impuls buatan
Namun dalam skenario nyata, jumlah pola respons yang mungkin
adalah tugas yang tidak sepele. Untuk memperhitungkan situasi musuh fac
dipasangkan dengan sejumlah besar variabel proses dapat membuat
Dalam proses yang tidak diketahui, kami telah memperoleh
penyerang dan pembela bertahan kewalahan. Dalam hal itu,
pendekatan penyerangan terpadu yang terinspirasi oleh prosedur
kesederhanaan adalah kunci ketika mencoba memodelkan perilaku
penyetelan pengontrol untuk menyelidiki proses secara diam-diam
proses fisik yang kompleks. Mampu mengekstraksi, mengidentifikasi,
untuk menentukan serangan dan parameter waktu sambil menjaga
dan memampatkan secara visual aspek-aspek yang mendominasi
risiko alarm dan deteksi seminimal mungkin. Kami telah menerapkan
perilaku proses dinamis memungkinkan analisis yang disesuaikan dan
semua hal yang disebutkan di atas dalam hal serangan integritas
memadai.
berbasis interval terhadap sekumpulan pengontrol dan sensor proses TE yang represen

13
Machine Translated by Google

Dalam pendekatan kami, kami mengidentifikasi kelompok sinyal
sensor berkorelasi menggunakan algoritme generik yang tidak
bergantung pada gagasan matematis tentang korelasi. Sebagai
gantinya, algoritma kami mengekstraksi pola perilaku dari seri
pengukuran dengan bantuan prosedur pendekatan data ringan
yang dipasangkan dengan metode estimasi. Selain itu, algoritme
kami terlepas dari proses fisika atau kimia yang mendasari, yang
membuat pendekatan kami berlaku untuk berbagai macam proses
yang berbeda dengan strategi kontrol yang berbeda.
Dari dua algoritme yang diuji, pendekatan sliding mean terbukti
lebih efektif dan memberikan hasil yang lebih nyaman, sekaligus
lebih sederhana baik dalam implementasi maupun eksekusi.
Kami telah memvisualisasikan hasil klasifikasi dari Slid ing Mean
Algorithm kami pada flow-sheet proses model TE sebagai sarana
teladan dari ringkasan yang nyaman secara visual untuk membuat
katalog tanggapan proses di seluruh pabrik dalam konteks
pemodelan perilaku. Kami telah lebih lanjut memperkenalkan metrik
korelasi Pearson jangka waktu untuk tujuan verifikasi, karena
gagasan standar korelasi Pearson tidak memberikan perincian
yang memadai untuk menangkap perilaku proses dinamis.
Singkatnya, pekerjaan kami menunjukkan bahwa adalah mungkin
untuk merekayasa balik proses fisik yang dikendalikan dari
pengamatan respons ke impuls yang dibuat. Bahkan dengan
algoritme proksimatif ap ringan yang berjalan pada perangkat
bidang tingkat rendah yang dibatasi sumber daya, penyerang dapat
memperoleh sejumlah besar informasi mengenai perilaku proses
dinamis, dan kemungkinan penyetelan pengontrol. Dengan
pengetahuan tambahan tentang struktur kontrol yang mendasarinya,
yang mudah diperoleh dalam bentuk lembar alur proses, penyerang
selanjutnya dapat membuat kesimpulan tentang kelemahan sistem
kontrol yang digunakan dan memprioritaskan target serangan
(misalnya mengecualikan pengontrol sensitif). Pengetahuan yang
diperoleh memungkinkan musuh untuk mempersiapkan serangan
canggih, disesuaikan dengan perilaku dinamis individu dari proses
korban. Akibatnya, serangan ini lebih mungkin berhasil, dan lebih
kecil kemungkinannya terdeteksi dalam jangka pendek. Nyatanya,
adver saries bahkan mungkin fokus untuk mendapatkan model
perilaku dari proses fisik tanpa niat untuk benar-benar menyerang
proses ini setelahnya. Sebagai gantinya, model ini dapat dijual
kepada pihak ketiga yang tertarik, yang secara efektif memisahkan
upaya dan tanggung jawab tahap penemuan dan pengendalian
serangan cyber-fisik terhadap PCS.
Kami ingin menyimpulkan dengan dorongan untuk
mengembangkan lebih lanjut mekanisme keamanan siber yang
sadar proses yang tidak hanya mengandalkan aspek TI. Setelah
penghalang IT dijanjikan, yang telah ditunjukkan oleh Stuxnet dan
Havex, musuh berpotensi dapat mengambil kendali atas proses
fisik [5]. Sementara yang terakhir adalah tugas non-sepele dan
membutuhkan pengetahuan ahli, akan lalai untuk mengasumsikan
bahwa penyerang tidak dapat memperoleh atau menerapkan
pengetahuan yang diperlukan, dan dengan demikian bergantung
pada keamanan dengan ketidakjelasan dalam aplikasi penting
seperti Sistem Kontrol Industri. tem. Sebaliknya, penemuan proses
harus ditentang secara aktif untuk mencabut kemampuan penyerang
untuk mensimulasikan dan menyiapkan serangan canggih.
Pabrik Produksi Terdistribusi. Pada Konferensi
Internasional IEEE 2013 tentang Teknologi Industri
(ICIT), halaman 1086 – 1091, 2013.
[3] M. Krotofil, A. Cardenas, B. Manning, dan J. Larsen.
CPS: Mendorong Sistem Cyber-fisik ke Kondisi Operasi
yang Tidak Aman dengan Mengatur Waktu Serangan
DoS pada Sinyal Sensor. Dalam Prosiding Konferensi
Aplikasi Keamanan Komputer Tahunan ke-30, ACSAC '14,
halaman 146–155, 2014.
[4] M. Krotofil dan A. Isakov. Bahan Kimia Rentan Sialan
Proses - Tennessee Eastman.
http://github.com/satejnik/DVCP-TE.
[5] R. Langner. To Kill a Centrifuge, 2013. goo.gl/
uX3mJG.
[6] G. Chen, L. Li. Algoritma yang Dioptimalkan untuk Lossy
Kompresi Data Real-Time. Konferensi Internasional IEEE
tentang Komputasi Cerdas dan Sistem Cerdas (ICIS), Vol.
2, 2010.
¨
[7] A. Vodencarevic, H. Kleine Buning, O. Niggemann, A.
Maier. Mengidentifikasi Model Perilaku untuk Pabrik Proses.
Pada Konferensi ke-16 IEEE 2011 tentang
Teknologi Baru & Otomasi Pabrik (ETFA), halaman 1–8,
2011.
[8] Tanggapan Keamanan Symantec. Capung, 2014.
goo.gl/yUEn8d.
[9] NL Ricker. Arsip Tantangan Tennessee Eastman. http://
depts.washington.edu/control/LARRY/TE/download.html.
[10] J.Smuts. Aturan Penyetelan Cohen-Coon.
http://blog.opticontrols.com/archives/383.
[11] J.Smuts. Aturan Tuning Loop Terbuka Ziegler-Nichols.
http://blog.opticontrols.com/archives/477.
[12] JJ Downs, EF Vogel. Masalah Pengendalian Proses
Industri di Seluruh Pabrik. Komputer & Teknik Kimia,
17(3):245 – 255, 1993.
[13] D. Gollmann, P. Gurikov, A. Isakov, M. Krotofil, J.
Larsen, A. Winnicki. Keamanan Sistem Cyber-Fisik - Analisis
Eksperimental Pabrik Monomer Vinil Asetat. Dalam Lokakarya
ACM ke-1 tentang Keamanan Sistem Cyber-Fisik
(CPSS), halaman 1–12, 2015.

6. REFERENSI
[1] EH Bristol. Tren Pintu Berayun: Perekaman Tren Adaptif?
ISA, Makalah #90-493, 1990.
[2] A. Maier, O. Niggemann, M. Koester, CP Gatica.
Pembuatan Model Pengaturan Waktu Otomatis di

14