Artikel 9
Artikel 9
ABSTRAK perilaku tanpa informasi a-priori adalah tugas yang sulit karena skala
besar dan saling ketergantungan yang kompleks dari subkomponen CPS
Serangan dunia maya yang berhasil terhadap sistem fisik dunia maya
membutuhkan pengetahuan ahli tentang perilaku dinamis dari proses fisik [13]. Aspek tertentu dari perilaku proses mungkin tidak terdokumentasi
atau sebelumnya tidak terlihat, dan karena itu tidak diketahui bahkan oleh
yang mendasarinya. Oleh karena itu, memperoleh informasi yang relevan
operator proses.
merupakan bagian penting selama persiapan serangan.
Agar tetap tidak terdeteksi, penyerang perlu menghindari pemicu
Pekerjaan sebelumnya telah menunjukkan perolehan pengetahuan
kendala operasional dan keamanan saat mengontrol proses. Namun,
secara manual tentang dinamika proses menjadi sangat melelahkan.
hanya mengetahui ambang batas saja tidak cukup, karena fisika proses
Makalah ini menyajikan wawasan pertama tentang penemuan sistem
inti dapat berperilaku sangat non-linier, dengan mudah menyebabkan
sadar proses semi-otomatis yang melampaui hal-hal sepele terkait TI,
alarm saat tidak diharapkan. Selain itu, perilaku proses di luar amplop
dan berfokus pada inti fisik sistem.
operasional dari struktur kontrol yang diterapkan mungkin tidak terdefinisi
dan tidak dapat diprediksi. Dari perspektif penyerang memahami keadaan
Kata kunci yang diinginkan dari proses fisik yang mencapai tujuan serangan tertentu,
Sistem siber-fisik, penemuan proses, korelasi sinyal dan mengetahui bagaimana mencapai keadaan tersebut adalah dua
masalah yang berbeda. Keduanya menuntut pengetahuan yang diperluas
tentang dinamika proses yang mendasarinya. Namun, kompleksitas CPS
1. PERKENALAN dapat membuat perolehan informasi secara manual tentang perilaku
Tahapan serangan dunia maya terhadap Sistem Cyber-Fisik (CPS) proses dinamis menjadi sangat melelahkan. Prosedur otomatis untuk
dibagi menjadi akses, penemuan, kontrol, kerusakan, dan pembersihan, mengidentifikasi model tanaman perilaku melalui kontrol dan metode
di mana musuh harus melakukan tugas yang berbeda di setiap tahap rekayasa otomasi (lihat misalnya [7, 2]) mungkin tidak cocok untuk
untuk mencapai tujuan tertentu [13]. Agar berhasil pada tahap kontrol, penyerang yang telah menembus target tetapi harus bekerja dengan
penyerang perlu cukup memahami fisika yang mendasari sistem target
sumber daya komputasi yang terbatas dan mungkin tidak mampu
sehingga mereka dapat mengontrol proses inti fisik itu sendiri, dan mengekstrak data dalam jumlah besar.
membawanya ke keadaan yang diinginkan.
Dengan asumsi keberadaan IT yang dapat dikompromikan dan perangkat Untuk mengatasi masalah ini, kami mengusulkan pendekatan umum
tertanam di dalam CPS, yang memungkinkan musuh mendapatkan akses dan semi otomatis untuk membuat katalog dinamis proses fisik secara
jarak jauh ke sistem kontrol operasi, kami memeriksa kemampuan menyeluruh dengan menangkap pembacaan sensor secara langsung.
penyerang pada tahap kontrol. Pertama, kami mengusulkan pendekatan penyerangan umum yang
Penemuan sistem yang ditargetkan terhadap CPS telah diamati di terinspirasi oleh penyetelan pengontrol untuk memungkinkan pemeriksaan
alam liar pada tahun 2013, ketika malware Havex menginfeksi banyak proses tanpa deteksi, dan untuk memperhitungkan kurangnya
situs industri melalui trojanized installer paket perangkat lunak, dan mulai pengetahuan a-priori tentang batasan proses. Selanjutnya, kami
mengumpulkan informasi tentang kontrol industri dan perangkat lapangan menyajikan algoritme ringan untuk pengelompokan pembacaan sensor
[8]. Meskipun mudah didapat, jenis informasi ini tidak cukup untuk berbasis korelasi berdasarkan respons proses yang ditangkap yang
mengontrol proses fisik dengan baik. Selain itu, informasi statis yang diinduksi oleh probing. Terakhir, kami memverifikasi hasil kami dengan
terkait dengan fisika proses, misalnya lembar-aliran proses, juga mudah metrik turunan untuk memastikan presisi yang memadai, dan mengusulkan
diperoleh tetapi juga tidak memperhitungkan perilaku dinamis dari fisika representasi visual dari hasil untuk memungkinkan ringkasan yang nyaman dan ekspresif.
yang mendasarinya. Pekerjaan sebelumnya telah menunjukkan bahwa Makalah kami disusun sebagai berikut: Bagian 2 menyajikan kerangka
memperoleh pengetahuan yang memadai tentang proses dinamis kerja simulasi yang kami gunakan sebagai testbed untuk pendekatan
kami dan menguraikan mengapa kerangka kerja yang diadopsi sesuai
dengan kasus penggunaan kami. Bagian 3 memberikan penjelasan rinci
Izin untuk membuat salinan digital atau hard copy dari semua atau sebagian dari karya ini untuk tentang pendekatan yang kami usulkan. Bagian 4 membahas sekumpulan
penggunaan pribadi atau ruang kelas diberikan tanpa biaya asalkan salinan tidak dibuat atau
hasil perwakilan yang dipilih, Bagian 5 merangkum pekerjaan kami.
didistribusikan untuk keuntungan atau keuntungan komersial dan bahwa salinan memuat
pemberitahuan ini dan kutipan penuh pada yang pertama halaman. Hak cipta untuk komponen karya
ini dimiliki oleh orang lain selain ACM harus dihormati. Mengabstraksi dengan kredit diperbolehkan.
Untuk menyalin sebaliknya, atau mempublikasikan ulang, memposting di server atau mendistribusikan
2. KERANGKA SIMULASI
ulang ke daftar, memerlukan izin khusus sebelumnya dan/atau biaya. Minta izin dari permissions@acm.org. Kami menguji pendekatan kami dengan masalah tes Tennessee
ASIA CCS '17, 2–6 April 2017, Abu Dhabi, Uni Emirat Arab. c.ACM Eastman (TE), awalnya ditawarkan untuk dipelajari oleh Eastman
2017. ISBN 978-1-4503-4944-4/17/04. . . . . . . . . $15.00. Chemical Company [12], dan selanjutnya diperluas dengan model Mat
DOI: http://dx.doi.org/10.1145/3055186.3055195 lab Simulink oleh Ricker [9]. Masalah tes adalah de
3
Machine Translated by Google
diambil dari proses industri aktual di mana komponen, dinamika sistem, jenis pengukuran. Selain itu, ada dua puluh mode gangguan yang
dan kondisi disesuaikan untuk melindungi kekayaan intelektual berbeda (disebut IDV) yang dapat dinyalakan dan dimatikan secara
Eastman Chemical Company. selektif. Keluaran dari setiap simulasi adalah matriks data di mana
Namun demikian, masalahnya memberikan lingkungan simulasi umum setiap kolom berisi pengukuran sensor yang berbeda, dan setiap baris
dan realistis dari CPS industri kimia. adalah langkah waktu, yaitu 36 detik simulasi. Akibatnya, simulasi
Masalah tes TE sangat cocok untuk menguji pendekatan kami default memberikan 7201 pengukuran per sensor, menghasilkan
karena tidak terikat pada kekhasan proses tertentu, misalnya komponen matriks berukuran 7201x41.
kimia yang terlibat tidak diketahui. Dengan demikian kami dapat Waktu simulasi dapat diperpanjang atau dipersingkat untuk
memverifikasi pendekatan kami dalam hal sifat generiknya tanpa menyesuaikan jumlah pengukuran sensor yang dihasilkan.
memerlukan pengetahuan tentang aspek kimia dari proses tersebut. Diagram aliran proses dan struktur kontrol ditunjukkan pada Gambar
Oleh karena itu, hasil kami dapat terlepas dari masalah khusus ini, dan 1. Proses memiliki lima unit operasional utama: reaktor, kondensor
ditafsirkan dalam konteks berbagai CPS yang berbeda. produk, pemisah uap-cair, kompresor daur ulang, dan stripper produk.
Laju umpan reaktor sebagian dikendalikan oleh hasil analisis produk
Tujuan kami adalah merekayasa balik perilaku proses fisik kimia. Pada kenyataannya, analisis semacam itu adalah prosedur
berdasarkan dinamika data proses, tanpa mengandalkan makna luring non-otomatis, yang dapat memakan waktu hingga setengah jam.
semantik dari data tersebut. Misalnya, kami mengidentifikasi sinyal Oleh karena itu instalasi nyata tidak dapat menerapkan strategi kontrol
sensor yang berkorelasi karena respons pulsa im yang serupa, dan seperti itu, karena laju umpan reaktor biasanya harus memenuhi
bukan karena kimia yang mendasarinya akan menyiratkan korelasinya. persyaratan waktu nyata yang ketat.
Oleh karena itu, pendekatan kami memperhitungkan situasi musuh
yang menghadapi proses tanpa pengetahuan apriori mengenai Untuk mensimulasikan serangan cyber terhadap proses TE kami
perilakunya. Kami menyelidiki apakah mungkin untuk memperoleh menggunakan ekstensi ke model Simulink asli yang disediakan di [4],
informasi perilaku dinamis dengan mengamati respons proses terhadap yang mendukung mode serangan yang berbeda terhadap proses tersebut.
impuls impuls buatan, dan apakah pengetahuan ini cukup untuk Ekstensi menyediakan berbagai mode integritas data dan serangan
memfasilitasi keberhasilan pada tahap pengendalian serangan dunia Denial of Service (DoS) terhadap sebagian besar pengontrol, sensor,
maya. dan aktuator yang diberikan. Waktu, durasi, dan frekuensi serangan
Model Matlab dari masalah tes TE diimplementasikan sebagai fungsi dapat ditentukan untuk setiap simulasi yang dijalankan.
Mex S berbasis C dengan model Simulink. Waktu simulasi kesalahan
adalah tujuh puluh dua jam, dengan frekuensi pengambilan sampel
seratus pengukuran per jam. Kondisi start-up dan shutdown sistem 3. PENDEKATAN Kami
tidak disimulasikan; eksekusi dimulai dengan nilai dasar yang telah sekarang menyajikan pendekatan kami untuk merekayasa balik
ditentukan sebelumnya. proses fisik dari pengukuran sensor yang ditangkap. Prosedur yang
Ada dua belas pengontrol (disebut XMV), dan empat puluh satu sensor kami usulkan adalah semi-otomatis: Sementara at tacker harus secara
(disebut XMEAS) yang memberikan pengukuran dari proses simulasi. aktif melakukan probing proses yang kami berikan kerangka kerja
Semua pengukuran mengandung derau Gaus sian dengan standar sistematis, pengumpulan dan pemrosesan data sensor dilakukan oleh
deviasi tipikal tertentu algoritme kami saat itu juga.
4
Machine Translated by Google
xmeas 3
3.1 Proses Probing 5000
Faktor kebisingan: 5.36
mengirimkan impuls buatan menjadi tugas yang tidak sepele. Pada akhirnya,
4700
penyerang harus menerapkan trial-and error process-probing, di mana
kesalahan tidak boleh memicu alarm, deteksi, dan pencabutan target 4600
penyerang.
4500
Tidak ada solusi umum untuk masalah bagaimana secara khusus
menyerang loop kontrol yang diberikan dengan respons yang tidak diketahui, 4400
sehingga tidak ada alarm yang dibunyikan. Namun, prosedur penyetelan loop
kontrol menghadapi masalah yang sama ketika mengatur loop kontrol di 4300
0 20 40 60 80 100
Waktu [jam]
seluruh pabrik untuk mengoptimalkan dan menyeimbangkan proses [10, 11].
Oleh karena itu kami memperoleh pendekatan serangan terpadu yang
terinspirasi oleh prosedur penyetelan loop kontrol sehingga kami memperoleh Gambar 2: Penyimpangan dengan faktor kebisingan yang diinginkan
pendekatan probing umum yang kami terapkan pada semua loop kontrol yang
tersedia. Tujuan dari pendekatan terpadu kami adalah untuk memberikan titik
awal untuk memeriksa proses dengan cara yang aman, yaitu tanpa
menyebabkan alarm atau pemutusan keamanan. probing proses. Perhatikan bahwa dinamika katup tidak dimodelkan dalam
kerangka simulasi TE. Oleh karena itu set-point baru tercapai hampir secara
Kami mulai dengan menganalisis dan mengukur tingkat kebisingan sinyal instan. Proses fisik dunia nyata akan membutuhkan waktu tertentu untuk
sensor. Untuk memperhitungkan sifat ringan dari pendekatan kami, kami mencapai keadaan barunya.
memperkirakan tingkat kebisingan dengan asumsi berikut. Tanpa pengaruh Perubahan sinyal sensor yang menarik dapat dideteksi dengan cara otomatis,
luar, sinyal berfluktuasi di sekitar nilai rata-rata tertentu, dan fluktuasi memiliki misalnya dengan algoritma CUSUM ringan seperti yang ditunjukkan pada
besaran yang hampir sama baik dalam arah positif maupun negatif. Kami pekerjaan kami sebelumnya [3].
lebih lanjut mengasumsikan bahwa tingkat kebisingan sinyal adalah konstan Yang penting, pendekatan serangan kami memberi musuh cara umum
di seluruh rata-rata sinyal yang berbeda, yaitu pada titik setel yang dipaksakan. untuk secara diam-diam menyelidiki loop kontrol individu. Ini sama sekali
Ini konsisten dengan pengamatan kami terhadap perilaku proses TE. bukan solusi lengkap untuk masalah manipulasi proses tanpa pengetahuan
Persamaan 1 menggambarkan perkiraan kami tentang tingkat kebisingan apriori.
sinyal berdasarkan asumsi ini. Nilai signalmin dan signalmax merupakan nilai Jadi, sementara untuk sebagian besar pengontrol proses TE cukup
pengamatan minimum dan maksimum untuk sinyal yang diberikan selama menginduksi perubahan langkah sekitar 10% untuk mencapai faktor kebisingan
operasi normal, dan tingkat derau yang dihasilkan mewakili besaran derau yang diinginkan, satu pengontrol memerlukan perubahan lebih dari 80%.
maksimum yang diharapkan dalam arah positif atau negatif. Selain itu, loop kontrol yang terkait dengan suhu dan aliran air pendingin
sangat sensitif sehingga tidak mungkin mencapai faktor kebisingan kurang
dari seratus.
Karena besarnya respons proses tidak diketahui oleh penyerang sebelumnya,
ini merupakan tantangan yang signifikan dan ketidakpastian bagi penyerang.
5
Machine Translated by Google
Pengontrol Sensor Rata-rata Attack Value Unit Step Change Noise Factor XMV(1) (D Feed Flow)
XMEAS(2) 63,00 68,75 kg/jam 9,1% XMV(2) (E Aliran Umpan) 5.41
XMEAS(3) 53,13 58,00 kg/jam 9,2% XMV(3) (Aliran Umpan) 5.36
XMEAS(1) 26,11 29,00 kscmh 11,1% XMV(4) (Aliran Umpan A dan C) 5,07
XMEAS(4) 60,57 65,30 kscmh 7,8% XMV(6) (Katup Pembersih) 4,26
XMEAS(10) 25,74 47,00 % 82,6% 5,14
signifikan dan tidak akan ada tanggapan, apakah ada tanggapan kecil tapi yang secara tidak sengaja memiliki jumlah kemiringan yang serupa juga
tidak terlihat, atau apakah tanggapan belum terjadi. Menemukan parameter dapat dikelompokkan dalam kelompok yang sama, yang cukup sering
waktu serangan dan ukuran jendela pengamatan proses memerlukan terjadi dalam simulasi kami. Terakhir, pendekatan SDA tidak memberikan
eksperimen empiris pada proses langsung. informasi tambahan tentang sinyal yang dianalisis.
Tidak dapat mencapai hasil yang memuaskan dengan algoritma SDA,
Saat bekerja dengan kerangka kerja simulasi, pemeriksaan proses kami mengembangkan Sliding Mean Algorithm (SMA) kami sendiri. Intinya,
dapat dihentikan secara manual dan dimulai kembali kapan saja, sehingga SMA secara iteratif menurunkan kelompok sensor terkait tanpa
secara praktis memungkinkan untuk mengabaikan waktu pemulihan menghitung gagasan matematis tentang korelasi. Menentukan korelasi
proses. Namun, proses nyata yang diserang tidak dapat dimatikan dan matematis untuk sejumlah besar pengukuran sensor yang terjadi akan
dimulai ulang begitu saja. Dalam pekerjaan kami, kami ingin serealistis intensif secara komputasi. Sebagai gantinya, kami memperkirakan
mungkin sambil mensimulasikan situasi penyerang. Oleh karena itu kami hubungan korelasi antara sensor dengan membandingkan nilai rata-rata
memperluas parameter serangan yang ditemukan oleh pendekatan kami di seluruh seri pengukuran yang berbeda dengan menggunakan interval
dengan parameter waktu sehingga kami dapat melakukan serangan rata-rata geser. SMA kebal terhadap outlier data karena perhitungan rata-
interval yang aman dari alarm dengan waktu mulai dan akhir yang tetap. rata yang melekat. Sinyal yang dikelompokkan bersama memiliki jenis
Parameter waktu yang efektif dapat ditemukan dengan menggunakan korelasi yang sama karena diidentifikasi memiliki pola respons yang
strategi yang sama, yaitu dengan memulai dengan interval kecil dan ditentukan, dan bukan hanya hitungan kemiringan yang serupa. Informasi
memperpanjangnya hingga terlihat penyimpangan yang terlihat. Prosedur sinyal tambahan, misalnya besaran deviasi, waktu pemulihan, pasca-
ini sejalan dengan fakta bahwa interval serangan yang lebih pendek reaksi, dikembalikan sebagai informasi jaminan yang diperoleh dengan
menguntungkan penyerang dalam hal upaya, risiko, dan waktu pemulihan. perhitungan rata-rata.
Singkatnya, probing proses melalui serangan terhadap titik setel Seperti yang kami tunjukkan di Bagian 4, pendekatan kami ringan dan
pengontrol adalah proses lambat yang terkait dengan sejumlah besar menghasilkan hasil yang cukup akurat.
ketidakpastian. Ketidakpastian seperti itu sangat tidak menguntungkan Penilaian rinci dan perbandingan kedua algoritma akan keluar dari
penyerang karena meningkatkan kemungkinan kesalahan dan deteksi jumlah halaman makalah ini. Alih-alih, kami fokus pada Sliding Mean
yang tidak disengaja. Algorithm, yang memberikan hasil paling akurat dan berguna.
6
Machine Translated by Google
Perbandingan referensi dilakukan dengan menghitung selisih tanggapan selama babak pertama tetapi tidak selama babak kedua,
antara nilai referensi dan nilai rata-rata. Ritme algoritme kita di mana kami menganggap babak pertama sebagai perwakilan.
selanjutnya membutuhkan batas kesalahan untuk berfungsi sebagai Selain itu, jika masing-masing bagian serangan berisi respons yang
interval kepercayaan, yang berarti bahwa batas tersebut harus berbeda, kami menganggap yang memiliki kekuatan terbesar sebagai
dilampaui agar kita mengakui suatu reaksi. Jika perbedaan yang perwakilan dari respons yang sebenarnya.
dihitung lebih besar dari kesalahan maka tanda perbedaan Jika tidak ada reaksi yang ditemukan di kedua bagian serangan,
menentukan jenis reaksi, yang dapat berupa positif atau negatif. Kalau maka kami menggunakan nilai referensi sinyal minimum dan
tidak, kami berasumsi bahwa tidak ada reaksi. maksimum yang ditentukan sebelumnya, dan membandingkannya
Akibatnya, kami membedakan tiga kemungkinan respons untuk paruh dengan nilai minimum dan maksimum yang terjadi selama serangan.
pertama serangan: positif, negatif, dan tidak ada. Jika yang terakhir melebihi nilai referensi dalam besarnya, kami
Skala dan jangkauan sinyal sensor sangat berbeda di antara berasumsi bahwa osilasi yang sangat sering terjadi selama serangan.
pengukuran proses. Oleh karena itu, kami mewajibkan setiap sinyal Asumsi kami didasarkan pada fakta bahwa menghitung nilai rata-rata
sensor untuk memiliki batas kesalahan yang disesuaikan dengan selama osilasi frekuensi tinggi menghasilkan garis lurus yang tidak
skala individual. Untuk mencapai tujuan ini, pertama-tama kita menunjukkan reaksi. Namun keberadaan nilai magnitudo yang lebih
melakukan down-sample semua data, kemudian menentukan nilai besar selama serangan bertentangan dengan gagasan tidak ada
minimum dan maksimum di setiap rangkaian sinyal, menghitung jarak reaksi, dan lebih tepatnya menunjukkan bahwa reaksi ditutupi oleh
mutlak di antara mereka, dan membagi hasilnya menjadi dua. Karena perhitungan rata-rata kami (perataan sinyal). Meskipun menyadari
ini dilakukan untuk setiap sinyal, hasil akhirnya berupa vektor nilai keterbatasan cara mendeteksi atau memperkirakan osilasi yang rawan
kesalahan yang disesuaikan skala dan pengurangan noise untuk kesalahan ini, kami masih ingin menekankan bagaimana beberapa
semua sensor. Setiap nilai kesalahan mewakili seberapa besar sinyal perhitungan sederhana yang dikombinasikan dengan hasil yang
dapat bervariasi dalam arah positif dan negatif, sehingga penyimpangan berbeda secara logis dapat menyarankan adanya respons yang
dianggap tidak signifikan. sebaliknya akan membutuhkan pemrosesan data yang ekstensif untuk
Pengambilan sampel data dan pelatihan kesalahan keduanya ringan ditemukan.
Prosedur. Down-sampling kami didasarkan pada penghitungan nilai Kami selanjutnya memperlakukan osilasi sebagai properti respons
rata-rata, di mana hanya dua nilai yang perlu disimpan: jumlah dan sekunder untuk menghindari ledakan pola yang akan terjadi jika kami
jumlah sampel yang dikandung oleh jumlah tersebut. Setiap menganggap semua properti turunan dari respons sinyal sama
perhitungan rata-rata selanjutnya membutuhkan s penjumlahan dan pentingnya. Memiliki properti sekunder juga memungkinkan
satu pembagian, per interval rata-rata. Di sisi lain, pelatihan kesalahan pembedaan sub-kategori tambahan yang sederhana dan bersih,
memerlukan prosedur standar untuk menemukan nilai minimum dan sambil menghindari peningkatan eksponensial dari kemungkinan pola
maksimum dalam rangkaian data, selanjutnya satu pengurangan dan melalui kombinasi semua properti yang ditentukan. Ini mendukung ide
satu pembagian. kami tentang pendekatan ringan.
Paruh kedua serangan berfungsi untuk memverifikasi respons Terakhir, kami menentukan persentase deviasi maksimum dari
yang ditemukan di paruh pertama sinyal sensor, karena beberapa referensi sinyal yang dianalisis selama serangan, dan memajukan
alasan. Kami telah menemukan secara eksperimental bahwa banyak jendela waktu kami selangkah demi selangkah hingga kami mencapai
sinyal memiliki waktu mati yang besar, yang berarti bahwa sinyal akhir data. Untuk setiap jendela waktu kami menghitung nilai rata-rata
tersebut menunjukkan respons yang tertunda. Ini berarti bahwa dan membandingkannya dengan nilai referensi kami untuk
mungkin tidak ada reaksi yang terlihat selama paruh pertama menentukan apakah sinyal kembali ke keadaan semula atau bertransisi
serangan. Sebaliknya, tanggapan juga dapat muncul dengan menjadi yang baru. Dalam kasus sebelumnya kami mengatakan
sendirinya segera tetapi hanya untuk waktu yang sangat singkat. bahwa sinyalnya tangguh karena mampu pulih dari serangan dan
Dalam hal ini, tidak akan ada reaksi selama babak kedua. Memisahkan kembali ke keadaan normalnya. Ketika sinyal mencapai dan tetap
serangan secara terval menjadi dua bagian yang berbeda dalam keadaan yang berbeda bahkan setelah serangan berakhir
memungkinkan kita untuk mendeteksi dan mempertimbangkan sifat- maka kita katakan itu stabil, yaitu sinyal tidak pulih dengan baik tetapi
setidaknya
sifat perilaku sinyal ini dalam keputusan klasifikasi dan pengelompokan respons kita. mampu menetap di keadaan baru.
Selanjutnya, sementara beberapa sinyal menunjukkan reaksi positif
atau negatif yang sangat jelas terhadap impuls tertentu, untuk sinyal 3.2.2 Pasca-Reaksi
lain sulit untuk memutuskan apakah respon meningkat atau menurun, Dalam kasus tertentu sinyal tidak menunjukkan respon yang
misalnya ketika sinyal menunjukkan osilasi dengan besaran yang signifikan selama serangan, namun mereka memiliki reaksi pasca
berubah. Dalam hal ini kita menganggap kemiringan osilasi dengan yang kuat, yaitu ada gangguan proses yang jelas ketika serangan
magnitudo terbesar untuk mewakili sifat respons, misalnya sinyal berhenti. Kami dapat mendeteksi pasca-reaksi ini dengan menghitung
berosilasi tetapi ada kecenderungan meningkat, atau osilasi terkuat nilai rata-rata sepanjang waktu, dari awal serangan hingga akhir
bertanda positif, maka kita katakan responsnya positif. Melakukan hal data, dan membandingkannya dengan nilai referensi. Kami selanjutnya
itu juga masuk akal bagi penyerang; bahkan jika responsnya secara menggunakan nilai minimum dan maksimum untuk menggarisbawahi
teoritis berbeda dalam interpretasi kimiawi, osilasi terkuat harus kesimpulan yang ditarik dari perbandingan rata-rata ini. Selain itu,
menjadi fokus karena dapat mengenai batasan proses dan memicu kami menentukan persentase penyimpangan maksimum dari
alarm potensial. referensi sinyal yang disebabkan oleh pasca-reaksi.
Jika kami tidak menemukan respons selama paruh pertama Pendekatan sederhana untuk menemukan pasca-reaksi ini
serangan, kami belum dapat mengatakan apakah sinyal tersebut tidak dimungkinkan karena pertama-tama kita menyimpulkan apakah suatu
merespons sama sekali, atau apakah responsnya tertunda. Namun, sinyal bereaksi selama serangan atau tidak. Jika ya, kami
jika tidak ada respons selama paruh kedua, maka kami menganggap mengklasifikasikannya sebagai tangguh atau stabil dengan informasi
bahwa sinyal tidak bereaksi terhadap impuls yang diberikan. Dalam yang sesuai tentang penyimpangan. Namun jika tidak ada reaksi
kasus akhirnya ada tanggapan selama babak kedua kami berpendapat selama serangan, itu bisa berarti tidak ada reaksi sama sekali, atau
bahwa babak kedua merupakan reaksi yang sebenarnya. Kami respon tertunda sampai serangan selesai. Dalam hal ini pasca-reaksi
menerapkan argumentasi yang sama untuk kasus yang ada mudah terlihat hanya menggunakan satu com rata-rata
7
Machine Translated by Google
parison, dan memverifikasi mereka dengan menilai lebih lanjut nilai diperlukan agar seluruh proses pulih sepenuhnya, terutama saat memeriksa
minimum dan maksimum, dan membandingkannya dengan nilai referensi satu sinyal pada satu waktu. Tantangan penyerang adalah untuk secara
juga. empiris menurunkan variabel penghitung yang bekerja paling baik untuk
Jika sinyal memiliki reaksi selama serangan dan juga setelahnya, maka proses yang sedang dianalisis.
kami menganggap reaksi pertamanya sebagai reaksi definitif, karena itu Menentukan nilai manjur untuk penghitung negara kita adalah trade-off
terjadi sebagai respons langsung terhadap serangan, sedangkan pasca- antara jumlah waktu pemulihan yang dihitung secara tidak akurat dan
reaksi kemungkinan besar hanya memanifestasikan pemulihan proses. . ketidakmampuan untuk menghitung waktu pemulihan sama sekali. Nilai
Sinyal yang hanya memiliki pasca-reaksi jauh lebih menarik mengapa penghitung yang rendah menghasilkan periode verifikasi yang singkat,
suatu variabel memanifestasikan pemulihan reaktif sementara pada berpotensi menyebabkan algoritme berasumsi bahwa sinyal telah mencapai
awalnya tidak memiliki reaksi yang signifikan. status referensinya, sementara sebenarnya masih dalam osilasi pemulihan.
Karena kami menganggap osilasi sebagai sifat respons sekunder, kami Nilai penghitung yang tinggi menyiratkan periode verifikasi yang lebih lama,
memperlakukan pasca-reaksi dengan cara yang sama karena, seperti yang yang dalam kasus tertentu dapat menyebabkan ketidakmampuan untuk
dikemukakan sebelumnya, fokus utama kami adalah pada respons mencapai penghitung untuk status pencocokan referensi karena tidak ada
langsung. Post reaksi merupakan tambahan sub-kelas reaksi yang menarik cukup data yang tersisa, atau karena kebisingan yang diperpanjang
jika tidak ada tanggapan langsung yang signifikan sebelumnya. secara terus-menerus mengatur ulang penghitung untuk status pencocokan
referensi . Kami menggunakan nilai penghitung 1500 untuk status yang
Penting untuk dicatat bahwa meskipun pendeteksian pasca-reaksi ini cocok, dan 1250 untuk status yang tidak cocok. Selain itu, kami
efektif dalam banyak kasus, masih rawan kesalahan, misalnya gangguan menerapkan waktu simulasi 100 jam dan melakukan serangan lebih awal
tak terduga yang tidak disebabkan oleh serangan dapat mengaburkan hasil ke dalam simulasi untuk meminimalkan ketidakmampuan menghitung
dan dengan mudah menyebabkan kesimpulan yang salah. Namun, waktu pemulihan karena kekurangan data. Namun, kami melihat bahwa
sejumlah besar informasi berguna dapat diperoleh dengan menerapkan peningkatan waktu simulasi dapat menyebabkan beberapa sinyal tangguh
metode yang relatif sederhana dan akurat tersebut. Terutama karena kami diklasifikasikan sebagai stabilisasi karena fluktuasi proses yang tidak
secara teoritis bermaksud agar Programmable Logic Controller (PLC) terkait serangan ran dom yang terjadi menjelang akhir waktu simulasi.
mengeksekusi algoritme kami, yang berarti kami harus bekerja dengan
sumber daya yang sangat terbatas.
3.2.4 Ringkasan
Keuntungan utama dari pendekatan rata-rata geser kami adalah
3.2.3 Waktu Pemulihan implementasi sederhana dan eksekusi cepat yang ramah sumber daya.
Terakhir, kami menggunakan sliding mean window lain untuk menghitung Menghitung nilai rata-rata bukanlah operasi yang menuntut sumber daya,
waktu pemulihan untuk sinyal yang tangguh, yaitu jumlah waktu yang penyimpanan lebih lanjut dan membandingkan nilai-nilai ini juga tidak
dibutuhkan sinyal ini untuk kembali ke keadaan normalnya. Untuk memerlukan sumber daya yang luas. Seperti yang ditunjukkan secara lebih
penyerang, ini bisa menjadi informasi penting dalam konteks menghindari rinci di Bagian 4, banyak informasi dapat digali dengan menggunakan
keadaan pasca-serangan abnormal yang bertahan lama, yang berpotensi pendekatan sederhana ini. Di sisi lain, kesederhanaan yang mendasari
memicu interlock keselamatan. Setelah menentukan bahwa suatu sinyal membuat pendekatan sensitif dan rawan kesalahan terhadap gangguan
tangguh, kami menerapkan jendela rata-rata geser yang dimulai pada saat tertentu atau kemungkinan respons proses yang kompleks, karena hanya
serangan, dan mencoba untuk menemukan sejumlah jendela waktu yang dapat mendeteksi dan mengklasifikasikan pola respons yang telah
terhubung secara berurutan yang telah ditentukan sebelumnya yang cocok ditentukan sebelumnya. Jika terjadi pola yang tidak diketahui, mereka
dengan keadaan referensi, yaitu perbedaan rata-rata berada di dalam akan salah klasifikasi, seperti sinyal berisik yang secara keliru dapat
kepercayaan selang. Jika algoritme menemukan jendela waktu yang tidak mencocokkan pola yang ditentukan secara kebetulan. Namun, kami telah
cocok dengan status referensi, algoritme akan meningkatkan penghitung menemukan sebagian besar pola kejadian yang relevan dalam kerangka
untuk status yang tidak cocok. Jika penghitung ini mencapai batas yang kerja simulasi kami, dan kami dapat mendeteksi dan mengklasifikasikannya
ditentukan sebelumnya, penghitung dari status pencocokan yang ditemukan dengan tingkat kebenaran yang tinggi.
sebelumnya akan diatur ulang. Ketika penghitung untuk keadaan yang
cocok tidak dapat dipukul, nilai numerik dari waktu pemulihan tetap nol,
menunjukkan bahwa waktu pemulihan sinyal tidak dapat ditentukan.
3.3 Verifikasi Klaster
Koefisien korelasi Pearson adalah ukuran umum ketergantungan linear
Dengan kata lain, jika algoritme menemukan status pencocokan antara dua variabel stokastik. Definisi matematisnya diberikan dalam
referensi, algoritme akan terus memindahkan jendela rata-rata beberapa Persamaan 3, di mana X dan Y mewakili variabel stokastik, µX dan µY
kali yang telah ditentukan sebelumnya untuk memverifikasi bahwa sinyal adalah nilai ekspektasi yang sesuai, dan ÿX × ÿY adalah produk dari
benar-benar stabil, dan bahwa status pencocokan bukan sekadar penemuan standar deviasi X dan Y .
yang tidak disengaja. Jika ia menemukan keadaan yang tidak cocok selama
periode verifikasi ini, ia tidak segera berasumsi bahwa verifikasi gagal,
tetapi sebaliknya mencoba untuk menilai apakah keadaan yang tidak E[(X ÿ µX) × (Y ÿ µY )]
ÿX,Y = (3)
cocok itu cenderung selama periode waktu yang lebih lama, atau apakah ÿX × ÿY
itu merupakan gangguan pendek yang acak. Gangguan yang diperpanjang
Koefisien mengambil nilai antara 1 dan ÿ1, di mana kasus pertama
dapat menjadi bagian dari respons, dan menunjukkan bahwa sinyal belum diselesaikan.
Dalam kebanyakan kasus, prosedur ini memungkinkan algoritme untuk mewakili ketergantungan linier sempurna, dan kasus terakhir menunjukkan
secara akurat menentukan waktu pemulihan sinyal ketika semua ketergantungan linier terbalik sempurna. Korelasi antara dua variabel
kemungkinan pasca-reaksi atau pasca-gangguan telah berhenti, sekaligus stokastik menjadi lebih lemah ketika koefisien mendekati 0, sampai tidak
meminimalkan dampak bias dari outlier data pendek dan acak. Namun, ada ketergantungan linier setelah koefisien sama dengan 0. Namun, ini
dalam situasi tertentu titik waktu pemulihan tidak selalu dapat ditentukan tidak berarti tidak ada ketergantungan sama sekali, karena koefisien hanya
dengan tepat karena kuatnya pasca-reaksi atau karena variabilitas sinyal mendeteksi hubungan linier. Mungkin ada, misalnya, ketergantungan
yang tinggi. Terlebih lagi, tidak selalu jelas berapa banyak waktu yang kuadrat antara dua variabel yang diperiksa.
biasanya dihabiskan kembali
8
Machine Translated by Google
berguna untuk menentukan ketergantungan linear antara deret waktu Nilai referensi: 0,19
Penyimpangan serangan:
101,76% Waktu pemulihan: 39,3 jam
sinyal sensor. Ini karena koefisien adalah angka tunggal yang tidak dapat 0,4
beberapa impuls tetapi tidak pada waktu yang sama, yaitu salah satu 0,2
sinyal segera bereaksi sementara yang lain memiliki reaksi yang tertunda. 0,15
fisika yang mereka ukur terpisah secara lokal, sehingga perubahan status 0
9
Machine Translated by Google
cluster dibentuk oleh sinyal tangguh dengan respons positif, sinyal xmeas 22 xmeas 23
Nilai referensi: 91,86 Nilai referensi: 31,81
tangguh dengan respons negatif, dan sinyal tangguh tanpa Penyimpangan serangan:
3,34% Waktu pemulihan: 37,8 jam
Penyimpangan serangan:
17,71% Waktu pemulihan: 30,2 jam
93 34
4.1 Cluster Positif Tangguh
92 32
sebagai reaksi terhadap serangan dan kembali ke keadaan semula Penyimpangan serangan:
23,12% Waktu pemulihan: 39,4 jam
Penyimpangan serangan:
24,42% Waktu pemulihan: 28,8 jam
38 8
dihitung dengan benar dan berfluktuasi sekitar 30 jam. Sinyal bising
36 7.5
cenderung menantang untuk penghitungan waktu pemulihan yang akurat. 34 7
4400 9.2
yang berbeda dengan modifikasi minimal.
4350 9
4300 8.8
4.2 Sinyal Cluster Negatif Tangguh dari
0 20 40 60 80 100 0 20 40 60 80 100
Waktu [jam] Waktu [jam] cluster berikutnya yang ditemukan oleh Algoritma Sliding Mean
kami ditunjukkan pada Gambar 6, 7 dan 8. Semua sinyal yang
Gambar 4: Sinyal tangguh dengan respons positif terlibat tangguh dan memiliki respon negatif terhadap serangan
terhadap katup pembersih. Sementara beberapa sinyal memiliki
Juga, reaksi overshoot sistem cenderung mengaburkan waktu reaksi penurunan yang terlihat jelas, misalnya XMEAS(7), sinyal
pemulihan. Misalnya, waktu pemulihan sinyal XMEAS(23) dalam bising seperti XMEAS(5) memiliki deviasi yang kurang dapat
5 diperkirakan 30,2 jam, bukan 35 jam sebenarnya. Reaksi over dibedakan. Namun demikian, algoritme kami mampu
shoot negatif yang sedikit tetapi dapat dilihat pada t = 50 jam mengklasifikasikan sinyal bising ini dengan benar.
menyesatkan algoritme kami untuk percaya bahwa keadaan
referensi tercapai, karena penuaan rata-rata selama periode xmeas 5
Nilai referensi: 32,21
xmeas 7
Nilai referensi: 2799,93
32.5
untuk memperkirakan apakah status referensi tercapai atau tidak 2700
32
Menariknya, sinyal XMEAS{1, 2, 3, 4} pada Gambar 4 adalah Waktu [jam] Waktu [jam]
semua pengukuran aliran umpan reaktor dari berbagai komponen. xmeas 12 xmeas 13
Nilai referensi: 49,95 Nilai referensi: 2704,45
Karena serangan kami pada katup pembersih meningkatkan laju Penyimpangan serangan:
10,29% Waktu pemulihan: 32,1 jam
Penyimpangan serangan:
7,58% Waktu pemulihan: 29,2 jam
60 2800
pembersihan reaktor, sistem perlu mengkompensasi hilangnya
komponen kimia dari reaktor. Oleh karena itu masuk akal bahwa 55 2700
sebelumnya. Pada pandangan pertama, ini dapat menunjukkan Waktu [jam] Waktu [jam]
10
Machine Translated by Google
kesamaannya adalah mereka pulih dengan cepat dan kembali ke xmeas 24 xmeas 27
Nilai referensi: 15,06 Nilai referensi: 16,96
keadaan normal bahkan sebelum serangan berakhir. Ini Penyimpangan serangan: Penyimpangan serangan:
34,27% Waktu pemulihan: 52,7 jam 7,53% Waktu pemulihan: 27,2 jam
17.5
yang diserang, dalam hal ini katup pembersih, karena mereka 14
16.5
10
16
xmeas 14 xmeas 15
Nilai referensi: 25,34 Nilai referensi: 49,95 8 15,5
0 20 40 60 80 100 0 20 40 60 80 100
Penyimpangan serangan: Penyimpangan serangan:
Waktu [jam] Waktu [jam]
3,88% Waktu pemulihan: 22,4 jam 16,21% Waktu pemulihan: 41,6 jam
26 70
xmeas 28 xmeas 30
Nilai referensi: 4,06 Nilai referensi: 22,13
25.5 60 Penyimpangan serangan: Penyimpangan serangan:
24,01% Waktu pemulihan: 0,0 jam 34,57% Waktu pemulihan: 0,0 jam
5 24
25 50
22
4.5
24.5 40
20
4
24 30
0 20 40 60 80 100 0 20 40 60 80 100 18
3300
102.5 Gambar 8: Sinyal tangguh dengan respons negatif
3200
102
3100
3000 101,5 sudah selesai. Setelah selesai, katup pembersih ditutup sementara,
0 20 40 60 80 100 0 20 40 60 80 100
Waktu [jam] Waktu [jam] secara efektif mengatur laju pembersihan ke nol. Ini adalah waktu
di mana aliran umpan tinggi yang masih abnormal menghasilkan
Gambar 7: Sinyal tangguh dengan respons negatif akumulasi komponen fisik dalam stripper, separator, dan aliran
daur ulang, yang bermanifestasi sebagai reaksi pasca.
Namun, begitu serangan selesai dan sinyal yang terkena
dampak langsung mulai pulih, proses pemulihan berdampak luas Gambar 9 menggambarkan korelasi Pearson jangka waktu
dan juga memengaruhi sinyal independen. Oleh karena itu kita untuk XMEAS{12, 15}. Hubungannya tidak kuat, tetapi ada korelasi
dapat mengamati osilasi tambahan dalam loop tertentu yang kita yang jelas. Perhatikan, korelasi selama pasca-reaksi secara
sebut pasca-reaksi. Misalnya, XMEAS(15) mewakili tingkat penari signifikan lebih tinggi daripada selama serangan.
telanjang. Seperti yang bisa dilihat, sinyal ini pulih dengan
sendirinya sebelum serangan berakhir. Namun, karena kompensasi
Sinyal Sensor
pasca-serangan di seluruh pabrik atas hilangnya komponen kimia 60 70
terpengaruh oleh impuls buatan, namun pemulihan sinyal yang Waktu [jam]
Korelasi Pearson (WaktuÿJendela: 1000)
terpengaruh berikut berpotensi mengganggu keseluruhan sistem. 1
11
Machine Translated by Google
disesuaikan dan batas kesalahan khusus sinyal. Karena kita xmeas 32 xmeas 37
Nilai referensi: 0,92 Nilai referensi: 0,01
memerlukan batasan kesalahan ini untuk pendekatan rata-rata geser 1.4 0,06
kita untuk berfungsi, saat kita mempresentasikan hasil Algoritma Rata- 1.2 0,04
rata Sliding, itu berarti kita melakukan dua contoh simulasi. Pertama, 1 0,02
kami menjalankan simulasi tanpa serangan atau modifikasi apa pun. 0,8 0
Setelah simulasi selesai, kami menghitung vektor batas kesalahan 0,6 ÿ0,02
55
nyata, penyerang akan melakukan estimasi batas kesalahan, 45
54.5
serangan, dan analisis respons proses secara berurutan.
54 44
Cluster terakhir yang ditemukan oleh Algoritma Sliding Mean kami 52,5 42
0 20 40 60 80 100 0 20 40 60 80 100
digambarkan pada Gambar 10 dan 11. Ini terdiri dari sinyal sensor Waktu [jam] Waktu [jam]
64
46.5
5.5
46 63
0 20 40 60 80 100 0 20 40 60 80 100
Waktu [jam] Waktu [jam]
5
xmeas 9 xmeas 17
Nilai referensi: 122,90 Nilai referensi: 22.88
123 23.6
4.5
23.4
122.95
23.2
4
122.9 23 0 20 40 60 80 100
22.8 Waktu [jam]
122.85
22.6
122,8 22,4
0 20 40 60 80 100 0 20 40 60 80 100
Waktu [jam] Waktu [jam] Gambar 12: Menstabilkan sinyal dengan respon negatif
4.4 Visualisasi Respon Seluruh Tanaman Karena G dan H adalah dua produk yang diinginkan dari proses
Gambar 13 menggambarkan visualisasi serangan yang dilakukan TE, ini berarti secara ekonomis bahwa peningkatan laju pembersihan
dan hasil klasifikasi untuk keseluruhan sistem. Visualisasi seperti itu tidak berpengaruh pada komposisi produk akhir, selain penurunan
dapat dilakukan, misalnya melalui P&ID atau diagram aliran proses komponen sekunder E dan F. Kami
12
Machine Translated by Google
variabel yang diserang reaksi positif reaksi negatif tidak ada reaksi
dapat disimpulkan bahwa serangan yang dilakukan terhadap purge 4.5 Serangan pada Sensor
valve, meskipun sifatnya mengganggu, tidak berdampak langsung Ada enam belas sensor yang dapat diserang dalam model TE.
pada proses dalam hal kerugian finansial melalui kerugian produk. Menyerang sensor namun secara substansial berbeda dari pada
Komposisi produk akhir benar-benar meningkat karena serangan, pengontrol penyambungan. Serangan terhadap pengontrol secara
karena konsentrasi komponen E dan F sekunder dan yang tidak langsung memaksa sistem untuk masuk ke keadaan menyimpang
diinginkan berkurang. Namun, kerugian finansial disebabkan oleh karena perubahan titik setel pembuat katup. Sebaliknya, pengukuran
hilangnya reagen yang dikeluarkan dari proses karena tingginya sensor palsu menyebabkan sistem berasumsi bahwa ia sudah dalam
tingkat pembersihan yang tidak normal. Oleh karena itu penting untuk keadaan menyimpang, dan harus memulihkan prosesnya. Pemulihan
mengukur kinerja proses tidak hanya dalam hal kemurnian produk, status proses tersebut bersifat iteratif, yang berarti bahwa posisi
tetapi juga mengenai efisiensi konversi reagen. Diskusi yang lebih katup disesuaikan secara bertahap dengan perubahan set-point yang
rinci tentang strategi serangan pada laju reaksi dan analisis forensik kecil pada setiap siklus kontrol (berlawanan dengan perubahan set-
terkait dapat ditemukan dalam pekerjaan kami sebelumnya [13]. point tunggal dalam serangan pengontrol).
Masih mungkin untuk menyelidiki proses secara diam-diam dengan
Teknik visualisasi sederhana dari respons proses pemetaan atas bantuan serangan integritas data pada sinyal sensor. Namun, tidak
diagram P&ID (atau serupa), seperti yang kami usulkan, dapat ada rekomendasi berdasarkan metode teori kontrol yang ada untuk
membantu mempelajari dan membuat katalog perilaku dinamis dari mendukung proses ini. Seseorang harus mulai dengan serangan
setiap proses fisik. Serangkaian lengkap dari pola respons yang integritas data skala kecil dan secara bertahap meningkatkannya saat
teridentifikasi dapat berfungsi sebagai model yang disederhanakan respons yang diamati memungkinkan (pendekatan heuristik).
untuk menyiapkan serangan yang lebih canggih. Meskipun Gambar
13 hanya berisi sebagian kecil dari informasi yang ditemukan oleh
pendekatan rata-rata geser kami, ini memungkinkan penalaran yang
5. RINGKASAN DAN KESIMPULAN
nyaman tentang perilaku proses dan bahkan ekonomi sehubungan
Seorang penyerang yang menghadapi proses yang tidak diketahui
dengan serangan. Selain itu, visualisasi respons di seluruh pabrik
ditantang oleh kurangnya pengetahuan tentang penyetelan dan
kami dapat berguna bagi penyerang dan juga pembela, karena dalam
respons loop kontrolnya. Akibatnya, mencoba membuat katalog
kedua kasus, pengetahuan tentang proses yang mendasari sangat penting untuk sukses.
perilaku dinamis dari proses dengan mengirimkan impuls buatan
Namun dalam skenario nyata, jumlah pola respons yang mungkin
adalah tugas yang tidak sepele. Untuk memperhitungkan situasi musuh fac
dipasangkan dengan sejumlah besar variabel proses dapat membuat
Dalam proses yang tidak diketahui, kami telah memperoleh
penyerang dan pembela bertahan kewalahan. Dalam hal itu,
pendekatan penyerangan terpadu yang terinspirasi oleh prosedur
kesederhanaan adalah kunci ketika mencoba memodelkan perilaku
penyetelan pengontrol untuk menyelidiki proses secara diam-diam
proses fisik yang kompleks. Mampu mengekstraksi, mengidentifikasi,
untuk menentukan serangan dan parameter waktu sambil menjaga
dan memampatkan secara visual aspek-aspek yang mendominasi
risiko alarm dan deteksi seminimal mungkin. Kami telah menerapkan
perilaku proses dinamis memungkinkan analisis yang disesuaikan dan
semua hal yang disebutkan di atas dalam hal serangan integritas
memadai.
berbasis interval terhadap sekumpulan pengontrol dan sensor proses TE yang represen
13
Machine Translated by Google
Dalam pendekatan kami, kami mengidentifikasi kelompok sinyal Pabrik Produksi Terdistribusi. Pada Konferensi
sensor berkorelasi menggunakan algoritme generik yang tidak Internasional IEEE 2013 tentang Teknologi Industri
bergantung pada gagasan matematis tentang korelasi. Sebagai (ICIT), halaman 1086 – 1091, 2013.
gantinya, algoritma kami mengekstraksi pola perilaku dari seri [3] M. Krotofil, A. Cardenas, B. Manning, dan J. Larsen.
pengukuran dengan bantuan prosedur pendekatan data ringan CPS: Mendorong Sistem Cyber-fisik ke Kondisi Operasi
yang dipasangkan dengan metode estimasi. Selain itu, algoritme yang Tidak Aman dengan Mengatur Waktu Serangan
kami terlepas dari proses fisika atau kimia yang mendasari, yang DoS pada Sinyal Sensor. Dalam Prosiding Konferensi
membuat pendekatan kami berlaku untuk berbagai macam proses Aplikasi Keamanan Komputer Tahunan ke-30, ACSAC '14,
yang berbeda dengan strategi kontrol yang berbeda. halaman 146–155, 2014.
Dari dua algoritme yang diuji, pendekatan sliding mean terbukti [4] M. Krotofil dan A. Isakov. Bahan Kimia Rentan Sialan
lebih efektif dan memberikan hasil yang lebih nyaman, sekaligus Proses - Tennessee Eastman.
lebih sederhana baik dalam implementasi maupun eksekusi. http://github.com/satejnik/DVCP-TE.
[5] R. Langner. To Kill a Centrifuge, 2013. goo.gl/
Kami telah memvisualisasikan hasil klasifikasi dari Slid ing Mean
uX3mJG.
Algorithm kami pada flow-sheet proses model TE sebagai sarana
[6] G. Chen, L. Li. Algoritma yang Dioptimalkan untuk Lossy
teladan dari ringkasan yang nyaman secara visual untuk membuat Kompresi Data Real-Time. Konferensi Internasional IEEE
katalog tanggapan proses di seluruh pabrik dalam konteks tentang Komputasi Cerdas dan Sistem Cerdas (ICIS), Vol.
pemodelan perilaku. Kami telah lebih lanjut memperkenalkan metrik
2, 2010.
korelasi Pearson jangka waktu untuk tujuan verifikasi, karena ¨
[7] A. Vodencarevic, H. Kleine Buning, O. Niggemann, A.
gagasan standar korelasi Pearson tidak memberikan perincian
Maier. Mengidentifikasi Model Perilaku untuk Pabrik Proses.
yang memadai untuk menangkap perilaku proses dinamis.
Pada Konferensi ke-16 IEEE 2011 tentang
Teknologi Baru & Otomasi Pabrik (ETFA), halaman 1–8,
Singkatnya, pekerjaan kami menunjukkan bahwa adalah mungkin
2011.
untuk merekayasa balik proses fisik yang dikendalikan dari
pengamatan respons ke impuls yang dibuat. Bahkan dengan [8] Tanggapan Keamanan Symantec. Capung, 2014.
algoritme proksimatif ap ringan yang berjalan pada perangkat goo.gl/yUEn8d.
bidang tingkat rendah yang dibatasi sumber daya, penyerang dapat [9] NL Ricker. Arsip Tantangan Tennessee Eastman. http://
memperoleh sejumlah besar informasi mengenai perilaku proses depts.washington.edu/control/LARRY/TE/download.html.
dinamis, dan kemungkinan penyetelan pengontrol. Dengan
pengetahuan tambahan tentang struktur kontrol yang mendasarinya, [10] J.Smuts. Aturan Penyetelan Cohen-Coon.
yang mudah diperoleh dalam bentuk lembar alur proses, penyerang http://blog.opticontrols.com/archives/383.
selanjutnya dapat membuat kesimpulan tentang kelemahan sistem [11] J.Smuts. Aturan Tuning Loop Terbuka Ziegler-Nichols.
kontrol yang digunakan dan memprioritaskan target serangan http://blog.opticontrols.com/archives/477.
(misalnya mengecualikan pengontrol sensitif). Pengetahuan yang [12] JJ Downs, EF Vogel. Masalah Pengendalian Proses
diperoleh memungkinkan musuh untuk mempersiapkan serangan Industri di Seluruh Pabrik. Komputer & Teknik Kimia,
canggih, disesuaikan dengan perilaku dinamis individu dari proses 17(3):245 – 255, 1993.
korban. Akibatnya, serangan ini lebih mungkin berhasil, dan lebih [13] D. Gollmann, P. Gurikov, A. Isakov, M. Krotofil, J.
kecil kemungkinannya terdeteksi dalam jangka pendek. Nyatanya, Larsen, A. Winnicki. Keamanan Sistem Cyber-Fisik - Analisis
adver saries bahkan mungkin fokus untuk mendapatkan model Eksperimental Pabrik Monomer Vinil Asetat. Dalam Lokakarya
perilaku dari proses fisik tanpa niat untuk benar-benar menyerang ACM ke-1 tentang Keamanan Sistem Cyber-Fisik
proses ini setelahnya. Sebagai gantinya, model ini dapat dijual (CPSS), halaman 1–12, 2015.
kepada pihak ketiga yang tertarik, yang secara efektif memisahkan
upaya dan tanggung jawab tahap penemuan dan pengendalian
serangan cyber-fisik terhadap PCS.
Kami ingin menyimpulkan dengan dorongan untuk
mengembangkan lebih lanjut mekanisme keamanan siber yang
sadar proses yang tidak hanya mengandalkan aspek TI. Setelah
penghalang IT dijanjikan, yang telah ditunjukkan oleh Stuxnet dan
Havex, musuh berpotensi dapat mengambil kendali atas proses
fisik [5]. Sementara yang terakhir adalah tugas non-sepele dan
membutuhkan pengetahuan ahli, akan lalai untuk mengasumsikan
bahwa penyerang tidak dapat memperoleh atau menerapkan
pengetahuan yang diperlukan, dan dengan demikian bergantung
pada keamanan dengan ketidakjelasan dalam aplikasi penting
seperti Sistem Kontrol Industri. tem. Sebaliknya, penemuan proses
harus ditentang secara aktif untuk mencabut kemampuan penyerang
untuk mensimulasikan dan menyiapkan serangan canggih.
6. REFERENSI
[1] EH Bristol. Tren Pintu Berayun: Perekaman Tren Adaptif?
ISA, Makalah #90-493, 1990.
[2] A. Maier, O. Niggemann, M. Koester, CP Gatica.
Pembuatan Model Pengaturan Waktu Otomatis di
14