נושא הפרוייקט

מספר פרוייקט מחלקה שמות סטודנטים אימייל שמות מנחים

זיהוי אנומליות טמפורליות במערכות SCADA בעזרת דפוסים טמפורליים

Temporal Pattern-Based Anomaly Detection in SCADA Systems

תקציר בעיברית

מערכות SCADA הינן מערכות קריטיות לחיים המודרניים. הן משמשות למטרות ניטור ובקרה במערכות בכורים גרעיניים, תחנות כח, אפסקת מים, גז ועוד. בעשורים האחרונים, כמו מערכות רבות אחרות, גם הן חוברו לאינטרנט ונחפשו למגוון מתקפות סייבר. משום שמערכות SCADA חשובות מאוד לחיים המודרניים והן אינן מאובטחות היטב מפני מתקפות, חקר אבטחת מערכות SCADA הוא נושא חשוב.
התיזה שלי מתעסקת בגילוי אנומליות טמפורליות במערכות SCADA על ידי דפוסים טמפורליים. גילוי אנומליות הוא תהליך שמטרתו לזהות חריגות מן ההתנהגות הרגילה של מערכת כלשהי. תהליך זה כולל שני שלבים. בשלב הראשון, יש ללמוד את ההתנהגות התקינה של המערכת המדוברת. השלב השני הוא זיהוי האנומליות. בשלב זה יש להגדיר מדד-מרחק וגבול על ערכו. בעזרת המדד והגבול, נמדוד את השוני בין ההתנהגות הצפויה ע"פ ההתנהגות הנלמדה לבין ההתנהגות הנצפתה בפועל. 
במחקר שלי, אני עוסק בזיהוי אנומליות אנומליות טמפורליות. סוג זה של אנומליה טמפורלית מתרחש כאשר ישנם מרווחי זמן חריגים בין פעולות במערכת בעוד שאר ההבטים של התנהגותה תקינים. למשל, מתקפת Stuxnet, שהתרחשה במתקן להעשרת אורניום בנתנז, גרמה להרס הצנטריפוגות על ידי שיבוש מרווחי הזמן בין פקודות האצת מהירות הסיבוב.
הגישה שלי לפתרון הבעיה מנצלת את העובדה שהפעולה של מערכות SCADA מאופיינת על ידי שגרה שחוזרת על עצמה לאורך זמן. בעזרת אלגוריתמי למידת מכונה המתמחים בעיסוק עם מידע סדרתי וסדרות זמן, פיתחתי שיטות לתחזית הפעילות הבאה במערכת. לאחר מכן, בעזרת מדידת ההפרש בין התחזית לבין הפעולה שהתבצעה בפועל ובשימוש שיטות סטטיסטיות ומסווגים, פתחתי שיטות לקבלת החלטה לגבי האם ישנה אנומליה בפעולה הזו של המערכת.
ניסויים על מידע ממערכת SCADA אמיתית מראים כי לשיטות שפתחתי יש את היכולות לזהות אנומליות טמפורליות ולבצע זאת טוב יותר משיטות קיימות.

תקציר באנגלית

SCADA systems are crucial to the modern life and they control operations of nuclear plants, gas and water distribution and many more critical infrastructures. In the last decades, they were connected to the internet and it has exposed them to many cyber-attacks. Since SCADA systems are very important and they aren’t properly secured, SCADA security is an important research topic.
My thesis deals with temporal-anomaly detection in SCADA systems using temporal-patterns.
Anomaly detection is the task of detecting abnormal behavior in a system. The process of anomaly detection consists of several phases. The first step concerns learning the normal behavior of the system in question. The next phase is detection. This step requires us to define a quantifiable distance metric and threshold. To preform detection, one has to measure the difference between the expected normal behavior learned previously and the actual one. 
In my work, I deal with detecting a specific kind of temporal anomalies. This kind of temporal anomalies occurs when only the time between operations is abnormal while all other aspects of the behavior are benign. For example, the Stuxnet attack which occurred in the Uranium enrichment facility in Natanz, broke the centrifuges by causing an irregular timing of acceleration commands.
My approach to solve this problem relies on the regularity of the operation of the SCADA system. Using machine learning algorithms which are known to be effective in handling sequential and time-series data, I learn to predict the next operation of the system. Then, I compare the prediction of the algorithm to the real operation and using statistical methods and one-class classifiers to decide whether an anomaly occurred in that operation.
Experiments on a data set of a real-life SCADA system show that the developed algorithms are capable of detecting the anomalies better than prior methods.