Efficient deep learning algorithms for securing Industrial Control Systems from cyberattacks

Abstract

Modern Industrial Control System (ICS) represent a wide variety of networked infrastructure connected to the physical world. Depending on the application, these control systems are termed as Process Control Systems (PCS), Supervisory Control and Data Acquisition (SCADA) systems, Distributed Control Systems (DCS) or Cyber Physical Systems (CPS). Nowadays, the internet has been evolved as a universal communication platform in many domains, including ICS. The major technical background of the latest industrial revolution (Industrie 4.0 or Smart Factories) is the introduction of internet technologies into the industry making the field devices, machines, plants and factories connected to a network. As ICS is designed for reliability; but security especially against cyber threats is also a critical need. Despite several measures, every day a new attack against the ICS is being identified. Therefore, a proper measure is necessary to identify those novel attacks and ensure security. Cybersecurity through detection of malicious activities in ICS by efficiently configuring the deep learning algorithms is the main research foci of this thesis. Through research, the cyber-attacks on ICS can be broadly classified as network attacks or injection attacks. In order to develop the deep learning-based cybersecurity, a proper dataset providing the possible attacks on an ICS is necessary. For network attacks, different datasets do exist. Out of them, NSL-KDD is popularly used by many researchers and is selected for the development of Intrusion Detection System (IDS) in ICS for network attacks. As no proper dataset exists for injection attacks, a dataset for injection attacks is simulated using the data from process control plant in the institute. In order to identify the novel or unknown attack, anomaly-based intrusion detection technique is developed using different deep learning algorithms for classification of normal to anomalous behaviour and a proof-of concept was implemented. The implementations are done in MATLAB using different deep learning libraries originally from MATLAB and also from other sources such as Theano, Tensorflow. Despite classifying the malicious behaviour, this thesis also concentrates on the classification of multiple attack classes. The use of deep learning algorithms for cyber security improves the detection accuracies and are efficient in the identification of novel attacks when compared to the existing approaches. Hybrid deep learning approaches are also proposed and found to be good in identifying the attacks more accurately and improve the detection accuracy during identification of multiple attack classes. The contribution of this thesis is as follows: identification and configuration of different deep learning algorithms for drawing hidden complex relations between the input dataset and multi-class attack classification were performed and assessed using famous NSL-KDD dataset for network attacks. Deep learning algorithms are also used to identify complex relations between traditional features and use them to identify injection attacks possible on ICS and their detection accuracies was assessed. Finally, with the outcome of thesis results, development of special injection attack toolbox is developed so that in future researchers can use this toolbox in development of more complex defence in depth strategies for injection attacks against ICS.

Moderne Industrial Control System (ICS) repräsentieren eine Vielfalt von vernetzten Infrastrukturen, die mit der physikalischen Welt verbunden sind. Je nach Anwendung werden diese Control Systeme als Process Control Systems (PCS), Supervisory Control and Data Acquisition (SCADA) Systeme, Distributed Control Systems (DCS) oder Cyber Physical Systems (CPS) bezeichnet. Der wichtigste technische Hintergrund der neuesten industriellen Revolution (Industrie 4.0 oder Smart Factories) ist die Einführung von Internet-Technologien in der Industrie, die die Feldgeräte, Maschinen, Anlagen und Fabriken mit einem Netzwerk verbinden können. Da ICS auf Zuverlässigkeit ausgelegt sind, ist aber auch die Sicherheit, insbesondere gegen Cyberangriffe, ein kritisches Erfordernis. Trotz mehrerer Maßnahmen, wird täglich ein neuer Angriff auf das ICS identifiziert. Daher ist eine angemessene Maßnahme ist notwendig, um diese neuartigen Angriffe zu identifizieren und die Sicherheit zu gewährleisten. Cybersicherheit durch Erkennung bösartiger Aktivitäten im ICS durch effiziente Konfiguration der Deep-Learning-Algorithmen ist der Schwerpunkt in dieser Arbeit. Durch Forschung können die Cyber-Angriffe auf das ICS allgemein als Netzwerkangriffe oder Injektionsangriffe klassifiziert werden. Um die auf Deep Learning basierende Cybersicherheitsstrategie zu entwickeln, ist ein geeigneter Datensatz notwendig, der die möglichen Angriffe auf ein ICS bereitstellt. Für Netzwerkangriffe gibt es verschiedene Datensätze. Aus diesen wird NSL-KDD von vielen Wissenschaftlern gerne verwendet und für die Entwicklung des Intrusion Detection System (IDS) im ICS für Netzwerkangriffe ausgewählt. Da es keinen eigenen Datensatz für Injektionsangriffe gibt, wird ein Datensatz für Injektionsangriffe mit den Daten aus der Prozesskontrollanlage im Institut simuliert. Um den neuen oder unbekannten Angriff zu identifizieren, wird eine Anomalie basierte Intrusion Detection-Technik entwickelt, die durch verschiedene Deep-Learning-Algorithmen zur Klassifizierung von normalem und anomalem Verhalten verwendet und ein Proof-of-Konzept implementiert. Die Implementierungen in MATLAB erfolgten mit verschiedenen Deep-Learning-Bibliotheken, die ursprünglich aus MATLAB und auch aus anderer Herkunft wie Theano, Tensorflow sind. Trotz der Klassifizierung des bösartigen Verhaltens, diese Arbeit konzentriert sich auch auf die Klassifizierung mehrerer Angriffsklassen. Der Einsatz von Deep-Learning-Algorithmen für die Cybersicherheit verbessert die Erkennungsgenauigkeit und ist im Vergleich zu den bestehenden Ansätzen effizient bei der Identifizierung neuer Angriffe. Hybride Deep-Learning-Ansätze werden ebenfalls vorgeschlagen und als gut befunden, um die Angriffe genauer zu identifizieren und die Erkennungsgenauigkeit bei der Identifizierung mehrerer Angriffsklassen zu verbessern. Der Beitrag dieser Arbeit sind wie folgt: Identifizierung und Konfiguration von verschiedenen Deep-Learning-Algorithmen für die Zeichnung versteckter komplexer Beziehungen zwischen dem Input-Datensatz und Multi-Class-Angriff Klassifizierung wurde durchgeführt und bewertet mit Hilfe der berühmten NSL-KDD Datensatz für Netzwerk-Angriffe. Deep-Learning-Algorithmen werden auch verwendet, um komplexe Zusammenhänge zwischen traditionellen Merkmalen zu identifizieren und sie zu nutzen, um mögliche Injektionsangriffe auf das ICS zu identifizieren, und ihre Erkennungsgenauigkeiten wurden bewertet. Abschließend, mit dem Ergebnis der Arbeits, wird eine Entwicklung einer speziellen Injektionsangriffs-Toolbox getan wird, so dass in Zukunft Wissenschaftler diese Toolbox bei der Entwicklung komplexerer Defence-in-Depth Strategien für Injektionsangriffe gegen ICS verwenden können.