Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

In this work, we demonstrate the vulnerability of process-based anomaly detection algorithms for industrial control systems by developing a range of adversarial attacks. In particular, we work on detectors based on machine learning architectures and consider the attacker's goal of concealing an ongoing manipulation of the process through a manipulation of the sensor readings reported to the detector. We explore different attacks based on their cost and efficiency, using both a black and a white box model for the attacker's knowledge of the detector. Our white box attacker uses an optimization approach with a detection oracle, while our black box attacker uses an Autoencoder (or a Convolutional Neural Network) to translate anomalous data into normal data in real time. Both approaches are implemented and evaluated against a state-of-the-art deep learning-based detector and on two different datasets pertaining to the domain of water distribution networks: the BATADAL dataset, created via numerical simulation, and the WADI dataset, generated by a real-world testbed. Results show that the accuracy of the detection algorithms can be significantly reduced through adversarial actions: for the BATADAL dataset, for example, the white box and black box attacker are able to reduce the detection accuracy from $0.60$ to $0.14$. In addition, we discuss inverse concealment attacks, in which the attacker introduces detection events with minimal changes of the reported data, in order to reduce confidence in the detector. Finally, we show how adversarial learning can be employed to perform inverse concealment attacks, in which the attacker introduces false positives with minimal changes of the reported data in order to reduce confidence in the detector. Moreover, we test the efficacy of our attacks over data gathered in real-time from WADI water distribution testbed. First, we deployed the state-of-the-art deep learning detector in real-time (that was not done yet in the case of the considered detector). We then test our concealment attacks to hide manipulations to the physical process. Results shows that proposed concealment attacks are feasible and effective also in real-time.

Negli ultimi anni i sistemi di controllo industriale stanno attraversando un processo di ammodernamento denominato `industria 4.0'. Mediante questo rinnovamento i processi industriali vengono interconnessi per favorirne il miglioramento della produttività ed efficienza tramite un controllo unificato delle risorse, lavorazioni e commesse. Nel contesto del sistema industriale, la connessione porta da un lato vantaggi economici per l'azienda, dall'altro, invece, espone il sistema alla possibilità di essere individuato in rete. Questo fattore costituisce un rischio per l'integrità del processo industriale, che potrebbe divenire obiettivo di agenti malintenzionati. In generale un sistema di controllo industriale è composto da sensori interconnessi a computer, dove le informazioni sono elaborate per decidere come agire sul sistema in accordo con il loop di controllo. Queste decisioni vengono infine trasmesse sotto forma di comando agli attuatori. In questo scenario risulta necessaria la progettazione di misure per la difesa di questi sistemi tali da prevenire azioni di malintenzionati sull'impianto. Storicamente si è già assistito ad attacchi a sistemi di controllo industriale. Talvolta, questi sistemi sono gestiti dalle nazioni e per questo motivo possono divenire bersaglio strategico durante le contese politiche, affinché si riesca a prevaricare l'avversario. Pioniere degli attacchi ai sistemi industriali è stato il caso `Stuxnet' nel 2010: attacco progettato per danneggiare il programma nucleare iraniano, mediante la riduzione della velocità di rotazione di alcune centrifughe usate nei processi di trattamento dell'uranio. La creazione di tali meccanismi di difesa è un compito complesso. Tale difficoltà aumenta tenendo conto che i protocolli industriali utilizzati dai macchinari non implementano meccanismi di sicurezza, giacché, tali macchinari non nascono per essere inseriti in una infrastruttura interconnessa. Per rispondere a questa esigenza di sicurezza, le soluzioni di monitoraggio dello stato del sistema sembrano promettenti. Queste tecniche cercano di individuare in tempo reale anomalie nel sistema mediante l'analisi delle letture dei sensori e l'utilizzo di modelli che descrivono il processo fisico. Tra queste soluzioni alcune si basano sull'utilizzo di modelli di Machine Learning. Una possibilità in questi casi è la creazione del modello del sistema mediante "Autoencoder", reti neurali tali che la dimensione di input risulti identica alla dimensione dell'output. Il modello viene allenato in modo da imparare a riprodurre in output i valori in input con il minor errore di ricostruzione. Questo apprendimento avviene utilizzando le letture dei sensori collezionate durante il funzionamento in condizioni normali del sistema. La distribuzione dell'errore di ricostruzione è sottoposta ad analisi per creare una soglia di allarme. Successivamente la rete neurale viene usata per analizzare in tempo reale le letture dei sensori provenienti dal sistema industriale. In caso di anomalie, l'errore in output alla rete neurale sarà superiore alla soglia, lanciando così un allarme. Recentemente, nell'ambito della classificazione delle immagini e individuazione dei malware, è stato messo in luce il fatto che approcci basati su tecniche di Machine Learning e nello specifico Deep Learning non sono robusti alle manipolazioni dei dati (Adversarial Machine Learning). Tale problematica comporta un rischio nel momento in cui i modelli di Machine Learning sono utilizzati per l'analisi e classificazione in sistemi critici. In letteratura, nell'ambito dell'analisi delle immagini, sono stati proposti approcci che sono in grado di modificare alcuni pixel di una immagine in modo da alterare la predizione data dalla rete neurale, senza tuttavia cambiare la percezione visiva umana. In questo elaborato di tesi si indaga la robustezza dei sistemi (allo stato dell'arte) per l'individuazione di anomalie in sistemi di controllo industriale, basati su approcci Deep Learning, quando soggette a manipolazione delle letture dei sensori da parte di un attaccante, che si avvale di tecniche di Adversarial Machine Learning. Vengono modellati e lanciati attacchi in grado di compromettere il funzionamento del sistema di individuazione delle anomalie nel processo fisico. Nello specifico vengono presentate due tipologie di attacco, che si differenziano in base alla conoscenza del modello attaccato da parte dell'attaccante: il primo attacco avviene a scatola aperta (white box), mentre il secondo a scatola chiusa (black box). Questi attacchi sono stati testati su due dataset provenienti 1) dalla simulazione di un processo di distribuzione idrica e 2) da un banco di prova reale (testbed), che implementa un sistema di distribuzione idrica regolato da sistemi di controllo. Inoltre, si presenta il risultato dell'analisi condotte in tempo reale con i dati provenienti da un sistema di controllo industriale. I risultati ottenuti hanno mostrato che gli attacchi proposti sono in grado di nascondere le anomalie del sistema: infatti, nel caso del dataset simulato, sia l'attacco `white box' che quello `black box' riducono l'accuratezza del sistema di rilevazione di anomalie da 0.60 a 0.14. L'analisi condotta evidenzia una vulnerabilità, nei sistemi di sicurezza considerati, che non può essere ignorata durante la progettazione e implementazione di sistemi di individuazione di anomalie.

Evading anomaly detectors through concealment attacks : a study on industrial control systems

ERBA, ALESSANDRO
2018/2019

Abstract

In this work, we demonstrate the vulnerability of process-based anomaly detection algorithms for industrial control systems by developing a range of adversarial attacks. In particular, we work on detectors based on machine learning architectures and consider the attacker's goal of concealing an ongoing manipulation of the process through a manipulation of the sensor readings reported to the detector. We explore different attacks based on their cost and efficiency, using both a black and a white box model for the attacker's knowledge of the detector. Our white box attacker uses an optimization approach with a detection oracle, while our black box attacker uses an Autoencoder (or a Convolutional Neural Network) to translate anomalous data into normal data in real time. Both approaches are implemented and evaluated against a state-of-the-art deep learning-based detector and on two different datasets pertaining to the domain of water distribution networks: the BATADAL dataset, created via numerical simulation, and the WADI dataset, generated by a real-world testbed. Results show that the accuracy of the detection algorithms can be significantly reduced through adversarial actions: for the BATADAL dataset, for example, the white box and black box attacker are able to reduce the detection accuracy from $0.60$ to $0.14$. In addition, we discuss inverse concealment attacks, in which the attacker introduces detection events with minimal changes of the reported data, in order to reduce confidence in the detector. Finally, we show how adversarial learning can be employed to perform inverse concealment attacks, in which the attacker introduces false positives with minimal changes of the reported data in order to reduce confidence in the detector. Moreover, we test the efficacy of our attacks over data gathered in real-time from WADI water distribution testbed. First, we deployed the state-of-the-art deep learning detector in real-time (that was not done yet in the case of the considered detector). We then test our concealment attacks to hide manipulations to the physical process. Results shows that proposed concealment attacks are feasible and effective also in real-time.
ZANERO, STEFANO
GALELLI, STEFANO
POGLIANI, MARCELLO
TIPPENHAUER, NILS OLE
ING - Scuola di Ingegneria Industriale e dell'Informazione
16-apr-2019
2018/2019
Negli ultimi anni i sistemi di controllo industriale stanno attraversando un processo di ammodernamento denominato `industria 4.0'. Mediante questo rinnovamento i processi industriali vengono interconnessi per favorirne il miglioramento della produttività ed efficienza tramite un controllo unificato delle risorse, lavorazioni e commesse. Nel contesto del sistema industriale, la connessione porta da un lato vantaggi economici per l'azienda, dall'altro, invece, espone il sistema alla possibilità di essere individuato in rete. Questo fattore costituisce un rischio per l'integrità del processo industriale, che potrebbe divenire obiettivo di agenti malintenzionati. In generale un sistema di controllo industriale è composto da sensori interconnessi a computer, dove le informazioni sono elaborate per decidere come agire sul sistema in accordo con il loop di controllo. Queste decisioni vengono infine trasmesse sotto forma di comando agli attuatori. In questo scenario risulta necessaria la progettazione di misure per la difesa di questi sistemi tali da prevenire azioni di malintenzionati sull'impianto. Storicamente si è già assistito ad attacchi a sistemi di controllo industriale. Talvolta, questi sistemi sono gestiti dalle nazioni e per questo motivo possono divenire bersaglio strategico durante le contese politiche, affinché si riesca a prevaricare l'avversario. Pioniere degli attacchi ai sistemi industriali è stato il caso `Stuxnet' nel 2010: attacco progettato per danneggiare il programma nucleare iraniano, mediante la riduzione della velocità di rotazione di alcune centrifughe usate nei processi di trattamento dell'uranio. La creazione di tali meccanismi di difesa è un compito complesso. Tale difficoltà aumenta tenendo conto che i protocolli industriali utilizzati dai macchinari non implementano meccanismi di sicurezza, giacché, tali macchinari non nascono per essere inseriti in una infrastruttura interconnessa. Per rispondere a questa esigenza di sicurezza, le soluzioni di monitoraggio dello stato del sistema sembrano promettenti. Queste tecniche cercano di individuare in tempo reale anomalie nel sistema mediante l'analisi delle letture dei sensori e l'utilizzo di modelli che descrivono il processo fisico. Tra queste soluzioni alcune si basano sull'utilizzo di modelli di Machine Learning. Una possibilità in questi casi è la creazione del modello del sistema mediante "Autoencoder", reti neurali tali che la dimensione di input risulti identica alla dimensione dell'output. Il modello viene allenato in modo da imparare a riprodurre in output i valori in input con il minor errore di ricostruzione. Questo apprendimento avviene utilizzando le letture dei sensori collezionate durante il funzionamento in condizioni normali del sistema. La distribuzione dell'errore di ricostruzione è sottoposta ad analisi per creare una soglia di allarme. Successivamente la rete neurale viene usata per analizzare in tempo reale le letture dei sensori provenienti dal sistema industriale. In caso di anomalie, l'errore in output alla rete neurale sarà superiore alla soglia, lanciando così un allarme. Recentemente, nell'ambito della classificazione delle immagini e individuazione dei malware, è stato messo in luce il fatto che approcci basati su tecniche di Machine Learning e nello specifico Deep Learning non sono robusti alle manipolazioni dei dati (Adversarial Machine Learning). Tale problematica comporta un rischio nel momento in cui i modelli di Machine Learning sono utilizzati per l'analisi e classificazione in sistemi critici. In letteratura, nell'ambito dell'analisi delle immagini, sono stati proposti approcci che sono in grado di modificare alcuni pixel di una immagine in modo da alterare la predizione data dalla rete neurale, senza tuttavia cambiare la percezione visiva umana. In questo elaborato di tesi si indaga la robustezza dei sistemi (allo stato dell'arte) per l'individuazione di anomalie in sistemi di controllo industriale, basati su approcci Deep Learning, quando soggette a manipolazione delle letture dei sensori da parte di un attaccante, che si avvale di tecniche di Adversarial Machine Learning. Vengono modellati e lanciati attacchi in grado di compromettere il funzionamento del sistema di individuazione delle anomalie nel processo fisico. Nello specifico vengono presentate due tipologie di attacco, che si differenziano in base alla conoscenza del modello attaccato da parte dell'attaccante: il primo attacco avviene a scatola aperta (white box), mentre il secondo a scatola chiusa (black box). Questi attacchi sono stati testati su due dataset provenienti 1) dalla simulazione di un processo di distribuzione idrica e 2) da un banco di prova reale (testbed), che implementa un sistema di distribuzione idrica regolato da sistemi di controllo. Inoltre, si presenta il risultato dell'analisi condotte in tempo reale con i dati provenienti da un sistema di controllo industriale. I risultati ottenuti hanno mostrato che gli attacchi proposti sono in grado di nascondere le anomalie del sistema: infatti, nel caso del dataset simulato, sia l'attacco `white box' che quello `black box' riducono l'accuratezza del sistema di rilevazione di anomalie da 0.60 a 0.14. L'analisi condotta evidenzia una vulnerabilità, nei sistemi di sicurezza considerati, che non può essere ignorata durante la progettazione e implementazione di sistemi di individuazione di anomalie.
Tesi di laurea Magistrale
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
Thesis_Alessandro_final_version.pdf

Open Access dal 30/03/2020

Descrizione: Tesis text
Dimensione 12.72 MB
Formato Adobe PDF
Visualizza/Apri
12.72 MB Adobe PDF Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/147388