МЕТОДИКА МІНІМІЗАЦІЇ ВИТРАТ НА ПОБУДОВУ БАГАТОКОНТУРНОЇ СИСТЕМИ ЗАХИСТУ НА ОСНОВІ ГЕНЕТИЧНОГО АЛГОРИТМУ

The article describes the methodology of multi-criteria optimization of costs for the information protection system of the object of informatization. The technique is based on the use of a modified VEGA genetic algorithm. A modified algorithm for solving the MCO problem of parameters of a multi-circuit information protection system of an informatization object is proposed, which makes it possible to substantiate the rational characteristics of the ISS components, taking into account the priority metrics of OBI cybersecurity selected by the expert. In contrast to the existing classical VEGA algorithm, the modified algorithm additionally applies the Pareto principle, as well as a new mechanism for the selection of population specimens. The Pareto principle applies to the best point. At this point, the solution, interpreted as the best, if there is an improvement in one of the cybersecurity metrics, and strictly no worse in another metric (or metrics). The new selection mechanism, in contrast to the traditional one, involves the creation of an intermediate population. The formation of an intermediate population occurs in several stages. At the first stage, the first half of the population is formed based on the metric - the proportion of vulnerabilities of the object of informatization that are eliminated in a timely manner. At the second stage, the second half of the intermediate population is formed based on the metric - the proportion of risks that are unacceptable for the information assets of the informatization object. Further, these parts of the intermediate population are mixed. After mixing, an array of numbers is formed and mixed. At the final stage of selection for crossing, specimens (individuals) will be taken by the number from this array. The numbers are chosen randomly. The effectiveness of this technique has been confirmed by practical resultsУ статті викладена методика багатокритеріальної оптимізації витрат на систему захисту інформації об'єкта інформатизації. Методика базується на застосуванні модифікованого генетичного алгоритму VEGA. Запропоновано модифікований алгоритм рішення задачі БКО параметрів багатоконтурною системи захисту інформації об'єкта інформатизації, який дозволяє обґрунтовувати оптимальні параметри компонентів СЗІ з урахуванням обраних експертом пріоритетних метрик кібербезпеки ОБІ. На відміну від існуючого класичного алгоритму VEGA, в модифікованому алгоритмі додатково застосовані принцип Парето, а також новий механізм селекції примірників популяції. Принцип Парето застосовується для кращої точки. У цій точці рішення, трактуються як найкращі, якщо за однією з метрик кібербезпеки є поліпшення, а по інший метриці (або метриках) буде відповідно не гірше. Новий механізм селекції на відміну від традиційної, передбачає створення проміжної популяції. Формування проміжної популяції відбувається в кілька етапів. На першому етапі перша половина популяції формується на основі метрики - частка вразливостей об'єкта інформатизації, які усунуті в установлені терміни. На другому етапі друга половина проміжної популяції формується на основі метрики - частка ризиків, які неприпустимі для інформаційних активів об'єкта інформатизації. Далі ці частини проміжної популяції змішуються. Після змішування формується масив номерів і виробляється змішування. На заключному етапі селекції для схрещування будуть братися екземпляри (індивіди) за номером з цього масиву. Номери вибираються випадково. Ефективність застосування даної методики підтверджена практичними результатам

ОПТИМІЗАЦІЯ РОЗМІЩЕННЯ ЗАСОБІВ ЗАХИСТУ ІНФОРМАЦІЇ НА ОСНОВІ ЗАСТОСУВАННЯ ГЕНЕТИЧНОГО АЛГОРИТМУ

the article considers the possibilities of modifying the genetic algorithm (GA) for solving the problem of selecting and optimizing the configurations of information protection means (IPR) for security circuits of information and communication systems (ICS). The scientific novelty of the work lies in the fact that in GA, as criteria for optimizing the composition of IPR, it is proposed to use the total value of risks from loss of information, as well as the integral indicator of IPR and cost indicators for each class of IPR. The genetic algorithm in the task of optimizing the selection of the composition of the IPR for ICS is considered as a variation of the problem associated with multiple selection. In such a statement, the optimization of the placement of IPR along the contours of ICS protection is considered as a modification of the combinatorial problem about the backpack. The GA used in the computing core of the decision support system (DSS) differs from the standard GA. As part of the GA modification, chromosomes are presented in the form of matrices, the elements of which are numbers that correspond to the numbers of the IPR in the ICS nodes. In the process of GA modification, k-point crossover was applied. The fitness function is represented as the sum of efficiency coefficients. At the same time, in addition to the traditional absolute indicators of the effectiveness of IPR, the total value of risks from loss of information, as well as cost indicators for each class of IPR are taken into account. The practical value of the research lies in the implementation of the DSS based on the proposed modification of the GA. Computational experiments on the selection of a rational software algorithm for the implementation of the model were performed. It is shown that the implementation of GA in DSS allows to speed up the search for optimal options for the placement of cyber security means (CS) for ICS by more than 25 times. This advantage allows not only to perform a quick review of various options of hardware and software IPR and their combinations for ICS, but also to further combine the proposed algorithm with existing models and algorithms for optimizing the composition of ICS cyber security circuits. Potentially, such a combination of models and algorithms will provide an opportunity to quickly rebuild ICS protection, adjusting its profiles in accordance with new threats and classes of cyberattacks.У статті розглянуто можливості модифікації генетичного алгоритму (ГА) для розв'язання задачі щодо підбору та оптимізації конфігурацій засобів захисту інформації (ЗЗІ) для контурів безпеки інформаційно-комунікаційних систем (ІКС). Наукова новизна роботи полягає в тому, що в ГА в якості критеріїв для оптимізації складу ЗЗІ запропоновано використовувати сумарну величину ризиків від втрати інформації, а також інтегральний показник ЗЗІ та вартісні показники для кожного класу ЗЗІ. Генетичний алгоритм у задачі оптимізації вибору складу ЗЗІ для ІКС розглянутий як варіація задачі, пов'язаної з мультивибором. У такій постановці оптимізація розміщення ЗЗІ по контурам захисту ІКС розглянута як модифікація комбінаторної задачі про рюкзак. Застосований в обчислювальному ядрі системи підтримки прийняття рішень (СППР) ГА відрізняється від стандартного ГА. У рамках модифікації ГА хромосоми представлені у вигляді матриць, елементи яких є числами, що відповідають номерам ЗЗІ у вузлах ІКС. У процесі модифікації ГА був застосований k-точковий кросинговер. Фітнес-функція представлена як сума коефіцієнтів ефективності. При цьому крім традиційних абсолютних показників ефективності ЗЗІ враховуються сумарна величина ризиків від втрати інформації, а також вартісні показники для кожного класу ЗЗІ. Практична цінність дослідження полягає у реалізації СППР на основі запропонованої модифікації ГА. Виконані обчислювальні експерименти щодо вибору раціонального програмного алгоритму реалізації моделі. Показано, що реалізація ГА у СППР дозволяє прискорити пошук оптимальних варіантів розміщення засобів кібербезпеки (КрБ) для ІКС більш ніж у 25 разів. Ця перевага дозволяє не тільки виконати швидкий перебір різних варіантів апаратно-програмних ЗЗІ та їх комбінацій для ІКС, але й у подальшому об'єднати запропонований алгоритм із наявними моделями та алгоритмами оптимізації складу контурів кібербезпеки ІКС. Потенційно таке об'єднання моделей та алгоритмів надасть можливість швидко перебудовувати захист ІКС, коригуючи його профілі відповідно до нових загроз та класів кібератак

A Jamming Attacks Detection Approach Based on CNN based Quantum Leap Method for Wireless Sensor Network

The wireless sensor network is the most significant largest communication device. WSN has been interfacing with various wireless applications. Because the wireless application needs faster communication and less interruption, the main problem of jamming attacks on wireless networks is that jamming attack detection using various machine learning methods has been used. The reasons for jamming detection may be user behaviour-based and network traffic and energy consumption. The previous machine learning system could not present the jamming attack detection accuracy because the feature selection model of Chi-Squared didn’t perform well for jamming attack detections which determined takes a large dataset to be classified to find the high accuracy for jamming attack detection. To resolve this problem, propose a CNN-based quantum leap method that detects high accuracy for jamming attack detections the WSN-DS dataset collected by the Kaggle repository. Pre-processing using the Z-score Normalization technique will be applied, performing data deviations and assessments from the dataset, and collecting data and checking or evaluating data. Fisher’s Score is used to select the optimal feature of a jamming attack. Finally, the proposed CNN-based quantum leap is used to classify the jamming attacks. The CNN-based quantum leap simulation shows the output for jamming attacks with high precision, high detection, and low false alarm detection

Mетод раціонального керування системами кіберзахисту та забезпечення гарантоздатності радіотехнічних систем

The urgent problem of creating a method for the rational choice of means and subsystems of cyber protection or ensuring the reliability of radio engineering (also, information) systems, optimizing the management of appropriate means in the context of the implementation of anthropogenic or technogenic threats is investigated. The article studies the possibility of using a modified genetic algorithm to solve the problem of rational choice of information security means (ISM) and dynamic configuration management of such means on various security segments of reliable radio engineering systems (RRS), as well as information systems (IS).The scientific novelty of the study is the use in the genetic algorithm as criteria for optimizing the configuration (composition) of the ISM total amount of risks of breach of confidentiality, integrity and availability of information resources, as well as the cost characteristics of the respective ISM. The genetic algorithm in the problem of optimizing the choice of ISM configuration for RRS (IS) and dynamic resource management of the cybersecurity subsystem is considered as a variant of solving the multi-choice problem. In this formulation, the problem of rational placement of ISM at the boundaries (levels) of RRS (IS) protection is considered as a variant of solving the NP-complete combinatorial optimization problem of backpacking (Knapsack problems). The proposed approach provides an opportunity, on the one hand, to perform rapid testing of different sets of ISM and options for their application in ISM, on the other hand, this creates prerequisites for combining the proposed algorithm with existing methods, models and algorithms to optimize the boundaries of RRS (IS) cybersecurity and dynamic management of cybersecurity resources for various objects of information activities. This combination of methods, models and algorithms creates the preconditions for a rapid change in the settings of the RRS (IS) protection subsystem, changing its configuration to take into account new threats and cyberattacks.Исследуется актуальная задача создания метода рационального выбора средств и подсистем киберзащиты или обеспечения гарантоспособности радиотехнических (также, информационных) систем, оптимизации управления соответствующими средствами в условиях реализации угроз антропогенного или техногенного характера. В статье изучается возможность применения модифицированного генетического алгоритма для решения задачи рационального выбора средств защиты информации (СЗИ) и динамического управления конфигурациями таких средств в различных сегментах безопасности гарантоспособных радиотехнических систем (ГРС), а также информационных систем (ИС). Научная новизна исследования заключается в применении в генетическом алгоритме в качестве критериев оптимизации конфигурации (состава) СЗИ суммарной величины рисков от нарушения конфиденциальности, целостности и доступности информационного ресурса, а также стоимостные характеристики соответствующих СЗИ. Генетический алгоритм в задаче оптимизации выбора конфигурации СЗИ для ГРС (ИС) и динамического управления ресурсами подсистемы кибербезопасности рассматривается как вариант решения задачи мультивибору. В такой постановке задачи рационального размещения СЗИ на рубежах (уровнях) защиты ГРС (ИС) рассматривается как вариант решения NP-полной комбинаторной задачи оптимизации про укладку рюкзака (Knapsack problems). Предложенный подход обеспечивает возможность, с одной стороны, выполнить быстрое опробование различных наборов СЗИ и вариантов их применения в ГРС (ИС), с другой стороны, это создает предпосылки для объединения предложенного алгоритма с уже существующими методами, моделями и алгоритмами для оптимизации состава рубежей киберзащиты ГРС (ИС) и динамического управления ресурсами кибербезопасности для различных объектов информационной деятельности. Такое сочетание методов, моделей и алгоритмов создает предпосылки для быстрого изменения настроек подсистемы защиты ГРС (ИС), изменяя ее конфигурацию с учетом новых угроз и кибератак.Досліджується актуальне завдання створення методу раціонального вибору засобів і підсистем кіберзахисту або забезпечення гарантоздатності радіотехнічних (також, інформаційних) систем, оптимізації управління відповідними засобами в умовах реалізації загроз антропогенного або техногенного характеру. В статті вивчається можливість застосування модифікованого генетичного алгоритму для розв’язку задачі раціонального вибору апаратно-програмних засобів захисту інформації (ЗЗІ) і динамічному керуванню конфігураціями засобів на рубіжах (рівнях) безпеки гарантоздатних радіотехнічних систем (ГРС), а також інформаційних систем (ІС). Наукова новизна дослідження полягає у застосуванні в генетичному алгоритмі в якості критеріїв оптимізації конфігурації (складу) ЗЗІ сумарної величини ризиків від порушення конфіденційності, цілісності та доступності інформаційного ресурсу, а також вартісні характеристики відповідних ЗЗІ. Генетичний алгоритм в задачі оптимізації вибору конфігурації ЗЗІ для ГРС (ІС) і динамічного управління ресурсами підсистеми кибербезпеки розглядається як варіант розв’язку задачі мультівибору. В такій постановці завдання раціонального розміщення ЗЗІ на рубіжах (рівнях) захисту ГРС (ІС) розглядається як варіант розв’язку NP-повної комбінаторної задачі оптимізації про укладку рюкзака (Knapsack problems). Запропонований підхід забезпечує можливість, з одного боку, виконати швидке опробування різних наборів ЗЗІ та варіантів  їх застосування в ГРС (ІС), з іншого боку, це утворює передумови для об’єднання запропонованого алгоритму з вже існуючими методами, моделями і алгоритмами для оптимізації складу рубіжей кіберзахисту ГРС (ІС) і динамічного управління ресурсами кибербезпеки для різних об’єктів інформаційної діяльності. Таке поєднання методів, моделей та алгоритмів створює передумови для швидкої зміни налаштування підсистеми захисту ГРС (ІС), змінюючи її конфігурацію з урахуванням нових загроз і кібератак

Detección de intrusiones en redes industriales : Evaluación experimental de algoritmos de aprendizaje de máquina

Ataques cibernéticos a sistemas industriales de infraestructura crítica son una realidad en la actualidad y sus consecuencias constituyen un riesgo a la continuidad de los negocios, la economía y el bienestar de la población. En este sentido, este trabajo presenta un análisis de implementaciones de sistemas de detección de intrusiones para sistemas industriales y una evaluación experimental de un conjunto de algoritmos, utilizados en dicho tipo de sistemas, aplicando un conjunto de datos obtenido de un sistema industrial de infraestructura crítica. Dicho análisis da énfasis a cuestiones como, algoritmos y conjuntos de datos de evaluación utilizados, parámetros de entrenamiento, ataques ensayados y métricas de evaluación. La evaluación experimental se lleva a cabo sobre un conjunto nueve algoritmos de aprendizaje de máquina utilizando un conjunto de datos con siete tipos de ataques cibernéticos a la red de un sistema industrial del tipo gasoducto en el que se utiliza el protocolo de comunicaciones modbus para la supervisión y el control. Los resultados experimentales mostraron que los algoritmos basados en árboles de decisión arrojan los mejores resultados de clasificación para la métrica de F1-Score.XXIII Workshop agentes y sistemas inteligentes (WASI)Red de Universidades con Carreras en Informátic

Deep-IFS:Intrusion Detection Approach for Industrial Internet of Things Traffic in Fog Environment

The extensive propagation of industrial Internet of Things (IIoT) technologies has encouraged intruders to initiate a variety of attacks that need to be identified to maintain the security of end-user data and the safety of services offered by service providers. Deep learning (DL), especially recurrent approaches, has been applied successfully to the analysis of IIoT forensics but their key challenge of recurrent DL models is that they struggle with long traffic sequences and cannot be parallelized. Multihead attention (MHA) tried to address this shortfall but failed to capture the local representation of IIoT traffic sequences. In this article, we propose a forensics-based DL model (called Deep-IFS) to identify intrusions in IIoT traffic. The model learns local representations using local gated recurrent unit (LocalGRU), and introduces an MHA layer to capture and learn global representation (i.e., long-range dependencies). A residual connection between layers is designed to prevent information loss. Another challenge facing the current IIoT forensics frameworks is their limited scalability, limiting performance in handling Big IIoT traffic data produced by IIoT devices. This challenge is addressed by deploying and training the proposed Deep-IFS in a fog computing environment. The intrusion identification becomes scalable by distributing the computation and the IIoT traffic data across worker fog nodes for training the model. The master fog node is responsible for sharing training parameters and aggregating worker node output. The aggregated classification output is subsequently passed to the cloud platform for mitigating attacks. Empirical results on the Bot-IIoT dataset demonstrate that the developed distributed Deep-IFS can effectively handle Big IIoT traffic data compared with the present centralized DL-based forensics techniques. Further, the results validate the robustness of the proposed Deep-IFS across various evaluation measures

A critical review of cyber-physical security for building automation systems

Modern Building Automation Systems (BASs), as the brain that enables the smartness of a smart building, often require increased connectivity both among system components as well as with outside entities, such as optimized automation via outsourced cloud analytics and increased building-grid integrations. However, increased connectivity and accessibility come with increased cyber security threats. BASs were historically developed as closed environments with limited cyber-security considerations. As a result, BASs in many buildings are vulnerable to cyber-attacks that may cause adverse consequences, such as occupant discomfort, excessive energy usage, and unexpected equipment downtime. Therefore, there is a strong need to advance the state-of-the-art in cyber-physical security for BASs and provide practical solutions for attack mitigation in buildings. However, an inclusive and systematic review of BAS vulnerabilities, potential cyber-attacks with impact assessment, detection & defense approaches, and cyber-secure resilient control strategies is currently lacking in the literature. This review paper fills the gap by providing a comprehensive up-to-date review of cyber-physical security for BASs at three levels in commercial buildings: management level, automation level, and field level. The general BASs vulnerabilities and protocol-specific vulnerabilities for the four dominant BAS protocols are reviewed, followed by a discussion on four attack targets and seven potential attack scenarios. The impact of cyber-attacks on BASs is summarized as signal corruption, signal delaying, and signal blocking. The typical cyber-attack detection and defense approaches are identified at the three levels. Cyber-secure resilient control strategies for BASs under attack are categorized into passive and active resilient control schemes. Open challenges and future opportunities are finally discussed.Comment: 38 pages, 7 figures, 6 tables, submitted to Annual Reviews in Contro

PLC Code Vulnerabilities and Attacks: Detection and Prevention

Programmable Logic Controllers (PLCs) play an important role in Industrial Control Systems (ICS), production lines, public infrastructure, and critical facilities. A compromised PLC would lead to devastating consequences that risk workplace safety, humans, environment, and associated systems. Because of their important role in ICS, more specifically PLC Based Systems (PLC-BS), PLCs have been targeted by various types of cyber-attacks. Many contributions have been dedicated to protecting ICS and exploring their vulnerabilities and threats, but little attention and progress have been made in enhancing the security of PLC code by utilizing internal PLC ladder logic code solutions. Mainly the contributions to protect and secure PLC-BS are related to external factors such as industrial networks, Supervisory Control And Data Acquisition Systems (SCADA), field devices, and servers. Focusing on those external factors would not be sufficient if adversaries gain access to a PLC since PLCs are insecure by design - do not have built-in self-defense features that could reduce or detect abnormalities or vulnerabilities within their running routines or codes. PLCs are defenseless against code exploitations and malicious code modifications. This research work focuses on exposing the vulnerabilities of PLC ladder logic code and provides countermeasure solutions to detect and prevent related code exploitation and vulnerabilities. Several test-bed experiments, using Rockwell PLCs, were conducted to deploy real-time attack models against PLC ladder logic code and provided countermeasure solutions to detect the associated threats and prevent them. The deployed attacks were successfully detected by the provided countermeasure solutions. These countermeasure techniques are novel, real-time PLC ladder logic code solutions that can be deployed to any PLC to enhance its code defense mechanism and enable it to detect and prevent code attacks and even bad code practices. The main novel contribution, among the provided countermeasure solutions, is the STC (Scan Time Code) technique. STC is a ladder logic code that was developed, deployed, and tested in several test-bed experiments to detect and prevent code abnormalities and threats. STC was able to detect and prevent a variety of real-time attack models against a PLC ladder logic code. STC was designed to capture and analyze the time a PLC spends in executing a specific routine or program per scan cycle to monitor any suspicious code modifications or behaviors. Any suspicious modifications or behaviors of PLC code within a particular routine would be detected by STC which in return would stop and prevent further code execution and warn operators. In addition to detecting code modifications, the STC technique was used to detect any modification of the CPU time slice scheduling. Another countermeasure technique was PLC code that was used to detect and prevent the manipulation or deterioration of particular field devices. Moreover, several countermeasure PLC code techniques were proposed to expose the vulnerabilities of PLC alarms code where adversaries could find ways to launch cyber-attacks that could suppress (disable) or silence the alarms and critical faults of associated ICS devices monitored by PLCs. Suppressed alarms would not be reported to operators or promptly detected, resulting in devastating damage. All provided countermeasure solutions in this work were successfully tested and capable of detecting, preventing, or eliminating real-time attack scenarios. The results were analyzed and proved the validity of the provided countermeasure solutions. This research work, also, provides policies, recommendations, and general countermeasures to enhance the validity and security of PLC code. All the techniques provided in this work are applicable to be implemented and deployed to any PLC at no extra cost, additional resources, or complex integration. The techniques enhance the security of PLCs by building more defensive layers within their respective routines which in return would reduce financial losses, improve workplace safety, and protect human lives and the environment

A Survey on Industrial Control System Testbeds and Datasets for Security Research

The increasing digitization and interconnection of legacy Industrial Control Systems (ICSs) open new vulnerability surfaces, exposing such systems to malicious attackers. Furthermore, since ICSs are often employed in critical infrastructures (e.g., nuclear plants) and manufacturing companies (e.g., chemical industries), attacks can lead to devastating physical damages. In dealing with this security requirement, the research community focuses on developing new security mechanisms such as Intrusion Detection Systems (IDSs), facilitated by leveraging modern machine learning techniques. However, these algorithms require a testing platform and a considerable amount of data to be trained and tested accurately. To satisfy this prerequisite, Academia, Industry, and Government are increasingly proposing testbed (i.e., scaled-down versions of ICSs or simulations) to test the performances of the IDSs. Furthermore, to enable researchers to cross-validate security systems (e.g., security-by-design concepts or anomaly detectors), several datasets have been collected from testbeds and shared with the community. In this paper, we provide a deep and comprehensive overview of ICSs, presenting the architecture design, the employed devices, and the security protocols implemented. We then collect, compare, and describe testbeds and datasets in the literature, highlighting key challenges and design guidelines to keep in mind in the design phases. Furthermore, we enrich our work by reporting the best performing IDS algorithms tested on every dataset to create a baseline in state of the art for this field. Finally, driven by knowledge accumulated during this survey's development, we report advice and good practices on the development, the choice, and the utilization of testbeds, datasets, and IDSs