Details

Целью работы является повышение информационной безопасности промышленных систем, использующих протокол Modbus, за счёт анализа сетевого трафика с применением алгоритмов машинного обучения. Объектом исследования является сетевой трафик Modbus в системах управления. Задачи, решаемые в ходе исследования: 1. Реализовать предварительную обработку сетевого Modbus-трафика, сформировать обучающий набор данных на основе CIC Modbus Dataset 2023. 2. Провести сравнительный анализ применимости алгоритмов машинного обучения для обнаружения атак в сетевом Modbus-трафике. 3. Проанализировать неразмеченный трафик, выявить аномалии с помощью методов машинного обучения без учителя и поведенческого анализа. 4. Разработать комплексный подход к анализу сетевого Modbus-трафика. 5. Сравнить предложенный подход с другими исследованиями, оценить возможности внедрения в системы мониторинга безопасности ICS/SCADA. В ходе работы Исследованы особенности протокола Modbus и трафика в ICS/SCADA. Проанализированы подходы к применению машинного обучения для обнаружения атак и аномалий. Разработан и проверен комплексный подход, включающий предобработку, обучение моделей и анализ неразмеченного трафика. Подтверждена его эффективность на размеченных и серых сессиях. Результаты применимы для построения модулей поведенческого анализа и мониторинга угроз. Для достижения поставленных целей была реализована экспериментальная среда на основе Python, Zeek и CIC Modbus Dataset 2023.

The purpose of the study is to enhance the information security of industrial systems using the Modbus protocol through network traffic analysis using machine learning algorithms. The object of the work is Modbus network traffic in control systems. The research set the following goals: 1. Implement preprocessing of Modbus network traffic and construct a training dataset based on the CIC Modbus Dataset 2023.Compare machine learning algorithms for attack detection. 2. Conduct a comparative analysis of the applicability of machine learning algorithms for detecting attacks in Modbus network traffic. 3. Analyze unlabeled traffic and identify anomalies using unsupervised machine learning methods and behavioral analysis. 4. Develop a comprehensive approach to Modbus traffic analysis. 5. Compare the proposed approach with existing solutions and evaluate its integration into ICS/SCADA monitoring systems. During the research, the characteristics of the Modbus protocol and ICS/SCADA traffic were examined. Existing machine learning approaches for detecting attacks and anomalies were analyzed. A comprehensive approach was developed and tested, including data preprocessing, model training, and analysis of unlabeled traffic. Its effectiveness was confirmed on both labeled and gray sessions. The results can be applied to build behavioral analysis and threat monitoring modules. To achieve the stated objectives, an experimental environment was implemented using Python, Zeek, and the CIC Modbus Dataset 2023.