핵심 개념
산업 제어 시스템의 액추에이터와 물리적 공정 간 과도 응답 특성을 활용하여 액추에이터 지문을 추출하고, 이를 통해 명령 주입 및 재생 공격을 탐지할 수 있다.
초록
이 연구에서는 산업 제어 시스템(ICS)의 액추에이터와 물리적 공정 간 과도 응답 특성을 활용하여 액추에이터 지문을 추출하는 기술인 "Time Constant"를 제안한다. Time Constant는 액추에이터의 동작 시간과 공정의 과도 응답 시간을 결합한 지문으로, 이를 통해 명령 주입 및 재생 공격을 탐지할 수 있다.
연구에서는 실제 물 처리 테스트베드인 SWaT에서 데이터를 수집하고 분석하였다. 실험 결과, Time Constant를 활용하여 액추에이터를 고유하게 식별할 수 있었으며, 액추에이터의 개폐 상태도 구분할 수 있었다. 또한 Time Constant 기반의 이상 탐지기를 통해 다양한 유형의 공격을 효과적으로 탐지할 수 있었다.
추가로, 재생 공격에 대응하기 위해 워터마킹 기법을 제안하였다. 이 기법은 제어 신호에 랜덤 지연을 추가하여 센서 측정값에 반영되도록 하며, 이를 통해 재생 공격을 탐지할 수 있다.
통계
액추에이터 개폐 시 소요되는 시간은 평균적으로 개방 시 보다 폐쇄 시 더 길다.
다섯 개의 동일한 모델의 액추에이터 간 Time Constant 분포에 유의미한 차이가 있다.
액추에이터 개폐 상태에 따른 Time Constant 분포에도 유의미한 차이가 있다.
인용구
"Time Constant는 액추에이터의 동작 시간과 공정의 과도 응답 시간을 결합한 지문으로, 이를 통해 명령 주입 및 재생 공격을 탐지할 수 있다."
"워터마킹 기법은 제어 신호에 랜덤 지연을 추가하여 센서 측정값에 반영되도록 하며, 이를 통해 재생 공격을 탐지할 수 있다."