M ANAGING C RITICAL I NFRASTRUCTURES THROUGH B EHAVIOURAL O - - PowerPoint PPT Presentation

MANAGING ¡CRITICAL ¡INFRASTRUCTURES ¡

THROUGH ¡BEHAVIOURAL ¡OBSERVATION ¡

PROF MADJID MERABTI DR PAUL FERGUS

WILLIAM HURST

w.hurst@2009.ljmu.ac.uk SUPERVISORS

PRESENTATION ¡OUTLINE ¡

• ABOUT ¡OUR ¡RESEARCH ¡
• MOTIVATION ¡
• AIM ¡OF ¡THE ¡PROJECT ¡
• CURRENT ¡PROGRESS ¡
• SIMULATOR ¡DEVELOPMENT ¡
• FUTURE ¡WORK ¡
• SUMMARY ¡
• QUESTIONS ¡

CRITICAL ¡INFRASTRUCTURES ¡

• PROVIDER ¡OF ¡VITAL ¡SERVICES: ¡
• ­‑ ¡PROVIDES ¡CONTINUOUS ¡FLOW ¡OF ¡

GOODS ¡AND ¡SERVICES ¡

• SECTORS ¡THAT ¡WOULD ¡HAVE ¡DEBILITATING ¡IMPACT ¡ON ¡

NATIONAL ¡SECURITY ¡IF ¡DESTROYED ¡

CRITICAL ¡INFRASTRUCTURES ¡

AREAS ¡INCLUDE: ¡WATER, ¡POWER, ¡ MILITARY ¡DEFENCE, ¡TRANSPORT, ¡ BANKING, ¡TELECOMMUNICATIONS, ¡ ¡ GOVERNMENT ¡SERVICES… ¡ ¡ POWER PLANT TELECOM TRANSPORT WATER DISTRIBUTION

• CRITICAL ¡INFRASTRUCTURE ¡

IMPORTANCE ¡

• EMERGENCE ¡OF ¡A ¡NEW ¡THREAT ¡
• PHYSICAL ¡CONSEQUENCES ¡OF ¡

DIGITAL ¡FAILURE ¡

• FUTURE ¡RISKS ¡

RESEARCH ¡MOTIVATION ¡

• CONTROL ¡SYSTEMS ¡
• IDS ¡
• COMPLEXITIES ¡
• INSIDER ¡THREAT ¡
• VULNERABILITIES ¡ARE ¡WEAKNESSES ¡IN ¡THE ¡SYSTEM ¡WHICH ¡ATTACKERS ¡

LOOK ¡TO ¡EXPLOIT ¡

CRITICAL ¡INFRASTRUCTURE ¡VULNERABILITIES ¡

• CYBER-­‑THREAT ¡IS ¡A ¡GROWING ¡CONCERN ¡

– MANY ¡OF ¡THE ¡ATTEMPTED ¡ATTACKS ¡REMAIN ¡SMALL ¡( ¡MALICIOUS ¡EMAILS ¡OR ¡TROJAN ¡HORSES) ¡THE ¡ SHEER ¡VOLUME ¡OF ¡THE ¡ATTACKS ¡OCCURRING ¡REGULARLY ¡POSES ¡A ¡CAUSE ¡FOR ¡CONCERN. ¡

• POTENTIAL ¡OF ¡PHYSICAL ¡DAMAGE ¡CAUSED ¡BY ¡AN ¡ATTACK ¡ON ¡A ¡CRITICAL ¡

INFRASTRUCTURE ¡

• THREAT ¡OF ¡LOSING ¡SENSITIVE ¡INFORMATION: ¡

– NIGHT ¡DRAGON ¡CYBER-­‑ATTACKS ¡

EMERGENCE ¡OF ¡A ¡NEW ¡THREAT ¡

COST ¡OF ¡DIGITAL ¡FAILURE ¡

• SLAMMER ¡WORM ¡
• STUXNET ¡VIRUS ¡
• NZ ¡POWER ¡OUTAGE ¡
• GALAXY ¡4 ¡SATELLITE ¡FAILURE ¡
• FLAME ¡VIRUS ¡

PROTECTION ¡METHODS ¡

• IDS, ¡UTM ¡
• BIOMETRICS ¡

DEFENCE ¡IN ¡DEPTH ¡

• PROTECTION ¡PLANS ¡
• POLICIES ¡
• CYBER-­‑EXERCISES ¡

OUR ¡APPROACH ¡

• AIMS: ¡ADD ¡TO ¡DEFENCE ¡IN ¡DEPTH ¡

– RECOGNITION ¡OF ¡UNUSUAL ¡ACTIVITY: ¡ ¡

• DRAW ¡FROM ¡MULTIPLE ¡SOURCES ¡OF ¡INFORMATION ¡
• PROACTIVE ¡SECURITY ¡
• OBJECTIVES: ¡ ¡TO ¡DESIGN ¡A ¡SYSTEM ¡THAT ¡CAN ¡

– GATHER ¡AND ¡PROCESS ¡DATA ¡IN ¡REAL ¡TIME. ¡ – ARRANGE ¡THE ¡DATA ¡INTO ¡A ¡FORMAT ¡THAT ¡CAN ¡BE ¡ANALYSED. ¡ – IDENTIFY ¡ABNORMALITIES ¡USING ¡THE ¡COLLECTED ¡DATA. ¡ – COMMUNICATE ¡WITH ¡AN ¡OPERATOR ¡THROUGH ¡USE ¡OF ¡A ¡HCI. ¡

SYSTEM ¡DESIGN ¡

• PATTERN ¡OF ¡ACTIVITY ¡

SYSTEM ¡ SYSTEM ¡DESIGN ¡

DATA ¡COLLECTION ¡

• IGSS ¡DATA ¡

Hour 1 9 10 10 29 200 19 2 1 56 6 19 82 214 3 1 77 6 6 90 139 25 4 2 63 6 8 79 227 5 1 78 8 9 97 145 27 6 2 93 8 8 111 120 98

WATER ¡PLANT ¡ DATA ¡COLLECTED ¡

DATA ¡ANALYSIS ¡

GRAPHS ¡OF ¡SYSTEM ¡BEHAVIOUR ¡

• IGSS ¡DATA ¡

TIME ¡ TIME ¡ VOLUM

E ¡OF ¡ WATER ¡

VOLUME ¡

OF ¡ WATER ¡

PATTERN ¡RECOGNITION ¡

• IGSS ¡DATA ¡
• ­‑20 ¡

30 ¡ 80 ¡ 130 ¡ 180 ¡ 1 ¡ 2 ¡ 3 ¡ 4 ¡ 5 ¡ 6 ¡ Drum ¡1 ¡Ave ¡ Drum ¡2 ¡Ave ¡ Drum ¡3 ¡Ave ¡ Drum ¡4 ¡Ave ¡ System ¡Water ¡Ave ¡ System ¡Water ¡Max ¡ System ¡Water ¡Min ¡

GRAPHS ¡OF ¡SYSTEM ¡BEHAVIOUR ¡& ¡CHANGE ¡IN ¡BEHAVIOUR ¡

PRESENTATION ¡OUTLINE ¡

• ABOUT ¡OUR ¡RESEARCH ¡
• MOTIVATION ¡
• AIM ¡OF ¡THE ¡PROJECT ¡
• CURRENT ¡PROGRESS ¡
• SIMULATOR ¡DEVELOPMENT ¡
• FUTURE ¡WORK ¡
• SUMMARY ¡
• QUESTIONS ¡

DATA ¡CLASSIFICATION ¡

• LINEAR ¡DISCRIMINANT ¡CLASSIFIER ¡(LDC) ¡

DATA ¡CLASSIFICATION ¡

• LINEAR ¡DISCRIMINANT ¡CLASSIFIER ¡(LDC) ¡

CONFUSION ¡MATRIX ¡ LDC ¡ANALYSIS ¡ LDC ¡ANALYSIS ¡3D ¡

SIMULATION ¡DESIGN ¡

Water enters system Water is filtered for Impurities Water send to storage tanks Water pumped from storage tanks to reactor Reactor heats up water and creates steam Steam turns turbine & generate senergy

SIMULATION ¡DESIGN ¡ PROCESS ¡

SIMULATION ¡

SIMULATED ¡POWER ¡PLANT ¡

SIMULATION ¡VIDEO ¡

DATA ¡COLLECTION ¡

Time P ipe1 P ipe2 Water ¡ Towe r ¡P ipe P ipe3 P ipe4 Wast e P ipe ¡ to ¡ Tank ¡ 1 P ipe ¡ to ¡ Tank ¡ 2 Water ¡ S tore ¡ 1 Water ¡ S tore ¡ 2 P ipe ¡ 5 P ipe ¡ 6 P ump ¡ 1 P ump ¡ 2

15:04.3 5 5 4 2 2 93 4 33 17 15:04.4 5 5 4 2 2 93 4 33 17 15:04.5 5 5 4 2 2 93 4 33 17 15:04.6 5 5 4 2 2 93 4 33 17 15:04.7 5 5 4 2 2 93 4 33 17 15:04.8 5 5 4 2 2 93 4 33 17 15:04.9 5 5 4 1 1 94 4 32 17 1 15:05.0 6 6 4 1 1 94 4 32 17 1 15:05.1 6 6 4 1 1 94 4 32 17 1 15:05.2 6 6 4 1 1 94 4 32 17 1 15:05.3 6 6 4 1 1 94 4 32 16 1 1 15:05.4 6 6 4 1 1 93 4 33 16 1 1 15:05.5 6 6 4 1 1 93 4 33 16 1 1 15:05.6 5 6 4 1 1 93 4 33 16 1 1 15:05.7 5 6 4 1 1 93 4 33 16 1 1 15:05.8 5 6 4 1 1 93 4 33 16 1 1 15:05.9 5 6 4 1 1 93 4 33 16 1 1 15:06.0 5 6 4 1 1 93 4 33 16 1 1 15:06.1 5 6 4 1 1 93 4 33 16 1 1 15:06.2 5 6 4 1 1 93 4 33 17 1 1 15:06.3 5 6 4 1 1 93 4 33 17 1 1 15:06.4 5 6 4 1 1 93 4 33 17 1 1 15:06.5 5 6 4 1 1 93 4 33 17 1 1 15:06.6 5 6 4 1 1 93 4 33 17 1 1 15:06.7 5 6 4 1 1 93 4 33 17 1 1 15:06.8 5 6 4 1 1 93 4 33 17 1 1 15:06.9 5 6 4 1 1 93 4 33 17 1 1 15:07.0 5 6 4 1 1 93 4 33 17 1 1 15:07.1 5 6 4 1 1 93 4 33 17 1 1 15:07.2 5 6 4 1 1 93 4 33 17 1 1 15:07.3 5 5 4 2 2 93 4 33 17 1 15:07.4 5 5 4 2 2 93 4 33 17 1

DATA ¡COLLECTION ¡EXAMPLE ¡

FUTURE ¡WORK ¡

• FUTURE ¡WORK ¡= ¡DATA ¡CLASSIFICATION ¡USING ¡SIMULATION ¡

DATA ¡

• DATA ¡COLLECTION ¡FROM ¡SCADA ¡
• EVALUATION ¡
• ­‑20 ¡

80 ¡ 180 ¡ 1 ¡ 2 ¡ 3 ¡ 4 ¡ 5 ¡ 6 ¡

5 10 15 20 25 40 60 80 100 Feature 1 Feature 2 5 10 15 20 25 50 100 0.5 1 1.5 x 10

• 3

Feature 1 Feature 2

CONCLUSION ¡

• MOTIVATION ¡
• RESEARCH ¡CONDUCTED ¡
• AIM ¡OF ¡THE ¡PROJECT ¡
• CURRENT ¡PROGRESS ¡
• FUTURE ¡WORK ¡

THE ¡END ¡

w.hurst@2009.ljmu.ac.uk

ANY ¡QUESTIONS? ¡