Original title:
Identifikace průmyslových zařízení
Translated title:
Identification of industrial devices
Authors:
Šotola, Bohuslav ; Blažek, Petr (referee) ; Pospíšil, Ondřej (advisor) Document type: Master’s theses
Year:
2024
Language:
cze Publisher:
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií Abstract:
[cze][eng]
Tato diplomová práce s názvem Identifikace průmyslových zařízení se zabývá využitím strojového učení pro pasivní identifikaci výhradně programovatelných logických automatů neboli PLC od firmy Siemens, komunikující pomocí síťového provozu. Identifikace se provádí za účelem získání informací o zranitelnostech právě používaných zařízení. Motivací pro zavedení identifikace v průmyslu je minimalizace pravděpodobnosti útoků a tím redukovat ztráty ve výrobě. Pro cílenou identifikaci zařízení do 5 minut od začátku zachytávání síťového provozu jsou vytvořeny datové množiny v oblasti ICS. Ty jsou statisticky zpracovány s cílem najít vstupní parametry vykazující nezávislost na topologii a času. Statisticky zpracované parametry jsou případně podrobeny modelům strojového učení. Pokud jsou shledány dostatečně nezávislými, je myšlenka ověřena na nezávislých datech, jež nemají s předchozími spojitost. Při identifikaci je také snaha využít parametry síťového přenosu, které jsou nezávislé na výrobci PLC zařízení. Identifikace PLC zařízení je možná, ideální je využití starší verze proprietárního protokolu S7, jelikož umožňuje identifikaci do 5 minut od začátku zachytávání provozu. Identifikace na základě starší verze protokolu je také aktuální, protože je používána v praxi. Překážkou pro zachycení provozu k identifikaci je fakt, že případný uživatel musí mnohdy disponovat příslušnými oprávněními. Je nutné počítat s aktualizací firmwarů, které poskytují nové funkce zabezpečení přenášených dat.
This thesis, titled Identification of Industrial Devices, deals with the use of machine learning for the passive identification of exclusively programmable logic controllers (PLCs) from Siemens, communicating via network traffic. The identification is performed to obtain information about vulnerabilities in the devices currently in use. The motivation for introducing identification in the industry is to minimize the likelihood of attacks and thus reduce losses in production. Datasets in the field of Industrial Control Systems (ICS) are created for targeted device identification within 5 minutes of capturing network traffic. These datasets are statistically processed to find input parameters showing independence from topology and time. The statistically processed parameters are then subjected to machine learning models. If they are found to be sufficiently independent, the idea is verified on independent data not related to previous ones. In identification, there is also an attempt to utilize network transmission parameters that are independent of the PLC device manufacturer. Identification of PLC devices is possible, with the ideal use of the older version of the proprietary S7 protocol, as it allows identification within 5 minutes of capturing traffic. Identification based on the older version of the protocol is also relevant because it is used in practice. An obstacle to capturing traffic for identification is the fact that potential users often need appropriate permissions. Firmware updates must be taken into account, providing new data security features.
Keywords:
COTP Packets; ICS; Identification of Industrial Equipment; PLC; Wireshark; COTP pakety; ICS; identifikace průmyslových zařízení; PLC; Wireshark
Institution: Brno University of Technology
(web)
Document availability information: Fulltext is available in the Brno University of Technology Digital Library. Original record: https://hdl.handle.net/11012/246072