이상 탐지 시스템은 산업 제어 시스템(ICSs)에서 사이버 공격을 탐지하기 위해 연구되고 있다. 기존의 ICS 이상 탐지 시스템은 네트워크 패킷 또는 운영 데이터를 모니터링한다. 그러나 이러한 이상 탐지 시스템은 Stuxnet과 같이 제어 로직을 표적으로 하는 공격을 탐지할 수 없다. 제어 로직 변조(테퍼링) 탐지에 관한 연구도 존재하지만, 로직이 정상인지 여부를 판단하기보다는 코드 수정 여부를 탐지한다. 이러한 변조 탐지 방법은 정상적인 동작을 나타내는 로직이라 하더라도 어떤 코드 수정이 발생하면 제어 로직을 이상으로 분류한다. 이러한 이유로, 본 논문은 제어 로직의 구조를 고려하는 이상 탐지 방법을 제안한다. 제안된 임베딩 방법은 제어 로직 Instruction List(IL) 코드에 기반하여 임베딩을 수행한다. IL 코드의 opcode와 operand는 각각 별도의 임베딩 모델을 사용한다. 이후 임베딩된 벡터들을 순차적으로 결합하여 IL 구조를 보존한다. 제안 방법은 정상 및 악성 제어 로직 데이터셋을 사용하여 Long Short-Term Memory(LSTM), LSTM-Autoencoder, 그리고 Transformer 모델로 검증하였다. 모든 모델은 F1 점수가 최소 0.81에 도달하는 이상 탐지 성능을 달성하였다. 또한 제안된 임베딩 방법을 채택한 모델은 기존 임베딩 방법을 사용하는 모델보다 0.088259만큼 더 우수한 성능을 보였다. 제안된 제어 로직 이상 탐지 방법은 모델이 제어 로직의 문맥과 구조를 학습하고 내재적 취약성을 지닌 코드를 식별할 수 있도록 한다.

*본 초록은 AI를 통해 원문을 번역한 내용입니다. 정확한 내용은 하기 원문에서 확인해주세요.