Abstract Critical infrastructures which are crucial to our modern life such as electricity grids and water pumps are controlled by Supervisory Control and Data Acquisition (SCADA) systems. Over the last two decades connecting these critical infrastructures to the internet has become essential. This made SCADA security an increasingly important research topic. This paper copes with two challenges: (1) SCADA systems tend to repeat themselves within a well-defined time period; then a malicious attacker can change the duration time in which the system holds a certain value without changing the order of the activities, i.e., the order in which the values appear. (2) The malicious activity may affect the data payload of the communicated SCADA packets rather than the explicit defined function codes (W/R). To face these challenges we propose two machine learning algorithms. The first algorithm is supervised. It finds first frequent temporal patterns, then these patterns are recognized in the data payload of the SCADA communication protocols, and used as features for a classification algorithm. The second algorithm is unsupervised. It learns an automaton that represents the temporal behavior of the system. Then at runtime, unknown states or events are declared as malicious. Experimental evaluation on real MODUBS-SCADA dataset from Ben-Gurion University shows that the first supervised algorithm, that uses frequent temporal patterns as features, performs better than a baseline algorithm that considers the mean and standard deviation as features. The second unsupervised algorithm performs even better than the first one.

中文翻译：

---

SCADA 系统中基于时间模式的恶意活动检测

摘要 电网和水泵等对我们现代生活至关重要的关键基础设施由监控和数据采集 (SCADA) 系统控制。在过去的二十年里，将这些关键基础设施连接到互联网变得至关重要。这使得 SCADA 安全性成为越来越重要的研究课题。本文应对两个挑战：(1) SCADA 系统倾向于在明确定义的时间段内重复自身；那么恶意攻击者就可以在不改变活动顺序的情况下改变系统持有某个值的持续时间，即值出现的顺序。(2) 恶意活动可能会影响通信的 SCADA 数据包的数据负载，而不是显式定义的功能代码 (W/R)。为了应对这些挑战，我们提出了两种机器学习算法。第一个算法是有监督的。它首先找到频繁的时间模式，然后在 SCADA 通信协议的数据有效载荷中识别这些模式，并将其用作分类算法的特征。第二种算法是无监督的。它学习一个代表系统时间行为的自动机。然后在运行时，未知状态或事件被声明为恶意的。对本古里安大学真实 MODUBS-SCADA 数据集的实验评估表明，第一个使用频繁时间模式作为特征的监督算法比将均值和标准差作为特征的基线算法性能更好。第二种无监督算法的性能甚至比第一种更好。第一个算法是有监督的。它首先找到频繁的时间模式，然后在 SCADA 通信协议的数据有效载荷中识别这些模式，并将其用作分类算法的特征。第二种算法是无监督的。它学习一个代表系统时间行为的自动机。然后在运行时，未知状态或事件被声明为恶意的。对本古里安大学真实 MODUBS-SCADA 数据集的实验评估表明，第一个使用频繁时间模式作为特征的监督算法比将均值和标准差作为特征的基线算法性能更好。第二种无监督算法的性能甚至比第一种更好。第一个算法是有监督的。它首先找到频繁的时间模式，然后在 SCADA 通信协议的数据有效载荷中识别这些模式，并将其用作分类算法的特征。第二种算法是无监督的。它学习一个代表系统时间行为的自动机。然后在运行时，未知状态或事件被声明为恶意的。对来自本古里安大学的真实 MODUBS-SCADA 数据集的实验评估表明，第一个使用频繁时间模式作为特征的监督算法比将均值和标准差作为特征的基线算法性能更好。第二种无监督算法的性能甚至比第一种更好。然后这些模式在 SCADA 通信协议的数据有效载荷中被识别，并用作分类算法的特征。第二种算法是无监督的。它学习一个代表系统时间行为的自动机。然后在运行时，未知状态或事件被声明为恶意的。对本古里安大学真实 MODUBS-SCADA 数据集的实验评估表明，第一个使用频繁时间模式作为特征的监督算法比将均值和标准差作为特征的基线算法性能更好。第二种无监督算法的性能甚至比第一种更好。然后这些模式在 SCADA 通信协议的数据有效载荷中被识别，并用作分类算法的特征。第二种算法是无监督的。它学习一个代表系统时间行为的自动机。然后在运行时，未知状态或事件被声明为恶意的。对本古里安大学真实 MODUBS-SCADA 数据集的实验评估表明，第一个使用频繁时间模式作为特征的监督算法比将均值和标准差作为特征的基线算法性能更好。第二种无监督算法的性能甚至比第一种更好。它学习一个代表系统时间行为的自动机。然后在运行时，未知状态或事件被声明为恶意的。对本古里安大学真实 MODUBS-SCADA 数据集的实验评估表明，第一个使用频繁时间模式作为特征的监督算法比将均值和标准差作为特征的基线算法性能更好。第二种无监督算法的性能甚至比第一种更好。它学习一个代表系统时间行为的自动机。然后在运行时，未知状态或事件被声明为恶意的。对本古里安大学真实 MODUBS-SCADA 数据集的实验评估表明，第一个使用频繁时间模式作为特征的监督算法比将均值和标准差作为特征的基线算法性能更好。第二种无监督算法的性能甚至比第一种更好。性能优于将均值和标准差视为特征的基线算法。第二种无监督算法的性能甚至比第一种更好。性能优于将均值和标准差视为特征的基线算法。第二种无监督算法的性能甚至比第一种更好。