Mind the Gap: Missing Cyber Threat Coverage in NIDS Datasets for the Energy Sector
Created by
- Haebom
Category
Empty
저자
Adrita Rahman Tory, Khondokar Fida Hasan, Md Saifur Rahman, Nickolaos Koroniotis, Mohammad Ali Moni
개요
본 연구는 공개적으로 사용 가능한 데이터셋을 사용하여 개발된 네트워크 침입 탐지 시스템(NIDS)이 에너지 인프라의 융합된 IT/OT 환경에서 효과적인지에 대한 문제를 제기한다. 이를 위해, CIC-IDS2017, SWaT, WADI, Sherlock, CIC-Modbus2023 등 5개의 널리 사용되는 데이터셋이 에너지 부문 사고에서 추출된 네트워크 감지 가능한 MITRE ATT&CK 기술에 대해 얼마나 대표성을 가지는지를 평가한다. 5단계 분석 접근법을 사용하여 274개의 ATT&CK 기술 중 94개의 네트워크 관찰 가능한 기술을 식별하고, 각 데이터셋의 커버리지 갭 분석을 수행했다. Sherlock 데이터셋이 가장 높은 평균 커버리지(0.56)를 보였고, CIC-IDS2017(0.55)이 그 뒤를 이었으며, SWaT 및 WADI는 가장 낮은 점수(0.38)를 기록했다. CIC-IDS2017, Sherlock, CIC-Modbus2023을 결합하면 92%의 커버리지를 달성하여 상호 보완적인 강점을 보여주었다. 분석 결과 측면 이동 및 산업 프로토콜 조작과 관련된 기술에서 중요한 격차를 확인했으며, 하이브리드 IT/OT 에너지 환경에서 데이터셋 개선 및 더욱 강력한 NIDS 평가를 위한 명확한 방향성을 제시했다.
시사점, 한계점
•
시사점:
◦
에너지 인프라 IT/OT 환경에서 NIDS의 효과적인 평가를 위한 데이터셋의 대표성 분석을 수행함.
◦
다양한 데이터셋의 커버리지 갭 분석을 통해 NIDS 평가 및 데이터셋 개선 방향 제시.
◦
CIC-IDS2017, Sherlock, CIC-Modbus2023의 결합을 통해 높은 커버리지를 달성할 수 있음을 입증.
◦
측면 이동 및 산업 프로토콜 조작 관련 기술에서 데이터셋의 취약점을 발견.
•
한계점:
◦
제한된 수의 데이터셋만을 분석 대상으로 함.
◦
MITRE ATT&CK 프레임워크 기반의 분석에 의존.
◦
특정 공격 시나리오에 대한 데이터셋의 실제 성능 평가 부재.
