Network security monitoring and anomaly detection in industrial control system networks

Mantere, M. (Matti)

19 May 2015

Abstract Industrial control system (ICS) networks used to be isolated environments, typically separated by physical air gaps from the wider area networks. This situation has been changing and the change has brought with it new cybersecurity issues. The process has also exacerbated existing problems that were previously less exposed due to the systems’ relative isolation. This process of increasing connectivity between devices, systems and persons can be seen as part of a paradigm shift called the Internet of Things (IoT). This change is progressing and the industry actors need to take it into account when working to improve the cybersecurity of ICS environments and thus their reliability. Ensuring that proper security processes and mechanisms are being implemented and enforced on the ICS network level is an important part of the general security posture of any given industrial actor. Network security and the detection of intrusions and anomalies in the context of ICS networks are the main high-level research foci of this thesis. These issues are investigated through work on machine learning (ML) based anomaly detection (AD). Potentially suitable features, approaches and algorithms for implementing a network anomaly detection system for use in ICS environments are investigated. After investigating the challenges, different approaches and methods, a proof-ofconcept (PoC) was implemented. The PoC implementation is built on top of the Bro network security monitoring framework (Bro) for testing the selected approach and tools. In the PoC, a Self-Organizing Map (SOM) algorithm is implemented using Bro scripting language to demonstrate the feasibility of using Bro as a base system. The implemented approach also represents a minimal case of event-driven machine learning anomaly detection (EMLAD) concept conceived during the research. The contributions of this thesis are as follows: a set of potential features for use in machine learning anomaly detection, proof of the feasibility of the machine learning approach in ICS network setting, a concept for event-driven machine learning anomaly detection, a design and initial implementation of user configurable and extendable machine learning anomaly detection framework for ICS networks. / Tiivistelmä Kehittyneet yhteiskunnat käyttävät teollisuuslaitoksissaan ja infrastruktuuriensa operoinnissa monimuotoisia automaatiojärjestelmiä. Näiden automaatiojärjestelmien tieto- ja kyberturvallisuuden tila on hyvin vaihtelevaa. Laitokset ja niiden hyödyntämät järjestelmät voivat edustaa usean eri aikakauden tekniikkaa ja sisältää useiden eri aikakauden heikkouksia ja haavoittuvaisuuksia. Järjestelmät olivat aiemmin suhteellisen eristyksissä muista tietoverkoista kuin omista kommunikaatioväylistään. Tämä automaatiojärjestelmien eristyneisyyden heikkeneminen on luonut uuden joukon uhkia paljastamalla niiden kommunikaatiorajapintoja ympäröivälle maailmalle. Nämä verkkoympäristöt ovat kuitenkin edelleen verrattaen eristyneitä ja tätä ominaisuutta voidaan hyödyntää niiden valvonnassa. Tässä työssä esitetään tutkimustuloksia näiden verkkojen turvallisuuden valvomisesta erityisesti poikkeamien havainnoinnilla käyttäen hyväksi koneoppimismenetelmiä. Alkuvaiheen haasteiden ja erityispiirteiden tutkimuksen jälkeen työssä käytetään itsejärjestyvien karttojen (Self-Organizing Map, SOM) algoritmia esimerkkiratkaisun toteutuksessa uuden konseptin havainnollistamiseksi. Tämä uusi konsepti on tapahtumapohjainen koneoppiva poikkeamien havainnointi (Event-Driven Machine Learning Anomaly Detection, EMLAD). Työn kontribuutiot ovat seuraavat, kaikki teollisuusautomaatioverkkojen kontekstissa: ehdotus yhdeksi anomalioiden havainnoinnissa käytettävien ominaisuuksien ryhmäksi, koneoppivan poikkeamien havainnoinnin käyttökelpoisuuden toteaminen, laajennettava ja joustava esimerkkitoteutus uudesta EMLAD-konseptista toteutettuna Bro NSM työkalun ohjelmointikielellä.

anomaly detection

cybersecurity

industrial control system security

information security

intrusion detection

machine learning

network security

automaatiojärjestelmien turvallisuus

koneoppiminen

kyberturvallisuus

poikkeamien havainnointi

tietoturva

tunkeutumisen havainnointi

Balanced initial teams in early-stage software startups:building a team fitting to the problems and challenges

Seppänen, P. (Pertti)

29 May 2018

Abstract The rapid development of digital technology and software in recent years has created great variety of totally new business opportunities. Software startups are commonly considered to be the fastest in exploiting the new opportunities and the most innovative in creating new products and services. At the same time, software startups are often small, immature enterprises with limited resources and inexperienced teams. The initial team plays a key role in the early stages of a software startup. This research focuses on the initial team from the perspective of human capital – the knowledge, experiences, skills, and other cognitive abilities. It studies the initial team empirically, utilizing the multi-case study and triangulation methods applying the human capital, resource-based view, capability, and the opportunity discovery and creation theories. The empirical data were gathered from thirteen software startups in Italy, Norway and Finland, and from a student experiment. From the analysis of this data, a generic structure of a software startup’s initial team was identified, consisting of three different roles, with each having a specific human capital profile. This team structure sought a balance between the team’s human capital and problems and challenges to be solved. The level of the initial human capital of the team and the means to strengthen it varied, and affected the progress of the work in the studied startups. Though the components of the team’s human capital were not rare and inimitable in terms of the resource-based view, building a balanced startup team created a unique and task-specific setup, which is a key capability of a software startup. The balanced startup team structure is proposed to be the generic human capital model of a software startup’s initial team. / Tiivistelmä Digitaalitekniikan ja ohjelmistojen nopea kehitys viime vuosina on synnyttänyt suuren joukon kokonaan uusia liiketoimintamahdollisuuksia. Ohjelmistostartup-yrityksiä pidetään yleisesti nopeimpina hyödyntämään uusia mahdollisuuksia ja erityisen innovatiivisina luomaan uusia tuotteita ja palveluita. Kuitenkin samalla, ohjelmistostartup-yritykset ovat usein pieniä, kehityksensä alussa olevia yrityksiä, joilla on pienet resurssit ja kokematon henkilökunta. Varhaisen vaiheen ohjelmistostartup-yrityksissä alkutiimin merkitys on keskeinen. Tässä tutkimuksessa tarkastellaan alkutiimiä inhimillisen pääoman, osaamisen, kokemuksen ja taitojen, näkökulmasta. Tutkimuksessa tarkastellaan alkutiimiä kokeellisesti, käyttäen monitapaustutkimuksen ja triangulaation menetelmiä ja soveltaen inhimillisen pääoman, resurssipohjaisen näkemyksen, kyvykkyyden ja liiketoimintamahdollisuuksien hyödyntämisen teorioita. Kokeellinen tutkimusaineisto on kerätty kolmestatoista yrityksestä Italiasta, Norjasta ja Suomesta ja yhdestä opiskelijoilla tehdystä kokeellisesta tutkimuksesta. Tutkimuksessa löydettiin alkutiimin yleinen malli. Mallissa on kolme roolia, kullakin oma inhimillisen pääoman profiili. Mallissa on tiimin inhimillisen pääoman ja ratkaistavien ongelmien tasapaino. Tiimien inhimillisen pääoman määrä ja sen kehitystavat vaihtelivat, ja vaikuttivat tutkittavien yritysten edistymiseen. Vaikka alkutiimien inhimillisen pääoman komponentit eivät olleet ainutkertaisia resurssipohjaisen näkemyksen kannalta, tasapainossa olevan alkutiimin rakentaminen synnytti ainutkertaisen, tehtävänmukaisen tiimirakenteen, jota voidaan pitää yrityksen keskeisenä kyvykkyytenä. Havaittu tiimirakenne esitetään yrityksen alkutiimin inhimillisen pääoman yleiseksi malliksi.

capability

competency

effectuation

entrepreneurship

founder

human capital theory

idea validation

initial team

innovation

lean startup

opportunity creation

opportunity discovery

product development

product development process

resource-based-view theory

software startup

alkutiimi

effektuaatio

idean validointi

inhimillisen pääoman teoria

innovaatio

kompetenssi

kyvykkyys

lean startup

ohjelmistostartup-yritys

perustaja

resurssipohjainen näkemys

tuotekehitys

tuotekehitysprosessi

yrittäjyys