An Application of Network Security Monitoring to the MIL-STD-1553B Data Bus

Abstract

The objective of this thesis is to demonstrate that the application of signature-based network security monitoring techniques to the MIL-STD-1553B data bus can be used to identify signs of undesirable or otherwise abnormal system activity. Detection of such traffic is critical to ensuring that data bus-connected devices continue to operate as designed, and are free from compromise or faults.

In addition to signature-based detection two anomaly-based detection techniques were selected for implementation: word repetition analysis and RT frequency analysis. Each of these has roots in techniques used to monitor IP-based networks for signs of compromise. Software implementing each of these functionalities was written in Python, including functions to provide dissection of MIL-STD-1553B data, as well as a command line user interface.

Initial functionality testing was conducted using a commercially-available MIL-STD-1553B data bus simulator commonly used for bus prototyping. The effectiveness of the detection techniques was demonstrated against data bus attack scenarios postulated by Stan et al. Two additional cases were studied, representing scenarios where a bus-connected device could be faulty or misconfigured.

In two of six cases, a successful detection was made using signature-based analysis. In two other cases, anomaly-based detection uncovered initial signs of compromise, which were further investigated using signature-based detection. In the final two cases, signature-based detection was not effective.

While many opportunities for future work exist in further refining and automating these techniques, implementing new detection strategies, and testing against different attacks, it was ultimately demonstrated that the application of signature-based network security monitoring techniques is a viable means of detecting indicators of undesirable activity on the MIL-STD-1553B data bus.

L'objectif de cette thèse est de démontrer que l'application des techniques de sécurité réseautique du type détection de signatures au bus de données MIL-STD-1553B peut servir à identifier la présence d'activités non-désirables ou autrement anormales dans le système. La détection de ce trafic est critique pour assurer que les composantes se servant du bus opèrent tels que conçues, sans faute ou compromis.

En plus de la détection de signatures, deux méthodes de détection d'anomalies ont été sélectionnées et mises en oeuvre : l'analyse de répétition des mots, et l'analyse de la fréquence des RT. Chacune de celles-ci sont dérivées à partir de techniques servant à surveiller les réseaux IP. Un programme a été rédigé en Python pour implémenter ces fonctions ainsi que le support requis : la décortication du data MIL-STD-1553B ainsi qu'une interface d'utilisateur basée sur la ligne de commande.

Des tests de fonctionnement ont été conduits avec l'aide d'un simulateur de bus de données MIL-STD-1553B disponible sur le marché commercial. L'efficacité des techniques de détection ont été mises à l'épreuve contre des scénarios d'attaque proposés par Stan et al. Deux cas additionnels ont été étudiés, traitant de scénarios ou un RT serait touche par une faute technique ou mal configure.

Dans deux des cas étudiés, la détection par signature a réussi à découvrir des indices claires de compromise. Dans deux autres cas, la détection primaire était faite par l'analyse à base d'anomalies, mais la détection par signature a servi d'outil d'enquête. Dans les deux derniers cas, la détection par signature s'est avérée inefficace.

En utilisant des combinaisons des trois méthodes proposées, des indices claires de compromise ou de faillite technique ont été observées dans tous les scénarios sauf un. En fin de compte, ce travail démontre que l'application des techniques de sécurité réseautique est efficace pour trouver des indices d'activité anormale ou non-désirable sur le bus de données MIL-STD-1553B.