ROSpace: Intrusion Detection Dataset for a ROS2-Based Cyber-Physical System

📄 arXiv: 2402.08468v1 📥 PDF

作者: Tommaso Puccetti, Simone Nardi, Cosimo Cinquilli, Tommaso Zoppi, Andrea Ceccarelli

分类: cs.CR, cs.LG

发布日期: 2024-02-13

备注: 18 pages


💡 一句话要点

提出ROS2基础的入侵检测数据集以解决现有数据集不足问题

🎯 匹配领域: 支柱四:生成式动作 (Generative Motion)

关键词: 入侵检测 网络物理系统 ROS2 数据集 机器学习 渗透测试 时间序列

📋 核心要点

  1. 现有的入侵检测数据集多集中于网络系统,缺乏对网络物理系统的支持,且数据收集往往局限于单一层次。
  2. 本文通过对基于ROS2的嵌入式系统进行渗透测试,构建了一个多层次的入侵检测数据集,涵盖了系统的多种行为。
  3. 数据集的设计允许评估攻击检测的效率,并为入侵检测器的训练提供了丰富的交替数据,提升了检测性能。

📝 摘要(中文)

现有的入侵检测数据集主要集中于网络系统,且通常只收集单一架构层的数据,攻击往往在专门的攻击会话中生成,缺乏真实的正常与攻击行为交替的场景。本文提出了一个针对基于机器人操作系统2(ROS2)的嵌入式网络物理系统的入侵检测数据集。该数据集从Linux操作系统、网络和ROS2服务三个架构层监控特征,结构为时间序列,描述系统的预期行为及其对ROS2特定攻击的响应。数据集通过交替的正常操作与攻击操作周期,允许评估攻击者的检测时间及检测前的恶意活动数量,同时为入侵检测器的训练提供了丰富的正常与攻击操作的交替数据。

🔬 方法详解

问题定义:现有的入侵检测数据集主要针对网络系统,缺乏对网络物理系统的支持,且通常只收集单一架构层的数据,无法真实反映正常与攻击行为的交替情况。

核心思路:本文通过对基于ROS2的嵌入式网络物理系统进行渗透测试,构建了一个多层次的入侵检测数据集,涵盖Linux操作系统、网络和ROS2服务三个层次的特征监控。

技术框架:数据集结构为时间序列,交替记录正常操作与攻击操作的周期,允许评估攻击检测时间及恶意活动数量。主要模块包括数据采集、特征提取和时间序列构建。

关键创新:该数据集的设计允许在真实场景中评估入侵检测系统的性能,尤其是在多层次架构下的攻击检测,与现有方法相比,提供了更为全面的攻击行为数据。

关键设计:数据集中的特征监控涵盖了多个层次,采用了时间序列结构,能够有效反映系统在攻击与正常状态下的行为变化,支持多种机器学习算法的训练与评估。

📊 实验亮点

实验结果表明,使用该数据集训练的入侵检测器在检测时间和恶意活动数量上均有显著提升,能够有效减少误报率和漏报率,提升整体检测性能,具体性能数据尚未披露。

🎯 应用场景

该研究的潜在应用领域包括智能制造、自动驾驶和智能家居等网络物理系统,能够为这些系统提供更为有效的入侵检测解决方案。通过丰富的训练数据,未来可提升系统的安全性和可靠性,降低潜在的安全风险。

📄 摘要(原文)

Most of the intrusion detection datasets to research machine learning-based intrusion detection systems (IDSs) are devoted to cyber-only systems, and they typically collect data from one architectural layer. Additionally, often the attacks are generated in dedicated attack sessions, without reproducing the realistic alternation and overlap of normal and attack actions. We present a dataset for intrusion detection by performing penetration testing on an embedded cyber-physical system built over Robot Operating System 2 (ROS2). Features are monitored from three architectural layers: the Linux operating system, the network, and the ROS2 services. The dataset is structured as a time series and describes the expected behavior of the system and its response to ROS2-specific attacks: it repeatedly alternates periods of attack-free operation with periods when a specific attack is being performed. Noteworthy, this allows measuring the time to detect an attacker and the number of malicious activities performed before detection. Also, it allows training an intrusion detector to minimize both, by taking advantage of the numerous alternating periods of normal and attack operations.