Signals and Symptoms: ICS Attack Dataset From Railway Cyber Range
收藏arXiv2025-07-02 更新2025-07-04 收录
下载链接:
https://doi.org/10.5281/zenodo.155363514
下载链接
链接失效反馈官方服务:
资源简介:
本数据集由新加坡国立大学的国家网络安全研发实验室创建,旨在支持对工业控制系统(ICS)的网络攻击分析。数据集包含两个基于历史ICS事件攻击模式的网络攻击场景,用于模拟铁路基础设施中的新兴网络攻击趋势。数据集收集了与当前威胁环境相关的关键指标,增强了安全系统和分析员对ICS网络威胁的保护效果。数据集通过公共存储库共享,用于支持对ICS网络攻击的各种分析,包括追踪攻击、识别漏洞和缓解未来风险。
This dataset was developed by the National Cybersecurity R&D Laboratory at the National University of Singapore to support cybersecurity attack analysis for Industrial Control Systems (ICS). It includes two cybersecurity attack scenarios based on attack patterns from historical ICS incidents, which are designed to simulate emerging cyber attack trends in railway infrastructure. The dataset collects critical indicators relevant to the current cyber threat landscape, thereby enhancing the protective efficacy of security systems and analysts against ICS cyber threats. Shared via public repositories, the dataset supports various analyses of ICS cyber attacks, including attack tracing, vulnerability identification, and future risk mitigation.
提供机构:
新加坡国立大学
创建时间:
2025-07-02
搜集汇总
数据集介绍
构建方式
该数据集构建于铁路网络靶场环境中,通过精心设计两种工业控制系统(ICS)网络攻击场景来模拟真实威胁。研究人员基于历史攻击模式分析,从网络威胁情报报告中提取战术、技术和程序(TTPs),构建了包含多阶段攻击的仿真场景。实验过程中采用集群用户仿真系统(CUE)生成良性及恶意流量,并通过tcpdump、内存快照和磁盘镜像等技术捕获网络流量、系统状态等数字取证证据。数据集构建过程严格遵循网络安全实验伦理,在隔离的铁路网络靶场中完成所有攻击模拟。
使用方法
该数据集适用于工业控制系统网络安全领域的多类研究场景。安全研究人员可通过分析网络流量模式(PCAP文件)研究攻击传播特征,利用内存取证技术(内存映像)分析恶意软件行为,或基于磁盘镜像开展数字取证调查。配套提供的SSL密钥支持对加密流量的解密分析,而系统日志则可用于构建异常检测模型。建议使用流程包括:首先通过可视化录像理解攻击整体过程,继而结合具体研究目标选择相应证据类型进行深度分析。数据集特别适合用于开发ICS专用入侵检测算法、验证攻击溯源方法,以及训练网络安全人员应对铁路系统复杂攻击的能力。
背景与挑战
背景概述
Signals and Symptoms: ICS Attack Dataset From Railway Cyber Range是由新加坡国立大学的研究团队于2025年提出的一个专注于工业控制系统(ICS)安全的数据集。该数据集旨在模拟铁路基础设施中的网络攻击场景,为安全分析人员提供高质量的实验数据。研究团队通过构建一个铁路网络靶场,模拟了两种复杂的网络攻击场景,这些场景结合了历史ICS攻击的模式和当前网络威胁的趋势。该数据集的发布填补了铁路关键基础设施安全研究领域的数据空白,为ICS网络安全研究提供了重要的实验基础。
当前挑战
该数据集面临的挑战主要体现在两个方面:首先,在领域问题方面,铁路ICS系统具有高度复杂性和实时性要求,如何准确模拟攻击对物理系统的影响是一个关键挑战;其次,在构建过程中,研究团队需要解决如何平衡模拟环境的真实性与实验可控性之间的矛盾,以及如何设计既能反映当前威胁又具有足够复杂度的攻击场景。此外,数据采集过程中还需确保关键攻击指标的有效捕获,同时处理大量异构数据(如网络流量、内存镜像、系统日志等)的同步与整合问题。
常用场景
经典使用场景
在工业控制系统(ICS)安全研究中,该数据集被广泛用于模拟和分析针对铁路基础设施的多阶段高级持续性威胁(APT)攻击。通过重现历史攻击模式(如Dragonfly和Sandworm APT的攻击手法),研究者能够深入探究攻击者在IT/OT融合环境中的横向移动策略、恶意软件传播路径以及关键控制系统的漏洞利用方式。数据集包含磁盘镜像、内存快照和网络流量捕获,为数字取证和事件响应(DFIR)提供了标准化实验平台。
解决学术问题
该数据集有效解决了ICS安全领域三大核心问题:一是缺乏反映当代威胁态势的标准化攻击数据集,弥补了传统数据集在铁路场景特异性上的不足;二是通过精确模拟IT与OT系统的交互漏洞,揭示了数字化转型过程中暴露的新型攻击面;三是提供的Modbus TCP/S7Comm协议层攻击证据,为检测算法开发提供了真实的行为基线。其价值在于将理论威胁模型转化为可量化分析的实证数据,推动了攻击检测、态势感知等关键技术的研究进展。
实际应用
在铁路运营安全实践中,该数据集支撑了多项关键应用:安全团队利用攻击场景(如AS1中的碰撞规避系统失效案例)进行红蓝对抗演练,优化应急响应流程;设备厂商基于虚假数据注入(FDI)攻击模式改进PLC固件的异常检测机制;监管机构则借助可视化攻击链(如AS2的电力系统瘫痪过程)制定跨部门协同防御策略。特别在新型威胁预警方面,数据集衍生的攻击特征已集成至多款商业安全产品的威胁情报库。
数据集最近研究
最新研究方向
随着工业控制系统(ICS)网络安全威胁的日益复杂化,铁路关键基础设施的数字化进程面临严峻挑战。Signals and Symptoms数据集通过构建高度仿真的铁路网络靶场环境,为研究多阶段高级持续性威胁(APT)攻击提供了宝贵资源。该数据集创新性地融合了历史攻击模式与新兴威胁趋势,特别关注IT与OT系统融合环境下的攻击路径,如虚假控制注入(FCI)和虚假数据注入(FDI)等典型工控攻击手法。近期研究重点聚焦于三个方面:一是基于数字孪生技术的攻击行为可视化分析,通过实时模拟列车碰撞、电力中断等物理效应,提升威胁感知能力;二是针对Modbus TCP/S7Comm等工业协议的异常检测算法优化,利用数据集中的网络流量和内存快照特征改进检测精度;三是跨域攻击链重构技术,结合磁盘镜像与系统日志实现IT侧初始入侵到OT侧物理影响的完整攻击溯源。该数据集的发布填补了轨道交通领域高质量攻击样本的空白,为关键基础设施的主动防御体系构建提供了基准测试平台。
相关研究论文
- 1Signals and Symptoms: ICS Attack Dataset From Railway Cyber Range新加坡国立大学 · 2025年
以上内容由遇见数据集搜集并总结生成
