A Privacy-Preserving Anomaly Detection Model in Critical Infrastructure with Homomorphic Encryption

Abstract

Critical infrastructure (CI) has been vulnerable to various threats due to its crucial role in society. While there are several general methods for detecting anomalies in time series data, such as long short-term memory (LSTM) and Transformer, these may not be available on local computing resources at CI. With the advent of cloud computing, users can use computing resources on demand to utilize various models. However, cloud computing has a shortcoming in privacy since a user must send the data to a cloud server for processing. Such a situation is critical, especially for CI, which deals with sensitive data. While data can be stored securely by encrypting it first and transmitting it to a cloud server, encrypted data cannot generally undergo arbitrary operations. Fully homomorphic encryption (FHE) is a scheme that allows arbitrary numbers of operations on encrypted data. Applying homomorphic encryption allows the construction of a privacy-preserving anomaly detection model in a cloud computing environment. However, FHE requires a computationally expensive operation called bootstrapping on every certain number of multiplications to refresh encrypted data. Therefore, to use homomorphic encryption practically, minimizing the number of multiplications is necessary to avoid bootstrapping. This work will propose a lightweight anomaly detection model by utilizing the properties of critical infrastructure. The model consists of multiple sub-models which detect anomalies under a specific constant subsystem state. Training the model with encrypted data is verified in the SWaT dataset and showed competitive performance compared to another simple approach available under a homomorphic encryption scheme.|기반 시설이 사회 전반에서 주요한 역할을 함에 따라 외부로부터의 공격 대상이 되는 일이 늘어나고 있다. 일반적인 시계열 데이터를 대상으로 하는 이상 탐지 시스템이 여러 알려져 있지만 기반 시설 내의 컴퓨팅 자원으로는 이러한 시스템을 활용하기 어려울 수 있다. 클라우드 컴퓨팅 환경이 등장하면서 사용자는 개인 컴퓨팅 자원에 제한되지 않고 필요한 만큼 컴퓨터 자원을 사용할 수 있게 되었으나, 데이터를 연산하기 위해서는 그 데이터를 클라우드 서버에 전송해야 하는 보안적인 약점이 존재한다. 이는 민감한 정보를 다루는 기반 시설에 더욱 문제를 야기할 수 있다. 클라우드에 데이터를 전송할 때 앞서 데이터를 암호화하여 저장하면 데이터 내의 정보가 유출되지는 않지만 일반적으로 암호화된 데이터는 연산이 불가능하다. 하지만 동형 암호로 암호화된 데이터는 덧셈과 곱셈을 비롯한 연산을 할 수 있어 기반 시설 데이터에 동형 암호를 적용한다면 클라우드 상에서 민감한 정보의 유출 없이 이상 탐지 시스템을 구축할 수 있다. 하지만 동형 암호는 특정 횟수의 곱셈이 수행될 때마다 부트스트래핑이라 불리는 시간이 오래 걸리는 연산을 수행해줘야 한다. 따라서 동형 암호를 효과적으로 사용하기 위해서는 연산 횟수를 최소화하여 부트스트래핑 연산 없이 이상 탐지 모델이 작동하도록 모델을 구축하여야 한다. 본 논문에서는 기반 시설의 속성을 활용하여 경량화된 이상 탐지 모델을 제안한다. 이 모델은 여러 개의 하위 모델로 구성되며 각 하위 모델은 특정 하위 시스템 상황 아래 이상 탐지를 실행한다. 제안하는 모델은 스왓 데이터 세트에서 암호화된 데이터로 학습하는 것이 가능함을 확인하였으며 동형 암호가 적용된 환경 아래 가능한 다른 간단한 방법과 비교해 경쟁력 있는 성능을 보여주었다.