Новый способ защиты промышленных систем от кибератак и неисправностей оборудования был разработан учеными Южно-Уральского государственного университета. Результаты представлены в сборнике International Conference on Industrial Engineering, Applications and Manufacturing (ICIEAM). 
Промышленные комплексы представляют собой сложные системы, состоящие из множества компонентов. Например, в оборудовании для очистки воды применяются десятки датчиков, которые непрерывно отслеживают различные параметры: уровень воды, давление, химический состав. Человеческий разум не в состоянии следить за всеми этими потоками данных и своевременно выявлять отклонения, которые могут сигнализировать о начале поломки или потенциальной хакерской атаке на инфраструктуру промышленной сети.
Для решения данной задачи и выявления скрытых угроз исследователи Южно-Уральского государственного университета разработали новый метод мониторинга промышленных сетей. Основой предложенного подхода стала нейросетевая модель, функционирование которой включает два этапа.
Сначала модель «изучает» нормальную работу объекта, анализируя данные всех датчиков в стандартном режиме и формируя карту типичных состояний. После завершения обучения модель переходит в режим мониторинга, непрерывно оценивая новые данные и сравнивая их с эталонной картиной.
Если текущие показатели значительно отклоняются от привычной нормы, например, давление в трубе резко падает без технологической причины, нейросеть немедленно уведомляет об аномалии как о потенциально опасной ситуации.
По словам ученых ЮУрГУ, эффективность созданной модели была подтверждена высокими показателями точности и скорости работы. В ходе испытаний система правильно классифицировала 94 процента данных. При этом время, необходимое для первоначального обучения модели на данных о штатной работе системы, составляет примерно 3,5 минуты.
«Ключевое преимущество нашего подхода — использование нейросети Кохонена, которая может работать с большими данными, когда показаний много, и они сложно связаны друг с другом. Классические алгоритмы зачастую не справляются с такими объемами и уровнем сложности», — отметил заведующий кафедрой «Защита информации» ЮУрГУ Александр Соколов.
В случае успешной атаки злоумышленник может подменить технологическую информацию в системе, что может привести к неправильной работе, объяснили авторы исследования. Они протестировали модель, смоделировав четыре типа атак на примере системы водоочистки. В первом случае нарушитель отправлял ложный сигнал на датчик уровня воды, заставляя систему полагать, что бак переполнен, в то время как его уровень был критически низким. Во втором случае на этапе химической очистки искажались данные датчика кислотности, и происходило вмешательство в работу насоса, подающего реагенты.
Третий сценарий представлял собой каскадную атаку с последовательным выводом из строя датчиков давления на различных стадиях очистки, что постепенно нарушало работу всей системы. Наиболее сложной стала четвертая атака, при которой одновременно искажались данные уровня воды, нарушалась работа насоса и изменялись параметры дозировки химикатов, что могло привести к полной остановке сооружений.
«Применяемая нами нейронная сеть находит скрытые закономерности и паттерны в поведении технологических данных без заранее заданных человеком правил», — прокомментировал Соколов.
Для обработки данных и реализации алгоритма ученые использовали язык программирования Python. Анализ проводился на реальном наборе данных, собранном с экспериментальной установки по очистке воды.
Специалисты ЮУрГУ отметили, что любую атаку можно отнести к определенному классу, для которого характерен свойственный только ему набор действий злоумышленника. По этой причине ученые планируют продолжать работу над повышением точности модели, а также над расширением ее функционала, позволяющего, например, определять тип обнаруживаемой атаки.
«Функционал модели может быть значительно расширен. Предположим, что она сможет обнаружить и предсказать конкретное поведение атакующего, представить это описание оператору информационной безопасности и предложить конкретный набор мер по нейтрализации возникшего инцидента», — заметил Соколов.
По его словам, существует вероятность, что это станет реальным функционалом решений по информационной безопасности в ближайшем будущем.
Исследования были выполнены в рамках проекта по гранту РНФ «Интеллектуальные методы обеспечения кибербезопасности промышленных сетей автоматизированных систем управления технологическими процессами предприятий».
Фото: hi-tech.mail.ru