Машинне навчання на сторожі промислових об'єктів

  1. Що потрібно для захисту операційних процесів
  2. Як це застосовується на практиці
  3. Переваги нашого методу
  4. демонстрація роботи

Специфіка інформаційного захисту промислових об'єктів полягає в тому, що будь-яка атака може порушити технологічний процес. Потенційно це може призвести до катастрофічних наслідків, і справа не завжди тільки в фінансових втратах. Тому для ефективного захисту об'єкта стежити доводиться як за інформаційними системами, так і за операційними процесами. Благо відповідний інструмент в нашому арсеналі є. Специфіка інформаційного захисту промислових об'єктів полягає в тому, що будь-яка атака може порушити технологічний процес

Сучасна автоматизована система управління технологічним процесом - це складна кібер-фізична система. У неї входять як IT-компоненти, що керують роботою агрегатів і вузлів, так і саме фізичне обладнання. Складність системи дає зловмисникам, які намагаються порушити її роботу, великий простір для діяльності. Вони можуть спробувати зайти через інформаційну інфраструктуру, впливати на контролери з цифрового середовища або просто фізично втрутитися в техпроцес. Взагалі, атаки на кібер-фізичну систему можуть бути набагато витонченішими звичайних кібератак.

Як бути з атаками через інформаційні системи, більш-менш зрозуміло. Досить ретельно стежити за інформаційними потоками між програмованими логічними контролерами і SCADA-системою. Але що якщо атакуючі втрутяться в сигнали, що йдуть від промислових датчиків до контролерів? Підмінять датчик? Знищать його? Ми розробили технологію на базі машинного навчання, яка здатна виявити і такий варіант атаки.

Що потрібно для захисту операційних процесів

Наша технологія називається MLAD - Machine Learning for Anomaly Detection. По суті, все необхідне для її роботи на промисловому об'єкті вже є. На кожному етапі технологічного процесу датчиків предостатньо. В середньому на сучасному підприємстві система АСУ ТП отримує величезні обсяги телеметричних даних. З різноманітних джерел надходять десятки тисяч різних тегів, з типовою частотою оновлення близько 10 разів на секунду. Часто інформація про роботу системи накопичується і зберігається роками. Ідеальні умови для застосування машинного навчання!

Справа в тому, що завдяки законам фізики всі технологічні сигнали в системі взаємопов'язані. Наприклад, якщо датчик на клапані повідомив, що він перекритий, то інші датчики повинні показати, що десь змінилося тиск, обсяг або температура. Тобто, всі показники корелюють між собою. Найменша зміна в технологічному процесі призведе до зміни показань безлічі датчиків. І система, навчена на даних при нормальній роботі підприємства, може ці кореляції відстежувати. Крім того, движок MLAD здатний до-навчатися, якщо стають доступні раніше не враховані дані по нормальній роботі. В результаті їй буде помітна будь-яка аномалія в техпроцессе.

Як це застосовується на практиці

Наше рішення Kaspersky Industrial CyberSecurity пильно стежить за технологічним трафіком за допомогою глибокої перевірки пакетів (DPI - deep packet inspection). Відповідно їй доступні дані з сенсорів і командам. Ці дані в режимі реального часу аналізуються системою MLAD (вже навченої на інформації про нормальну роботу техпроцесу), яка на їх основі будує прогноз нормального стану системи на невеликий час вперед (настроюється параметр, що залежить від частоти надходження даних від датчиків). Наше рішення Kaspersky Industrial CyberSecurity пильно стежить за технологічним трафіком за допомогою глибокої перевірки пакетів (DPI - deep packet inspection)

Прогноз в будь-якому випадку буде відрізнятися від того, що ми будемо спостерігати в реальності. Але тут головне питання - наскільки він буде відрізнятися. При навчанні система статистичними методами визначає граничне значення помилки прогнозу, вихід за яке буде вважатися аномалією.

По суті це технологія, інтегрована з Kaspersky Industrial CyberSecurity на рівні протоколів і вимагає на вході дані телеметрії, отримані за допомогою цього рішення. Однак, є можливість перемикання на джерела технологічних даних і від інших наших продуктів.

Переваги нашого методу

На відміну від експертної системи, яка працює на безлічі жорстко заданих правил, захисне рішення на базі алгоритмів машинного навчання має більшу гнучкість. Щоб експертна система могла працювати в різних умовах, її правила часто узагальнюють, що призводить до уповільнення спрацьовування протиаварійного захисту. Система на базі машинного навчання позбавлена ​​цього недоліку.

Гнучкість також важлива в тому випадку, якщо підприємству необхідно змінити сам технологічний процес. Завдяки машинного навчання це не призведе до необхідності перебудови системи захисту - досить просто перенавчити MLAD.

Та й взагалі, Kaspersky Industrial CyberSecurity працює з дубльованих трафіком, тобто безпосередньо в техпроцес не втручається.

демонстрація роботи

В інтернеті давно була викладена детальна математична модель хімічного індустріального процесу Tennessee Eastman. Її часто використовують для демонстрацій і відпрацювання моделей управління. На її основі ми змоделювали демонстраційний стенд, який дозволяє відтворювати сценарії атак на підприємство з підміною даних датчиків, команд і параметрів логіки управління, а головне, показувати роботу модуля MLAD на реалістичних індустріальних даних. Ви можете ознайомитися зі стендом на відео нижче.

Детальніше про Kaspersky Industrial CyberSecurity можна дізнатися на нашій сторінці про захист критичних інфраструктур .

Але що якщо атакуючі втрутяться в сигнали, що йдуть від промислових датчиків до контролерів?
Підмінять датчик?
Знищать його?

Новости