Диссертация (Обеспечение информационной безопасности киберфизических систем на основе принципа гомеостаза), страница 8
Описание файла
Файл "Диссертация" внутри архива находится в папке "Обеспечение информационной безопасности киберфизических систем на основе принципа гомеостаза". PDF-файл из архива "Обеспечение информационной безопасности киберфизических систем на основе принципа гомеостаза", который расположен в категории "". Всё это находится в предмете "технические науки" из Аспирантура и докторантура, которые можно найти в файловом архиве СПбПУ Петра Великого. Не смотря на прямую связь этого архива с СПбПУ Петра Великого, его также можно найти и в других разделах. , а ещё этот архив представляет собой кандидатскую диссертацию, поэтому ещё представлен в разделе всех диссертаций на соискание учёной степени кандидата технических наук.
Просмотр PDF-файла онлайн
Текст 8 страницы из PDF
К недостаткам такогоподхода можно отнести его длительное время работы применительно ккрупномасштабным КФС, поскольку анализировать данные от каждого изкомпонентов – вычислительно трудоемкая задача. Также следует отметить, чтоэкспериментальныерезультаты,проведенныеавторамиподхода,продемонстрировали, что большое число похожих между собой аномалий не былообнаружено – они были классифицированы как нормальные данные.В источнике [44] также рассматривается статистический подход кобнаружению аномалий, заключающийся в вычислении «локальной плотности»точек данных.
Подход рассматривается применительно к интеллектуальнойтранспортной системе и демонстрирует эффективность для КФС, в которыхконтролируемые данные от компонентов имеют суточные шаблоны поведения.При этом, статистический анализ также позволяет эффективно обнаруживатьаномалии.
Однако статистическая метрика, выбранная в данном подходе, не всегдабудетэффективной.Этодемонстрируютрезультатыэкспериментальныхисследований, проведенных авторами: некоторые аномалии классифицировать неудалось даже при изменении порога обнаружения.В работе [45] предлагается подход, целью которого является обнаружениедеструктивных воздействий на физическую составляющую КФС.
Для реализацииподходаавторамииспользуетсяцентрализованнаясхемауправления,оценивающая значения измерений напряжения от переключателей, оборудованных«умными» датчиками. Недостатком такого подхода является то, что он непринимает во внимание информационную составляющую КФС, а, следовательно,атаки перехвата и модификации данных, не характеризующиеся скачкаминапряжения, не будут им обнаружены.38Большинство современных работ сконцентрировано либо на анализеинформационной составляющей, либо физической составляющей. Но есть иисследования,посвященныеанализуифизической,иинформационнойсоставляющих КФС одновременно.
К таким работам следует отнести работу [46],авторы которой предлагают обнаруживать аномалии в работе КФС посредствомклассификации данных, передаваемых от конечных устройств к центральномусерверу. Классификация выполняется на основе сравнения данных с заранеесозданным на этапе обучения профилем нормального поведения, описаннымпосредством набора правил. Следует отметить, что для крупномасштабных КФСданный подход также будет неэффективным, поскольку для описания профилянормального поведения даже одного компонента системы требуется значительноечисло правил. В случае применения подобного подхода для систем с большимчислом компонентов потребуются значительные затраты памяти для храненияправил. Кроме того, операция сравнения интенсивно поступающих данных откомпонентов КФС с соответствующими профилями нормального поведенияпотребует еще и больших временных затрат. Следовательно, либо КФС должнавключать в свой состав сверхмощное оборудование, либо в связи с недостаточноймощностью, скорость обработки данных будет падать, вследствие чего будетповышен риск успешной реализации кибератак на систему.Авторы работы [47] также учитывают одновременно и физическую, иинформационную составляющую КФС, посредством использования механизмасигнальной темпоральной логики.
Подход заключается в выведении формул,описывающих нормальное поведение всей системы, с использованием обучения.Авторы продемонстрировали корректность предлагаемого ими подхода дляописания модели тормозной системы поезда. Данный подход ориентирован наобнаружение корректности протекания технологических процессов и недостаточноучитывает информационную составляющую системы. Он может быть эффективноприменен для простых КФС, спектр выполняемых функций которых невелик. Длясложных систем, реализующих большое число взаимосвязанных технологическихпроцессов, процесс обучения займет очень большое количество времени.39В источнике [48] авторы используют модель искусственной нейронной сетидля обнаружения аномалий. Предлагаемый подход заключается в поиске аномалийв физической составляющей КФС и одновременной оценке воздействия насистему.
Это позволяет объединить информацию от обеих составляющих КФС. Вдальнейшем, обнаруженные аномальные воздействия делятся на три типа:нормальное, подозрительное и злонамеренное воздействие. Однако, для крупныхпромышленных КФС данный подход не будет эффективен: он потребует большихвременных затрат в связи с необходимостью контроля оператором полученныхоценок и принятия решения на их основе.Известно, что в настоящее время отечественными разработчиками создаетсязащищенная операционная система для систем промышленного назначенияKasperskyOS«ЛабораторииКасперского»,предназначеннаядляавтоматизированных систем управления технологическим процессом (АСУ ТП),которые на данном этапе развития техники могут быть частично отнесены к КФС.Известны также зарубежные системы централизованного анализа параметровсложных информационных комплексов [49, 50].
Однако перечисленные разработкиявляютсяузконаправленными,ориентированныминаанализпараметровинформационных систем, и не решают проблему единовременного контролятехнологической и информационной безопасности. «Лабораторией Касперского»такжеразработанорешениеKasperskyIndustrialCyberSecurity(KICS),направленное на обеспечение безопасности энергетического сектора [51]. Решениевключает в себя компонент защиты конечных узлов сетевой инфраструктурыпромышленной системы (KICS for Nodes) и компонент мониторинга и регистрациисобытий сетевого обмена (KICS for Networks).
KICS for Nodes в большей мереориентирован на контроль доступа к конечным устройствам, а для обнаруженияпроблем безопасности он реализует сигнатурный и эвристический анализ. KICS forNetworks ориентирован на обнаружение проблем, связанных с выполнениемфизических процессов и на уведомление о сбоях в сети. Несмотря на то, чторешение KICS учитывает и информационную безопасность, и поддержаниекорректности работы системы, следует отметить, что реализуемых контроля40доступа и сигнатурного анализа недостаточно для точного обнаружения кибератак.При этом, данное решение не способно вносить изменения в конфигурациюсистемы с целью противодействия атакам и одновременного сохраненияработоспособности.Таким образом, можно сделать выводы, что в настоящее время в миреотсутствуют решения, направленные на обнаружение нарушений безопасности всложных системах, реализующих технологические и информационные процессы.1.4.2Исследования, посвященные выявлению современного ВПО,направленного на нарушение ИБ системы управления КФССуществует также значительное число исследований, посвященныхрешению проблемы обнаружения ВПО в сложных ИС, в том числе, на узлахсистемы управления КФС.
В настоящее время можно выделить четыре основныхнаправления в области обнаружения ВПО:1)контроль поведения программных объектов на основе графов;2)контроль значений параметров объектов;3)на основе обнаружения шаблонов.4)на основе энтропии;Исследованиями в области контроля поведения программных объектов наоснове графов занимаются ведущие университеты США (университеты КарнегиМеллон,Сан-Хосе,Нью-Мексико),Германии(университетМюнхена,Геттингенский университет). Наиболее перспективными являются работы [52-54].В работе [52] предлагается подход, основанный на представлении объектаинформационной среды в виде графа, вершинами которого являются инструкции,выполняемые в процессе деятельности объекта, а ребрами графа – вероятностиперехода к другой инструкции в зависимости от имеющихся данных и заданныхпараметров. Для обнаружения ВПО предложены две метрики, эффективностькоторых показана экспериментально.
Результаты работы свидетельствуют оперспективностииспользованиятеорииграфовприменительнокзадачеобнаружения ВПО в КФС. Однако, существенным недостатком предлагаемого41решенияявляетсяеготрудоемкость,поскольку количествоинструкций,выполняемых программой во время работы очень велико, в результате чего анализграфовой структуры требует значительного времени и невозможен в режиме,близком к реальному времени.В работе [53] каждая сущность (процесс, программа) характеризуетсяповеденческим графом, который содержит системные вызовы, собранные врезультате выполнения программы в изолированной среде. Предлагается метрикана основе максимального общего подграфа для классификации объектов навредоносные и легитимные.
Данный подход не может быть успешно применен всложных системах с большим количеством объектов, потому что не учитываетконтроля значений параметров объектов, а также не позволяет выявить атаки типа«system call injection». Кроме того, для объектов, имеющих графы большойразмерности вычисление предлагаемой метрики требует больших вычислительныхзатрат. Следовательно, для КФС данный подход не будет эффективным.В работе [54] авторы предлагают использование графов для характеристикивзаимодействий между различными системными сущностями (процессами,сокетами, файлами). Описаны эвристики, позволяющие обеспечить высокийуровень обнаружения вредоносных объектов. Однако, данный подход не позволяетидентифицировать вредоносные объекты, использующие малоизвестные илиновые методы для защиты от анализа средствами обнаружения ВПО, и оченьчувствителен к набору данных, используемых при обучении модели.
Это позволяетсделать вывод о том, что заявленная авторами эффективность метода в некоторыхслучаях может иметь более низкую оценку.Исследованиями в области контроля значений параметров объектовзанимаются ведущие университеты мира, в том числе: Массачусетскийтехнологический институт, Венский технический университет, Лейпцигскийуниверситет, университет Сонгюнгван (Южная Корея). Наибольший интереспредставляют работы [55-57].В работе [55] авторы предлагают инструмент, предназначенный дляобнаружения вредоносных объектов с помощью динамического анализа программ42и отслеживания значений выбранных параметров. В частности, исследуютсяизменения, проводимые с реестром ОС Windows, загруженные библиотеки,созданные процессы, сетевые соединения и др.
В результате работы генерируетсяотчет о деятельности анализируемого объекта. Однако, данный подход неосуществляет управление информационной безопасностью системы и не содержитмодуля, отвечающего за принятие решений о степени вредоносности того илииного объекта. В сложных, многоуровневых системах, таких как КФС, необходимокомплексное решение, позволяющее автоматизировать процесс обнаружения ВПО,поэтому предлагаемый в работе подход в данном случае не может быть применен.В работе [56] предложен подход, основанный на контроле взаимодействийобъекта с операционной системой. В результате исследования предоставляетсяотчет, содержащий общую информацию об объекте, в том числе файловыеоперации, операции с реестром, взаимодействие с сервисами, данные о созданныхво время работы процессах, информация о сетевом взаимодействии.
Однако, врезультате тестирования было выявлено, что предлагаемое решение способноанализировать далеко не все возможные пути исполнения объекта, что, в своюочередь, не позволяет получить подробную информацию об общем поведенииобъекта и сделать вывод о его вредоносности.В публикации [57] представлен подход, направленный на обнаружениевредоносного программного обеспечения, функционирующего на уровне ядраоперационной системы.
