Ученые Санкт-Петербургского федерального исследовательского центра РАН (СПб ФИЦ РАН) разработали подход для выявления атак на сети промышленных предприятий и объектов критической инфраструктуры. Для этого они предложили преобразовать данные сетевого трафика в изображения, которые затем требуется проанализировать с помощью компьютерного зрения. Результаты исследования опубликованы в научном журнале «Информационно-управляющие системы».
Одной из значимых практических задач в области кибербезопасности является разработка методов обнаружения сетевых атак, способных адаптироваться к новым видам угроз и новым сценариям вредоносной активности в информационных системах. В частности, в последнее время увеличивается доля атак, дающих злоумышленникам возможность удаленного управления информационными системами.
Такие атаки особенно критичны для промышленных киберфизических систем, поскольку они не только могут привести к утечке конфиденциальной информации, но и к нарушению технологических процессов предприятия, приводящих к серьезным экономическим, социальным и экологическим последствиям. Например, это случилось в американском городе Олдсмар в 2021 году, где в результате атаки на водоочистные сооружения произошло опасное повышение уровня гидроксида натрия.
Для своевременного обнаружения атак, в рамках которых осуществляется извлечение конфиденциальных данных или подмена данных, критичных для управления технологическим процессом, ученые из СПб ФИЦ РАН разработали комплекс методик, отличающихся новым подходом к формированию анализируемых признаков.
«В настоящее время типичным подходом к выявлению сетевых атак является расчет статистических характеристик анализируемых сетевых потоков. Мы предлагаем с помощью систем компьютерного зрения как бы “заглянуть” внутрь сетевого потока путем построения его изображения в оттенках серого», – рассказывает старший научный сотрудник лаборатории проблем компьютерной безопасности СПб ФИЦ РАН Евгения Новикова, являющаяся основным исполнителем проекта, в рамках которого исследуются новые методы обнаружения сетевых атак на водоочистные сооружения.
В основе нового метода лежит преобразование количественных данных в изображение, каждый пиксель которого соответствует определенному оттенку серого. Затем с помощью системы компьютерного зрения ученые проводят анализ получившихся изображений. Эксперименты показали, что при взломе и обычной работе такие картинки имеют ряд признаков, по которым их можно однозначно отличить. Кроме того, предложенное решение позволяет значительно повысить скорость обнаружения атак по сравнению с традиционными подходами.
«Благодаря тому, что исследуемые входные данные для анализа формируются путем прямого преобразования в изображение, разработанные методики могут считаться независимыми от используемого сетевого протокола и быть применены для анализа сетевого трафика, передаваемого по любому сетевому протоколу, основанному на TCP/IP, в частности, по промышленному протоколу Modbus TCP», – считает руководитель проекта, главный научный сотрудник лаборатории проблем компьютерной безопасности СПб ФИЦ РАН Игорь Саенко.
Проект поддержан грантом РНФ (№ 23-11-20024).
Информация предоставлена СПб ФИЦ РАН
Источник фото: ru.123rf.com
