Журнал "Information Security/ Информационная безопасность" #6, 2018

Используя преимущества машинного обучения, "Лабо- ратория Касперского" раз- работала технологию Machine Learning for Anomaly Detection (MLAD), повышаю- щую эффективность обнару- жения атак на ОТ-инфра- структуру. Алгоритм работы MLAD функционирует на основе нейронной сети, архитекту- ра которой подстраивается под защищаемый промыш- ленный объект. Использова- ние взаимосвязи в сигналах технологического трафика позволяет системе обучать нейронную сеть различать поведение сигналов в нор- мальном режиме работы. После обучения система способна предсказывать показатели технологическо- го процесса на некоторое время вперед и сравнивать их с наблюдаемыми значе- ниями в режиме реального времени. В том случае, если величина ошибки предска- зания больше, чем статисти- чески определенный на этапе обучения порог, систе- ма фиксирует аномалию и формирует предупреждаю- щее событие. Современная система АСУ ТП – киберфизи- ческая система, соеди- няющая ИT-инфраструктуру и операционные процессы (Ope- rational Technologies), или OT- инфраструктуру. Главная зада- ча АСУ ТП заключается в обес- печении непрерывности ОТ- процессов, т.к. компрометация промышленных сетей может стать причиной необратимых повреждений оборудования и привести к простоям в про- изводстве. Результатом атаки на промышленное предприятие или ошибки персонала может стать остановка или нарушение работы АСУ ТП. Кроме того, если причиной сбоя в ОТ была кибератака, то предприятие, как правило, несет серьезные имиджевые и финансовые поте- ри. В связи с этим помимо уси- ленной защиты цифровой среды (ИT) АСУ ТП необходимо охранять их ключевую состав- ляющую – OT. Атаки на ОT представляют наибольшую опасность для про- мышленных объектов и их инфраструктуры. Более того, многие атаки на цифровую среду нередко нацелены на поражение OT-инфраструктуры. Хакеры подменяют значения цифровых данных сенсоров и команд, устраивают DDoS-атаки и т.д. Они также используют уязвимости в цифровой среде киберфизической системы и с ее помощью атакуют процессы ОТ. Машинное обучение – наиболее эффективный способ защиты ОТ Преимущество машинного обучения состоит в том, что оно позволяет решать практи- ческие задачи не через явное программирование, а посред- ством обучения по данным телеметрии производственных процессов. В отличие от экс- пертной системы, функциони- рующей на базе целого ряда жестко заданных правил, системы на основе машинного обучения постоянно адапти- руются и совершенствуются и, как следствие, гораздо более гибки в своей работе. Условия эксплуатации, входные мате- риалы и производственные задачи предприятия часто меняются, но машинное обуче- ние способно подстраиваться под эти изменения. К особенностям сигналов телеметрии АСУ ТП относятся: l огромное количество сигна- лов – как правило, около десят- ка тысяч различных тегов; l частое обновление тегов – до 10 раз в секунду; l большая история, которая может накапливаться годами; l сильная "зашумленность" данных; l корреляция различных сиг- налов. Последний пункт особенно важен для подхода, основан- ного на принципах машинного обучения. Между сигналами, включающими данные сенсо- ров, команд и параметров логики управления, существу- ет тесная корреляция. Подоб- ных связей сигналов на круп- ном промышленном объекте огромное множество. Их нали- чие ведет к тому, что атака на какую-либо часть сигналов или на звенья АСУ ТП неми- нуемо воздействует на другие технологические сигналы. Машинное обучение может "выучить" эту взаимосвязь и в результате вовремя распозна- вать подобные изменения. Технологии на базе машин- ного обучения собирают и ана- лизируют данные сенсоров, актуаторов и уставок и выявляют отклонения техно- логических процессов от нор- мальных показателей. Анома- лии могут включать изменения амплитуды какого-то сигнала, периода, фазы синхронизации 14 • СПЕЦПРОЕКТ Как машинное обучение помогает защитить АСУ ТП настоящее время использование искусственного интеллекта на предприятиях становится все более востребованным, что спо- собствует развитию дальнейших разработок в этой сфере. Внедрение методов машинного обучения особенно актуально для обеспечения качественно нового уровня защиты автомати- зированных систем управления технологическими процессами (АСУ ТП). На данный момент в России уже появились про- грессивные разработки на основе алгоритмов машинного обучения, позволяющие обеспечить более надежную защиту АСУ ТП. В В феврале 2018 г. система MLAD была запущена в пилотную эксплуатацию на предприятии нефтеперерабатывающей отрасли России в АО "ТАНЕКО", входящем в Группу "Татнефть". Для этого была построена нейросетевая модель по данным телеметрии 2017 г. от наиболее сложного и важного участка предприятия – ЭЛОУ-АВТ-7, включающего электрообессоливающую установку, куда поступает сырая нефть, печи, атмосферные и вакуумные колонны, где происходит разделение нефтепродуктов по фракциям. За период с апреля 2017-го по май 2018 г. обнаружены различные типы аномалий: отклонения технологического процесса, связанные с периодами смены режимов; переводы контуров управления в ручной режим; ситуации, обусловленные некорректными показаниями датчиков. В результате благодаря внедрению системы специалисты по информационной безопасности и по технологическим процессам обладают инструментом для автоматического раннего оповещения об опасных ситуациях, обнаружения аномалий и их интерпретации. Андрей Лаврентьев, руководитель отдела развития технологий “Лаборатории Касперского”