Система и способ выявления аномалий в технологической системе Российский патент 2021 года по МПК G06F21/55 G06F11/22 H04L29/08 

Описание патента на изобретение RU2750629C2

Область техники

Изобретение относится к решениям для повышения информационной безопасности технологической системы, а более конкретно к системам и способам выявления аномалий в технологической системе.

Уровень техники

Одной из актуальных проблем промышленной безопасности является проблема безопасного протекания технологических процессов (ТП). К основным угрозам для функционирования ТП можно отнести непреднамеренные ошибки или злонамеренные действия в операционном управлении, износ и отказ оборудования и агрегатов, компьютерные атаки на системы управления и информационную систему и др.

Автоматизированные системы управления (АСУ) на предприятиях управляют технологическими системами и также нуждаются в обеспечении необходимого уровня безопасности. Элементы технологических систем, а также операционные системы и прошивки, управляющие упомянутыми элементами, зачастую устаревают. Частое обновление операционных систем и прошивок также невозможно, ибо приводит к прерываниям в технологических процессах. Кроме того, новые версии программ также могут содержать ошибки, которые негативно сказываются на стабильности функционирования элементов технологических систем. Кроме того, существующие устаревшие, спроектированные быть изолированными, АСУ зачастую подключаются к компьютерным сетям и не имеют средств для обеспечения информационной безопасности при вредоносном воздействии извне.

В технологических системах распространенной проблемой является необходимость использования устаревшего оборудования, работающего по незащищенным или уязвимым протоколам передачи информации. Это связано с тем, что срок службы оборудования в таких системах составляет годы или даже десятилетия - в течение этого срока протоколы передачи информации успевают устареть, в них обнаруживаются уязвимости. Поскольку замена уже работающего оборудования является сложным и дорогим процессом (а иногда и невозможным), зачастую проблемы безопасности остаются нерешенными, соответственно в системах управления технологическими системами появляются уязвимости. Типичная сеть управления технологическими системами включает элементы различных типов. Важными элементами являются управляющие компьютеры (серверы и клиентские станции SCADA) и программируемые логические контроллеры (ПЛК), обеспечивающие непосредственное управление оборудованием (например, исполнительными механизмами). Программное обеспечение SCADA достаточно просто обновить, при этом обновление прошивки ПЛК требует участия производителя оборудования и зачастую является чрезвычайно сложно разрешимой проблемой. В такой ситуации у злоумышленников появляется возможность влиять на работу ПЛК, что может привести к серьезным последствиям (например, к выходу контролируемого оборудования из строя, нарушениям технологического процесса в технологической системе в целом - вплоть до катастрофических последствий).

Для решения упомянутых проблем используется подход, реализованный программным обеспечением KICS for Networks «Лаборатории Касперского», в котором происходит анализ трафика внутри сети передачи данных в технологической системе с целью выявления в нем аномалий. Такой подход требует большого количества априорной информации о работе ПЛК (знание различных протоколов и значений параметров, используемых ПЛК), а выявление аномалий в трафике для сложных систем может приводить к ошибкам обнаружения вредоносной активности как первого, так и второго родов.

Существуют и другие решения, направленные на обеспечение информационной безопасности технологических систем предприятия. Одним из примеров является технология, предложенная в публикации US 20140189860, которая описывает способ обнаружения компьютерных атак на технологическую систему путем обнаружения отклонений функционирования системы от нормы, где для обнаружения отклонений используются различные методы.

В рамках настоящего изобретения предлагается подход, который требует минимальных априорных знаний о работе ПЛК и позволяет гарантированно обнаруживать попытки несанкционированного вмешательства в их работу, что повышает защищенность технологической системы. В описанном ниже решении защищенное взаимодействие компонентов SCADA с ПЛК и применение безопасного соединения (например, с использованием средств криптографической защиты) позволяют гарантировано обнаруживать аномалии (и, вероятно, вредоносные воздействия, которые не являются частью ТП и зачастую направлены на нарушение протекания ТП) в сети передачи данных без проведения накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому (англ. Deep Packet Inspection, DPI), даже в случае, если некоторые элементы технологической системы в сети передачи данных работают по незащищенным протоколам передачи данных. При этом обеспечение защищенного взаимодействия компонентов SCADA с ПЛК возможно даже без модификации ПО SCADA за счет использования технологий виртуализации.

Сущность изобретения

Настоящее изобретение предназначено для выявления аномалий в технологической системе.

Технический результат настоящего изобретения заключается в реализации заявленного назначения.

Согласно одному из вариантов реализации предоставляется способ выявления аномалий в технологической системе, состоящий из этапов, на которых: с помощью средства дублирования перехватывают по меньшей мере один исходящий пакет данных, адресованный элементу технологической системы; по безопасному соединению передают средством дублирования средству контроля информацию об упомянутом перехваченном исходящем пакете данных; с помощью средства контроля перехватывают по меньшей мере один входящий пакет данных, адресованный упомянутому элементу технологической системы; с помощью средства контроля выявляют аномалию в технологической системе в случае, если перехваченный входящий пакет данных не соответствует упомянутой информации, полученной от средства дублирования.

Согласно другому частному варианту реализации предлагается способ, в котором средство дублирования представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы.

Согласно еще одному частному варианту реализации предлагается способ, в котором элемент технологической системы представляет собой компонент SCADA.

Согласно еще одному частному варианту реализации предлагается способ, в котором элемент технологической системы представляет собой программируемый логический контроллер.

Согласно еще одному частному варианту реализации предлагается способ, в котором средство контроля представляет собой элемент технологической системы.

Согласно еще одному частному варианту реализации предлагается способ, в котором средство контроля представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы.

Согласно еще одному частному варианту реализации предлагается способ, в котором средство контроля расположено в той же сети передачи данных, в которой находится элемент технологической системы, которому адресован перехваченный пакет данных.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1а схематично изображает пример технологической системы.

Фиг. 1б схематично изображает частный пример имплементации технологической системы.

Фиг. 2 отображает пример реализации предлагаемой системы выявления аномалий в технологической системе.

Фиг. 3 отображает пример реализации предлагаемого способа выявления аномалий в технологической системе.

Фиг. 4 показывает пример компьютерной системы общего назначения, которая позволяет реализовать настоящее изобретение.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.

Введем ряд определений и понятий, которые будут использоваться при описании вариантов осуществления изобретения.

Объект управления - технологический объект, на который направляются внешние воздействия (управляющие и/или возмущающие) с целью изменения его состояния, в частном случае такими объектами являются устройство (например, электродвигатель) или технологический процесс.

Технологический процесс (ТП) - процесс материального производства, заключающийся в последовательной смене состояний материальной сущности (предмета труда).

Управление технологическим процессом (англ. Process Control) - набор методов, используемых для управления технологическими параметрами при производстве конечного продукта.

Технологический параметр (англ. Process Variable, PV) - текущее измеренное значение определенной части ТП, который наблюдается или контролируется. Технологическим параметром может быть, например, измерение датчика.

Внешнее воздействие - способ изменения состояния элемента, на который направлено воздействие (например, элемента ТС), в определенном направлении, при этом воздействие от элемента ТС к другому элементу ТС передается в виде сигнала.

Состояние объекта управления - совокупность его существенных свойств, выраженных параметрами состояний, изменяемых или удерживаемых под влиянием внешних воздействий, в том числе и управляющих воздействий со стороны подсистемы управления.

Параметр состояния - одно или несколько числовых значений характеризующих существенное свойство объекта, в частном случае параметр состояния является числовым значением физической величины.

Формальное состояние объекта управления - состояние объекта управления, соответствующее технологической карте и другой технологической документации (если речь идет о ТП) или расписанию движения (если речь идет об устройстве).

Управляющее воздействие - целенаправленное (цель воздействия - воздействие на состояние объекта) легитимное (предусмотренное ТП) внешнее воздействие со стороны субъектов управления подсистемы управления на объект управления, приводящее к изменению состояния объекта управления или удержанию состояния объекта управления.

Возмущающее воздействие - целенаправленное или нецеленаправленное нелегитимное (непредусмотренное ТП) внешнее воздействие на состояние объекта управления, в том числе и со стороны субъекта управления.

Аномалия - возникновение возмущающего воздействия в технологической системе.

Субъект управления - устройство, которое направляет управляющее воздействие на объект управления или передает управляющее воздействие другому субъекту управления для преобразования перед непосредственным направлением на объект.

Многоуровневая подсистема управления - совокупность субъектов управления, включающая несколько уровней.

Кибер-физическая система (англ. cyber-physical system) - информационно-технологическая концепция, подразумевающая интеграцию вычислительных ресурсов в физические процессы. В такой системе датчики, оборудование и информационные системы соединены на протяжении всей цепочки создания стоимости, выходящей за рамки одного предприятия или бизнеса. Эти системы взаимодействуют друг с другом с помощью стандартных протоколов для прогнозирования, обратной связи и адаптации к изменениям. Примерами кибер-физической системы является технологическая система, промышленный интернет вещей.

Интернет вещей (англ. Internet of Things, IoT) - вычислительная сеть физических предметов («вещей»), оснащенных встроенными технологиями для взаимодействия друг с другом или с внешней средой. Интернет вещей включает такие технологии, как носимые устройства, электронные системы транспортных средств, умные автомобили, умные города, промышленные системы и пр.

Промышленный Интернет вещей (англ. Industrial Internet of Things, IIoT) - это подкатегория Интернета вещей, который также включает приложения, ориентированные на потребителя, например, носимые устройства, технологии «умного дома» и автомобили с автоматическим управлением. Отличительной чертой обеих концепций являются устройства со встроенными датчиками, станки и инфраструктура, которые передают данные через Интернет и управляются с помощью программного обеспечения.

Технологическая система (ТС) - функционально взаимосвязанная совокупность субъектов управления многоуровневой подсистемы управления и объекта управления (ТП или устройство), реализующая через изменение состояний субъектов управления изменение состояния объекта управления. Структуру технологической системы образуют основные элементы технологической системы (взаимосвязанные субъекты управления многоуровневой подсистемы управления и объект управления), а также связи между этими элементами. В том случае, когда объектом управления в технологической системе является технологический процесс, конечной целью управления является: через изменение состояния объекта управления изменить состояние предмета труда (сырья, заготовки и т.д.). В том случае, когда объектом управления в технологической системе является устройство, конечной целью управления является изменение состояния устройства (транспортное средство, космический объект). Функциональная взаимосвязь элементов ТС подразумевает взаимосвязь состояний этих элементов. При этом непосредственной физической связи между элементами может и не быть, например, физическая связь между исполнительными механизмами и технологической операцией отсутствует, но, например, скорость резания функционально связана с частотой вращения шпинделя, несмотря на то, что физически эти параметры состояний не связаны.

Состояние субъекта управления - совокупность его существенных свойств, выраженных параметрами состояний, изменяемых или удерживаемых под влиянием внешних воздействий.

Существенными свойствами (соответственно и существенными параметрами состояния) субъекта управления являются свойства, оказывающие непосредственное влияние на существенные свойства состояния объекта управления. При этом существенными свойствами объекта управления являются свойства, оказывающие непосредственное влияние на контролируемые факторы (точность, безопасность, эффективность) функционирования ТС. Например, соответствие режимов резания формально заданным режимам, движение поезда в соответствии с расписанием, удержание температуры реактора в допустимых границах. В зависимости от контролируемых факторов выбираются параметры состояния объекта управления и соответственно связанные с ними параметры состояний субъектов управления, оказывающих управляющее воздействие на объект управления.

Гипервизор (монитор виртуальных машин) - программа, создающая среду функционирования других программ (в том числе других гипервизоров) за счет имитации аппаратных средств вычислительной техники, управления данными средствами и гостевыми операционными системами, функционирующими в данной среде.

Под средствами системы анализа файла на вредоносность в виртуальной машине в настоящем изобретении понимаются реальные устройства, системы, элементы, группы элементов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемые вентильные матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips) Функциональность указанных средств системы может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности средств системы реализована программными средствами, а часть аппаратными. В некоторых вариантах реализации часть средств, или все средства, могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 4). При этом элементы (каждое из средств) системы могут быть реализованы в рамках как одного вычислительного устройства, так и разнесены между несколькими, связанными между собой вычислительными устройствами.

На Фиг. 1а схематично изображен пример технологической системы 100, которая включает в себя элементы 105 и 110, где элементы ТС: объект управления 105; субъекты управления 110, образующие многоуровневую подсистему управления 120; горизонтальные связи 130а и вертикальные связи 130б. Субъекты управления 110 сгруппированы по уровням 140.

На Фиг. 1б схематично изображен частный пример имплементации технологической системы 100'. Объектом управления 105' является ТП или устройство, на объект управления 105' направляются управляющие воздействия, которые вырабатываются и реализуются автоматизированной системой управления (АСУ) 120', в АСУ различают три уровня 140', состоящих из субъектов управления 110, взаимосвязанных между собой как по горизонтали горизонтальными связями (связи внутри уровня, на фигуре не указаны), так и по вертикали вертикальные связи 130б' (связи между уровнями). Взаимосвязи являются функциональными, т.е. в общем случае изменение состояния субъекта управления 110 на одном уровне вызывает изменение состояний связанных с ним субъектов управления 110 на этом уровне и других уровнях. Информация об изменении состояния субъекта управления передается в виде сигнала по горизонтальным и вертикальным связям, установленным между субъектами управления, т.е. информация об изменении состояния рассматриваемого субъекта управления является внешним воздействием по отношению к другим субъектам управления 110. Уровни 140' в АСУ 120' выделяют в соответствии с назначением субъектов управления 110. Количество уровней может варьироваться. Для физической связи элементов ТС (105, 110) и подсистем ТС 100 используются проводные сети, беспроводные сети, интегральные микросхемы, для логической связи между элементами ТС (105, 110) и подсистемами ТС 100 используются Ethernet, промышленный Ethernet, промышленные сети. При этом промышленные сети и протоколы используются различных типов и стандартов: Profibus, FIP, ControlNet, Interbus-S, DeviceNet, P-NET, WorldFIP, LongWork, Modbus и др.

Верхний уровень (уровень supervisory control and data acquisition, SCADA) - это уровень диспетчерско-операторского управления, включает в себя, по меньшей мере, следующие субъекты управления 110': контроллеры, управляющие компьютеры, человеко-машинные интерфейсы (англ. human-machine interface, HMI) (на Фиг. 1б изображены в рамках одного субъекта управления SCADA). Уровень предназначен для отслеживания состояний элементов ТС (105', 110'), получения и накопления информации о состоянии элементов ТС (105', 110') и при необходимости их корректировки.

Средний уровень (уровень CONTROL) - это уровень контроллеров, включает по меньшей мере следующие субъекты управления: программируемые логические контроллеры (ПЛК, англ. programmable Logic Controller, PLC), счетчики, реле, регуляторы. Субъекты управления 110'' типа «PLC» получают информацию с субъектов управления типа «контрольно-измерительное оборудование» и субъектов управления 110''' типа «датчики» о состоянии объекта управления 105'. Субъекты управления типа «PLC» вырабатывают (создают) управляющее воздействие в соответствии с запрограммированным алгоритмом управления на субъекты управления типа «исполнительные механизмы». Исполнительные механизмы его непосредственно реализуют (применяют к объекту управления) на нижнем уровне. Исполнительный механизм (англ. actuator) - часть исполнительного устройства (оборудования).

Нижний уровень (уровень Input/Output) - это уровень таких субъектов управления как: датчики и сенсоры (англ. sensors), контрольно-измерительные приборы (КИП), контролирующие состояние объекта управления 105', а также исполнительные механизмы. Исполнительные механизмы непосредственно воздействуют на состояние объекта управления 105', для приведения его в соответствие с формальным состоянием, т.е. состоянием, соответствующим технологическому заданию, технологической карте или другой технологической документации (если речь идет о ТП) или расписанию движения (если речь идет об устройстве). На этом уровне осуществляется согласование сигналов от субъектов управления 110''' типа «датчики» с входами субъектов управления среднего уровня, и согласование вырабатываемых субъектами управления 110'' типа «PLC» управляющих воздействий с субъектами управления 110''' типа «исполнительные механизмы», которые их реализуют. Исполнительный механизм - это часть исполнительного устройства. Исполнительное устройство осуществляет перемещение регулирующего органа в соответствии с сигналами, поступающими от регулятора или управляющего устройства. Исполнительные устройства являются последним звеном цепи автоматического управления и в общем случае состоят из блоков:

- устройства усиления (контактор, частотный преобразователь, усилитель, и т.п.);

- исполнительного механизма (электро-, пневмо-, гидропривод) с элементами обратной связи (датчики положения выходного вала, сигнализации конечных положений, ручного привода и т.п.);

- регулирующего органа (вентили, клапаны, заслонки, шиберы и т.п.).

В зависимости от условий применения исполнительные устройства конструктивно могут различаться между собой. К основным блокам исполнительных устройств обычно относят исполнительные механизмы и регулирующие органы.

В частном примере исполнительное устройство в целом называют исполнительным механизмом.

Перечисленные субъекты управления (110', 110'', 110''') различных уровней являются элементами технологической системы (далее по тексту - элементы ТС).

На Фиг. 2 отображает структуру системы выявления аномалий в технологической системе.

В общем случае элементы ТС верхнего уровня 110' (компьютеры, на которые установлены компоненты SCADA или инженерные терминалы), объединены в отдельную защищенную сеть передачи данных известными из уровня техники системами и способами. Кроме того, элементы ТС верхнего уровня 110' посылают элементам ТС среднего уровня 110'' (в общем случае, программируемым логическим контроллерам) пакеты данных (например, содержащие команды технологических процессов и параметры команд). В силу того, что технологические процессы рассчитаны на десятки лет, элементы ТС среднего уровня 110'' в общем случае менее защищены и зачастую устаревают, то есть работают с использованием устаревших незащищенных протоколов передачи данных, а также имеют известные уязвимости. Предполагается, что IP-адреса элементов ТС среднего уровня 110'' (например, ПЛК) известны. Злоумышленнику, для того чтобы вмешаться в работу ПЛК, требуется посылать информационные пакеты по IP-адресу ПЛК. Таким образом задача, решаемая настоящим изобретением, сводится к определению того, какие пакеты являются «доверенными», а какие «недоверенными». В общем случае доверенный пакет данных - это пакет данных, отправленный одним элементом ТС, например, элементом ТС верхнего уровня 110', другому элементу ТС, например, элементу ТС среднего уровня 110''. В рамках настоящего изобретения допустимо считать, что пакеты данных, исходящие из упомянутой защищенной сети передачи данных - доверенные. Доверенные пакеты должны быть доставлены элементам ТС среднего уровня 110''.

В общем случае система содержит по меньшей мере одно средство дублирования 210 и по меньшей мере одно средство контроля 220.

Средство дублирования 210 в общем случае представляет собой защищенную операционную систему с поддержкой функции гипервизора, и предназначено для установки на элемент ТС (в частном случае, на элемент ТС верхнего уровня 110'). Защищенная операционная система с поддержкой функции гипервизора позволяет запускать в виртуальном окружении существующие операционные системы и приложения элементов ТС верхнего уровня 110'. За счет использования технологии виртуализации становится возможным добавление новых свойств для компонентов систем SCADA, функционирующих на элементах ТС верхнего уровня 110', без модификации программного обеспечения SCADA-приложений.

В общем случае средство дублирования 210, установленное на элемент ТС верхнего уровня 110', перехватывает исходящие пакеты данных, которые исходят от приложений, выполняющихся в гостевой операционной системе, запущенной в виртуальном окружении, и от самой гостевой операционной системы, и адресованы другим элементам ТС (например, элементам среднего уровня 110''). Перехват пакетов данных в общем случае возможен с использованием известных из уровня техники способов виртуализации. В одном из вариантов реализации средство дублирования также определяет IP-адрес элемента ТС среднего уровня 110'', которому направлен исходящий пакет данных.

Каждое средство дублирования 210 устанавливает безопасные соединения (отображены для одного средства дублирования 210 на Фиг. 2) со всеми средствами контроля 220, существующими в сети передачи данных, и передает средствам контроля 220 информацию о каждом исходящем пакете данных, который был перехвачен. Информация может содержать как сам перехваченный исходящий пакет данных в исходном или преобразованном виде (например, после шифрования или упаковки), так и его контрольную сумму (например, MD5 или CRC), а также дополнительные сведения, полученные средством дублирования 210 в результате перехвата исходящего пакета данных. В одном из вариантов реализации средство дублирования 210 использует известные криптографические методы защиты при передаче данных средствам контроля 220. В еще одном из вариантов реализации на уровне гипервизора обеспечена возможность дополнительного преобразования или шифрования средством дублирования 210 перехваченных исходящих пакетов с данными.

В одном из вариантов реализации, если был определен адрес IP-адрес элемента ТС среднего уровня 110'', которому направлен исходящий пакет данных, средство дублирования 210 по безопасному соединению передает информацию о перехваченных исходящих пакетах средствам контроля 220, которые находятся в одной сети (или подсети) передачи данных с элементом ТС среднего уровня 110'', которому направлен исходящий пакет данных.

В одном из вариантов реализации исходящий пакет данных, который был перехвачен средством дублирования 210, не отправляется далее в сеть передачи данных, а остается в памяти гипервизора. При этом, после получения подтверждения от средства контроля 220 о получении информации о перехваченном пакете данных, средство дублирования 210 отправляет перехваченный исходящий пакет данных, который хранится в памяти гипервизора, в сеть передачи данных в его первоначальном неизмененном виде. В другом варианте реализации, например, когда недопустимы задержки при передаче пакетов данных (работа ТС в реальном времени), перехваченный исходящий пакет отправляется средством дублирования 210 в сеть передачи данных сразу, одновременно с информацией, переданной по безопасному соединению средству контроля 220.

Современные АСУ как правило могут иметь несколько компонентов систем SCADA, функционирующих на элементах ТС верхнего уровня 110', расположенных в разных сетях передачи данных. В этом примере реализации каждая такая сеть содержит средство дублирования 210, которое выполняет вышеописанные действия по перехвату исходящий пакетов данных и передаче информации о них средствам контроля 220.

Средство контроля 220 в общем случае исполняется на элементе ТС 110. В одном из вариантов реализации средство контроля 220 исполняется на элементе ТС верхнего уровня 110'. В другом варианте реализации средство контроля 220 исполняется на элементе ТС среднего уровня 110''. В одном из вариантов реализации средство контроля 220 топологически расположено в сети передачи данных так, что перехватывает все пакеты данных, адресованные элементам ТС 110. В одном из вариантов реализации средство контроля 220 функционирует (исполняется) на существующем элементе ТС 110, например, на элементе ТС среднего уровня 110'' или элементе ТС верхнего уровня 110', при этом средство контроля 220 является исполняемым приложением или сервисом. В еще одном из вариантов реализации средство контроля 220 представляет собой защищенную операционную систему с поддержкой функции гипервизора и предназначенную для установки на элемент ТС среднего уровня 110''. В другом варианте реализации средство контроля 220 устанавливается на дополнительный элемент ТС среднего уровня 110'', который предназначен только для функционирования средства контроля 220.

Как было описано выше средство контроля 220 получает по безопасному соединению информацию о перехваченных исходящих пакетах от средств дублирования 210. После получения информации о перехваченных исходящих пакетах средство контроля 220 передает подтверждение средствам дублирования 210 о получении указанной информации. Кроме того, средство контроля 220 перехватывает входящие пакеты данных, которые адресованы элементам ТС среднего уровня 110'' по сети передачи данных. Перехват входящих пакетов данных в общем случае возможен с использованием известных из уровня техники способов виртуализации. В еще одном из вариантов реализации перехват возможен без использования способов виртуализации, например, используя сокет (англ. socket), открытый в режиме необработанных (или обработанных в минимальной степени) данных (англ. RAW mode).

В общем случае, средство контроля 220 сравнивает информацию о перехваченных исходящих пакетах, полученную от средств дублирования 210 по безопасному соединению с перехваченными входящими пакетами, которые адресованы элементам ТС среднего уровня 110'' по сети передачи данных.

В варианте реализации, когда перехваченные исходящие пакеты данных отправляются в сеть передачи данных средствами дублирования 210 одновременно с информацией о перехваченных исходящих пакетах данных по безопасному соединению, средство контроля 220 сравнивает полученную информацию с перехваченными входящими пакетами данных за интервал времени (например, 1с). Если перехвачен входящий пакет данных, информация о котором не была получена от средств дублирования 210 в течение упомянутого интервала, средство контроля 220 выявляет аномалию в технологической системе.

В варианте реализации, когда перехваченные исходящие пакеты данных отправляются в сеть передачи данных средствами дублирования 210 после получения подтверждения от средства контроля 220 получения информации о перехваченных исходящих пакетах данных по безопасному соединению, средство контроля 220 сравнивает перехваченные входящие пакеты с полученной информацией. Если перехвачен входящий пакет данных, информация о котором не была получена от средств дублирования 210, средство контроля 220 выявляет аномалию в технологической системе.

Информация о выявленной аномалии может быть передана средством контроля 220 компонентам систем SCADA, функционирующим на элементах ТС верхнего уровня 110', для информирования и дальнейшего принятия мер по устранению выявленной аномалии в технологической системе.

В одном из вариантов реализации, если средство контроля 220 размещено в сети передачи данных топологически последовательно с элементом ТС среднего уровня 110'' и перед элементом ТС среднего уровня 110'', в случае выявления аномалии в технологической системе средство контроля 220 не передает перехваченный входящий пакет данных далее в сеть передачи данных, таким образом противодействуя возможным последствиям возникшей аномалии в технологической системе. Элемент ТС среднего уровня 110'' в данном примере реализации не получает перехваченный входящий пакет данных, что предупреждает возмущающее воздействие на элемент ТС среднего уровня 110''.

В еще одном из вариантов реализации, средство контроля 220 может быть размещено в сети передачи данных на том же элементе ТС среднего уровня 110'', которому адресован перехваченный входящий пакет данных. В этом случае средство контроля 220 так же, как описано выше, противодействует возможным последствиям возникшей аномалии в технологической системе.

Пример применения описанного изобретения описан ниже. Есть здание, которое оборудовано автоматизированной системой доступа в помещения, спортивным залом, бассейном, имеет по меньшей мере систему вентиляции и систему пожаротушения. АСУ и компоненты SCADA расположены в сети передачи данных здания в защищенном окружении (либо в защищенной подсети), однако обмениваются с программируемыми логическими контроллерами, управляющими перечисленными системами, посредством упомянутой сети передачи данных. Кроме того, к этой же сети передачи данных могут получать доступ работники здания и посетители. Подобные сети передачи данных существуют на практике достаточно часто, так как строятся без должного учета информационной безопасности при проектировании или с экономией материальных затрат.

Очевидно, что третьи лица могут отправлять в сеть пакеты данных, которые исходят не от компонентов SCADA и могут быть получены программируемыми логическими контроллерами, что является аномалией в рамках настоящего изобретения.

Таким образом, установка упомянутых средств системы, описанной в настоящем изобретении, позволяет предупреждать об упомянутых аномалиях. Так, средства дублирования 210, установленные на компонентах SCADA, перехватывают исходящие пакеты данных и передают их средствам контроля 220. Таким образом средства контроля 220 перехватывают и сравнивают все входящие пакеты данных, адресованные программируемым логическим контроллерам, что позволяет выявить аномалию (в случае, если пакет данных был отправлен в сеть передачи данных, например, не с компонента SCADA) и в одном из вариантов реализации (в случае блокирования входящего пакета данных) противодействует ей.

Фиг. 3 показывает пример реализации предлагаемого способа выявления аномалий в технологической системе.

На начальном этапе 310 с помощью средства дублирования 210, запущенного на элементе ТС верхнего уровня 110', перехватывают по меньшей мере один исходящий пакет данных, адресованный элементу технологической системы среднего уровня 110''. В одном из вариантов реализации средство дублирования 210 представляет собой защищенную операционную систему с поддержкой функции гипервизора. В еще одном из вариантов реализации элемент ТС верхнего уровня 110' представляет собой компонент SCADA. Перехват пакетов данных в общем случае возможен с использованием известных из уровня техники способов виртуализации.

Далее на этапе 320 по безопасному соединению передают средством дублирования 210 средству контроля 220, запущенному на элементе ТС среднего уровня 110'', информацию об упомянутом перехваченном пакете данных. Средство дублирования 210 устанавливает безопасное соединение со всеми средствами контроля 220, существующими в сети передачи данных, и передает средствам контроля 220 информацию о каждом исходящем пакете данных, который был перехвачен. В одном из вариантов реализации средство контроля 220 представляет собой защищенную операционную систему. В еще одном из вариантов реализации средство контроля 220 расположено в той же сети передачи данных, в которой находится элемент ТС среднего уровня 110'', которому адресован перехваченный пакет данных. Средство контроля 220 в общем случае представляет собой защищенную операционную систему с поддержкой функции гипервизора и предназначенную для установки на элемент ТС среднего уровня 110''.

Далее, на этапе 330, с помощью средства контроля 220 перехватывают по меньшей мере один входящий пакет данных. Перехват входящих пакетов данных в общем случае возможен с использованием известных из уровня техники способов виртуализации.

Далее, на этапе 340, с помощью средства контроля 220 выявляют аномалию в технологической системе в случае, если перехваченный входящий пакет данных не соответствует упомянутой информации, полученной от средства дублирования 210. Для выявления соответствия средство контроля 220 сравнивает информацию о перехваченных исходящих пакетах, полученную от средств дублирования 210 по безопасному соединению с перехваченными входящими пакетами, которые адресованы элементам ТС среднего уровня 110'' по сети передачи данных. В противном случае, если аномалия не выявлена (перехвачен входящий пакет данных, информация о котором была получена от средств дублирования 210), происходит возврат на этап 330.

В одном из вариантов реализации в случае, если выявлена аномалия, работа способа продолжается, происходит возврат на этап 330.

В еще одном из вариантов реализации на этапе 350 информация о выявленной аномалии может быть передана средством контроля 220 компонентам систем SCADA, функционирующим на элементах ТС верхнего уровня 110', для информирования и дальнейшего принятия мер по устранению возможных последствий выявленной аномалии в технологической системе.

Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные элементы, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Похожие патенты RU2750629C2

название год авторы номер документа
Система и способ противодействия аномалиям в технологической системе 2019
  • Шадрин Александр Викторович
  • Дякин Павел Владимирович
  • Кулагин Дмитрий Александрович
RU2747461C2
Система и способ поэтапного повышения информационной безопасности элементов технологической системы 2019
  • Духвалов Андрей Петрович
  • Дякин Павел Владимирович
  • Кулагин Дмитрий Александрович
RU2728504C1
Система и способ контроля доступа к кибер-физической системе 2019
  • Зорин Сергей Геннадиевич
  • Шадрин Александр Викторович
RU2726884C1
Система и способ обнаружений аномалий в технологической системе 2016
  • Гордейчик Сергей Владимирович
  • Лаврентьев Андрей Борисович
  • Духвалов Андрей Петрович
RU2625051C1
Способ определения аномалии в киберфизической системе 2022
  • Лаврентьев Андрей Борисович
  • Мамаев Максим Александрович
  • Воронцов Артем Михайлович
  • Нечипорук Артем Михайлович
  • Травов Александр Викторович
  • Шкулев Вячеслав Игоревич
  • Иванов Дмитрий Александрович
  • Демидов Николай Николаевич
RU2790331C1
Система и способ определения устройств компьютерной сети с использованием правил инвентаризации 2019
  • Чистяков Александр Сергеевич
  • Романенко Алексей Михайлович
RU2746101C2
Система и способ обнаружения ошибок моделирования 2016
  • Гордейчик Сергей Владимирович
  • Лаврентьев Андрей Борисович
  • Духвалов Андрей Петрович
RU2634455C2
Система и способ корреляции событий для выявления инцидента информационной безопасности 2019
  • Люкшин Иван Станиславович
  • Кирюхин Андрей Александрович
  • Лукиян Дмитрий Сергеевич
  • Филонов Павел Владимирович
RU2739864C1
Система и способ выявления аномалий в киберфизической системе 2022
  • Лаврентьев Андрей Борисович
  • Воронцов Артем Михайлович
  • Нечипорук Артем Михайлович
  • Шкулев Вячеслав Игоревич
  • Травов Александр Викторович
  • Иванов Дмитрий Александрович
  • Демидов Николай Николаевич
  • Мамаев Максим Александрович
RU2800740C1
Способ диагностики и мониторинга аномалий в кибер-физической системе 2021
  • Лаврентьев Андрей Борисович
  • Шкулев Вячеслав Игоревич
  • Травов Александр Викторович
  • Воронцов Артем Михайлович
  • Нечипорук Артем Михайлович
  • Мамаев Максим Александрович
  • Иванов Дмитрий Александрович
  • Демидов Николай Николаевич
RU2784981C1

Иллюстрации к изобретению RU 2 750 629 C2

Реферат патента 2021 года Система и способ выявления аномалий в технологической системе

Изобретение относится к решениям для повышения информационной безопасности технологической системы и предназначено для выявления аномалий в технологической системе. Технический результат настоящего изобретения заключается в повышении защищенности технологической системы. Технический результат достигается путем использования способа, в котором: с помощью средства дублирования перехватывают по меньшей мере один исходящий пакет данных, адресованный элементу технологической системы, при этом средство дублирования представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы; по безопасному соединению передают средством дублирования средству контроля информацию об упомянутом перехваченном пакете данных; с помощью средства контроля перехватывают по меньшей мере один входящий пакет данных, адресованный элементу технологической системы, при этом средство контроля представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы; с помощью средства контроля выявляют аномалию в технологической системе в случае, если перехваченный входящий пакет данных не соответствует упомянутой информации, полученной от средства дублирования. 3 з.п. ф-лы, 4 ил.

Формула изобретения RU 2 750 629 C2

1. Способ выявления аномалий в технологической системе, состоящий из этапов, на которых:

а) с помощью средства дублирования перехватывают по меньшей мере один исходящий пакет данных, адресованный элементу технологической системы, при этом средство дублирования представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы;

б) по безопасному соединению передают средством дублирования средству контроля информацию об упомянутом перехваченном пакете данных;

в) с помощью средства контроля перехватывают по меньшей мере один входящий пакет данных, адресованный элементу технологической системы, при этом средство контроля представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы;

г) с помощью средства контроля выявляют аномалию в технологической системе в случае, если перехваченный входящий пакет данных не соответствует упомянутой информации, полученной от средства дублирования.

2. Способ по п. 1, в котором элемент технологической системы представляет собой компонент SCADA.

3. Способ по п. 1, в котором элемент технологической системы представляет собой программируемый логический контроллер.

4. Способ по п. 1, в котором средство контроля расположено в той же сети передачи данных, в которой находится элемент технологической системы, которому адресован перехваченный пакет данных.

Документы, цитированные в отчете о поиске Патент 2021 года RU2750629C2

Станок для придания концам круглых радиаторных трубок шестигранного сечения 1924
  • Гаркин В.А.
SU2019A1
Автомобиль-сани, движущиеся на полозьях посредством устанавливающихся по высоте колес с шинами 1924
  • Ф.А. Клейн
SU2017A1
Многоступенчатая активно-реактивная турбина 1924
  • Ф. Лезель
SU2013A1
Способ получения цианистых соединений 1924
  • Климов Б.К.
SU2018A1
СЕРВЕР И СПОСОБ ДЛЯ ОПРЕДЕЛЕНИЯ ВРЕДОНОСНЫХ ФАЙЛОВ В СЕТЕВОМ ТРАФИКЕ 2018
  • Кислицин Никита Игоревич
  • Андреев Николай Николаевич
RU2680736C1

RU 2 750 629 C2

Авторы

Шадрин Александр Викторович

Дякин Павел Владимирович

Кулагин Дмитрий Александрович

Даты

2021-06-30Публикация

2019-07-17Подача