СПОСОБ ОБНАРУЖЕНИЯ СКРЫТЫХ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ В ТЕХНИЧЕСКИХ СРЕДСТВАХ ПРИЕМА, ОБРАБОТКИ, ХРАНЕНИЯ И ПЕРЕДАЧИ ИНФОРМАЦИИ Российский патент 2021 года по МПК G01R29/08 

Изобретение относится к средствам радиомониторинга электронного оборудования и может быть использовано с целью обнаружения закладок, использующих скрытые каналы утечки информации (с накоплением информации за определенный период времени и ее последующей передачей в назначенное время или при получении внешней команды; с использованием широкополосных сигналов с энергией сигнала, распределенной в широкой полосе частот, без ярко выраженного превышения над шумами; с применением шумоподобных сигналов со специальными алгоритмами кодирования; с использованием специальных узкополосных сигналов внутри спектра легальных широкополосных сигналов; с выбором частоты излучения вблизи частот с сильными источниками легальных сигналов; с использованием стандартных каналов связи (GSM, CDMA, WiFi, BlueTooth) и др.). Дополнительный эффект - получение возможности оценки технического состояния ТСПИ.

Известен способ обнаружения и идентификации скрытых электронных установок и устройство для его осуществления (патент РФ №2150120, класс G01R 29/08, заявленный 09.11.1999) Способ-аналог заключается в том, что анализу подвергают побочное излучение вспомогательных генераторов электронной установки, при этом скрытую установленную электронную установку обнаруживают, анализируя излучаемый ею в окружающее пространство радиочастотный сигнал, который принимают, усиливают и разделяют на спектральные составляющие, сравнивают полученные спектральные составляющие с частотами из априорно определенных частотных спектров побочных генераторных излучений известных электронных установок (например, радиомикрофонов и видеокамер) и по результатам сравнения идентифицируют скрытую электронную установку.

Общие признаки:

- регистрация излучаемых электромагнитных сигналов в заданном диапазоне частот и их усиление;

- выделение спектральных составляющих из регистрируемых электромагнитных сигналов;

- сравнение выделенных спектральных составляющих со спектральными составляющими известных скрытых электронных установок (закладок), на основании чего идентифицируют тип закладного устройства.

Способ имеет следующие недостатки. Во-первых, невысокую вероятность обнаружения закладок в связи с не учетом возможности наличия в помещении санкционировано работающих ТСПИ и излучения ими электромагнитных сигналов, частоты работы которых могут совпадать с частотами работы закладок, что исключает обнаружение последних. Кроме того, закладки могут присутствовать в самих работающих ТСПИ и маскироваться излучаемыми сигналами ТСПИ, так что сравнение регистрируемых сигналов с сигналами известных закладок может не привести к желаемому результату.

Известен способ обнаружения не санкционированно установленных электронных устройств с обучением (патент РФ №2653576, класс G01R 23/16, G01S 3/00, заявленный 11.05.2018). Способ-аналог заключается в том, что задают диапазон частот (от F_min до F_max), последовательно принимают электромагнитные сигналы, измеряют спектральные характеристики известных сигналов (несущие частоты ƒ₁, ƒ₂, … ƒ_m и амплитуды на этих частотах U₁, U₂, … Um), запоминают их, при этом дополнительно вводят идентификатор результата обработки сигналов и формируют базу данных всех принятых и поименованных сигналах в заданном диапазоне частот за определенный период времени. На основе сопоставления характеристик измеренных сигналов и сигналов, извлеченных из базы данных, в соответствии с определенным алгоритмом (проверяют выполнение условия ) присваивают соответствующий идентификатор результата обработки сигналов и делают вывод о наличии не санкционированно установленного электронного устройства.

Общие признаки:

- априорное формирование базы данных спектральных составляющих электромагнитных сигналов санкционировано установленного электронного устройства;

- регистрация излучаемых электромагнитных сигналов в заданном диапазоне частот;

- выделение спектральных составляющих из регистрируемых электромагнитных сигналов;

- сравнение спектральных составляющих зарегистрированных электромагнитных сигналов со спектральными составляющими электромагнитных сигналов, хранящихся в сформированной ранее базе данных спектральных составляющих электромагнитных сигналов санкционировано установленного электронного устройства;

- формирование вывода о наличии закладки (в случае несовпадения сравниваемых спектральных составляющих зарегистрированных электромагнитных сигналов со спектральными составляющими электромагнитных сигналов, хранящихся в сформированной ранее базе данных спектральных составляющих электромагнитных сигналов санкционировано установленного электронного устройства) или ее отсутствии (в случае совпадения).

Способ имеет следующие недостатки. Во-первых, невысокую вероятность обнаружения закладок в связи с невозможностью выявления закладок, установленных в санкционировано работающие в исследуемом помещении электронные устройства на этапе производства и сборки радиоэлектронных комплектующих, из которых эти электронные устройства состоят, а также в связи с не учетом возможного изменения в процессе эксплуатации частот, излучаемых санкционировано установленных электронных устройств. Кроме того, недостатком является невозможность идентификации типа закладки при обнаружении факта ее наличия.

Наиболее близким к предлагаемому способу является «Способ обнаружения и идентификации не санкционирование установленных на объекте электронных устройств», по патенту РФ №2309416, класс G01R 29/08, заявленный 19.06.06. Способ-прототип заключается в том, что предварительно формируют базу данных о спектральных составляющих побочных генераторных излучений известных не санкционирование установленных на объекте электронных устройств, которая в дальнейшем обеспечивает идентификацию типа обнаруженных несанкционированных установленных на объекте электронных устройств. Также формируют базу данных о спектральных составляющих радиоизлучений, санкционировано установленных на объекте электронных устройств и расписании их работы. Затем анализируют в заданном частотном диапазоне (от F_min до F_max) все электромагнитные сигналы от электронных устройств на объекте, для чего принимают эти сигналы, измеряют параметры (несущие частоты ƒ₁, ƒ₂, … ƒ_m и амплитуды на этих частотах U₁, U₂, … U_m), усиливают их и выделяют их спектральные составляющие, превышающие заданный пороговый амплитудный уровень. Выделенные спектральные составляющие сравнивают с предварительно сформированными данными о спектральных составляющих санкционировано установленных на объекте электронных устройств и несанкционированно установленных на объекте электронных устройств. По результатам сравнения делают вывод о наличии на объекте несанкционированно установленных на объекте электронных устройств и идентифицируют их.

Общие признаки:

- предварительное формирование базы данных о спектральных составляющих известных закладок;

- предварительное формирование базы данных о спектральных составляющих ТСПИ;

- задание порогового амплитудного уровня;

- регистрация электромагнитных сигналов от всех электронных устройств с усилением и выделением их спектральных составляющих превышающих заданный пороговый уровень;

- сравнение спектральных составляющих зарегистрированных электромагнитных сигналов со спектральными составляющими известных закладок и ТСПИ;

- формирование вывода о наличии (отсутствии) закладки;

- идентификация типа закладного устройства.

Способ-прототип имеет недостаток, заключающийся в невозможности выявления закладок, внедренных в ТСПИ до начала эксплуатации (на этапах производства радиоэлектронных комплектующих и сборки из них ТСПИ, а также в связи с отсутствием учета возможного изменения электромагнитных сигналов, работающего ТСПИ в процессе эксплуатации (например, из-за старения радиоэлектронных комплектующих).

Технический результат предлагаемого способа заключается в повышении вероятности обнаружения закладок, использующих скрытые каналы утечки информации, в ТСПИ. Дополнительный результат состоит в получении возможности оценки текущего технического состояния ТСПИ.

Технический результат достигается тем, что в заявляемом способе обнаружение закладок, использующих скрытые каналы утечки информации, осуществляется не только на этапе эксплуатации ТСПИ, но и на этапе подготовки радиоэлектронных комплектующих к сборке ТСПИ, а также на этапе сборки ТСПИ.

На этапе подготовки радиоэлектронных комплектующих к сборке ТСПИ осуществляется проверка радиоэлектронных комплектующих, которые входят в состав ТСПИ и имеют возможность подключения к цепям питания отдельно от всего изделия, на наличие закладок, использующих скрытые каналы утечки информации.

Проверка каждого комплектующего состоит в следующем:

- на комплектующее подают питание, обеспечивающее выход комплектующего на рабочий режим;

- регистрируют излучаемые комплектующим электромагнитные сигналы и выделяют их спектральные составляющие;

- сравнивают спектральные составляющие зарегистрированных электромагнитных сигналов со спектральными составляющими эталонных электромагнитных сигналов, которые должно излучать комплектующее, в котором заведомо нет закладок;

- делают вывод об отсутствии закладок и о возможности использования данного комплектующего для сборки ТСПИ.

Спектральные составляющие эталонных электромагнитных сигналов для каждого типа комплектующих, в которых заведомо нет закладок, формируются на заводе-изготовителе посредством регистрации и статистической обработки электромагнитных излучений эталонной партии комплектующих под контролем сторонней специализированной организации, имеющей право выносить решение о наличии или отсутствии закладки. По результатам контроля к документации поставляемых комплектующих прилагаются спектральные составляющие эталонных электромагнитных сигналов на электронном носителе и соответствующий сертификат.

На этапе сборки ТСПИ проводится проверка функциональных узлов ТСПИ, собранных из нескольких проверяемых радиоэлектронных комплектующих (в том числе поступаемых от разных заводов-изготовителей), а также сборок из нескольких функциональных узлов ТСПИ, к которым можно подвести питание и вывести их на рабочий режим. Необходимость проверки функциональных узлов (их сборок) ТСПИ объясняется возможностью присутствия в отдельном комплектующем лишь части закладки, которая может быть выявлена только при анализе работы функциональных узлов (их сборок). Такая проверка осуществляется на заводе-сборщике (заводе, осуществляющем сборку ТСПИ) также под контролем вышеупомянутой специализированной организации, в процессе которого формируются спектральные составляющие эталонных электромагнитных сигналов каждого функционального узла (их сборок) ТСПИ. Факт отсутствия закладок в функциональных узлах (их сборках) оформляется соответствующим сертификатом с приложением, как и в случае отдельных комплектующих, спектральных составляющих эталонных электромагнитных сигналов каждого функционального узла (их сборки из функциональных узлов) на электронном носителе.

После сборки ТСПИ из успешно прошедших проверку радиоэлектронных комплектующих и функциональных узлов (их сборок) на заводе-сборщике проводится регистрация эталонных электромагнитных сигналов ТСПИ на всех режимах работы в различных точках пространства вокруг собранного ТСПИ с последующим выделением спектральных составляющих, амплитуды которых превышают априорно заданные пороговые значения. Полученные эталонные спектральные составляющие заносятся в электронную базу данных данного ТСПИ и используется в дальнейшем для выявления закладок на этапе эксплуатации.

На этапе эксплуатации ТСПИ могут появиться закладки, использующие скрытые каналы утечки информации, вследствие действий злоумышленника (например, внедрение вредоносного программного обеспечения, скрытная установка закладки в эксплуатируемый ТСПИ, внедрение закладки в линии питания эксплуатируемого ТСПИ, скрытное размещение устройства вокруг ТСПИ для регистрации излучаемых ТСПИ электромагнитных сигналов и др.). Для их обнаружения осуществляется постоянный (что предпочтительней) или периодический радиомониторинг. В процессе радиомониторинга выявляют отклонения амплитуд спектральных составляющих регистрируемых электромагнитных сигналов работающего ТСПИ от его эталонных значений, величина которых свидетельствует о присутствии или отсутствии закладки. Очевидно, что несанкционированные излучения в месте установки неработающего ТСПИ, также свидетельствуют о наличии закладки.

Для идентификации закладки предварительно формируют эталонную базу данных о спектральных составляющих радиоизлучений известных закладок, а также эталонную базу данных о спектральных составляющих ТСПИ одновременно работающего с внедренными закладками различных типов. Эти эталонные базы могут формировать сторонние специализированные организации, предоставляя их для использования организациям, эксплуатирующим ТСПИ. После выявления отклонений осуществляют сравнение полученных спектральных составляющих с эталонными спектральными составляющими (в случае неработающего ТСПИ - со спектральными составляющими известных закладок, в случае работающего ТСПИ - со спектральными составляющими ТСПИ одновременно работающего с внедренными закладками различных типов). При этом учитывается расписание работы ТСПИ. Тем самым осуществляется выявление факта наличия закладки и идентификация ее типа в случае как работающего, так и не работающего ТСПИ.

Сравнение зарегистрированных спектральных составляющих электромагнитных сигналов с эталонными спектральными составляющими может осуществляться посредством применения распознающих возможностей современных искусственных нейронных сетей глубокого обучения.

Учитывая возможное изменение электромагнитных сигналов ТСПИ в процессе эксплуатации (например, вследствие старения радиоэлектронных элементов) эталонные спектральные составляющие электромагнитных сигналов эксплуатируемого ТСПИ, в котором нет закладок, периодически обновляются (периодичность обновления зависит от состава ТСПИ и для каждого типа ТСПИ определяется экспериментально). Периодическое обновление эталонных спектральных составляющих электромагнитных сигналов эксплуатируемого ТСПИ позволяет на основе получаемых данных более точно выявлять наличие закладных устройств.

Кроме того, наличие периодически обновляемых эталонных спектральных составляющих электромагнитных сигналов ТСПИ позволяет на основе получаемого временного ряда решать задачу текущего диагностирования технического состоянии ТСПИ (по аналогии, например, с диагностированием специалистом или искусственным интеллектом состояния работающего двигателя автомобиля по его звучанию) и прогнозировать его оставшийся ресурс работы.

Вышеописанный способ обнаружения скрытых каналов утечки информации в технических средствах приема, обработки, хранения и передачи информации проиллюстрирован на блок-схеме (Фиг. 1)

Изобретение относится к средствам радиомониторинга электронного оборудования и может быть использовано с целью обнаружения закладок (в частности аппаратных, программных, акустических, телефонных и др.), использующих скрытые каналы утечки информации, в технических средствах приема, обработки, хранения и передачи информации (ТСПИ). Технический результат: повышение вероятности обнаружения закладок, использующих скрытые каналы утечки информации, в ТСПИ, возможность оценки текущего технического состояния ТСПИ. Сущность: предварительно формируют базу данных о спектральных составляющих излучаемых эталонных электромагнитных сигналов ТСПИ и расписании его работы, а также базу данных о спектральных составляющих излучаемых эталонных электромагнитных сигналов известных закладок, задают пороговые уровни по амплитуде спектральных составляющих. В процессе эксплуатации регистрируют электромагнитные сигналы, усиливают их и выделяют спектральные составляющие, превышающие заданные пороговые уровни. Сравнивают выделенные спектральные составляющие с предварительно сформированными данными спектральных составляющих ТСПИ и расписанием его работы, а также со спектральными составляющими эталонных электромагнитных сигналов от закладок. Делают вывод о наличии или отсутствии закладки и ее типе. При этом на этапе подготовки радиоэлектронных комплектующих к сборке ТСПИ осуществляют проверку радиоэлектронных комплектующих, которые входят в состав ТСПИ и имеют возможность подключения к цепям питания отдельно от всего изделия, на наличие закладок, использующих скрытые каналы утечки информации. Для этого на комплектующее подают питание, обеспечивающее выход комплектующего на рабочий режим, регистрируют излучаемые комплектующим электромагнитные сигналы, выделяют их спектральные составляющие, сравнивают спектральные составляющие зарегистрированных электромагнитных сигналов со спектральными составляющими эталонных электромагнитных сигналов, которые должно излучать комплектующее, в котором заведомо нет закладок, делают вывод об отсутствии закладок и о возможности использования данного комплектующего для сборки ТСПИ. На этапе сборки ТСПИ проводится проверка функциональных узлов ТСПИ, собранных из нескольких проверяемых радиоэлектронных комплектующих, а также сборок из нескольких функциональных узлов ТСПИ. Для этого на функциональные узлы (их сборки) ТСПИ подводят питание и выводят на рабочий режим, регистрируют излучаемые функциональными узлами (их сборками) электромагнитные сигналы, выделяют их спектральные составляющие, сравнивают спектральные составляющие зарегистрированных электромагнитных сигналов со спектральными составляющими эталонных электромагнитных сигналов, которые должны излучать функциональные узлы (их сборки), в которых заведомо нет закладок, делают вывод об отсутствии закладок и о возможности использования данных функциональных узлов (их сборок) для сборки ТСПИ. После сборки ТСПИ из радиоэлектронных комплектующих и функциональных узлов (их сборок), прошедших проверку на отсутствие закладок, использующих скрытые каналы утечки информации, проводится регистрация в качестве эталонных спектральных составляющих электромагнитных сигналов ТСПИ на всех режимах работы в различных точках пространства вокруг собранного ТСПИ с последующим выделением их спектральных составляющих и их записью в электронную базу данных данного ТСПИ. На этапе эксплуатации ТСПИ периодически обновляют данные о спектральных составляющих эталонных электромагнитных сигналов ТСПИ на всех режимах работы в различных точках пространства вокруг эксплуатируемого ТСПИ, а также данные о спектральных составляющих эталонных электромагнитных сигналов известных на момент обновления закладок. 1 ил.

Способ обнаружения скрытых каналов утечки информации в ТСПИ, заключающийся в том, что предварительно формируют базу данных о спектральных составляющих излучаемых эталонных электромагнитных сигналов ТСПИ и расписании его работы, а также базу данных о спектральных составляющих излучаемых эталонных электромагнитных сигналов известных закладок, задают пороговые уровни по амплитуде спектральных составляющих, в процессе эксплуатации регистрируют электромагнитные сигналы, усиливают их и выделяют спектральные составляющие, превышающие заданные пороговые уровни, сравнивают выделенные спектральные составляющие с предварительно сформированными данными спектральных составляющих ТСПИ и расписанием его работы, а также с спектральными составляющими эталонных электромагнитных сигналов от закладок, делают вывод о наличии или отсутствии закладки и ее типе, отличающийся тем, что на этапе подготовки радиоэлектронных комплектующих к сборке ТСПИ осуществляется проверка радиоэлектронных комплектующих, которые входят в состав ТСПИ и имеют возможность подключения к цепям питания отдельно от всего изделия, на наличие закладок, использующих скрытые каналы утечки информации, для чего на комплектующее подают питание, обеспечивающее выход комплектующего на рабочий режим, регистрируют излучаемые комплектующим электромагнитные сигналы, выделяют их спектральные составляющие, сравнивают спектральные составляющие зарегистрированных электромагнитных сигналов со спектральными составляющими эталонных электромагнитных сигналов, которые должно излучать комплектующее, в котором заведомо нет закладок, делают вывод об отсутствии закладок и о возможности использования данного комплектующего для сборки ТСПИ; на этапе сборки ТСПИ проводится проверка функциональных узлов ТСПИ, собранных из нескольких проверяемых радиоэлектронных комплектующих, а также сборок из нескольких функциональных узлов ТСПИ, для чего на функциональные узлы ТСПИ и их сборки подводят питание и выводят на рабочий режим, регистрируют излучаемые функциональными узлами и их сборками электромагнитные сигналы, выделяют их спектральные составляющие, сравнивают спектральные составляющие зарегистрированных электромагнитных сигналов со спектральными составляющими эталонных электромагнитных сигналов, которые должны излучать функциональные узлы и их сборки, в которых заведомо нет закладок, делают вывод об отсутствии закладок и о возможности использования данных функциональных узлов и их сборок для сборки ТСПИ; после сборки ТСПИ из радиоэлектронных комплектующих, функциональных узлов и их сборок, прошедших проверку на отсутствие закладок, использующих скрытые каналы утечки информации, проводится регистрация в качестве эталонных спектральных составляющих электромагнитных сигналов ТСПИ на всех режимах работы в различных точках пространства вокруг собранного ТСПИ с последующим выделением их спектральных составляющих и их записью в электронную базу данных данного ТСПИ; на этапе эксплуатации ТСПИ периодически обновляют данные о спектральных составляющих эталонных электромагнитных сигналов ТСПИ на всех режимах работы в различных точках пространства вокруг эксплуатируемого ТСПИ, а также данные о спектральных составляющих эталонных электромагнитных сигналов, известных на момент обновления закладок.