RU2737229C1 - Способ защиты систем управления транспортных средств от вторжений - Google Patents

Способ защиты систем управления транспортных средств от вторжений Download PDF

Info

Publication number
RU2737229C1
RU2737229C1 RU2019137876A RU2019137876A RU2737229C1 RU 2737229 C1 RU2737229 C1 RU 2737229C1 RU 2019137876 A RU2019137876 A RU 2019137876A RU 2019137876 A RU2019137876 A RU 2019137876A RU 2737229 C1 RU2737229 C1 RU 2737229C1
Authority
RU
Russia
Prior art keywords
traffic
data
vehicle control
network
control systems
Prior art date
Application number
RU2019137876A
Other languages
English (en)
Inventor
Дмитрий Михайлович Михайлов
Артем Дмитриевич Долгих
Алексей Сергеевич Проничкин
Сергей Валерьевич Багров
Владимир Александрович Педанов
Original Assignee
Общество с ограниченной ответственностью "ПОСЕЙДОН"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "ПОСЕЙДОН" filed Critical Общество с ограниченной ответственностью "ПОСЕЙДОН"
Priority to RU2019137876A priority Critical patent/RU2737229C1/ru
Priority to PCT/RU2020/050348 priority patent/WO2021107822A1/ru
Application granted granted Critical
Publication of RU2737229C1 publication Critical patent/RU2737229C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Настоящее изобретение относится к области информационной безопасности и может быть использовано для анализа и выявления аномалий в поведении трафика внутри информационных сетей передачи данных систем управления транспортных средств. Технический результат заключается в нивелировании фактов несанкционированного доступа к информационной шине систем управления транспортного средства. Такой результат достигается за счет способа защиты систем управления транспортных средств от вторжений, характеризуемого тем, что проводят идентификацию всех узлов/устройств в информационных системах управления, собирают и анализируют трафик информационных сетей передачи данных внутри системы управления транспортными средствами, а затем с использованием метода машинного обучения, проводят определение нормального состояния трафика системы, а также выявление аномальных изменений состояния трафика по сравнению с нормальным, при этом используемая система выполнена с возможностью только информировать пользователя о состоянии трафика и с возможностью блокирования аномального трафика, при этом для выявления аномального поведения трафика анализ сетевого трафика проводят по статическим характеристикам и динамическим характеристикам. 2 з.п. ф-лы, 7 ил.

Description

Настоящее изобретение относится к области информационных технологий, в частности, к информационной безопасности, и может быть использовано для анализа и выявление аномалий в поведении трафика внутри информационных сетей передачи данных систем управления транспортных средств.
Здесь и далее под транспортным средством следует понимать любой вид транспортного средства (судоходное, наземное, подземное, подводное и т.д.) в котором присутствует система управления.
Разработанный способ может быть использован как совместно с системами IPS/IDS (т.е. быть составной частью), так и отдельно. Он основан на моделях Extreme Learning Machines.
В современном мире число кибератак на системы управления, в том числе транспортных средств, увеличивается с каждым годом. Количество атак, а также различных вредоносных программ увеличивается в геометрической прогрессии. По этой причине важно разработать и использовать более совершенные системы для обнаружения вторжений в систему управления транспортных средств. Данное обстоятельство способствует увеличению скорости реакции и эффективность обработки инцидентов, что в свою очередь на прямую влияет на увеличение отказоустойчивости таковых систем.
Известен (RU, патент 2583703, опубл. 10.05.2016) способ характеризации злоумышленной активности злоумышленника в системе интеллектуальной сети инженерного обслуживания, исполняемый компьютером, имеющим по меньшей мере один процессор и по меньшей мере одно запоминающее устройство, содержащий этапы, на которых: принимают от системы интеллектуальной сети, с помощью указанного по меньшей мере одного процессора, данные информационной техники (IT), включающие в себя относящуюся к IT активность принимают, с использованием указанного по меньшей мере одного процессора, данные, не относящиеся к IT данным и включающие в себя данные о событии, относящемся к определенному местоположению, от множества электронных источников, данные аналоговых измерений в сети, содержащие данные измерений фазового вектора, и список целей с соответствующими им географическими местоположениями; выполняют предварительную обработку, с использованием указанного по меньшей мере одного процессора, не относящихся к IT данных, включающую в себя подэтап, на котором: игнорируют не относящиеся к IT данные, не удовлетворяющие заданному уровню соответствия одному из множества связанных с риском событий; применяют, с использованием указанного, по меньшей мере, одного процессора, множество правил к предварительно обработанным не относящимся к IT данным, при этом указанный этап применения содержит подэтапы, на которых: ассоциируют нежелательное событие с относящейся к IT активностью; определяют вероятность того, что нежелательное событие указывает на злоумышленную деятельность, при этом подэтап определения содержит сопоставление заданного критерия с не относящимися к IT данными для генерирования одного из множества уровней вероятности в виде суммы: произведения вероятности возникновения преднамеренной злоумышленной атаки и вероятности существования уязвимости, используемой при указанной преднамеренной злоумышленной атаке; и произведения вероятности возникновения непредвиденного отказа и вероятности существования уязвимости, ассоциированной с указанным непредвиденным отказом, при этом указанная преднамеренная злоумышленная атака и указанный непредвиденный отказ содержат взаимно независимые события; и применяют к нежелательному событию, с помощью указанного по меньшей мере одного процессора, характеризацию риска на основе указанного уровня вероятности и относящейся к IT активности.
Недостатками известного способа можно признать то, что, с одной стороны, он с глубокой степенью детализации характеризует структуру системы, которая предназначена для обеспечения информационной безопасности (кибербезопасности); с другой стороны, охарактеризован конкретный вариант ее использования для ICS выработки и распределения электроэнергии. Присутствуют расчеты вероятностных характеристик для определения веса внутренних компонентов системы при решении задач обеспечения кибербезопасности.
Известны также (US, патент 9881165, опубл. 30.01.2010) система и способ для обеспечения защиты электронных систем транспортных средств. В состав данной системы входит устройство. Данное устройство устанавливают между информационной шиной и электронным блоком управления (ЭБУ). В состав устройства входят следующие функциональные блоки: блок приема сообщений (мониторинг сообщений между шиной и электронным блоком управления ЭБУ), блок анализа сообщений (определение факта несанкционированных команд, на основании установленных правил), блок передачи сообщений (пересылка правомерных команд в электронный блок управления ЭБУ).
Данная система представляет собой устройство, которое предназначено для реализации некоторых функций аппаратного Firewall. Данному техническому решению присущи следующие недостатки:
- факт несанкционированного воздействия может быть определен только в момент выставления команд;
- требует от производителя постоянных работ по усовершенствованию алгоритмов и встроенного программного обеспечения; одно устройство системы используется для обеспечения кибербезопасности только одного электронного блока управления ЭБУ;
- не позволяет определять факты подмены штатных электронных устройств на информационной шине, в том числе и установка новых.
Способ, охарактеризованный в патенте US 9881165 не предусматривает использование технологий machine learning для детектирования фактов наличия несанкционированного вмешательства. Заявленный способ основан только на методе фильтрации, что не является интеллектуальным методом обнаружения фактов несанкционированного вмешательства в работу системы.
Известна также (RU, патент 2704720, опубл. 30.10.2019) система обнаружения несанкционированно подключенных устройств в транспортном средстве, содержащая, по меньшей мере, одно электронное устройство транспортного средства, подключенное через электрическую шину к модулю обнаружения несанкционированных устройств, состоящего из блока измерений, аналого-цифрового преобразователя, блока цифровой обработки сигнала, блока буфера, блока компаратора, блока управления и блока драйвера интерфейса связи, при этом блок измерений и аналого-цифровой преобразователь выполнены с возможностью получения параметров электрического сигнала электрической шины в первый и во второй промежутки времени, в блоке цифровой обработки сигнала осуществляется обработка и построение спектра сигнала, блок буфера предназначен для хранения полученных данных сигнала, блок управления посредством команд осуществляет выполнение всех алгоритмов пересылки и арбитража, блок драйвера интерфейса связи обеспечивает интерпретацию полученных данных в соответствующем стандарте или протоколе данных и выдачу их в канал связи, а в блоке компаратора выполняется сравнение спектров сигналов, полученных в первый и во второй промежутки времени путем анализа спектральных составляющих электрических сигналов, и выявление несанкционированно установленных устройств на электрической шине транспортного средства по результатам сравнения спектров сигналов, полученных в первый и во второй промежутки времени.
Недостатками известного технического решения можно признать то, что описываемый метод направлен на выявление фактов несанкционированного подключения к информационной шине (электрической шине) транспортного средства посредством физических методов фиксации параметров без анализа непосредственно передаваемых данных на ней. В рассматриваемых информационных системах основным элементом для атаки являются данные. Охарактеризованный в патенте RU, 2704720 способ анализирует физическую среду передачи таких данных, а не сами данные. Тем самым вывод об несанкционированном подключении/вторжении делают по второстепенным признакам.
В ходе проведения поиска по научно-технической и патентной литературе не выявлен источник информации, который мог бы быть использован в качестве ближайшего аналога.
Техническая проблема, решаемая посредством реализации разработанного технического решения, состоит в разработке способа обнаружения несанкционированного вторжения в информационную шину передачи данных на транспортном средстве, причем разработанный способ позволит максимально достоверно определить наличие вторжения.
Технический результат, достигаемый при реализации разработанного способа, состоит в нивелировании фактов несанкционированного доступа к информационной шине систем управления транспортного средства, что в свою очередь позволяет предотвратить возможные потери (материальные, имиджевые), гибель людей и т.д., обеспечение возможности создания на базе разработанного способа систем уровня ips/ids (Intrusiondetection, prevention system) и их компонентов.
Для достижения указанного технического результата предложено использовать разработанный способ защиты информационных шин систем управления транспортных средств от вторжений.
При реализации разработанного способа проводят идентификацию всех узлов/устройств в сети управления, собирают и анализируют трафик информационных сетей передачи данных внутри системы управления транспортными средствами, с использованием метода машинного обучения, определяют нормальное состояние трафика системы, выявляют изменение состояния трафика с нормального на аномальное, при этом используемая система выполнена с возможностью после выявления изменения трафика только информировать пользователя о состоянии трафика и с возможностью блокирования аномального трафика.
В некоторых вариантах реализации разработанного способа для выявления аномального поведения трафика анализ сетевого трафика проводят по статическим характеристикам и динамическим характеристикам.
Предпочтительно трафик в сети собирают в пассивном режиме, после чего трафик передают в модуль для предварительной обработки данных из сети, в котором извлекают признаки для дальнейшей обработки для составления общей структуры, представляющей собой структурированный набор данных, для обработки нейронной сетью.
В некоторых вариантах разработанного способа сбор и анализ трафика осуществляют с использованием системы модулей, выполненых на базе промышленных компьютеров.
Разработанный способ имеет более детальное описание самой технологии, которая позволяет фиксировать факты несанкционированного подключения/вторжения в различные сети управления транспортного средства. Разработанный способ, в отличие от известных, показывает вариант использования технологий machine learning для выявления указанных угроз. Разработанный способ является более универсальным с точки зрения его применения, так как может быть использован в качестве самостоятельной системы, так и как отдельным компонентов комплексной системы, в отличие от охарактеризованного в RU, 2583703 где представлено описание общей архитектуры системы обеспечения ее применения.
Изучение способов и методов выполнения несанкционированных вторжений или атак злоумышленниками, показывает на то, что в основном все сводится к использованию одной и той же уязвимости, но в различных способах ее интерпретации. Данное обстоятельство дает основание утверждать, что большинство кибератак являются однородными, полиморфными. А, следовательно, описать одним набором сигнатур не представляется возможным. В связи с этим основная задача описываемого метода - поведенческий анализ сети. Основными критериями при таком анализе является идентификация системы или присвоение одного из признаков состояния в текущий момент:
• нормальное поведение;
• аномальное поведение.
Решение данной задачи, а именно определение состояния системы предложено выполнять с использованием алгоритмов машинного обучения, а именно за счет алгоритма машинного обучения, конкретно ОС-ELMOne-Class Classification with Extreme Learning Machine.
Разработанный способ защиты систем управления транспортных средств от вторжений позволяет в реальном времени собирать и анализировать трафик информационных сетей передачи данных внутри системы с целью определения текущего состояния. После обнаружения изменения состояния с нормального на аномальное, система может выполнять только информирование пользователя, а также может быть реализован функционал блокирования аномального трафика (например, блокирование аномальных пакетов данных).
Одна из главных задач, решаемая разработанным способом - обеспечение безопасности обмена данными между узлами в информационных сетях систем управления транспортных средств. Правила, по которым происходит процесс обмена данными (пакетами) внутри информационных сетей, зависят от используемых протоколов и стандартов.
Можно выделить наиболее уязвимые части таких систем, как это показано на фиг. 1, где в качестве узлов 101 представлены датчики, модули сбора данных, исполнительные механизмы. Число таких узлов в транспортном средстве не ограничено. Данные с таких узлов поступают в устройства сбора и обработки данных (узел 102) (например, для автомобилей в качестве таких узлов могут выступать блоки ECU). Передача обработанных данных от узлов 102 происходит в центры сбора информации (узел 103). Основными уязвимыми элементами в указанных системах управления являются информационные шины передачи данных (узлы 201). Данные узлы могут представлять собой различные варианты интерфейсов или стандартов (CAN, Ethernet, NMEA, Seatalk, RS485 и т.д.). Тип интерфейса не имеет значение на реализацию разработанного метода.
Стоит отметить, что любая угроза, которая остается не замеченная из-за невозможности осуществления полного мониторинга сети, может привести к экономическому, физическому, репутационному и другим видам ущерба. Поэтому, обеспечение защиты, а в частности детектирование и блокирование аномальных поведений внутри протоколов или стандартов описывающих правила передачи данных между узлами/устройствами, является важной задачей.
В основном это связано со следующим двумя аспектами:
• реализация коммуникаций по протоколам внутри системы управления транспортного средства сами по себе несут риски безопасности;
• отсутствие эффективных способов обнаружения, позволяющих решить эти риски.
Исходя из указанной проблематики, использование описанного способа в системах управления транспортными средствами весьма желательно. В предпочтительном варианте изобретения используют метод машинного обучения ОС-ELM, который может быть эффективно использован для обнаружения аномального поведения, которое может быть вызвано внешней атакой или неправильной работой.
Процесс обучения состоит в получении представления о нормальном состоянии системы. Для этой цели фиксируют трафик, который имеет место быть при нормальном режиме работы системы управления транспортным средством. Сетевой трафик анализируют по статическим характеристикам и динамическим характеристикам для выявления аномального его поведения. Так в случае появления в сети вредоносного воздействия он будет обнаружен из-за отклонения от нормально поведения. Так, к примеру, в стандартном случае эксплойт предполагает несколько вариантов атаки. Атакующие отправляют пакеты, содержащие перегруженные данные, что является явным отклонением от нормально поведения устройств, вследствие чего на принимающем устройстве это может привести к реализации отказа в обслуживании (DoS). Реализации подобных атак были оценены экспериментально на испытательном стенде и доказали свою эффективность. При реализации разработанного способа сетевое обнаружение подобных аномалий реализуют за счет знания изначального нормального состояния сети. Результаты испытаний показывают, что уровень ложноположительных результатов и уровень ложных отрицательных результатов составляют 0,19% и 0,42% соответственно при обнаружении аномалий. Результат показывает, что разработанное поведенческое решение может эффективно идентифицировать изменение нормального состояния в данном эксперименте. Анализируя захваченный пакет индустриального протокола, можно классифицировать его по определенным полям. Для каждого протокола поля выбирают в зависимости от его спецификации, так как не все поля в данном случае является значимыми, однако в общем случае обработка пакетов и их преобразования к общему потоку данных остается на низкоуровневых API модулях.
Процесс обнаружения состояния представлен на фиг. 2. На фигуре графически отображено отличие прогнозируемых данных при идеальном сигнале (сплошная линия), и получаемых при несанкционированном воздействии/атака (прерывистая линия). Данные отличия в сигналах происходят из-за вносимых непрогнозируемых отклонений от идеального сигнала при наличии атаки.
Алгоритм обработки трафика приведен на фиг. 3.
Весь трафик в сети регистрировали в пассивном режиме, после чего зарегистрированные сведения поступают в модуль для предварительной обработки данных из сети, затем после того, как модуль предварительной обработки извлекает признаки для дальнейшей обработки, после чего на их основе составляют общую структуру, которая представляет собой структурированный набор данных, для обработки нейронной сетью. Следующий модуль обнаружения вторжения принимает на вход подготовленную на предварительном этапе структуру ввода для обнаружения вторжения. Основа данного модуля является улучшенная обученная модель нейросети, которая на основе полученных данных определяет состояние сети на данный момент времени. Для последующей обработки инцидента, в случае если состояние сети отклонилось от нормального, нами используются модуль обработки вторжений. Модуль сбора данных выполняет задачу сниффинга и фильтрации данных по всему сегменту сети.
Входящий сетевой трафик представляет собой последовательность Ethernet-кадров. Ethernet-пакет состоит из МАС-заголовка, данных и CRC-суммы. МАС-заголовок в свою очередь состоит из трех составляющих: МАС-адреса источника данных, МАС-адреса получателя данных, EtherType, который используется для идентификации типа, используемого протокола в payload. CRC-сумма используется для проверки целостности данных при получении данных. На фиг. 4 приведен формат кадра протокола Ethernet.
Для захвата сетевого трафика и дальнейшего его анализа используют библиотеку с открытым исходным кодом - libpcap. Libpcap предоставляет возможность широкого спектра анализа входного трафика, в частности, определение целостности данных, типа данных, MAC-адреса источника и приемника данных, а также получать данные.
При необходимости, на этапе обработки входящего трафика библиотекой libpcap происходит фильтрация пакетов по типу данных, MAC-адресам источника и приемника, а также по формату данных.
Модуль сбора данных реализован с использованием libpcap. Libpcap - это мощная библиотека для захвата сетевых пакетов. Libpcap может отслеживать и собирать пакеты данных по всему сегменту сети. После получения заголовков сетевых пакетов на данном шаге определяется корректность пакета, а также его тип. В зависимости от типа пакетов данные протоколов, различающихся семантическим анализом, будут отправляется в модуль обработки данных.
Модуль обработки данных выполняет задачу подготовки входных данных для ОС-ELM.
На этапе сбора данных была получена последовательность из Ethernet-кадров, которая соответствует промежутку времени от t_i до t_(i+1), причем t_(i+1)-t_i=window_size, где window_size - это размер рассматриваемого временного интервала.
На этапе препроцессинга данных происходит извлечение данных из пакетов с последующей векторизацией последовательности Ethernet-пакетов в многомерный временной ряд размера (n, m), где n - количество признаков, m - количество точек внутри рассматриваемого временного интервала window_size. После операции векторизации применяют нормализацию данных, чтобы на этапах обучения ОС-ELM и inference, каждый отдельный временной ряд вносил одинаковый вклад при обработке ОС-ELM моделью. Полученный нормализованный многомерный временной ряд используют как featuremap модуля обнаружения вторжения. На фиг. 5 приведены зависимости сетевого трафика от времени.
На фиг. 6 представлена структурная схема работы Модуля обработки данных. Модуль обработки данных реализован в первую очередь для преобразования необработанных пакетов в данные, которые могут быть распознаны модулем обнаружения вторжения. В данном модуле реализованы функции быстрого извлечения данных из пакета. После применяемых алгоритмов нормализации, а также поиска размерных признаков, их можно использовать в качестве входных данных модуля обнаружения вторжения.
Одно из необходимых условий модуля обнаружения вторжений - это высокая скорость обработки данных для обнаружения атак в реальном времени. Одна из главных проблем решаемая данным модулем, помимо самого обнаружения вторжений, решение проблем масштабируемости, в том числе в условиях отсутствия вредоносного трафика (для процесса обучения). Для решения данных проблем используют улучшенный ОС-ELM. Преимуществом данной системы является высокая скорость обучения для классификации одного класса. В отличие от существующих нейронных сетей, ELM случайным образом генерирует веса между входными слоями и скрытыми слоями. Кроме того, ELM обучает эти веса, решая задачу оптимизации наименьших квадратов вместо обратного распространения ошибки работы. Из-за вышеупомянутых преимуществ ELM обычно может достичь высокой скорости обучения и получить хорошую способность к обобщению.
В данном случае дан обучающий набор Xn×d, содержащий n точек данных с d измерениями и L скрытыми узлами.
В=Н^Т(I/C+Н*Н^Т)^-1*Т
где С и Т - коэффициент регуляризации и целевой результат.
Предсказание точки входных данных х определяется как:
f(x)=g(x)B=g(x)H^T=h(x)*H^T(I/C+Н*Н^Т)^-1*Т
где g(x) - случайное отображение х; С и Т коэффициенты регуляризации и целевой результат.
ОС-ELM напрямую отображает все выходные данные скрытого уровня в одно целевое выходное значение. Учитывая выходные данные ОС-ELM данного обучающего набора y=[y1, …, yn], ошибка отображения обучающей выборки xi на целевое значение yi составляет |di-yi|. Порог dT может быть выбран, чтобы исключить небольшую долю (р) самых дальних точек обучения (di>dT).
Модуль обработки вторжения предназначен для:
• Информирования о вторжении (отображение на устройствах человеко-машинного интерфейса);
• Предоставления информации о произошедших инцидентов;
• Дополнительно модуль может осуществлять блокировку передаваемых данных по предустановленным условиям.
На фиг. 7 показана схема работы Модуля обработки вторжения. Схема описывает основной принцип построения алгоритма, на вход (inputNode) подается набор параметров, на основании которых происходит детектирование и классификация инцидентов. В процессе обучения происходит распределение весов между Nod-амискрытых слоев. Значение OutputNode сообщает о наличии или отсутствии вторжения
Модуль взаимодействия с конечным пользователем предоставляет интерфейс для отображения текущей информации, а также управления системой. Из функций управления стоит выделить возможность ввода настроечных параметров, составления конфигураций для функционирования системы и т.д.
В дальнейшем сущность разработанного способа будет раскрыта на примере.
К примеру, существует некоторая локальная сеть объекта. В зависимости от времени суток, дня недели, различных штатных ситуаций трафик в сети может вести себя различным образом и все это будут корректные ситуации.
Так же существует большая вариативность осуществления атак, которая так же совершенно различным образом сказывается на поведении сети.
Задачи системы сводятся к изучению всех возможных ситуаций поведения системы и выявления скрытых зависимостей взаимовлияния параметров сети и предсказанию поведения системы в нормальном режиме.
Первым этапом проводят обучение системы, для этого на базе модуля сбора данных производится сниффинг и фильтрации данных по всему сегменту сети. Полученные данные должны максимально покрывать все возможные ситуации поведения сети в нормальном режиме.
Далее эти данные обрабатывают с использованием модуля обработки данных и происходит извлечение карты фич (featuresmap), которая специализированным образом описывает состояние системы и позволяет предсказывать как бы повела себя система при нормальном режиме работы.
На втором этапе система интегрируется на объект и на базе регулярно получаемых данных о текущем состоянии системы (от модуля сбора данных) предсказывает параметры поведения системы при нормальном режиме работы.
Модуль обнаружения вторжения анализирует реальные данные, полученные от модуля сбора данных, и сравнивает с ожидаемыми параметрами трафика для нормального режима работы. При расхождении параметров ожидаемого и реального трафиков сети происходит генерация предупреждений пользователю.
Полученное предупреждение может быть интерпретировано на стороне пользователя по-разному, в зависимости от типа применяемой системы, в которую оно передается.
Если описанный метод реализуется в системе IPS (IntrusionDetectionSystem) сформированные предупреждения передаются пользователю в модуль SIEM/SOC. Сообщения такого рода фильтруются, а также пользователь по назначению принимает соответствующие меры. Меры должны носить организационный характер: остановка транспортного средства, отключение отдельных модулей от общей информационной управления транспортного средства, физический осмотр отдельных модулей на предмет дефекта или работоспособности и т.д.
Если описанный метод реализуется в системе IPS (IntrusionPreventionSystem), то передаваемые предупреждения на вышестоящие иерархические уровни, могут являться маркерами для принятия решения о блокировки отдельных пакетов с данными. Каждый отдельный сценарий настраивается в зависимости от назначения системы, используемого оборудования, структуры и т.д. В данном случае система может автоматически реагировать на несанкционированные вторжения в информационные системы управления транспортных средств и ликвидировать их.
Описанными способами обеспечивается информационная безопасность информационных систем управления в транспортных средствах.

Claims (3)

1. Способ защиты систем управления транспортных средств от вторжений, характеризующийся тем, что проводят идентификацию всех узлов/устройств в информационных системах управления, собирают и анализируют трафик информационных сетей передачи данных внутри системы управления транспортными средствами, а затем с использованием метода машинного обучения, проводят определение нормального состояния трафика системы, а также выявление аномальных изменений состояния трафика по сравнению с нормальным, при этом используемая система выполнена с возможностью только информировать пользователя о состоянии трафика и с возможностью блокирования аномального трафика, причем используемая система выполнена с возможностью реализации как самостоятельная, так и в качестве подсистемы, при этом для выявления аномального поведения трафика анализ сетевого трафика проводят по статическим характеристикам и динамическим характеристикам.
2. Способ по п. 1, отличающийся тем, что трафик в информационной сети собирают в пассивном режиме, после чего трафик передают в модуль для предварительной обработки данных из сети, в котором извлекают признаки для дальнейшей обработки для составления общей структуры, представляющей собой структурированный набор данных, для обработки нейронной сетью.
3. Способ по п. 1, отличающийся тем, что сбор и анализ трафика осуществляют с использованием системы модулей, выполненных на базе промышленных компьютеров.
RU2019137876A 2019-11-25 2019-11-25 Способ защиты систем управления транспортных средств от вторжений RU2737229C1 (ru)

Priority Applications (2)

Application Number Priority Date Filing Date Title
RU2019137876A RU2737229C1 (ru) 2019-11-25 2019-11-25 Способ защиты систем управления транспортных средств от вторжений
PCT/RU2020/050348 WO2021107822A1 (ru) 2019-11-25 2020-11-24 Способ защиты систем управления транспортных средств от вторжений

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019137876A RU2737229C1 (ru) 2019-11-25 2019-11-25 Способ защиты систем управления транспортных средств от вторжений

Publications (1)

Publication Number Publication Date
RU2737229C1 true RU2737229C1 (ru) 2020-11-26

Family

ID=73543567

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019137876A RU2737229C1 (ru) 2019-11-25 2019-11-25 Способ защиты систем управления транспортных средств от вторжений

Country Status (2)

Country Link
RU (1) RU2737229C1 (ru)
WO (1) WO2021107822A1 (ru)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021240662A1 (ja) * 2020-05-26 2021-12-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置、異常検知システムおよび異常検知方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030133443A1 (en) * 2001-11-02 2003-07-17 Netvmg, Inc. Passive route control of data networks
US20110029644A1 (en) * 1999-10-06 2011-02-03 Gelvin David C Method for Vehicle Internetworks
CN102092477B (zh) * 2010-11-30 2013-02-20 中国民航大学 飞机音频综合系统自动测试与故障诊断装置及方法
US20130227648A1 (en) * 2011-11-16 2013-08-29 Flextronics Ap, Llc On board vehicle network security
US20160261482A1 (en) * 2015-03-04 2016-09-08 Fisher-Rosemount Systems, Inc. Anomaly detection in industrial communications networks
US20180109975A1 (en) * 2016-10-18 2018-04-19 Nokia Solutions And Networks Oy Detection and Mitigation of Signalling Anomalies in Wireless Network
RU2706887C2 (ru) * 2018-03-30 2019-11-21 Акционерное общество "Лаборатория Касперского" Система и способ блокирования компьютерной атаки на транспортное средство

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6382724B2 (ja) * 2014-01-06 2018-08-29 アーガス サイバー セキュリティ リミテッド グローバル自動車安全システム

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110029644A1 (en) * 1999-10-06 2011-02-03 Gelvin David C Method for Vehicle Internetworks
US20030133443A1 (en) * 2001-11-02 2003-07-17 Netvmg, Inc. Passive route control of data networks
CN102092477B (zh) * 2010-11-30 2013-02-20 中国民航大学 飞机音频综合系统自动测试与故障诊断装置及方法
US20130227648A1 (en) * 2011-11-16 2013-08-29 Flextronics Ap, Llc On board vehicle network security
US20160261482A1 (en) * 2015-03-04 2016-09-08 Fisher-Rosemount Systems, Inc. Anomaly detection in industrial communications networks
US20180109975A1 (en) * 2016-10-18 2018-04-19 Nokia Solutions And Networks Oy Detection and Mitigation of Signalling Anomalies in Wireless Network
RU2706887C2 (ru) * 2018-03-30 2019-11-21 Акционерное общество "Лаборатория Касперского" Система и способ блокирования компьютерной атаки на транспортное средство

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
NETWORK ANOMALY DETECTION BASED ON MULTI-SCALE DYNAMIC CHARACTERISTICS OF TRAFFIC, J.YUAN et al., 02.2014. *

Also Published As

Publication number Publication date
WO2021107822A1 (ru) 2021-06-03

Similar Documents

Publication Publication Date Title
US11546359B2 (en) Multidimensional clustering analysis and visualizing that clustered analysis on a user interface
Shitharth An enhanced optimization based algorithm for intrusion detection in SCADA network
US9369484B1 (en) Dynamic security hardening of security critical functions
Saxena et al. General study of intrusion detection system and survey of agent based intrusion detection system
KR101375813B1 (ko) 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법
US20090178139A1 (en) Systems and Methods of Network Security and Threat Management
US20100287615A1 (en) Intrusion detection method and system
AU2020102142A4 (en) Technique for multilayer protection from quantifiable vulnerabilities in industrial cyber physical system
Gómez et al. Design of a snort-based hybrid intrusion detection system
KR20150091775A (ko) 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템
CN114584405A (zh) 一种电力终端安全防护方法及系统
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
CN104601553A (zh) 一种结合异常监测的物联网篡改入侵检测方法
Dhakar et al. A novel data mining based hybrid intrusion detection framework
CN111327601A (zh) 异常数据响应方法、系统、装置、计算机设备和存储介质
CN111224973A (zh) 一种基于工业云的网络攻击快速检测系统
CN111786986A (zh) 一种数控系统网络入侵防范系统及方法
Starke et al. Cross‐layered distributed data‐driven framework for enhanced smart grid cyber‐physical security
RU2737229C1 (ru) Способ защиты систем управления транспортных средств от вторжений
Pan et al. Anomaly behavior analysis for building automation systems
CN104580087A (zh) 一种免疫网络系统
CN116366319A (zh) 一种检测网络安全的方法及系统
CN114006719B (zh) 基于态势感知的ai验证方法、装置及系统
Sapozhnikova et al. Intrusion detection system based on data mining technics for industrial networks
Sabri et al. Hybrid of rough set theory and artificial immune recognition system as a solution to decrease false alarm rate in intrusion detection system