RU2750629C2 - Система и способ выявления аномалий в технологической системе - Google Patents

Система и способ выявления аномалий в технологической системе Download PDF

Info

Publication number
RU2750629C2
RU2750629C2 RU2019122436A RU2019122436A RU2750629C2 RU 2750629 C2 RU2750629 C2 RU 2750629C2 RU 2019122436 A RU2019122436 A RU 2019122436A RU 2019122436 A RU2019122436 A RU 2019122436A RU 2750629 C2 RU2750629 C2 RU 2750629C2
Authority
RU
Russia
Prior art keywords
control
technological system
technological
intercepted
information
Prior art date
Application number
RU2019122436A
Other languages
English (en)
Other versions
RU2019122436A (ru
RU2019122436A3 (ru
Inventor
Александр Викторович Шадрин
Павел Владимирович Дякин
Дмитрий Александрович Кулагин
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2019122436A priority Critical patent/RU2750629C2/ru
Priority to US16/682,027 priority patent/US11425154B2/en
Priority to EP20178178.8A priority patent/EP3767914A1/en
Priority to CN202010560769.4A priority patent/CN112242990B/zh
Publication of RU2019122436A publication Critical patent/RU2019122436A/ru
Publication of RU2019122436A3 publication Critical patent/RU2019122436A3/ru
Application granted granted Critical
Publication of RU2750629C2 publication Critical patent/RU2750629C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Multimedia (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Programmable Controllers (AREA)
  • Small-Scale Networks (AREA)

Abstract

Изобретение относится к решениям для повышения информационной безопасности технологической системы и предназначено для выявления аномалий в технологической системе. Технический результат настоящего изобретения заключается в повышении защищенности технологической системы. Технический результат достигается путем использования способа, в котором: с помощью средства дублирования перехватывают по меньшей мере один исходящий пакет данных, адресованный элементу технологической системы, при этом средство дублирования представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы; по безопасному соединению передают средством дублирования средству контроля информацию об упомянутом перехваченном пакете данных; с помощью средства контроля перехватывают по меньшей мере один входящий пакет данных, адресованный элементу технологической системы, при этом средство контроля представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы; с помощью средства контроля выявляют аномалию в технологической системе в случае, если перехваченный входящий пакет данных не соответствует упомянутой информации, полученной от средства дублирования. 3 з.п. ф-лы, 4 ил.

Description

Область техники
Изобретение относится к решениям для повышения информационной безопасности технологической системы, а более конкретно к системам и способам выявления аномалий в технологической системе.
Уровень техники
Одной из актуальных проблем промышленной безопасности является проблема безопасного протекания технологических процессов (ТП). К основным угрозам для функционирования ТП можно отнести непреднамеренные ошибки или злонамеренные действия в операционном управлении, износ и отказ оборудования и агрегатов, компьютерные атаки на системы управления и информационную систему и др.
Автоматизированные системы управления (АСУ) на предприятиях управляют технологическими системами и также нуждаются в обеспечении необходимого уровня безопасности. Элементы технологических систем, а также операционные системы и прошивки, управляющие упомянутыми элементами, зачастую устаревают. Частое обновление операционных систем и прошивок также невозможно, ибо приводит к прерываниям в технологических процессах. Кроме того, новые версии программ также могут содержать ошибки, которые негативно сказываются на стабильности функционирования элементов технологических систем. Кроме того, существующие устаревшие, спроектированные быть изолированными, АСУ зачастую подключаются к компьютерным сетям и не имеют средств для обеспечения информационной безопасности при вредоносном воздействии извне.
В технологических системах распространенной проблемой является необходимость использования устаревшего оборудования, работающего по незащищенным или уязвимым протоколам передачи информации. Это связано с тем, что срок службы оборудования в таких системах составляет годы или даже десятилетия - в течение этого срока протоколы передачи информации успевают устареть, в них обнаруживаются уязвимости. Поскольку замена уже работающего оборудования является сложным и дорогим процессом (а иногда и невозможным), зачастую проблемы безопасности остаются нерешенными, соответственно в системах управления технологическими системами появляются уязвимости. Типичная сеть управления технологическими системами включает элементы различных типов. Важными элементами являются управляющие компьютеры (серверы и клиентские станции SCADA) и программируемые логические контроллеры (ПЛК), обеспечивающие непосредственное управление оборудованием (например, исполнительными механизмами). Программное обеспечение SCADA достаточно просто обновить, при этом обновление прошивки ПЛК требует участия производителя оборудования и зачастую является чрезвычайно сложно разрешимой проблемой. В такой ситуации у злоумышленников появляется возможность влиять на работу ПЛК, что может привести к серьезным последствиям (например, к выходу контролируемого оборудования из строя, нарушениям технологического процесса в технологической системе в целом - вплоть до катастрофических последствий).
Для решения упомянутых проблем используется подход, реализованный программным обеспечением KICS for Networks «Лаборатории Касперского», в котором происходит анализ трафика внутри сети передачи данных в технологической системе с целью выявления в нем аномалий. Такой подход требует большого количества априорной информации о работе ПЛК (знание различных протоколов и значений параметров, используемых ПЛК), а выявление аномалий в трафике для сложных систем может приводить к ошибкам обнаружения вредоносной активности как первого, так и второго родов.
Существуют и другие решения, направленные на обеспечение информационной безопасности технологических систем предприятия. Одним из примеров является технология, предложенная в публикации US 20140189860, которая описывает способ обнаружения компьютерных атак на технологическую систему путем обнаружения отклонений функционирования системы от нормы, где для обнаружения отклонений используются различные методы.
В рамках настоящего изобретения предлагается подход, который требует минимальных априорных знаний о работе ПЛК и позволяет гарантированно обнаруживать попытки несанкционированного вмешательства в их работу, что повышает защищенность технологической системы. В описанном ниже решении защищенное взаимодействие компонентов SCADA с ПЛК и применение безопасного соединения (например, с использованием средств криптографической защиты) позволяют гарантировано обнаруживать аномалии (и, вероятно, вредоносные воздействия, которые не являются частью ТП и зачастую направлены на нарушение протекания ТП) в сети передачи данных без проведения накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому (англ. Deep Packet Inspection, DPI), даже в случае, если некоторые элементы технологической системы в сети передачи данных работают по незащищенным протоколам передачи данных. При этом обеспечение защищенного взаимодействия компонентов SCADA с ПЛК возможно даже без модификации ПО SCADA за счет использования технологий виртуализации.
Сущность изобретения
Настоящее изобретение предназначено для выявления аномалий в технологической системе.
Технический результат настоящего изобретения заключается в реализации заявленного назначения.
Согласно одному из вариантов реализации предоставляется способ выявления аномалий в технологической системе, состоящий из этапов, на которых: с помощью средства дублирования перехватывают по меньшей мере один исходящий пакет данных, адресованный элементу технологической системы; по безопасному соединению передают средством дублирования средству контроля информацию об упомянутом перехваченном исходящем пакете данных; с помощью средства контроля перехватывают по меньшей мере один входящий пакет данных, адресованный упомянутому элементу технологической системы; с помощью средства контроля выявляют аномалию в технологической системе в случае, если перехваченный входящий пакет данных не соответствует упомянутой информации, полученной от средства дублирования.
Согласно другому частному варианту реализации предлагается способ, в котором средство дублирования представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы.
Согласно еще одному частному варианту реализации предлагается способ, в котором элемент технологической системы представляет собой компонент SCADA.
Согласно еще одному частному варианту реализации предлагается способ, в котором элемент технологической системы представляет собой программируемый логический контроллер.
Согласно еще одному частному варианту реализации предлагается способ, в котором средство контроля представляет собой элемент технологической системы.
Согласно еще одному частному варианту реализации предлагается способ, в котором средство контроля представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы.
Согласно еще одному частному варианту реализации предлагается способ, в котором средство контроля расположено в той же сети передачи данных, в которой находится элемент технологической системы, которому адресован перехваченный пакет данных.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1а схематично изображает пример технологической системы.
Фиг. 1б схематично изображает частный пример имплементации технологической системы.
Фиг. 2 отображает пример реализации предлагаемой системы выявления аномалий в технологической системе.
Фиг. 3 отображает пример реализации предлагаемого способа выявления аномалий в технологической системе.
Фиг. 4 показывает пример компьютерной системы общего назначения, которая позволяет реализовать настоящее изобретение.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
Введем ряд определений и понятий, которые будут использоваться при описании вариантов осуществления изобретения.
Объект управления - технологический объект, на который направляются внешние воздействия (управляющие и/или возмущающие) с целью изменения его состояния, в частном случае такими объектами являются устройство (например, электродвигатель) или технологический процесс.
Технологический процесс (ТП) - процесс материального производства, заключающийся в последовательной смене состояний материальной сущности (предмета труда).
Управление технологическим процессом (англ. Process Control) - набор методов, используемых для управления технологическими параметрами при производстве конечного продукта.
Технологический параметр (англ. Process Variable, PV) - текущее измеренное значение определенной части ТП, который наблюдается или контролируется. Технологическим параметром может быть, например, измерение датчика.
Внешнее воздействие - способ изменения состояния элемента, на который направлено воздействие (например, элемента ТС), в определенном направлении, при этом воздействие от элемента ТС к другому элементу ТС передается в виде сигнала.
Состояние объекта управления - совокупность его существенных свойств, выраженных параметрами состояний, изменяемых или удерживаемых под влиянием внешних воздействий, в том числе и управляющих воздействий со стороны подсистемы управления.
Параметр состояния - одно или несколько числовых значений характеризующих существенное свойство объекта, в частном случае параметр состояния является числовым значением физической величины.
Формальное состояние объекта управления - состояние объекта управления, соответствующее технологической карте и другой технологической документации (если речь идет о ТП) или расписанию движения (если речь идет об устройстве).
Управляющее воздействие - целенаправленное (цель воздействия - воздействие на состояние объекта) легитимное (предусмотренное ТП) внешнее воздействие со стороны субъектов управления подсистемы управления на объект управления, приводящее к изменению состояния объекта управления или удержанию состояния объекта управления.
Возмущающее воздействие - целенаправленное или нецеленаправленное нелегитимное (непредусмотренное ТП) внешнее воздействие на состояние объекта управления, в том числе и со стороны субъекта управления.
Аномалия - возникновение возмущающего воздействия в технологической системе.
Субъект управления - устройство, которое направляет управляющее воздействие на объект управления или передает управляющее воздействие другому субъекту управления для преобразования перед непосредственным направлением на объект.
Многоуровневая подсистема управления - совокупность субъектов управления, включающая несколько уровней.
Кибер-физическая система (англ. cyber-physical system) - информационно-технологическая концепция, подразумевающая интеграцию вычислительных ресурсов в физические процессы. В такой системе датчики, оборудование и информационные системы соединены на протяжении всей цепочки создания стоимости, выходящей за рамки одного предприятия или бизнеса. Эти системы взаимодействуют друг с другом с помощью стандартных протоколов для прогнозирования, обратной связи и адаптации к изменениям. Примерами кибер-физической системы является технологическая система, промышленный интернет вещей.
Интернет вещей (англ. Internet of Things, IoT) - вычислительная сеть физических предметов («вещей»), оснащенных встроенными технологиями для взаимодействия друг с другом или с внешней средой. Интернет вещей включает такие технологии, как носимые устройства, электронные системы транспортных средств, умные автомобили, умные города, промышленные системы и пр.
Промышленный Интернет вещей (англ. Industrial Internet of Things, IIoT) - это подкатегория Интернета вещей, который также включает приложения, ориентированные на потребителя, например, носимые устройства, технологии «умного дома» и автомобили с автоматическим управлением. Отличительной чертой обеих концепций являются устройства со встроенными датчиками, станки и инфраструктура, которые передают данные через Интернет и управляются с помощью программного обеспечения.
Технологическая система (ТС) - функционально взаимосвязанная совокупность субъектов управления многоуровневой подсистемы управления и объекта управления (ТП или устройство), реализующая через изменение состояний субъектов управления изменение состояния объекта управления. Структуру технологической системы образуют основные элементы технологической системы (взаимосвязанные субъекты управления многоуровневой подсистемы управления и объект управления), а также связи между этими элементами. В том случае, когда объектом управления в технологической системе является технологический процесс, конечной целью управления является: через изменение состояния объекта управления изменить состояние предмета труда (сырья, заготовки и т.д.). В том случае, когда объектом управления в технологической системе является устройство, конечной целью управления является изменение состояния устройства (транспортное средство, космический объект). Функциональная взаимосвязь элементов ТС подразумевает взаимосвязь состояний этих элементов. При этом непосредственной физической связи между элементами может и не быть, например, физическая связь между исполнительными механизмами и технологической операцией отсутствует, но, например, скорость резания функционально связана с частотой вращения шпинделя, несмотря на то, что физически эти параметры состояний не связаны.
Состояние субъекта управления - совокупность его существенных свойств, выраженных параметрами состояний, изменяемых или удерживаемых под влиянием внешних воздействий.
Существенными свойствами (соответственно и существенными параметрами состояния) субъекта управления являются свойства, оказывающие непосредственное влияние на существенные свойства состояния объекта управления. При этом существенными свойствами объекта управления являются свойства, оказывающие непосредственное влияние на контролируемые факторы (точность, безопасность, эффективность) функционирования ТС. Например, соответствие режимов резания формально заданным режимам, движение поезда в соответствии с расписанием, удержание температуры реактора в допустимых границах. В зависимости от контролируемых факторов выбираются параметры состояния объекта управления и соответственно связанные с ними параметры состояний субъектов управления, оказывающих управляющее воздействие на объект управления.
Гипервизор (монитор виртуальных машин) - программа, создающая среду функционирования других программ (в том числе других гипервизоров) за счет имитации аппаратных средств вычислительной техники, управления данными средствами и гостевыми операционными системами, функционирующими в данной среде.
Под средствами системы анализа файла на вредоносность в виртуальной машине в настоящем изобретении понимаются реальные устройства, системы, элементы, группы элементов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемые вентильные матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips) Функциональность указанных средств системы может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности средств системы реализована программными средствами, а часть аппаратными. В некоторых вариантах реализации часть средств, или все средства, могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 4). При этом элементы (каждое из средств) системы могут быть реализованы в рамках как одного вычислительного устройства, так и разнесены между несколькими, связанными между собой вычислительными устройствами.
На Фиг. 1а схематично изображен пример технологической системы 100, которая включает в себя элементы 105 и 110, где элементы ТС: объект управления 105; субъекты управления 110, образующие многоуровневую подсистему управления 120; горизонтальные связи 130а и вертикальные связи 130б. Субъекты управления 110 сгруппированы по уровням 140.
На Фиг. 1б схематично изображен частный пример имплементации технологической системы 100'. Объектом управления 105' является ТП или устройство, на объект управления 105' направляются управляющие воздействия, которые вырабатываются и реализуются автоматизированной системой управления (АСУ) 120', в АСУ различают три уровня 140', состоящих из субъектов управления 110, взаимосвязанных между собой как по горизонтали горизонтальными связями (связи внутри уровня, на фигуре не указаны), так и по вертикали вертикальные связи 130б' (связи между уровнями). Взаимосвязи являются функциональными, т.е. в общем случае изменение состояния субъекта управления 110 на одном уровне вызывает изменение состояний связанных с ним субъектов управления 110 на этом уровне и других уровнях. Информация об изменении состояния субъекта управления передается в виде сигнала по горизонтальным и вертикальным связям, установленным между субъектами управления, т.е. информация об изменении состояния рассматриваемого субъекта управления является внешним воздействием по отношению к другим субъектам управления 110. Уровни 140' в АСУ 120' выделяют в соответствии с назначением субъектов управления 110. Количество уровней может варьироваться. Для физической связи элементов ТС (105, 110) и подсистем ТС 100 используются проводные сети, беспроводные сети, интегральные микросхемы, для логической связи между элементами ТС (105, 110) и подсистемами ТС 100 используются Ethernet, промышленный Ethernet, промышленные сети. При этом промышленные сети и протоколы используются различных типов и стандартов: Profibus, FIP, ControlNet, Interbus-S, DeviceNet, P-NET, WorldFIP, LongWork, Modbus и др.
Верхний уровень (уровень supervisory control and data acquisition, SCADA) - это уровень диспетчерско-операторского управления, включает в себя, по меньшей мере, следующие субъекты управления 110': контроллеры, управляющие компьютеры, человеко-машинные интерфейсы (англ. human-machine interface, HMI) (на Фиг. 1б изображены в рамках одного субъекта управления SCADA). Уровень предназначен для отслеживания состояний элементов ТС (105', 110'), получения и накопления информации о состоянии элементов ТС (105', 110') и при необходимости их корректировки.
Средний уровень (уровень CONTROL) - это уровень контроллеров, включает по меньшей мере следующие субъекты управления: программируемые логические контроллеры (ПЛК, англ. programmable Logic Controller, PLC), счетчики, реле, регуляторы. Субъекты управления 110'' типа «PLC» получают информацию с субъектов управления типа «контрольно-измерительное оборудование» и субъектов управления 110''' типа «датчики» о состоянии объекта управления 105'. Субъекты управления типа «PLC» вырабатывают (создают) управляющее воздействие в соответствии с запрограммированным алгоритмом управления на субъекты управления типа «исполнительные механизмы». Исполнительные механизмы его непосредственно реализуют (применяют к объекту управления) на нижнем уровне. Исполнительный механизм (англ. actuator) - часть исполнительного устройства (оборудования).
Нижний уровень (уровень Input/Output) - это уровень таких субъектов управления как: датчики и сенсоры (англ. sensors), контрольно-измерительные приборы (КИП), контролирующие состояние объекта управления 105', а также исполнительные механизмы. Исполнительные механизмы непосредственно воздействуют на состояние объекта управления 105', для приведения его в соответствие с формальным состоянием, т.е. состоянием, соответствующим технологическому заданию, технологической карте или другой технологической документации (если речь идет о ТП) или расписанию движения (если речь идет об устройстве). На этом уровне осуществляется согласование сигналов от субъектов управления 110''' типа «датчики» с входами субъектов управления среднего уровня, и согласование вырабатываемых субъектами управления 110'' типа «PLC» управляющих воздействий с субъектами управления 110''' типа «исполнительные механизмы», которые их реализуют. Исполнительный механизм - это часть исполнительного устройства. Исполнительное устройство осуществляет перемещение регулирующего органа в соответствии с сигналами, поступающими от регулятора или управляющего устройства. Исполнительные устройства являются последним звеном цепи автоматического управления и в общем случае состоят из блоков:
- устройства усиления (контактор, частотный преобразователь, усилитель, и т.п.);
- исполнительного механизма (электро-, пневмо-, гидропривод) с элементами обратной связи (датчики положения выходного вала, сигнализации конечных положений, ручного привода и т.п.);
- регулирующего органа (вентили, клапаны, заслонки, шиберы и т.п.).
В зависимости от условий применения исполнительные устройства конструктивно могут различаться между собой. К основным блокам исполнительных устройств обычно относят исполнительные механизмы и регулирующие органы.
В частном примере исполнительное устройство в целом называют исполнительным механизмом.
Перечисленные субъекты управления (110', 110'', 110''') различных уровней являются элементами технологической системы (далее по тексту - элементы ТС).
На Фиг. 2 отображает структуру системы выявления аномалий в технологической системе.
В общем случае элементы ТС верхнего уровня 110' (компьютеры, на которые установлены компоненты SCADA или инженерные терминалы), объединены в отдельную защищенную сеть передачи данных известными из уровня техники системами и способами. Кроме того, элементы ТС верхнего уровня 110' посылают элементам ТС среднего уровня 110'' (в общем случае, программируемым логическим контроллерам) пакеты данных (например, содержащие команды технологических процессов и параметры команд). В силу того, что технологические процессы рассчитаны на десятки лет, элементы ТС среднего уровня 110'' в общем случае менее защищены и зачастую устаревают, то есть работают с использованием устаревших незащищенных протоколов передачи данных, а также имеют известные уязвимости. Предполагается, что IP-адреса элементов ТС среднего уровня 110'' (например, ПЛК) известны. Злоумышленнику, для того чтобы вмешаться в работу ПЛК, требуется посылать информационные пакеты по IP-адресу ПЛК. Таким образом задача, решаемая настоящим изобретением, сводится к определению того, какие пакеты являются «доверенными», а какие «недоверенными». В общем случае доверенный пакет данных - это пакет данных, отправленный одним элементом ТС, например, элементом ТС верхнего уровня 110', другому элементу ТС, например, элементу ТС среднего уровня 110''. В рамках настоящего изобретения допустимо считать, что пакеты данных, исходящие из упомянутой защищенной сети передачи данных - доверенные. Доверенные пакеты должны быть доставлены элементам ТС среднего уровня 110''.
В общем случае система содержит по меньшей мере одно средство дублирования 210 и по меньшей мере одно средство контроля 220.
Средство дублирования 210 в общем случае представляет собой защищенную операционную систему с поддержкой функции гипервизора, и предназначено для установки на элемент ТС (в частном случае, на элемент ТС верхнего уровня 110'). Защищенная операционная система с поддержкой функции гипервизора позволяет запускать в виртуальном окружении существующие операционные системы и приложения элементов ТС верхнего уровня 110'. За счет использования технологии виртуализации становится возможным добавление новых свойств для компонентов систем SCADA, функционирующих на элементах ТС верхнего уровня 110', без модификации программного обеспечения SCADA-приложений.
В общем случае средство дублирования 210, установленное на элемент ТС верхнего уровня 110', перехватывает исходящие пакеты данных, которые исходят от приложений, выполняющихся в гостевой операционной системе, запущенной в виртуальном окружении, и от самой гостевой операционной системы, и адресованы другим элементам ТС (например, элементам среднего уровня 110''). Перехват пакетов данных в общем случае возможен с использованием известных из уровня техники способов виртуализации. В одном из вариантов реализации средство дублирования также определяет IP-адрес элемента ТС среднего уровня 110'', которому направлен исходящий пакет данных.
Каждое средство дублирования 210 устанавливает безопасные соединения (отображены для одного средства дублирования 210 на Фиг. 2) со всеми средствами контроля 220, существующими в сети передачи данных, и передает средствам контроля 220 информацию о каждом исходящем пакете данных, который был перехвачен. Информация может содержать как сам перехваченный исходящий пакет данных в исходном или преобразованном виде (например, после шифрования или упаковки), так и его контрольную сумму (например, MD5 или CRC), а также дополнительные сведения, полученные средством дублирования 210 в результате перехвата исходящего пакета данных. В одном из вариантов реализации средство дублирования 210 использует известные криптографические методы защиты при передаче данных средствам контроля 220. В еще одном из вариантов реализации на уровне гипервизора обеспечена возможность дополнительного преобразования или шифрования средством дублирования 210 перехваченных исходящих пакетов с данными.
В одном из вариантов реализации, если был определен адрес IP-адрес элемента ТС среднего уровня 110'', которому направлен исходящий пакет данных, средство дублирования 210 по безопасному соединению передает информацию о перехваченных исходящих пакетах средствам контроля 220, которые находятся в одной сети (или подсети) передачи данных с элементом ТС среднего уровня 110'', которому направлен исходящий пакет данных.
В одном из вариантов реализации исходящий пакет данных, который был перехвачен средством дублирования 210, не отправляется далее в сеть передачи данных, а остается в памяти гипервизора. При этом, после получения подтверждения от средства контроля 220 о получении информации о перехваченном пакете данных, средство дублирования 210 отправляет перехваченный исходящий пакет данных, который хранится в памяти гипервизора, в сеть передачи данных в его первоначальном неизмененном виде. В другом варианте реализации, например, когда недопустимы задержки при передаче пакетов данных (работа ТС в реальном времени), перехваченный исходящий пакет отправляется средством дублирования 210 в сеть передачи данных сразу, одновременно с информацией, переданной по безопасному соединению средству контроля 220.
Современные АСУ как правило могут иметь несколько компонентов систем SCADA, функционирующих на элементах ТС верхнего уровня 110', расположенных в разных сетях передачи данных. В этом примере реализации каждая такая сеть содержит средство дублирования 210, которое выполняет вышеописанные действия по перехвату исходящий пакетов данных и передаче информации о них средствам контроля 220.
Средство контроля 220 в общем случае исполняется на элементе ТС 110. В одном из вариантов реализации средство контроля 220 исполняется на элементе ТС верхнего уровня 110'. В другом варианте реализации средство контроля 220 исполняется на элементе ТС среднего уровня 110''. В одном из вариантов реализации средство контроля 220 топологически расположено в сети передачи данных так, что перехватывает все пакеты данных, адресованные элементам ТС 110. В одном из вариантов реализации средство контроля 220 функционирует (исполняется) на существующем элементе ТС 110, например, на элементе ТС среднего уровня 110'' или элементе ТС верхнего уровня 110', при этом средство контроля 220 является исполняемым приложением или сервисом. В еще одном из вариантов реализации средство контроля 220 представляет собой защищенную операционную систему с поддержкой функции гипервизора и предназначенную для установки на элемент ТС среднего уровня 110''. В другом варианте реализации средство контроля 220 устанавливается на дополнительный элемент ТС среднего уровня 110'', который предназначен только для функционирования средства контроля 220.
Как было описано выше средство контроля 220 получает по безопасному соединению информацию о перехваченных исходящих пакетах от средств дублирования 210. После получения информации о перехваченных исходящих пакетах средство контроля 220 передает подтверждение средствам дублирования 210 о получении указанной информации. Кроме того, средство контроля 220 перехватывает входящие пакеты данных, которые адресованы элементам ТС среднего уровня 110'' по сети передачи данных. Перехват входящих пакетов данных в общем случае возможен с использованием известных из уровня техники способов виртуализации. В еще одном из вариантов реализации перехват возможен без использования способов виртуализации, например, используя сокет (англ. socket), открытый в режиме необработанных (или обработанных в минимальной степени) данных (англ. RAW mode).
В общем случае, средство контроля 220 сравнивает информацию о перехваченных исходящих пакетах, полученную от средств дублирования 210 по безопасному соединению с перехваченными входящими пакетами, которые адресованы элементам ТС среднего уровня 110'' по сети передачи данных.
В варианте реализации, когда перехваченные исходящие пакеты данных отправляются в сеть передачи данных средствами дублирования 210 одновременно с информацией о перехваченных исходящих пакетах данных по безопасному соединению, средство контроля 220 сравнивает полученную информацию с перехваченными входящими пакетами данных за интервал времени (например, 1с). Если перехвачен входящий пакет данных, информация о котором не была получена от средств дублирования 210 в течение упомянутого интервала, средство контроля 220 выявляет аномалию в технологической системе.
В варианте реализации, когда перехваченные исходящие пакеты данных отправляются в сеть передачи данных средствами дублирования 210 после получения подтверждения от средства контроля 220 получения информации о перехваченных исходящих пакетах данных по безопасному соединению, средство контроля 220 сравнивает перехваченные входящие пакеты с полученной информацией. Если перехвачен входящий пакет данных, информация о котором не была получена от средств дублирования 210, средство контроля 220 выявляет аномалию в технологической системе.
Информация о выявленной аномалии может быть передана средством контроля 220 компонентам систем SCADA, функционирующим на элементах ТС верхнего уровня 110', для информирования и дальнейшего принятия мер по устранению выявленной аномалии в технологической системе.
В одном из вариантов реализации, если средство контроля 220 размещено в сети передачи данных топологически последовательно с элементом ТС среднего уровня 110'' и перед элементом ТС среднего уровня 110'', в случае выявления аномалии в технологической системе средство контроля 220 не передает перехваченный входящий пакет данных далее в сеть передачи данных, таким образом противодействуя возможным последствиям возникшей аномалии в технологической системе. Элемент ТС среднего уровня 110'' в данном примере реализации не получает перехваченный входящий пакет данных, что предупреждает возмущающее воздействие на элемент ТС среднего уровня 110''.
В еще одном из вариантов реализации, средство контроля 220 может быть размещено в сети передачи данных на том же элементе ТС среднего уровня 110'', которому адресован перехваченный входящий пакет данных. В этом случае средство контроля 220 так же, как описано выше, противодействует возможным последствиям возникшей аномалии в технологической системе.
Пример применения описанного изобретения описан ниже. Есть здание, которое оборудовано автоматизированной системой доступа в помещения, спортивным залом, бассейном, имеет по меньшей мере систему вентиляции и систему пожаротушения. АСУ и компоненты SCADA расположены в сети передачи данных здания в защищенном окружении (либо в защищенной подсети), однако обмениваются с программируемыми логическими контроллерами, управляющими перечисленными системами, посредством упомянутой сети передачи данных. Кроме того, к этой же сети передачи данных могут получать доступ работники здания и посетители. Подобные сети передачи данных существуют на практике достаточно часто, так как строятся без должного учета информационной безопасности при проектировании или с экономией материальных затрат.
Очевидно, что третьи лица могут отправлять в сеть пакеты данных, которые исходят не от компонентов SCADA и могут быть получены программируемыми логическими контроллерами, что является аномалией в рамках настоящего изобретения.
Таким образом, установка упомянутых средств системы, описанной в настоящем изобретении, позволяет предупреждать об упомянутых аномалиях. Так, средства дублирования 210, установленные на компонентах SCADA, перехватывают исходящие пакеты данных и передают их средствам контроля 220. Таким образом средства контроля 220 перехватывают и сравнивают все входящие пакеты данных, адресованные программируемым логическим контроллерам, что позволяет выявить аномалию (в случае, если пакет данных был отправлен в сеть передачи данных, например, не с компонента SCADA) и в одном из вариантов реализации (в случае блокирования входящего пакета данных) противодействует ей.
Фиг. 3 показывает пример реализации предлагаемого способа выявления аномалий в технологической системе.
На начальном этапе 310 с помощью средства дублирования 210, запущенного на элементе ТС верхнего уровня 110', перехватывают по меньшей мере один исходящий пакет данных, адресованный элементу технологической системы среднего уровня 110''. В одном из вариантов реализации средство дублирования 210 представляет собой защищенную операционную систему с поддержкой функции гипервизора. В еще одном из вариантов реализации элемент ТС верхнего уровня 110' представляет собой компонент SCADA. Перехват пакетов данных в общем случае возможен с использованием известных из уровня техники способов виртуализации.
Далее на этапе 320 по безопасному соединению передают средством дублирования 210 средству контроля 220, запущенному на элементе ТС среднего уровня 110'', информацию об упомянутом перехваченном пакете данных. Средство дублирования 210 устанавливает безопасное соединение со всеми средствами контроля 220, существующими в сети передачи данных, и передает средствам контроля 220 информацию о каждом исходящем пакете данных, который был перехвачен. В одном из вариантов реализации средство контроля 220 представляет собой защищенную операционную систему. В еще одном из вариантов реализации средство контроля 220 расположено в той же сети передачи данных, в которой находится элемент ТС среднего уровня 110'', которому адресован перехваченный пакет данных. Средство контроля 220 в общем случае представляет собой защищенную операционную систему с поддержкой функции гипервизора и предназначенную для установки на элемент ТС среднего уровня 110''.
Далее, на этапе 330, с помощью средства контроля 220 перехватывают по меньшей мере один входящий пакет данных. Перехват входящих пакетов данных в общем случае возможен с использованием известных из уровня техники способов виртуализации.
Далее, на этапе 340, с помощью средства контроля 220 выявляют аномалию в технологической системе в случае, если перехваченный входящий пакет данных не соответствует упомянутой информации, полученной от средства дублирования 210. Для выявления соответствия средство контроля 220 сравнивает информацию о перехваченных исходящих пакетах, полученную от средств дублирования 210 по безопасному соединению с перехваченными входящими пакетами, которые адресованы элементам ТС среднего уровня 110'' по сети передачи данных. В противном случае, если аномалия не выявлена (перехвачен входящий пакет данных, информация о котором была получена от средств дублирования 210), происходит возврат на этап 330.
В одном из вариантов реализации в случае, если выявлена аномалия, работа способа продолжается, происходит возврат на этап 330.
В еще одном из вариантов реализации на этапе 350 информация о выявленной аномалии может быть передана средством контроля 220 компонентам систем SCADA, функционирующим на элементах ТС верхнего уровня 110', для информирования и дальнейшего принятия мер по устранению возможных последствий выявленной аномалии в технологической системе.
Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные элементы, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Claims (8)

1. Способ выявления аномалий в технологической системе, состоящий из этапов, на которых:
а) с помощью средства дублирования перехватывают по меньшей мере один исходящий пакет данных, адресованный элементу технологической системы, при этом средство дублирования представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы;
б) по безопасному соединению передают средством дублирования средству контроля информацию об упомянутом перехваченном пакете данных;
в) с помощью средства контроля перехватывают по меньшей мере один входящий пакет данных, адресованный элементу технологической системы, при этом средство контроля представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы;
г) с помощью средства контроля выявляют аномалию в технологической системе в случае, если перехваченный входящий пакет данных не соответствует упомянутой информации, полученной от средства дублирования.
2. Способ по п. 1, в котором элемент технологической системы представляет собой компонент SCADA.
3. Способ по п. 1, в котором элемент технологической системы представляет собой программируемый логический контроллер.
4. Способ по п. 1, в котором средство контроля расположено в той же сети передачи данных, в которой находится элемент технологической системы, которому адресован перехваченный пакет данных.
RU2019122436A 2019-07-17 2019-07-17 Система и способ выявления аномалий в технологической системе RU2750629C2 (ru)

Priority Applications (4)

Application Number Priority Date Filing Date Title
RU2019122436A RU2750629C2 (ru) 2019-07-17 2019-07-17 Система и способ выявления аномалий в технологической системе
US16/682,027 US11425154B2 (en) 2019-07-17 2019-11-13 System and method of detecting anomalies in a technological system
EP20178178.8A EP3767914A1 (en) 2019-07-17 2020-06-04 System and method of detecting anomalies in a technological system
CN202010560769.4A CN112242990B (zh) 2019-07-17 2020-06-18 检测技术系统中的异常的系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019122436A RU2750629C2 (ru) 2019-07-17 2019-07-17 Система и способ выявления аномалий в технологической системе

Publications (3)

Publication Number Publication Date
RU2019122436A RU2019122436A (ru) 2021-01-18
RU2019122436A3 RU2019122436A3 (ru) 2021-01-18
RU2750629C2 true RU2750629C2 (ru) 2021-06-30

Family

ID=74185042

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019122436A RU2750629C2 (ru) 2019-07-17 2019-07-17 Система и способ выявления аномалий в технологической системе

Country Status (2)

Country Link
US (1) US11425154B2 (ru)
RU (1) RU2750629C2 (ru)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10735541B2 (en) * 2018-11-30 2020-08-04 Vmware, Inc. Distributed inline proxy
US11765188B2 (en) * 2020-12-28 2023-09-19 Mellanox Technologies, Ltd. Real-time detection of network attacks

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130036470A1 (en) * 2011-08-03 2013-02-07 Zhu Minghang Cross-vm network filtering
US20170244752A1 (en) * 2016-02-18 2017-08-24 AO Kaspersky Lab System and method of protection of technological systems from cyber attacks
US20180255079A1 (en) * 2017-03-02 2018-09-06 ResponSight Pty Ltd System and Method for Cyber Security Threat Detection
RU2680736C1 (ru) * 2018-01-17 2019-02-26 Общество с ограниченной ответственностью "Группа АйБи ТДС" Сервер и способ для определения вредоносных файлов в сетевом трафике
US20190207969A1 (en) * 2017-12-29 2019-07-04 Crowdstrike, Inc. Anomaly-based malicious-behavior detection

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6591306B1 (en) * 1999-04-01 2003-07-08 Nec Corporation IP network access for portable devices
US20060242706A1 (en) * 2005-03-11 2006-10-26 Ross Robert B Methods and systems for evaluating and generating anomaly detectors
US9535732B2 (en) * 2009-11-24 2017-01-03 Red Hat Israel, Ltd. Zero copy transmission in virtualization environment
US10356106B2 (en) * 2011-07-26 2019-07-16 Palo Alto Networks (Israel Analytics) Ltd. Detecting anomaly action within a computer network
US9177139B2 (en) 2012-12-30 2015-11-03 Honeywell International Inc. Control system cyber security
US10097693B2 (en) * 2014-07-18 2018-10-09 Jive Communications, Inc. Managing data streams for a communication network
WO2016148676A1 (en) * 2015-03-13 2016-09-22 Hewlett Packard Enterprise Development Lp Determine anomalous behavior based on dynamic device configuration address range
US20170111272A1 (en) * 2015-10-14 2017-04-20 Varmour Networks, Inc. Determining Direction of Network Sessions
US10419467B2 (en) * 2016-05-06 2019-09-17 SecuLore Solutions, LLC System, method, and apparatus for data loss prevention
US10320619B2 (en) * 2016-11-12 2019-06-11 Solana Networks Inc. Method and system for discovery and mapping of a network topology
EP3607484B1 (en) 2017-05-08 2021-06-30 Siemens Mobility GmbH Multilevel intrusion detection in automation and control systems
US10855590B2 (en) * 2018-08-31 2020-12-01 Gigamon Inc. Elastic modification of application instances in a network visibility infrastructure

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130036470A1 (en) * 2011-08-03 2013-02-07 Zhu Minghang Cross-vm network filtering
US20170244752A1 (en) * 2016-02-18 2017-08-24 AO Kaspersky Lab System and method of protection of technological systems from cyber attacks
US20180255079A1 (en) * 2017-03-02 2018-09-06 ResponSight Pty Ltd System and Method for Cyber Security Threat Detection
US20190207969A1 (en) * 2017-12-29 2019-07-04 Crowdstrike, Inc. Anomaly-based malicious-behavior detection
RU2680736C1 (ru) * 2018-01-17 2019-02-26 Общество с ограниченной ответственностью "Группа АйБи ТДС" Сервер и способ для определения вредоносных файлов в сетевом трафике

Also Published As

Publication number Publication date
RU2019122436A (ru) 2021-01-18
US11425154B2 (en) 2022-08-23
RU2019122436A3 (ru) 2021-01-18
US20210021623A1 (en) 2021-01-21

Similar Documents

Publication Publication Date Title
US8667589B1 (en) Protection against unauthorized access to automated system for control of technological processes
KR102251600B1 (ko) 산업 제어 시스템을 보안화하기 위한 시스템 및 방법
US9874869B2 (en) Information controller, information control system, and information control method
WO2018044410A1 (en) High interaction non-intrusive industrial control system honeypot
US20150229660A1 (en) Method for Monitoring Security in an Automation Network, and Automation Network
Klick et al. Internet-facing PLCs as a network backdoor
US20170177865A1 (en) Industrial Control System Emulator for Malware Analysis
RU2750629C2 (ru) Система и способ выявления аномалий в технологической системе
RU2728504C1 (ru) Система и способ поэтапного повышения информационной безопасности элементов технологической системы
US11683336B2 (en) System and method for using weighting factor values of inventory rules to efficiently identify devices of a computer network
RU2746101C2 (ru) Система и способ определения устройств компьютерной сети с использованием правил инвентаризации
EP3767913B1 (en) Systems and methods for correlating events to detect an information security incident
RU2739864C1 (ru) Система и способ корреляции событий для выявления инцидента информационной безопасности
RU2747461C2 (ru) Система и способ противодействия аномалиям в технологической системе
Colelli et al. Securing connection between IT and OT: the Fog Intrusion Detection System prospective
Negi et al. Intrusion Detection & Prevention in Programmable Logic Controllers: A Model-driven Approach
EP3767914A1 (en) System and method of detecting anomalies in a technological system
EP3716109B1 (en) System and method of stepwise increasing the it security of elements of a technological system
Kiuchi et al. Security technologies, usage and guidelines in SCADA system networks
US20220206465A1 (en) Support device, recording medium storing setting program and method
US20230281098A1 (en) Method for analyzing operational events occurring during operation of a technical installation
WO2023079652A1 (ja) 制御装置、制御方法、及びクラウドシステム
JP2015207970A (ja) 通信検査モジュール、通信モジュール、および制御装置