КАРТОЧКА
ПРОЕКТА ФУНДАМЕНТАЛЬНЫХ И ПОИСКОВЫХ НАУЧНЫХ ИССЛЕДОВАНИЙ,
ПОДДЕРЖАННОГО РОССИЙСКИМ НАУЧНЫМ ФОНДОМ
Информация подготовлена на основании данных из Информационно-аналитической системы РНФ, содержательная часть представлена в авторской редакции. Все права принадлежат авторам, использование или перепечатка материалов допустима только с предварительного согласия авторов.
ОБЩИЕ СВЕДЕНИЯ
Номер 22-11-00184
НазваниеТехнология обеспечения кибербезопасности от деструктивного воздействия на объекты критической информационной инфраструктуры
РуководительБасан Александр Сергеевич, Кандидат технических наук
Организация финансирования, регион федеральное государственное автономное образовательное учреждение высшего образования "Южный федеральный университет", Ростовская обл
| Период выполнения при поддержке РНФ | 2022 г. - 2024 г. |
Конкурс№68 - Конкурс 2022 года «Проведение фундаментальных научных исследований и поисковых научных исследований отдельными научными группами».
Область знания, основной код классификатора 01 - Математика, информатика и науки о системах, 01-216 - Математические модели и методы защиты, преобразования и передачи информации
Ключевые словазащита информации, интеллектуальные методы, кибер-физическая система, критическая информационная инфраструктура, аномалии, атаки, доверие, угрозы, уязвимости, безопасность, надежность
Код ГРНТИ81.93.29
ИНФОРМАЦИЯ ИЗ ЗАЯВКИ
Аннотация
На сегодняшний день цифровые технологии активно развиваются и используются в современном обществе. Большинство новых технологий возникло в результате четвертой промышленной революции, которая позволила расширить информационные системы и автоматизированные системы управления производством интеллектуальными подсистемами принятия решений. IT-решения (информационные системы, автоматизированные системы управления и информационно-телекоммуникационные сети) в сфере здравоохранения, науки, транспорта, энергетики, атомной энергии, горнодобывающей, металлургической и химической промышленности и ряда других отраслей относятся государством к объектам критической информационной инфраструктуры (КИИ). Для таких объектов причинение деструктивных воздействий, в том числе, проведение компьютерных атак может повлечь существенный вред как самому объекту, так и государству, здоровью и жизни его граждан.
Объекты КИИ, построенные с учетом новых цифровых технологий, могут включать в себя следующие ключевые компоненты: «Интернет вещей», «Умный город», «Большие данные», «Умное производство», «Искусственный интеллект». Объектами КИИ могут выступать как типовые системы, включающие сеть предприятия, средства обработки персональных и других категорий данных и т. п., так и специализированные высокотехнологичные системы для организации взаимодействия между исполнительными механизмами и управляющими платами и системы, обеспечивающие взаимодействие между управляющими платами и операторам. Как раз для защиты таких специализированных систем требуются новые решения, предполагающие высокий уровень автономности и применение новых технологий и стандартов. Новые решения необходимы не только потому, что для реализации сетей между исполнительными механизмами и платами используются новые протоколы связи и новое программное обеспечение, но еще и потому, что данные механизмы действуют в условиях ограниченности ресурсов. При этом количество инцидентов, связанных с нарушением информационной безопасности объектов КИИ с каждым годом, растёт. По данным Positive Technologies «По сравнению с 2017 годом количество новых уязвимостей в компонентах АСУ ТП выросло на 30%: на момент подготовки исследования опубликована полная информация о 243 уязвимостях, и еще 14 находятся на стадии анализа».
Современные технологии предназначены для минимизации присутствия человека на производстве, любая рутинная и монотонная работа автоматизируется. При этом если обратить внимание на область информационной безопасности, то зачастую, для обеспечения необходимого уровня защиты объекта КИИ нужен целый штат специалистов разного уровня. На сегодняшний день решения в области информационной безопасности выглядят громоздко, иерархично и сложны для понимания. Так, для поддержания центра обеспечения компьютерной безопасности небольшого предприятия требуется от восьми инженеров по информационной безопасности для обработки поступающей информации об инцидентах. Это является одной из причин того, что организации склонны экономить на безопасности. Научная значимость разрабатываемой технологии защиты заключается в том, что она должна позволить объекту КИИ и его компонентам оценивать степень опасности угрозы информационной безопасности, обнаруживать инциденты информационной безопасности и составлять план выхода из инцидента в автономном режиме. Научная новизна:
1. Метод пассивного и активного анализа инфраструктуры, позволявший повысить скорость и точность анализа структурно-функциональных характеристик и расширить функционал существующих решений за счет предоставления возможности анализа служб и протоколов специфичных для объекта КИИ. Научная новизна метода заключается в обеспечении возможности распознавания новых проколов и стандартов связи благодаря анализу полученных структур данных и обнаружению типовых форматов данных.
2. Формализованная методика оценки рисков и угроз информационной безопасности для информационных систем КИИ. На сегодняшний день существуют методики оценки рисков и актуальных угроз, как в России, так и за рубежном. Для повышения точности оценки предлагается разработать дополнительные наборы факторов, влияющие на принятие решений при оценке вероятности и опасности реализации угрозы. Далее методы на основе нечеткой логики будут применены для автоматизации процесса принятия решений. Научной новизной будет обладать также каталог угроз информационной безопасности для объектов КИИ.
3. Интеллектуальная система анализа и мониторинга структурно-функциональных характеристик объекта КИИ, формирующая в автоматическом режиме технический паспорт объекта, где описана сетевая топология системы, информационные потоки и приведена архитектура сети. Информация для анализа структурно-функциональных характеристик будет поступать в виде наборов векторов, которые представляют их четкое описание.
4. Интеллектуальная экспертная система минимизации рисков и выбора наиболее эффективных контрмер для повышения защищённости и отказоустойчивости объекта КИИ, обеспечивающая снижение возможных ошибок при выборе плана реагирования на инцидент, уменьшающая влияние человеческого фактора при решении данных задач, обеспечивающая снижение времени, трудозатрат необходимых для оценки и минимизации рисков кибербезопасности. Разработка данной интеллектуальной экспертной системы позволит автоматизировать процесс определения эффективных рекомендаций по безопасности для пользователя информационной системы КИИ, что приведет к снижению количества ошибок, допускаемых экспертами при выполнении данных задач, снизит субъективность данного процесса, а также снизит количество времени, затрачиваемое на разработку защищенной информационной системы.
5. Метод обнаружения аномального поведения, на основе принципа рефлексии для анализа кибер-физических параметров компонентов объекта КИИ, который позволит системе автономно обнаруживать признаки воздействия, что приведет к повышению защищенности узла от атак при низких затратах вычислительных ресурсов. Данный метод позволит узлу локально обнаруживать критические изменения в анализируемых параметрах по отношению к собственному поведению на протяжении разных временных интервалов. По аналогии с работой человеческого организма, когда замедление пульса может наблюдаться в результате сна, а может быть связано с болезнью и человеческий организм распознает данные состояния, кибер-физическая система должна понимать природу того или иного события и реагировать соответствующим образом. Для этого необходимо определить набор параметров и классифицировать их изменение и степень их изменения с течением времени в зависимости от происходящих событий.
6. Метод глубокого анализа трафика для объекта КИИ, позволяющий на уровне сети выявлять аномальное поведение, что приводит к повышению скорости обнаружения атаки при низких затратах энергетических и вычислительных ресурсов. Данный метод учитывает особенности кибер-физических систем и будет эффективен именно для объектов КИИ.
7. Модель организации базы знаний в области информационной безопасности о кибер-угрозах и инцидентах информационной безопасности, связанных с использованием интеллектуальных технологий, новых цифровых технологий на основе интеграции онтологических моделей представления знаний.
8. Метод установления доверенных отношений компонентов объекта КИИ, обеспечивающий защищенность от атак злоумышленника, направленных на подмену узлов сети и информационных сообщений за счет поддержания цепочек доверия.
Ожидаемые результаты
1. Система самодиагностики для выявления угроз и уязвимостей объектов КИИ, которая позволит сократить время на обнаружение слабых мест с целью минимизации рисков и повышения уровня защищенности от атак по сравнению с существующими решениями. В основе разрабатываемой системы лежит новый метод эффективного сбора и анализа данных о структурно-функциональных характеристиках объекта КИИ на основе распараллеливания процессов сканирования и синхронизации обработки данных, кластеризации участков сети с учетом приоритетов и этапов сканирования. Кластеризация физически означает разбиение сети на множество участков для параллельного сканирования. Кроме того, в типовых информационных системах для анализа инфраструктуры наряду со сканерами безопасности используются анализаторы пакетов, так называемые «сниферы». Для объекта КИИ, который может обладать свойством гетерогенности и использовать новые протоколы, стандарты связи, программное обеспечение, сервисы и т. п. стандартные утилиты могут быть недостаточно эффективны. Предлагается разработка собственной библиотеки для перехвата, классификации и представления трафика. Зачастую, средства защиты информации не используются по нескольким причинам: их сложно настраивать, они требуют больших ресурсов, для работы с ними требуются специалисты. Кроме того, эксперты тратят большое количество времени на сбор информации об объекте информатизации и не всегда могут собрать полную и точную информацию. Разрабатываемая система позволит избежать перечисленных проблем и повысить точность и полноту собираемой информации. Достаточно часто угрозы информационной безопасности возникают из-за неучтённых программно-аппаратных средств или от тех устройств, от которых этого не ожидали, поэтому постоянный мониторинг и анализ архитектуры системы является приоритетной задачей. За счет применения нового метода и системы самодиагностики для выявления угроз планируется повысить скорость сбора информации об объекте, а также скорость и точность построения модели угроз и проработки вероятных сценариев атаки на объект КИИ. Согласно актуальной методике моделирования угроз принятой ФСТЭК (от 5 февраля 2021 года) недостаточно просто указать актуальные угрозы, а необходимо проработать сценарии вероятных атак. Данная проблема приводит к тому, что актуальность угроз в модели зависит от степени компетентности, субъективности оценки эксперта. Предлагаемый результат будет включать: формализованную методику оценки рисков и определения актуальных угроз информационной безопасности для объекта КИИ; методику определения вероятного нарушителя для объекта КИИ; базу данных правил принятия решений для интеллектуальной экспертной системы на основе новых методик анализа рисков, определения актуальных угроз и вероятного нарушителя для объекта КИИ. Данная система позволит снизить субъективный фактор при оценке уровня защищенности системы. Подобная разработка может иметь мировое значение и позволить конкурировать с зарубежными компаниями. Подобные системы и методики разрабатываются иностранными компаниями (например, ThreatModeler) и имеют высокую стоимость (зачастую недоступны российскому потребителю). Предлагаемая система будет реализована в виде набора сервисов и программ, которые осуществляют диагностику объекта КИИ на предмет угроз и уязвимостей информационной безопасности, как на этапе проектирования, так и на этапе эксплуатации системы, что в дальнейшем позволит принять меры по устранению выявленных угроз и минимизации рисков информационной безопасности.
2. Метод выявления аномального поведения процессов объекта КИИ с целью выявления активных атак, обеспечивающий уровень обнаружения атак не менее 80%. Данный метод позволит объекту КИИ автономно обнаруживать следы или признаки воздействия на него путем анализа изменений собственных кибер-физических параметров. Это приведет к повышению защищенности от атак при низких затратах вычислительных ресурсов. В результате выполнения проекта планируется создание технологии обнаружения аномального поведения на основе нового метода обнаружения аномалий с использованием принципа рефлексии. Данная технология позволит обеспечивать надежное функционирование объекта КИИ даже в условиях агрессивной окружающей среды, а также возможности проведения кибер-физических атак на систему. Повышение надежности и отказоустойчивости планируется достигнуть на основании того, что система будет способна отслеживать собственное состояние и принимать решение о наличии аномального поведения, как отдельных компонентов системы, так и системы в целом. Для демонстрации планируется разработка программного комплекса, осуществляющего функции сбора информации о параметрах системы, их анализ и принятие решения о наличии аномалии. Внедрение новых методов и принципов обеспечения информационной безопасности позволит конкурировать с мировыми лабораториями, участвующими в разработке решений по обнаружению атак. Новый метод на основе принципа рефлексии позволит системе оценивать свое поведение и принимать решение о его корректировке. Научный интерес составляет анализ и сравнение интеллектуальных методов принятия решений в рамках поставленной задачи, а именно, будут проанализированы методы на основе искусственных нейронных сетей и методы на основе систем правил, а также нечеткой логики.
3. Система определения наиболее эффективных контрмер на основе интеллектуальных методов для реагирования на инциденты информационной безопасности с наименьшими потерями для объекта КИИ. Для разработки данной системы наряду с принятыми практиками по принятию решений для минимизации рисков и последствий инцидента безопасности планируется изучить и интегрировать в практики из области экономики. По аналогии с тем, как рассчитываются экономические риски, логистические связи, планируется анализировать возможные сценарии реагирования на инциденты кибербезопасности. В данном случае применение экономических практик вполне оправдано, так как при возникновении инцидента кибербезопасности на объекте КИИ страдает не только сама система и программно-аппаратное обеспечение, передаваемые данные, но и конечный продукт или объект, которым управляет система. К примеру, при возникновении атаки отказ в обслуживании на предприятии энергетического сектора может произойти отключение электроэнергии. Что в конечном счете скажется, как на потребителе, так и на производстве. Подобных примеров атак, которые затрагивают объекты КИИ, немало и их количество растет. Большинство мировых исследователей уделяет особое внимание оценке и минимизации рисков при обеспечении защиты объекта КИИ. Таким образом, данный результат позволит конкурировать с мировыми лабораториями, так как будет построен на новых современных практиках, интегрированных в систему.
4. Технология защиты от деструктивного воздействия на объект КИИ на основе непрерывного мониторинга и оценки состояния системы, обеспечивающая своевременное выявление инцидента кибербезопасности и вырабатывающая план реагирования для минимизации негативных последствий.
В конечном счете технология будет включать в себя: метод обнаружения аномалий на основе рефлексии, программное средство управления информационной безопасностью и систему определения контрмер для реагирования на инцидент. Подобные технологии очень важны при обеспечении безопасности объектов КИИ. На сегодняшний день оценка угроз и аномалий часто сводится к ручному труду. Несмотря на то, что сегодня достаточно популярными являются центры мониторинга и обеспечения безопасности (SOC (Security Operations Center)). Возникающие инциденты информационной безопасности поступают в единый центр обработки, где непосредственно человек принимает решение о наличие атаки. Несмотря на то, что специалисты SOC утверждают, что их труд автоматизировать невозможно, с научной точки зрения данная проблема может быть частично решаема. Данное исследование основывается на том, что объект КИИ сможет самостоятельно обнаруживать неисправности и предлагать пути решения, а также оценивать степень критичности инцидентов. Таким образом, данный результат является существенным с точки зрения информационной безопасности, а также обеспечения надежности и отказоустойчивости объекта КИИ. В конечном счете разрабатываемая технология повысит устойчивость и стабильность в экономической и социальной сфере, за счет сокращения числа успешных атак на систему, которые приводят к возникновению критических последствий.
ОТЧЁТНЫЕ МАТЕРИАЛЫ
Аннотация результатов, полученных в 2022 году
В ходе реализации научного проекта был разработан и реализован метод обнаружения аномалий с использованием данных об изменении параметров узла кибер-физической системы на основе принципа рефлексии. Данный метод основывается на возможности автономных устройств объекта критической информационной инфраструктуры (КИИ) выявлять аномалии в системе на основе анализа изменения собственных параметров. Под параметрами понимаются численные показатели, получаемые от подсистем объекта. В данном проекте на начальном этапе анализировались следующие параметры: уровень потребления энергии устройствами, уровень загруженности центрального процессора (ЦПУ), число принятых/отправленных пакетов для каждого протокола прикладного уровня, который используется в системе. Кроме того, данный метод был апробирован для беспилотных летательных аппаратов, как компонента киберфизической системы (КФС), для параметров скорость полета, высота полета, широта и долгота. Принцип рефлексии заключается в возможности устройств автономно обнаруживать возникающие аномалии в происходящих процессах. Для этого устройство в автономном режиме собирает и записывает значения своих параметров, нормализует их, а затем сравнивает разницу между прошлыми значениями и текущими. Такую разницу значений можно фиксировать с помощью значения энтропии - то есть меры различия между наборами информации. Как правило, исследователи при оценке меры энтропии сравнивают нормальные показания с текущими, обнаруживая разницу, превышающую пороговое значение фиксируют аномалию. Так как объект КИИ может включать в себя различные подсистемы, такие как киберфизические системы, вычислительные сети, автоматизированное производство, то измерить и получить шаблоны нормального поведения для каждого из типов устройств становится проблематичным. В связи с этим, в данном исследовании, для оценки аномального поведения система рассматривается, как совокупность процессов, каждый из которых может включать в себя допустимые наборы действий или режимов работы в рамках каждого процесса. Как правило, концепция кибер-физической системы, как части объекта КИИ, рассматривается ввиду многоуровневой архитектуры, где на физическом уровне находятся сенсоры, датчики, актуаторы, на сетевом уровне находятся каналы связи, модули связи и т.д., далее идет уровень хранения данных, уровень обработки и уровень приложений. В конечном счете, подсистемы и уровни КФС связаны процессами. Исходя из этой концепции каждый процесс характеризуется набором признаков, которые в свою очередь характеризуются набором киберфизических параметров. Киберфизические параметры в данном исследовании — это некоторые показатели основных компонентов системы, по анализу которых можно обнаруживать влияние на надежность и стабильность процессов. Оценка процесса происходит исходя из анализа изменения параметров. К примеру, процесс включения системы может сопровождаться повышенной нагрузкой на отдельные компоненты системы и это не будет считаться аномалией, при этом возникновение пиковых нагрузок во время процесса ожидания или работы может свидетельствовать об атаки отказ в обслуживании. Признаком атаки является нестандартное изменение параметра, получаемое от одной из подсистем объекта КИИ. Под нестандартным изменением можно понимать увеличение/уменьшение математического ожидания параметра и рост среднеквадратического отклонения. Для того чтобы в автоматическом режиме определять такие участки графиков с изменением параметров, которое характеризуется как нестандартное, необходимо использовать функцию, которая нормализует эти изменения. Для оценки влияния различных категорий атак на киберфизические параметры КФС был интегрирован онтологический подход. В результате разработанный и реализованный в виде программного модуля метод позволяет обнаруживать аномалии и классифицировать два типа атак (отказ в обсулживании и атака подделки сообщений).
В рамках проекта разработано программно-аппаратное средство анализа киберфизической защиты. Был реализован метод анализа защищенности Wi-Fi, Bluetooth и ZigBee сетей.
Для оценки качества обнаружения аномалий был разработан метод генерации данных для тестирования систем обнаружения атак. Особенностью разрабатываемого метода является то, что он позволяет выявить характеристики в изменении киберфизических параметров на основе анализа последствий реальных атак и смоделировать данные характеристики, схожие с реальными данными, но при этом отличающиеся от реальных. На основании распределения χ2 удается выделить зоны наибольших и наименьших изменений. Разделив на участки графики с сырыми данными, можно, воспользовавшись обратной функцией нормального распределения, задав среднее значение и среднеквадратическое отклонение, получить набор случайных значений, которые будут похожими на те значения, которые возникают во время атаки. Данный механизм позволяет регулировать генерируемые данные на различных участках графика, а с помощью изменения среднеквадратического отклонения и среднего значения можно контролировать степень изменения параметра. Предложенный метод позволяет получать реалистичные данные изменения киберфизических параметров под воздействием атаки. Метод позволяет быстро получать правдоподобные данные, при этом можно проводить их модификацию при необходимости.
Одним из результатов исследования является концепция базы знаний в области безопасности КФС и объектов КИИ с учетом всех концептов, которые могут влиять на безопасность объекта защиты, онтология представления знаний о безопасности КФС и архитектура базы знаний в области информационной безопасности КФС на основе интеграции онтологических моделей представления знаний для накопления знаний в области безопасности КФС и их дальнейшего анализа. Анализ российских и зарубежных работ о КФС помог узнать об архитектуре КФС и имеющихся пробелах безопасности. Анализ структурно-функциональных характеристик (СФХ) КФС позволил определить важнейшие уровни СФХ в КФС и дать точное понимание из каких компонентов состоит система. Разработка базы знаний в области информационной безопасности КФС дала понимание о том, какие модули КФС стоит защищать и на каких уровнях происходит наиболее частые нарушения информационной безопасности. На основе разработанной онтологической модели была реализована база данных. Важно, что информация об СФХ задается как вручную, так и обновляется из открытых реестров программного обеспечения. Классификация в дальнейшем осуществляется на основе метки, наименования и версии программного или аппаратного обеспечения. Такая структура уже размеченной базы данных в дальнейшем будет служить основой для реализации методов машинного обучения для формирования процедуры автоматической классификации СФХ. В ходе выполнения первого года проекта были решены поставленные задачи.
Публикации
1. А.С.Басан, Е.С.Басан, Т.Н.Иванникова, С.В.Корчаловский, В.Д.Михайлова, М.Г.Шулика The concept of the knowledge base of threats to cyber-physical systems based on the ontological approach IEEE SIBIRCON 2022 IEEE International Multi-Conference on Engineering, Computer and Information Sciences (SIBIRCON), - (год публикации - 2023)
2. Басан Е.С., Басан А.С., Некрасов А.В., Фидж К., Абрамов Е.С., Басюк А.Г. A Data Normalization Technique for Detecting Cyber Attacks on UAVs Molecular Diversity Preservation International (MDPI),Basel, Switzerland, Drones 2022, 6, 245. (год публикации - 2022) https://doi.org/10.3390/drones6090245
3. Басан Е.С., Прошкин Н.А., Шулика М.Г. Development of test stands of cyber-physical systems for security analysis International Conference on Information Science and Communications Technologies ICISCT 2022, International Conference on Information Science and Communications Technologies ICISCT 2022 (год публикации - 2023)
4. Е. С. Басан, О. Ю. Пескова, О. И. Силин, А. С. Басан, Е. С. Абрамов Генерация данных для моделирования атак на БПЛА с целью тестирования систем обнаружения вторжений Информатика и автоматизация (Труды СПИИРАН), Информатика и автоматизация, 21(6), 1290-1327. (год публикации - 2022) https://doi.org/10.15622/ia.21.6.8
5. - Наука в лицах ЮФУ: Елена Сергеевна Басан и информационная безопасность в беспроводных сетях Пресс-центр Южного федерального университета, - (год публикации - )
6. - Учим беспилотники принципам рефлексии «Город N», - (год публикации - )
Аннотация результатов, полученных в 2023 году
1. Каталог требований по информационной безопасности для объекта критической информационной инфраструктуры (КИИ) и набор рекомендаций по реализации каждого требования информационной безопасности. Каталог требований разрабатывался в соответствии с Федеральным законодательством. Была разработана методика минимизации рисков безопасности для объекта КИИ. Методика представляет собой последовательность выбора эффективных контрмер для защиты объекта КИИ от злоумышленника. Рекомендации разделены на три категории, а именно предотвращение, обнаружение и смягчение последствий, а также определены рекомендации, которые применимы к нескольким типам кибератак. Меры противодействия атаки предназначены для снижения вероятности кибератаки. Когда меры по предотвращению не дали результата и атака была успешно начата, важными становятся меры обнаружения для предупреждения пользователя о такой атаке. После обнаружения наличия атаки контрмеры по смягчению последствий помогают уменьшить негативное воздействие и ограничить ущерб.
2. Методика определения актуальных угроз и нарушителя информационной безопасности для объекта КИИ. Исходными данными для оценки объекта защиты являются результаты анализа основных областей функционирования киберфизических систем, а также их технологии, которые определяют функционал объекта. Существующая концепция определения вероятного нарушителя была доработана, были добавлены мотивы нарушителя для оценки его потенциала. Определены вероятности реализации атаки с учётом заданных начальных условий, которые определяются структурно-функциональные характеристики (СФХ), активами и доменом функционирования объекта КИИ. В итоге сформирован решатель, который позволяет на основе полученных ранее оценок вероятностей определить актуальность угрозы для объекта КИИ. Вектор входных параметров, который включает в себя уровень потенциала нарушителя, степень актуальности атаки, уровень дестабилизации и начальной защищённости СФХ, уровень критичности уязвимостей, подается на вход системы принятия решений, на основе дерева принятия решений, для определения значения целевой функции, определяющей вероятность реализации угрозы. Основные аспекты работы, связанные с описанием сервиса представлены в публикации:
E. S. Basan, D. A. Archakova and T. N. Ivannikova, "Design as a Way to Involve the End User in Information Security Issues," 2023 IEEE 24th International Conference of Young Professionals in Electron Devices and Materials, Novosibirsk, Russian Federation, 2023, pp. 1750-1754.
3. Методика оценки рисков информационной безопасности и степени ущерба в случае успешной реализации атаки, за счет анализа степени влияния атак разной интенсивности на киберфизические параметры (КФП) информационной системы. Разработана методика оценки рисков и угроз информационной безопасности для автоматизированного производства, как объекта критической информационной инфраструктуры (далее объект КИИ), в основе реализации которой лежит онтологический подход, который позволяет автоматизировать процесс экспертной оценки рисков, а также избежать избыточности и субъективности при оценке. Новизна работы заключается в корреляции типов внешних деструктивных воздействий на объект КИИ, его киберфизические параметры, СФХ и выявлении последствий для системы. Таким образом, с помощью схемы можно определить ущерб от воздействия атак на КФП по суммарной вероятности потери конфиденциальности, целостности и доступности. Основные аспекты методики описаны в статье:
E. S. Basan, N. A. Sushkin and L. K. Babenko, "Methodology for Detecting Attacks in the Context of Destructive Influences," 2023 IEEE XVI International Scientific and Technical Conference Actual Problems of Electronic Instrument Engineering, Novosibirsk, Russian Federation, 2023, pp. 1120-1124.
4. Модуль оператора со встроенной рекомендательной системой мониторинга состояния и оценки безопасности объекта критической информационной инфраструктуры. Модуль оператора имеет связь с сервисами оценки угроз, рисков и атак на объект КИИ. Благодаря единому информационно-аналитическому ресурсу пользователь может не только оценить риски и угрозы, получить рекомендации по их минимизации, как на этапе развертывания системы, так и в процессе эксплуатации. Рекомендательная система включает оценку состояния окружающей среды, оценку ландшафта местности. Система позволит принять решение, способствующее либо возвращению к исходному состоянию для стабилизации системы, либо продолжению работы, если риски приемлемы и система способна выполнять функции, рассматриваются также и наборы других решений. Проведенное экспериментальное исследование показало, что при использовании данного подхода для БАС повышается уровень достижения цели до 86% при действии атаки.
Basan, E.S., Mogilny, A.B., Lesnikov, A.A., Basan, A.S. (2023). Decision-Making Module to Improve the Stability of the UAV Flight. Lecture Notes in Networks and Systems, vol 777. Springer, Cham.
5. Метод глубокого анализа трафика для обнаружения аномального поведения в системе. Реализованы следующие задачи: проведен анализ трафика для выявления режимов работы автоматизированного производства; проведен статистический анализ трафика; выделены метрики для анализа трафика в программном обеспечении; разработано программное обеспечение для обнаружения атак на автоматизированное производство. Архитектура системы является распределенной и включает в себя следующие компоненты: сенсор сбора данных и модуль оператора, который располагается на уровне анализа данных. Метод глубокого анализа трафика основан на классификации и формализации потоков передаваемых данных с помощью разработанного набора метрик, а также количественной и качественной оценки структуры трафика, позволяет сформировать модель передачи данных на объекте КИИ, выявить связи между изменениями структуры трафика и фактическими изменениями в работе объекта КИИ. Основные результаты описаны в следующей статье:
Basan, E.; Basan, A.; Nekrasov, A.; Fidge, C.; Ishchukova, E.; Basyuk, A.; Lesnikov, A. Trusted Operation of Cyber-Physical Processes Based on Assessment of the System’s State and Operating Mode. Sensors 2023, 23, 1996.
6. Разработана база данных инцидентов информационной безопасности и способов реагирования на них. Разработана концепция сервиса «Инцидентов». Суть сервиса заключается в сборе актуальных данных об инцидентах, кибератаках, новых угрозах и уязвимостях, которые актуализируются в настоящем времени. Для автоматизации процесса сбора данных был проведен анализ источников данных, выделены новостные информационные каналы, а также специализированные ресурсы, которые публикуют ежедневную информации о новых событиях информационной безопасности. Сервис дает возможность пользователю проверить реализуемость наиболее популярных векторов атаки на систему, чтобы подтвердить актуальность вектора, проверить уязвимости протоколов, веб-приложений, баз данных, а также протестировать на отказоустойчивость систему. Некоторые результаты изложены в публикации:
E. S. Basan, D. A. Archakova and T. N. Ivannikova, "Design as a Way to Involve the End User in Information Security Issues," 2023 IEEE 24th International Conference of Young Professionals in Electron Devices and Materials, Novosibirsk, Russian Federation, pp. 1750-1754.
7. Разработан метод и протокол аутентификации для группы БАС, узлов объекта КИИ. Научная новизна данного исследования прежде всего состоит в том, что впервые разработан протокол, комплексно решающий вопрос взаимной аутентификации и передачи данных для динамической структуры сети, в которой не только изменяется конфигурация сети, но также меняется количество активных участников сети. Достоинством протокола является его ориентированность на использование отечественных алгоритмов шифрования. Описание метода и протокола приводится в публикации:
Басан А.С., Басан Е.С., Ищукова Е.А., Корнилов А.П. Протокол взаимной аутентификации группы объектов с динамической топологией. Вопросы кибербезопасности, №4, 2023. – С. 41 – 52 ( ВАК, RSCI).
Публикации
1. Басан А.С., Басан Е.С., Ищукова Е.А., Корнилов А.П. Потокол взаимной аутентификации группы объектов с динамической топологией АО “НПО “Эшелон”, Вопросы кибербезопасности. 2023. № 4(56) (год публикации - 2023) https://doi.org/10.21681/2311-3456-2023-4-33-40
2. Басан Е.С., Могильный А.Б., Лесников А.А., Басан А.С. Decision-Making Module to Improve the Stability of the UAV Flight Springer, Cham., Proceedings of the Seventh International Scientific Conference “Intelligent Information Technologies for Industry” (IITI’23). IITI 2023. Lecture Notes in Networks and Systems, vol 777. Springer, Cham. (год публикации - 2023) https://doi.org/10.1007/978-3-031-43792-2_9
3. Басан, Е.; Басан, А.; Некрасов А.; Фидж, К.; Ищукова Е.; Басюк А.; Лесников, А. Trusted Operation of Cyber-Physical Processes Based on Assessment of the System’s State and Operating Mode MDPI, Sensors 23, no. 4: 1996. (год публикации - 2023) https://doi.org/10.3390/s23041996
4. Е. С. Басан, Д. А. Арчакова, Т. Н. Иванникова Design as a Way to Involve the End User in Information Security Issues IEEE, 2023 IEEE 24th International Conference of Young Professionals in Electron Devices and Materials (EDM), Novosibirsk, Russian Federation, 2023, pp. 1750-1754 (год публикации - 2023) https://doi.org/10.1109/EDM58354.2023.10225216
5. Е.С. Басан, Н.А. Сушкин, Л.К. Бабенко Methodology for Detecting Attacks in the Context of Destructive Influences IEEE, 2023 IEEE XVI International Scientific and Technical Conference Actual Problems of Electronic Instrument Engineering (APEIE), Novosibirsk, Russian Federation, 2023, pp. 1120-1124 (год публикации - 2024) https://doi.org/10.1109/APEIE59731.2023.10347616