Повышение надежности автоматизированных систем управления промышленными объектами путем совершенствования уровня их информационной безопасности
СОДЕРЖАНИЕ
ВВЕДЕНИЕ
Глава 1. Системный анализ задачи повышения надежности через ИБ автоматизированных систем управления промышленными объектами
1.1 Место, роль и постановка задачи повышения надежности через ИБ автоматизированных систем управления промышленными объектами
1.2 Особенности архитектуры компонент автоматизированных систем управления промышленными объектами
1.3 Анализ методов и алгоритмов повышения надежности через ИБ автоматизированных систем управления промышленными объектами
1.4 Метрики оценки методик и алгоритмов повышения надежности через ИБ автоматизированных систем управления промышленными объектами
1.5 Выводы по главе 1
Глава 2. Модель, метод и алгоритмы повышения надежности через ИБ
автоматизированных систем управления промышленными объектами
2.1 Алгоритм фильтрации, основанный на «белом листе»
2.2 Алгоритм фильтрации, основанный на поиске форм авторизации
2.3 Метод алгоритмических проверок
2.3.1 Алгоритм поиска IP-адреса в URL-адресе
2.3.2 Алгоритм поиска дублей доменов верхнего уровня в URL-адресе
2.3.3 Алгоритм определения нестандартного номера порта в URL-адресе
2.3.4 Алгоритм валидации доменных имён
2.3.5 Алгоритм определения возраста доменного имени
2.3.6 Алгоритм определения возраста формы авторизации
2.3.7 Алгоритм сопоставления контента страницы с доменным именем
2.3.8 Алгоритм анализа истории DNS записей домена
2.3.9 Алгоритм сопоставления домена верхнего уровня с кодом страны его IP- адреса
2.3.10 Алгоритм поиска ключевых слов в URL-адресе
2.3.11 Алгоритм валидации SSL/TLS сертификата
2.3.12 Алгоритм определения длины URL-адреса
2
2.3.13 Алгоритм подсчёта точек в URL-адресе
2.3.14 Алгоритм поиска специального символа «@» в URL-адресе
2.3.15 Алгоритм поиска специальных символов “Слеши, протокол и порт” в URL-адресе
2.3.16 Алгоритм оценки доступности URL-адреса
2.4 Модель оценки опасности ресурсов посещаемых пользователями автоматизированных систем управления промышленными объектами, основанная на методе опорных векторов
2.5 Выводы по главе 2
Глава 3. Методика и программная реализация системы повышения надежности через ИБ автоматизированных систем управления промышленными объектами102
3.1 Методика повышения надежности через ИБ автоматизированных систем управления промышленными объектами
3.2 Архитектура системы повышения надежности через ИБ автоматизированных систем управления промышленными объектами
3.3 Программная реализация системы повышения надежности через ИБ автоматизированных систем управления промышленными объектами
3.4 Выводы по главе 3
Глава 4. Имитационные исследования компонентов системы повышения надежности через ИБ автоматизированных систем управления промышленными объектами
4.1 Имитационные исследования алгоритмов фильтрации
4.2 Имитационные исследования алгоритмов метода алгоритмических проверок
4.3 Имитационные исследования модели оценки опасности ресурсов и методики повышения надежности через ИБ автоматизированных систем управления промышленными объектами
4.4 Опытная эксплуатация системы повышения надежности через ИБ автоматизированных систем управления промышленными объектами
4.5 Выводы по главе 4
ЗАКЛЮЧЕНИЕ
СПИСОК СОКРАЩЕНИЙ И УСЛОВНЫХ ОБОЗНАЧЕНИЙ
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
3
Приложение A
Приложение B
Приложение C
Приложение D
Во введении обоснованы актуальность темы диссертационного
исследования, формулируются цель и задачи, определяется новизна и
практическая значимость.
В первой главе выполнен анализ задачи повышения надежности АСУ
промышленными объектами через использование новых методов защиты и
диагностирования их информационного и программного обеспечения и
проведен обзор предыдущих исследований в этом направлении.
АСУ промышленными объектами как объект управления характеризуется
набором входных и выходных переменных, управляющих и возмущающих
воздействий (рис. 1).
Атаки злоумышленников или внутренних пользователей
МеханизмыобеспеченияАСУПоказателинадежности
безопасностиАСУпромышленнымАСУпромышленными
промышленнымии объектамиобъектами
объектами
Рис. 1. Объект управления
Управляющие воздействия: алгоритмы, методы, модели обеспечения
безопасности АСУ промышленными объектами.
Возмущающие воздействия: атаки злоумышленников или внутренних
пользователей на АСУ промышленными объектами.
Выходные величины: средняя наработка на отказ, среднее время
восстановления, коэффициент готовности АСУ промышленными объектами.
Задача управления формулируется следующим образом: с учетом
воздействия возмущений найти управляющие воздействия, при которых
улучшаются показатели надежности.
Определены место и роль задачи повышения надежности через ИБ АСУ
промышленными объектами. Рассмотрены особенности и уровни архитектуры
компонент АСУ промышленными объектами, используемые на предприятиях
Пермского края, что позволило определить проблемы и риски ИБ,
возникающие на этапах их внедрения и эксплуатации. Проанализированы
существующие методики и алгоритмы повышения их надежности через ИБ.
Рассмотрены и обоснованно выбраны для целей настоящего исследования
конкретные метрики оценки методик и алгоритмов повышения надежности
через ИБ АСУ промышленными объектами. В качестве основной угрозы для
исследования определен фишинг – несанкционированный доступ к логинам и
паролям пользователя, получаемый за счет неправильных действий последнего.
Показан рост фишинговых угроз в последние года во всех областях АСУ.
Вторая глава посвящена развитию компонентов методики повышения
надежности через ИБ АСУ промышленными объектами с использованием
комбинированного подхода, основанного на эвристических методах защиты и
диагностирования их информационного и программного обеспечения. В
качестве основы методики предлагаются модифицированные алгоритмы
фильтрации, основанные на т.н. «белом списке» разрешенных адресов (портов)
и ресурсов (рис. 2) и на поиске форм авторизации на потенциально
фишинговом внешнем ресурсе.
Дополнительно к этим алгоритмам предложен метод алгоритмических
проверок внешних ресурсов, состоящий из 16 алгоритмов, позволяющих
улучшить качество определения фишинговых сайтов:
1.Поиска IP-адреса в URL-адресе;
2.Поиска дублей доменов верхнего уровня в URL-адресе;
3.Определения нестандартного номера порта в URL-адресе;
4.Валидации доменных имён;
5.Определения возраста доменного имени;
6.Определения возраста формы авторизации;
7.Сопоставления контента страницы с доменным именем;
8.Анализа истории DNS записей домена;
9.Сопоставления домена верхнего уровня и с кодом страны его IP-
адреса;
10.Поиска ключевых слов URL-адресе;
11.Валидации SSL/TLS сертификата;
12.Определения длины URL-адреса;
13.Подсчёта точек в URL-адресе;
14.Поиска специального символа @ в URL-адресе;
15.Поиска специальных символов “Слеши, протокол и порт” в URL-
адресе;
16.Оценки доступности URL-адреса.
В результате выполнения анализа ресурса формируется n-мерный вектор z,
представляющий из себя набор результатов выполнения каждого отдельно
алгоритма метода алгоритмических проверок, записанных в соответствии с
порядковым номером алгоритма. Пример n-мерного вектора =1 0 1 1 1 0 0 1 0
0 0 1 0 1 1 1.
Затем, с целью улучшения качества фильтрации решалась задача бинарной
классификации в условиях ограничений по времени и вычислительных
ресурсов доступных для анализа. Для решения данной задачи была разработана
математическая модель на основе опорных векторов, с применением функции
ядра. При разработке модели определялась классифицирующая функция : →
, которая устанавливает для объекта его класс принадлежности =
{−1; +1}.
В процессе разработки модели использовался обучающий набор входных
данных = {< , 1 1 >, … , < , , >}, где URL – адрес исследуемого
ресурса, < , > кортеж включающий в себя n-мерный вектор результатов
анализа алгоритмами из отрезка [0,1] и метка класса, к которому
принадлежит ресурс, которая может принимать значения +1 или -1, где +1
легитимный класс, -1 фишинговый. Набор разбивался на обучающий и
тестовый случайным образом множество раз. Проводились обучения и
тестирования классификаторов, сформированных методом опорных векторов, с
последующим определением самого точного классификатора. На такой каждой
итерации выбирался тип функции ядра k( , ) – линейная, полиноминальная,
радиальная базисная и сигмоидная, значения её параметров и значение
признака легитимности.
Вход
URL. Username
Label, date
Обработка URL
CHECKКакая метка?ADD
Считаем общее количествоФормирование
записей в персональныхNEWзапросов к корневым и
списках – N; I=1.локальному DNS
Сопоставление
I <= NСопоставление
с белым
результатов Nslookup
списком
запросов
Считаем разницу
между датой из списка
и сегодняшней датой
ЗаписьIP-адреса
НетДаНет
найдена?совпадают?
СопоставлениеУведомить
Дас белымспециалиста
Нет Разница больше 30 ДаспискомИБ АСУП
дней?
Обновить дату
I=I+1посещения в
URLсписке
ДаЗапись
доступен?НетДа
найдена?
НетОтправитьДобавить вОбновить дату
URL дляРазрешить
Формируем запрос сперсональныйпосещения в
дальнейшихдоступ
Удаляемсписоксписке
меткой ADD и
запись изпроверок
отправляем его на вход,
списка, I=I+1
I=I+1
Выход
Рис. 2. Алгоритм фильтрации, основанный на «белом списке»
Далее, если классы линейно разделимы, после обучения классификатора
строится гиперплоскость, которая разделяет объекты z на два класса:
⋅ + = 0,
где, – смещение гиперплоскости относительно начала координат, – вектор
нормали к гиперплоскости, ⋅ – скалярное произведение вектора нормали и
вектора характеристик объекта. Условие полосы разделения классов: −1 < ⋅
+ < 1. Качество классификации прямо пропорционально ширины полосы.
Для увеличения ширины полосы и во избежание попадания в неё объектов из
обучающего набора решается задача квадратичной оптимизации:
⋅ → min,
,
{.
⋅ ( ⋅ + ) ≥ 1, = 1,
Если классы линейно неразделимы, построение разделяющей
гиперплоскости сводится к задаче квадратичного программирования,
содержащей только двойственные переменные ( = ̅̅̅̅̅ 1, ):
− ( ) = ⋅ ∑ =1 ∑ =1 ⋅ ⋅ ⋅ ⋅ ( , ) − ∑ =1 → min,
2
{
∑ =1 ⋅ = 0,.
0 ≤ ≤ , = 1, .
Формируются опорные векторы характеристик объектов обучающего
набора, соответствующие значения двойственных переменных которых
отличаются от нуля. Опорные векторы располагаются близко к разделяющей
гиперплоскости и несут информацию о разделении классов. В результате
обучения определялась классифицирующая функция F(z), устанавливающая
класс принадлежности объекта z с соответствующей меткой:
( ) = (∑ ⋅ ⋅ ( , ) + ),
=1
где, = ⋅ − ; = ∑ =1 ⋅ ⋅ .
В итоге, была сформирована модель для расчета класса принадлежности
(+1 или –1). В результате анализа эффективности модели и практических
исследований с обучающим набором, результаты которых представлены в главе
4, для использования была выбрана радиальная базисная функция:
|| − ||2
( , ) = exp(− 2 ),
2⋅
где|| − || – квадрат расстояния между двумя векторами признаков, –
регулируемый параметр, влияющий на производительность ядра.
В третьей главе обоснованы и разработаны методика и программная
реализация системы повышения надежности через ИБ АСУ промышленными
объектами. Общая схема взаимодействия компонентов системы представлена
на рис. 3. Система состоит из трёх основных компонентов:
1. Кластер NGFW – платформа сетевой безопасности из не менее чем двух
одинаковых межсетевых экранов, которые, помимо традиционного
функционала, осуществляют глубокий анализ трафика (DPI), функционал
контентной фильтрации и механизм SSL/TLS инспекции, используемые в
алгоритмах в главе 2.
2. Кластер микросервисов – среда контейнеризации, где каждый из
алгоритмов, представленных в главе 2, реализован в виде отдельного
контейнера (микросервиса).
3. Платформаконтейнеризации–управления контейнерами,
контейнерными нагрузками и сервисами кластера микросервисов.
При попытке пользователя посетить WEB-ресурс, весь трафик
маршрутизируется в кластер NGFW. Кластер NGFW, используя механизмы DPI
и SSL-инспекции, расшифровывает трафик и получает URL-адрес, по которому
пользователь пытается перейти. Производится поиска URL-адреса в
персональном белом списке пользователя, если URL-адрес найден, то доступ
разрешается, иначе URL-адрес записывается в лог блокировок. Последний
перенаправляетсяsyslog-агентамираспределяется междуними
балансировщиком нагрузки. Агенты извлекают URL-адрес, который
отправляется для анализа далее в очередь брокера сообщений. Контейнер
поиска форм авторизации, получает сообщение из очереди, извлекает URL-
адрес и обрабатывает егоследующим образом. Производится поиск
данного URL-адреса в историческом списке; если проверка по данному URL-
адресу проводилась ранее, все дальнейшие действия прекращаются. Иначе
производится поиск форм авторизации. Если URL-адрес её не содержит, то
помечается как легитимный и добавляется в персональный белый список на
кластере NGFW. В противном случае URL-адрес отправляется для
параллельного анализа в отдельные топики брокера сообщений. Каждый такой
топик брокера сообщений используется для взаимодействия между
контейнерами.
Каждый из шестнадцати контейнеров (алгоритмов из главы 2) читает
свой «входной» топик и в результате работы возвращает значение
(фишинговый или легитимный). Как только все сообщения получены,
контейнер поиска формирует N-мерный вектор и отправляет его в контейнер
модели оценки опасности ресурсов, основанной на методе опорных векторов,
которая классифицирует ресурс. Если в результате анализа URL-адрес -
легитимный, он добавляется в персональный белый список на кластере NGFW,
иначе записывается в исторический список вместе с датой и результатом
анализа. Из исторического списка автоматически удаляются старые URL-
адреса, дата которых более тридцати дней от текущей даты.
Программная реализация выполнена на объектно-ориентированном языке
Python версии 2.7.5. Выбор обусловлен наличием в нем библиотеки для анализа
данных, реализующих машинного обучения scikit-learn и возможностью
интеграции среды выполнения python в docker-контейнер.
С использованием данной методики в работе подробно проанализирован
ряд угроз ИБ АСУ промышленными объектами, детально обоснованы и
сформированы дальнейшие рекомендации по повышению их надежности за
счет совершенствования методов улучшения:
• DNS сервисов АСУ промышленными объектами;
• СУБД АСУ промышленными объектами;
• инструментовудалённогоадминистрированиясервисов
обеспечения работоспособности АСУ промышленными объектами;
• публикации сервисов АСУ промышленными объектами в сеть
Интернет;
• сервисов АСУ промышленными объектами с использованием
инструментов регулярного аудита.
Для каждой рекомендации обоснованы архитектура решения, тонкости
программной реализации и особенности применения, описаны возможность
использования стороннего ПО или необходимость разработки собственного. К
сожалению, объем автореферата не позволяет в достаточной мере отразить эти
предложения здесь.
В четвертой главе произведено исследование эффективности
использования разработанных научных продуктов для повышения надежности
черезИБАСУпромышленнымиобъектами.
Рис. 3. Схема взаимодействия компонентов системы повышения надежности АСУ промышленными объектами
Для анализа эффективности системы в целом и отдельных алгоритмов
проведено имитационное моделирование пользовательской активности при
помощи отправки сообщений, содержащих URL-адреса, которые пытаются
посетить пользователи, сразу в балансировщик нагрузки, минуя NGFW кластер,
аналогично рис. 3. В открытых базах данных (phishtank.org, azsecure-data.org и
др.) и публичных Интернет-источниках были собраны 3257 фишинговых, 570
легитимных URL-адресов. Применяя алгоритм, основанный на «белом листе»
удалось улучшить производительность системы до 3-х раз, а применение
алгоритма поиска форм авторизации на ресурсе, улучшило точность
обнаружения форм авторизации с 98,05% до 98, 95%, то есть на 0,9%.
При анализе эффективности 16-ти алгоритмов метода алгоритмических
проверок удалось найти такие количественные параметры алгоритмов № 4, 5, 8,
12, 13 и 16, которые максимизируют вероятность правильной классификации
ресурса при помощи модели на базе опорных векторов. Для формальной
оценки качества алгоритмов использовалась описанная в главе 1 диссертации
F1-мера:
Precision⋅Recall
F1 =2 ⋅,
Precision+Recall
TP
Precision=,
(TP+FP)
TP
Recall=,
(TP+FN)
TP – количество фишинговых URL-адресов, которые корректно определены как
фишинговые, FP – количество легитимных URL-адресов, которые определены
как фишинговые, FN – количество фишинговых URL-адресов, которые
определены как легитимные.
Например, сравнение F1-мер всех алгоритмов (рис. 4) позволило
определить, что три алгоритма превышают значение 0.9 и три приближаются к
этой отметке, что говорит о минимизации процента ошибок при их работе.
Для практического исследования модели оценки опасности ресурсов,
основанной на методе опорных векторов, использовался тот же набор данных.
Для разделения существующего набора на обучающий и тестовый была
использована библиотека train_test_split библиотеки sklearn.model_selection.
Разделение выполнялось в 3-х вариациях: 30/70 в пользу обучающего набора,
50/50 и 70/30. Были реализованы, обучены и исследованы модели по
следующим методам: метод ближайших соседей; метод опорных векторов с
различными функциями ядра; метод случайного леса.
Результаты приведены в табл. 1. Наименьшее количество ошибок в части
тестового набора выявлено у метода опорных векторов с радиальной функцией.
Несмотря на то, что метод случайного леса показал минимальное количество
ошибок на обучающем наборе, ошибки на тестовом наборе достаточно велики.
Исходя из вышеперечисленного метод опорных векторов с радиальной
функцией в качестве функции ядра, предлагается как основной для
практического использования.
Рис. 4. Сравнение F1-мер качества алгоритмов метода алгоритмической
проверки фишингового ресурса АСУ промышленными объектами
На основе результатов анализа качества алгоритмов и методов выполнена
оценка качества работы (точности) модели и методики в целом (табл. 2) в
сравнении с существующими подходами и методами, проверенными на том же
наборе данных. Детали подходов и методов других авторов, приведенных в
таблице, подробно описаны в главе 1 диссертации. Следовательно,
минимальный рост точности распознавания фишинговых ресурсов АСУ
промышленными объектами за счет использования новой модели оценки
составил 0,33%. С учетом того, что для всех методов точность распознавания
достаточно близка к единице, это достаточно значимый прирост качества.
Таблица 1 – Результаты анализа качества методов построения модели
НаборОшибкиОшибки
Методтестовый/о обучающеготестового
бучающийнабора, %набора, %
30/700.142640.13489
Ближайших соседей50/500.146880.13479
70/300.148950.13811
Опорных векторов30/700.142270.13315
(радиальная базисная50/500.143750.13480
функция)70/300.144590.13923
30/700.146000.13490
Опорных векторов
50/500.149500.13584
(линейная функция)
70/300.149820.1396
НаборОшибкиОшибки
Методтестовый/ообучающеготестового
бучающийнабора, %набора, %
30/700.146000.13490
Опорных векторов
50/500.149500.13584
(полиноминальная функция)
70/300.149820.13960
30/700.146000.13490
Опорных векторов
50/500.149500.13584
(сигмоидная функция)
70/300.149820.13960
30/700.006720.14186
Случайного леса50/500.003660.13949
70/300.001740.14371
Таблица 2 – Сравнение точности различных подходов и моделей
определения фишинговых ресурсов АСУ промышленными объектами
№Подход/Метод/МодельТочность, %
1Метод, основанный на свойствах URL-адресов87,18
Подход, основанный на лексических свойствах и
291,5
регрессии
3Модель PhiDMA92,72
Подход, основанный на анализе ассоциациативными
правилами
5Cantina~95
Система, основанная на методе опорных векторов и
695,8
индексы сходства
Подход, основанный на свойствах URL-адресов с
796,35
использованием SVM
Методика повышения надежности через ИБ АСУ
896,68
промышленными объектами
В процессе опытной эксплуатации программной реализации системы на
протяжении 3-х месяцев 2019 года на АСУ промышленными объектами ПАО
«Уралкалий», были по успешно обнаружены и предотвращены 6
таргетированных атак. Исходя из значительных рисков отказа оборудования на
производстве при успешной реализации атак, каждая такая атака
приравнивалась к отказу. На основе вышеперечисленных данных и данных из
публичных источников, определены следующие статистические данные (Табл.
3).
В качестве ключевой качественной характеристики надежности через ИБ
выбран коэффициент готовности K АСУ промышленными объектами,
поскольку данный показатель является комплексным и применимым к
сложным системам:
∑ 1
асу =
∑ 1 в
в.асу =
асу
K=
асу + в.асу
где, n – число отказов; m–число восстановлений; –наработка до наступления
отказа; tв – время восстановления; асу – средняя наработка на отказ АСУ
промышленными объектами; в.асу – среднее время восстановления АСУ
промышленными объектами.
Таблица 3 – статистические данные
1 Месяц1 Месяц (во
(безвремя опытной
ПоказательПериод
применения эксплуатации
системы)системы)
Количество часов наработки АСУ
720720
промышленными объектами, час
Общее количество часов отказов АСУ
48.2440.32
промышленными объектами, час
Среднее время одного отказа АСУ
промышленными объектами, час
Всего отказов АСУ промышленными
12.227510.22
объектами
Средняя наработка на отказ АСУ
671.76679.68
промышленными объектами, час
Среднее время восстановления АСУ
48.2440.32
промышленными объектами, час
Коэффициент готовности АСУ
0.9330.944
промышленными объектами
Применение системы улучшило ключевой показатель на 1.17% и
уменьшило общее количество часов отказов на 16.42%. Что в свою очередь, в
случае применения системы в течение 1 года, снизило бы потери продукции на
18223.88 тонн или 50 062 166.33 руб.
ОСНОВНЫЕ ВЫВОДЫ И РЕЗУЛЬТАТЫ
Основным результатом диссертационного исследования является
решение научной задачи, состоящей в обосновании пути повышения
надежностиАСУпромышленнымиобъектамикрупногохимико-
технологического предприятия за счет совершенствования системы
информационной безопасности. В ходе исследования получены результаты:
1.Модифицированы и предложены к использованию в качестве первичных
фильтров алгоритмы фильтрации фишинговых ресурсов в АСУ
промышленными объектами, позволяющие снизить риски внесения изменений
в информационную базу, сопоставлять посещаемый ресурс пользователем с его
персональным белым списком и искать формы авторизации.
2.Разработан метод алгоритмических проверок фишинговых ресурсов в
АСУ промышленными объектами, позволяющий проводить анализ ресурсов на
предмет наличия различных фишинговых индикаторов.
3.Разработана модель оценки опасности внешних ресурсов, основанная на
методе опорных векторов с радиальной базисной функцией в качестве функции
ядра, позволяющая рассчитать принадлежность ресурса к одному из классов.
4.Разработана и реализована методика повышения надежности через ИБ
АСУ промышленными объектами за счет обеспечения информационной
безопасности с использованием платформы сетевой безопасности, кластера
микросервисов и платформы контейнеризации, позволяющая объединить ранее
представленные научные продукты и выстроить механизмы взаимодействия
между ними.
5.По результатам промышленной эксплуатации и имитационных
исследований удалось достигнуть увеличения производительности алгоритмов
фильтрации до 3-х раз, увеличения точности определения форм авторизации на
0.9% и точности распознавания фишинговых ресурсов, как минимум, на 0.33%.
А также, улучшения коэффициента готовности АСУ промышленными
объектами на 1.17% и уменьшения общего количества часов отказов на 16.42%.
Актуальность исследования. Указ Президента Российской Федерации «О национальных целях развития РФ на период до 2030 года» предусматривает в качестве одной из задач обеспечение темпа роста валового внутреннего продукта страны выше среднемирового при сохранении макроэкономической стабильности. Одним из механизмов достижения подобного роста является дальнейшая автоматизация производств, в том числе не включающих объекты критической информационной инфраструктуры (КИИ). По отношению к объектам КИИ и иным объектам действуют нормы Совета Безопасности РФ и Федеральной службы по техническому и экспортному контролю (ФСТЭК России), регламентирующие мероприятия по информационной безопасности (ИБ) автоматизированных систем управления (АСУ), автоматизированных систем управления технологическими процессами (АСУТП), автоматизированных систем управления производствами (АСУП), автоматизированных систем управления технической подготовкой производства (АСТПП), которые в совокупности формируют единую автоматизированную систему управления промышленными объектами (АСУ промышленными объектами). АСУ промышленными объектами является большой системой в силу наличия в ней тысяч или десятков тысяч элементов на всех уровнях от полевых интеллектуальных датчиков до рабочих мест пользователей. Рост количества устройств автоматизации, технологической связи и наблюдения, средств информатизации деятельности и подобных им порождает рост потенциальных уязвимостей в системах их защиты. Повышение надежности АСУ промышленными объектами, на объектах не отнесенных к КИИ, в части рисков, возникающих от кибер-атак, зачастую реализуются дополнительными техническими мерами защиты. Применение той или иной меры определяется экспертно, а принятие решения о реализации лежит на плечах собственников предприятия. В то же время, во всем мире признается актуальность и практическая значимость проблемы противодействия атакам, констатируются участившиеся случаи несанкционированного доступа со стороны к системам управления и оборудованию, которые могут привести к серьезным последствиям.
Методы обеспечения надежности через ИБ АСУ промышленными объектами плодотворно разрабатывались Африным А.Г., Беловым Е.Б., Васильевым В.И., Воробьевым А.А., Галимовым Р.Р., Герасименко В.А, Гузаировым М.Б., Дерябиным А.В., Лившицем И.О., Yoana A. I, Gunikhan S., Kuppusamy K.S, Gastellier-Prevost S., Granadillo G.G., Laurent M. Развитию теоретических положений ИБ АСУ промышленными объектами посвящены исследования Баранкова И.И., Глушкова В.М., Гуляева С.А., Котельникова В.А., Кузякова О.Н., Лебедева Ю.В., Машкина М.В., Михайлова У.В., Остапенко А.Г., Петрова Б.Н, Харкевича А.А., Чжо З.Е., Tewari A., Jain A.K., Gupta B.B., Fette I., Sadeh N., Tomasic A. Однако отдельные аспекты проблемы в работах перечисленных ученых не могут быть непосредственно применены в условиях крупного химико-технологического предприятия, обладающего рядом особенностей, перечисленных в диссертации, или же устарели в связи с быстрым развитием угроз ИБ. Поэтому модификация и дальнейшее развитие методов обеспечения надежности через ИБ АСУ промышленными объектами на этапах внедрения и эксплуатации представляются актуальными и практически значимыми.
В частности, обычные меры защиты против хорошо известных угроз в информационных системах (фишинга, фильтрации контента, определения необычной пользовательской активности и т.п.), подробно рассмотренные в работах Абрамова Е.С., Болодуриной И.П., Веревкина А.П., Гайдара М.Б., Дика Д.И., Жигулина Г.П., Каримова М.М., Квятковской И.Ю., Куликова Г.Г., Монахова М.Ю., Нестерука Ф.Г., Оголюка А.А., Поршнева С.В., Сердюка В.А., Сыпина А.А., Тимониной Е.Е., Ушакова Д.В., Хафизова А.Ф., Чопорова О.Н., Шелухина О.И., Cao Y., Han W., Le Y., Kang, J., Lee, D., Zhang Y., Hong J., Cranor L., Pan Y., Ding X. в АСУ промышленными объектами имеют свои особенности применения и даже оценки эффективности. Целью диссертационного исследования является повышение надежности АСУ промышленными объектами крупного химико-технологического предприятия за счет совершенствования системы информационной безопасности.
Объект исследования – АСУ промышленными объектами химико- технологического предприятия на примере ПАО «Уралкалий» г. Березники Пермского края. Предмет исследования – методы и алгоритмы противодействия несанкционированным действиям пользователей и внешних злоумышленников.
Задачи исследования:
1. Изучение и анализ особенностей архитектуры АСУ промышленными
объектами предприятий Пермского края, на предмет проблем и рисков
ИБ;
2. Модификация существующих алгоритмов фильтрации трафика для
применения в АСУ промышленными объектами;
3. Разработка метода алгоритмических проверок интернет-адресов с учетом
особенностей их использования в АСУ промышленными объектами;
4. Разработка модели оценки опасности ресурсов, на основе различных
индикаторов фишинговости;
5. Разработка методики повышения надежности АСУ промышленными
объектами за счет обеспечения информационной безопасности;
6. Программнаяреализацияполученныхнаучныхпродуктовввидесистемы повышения надежности АСУ промышленными объектами, а также для
модельных исследований;
7. Провести имитационные исследования компонентов системы повышения
надежности через ИБ АСУ промышленными объектами.
Методы исследования основаны на использовании теории автоматического управления, системного анализа, математического и имитационного
моделирования, теории алгоритмов.
Научная новизна заключается в следующем:
1. Предложены к использованию в качестве первичных фильтров
модифицированные алгоритмы фильтрации трафика в АСУ 7
промышленными объектами, позволяющие снизить риски несанкционированного изменения их информационной базы, повысить показатели производительности и точности обнаружения форм авторизации, отличающиеся применением механизма ротации записей в списке с учетом сохранения повторяемости посещения адресов, удалённым хранением списков и их шифрованием; применением n- граммного метода для поиска ключевых слов используемых для поиска форм авторизации.
2. Предложен метод алгоритмических проверок адресов в АСУ промышленными объектами на наличие фишинговых свойств, отличающийся комплексом обнаруживаемых свойств, а именно поиском использования более одного домена верхнего уровня в адресе; получением оценки ранжирования через несколько сервисов оценки; подсчетом частоты смены DNS-записей; сопоставлением контента ресурса с его доменным именем; поиском спец. символов в адресе с учетом их повторяемости; оценкой доступности ресурса основанной на его ошибках.
3. Разработана модель оценки опасности внешних ресурсов, посещаемых пользователями АСУ промышленными объектами, основанная на методе опорных векторов, отличающаяся минимизацией ошибок оценки за счет использования радиальной базисной функции в качестве функции ядра.
Достоверность результатов диссертационной работы обеспечена корректным использованием математического аппарата, результатами моделирования и тестирования алгоритмов и программного обеспечения.
Теоретическая значимость работы состоит в развитии теории обеспечения надежности АСУ промышленными объектами путем улучшения отдельных направлений информационной безопасности.
Практическая значимость работы заключается в разработке методики повышения надежности через ИБ АСУ промышленными объектами и её реализации в виде комплекса программного обеспечения для фильтрации трафика, определения опасности внешних ресурсов, проверки адресов. Программный продукт реализован средствами объектно-ориентированного программирования. Внедрение разработанного программного продукта выполнено в ПАО «Уралкалий» и ЗАО «Бионт», а также в учебном процессе в Березниковском филиале ФГБОУ ВО Пермский национальный исследовательский университет, что подтверждается актами о внедрении.
Основные положения, выносимые на защиту:
1. Модифицированные алгоритмы фильтрации трафика, основанные на персональных белых списках и поиске форм авторизации;
2. Метод алгоритмических проверок адресов, состоящем из шестнадцати алгоритмов;
3. Модель оценки опасности внешних ресурсов, основанной на методе опорных векторов с радиальной базисной функцией в качестве функции ядра.
Апробация работы. Основные положения диссертационной работы докладывались и обсуждались на Всероссийской научно-технической конференции “Автоматизированные системы управления и информационные технологии” (Пермь, 2018), Международной конференции студентов и молодых ученых “Молодежная наука в развитии регионов” (Березники, 2016), Всероссийской научно-практической конференции студентов и молодых ученых “Молодежная наука в развитии регионов” (Березники, 2017, 2018, 2019, 2020,2021), Всероссийской научно-практической конференции «Решение» (Березники, 2015, 2016, 2018, 2019, 2020), Международном семинаре «Advanced Technologies in Material Science, Mechanical and Automation Engineering» в рамках 24-й международной научной открытой конференции «Современные проблемы информатизации» (Красноярск, 2019).
Личный вклад автора. Содержание диссертации и основные положения, выносимые на защиту, отражают персональный вклад автора в постановку задачи, в разработку теоретических методов, в модельное исследование и внедрение результатов работу. Публикации. По теме исследования опубликовано 19 работ, в том числе 1 статья в журнале Scopus, 5 статей в изданиях, рекомендованных ВАК РФ, 13 работ в материалах международных и всероссийских конференций.
Соответствие паспорту специальности. 9-Методы эффективной организации и ведения специализированного информационного и программного обеспечения АСУТП, АСУП, АСТПП и др., включая базы и банки данных и методы их оптимизации, 12-Методы контроля, обеспечения достоверности, защиты и резервирования информационного и программного обеспечения АСУТП, АСУП, АСТПП и др., 13-Теоретические основы и прикладные методы анализа и повышения эффективности, надежности и живучести АСУ на этапах их разработки, внедрения и эксплуатации, паспорта научной специальности 05.13.06 – Автоматизация и управление технологическими процессами и производствами (промышленность).
Структура и объем диссертации. Работа состоит из введения, четырех глав, заключения и списка литературы. Основное содержание диссертации изложено на 211 страницах, в т.ч. 21 таблица, 54 рисунка. Список литературы содержит 123 источника.
Во введении обоснованы актуальность темы диссертационного исследования, формулируются цель и задачи, определяется новизна и практическая значимость.
В первой главе выполнен анализ задачи повышения надежности АСУ промышленными объектами через использование новых методов защиты и диагностирования их информационного и программного обеспечения и проведен обзор предыдущих исследований в этом направлении. С учетом особенностей классической трехуровневой архитектуры АСУ промышленными объектами и статистики успешно реализованных атак, в качестве основной угрозы для исследования определен фишинг. Рассмотрены и обоснованно выбраны для целей настоящего исследования конкретные метрики оценки методик и алгоритмов повышения надежности через ИБ АСУ промышленными объектами. Вторая глава посвящена развитию компонентов методики повышения надежности АСУ промышленными объектами с использованием комбинированного подхода, основанного на эвристических методах защиты и диагностирования их информационного и программного обеспечения. Представлены основные компоненты методики: модифицированные алгоритмы фильтрации: алгоритм, основанный на «белом листе» и алгоритм, основанный на поиске форм авторизации; метод алгоритмических проверок, состоящий из 16 алгоритмов; модель оценки опасности ресурсов, посещаемых пользователями АСУ промышленными объектами, основанная на методе опорных векторов. Для каждого из алгоритмов приведены соответствующая им блок-схема и описание.
В третьей главе представлено описание методики повышения надёжности АСУ промышленными объектами через ИБ. С целью её раскрытия разработаны трехкомпонентная архитектура и программная реализация системы повышения надежности АСУ промышленными объектами.
В четвертой главе произведено исследование эффективности использования разработанных научных продуктов для повышения надежности АСУ промышленными объектами. Для анализа эффективности системы в целом и отдельных алгоритмов проведены имитационные исследования. Так же представлены статистические данные по результатам опытной эксплуатации на действующей АСУ промышленными объектами ПАО «Уралкалий».
В заключении сформулированы основные результаты научно- квалификационной работы.
В приложениях представлены дополнительные материалы и копии актов об использовании результатов работы.
Публикации автора в научных журналах
Помогаем с подготовкой сопроводительных документов
Хочешь уникальную работу?
Больше 3 000 экспертов уже готовы начать работу над твоим проектом!