Вас вітає Інтернет конференція!
Вітаємо на нашому сайті
КІЛЬКІСНЕ ОЦІНЮВАННЯ КІБЕРЗАГРОЗ ДЛЯ СИСТЕМ КРИТИЧНОЇ ІНФРАСТРУКТУРИ НА ОСНОВІ МОДЕЛІ ІНТЕГРАЦІЇ ДАНИХ ДАТЧИКІВ СИСТЕМИ SCADA
11.05.2025 20:37
[1. Інформаційні системи і технології]
Автор: Шостак Андрій Анатолійович, Національний технічний університет України «Київський політехнічний інститут ім. Ігоря Сікорського», м. Київ; Гальчинський Леонід Юрійович, канд. техн. наук, доцент, Національний технічний університет України «Київський політехнічний інститут імені Ігоря Сікорського», м. Київ
ORCID 0009-0007-1038-7746 Шостак А.А.
ORCID 0000-0002-3805-1474 Гальчинський Л.Ю.
У сучасних умовах внаслідок стрімкої цифровізації промислових систем та зростання складності кіберзагроз, питання забезпечення надійної кібербезпеки та кіберстійкості критичної інфраструктури набуває особливої ваги[1]. До об’єктів критичної інфраструктури (КІ) належать енергетичні комплекси, транспортні вузли, системи водопостачання, системи телекомунікації та ін. — інфраструктурні компоненти, порушення в роботі яких може мати масштабні наслідки для економіки та безпеки державив цілому.
За останні десятиліття для управління такими об’єктами є SCADA-системи (Supervisory Control and Data Acquisition), які керують фізичними процесами у реальному часі, водночас забезпечуючи інтерфейс з верхніми щаблями управління. Уразливість цих систем до атак на рівні сенсорних каналів, логіки керування та комунікаційних протоколів зумовлює потребу у розробці не лише засобів виявлення вторгнень, а й механізмів кіберризик-аналізу, здатних оцінити різновид та рівень загрози та критичність інциденту ще до настання реальних наслідків. Таким чином це має бути не просто система SIEM, а інструмент, який дає достовірну інформацію для мінімізації наслідків можливого втогнення.
Специфікою систем КІ є та обставина, що шкідливі несанкціоновані вторнення проникають на технологічний рівень з мережевого рівня і до певного часу можуть бути не помічені менеджментом різного рівня, хоча вимірювальна система вже може фіксувати певні відхилення від нормативних. Однак, проблемою є великий обсяг даних значної кількості датчиків різної природи, причому їх треба обробити за короткий час. Ще більше ускладнює задачу швидкої і достовірної обробки даних не тільки значний обсяг даних те, що системи SCADA мають такі характерні риси як дерегуляцію та багатоточковий зв'язок між вузлами. Це породжує проблему обробки не просто великого обсягу даних, а високошвидкісних гетерогенних даних. Відтак критичним питанням для надійної роботи системи виявлення вторнень має бути інтеграція даних різного формату в певний спільний формат як показано на на Рис.1.[2].
Рис 1 — Уніфікований формат інтегрованих даних датчиків системи SCADA
Процес уніфікації складається з кроків
1.Збір необроблених даних. Ці дані складаються з позначок часу та вимірювань.
2.Об’єднання необроблених даних. В одній базі даних зберігатимуться всі об’єднані дані датчиків. Об’єднані дані мають бути вирівняні за часом, оскільки вимірювання, які кожен датчик виконує в різний час.
3.Квантування даних. Набори даних містять неоднорідні дані від різних датчиків. Ці дані можуть приймати різні форми; цілі, логічні, дійсні тощо, щоб зменшити простір станів, дані повинні бути квантовані в різних шкалах.
4.Зіставлення зі станами. Стан — це набір квантованих і об’єднаних вимірювань датчика та позначка часу.
5.Стиснення даних у списки станів. Алгоритм стискнення обробляє нестиснутий список, видаляючи будь-яку послідовність станів, які не змінюються, і залишаючи лише один екземпляр цього стану. Крім того, усі рядки отриманого набору даних без змін порівняно з попередніми видаляються.
В результаті формуються уніфіковані дані, які відповідають формату, зображеному на Рис.1. Єдине поле, яке залишається незаповненим, — це категорія атаки. Однак заповнити це поле даний алгоритм не призначений. Натомість він дозволяє підготувати фундамент для для визначення відсутності чи наявності атаки в даний момент, причому якої категорії. Для вирішення такої задачі потрібно дві абсолютно необхідні умови:
1) наявність достовірних натурних даних, де визначено чи є факт атаки в даний момент в даному вузлі. І якщо є, то яка категорія атаки;
2) алгоритм, який може розпізнати атаку як таку, і також її категорію.
Отримати натурні дані з реальних кіберінцидентів з багатьох причин нереально. Однак, на щастя, завдяки колосальній роботі виконаній в університеті штату Місісіпі, де на спеціально побудованому натурному стенді, фактично полігоні, було земульовано цілий спектр кібератак на різного роду інфраструктурних об’єктів. За декілька років дослідники створили унікальний достовірний датасет[3].
На основі цих даних, попередньо нормалізованих, можна застосувати алгоритм навчання на прикладах яка називається теорією вкладених узагальнених прикладів (NGE). Теорія NGE походить від моделі навчання, що називається навчанням на основі прикладів, яка була спочатку запропонована як модель навчання людини у психології. Згідно цієї теорії приклади зберігаються в пам'яті дослівно, без зміни представлення. Набір прикладів, що накопичуються з часом, утворює визначення категорій. Відтак теорія NGE не є стандартною практикою сигнатур і має характерні відмінності.
•Приклади дісно зберігаються в пам'яті, але після цього наступає можливість є узагальнювати приклади. У теорії NGE узагальнення мають форму гіперпрямокутників у евклідовому n-просторі, де простір визначається змінними, виміряними для кожного прикладу. Гіперпрямокутники можуть бути вкладені один в один на довільну глибину, або в наступних версіях NGE можуть бути не вкладеними.
•NGE динамічно налаштовує свою функцію відстані, що забезпечує йому більшу толерантність до шуму за рахунок використання функції подібності.
•NGE поєднує використання гіперпрямокутників (узагальнень) з конкретними екземплярами, на відміну від інших моделей, які використовують одну форму представлення.
Ця теорія знайшла застосування у багатьох сферах, для яких є характерним наявність великої кількості гетерогенних даних, наприклад для прогнозування рецидиву раку молочної залози, класифікація квітів ірису та інших застосувань. Тому теорія NGE є релевантною для виявлення аномалій в даних з датчиків SCADA[4]. Класифікація будується крок за кроком[5]. Крок класифікації грунтується на обчисленні відстані D(E,H) між прикладом E=(E1, E2 , …, E) та гіперпрямокутником H, як задано в рівнянні. (1).
де N – кількість ознак у поточному прикладі E.
[Emax j, Eminj] визначають діапазон значень на навчальному наборі, які відповідають атрибуту j.
Hj – інтервал [Hmax j, Hminxj],
d – відстань між значеннями ознак та відповідною «стороною» гіперпрямокутника.
Параметри wi позначають ваги, що відповідають атрибутам, і їх можна коригувати під час процесу навчання або встановити на взаємну інформацію. Варіант, що використовується в цій роботі, базується на взаємній інформації.
Розглянутий механізм класифікації, побудований на основі NGE, був реалізований як програмний застосунок мовою Python. Проведене тестування на даних описаного вще датасету показало високу точність виявлення аномальних подій, зменшення обчислювального навантаження та можливість роботи з великою кількістю класів, що є критично важливим для SCADA-систем з високим рівнем різноманіття подій.
На основі методології NGE був розроблений механізм оцінки кіберризиків критичної інфраструктури реалізовано у вигляді модульної системи з чітким розподілом функцій між окремими логічними компонентами, зокрема:
•модуль підготовки та навчання моделі (Computing Model Engine).
•модуль зчитування даних (Data Reader).
•модуль обробки та класифікації даних (Inference Engine).
•модуль візуалізації та зберігання результатів (Risk Monitor Server).
Модулі обмінюються повідомленнями через HTTP із обов’язковим шифруванням кожного повідомлення. Така реалізація забезпечує криптографічну захищеність у неспеціалізованих мережах, дозволяє гнучко масштабувати архітектуру (наприклад, рознести модулі на окремі вузли) та спрощує інтеграцію із зовнішніми SIEM-системами, логерами, REST-клієнтами.
Оцінка ризику є одним з ключових етапів у формуванні стійких до загроз кіберфізичних систем критичної інфраструктури. У межах даної програмної реалізації побудовано механізм, що дозволяє обчислювати ризик як добуток ймовірності виникнення загрози (Probability) на її вплив (Impact).
Ймовірність визначається на основі частотного розподілу класів у навчальній вибірці. За допомогою numpy.unique() підраховується кількість входжень кожного класу у векторі міток y_train, після чого для кожного класу обчислюється відносна частка. Цей підхід дозволяє моделювати емпіричну ймовірність появи кожного типу події на основі реальних даних.
Інтенсивність впливу кожного класу визначається на основі показника recall (повноти) з класифікаційного звіту classification_report. Повнота для кожного класу ідентифікує ймовірність правильного виявлення подій цього типу, що у даному контексті використовується як індикатор потенційного ризику в разі недетектування.
Для кожного класу створюється таблиця, що поєднує ймовірність, вплив і результат обчислення ризику. Ці значення використовуються для візуалізації як засіб оперативної оцінки стану кібербезпеки критичної інфраструктури.
Література
1.Гальчинський Л., Личик В. (2023). Метрики оцінки кібервідмовостійкості (аналітичне оглядове дослідження). Інформаційні технології та суспільство, 2 (8), 27-33. https://doi.org/10.32689/maup.it.2023.2.3.
2.Kholidy, H. A. (2021). State Compression and Quantitative Assessment Model for Assessing Security Risks in the Oil and Gas Transmission Systems. arXiv. https://doi.org/10.48550/arXiv.2112.14137.
3.U. Adhikari, Event and intrusion detection systems for cyber-physical power systems. PhD thesis, Mississippi State University, 2015.
4.H. A. Kholidy, A. Tekeoglu, S. Iannucci et al., “Attacks detection in SCADA systems using an improved non-nested generalized exemplars algorithm,” in Proceedings of the 12th IEEE International Conference on Computer Engineering and Systems (ICCES 2017), December 2017.
5.Daniela Z., Lavinia P., Viorel N. and Flavia Z., “Evolutionary Pruning of Non-Nested Generalized Exemplars”, 6th IEEE Int. Symposium on Applied Computa-tional Intelligence and Informatics, May 19–21, 2011, Timiúoara, Romania. '
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter
Інші наукові праці даної секції
-
ДІДЖИТАЛІЗАЦІЯ ТА ШІ В ЮРИДИЧНІЙ РОБОТІ: НАВІЩО ВЧИТИ ТЕОРІЮ ПРАВА
30.04.2025 18:52 -
ПОРІВНЯННЯ СУБД ДЛЯ АНАЛІТИЧНИХ ЗАДАЧ: MYSQL, POSTGRESQL
27.04.2025 12:31 -
ПРОЄКТУВАННЯ ТА РОЗРОБКА СЕРВЕРНОЇ ЧАСТИНИ ВЕБСАЙТУ ІТ-ШКОЛИ НА ОСНОВІ REST API
20.05.2025 16:58 -
ВИКОРИСТАННЯ СУЧАСНИХ ВЕБТЕХНОЛОГІЙ У СТВОРЕННІ ДИСКОНТНОЇ СИСТЕМИ ДЛЯ СТУДЕНТІВ ЗАКЛАДІВ ВИЩОЇ ОСВІТИ
20.05.2025 16:51 -
РОЗРОБКА IOT-СИСТЕМИ МОНІТОРИНГУ РУХУ НА БАЗІ ANDROID
14.05.2025 10:55
Конференції
Конференції 2025
Конференції 2024
Конференції 2023
Конференції 2022
Конференції 2021
