Сотрудники Санкт-Петербургского Федерального исследовательского центра РАН (СПб ФИЦ РАН) разработали подход для выявления атак на сети промышленных предприятий и объектов критической инфраструктуры. Для этого они предложили преобразовать данные сетевого трафика в изображения, которые затем требуется проанализировать с помощью компьютерного зрения. Результаты исследования опубликованы в научном журнале «Информационно-управляющие системы».

Одной из значимых практических задач в области кибербезопасности является разработка методов обнаружения сетевых атак, способных адаптироваться к новым видам угроз и новым сценариям вредоносной активности в информационных системах. В частности, в последнее время увеличивается доля атак, дающих злоумышленниками возможность удалённого управления информационными системами.

Такие атаки особенно критичны для промышленных киберфизических систем, поскольку они не только могут привести к утечке конфиденциальной информации, но и к нарушению технологических процессов предприятия, приводящих к серьёзным экономическим, социальным и экологическим последствиям. Например, это случилось в американском городе Олдсмар в 2021 году, где в результате атаки на водоочистные сооружения произошло опасное повышение уровня гидроксида натрия.

Для своевременного обнаружения атак, в рамках которых осуществляется извлечение конфиденциальных данных или подмена данных, критичных для управления технологическим процессом, учёные из СПб ФИЦ РАН разработали комплекс методик, отличающихся новым подходом к формированию анализируемых признаков.

«В настоящее время типичным подходом к выявлению сетевых атак является расчёт статистических характеристик анализируемых сетевых потоков. Мы предлагаем с помощью систем компьютерного зрения как бы „заглянуть“ внутрь сетевого потока путём построения его изображения в оттенках серого», — рассказывает старший научный сотрудник лаборатории проблем компьютерной безопасности СПб ФИЦ РАН Евгения Новикова, являющаяся основным исполнителем проекта, в рамках которого исследуются новые методы обнаружения сетевых атак на водоочистные сооружения.

В основе нового метода лежит преобразование количественных данных в изображения, каждый пиксель которых соответствует определённому оттенку серого. Затем с помощью системы компьютерного зрения учёные проводят анализ получившихся изображений. Эксперименты показали, что такие картинки при взломе и обычной работе имеют ряд признаков, по которым можно однозначно отличить взлом. Кроме того, предложенное решение позволяет значительно повысить скорость обнаружения атак по сравнению с традиционными подходами.

«Благодаря тому, что исследуемые входные данные для анализа формируются путём прямого преобразования в изображение, разработанные методики могут считаться независимыми от используемого сетевого протокола и применяться для анализа сетевого трафика, передаваемого по любому сетевому протоколу, основанному на TCP/IP, в частности, по промышленному протоколу Modbus TCP», — считает руководитель проекта, главный научный сотрудник лаборатории проблем компьютерной безопасности СПб ФИЦ РАН Игорь Саенко.

Проект поддержан грантом РНФ № 23-11-20024.

Источник: пресс-служба СПб ФИЦ РАН.