Контакты
Подписка 2025

Как машинное обучение помогает защитить АСУ ТП

Андрей Лаврентьев, 13/01/19

 

Снимок экрана 2019-01-15 в 17.45.17

В настоящее время использование искусственного интеллекта на предприятиях становится все более востребованным, что способствует развитию дальнейших разработок в этой сфере. Внедрение методов машинного обучения особенно актуально для обеспечения качественно нового уровня защиты автоматизированных систем управления технологическими процессами (АСУ ТП). На данный момент в России уже появились прогрессивные разработки на основе алгоритмов машинного обучения, позволяющие обеспечить более надежную защиту АСУ ТП.

Современная система АСУ ТП – киберфизическая система, соединяющая ИT-инфраструктуру и операционные процессы (Operational Technologies) или OT-инфраструктуру. Главная задача АСУ ТП заключается в обеспечении непрерывности ОТ-процессов, т.к. компрометация промышленных сетей может стать причиной необратимых повреждений оборудования и привести к простоям в производстве. Результатом атаки на промышленное предприятие или ошибки персонала может стать остановка или нарушение работы АСУ ТП. Кроме того, если причиной сбоя в ОТ была кибератака, то предприятие, как правило, несет серьезные имиджевые и финансовые потери. В связи с этим помимо усиленной защиты цифровой среды (ИT) АСУ ТП необходимо охранять их ключевую составляющую – OT.

Атаки на ОT представляют наибольшую опасность для промышленных объектов и их инфраструктуры. Более того, многие атаки на цифровую среду нередко нацелены на поражение OT-инфраструктуры. Хакеры подменяют значения цифровых данных сенсоров и команд, устраивают DDoS-атаки и т.д. Они также используют уязвимости в цифровой среде киберфизической системы и с ее помощью атакуют процессы ОТ.

 Машинное обучение – наиболее эффективный способ защиты ОТ

Преимущество машинного обучения состоит в том, что оно позволяет решать практические задачи не через явное программирование, а посредством обучения по данным телеметрии производственных процессов. В отличие от экспертной системы, функционирующей на базе целого ряда жестко заданных правил, системы на основе машинного обучения постоянно адаптируются и совершенствуются и, как следствие, гораздо более гибки в своей работе. Условия эксплуатации, входные материалы и производственные задачи предприятия часто меняются, но машинное обучение способно подстраиваться под эти изменения.

К особенностям сигналов телеметрии АСУ ТП относятся:

  • огромное количество сигналов – как правило, около десятка тысяч различных тегов;
  • частое обновление тегов – до 10 раз в секунду;
  • большая история, которая может накапливаться годами;
  • сильная "зашумленность" данных;
  • корреляция различных сигналов.

Последний пункт особенно важен для подхода, основанного на принципах машинного обучения. Между сигналами, включающими данные сенсоров, команд и параметров логики управления, существует тесная корреляция. Подобных связей сигналов на крупном промышленном объекте огромное множество. Их наличие ведет к тому, что атака на какую-либо часть сигналов или на звенья АСУ ТП неминуемо воздействует на другие технологические сигналы. Машинное обучение может "выучить" эту взаимосвязь и в результате вовремя распознавать подобные изменения.

Технологии на базе машинного обучения собирают и анализируют данные сенсоров, актуаторов и уставок и выявляют отклонения технологических процессов от нормальных показателей. Аномалии могут включать изменения амплитуды какого-то сигнала, периода, фазы синхронизации между разными сигналами. Система на базе машинного обучения способна выступать в качестве детектора атак и вовремя распознавать аномалии, связанные со спуфингом значений сенсоров и команд, изменением логики управления, физическими атаками на оборудование. При обнаружении таких аномалий, как выход оборудования из строя или изменение условий внешней среды, система может функционировать в качестве инструмента предикативного мониторинга.

Кроме того, технологии на основе машинного обучения позволяют не только выявить, но и проанализировать аномалию: определить именно то место в технологическом процессе, где что-то пошло не так и повлияло на другие параметры работы. Это осуществляется посредством локализации сигнала, в поведении которого наблюдается наибольшая разница с нормальным поведением.

Огромное преимущество систем, основанных на машинном обучении, заключается в том, что они охватывают гораздо более широкий круг связей между индустриальными сигналами по сравнению с традиционной экспертной системой защиты, функционирующей на базе правил, которые нередко слишком обобщены, чтобы подходить под разные условия. Усовершенствованная система на основе машинного обучения способна быстрее отреагировать на аномальные изменения в процессах, что позволяет обеспечить более надежную защиту ОТ-процессов и обезопасить критическую инфраструктуру АСУ ТП.

Machine Learning for Anomaly Detection

 Используя преимущества машинного обучения, "Лаборатория Касперского" разработала технологию Machine Learning for Anomaly Detection (MLAD), повышающую эффективность обнаружения атак на ОТ-инфраструктуру.

Алгоритм работы MLAD функционирует на основе нейронной сети, архитектура которой подстраивается под защищаемый промышленный объект. Использование взаимосвязи в сигналах технологического трафика позволяет системе обучать нейронную сеть различать поведение сигналов в нормальном режиме работы. После обучения система способна предсказывать показатели технологического процесса на некоторое время вперед и сравнивать их с наблюдаемыми значениями в режиме реального времени. В том случае, если величина ошибки предсказания больше, чем статистически определенный на этапе обучения порог, система фиксирует аномалию и формирует предупреждающее событие.

В феврале 2018 г. система MLAD была запущена в пилотную эксплуатацию на предприятии нефтеперерабатывающей отрасли России в АО "ТАНЕКО", входящем в Группу "Татнефть".  Для этого была построена нейросетевая модель по данным телеметрии 2017 г. от наиболее сложного и важного участка предприятия – ЭЛОУ-АВТ-7, включающего электрообессоливающую установку, куда поступает сырая нефть, печи, атмосферные и вакуумные колонны, где происходит разделение нефтепродуктов по фракциям. За период с апреля 2017-го по май 2018 г. обнаружены различные типы аномалий: отклонения технологического процесса, связанные с периодами смены режимов; переводы контуров управления в ручной режим; ситуации, обусловленные некорректными показаниями датчиков. В результате благодаря внедрению системы специалисты по информационной безопасности и по технологическим процессам обладают инструментом для автоматического раннего оповещения об опасных ситуациях, обнаружения аномалий и их интерпретации.

 

Автор: Андрей Лаврентьев, руководитель отдела развития технологий “Лаборатории Касперского”

Темы:Лаборатория КасперскогоИмпортозамещениеАСУ ТП

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • MISRA: повышение безопасности встраиваемых систем через SAST
    Михаил Гельвих, руководитель отдела технического сопровождения ООО “ПВС”
    Встраиваемые системы управляют автомобилями, медицинским оборудованием и промышленными объектами, где ошибки могут приводить не только к финансовым потерям, но и угрожать жизням людей. Рассмотрим, как стандарт MISRA и статические анализаторы, такие как PVS-Studio, помогают обеспечить надежность и безопасность кода в критически важных приложениях.
  • Без полумер и человека: грамотная автоматизация спасет АСУ ТП от киберугроз
    Андрей Кузнецов, менеджер продукта “Синоникс” в компании “АйТи Бастион”
    Минимизация участия человека в производственных процессах – один из главных пунктов обеспечения информационной безопасности АСУ ТП. Человеческий фактор в мире автоматизированных систем до сих пор остается ключевой уязвимостью крупных организаций. Несмотря на то, что многие предприятия до сих пор сопротивляются глобальной цифровизации, нужно смотреть правде в глаза: тренд на автоматизацию производств был, есть и, с учетом развития технологий сегодня, абсолютно точно останется. С этим можно спорить, трепетно вычитывая регуляторные требования, а можно поддаться благому течению технологий и жить. Тем более, что для этого есть необходимые и удобные инструменты даже в случае АСУ ТП. Об этих инструментах и грамотном пути к безопасному обмену данными на производствах и поговорим.
  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Киберустойчивость в энергетике: как избежать иллюзий?
    Евгений Генгринович, советник генерального директора компании “ИнфоТеКС”
    Когда речь заходит о цифровой трансформации в АСУ ТП, наравне с вопросами информационной безопасности все чаще поднимается тема киберустойчивости. Устойчивость важна для любой технологической системы – будь то электроэнергетика, нефтегазовая отрасль или нефтехимия. Основная задача любого технологического процесса – достижение запланированных бизнес-результатов, и службы эксплуатации традиционно отвечают за его надежность.
  • Как на практике устранять разрывы между защитой ИТ и AСУ ТП?
    Несмотря на очевидную техническую разницу между ИТ и АСУ ТП, именно организационные барьеры чаще всего мешают выстроить устойчивую систему кибербезопасности в промышленности. Недостаточно просто поделить ответственность между подразделениями: требуется новая модель совместной работы, в которой ИТ, ИБ и технологи не просто "сотрудничают", а действуют как единая команда с общими целями и пониманием процессов. 
  • Аутсорсинг SOC для АСУ ТП: выход или угроза?
    Идея аутсорсинга SOC в промышленности все чаще обсуждается как способ повысить устойчивость и снизить затраты. Однако эксперты сходятся во мнении: применять эту модель в индустриальной сфере напрямую, по шаблону ИТ-инфраструктур, рискованно. Промышленные процессы требуют не просто мониторинга инцидентов, а глубокого понимания технологической специфики и особенностей функционирования АСУ ТП. 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...