Контакты
Подписка 2025

Как машинное обучение помогает защитить АСУ ТП

Андрей Лаврентьев, 13/01/19

 

Снимок экрана 2019-01-15 в 17.45.17

В настоящее время использование искусственного интеллекта на предприятиях становится все более востребованным, что способствует развитию дальнейших разработок в этой сфере. Внедрение методов машинного обучения особенно актуально для обеспечения качественно нового уровня защиты автоматизированных систем управления технологическими процессами (АСУ ТП). На данный момент в России уже появились прогрессивные разработки на основе алгоритмов машинного обучения, позволяющие обеспечить более надежную защиту АСУ ТП.

Современная система АСУ ТП – киберфизическая система, соединяющая ИT-инфраструктуру и операционные процессы (Operational Technologies) или OT-инфраструктуру. Главная задача АСУ ТП заключается в обеспечении непрерывности ОТ-процессов, т.к. компрометация промышленных сетей может стать причиной необратимых повреждений оборудования и привести к простоям в производстве. Результатом атаки на промышленное предприятие или ошибки персонала может стать остановка или нарушение работы АСУ ТП. Кроме того, если причиной сбоя в ОТ была кибератака, то предприятие, как правило, несет серьезные имиджевые и финансовые потери. В связи с этим помимо усиленной защиты цифровой среды (ИT) АСУ ТП необходимо охранять их ключевую составляющую – OT.

Атаки на ОT представляют наибольшую опасность для промышленных объектов и их инфраструктуры. Более того, многие атаки на цифровую среду нередко нацелены на поражение OT-инфраструктуры. Хакеры подменяют значения цифровых данных сенсоров и команд, устраивают DDoS-атаки и т.д. Они также используют уязвимости в цифровой среде киберфизической системы и с ее помощью атакуют процессы ОТ.

 Машинное обучение – наиболее эффективный способ защиты ОТ

Преимущество машинного обучения состоит в том, что оно позволяет решать практические задачи не через явное программирование, а посредством обучения по данным телеметрии производственных процессов. В отличие от экспертной системы, функционирующей на базе целого ряда жестко заданных правил, системы на основе машинного обучения постоянно адаптируются и совершенствуются и, как следствие, гораздо более гибки в своей работе. Условия эксплуатации, входные материалы и производственные задачи предприятия часто меняются, но машинное обучение способно подстраиваться под эти изменения.

К особенностям сигналов телеметрии АСУ ТП относятся:

  • огромное количество сигналов – как правило, около десятка тысяч различных тегов;
  • частое обновление тегов – до 10 раз в секунду;
  • большая история, которая может накапливаться годами;
  • сильная "зашумленность" данных;
  • корреляция различных сигналов.

Последний пункт особенно важен для подхода, основанного на принципах машинного обучения. Между сигналами, включающими данные сенсоров, команд и параметров логики управления, существует тесная корреляция. Подобных связей сигналов на крупном промышленном объекте огромное множество. Их наличие ведет к тому, что атака на какую-либо часть сигналов или на звенья АСУ ТП неминуемо воздействует на другие технологические сигналы. Машинное обучение может "выучить" эту взаимосвязь и в результате вовремя распознавать подобные изменения.

Технологии на базе машинного обучения собирают и анализируют данные сенсоров, актуаторов и уставок и выявляют отклонения технологических процессов от нормальных показателей. Аномалии могут включать изменения амплитуды какого-то сигнала, периода, фазы синхронизации между разными сигналами. Система на базе машинного обучения способна выступать в качестве детектора атак и вовремя распознавать аномалии, связанные со спуфингом значений сенсоров и команд, изменением логики управления, физическими атаками на оборудование. При обнаружении таких аномалий, как выход оборудования из строя или изменение условий внешней среды, система может функционировать в качестве инструмента предикативного мониторинга.

Кроме того, технологии на основе машинного обучения позволяют не только выявить, но и проанализировать аномалию: определить именно то место в технологическом процессе, где что-то пошло не так и повлияло на другие параметры работы. Это осуществляется посредством локализации сигнала, в поведении которого наблюдается наибольшая разница с нормальным поведением.

Огромное преимущество систем, основанных на машинном обучении, заключается в том, что они охватывают гораздо более широкий круг связей между индустриальными сигналами по сравнению с традиционной экспертной системой защиты, функционирующей на базе правил, которые нередко слишком обобщены, чтобы подходить под разные условия. Усовершенствованная система на основе машинного обучения способна быстрее отреагировать на аномальные изменения в процессах, что позволяет обеспечить более надежную защиту ОТ-процессов и обезопасить критическую инфраструктуру АСУ ТП.

Machine Learning for Anomaly Detection

 Используя преимущества машинного обучения, "Лаборатория Касперского" разработала технологию Machine Learning for Anomaly Detection (MLAD), повышающую эффективность обнаружения атак на ОТ-инфраструктуру.

Алгоритм работы MLAD функционирует на основе нейронной сети, архитектура которой подстраивается под защищаемый промышленный объект. Использование взаимосвязи в сигналах технологического трафика позволяет системе обучать нейронную сеть различать поведение сигналов в нормальном режиме работы. После обучения система способна предсказывать показатели технологического процесса на некоторое время вперед и сравнивать их с наблюдаемыми значениями в режиме реального времени. В том случае, если величина ошибки предсказания больше, чем статистически определенный на этапе обучения порог, система фиксирует аномалию и формирует предупреждающее событие.

В феврале 2018 г. система MLAD была запущена в пилотную эксплуатацию на предприятии нефтеперерабатывающей отрасли России в АО "ТАНЕКО", входящем в Группу "Татнефть".  Для этого была построена нейросетевая модель по данным телеметрии 2017 г. от наиболее сложного и важного участка предприятия – ЭЛОУ-АВТ-7, включающего электрообессоливающую установку, куда поступает сырая нефть, печи, атмосферные и вакуумные колонны, где происходит разделение нефтепродуктов по фракциям. За период с апреля 2017-го по май 2018 г. обнаружены различные типы аномалий: отклонения технологического процесса, связанные с периодами смены режимов; переводы контуров управления в ручной режим; ситуации, обусловленные некорректными показаниями датчиков. В результате благодаря внедрению системы специалисты по информационной безопасности и по технологическим процессам обладают инструментом для автоматического раннего оповещения об опасных ситуациях, обнаружения аномалий и их интерпретации.

 

Автор: Андрей Лаврентьев, руководитель отдела развития технологий “Лаборатории Касперского”

Темы:Лаборатория КасперскогоСделано в РоссииАСУ ТП

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Тренды информационной безопасности, и как они влияют на SIEM
    Cовременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критически важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры.
  • Кибериммунитет для тонких клиентов
    Михаил Левинский, старший менеджер по продукту, “Лаборатория Касперского”
    Есть разные взгляды на тонкие клиенты и принципы построения их архитектуры. И хотя самих тонких клиентов на российском рынке не так много, решение “Лаборатории Касперского” явно выделяется среди всех за счет заложенной в нем кибериммунности. Разберемся, что это означает на практике и какие инструменты для контроля и управления это дает для специалистов по информационной безопасности.
  • Про m-TrusT для АСУ ТП в новой удобной форме
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    C самого начала мы позиционировали m-TrusT предназначенным в основном именно для АСУ ТП, и, казалось бы, об этом написано уже просто все. Более того, АСУ ТП и является одной из основных сфер фактического применения этого решения. Стоит ли писать еще один текст на ту же тему?
  • Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.
  • Актуальная проблема защиты информации в АСУ ТП
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Совершенно естественно, что регуляторы предъявляют требования к системам и выполнять их должны владельцы систем. На этом, пожалуй, все. Дальше начинается что-то неестественное. Давайте попробуем понять почему и исправить.
  • Какие проблемы остро стоят в аспекте защиты АСУ ТП в 2024 г.?
    Кибербезопасность АСУ ТП остается критически важной и сложно решаемой задачей, с существенными отличиями от защиты корпоративного сегмента. Эксперты в области безопасности промышленных систем поделились своим мнением по нескольким вопросам, подготовленным редакцией журнала “Информационная безопасность”.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...