Как машинное обучение помогает защитить АСУ ТП
Андрей Лаврентьев, 13/01/19
В настоящее время использование искусственного интеллекта на предприятиях становится все более востребованным, что способствует развитию дальнейших разработок в этой сфере. Внедрение методов машинного обучения особенно актуально для обеспечения качественно нового уровня защиты автоматизированных систем управления технологическими процессами (АСУ ТП). На данный момент в России уже появились прогрессивные разработки на основе алгоритмов машинного обучения, позволяющие обеспечить более надежную защиту АСУ ТП.
Современная система АСУ ТП – киберфизическая система, соединяющая ИT-инфраструктуру и операционные процессы (Operational Technologies) или OT-инфраструктуру. Главная задача АСУ ТП заключается в обеспечении непрерывности ОТ-процессов, т.к. компрометация промышленных сетей может стать причиной необратимых повреждений оборудования и привести к простоям в производстве. Результатом атаки на промышленное предприятие или ошибки персонала может стать остановка или нарушение работы АСУ ТП. Кроме того, если причиной сбоя в ОТ была кибератака, то предприятие, как правило, несет серьезные имиджевые и финансовые потери. В связи с этим помимо усиленной защиты цифровой среды (ИT) АСУ ТП необходимо охранять их ключевую составляющую – OT.
Атаки на ОT представляют наибольшую опасность для промышленных объектов и их инфраструктуры. Более того, многие атаки на цифровую среду нередко нацелены на поражение OT-инфраструктуры. Хакеры подменяют значения цифровых данных сенсоров и команд, устраивают DDoS-атаки и т.д. Они также используют уязвимости в цифровой среде киберфизической системы и с ее помощью атакуют процессы ОТ.
Машинное обучение – наиболее эффективный способ защиты ОТ
Преимущество машинного обучения состоит в том, что оно позволяет решать практические задачи не через явное программирование, а посредством обучения по данным телеметрии производственных процессов. В отличие от экспертной системы, функционирующей на базе целого ряда жестко заданных правил, системы на основе машинного обучения постоянно адаптируются и совершенствуются и, как следствие, гораздо более гибки в своей работе. Условия эксплуатации, входные материалы и производственные задачи предприятия часто меняются, но машинное обучение способно подстраиваться под эти изменения.
К особенностям сигналов телеметрии АСУ ТП относятся:
- огромное количество сигналов – как правило, около десятка тысяч различных тегов;
- частое обновление тегов – до 10 раз в секунду;
- большая история, которая может накапливаться годами;
- сильная "зашумленность" данных;
- корреляция различных сигналов.
Последний пункт особенно важен для подхода, основанного на принципах машинного обучения. Между сигналами, включающими данные сенсоров, команд и параметров логики управления, существует тесная корреляция. Подобных связей сигналов на крупном промышленном объекте огромное множество. Их наличие ведет к тому, что атака на какую-либо часть сигналов или на звенья АСУ ТП неминуемо воздействует на другие технологические сигналы. Машинное обучение может "выучить" эту взаимосвязь и в результате вовремя распознавать подобные изменения.
Технологии на базе машинного обучения собирают и анализируют данные сенсоров, актуаторов и уставок и выявляют отклонения технологических процессов от нормальных показателей. Аномалии могут включать изменения амплитуды какого-то сигнала, периода, фазы синхронизации между разными сигналами. Система на базе машинного обучения способна выступать в качестве детектора атак и вовремя распознавать аномалии, связанные со спуфингом значений сенсоров и команд, изменением логики управления, физическими атаками на оборудование. При обнаружении таких аномалий, как выход оборудования из строя или изменение условий внешней среды, система может функционировать в качестве инструмента предикативного мониторинга.
Кроме того, технологии на основе машинного обучения позволяют не только выявить, но и проанализировать аномалию: определить именно то место в технологическом процессе, где что-то пошло не так и повлияло на другие параметры работы. Это осуществляется посредством локализации сигнала, в поведении которого наблюдается наибольшая разница с нормальным поведением.
Огромное преимущество систем, основанных на машинном обучении, заключается в том, что они охватывают гораздо более широкий круг связей между индустриальными сигналами по сравнению с традиционной экспертной системой защиты, функционирующей на базе правил, которые нередко слишком обобщены, чтобы подходить под разные условия. Усовершенствованная система на основе машинного обучения способна быстрее отреагировать на аномальные изменения в процессах, что позволяет обеспечить более надежную защиту ОТ-процессов и обезопасить критическую инфраструктуру АСУ ТП.
Machine Learning for Anomaly Detection
Используя преимущества машинного обучения, "Лаборатория Касперского" разработала технологию Machine Learning for Anomaly Detection (MLAD), повышающую эффективность обнаружения атак на ОТ-инфраструктуру.
Алгоритм работы MLAD функционирует на основе нейронной сети, архитектура которой подстраивается под защищаемый промышленный объект. Использование взаимосвязи в сигналах технологического трафика позволяет системе обучать нейронную сеть различать поведение сигналов в нормальном режиме работы. После обучения система способна предсказывать показатели технологического процесса на некоторое время вперед и сравнивать их с наблюдаемыми значениями в режиме реального времени. В том случае, если величина ошибки предсказания больше, чем статистически определенный на этапе обучения порог, система фиксирует аномалию и формирует предупреждающее событие.
В феврале 2018 г. система MLAD была запущена в пилотную эксплуатацию на предприятии нефтеперерабатывающей отрасли России в АО "ТАНЕКО", входящем в Группу "Татнефть". Для этого была построена нейросетевая модель по данным телеметрии 2017 г. от наиболее сложного и важного участка предприятия – ЭЛОУ-АВТ-7, включающего электрообессоливающую установку, куда поступает сырая нефть, печи, атмосферные и вакуумные колонны, где происходит разделение нефтепродуктов по фракциям. За период с апреля 2017-го по май 2018 г. обнаружены различные типы аномалий: отклонения технологического процесса, связанные с периодами смены режимов; переводы контуров управления в ручной режим; ситуации, обусловленные некорректными показаниями датчиков. В результате благодаря внедрению системы специалисты по информационной безопасности и по технологическим процессам обладают инструментом для автоматического раннего оповещения об опасных ситуациях, обнаружения аномалий и их интерпретации.
Автор: Андрей Лаврентьев, руководитель отдела развития технологий “Лаборатории Касперского”