Ученые Южно-Уральского государственного университета разработали новый метод защиты промышленных систем от кибератак и сбоев оборудования. Исследование поддержано грантом Российского научного фонда.
Промышленные комплексы представляют собой сложные системы с десятками датчиков, отслеживающих различные параметры. Человеческому оператору сложно непрерывно контролировать все эти данные и своевременно обнаруживать отклонения, которые могут сигнализировать о поломке или кибератаке.
Для решения этой проблемы специалисты ЮУрГУ предложили метод мониторинга на основе нейросетевой модели. Работа модели состоит из двух этапов. Сначала она анализирует показания всех датчиков в штатном режиме, изучая нормальное функционирование системы и создавая карту типичных состояний. После этого обученная модель переходит в режим постоянного мониторинга, сравнивая новые поступающие данные с эталонной картиной. Если текущие показатели значительно отклоняются от нормы без технологической причины, система мгновенно сигнализирует об аномалии как о потенциально опасной ситуации.
«Ключевое преимущество нашего подхода — использование нейросети Кохонена, которая может работать с большими данными, когда показаний много и они сложно связаны между собой. Классические алгоритмы часто не справляются с такими объемами и сложностью».
Александр Соколов, заведующий кафедрой «Защита информации» ЮУрГУ
Эффективность модели подтверждена тестами: система правильно классифицировала 94% данных. Время первоначального обучения модели на данных о штатной работе системы составило около 3,5 минут. В случае успешной атаки преступник может подменить технологическую информацию в системе, что способно привести к некорректной работе, рассказали авторы исследования. Применяемая нейронная сеть находит скрытые закономерности и паттерны в поведении технологических данных без заранее заданных человеком правил.
Поскольку каждая атака характеризуется уникальным набором действий, ученые планируют продолжать работу над повышением точности модели и расширением ее функционала. В перспективе система сможет не только обнаруживать, но и классифицировать тип кибератаки. Разработка может стать основой для будущих решений в области информационной безопасности промышленных объектов.