Способ защиты систем управления транспортных средств от вторжений

Настоящее изобретение относится к области информационных технологий, в частности, к информационной безопасности, и может быть использовано для анализа и выявление аномалий в поведении трафика внутри информационных сетей передачи данных систем управления транспортных средств.

Здесь и далее под транспортным средством следует понимать любой вид транспортного средства (судоходное, наземное, подземное, подводное и т.д.) в котором присутствует система управления.

Разработанный способ может быть использован как совместно с системами IPS/IDS (т.е. быть составной частью), так и отдельно. Он основан на моделях Extreme Learning Machines.

В современном мире число кибератак на системы управления, в том числе транспортных средств, увеличивается с каждым годом. Количество атак, а также различных вредоносных программ увеличивается в геометрической прогрессии. По этой причине важно разработать и использовать более совершенные системы для обнаружения вторжений в систему управления транспортных средств. Данное обстоятельство способствует увеличению скорости реакции и эффективность обработки инцидентов, что в свою очередь на прямую влияет на увеличение отказоустойчивости таковых систем.

Известен (RU, патент 2583703, опубл. 10.05.2016) способ характеризации злоумышленной активности злоумышленника в системе интеллектуальной сети инженерного обслуживания, исполняемый компьютером, имеющим по меньшей мере один процессор и по меньшей мере одно запоминающее устройство, содержащий этапы, на которых: принимают от системы интеллектуальной сети, с помощью указанного по меньшей мере одного процессора, данные информационной техники (IT), включающие в себя относящуюся к IT активность принимают, с использованием указанного по меньшей мере одного процессора, данные, не относящиеся к IT данным и включающие в себя данные о событии, относящемся к определенному местоположению, от множества электронных источников, данные аналоговых измерений в сети, содержащие данные измерений фазового вектора, и список целей с соответствующими им географическими местоположениями; выполняют предварительную обработку, с использованием указанного по меньшей мере одного процессора, не относящихся к IT данных, включающую в себя подэтап, на котором: игнорируют не относящиеся к IT данные, не удовлетворяющие заданному уровню соответствия одному из множества связанных с риском событий; применяют, с использованием указанного, по меньшей мере, одного процессора, множество правил к предварительно обработанным не относящимся к IT данным, при этом указанный этап применения содержит подэтапы, на которых: ассоциируют нежелательное событие с относящейся к IT активностью; определяют вероятность того, что нежелательное событие указывает на злоумышленную деятельность, при этом подэтап определения содержит сопоставление заданного критерия с не относящимися к IT данными для генерирования одного из множества уровней вероятности в виде суммы: произведения вероятности возникновения преднамеренной злоумышленной атаки и вероятности существования уязвимости, используемой при указанной преднамеренной злоумышленной атаке; и произведения вероятности возникновения непредвиденного отказа и вероятности существования уязвимости, ассоциированной с указанным непредвиденным отказом, при этом указанная преднамеренная злоумышленная атака и указанный непредвиденный отказ содержат взаимно независимые события; и применяют к нежелательному событию, с помощью указанного по меньшей мере одного процессора, характеризацию риска на основе указанного уровня вероятности и относящейся к IT активности.

Недостатками известного способа можно признать то, что, с одной стороны, он с глубокой степенью детализации характеризует структуру системы, которая предназначена для обеспечения информационной безопасности (кибербезопасности); с другой стороны, охарактеризован конкретный вариант ее использования для ICS выработки и распределения электроэнергии. Присутствуют расчеты вероятностных характеристик для определения веса внутренних компонентов системы при решении задач обеспечения кибербезопасности.

Известны также (US, патент 9881165, опубл. 30.01.2010) система и способ для обеспечения защиты электронных систем транспортных средств. В состав данной системы входит устройство. Данное устройство устанавливают между информационной шиной и электронным блоком управления (ЭБУ). В состав устройства входят следующие функциональные блоки: блок приема сообщений (мониторинг сообщений между шиной и электронным блоком управления ЭБУ), блок анализа сообщений (определение факта несанкционированных команд, на основании установленных правил), блок передачи сообщений (пересылка правомерных команд в электронный блок управления ЭБУ).

Данная система представляет собой устройство, которое предназначено для реализации некоторых функций аппаратного Firewall. Данному техническому решению присущи следующие недостатки:

- факт несанкционированного воздействия может быть определен только в момент выставления команд;

- требует от производителя постоянных работ по усовершенствованию алгоритмов и встроенного программного обеспечения; одно устройство системы используется для обеспечения кибербезопасности только одного электронного блока управления ЭБУ;

- не позволяет определять факты подмены штатных электронных устройств на информационной шине, в том числе и установка новых.

Способ, охарактеризованный в патенте US 9881165 не предусматривает использование технологий machine learning для детектирования фактов наличия несанкционированного вмешательства. Заявленный способ основан только на методе фильтрации, что не является интеллектуальным методом обнаружения фактов несанкционированного вмешательства в работу системы.

Известна также (RU, патент 2704720, опубл. 30.10.2019) система обнаружения несанкционированно подключенных устройств в транспортном средстве, содержащая, по меньшей мере, одно электронное устройство транспортного средства, подключенное через электрическую шину к модулю обнаружения несанкционированных устройств, состоящего из блока измерений, аналого-цифрового преобразователя, блока цифровой обработки сигнала, блока буфера, блока компаратора, блока управления и блока драйвера интерфейса связи, при этом блок измерений и аналого-цифровой преобразователь выполнены с возможностью получения параметров электрического сигнала электрической шины в первый и во второй промежутки времени, в блоке цифровой обработки сигнала осуществляется обработка и построение спектра сигнала, блок буфера предназначен для хранения полученных данных сигнала, блок управления посредством команд осуществляет выполнение всех алгоритмов пересылки и арбитража, блок драйвера интерфейса связи обеспечивает интерпретацию полученных данных в соответствующем стандарте или протоколе данных и выдачу их в канал связи, а в блоке компаратора выполняется сравнение спектров сигналов, полученных в первый и во второй промежутки времени путем анализа спектральных составляющих электрических сигналов, и выявление несанкционированно установленных устройств на электрической шине транспортного средства по результатам сравнения спектров сигналов, полученных в первый и во второй промежутки времени.

Недостатками известного технического решения можно признать то, что описываемый метод направлен на выявление фактов несанкционированного подключения к информационной шине (электрической шине) транспортного средства посредством физических методов фиксации параметров без анализа непосредственно передаваемых данных на ней. В рассматриваемых информационных системах основным элементом для атаки являются данные. Охарактеризованный в патенте RU, 2704720 способ анализирует физическую среду передачи таких данных, а не сами данные. Тем самым вывод об несанкционированном подключении/вторжении делают по второстепенным признакам.

В ходе проведения поиска по научно-технической и патентной литературе не выявлен источник информации, который мог бы быть использован в качестве ближайшего аналога.

Техническая проблема, решаемая посредством реализации разработанного технического решения, состоит в разработке способа обнаружения несанкционированного вторжения в информационную шину передачи данных на транспортном средстве, причем разработанный способ позволит максимально достоверно определить наличие вторжения.

Технический результат, достигаемый при реализации разработанного способа, состоит в нивелировании фактов несанкционированного доступа к информационной шине систем управления транспортного средства, что в свою очередь позволяет предотвратить возможные потери (материальные, имиджевые), гибель людей и т.д., обеспечение возможности создания на базе разработанного способа систем уровня ips/ids (Intrusiondetection, prevention system) и их компонентов.

Для достижения указанного технического результата предложено использовать разработанный способ защиты информационных шин систем управления транспортных средств от вторжений.

При реализации разработанного способа проводят идентификацию всех узлов/устройств в сети управления, собирают и анализируют трафик информационных сетей передачи данных внутри системы управления транспортными средствами, с использованием метода машинного обучения, определяют нормальное состояние трафика системы, выявляют изменение состояния трафика с нормального на аномальное, при этом используемая система выполнена с возможностью после выявления изменения трафика только информировать пользователя о состоянии трафика и с возможностью блокирования аномального трафика.

В некоторых вариантах реализации разработанного способа для выявления аномального поведения трафика анализ сетевого трафика проводят по статическим характеристикам и динамическим характеристикам.

Предпочтительно трафик в сети собирают в пассивном режиме, после чего трафик передают в модуль для предварительной обработки данных из сети, в котором извлекают признаки для дальнейшей обработки для составления общей структуры, представляющей собой структурированный набор данных, для обработки нейронной сетью.

В некоторых вариантах разработанного способа сбор и анализ трафика осуществляют с использованием системы модулей, выполненых на базе промышленных компьютеров.

Разработанный способ имеет более детальное описание самой технологии, которая позволяет фиксировать факты несанкционированного подключения/вторжения в различные сети управления транспортного средства. Разработанный способ, в отличие от известных, показывает вариант использования технологий machine learning для выявления указанных угроз. Разработанный способ является более универсальным с точки зрения его применения, так как может быть использован в качестве самостоятельной системы, так и как отдельным компонентов комплексной системы, в отличие от охарактеризованного в RU, 2583703 где представлено описание общей архитектуры системы обеспечения ее применения.

Изучение способов и методов выполнения несанкционированных вторжений или атак злоумышленниками, показывает на то, что в основном все сводится к использованию одной и той же уязвимости, но в различных способах ее интерпретации. Данное обстоятельство дает основание утверждать, что большинство кибератак являются однородными, полиморфными. А, следовательно, описать одним набором сигнатур не представляется возможным. В связи с этим основная задача описываемого метода - поведенческий анализ сети. Основными критериями при таком анализе является идентификация системы или присвоение одного из признаков состояния в текущий момент:

• нормальное поведение;

• аномальное поведение.

Решение данной задачи, а именно определение состояния системы предложено выполнять с использованием алгоритмов машинного обучения, а именно за счет алгоритма машинного обучения, конкретно ОС-ELMOne-Class Classification with Extreme Learning Machine.

Разработанный способ защиты систем управления транспортных средств от вторжений позволяет в реальном времени собирать и анализировать трафик информационных сетей передачи данных внутри системы с целью определения текущего состояния. После обнаружения изменения состояния с нормального на аномальное, система может выполнять только информирование пользователя, а также может быть реализован функционал блокирования аномального трафика (например, блокирование аномальных пакетов данных).

Одна из главных задач, решаемая разработанным способом - обеспечение безопасности обмена данными между узлами в информационных сетях систем управления транспортных средств. Правила, по которым происходит процесс обмена данными (пакетами) внутри информационных сетей, зависят от используемых протоколов и стандартов.

Можно выделить наиболее уязвимые части таких систем, как это показано на фиг. 1, где в качестве узлов 101 представлены датчики, модули сбора данных, исполнительные механизмы. Число таких узлов в транспортном средстве не ограничено. Данные с таких узлов поступают в устройства сбора и обработки данных (узел 102) (например, для автомобилей в качестве таких узлов могут выступать блоки ECU). Передача обработанных данных от узлов 102 происходит в центры сбора информации (узел 103). Основными уязвимыми элементами в указанных системах управления являются информационные шины передачи данных (узлы 201). Данные узлы могут представлять собой различные варианты интерфейсов или стандартов (CAN, Ethernet, NMEA, Seatalk, RS485 и т.д.). Тип интерфейса не имеет значение на реализацию разработанного метода.

Стоит отметить, что любая угроза, которая остается не замеченная из-за невозможности осуществления полного мониторинга сети, может привести к экономическому, физическому, репутационному и другим видам ущерба. Поэтому, обеспечение защиты, а в частности детектирование и блокирование аномальных поведений внутри протоколов или стандартов описывающих правила передачи данных между узлами/устройствами, является важной задачей.

В основном это связано со следующим двумя аспектами:

• реализация коммуникаций по протоколам внутри системы управления транспортного средства сами по себе несут риски безопасности;

• отсутствие эффективных способов обнаружения, позволяющих решить эти риски.

Исходя из указанной проблематики, использование описанного способа в системах управления транспортными средствами весьма желательно. В предпочтительном варианте изобретения используют метод машинного обучения ОС-ELM, который может быть эффективно использован для обнаружения аномального поведения, которое может быть вызвано внешней атакой или неправильной работой.

Процесс обучения состоит в получении представления о нормальном состоянии системы. Для этой цели фиксируют трафик, который имеет место быть при нормальном режиме работы системы управления транспортным средством. Сетевой трафик анализируют по статическим характеристикам и динамическим характеристикам для выявления аномального его поведения. Так в случае появления в сети вредоносного воздействия он будет обнаружен из-за отклонения от нормально поведения. Так, к примеру, в стандартном случае эксплойт предполагает несколько вариантов атаки. Атакующие отправляют пакеты, содержащие перегруженные данные, что является явным отклонением от нормально поведения устройств, вследствие чего на принимающем устройстве это может привести к реализации отказа в обслуживании (DoS). Реализации подобных атак были оценены экспериментально на испытательном стенде и доказали свою эффективность. При реализации разработанного способа сетевое обнаружение подобных аномалий реализуют за счет знания изначального нормального состояния сети. Результаты испытаний показывают, что уровень ложноположительных результатов и уровень ложных отрицательных результатов составляют 0,19% и 0,42% соответственно при обнаружении аномалий. Результат показывает, что разработанное поведенческое решение может эффективно идентифицировать изменение нормального состояния в данном эксперименте. Анализируя захваченный пакет индустриального протокола, можно классифицировать его по определенным полям. Для каждого протокола поля выбирают в зависимости от его спецификации, так как не все поля в данном случае является значимыми, однако в общем случае обработка пакетов и их преобразования к общему потоку данных остается на низкоуровневых API модулях.

Процесс обнаружения состояния представлен на фиг. 2. На фигуре графически отображено отличие прогнозируемых данных при идеальном сигнале (сплошная линия), и получаемых при несанкционированном воздействии/атака (прерывистая линия). Данные отличия в сигналах происходят из-за вносимых непрогнозируемых отклонений от идеального сигнала при наличии атаки.

Алгоритм обработки трафика приведен на фиг. 3.

Весь трафик в сети регистрировали в пассивном режиме, после чего зарегистрированные сведения поступают в модуль для предварительной обработки данных из сети, затем после того, как модуль предварительной обработки извлекает признаки для дальнейшей обработки, после чего на их основе составляют общую структуру, которая представляет собой структурированный набор данных, для обработки нейронной сетью. Следующий модуль обнаружения вторжения принимает на вход подготовленную на предварительном этапе структуру ввода для обнаружения вторжения. Основа данного модуля является улучшенная обученная модель нейросети, которая на основе полученных данных определяет состояние сети на данный момент времени. Для последующей обработки инцидента, в случае если состояние сети отклонилось от нормального, нами используются модуль обработки вторжений. Модуль сбора данных выполняет задачу сниффинга и фильтрации данных по всему сегменту сети.

Входящий сетевой трафик представляет собой последовательность Ethernet-кадров. Ethernet-пакет состоит из МАС-заголовка, данных и CRC-суммы. МАС-заголовок в свою очередь состоит из трех составляющих: МАС-адреса источника данных, МАС-адреса получателя данных, EtherType, который используется для идентификации типа, используемого протокола в payload. CRC-сумма используется для проверки целостности данных при получении данных. На фиг. 4 приведен формат кадра протокола Ethernet.

Для захвата сетевого трафика и дальнейшего его анализа используют библиотеку с открытым исходным кодом - libpcap. Libpcap предоставляет возможность широкого спектра анализа входного трафика, в частности, определение целостности данных, типа данных, MAC-адреса источника и приемника данных, а также получать данные.

При необходимости, на этапе обработки входящего трафика библиотекой libpcap происходит фильтрация пакетов по типу данных, MAC-адресам источника и приемника, а также по формату данных.

Модуль сбора данных реализован с использованием libpcap. Libpcap - это мощная библиотека для захвата сетевых пакетов. Libpcap может отслеживать и собирать пакеты данных по всему сегменту сети. После получения заголовков сетевых пакетов на данном шаге определяется корректность пакета, а также его тип. В зависимости от типа пакетов данные протоколов, различающихся семантическим анализом, будут отправляется в модуль обработки данных.

Модуль обработки данных выполняет задачу подготовки входных данных для ОС-ELM.

На этапе сбора данных была получена последовательность из Ethernet-кадров, которая соответствует промежутку времени от t_i до t_(i+1), причем t_(i+1)-t_i=window_size, где window_size - это размер рассматриваемого временного интервала.

На этапе препроцессинга данных происходит извлечение данных из пакетов с последующей векторизацией последовательности Ethernet-пакетов в многомерный временной ряд размера (n, m), где n - количество признаков, m - количество точек внутри рассматриваемого временного интервала window_size. После операции векторизации применяют нормализацию данных, чтобы на этапах обучения ОС-ELM и inference, каждый отдельный временной ряд вносил одинаковый вклад при обработке ОС-ELM моделью. Полученный нормализованный многомерный временной ряд используют как featuremap модуля обнаружения вторжения. На фиг. 5 приведены зависимости сетевого трафика от времени.

На фиг. 6 представлена структурная схема работы Модуля обработки данных. Модуль обработки данных реализован в первую очередь для преобразования необработанных пакетов в данные, которые могут быть распознаны модулем обнаружения вторжения. В данном модуле реализованы функции быстрого извлечения данных из пакета. После применяемых алгоритмов нормализации, а также поиска размерных признаков, их можно использовать в качестве входных данных модуля обнаружения вторжения.

Одно из необходимых условий модуля обнаружения вторжений - это высокая скорость обработки данных для обнаружения атак в реальном времени. Одна из главных проблем решаемая данным модулем, помимо самого обнаружения вторжений, решение проблем масштабируемости, в том числе в условиях отсутствия вредоносного трафика (для процесса обучения). Для решения данных проблем используют улучшенный ОС-ELM. Преимуществом данной системы является высокая скорость обучения для классификации одного класса. В отличие от существующих нейронных сетей, ELM случайным образом генерирует веса между входными слоями и скрытыми слоями. Кроме того, ELM обучает эти веса, решая задачу оптимизации наименьших квадратов вместо обратного распространения ошибки работы. Из-за вышеупомянутых преимуществ ELM обычно может достичь высокой скорости обучения и получить хорошую способность к обобщению.

В данном случае дан обучающий набор Xn×d, содержащий n точек данных с d измерениями и L скрытыми узлами.

В=Н^Т(I/C+Н*Н^Т)^-1*Т

где С и Т - коэффициент регуляризации и целевой результат.

Предсказание точки входных данных х определяется как:

f(x)=g(x)B=g(x)H^T=h(x)*H^T(I/C+Н*Н^Т)^-1*Т

где g(x) - случайное отображение х; С и Т коэффициенты регуляризации и целевой результат.

ОС-ELM напрямую отображает все выходные данные скрытого уровня в одно целевое выходное значение. Учитывая выходные данные ОС-ELM данного обучающего набора y=[y1, …, yn], ошибка отображения обучающей выборки xi на целевое значение yi составляет |di-yi|. Порог dT может быть выбран, чтобы исключить небольшую долю (р) самых дальних точек обучения (di>dT).

Модуль обработки вторжения предназначен для:

• Информирования о вторжении (отображение на устройствах человеко-машинного интерфейса);

• Предоставления информации о произошедших инцидентов;

• Дополнительно модуль может осуществлять блокировку передаваемых данных по предустановленным условиям.

На фиг. 7 показана схема работы Модуля обработки вторжения. Схема описывает основной принцип построения алгоритма, на вход (inputNode) подается набор параметров, на основании которых происходит детектирование и классификация инцидентов. В процессе обучения происходит распределение весов между Nod-амискрытых слоев. Значение OutputNode сообщает о наличии или отсутствии вторжения

Модуль взаимодействия с конечным пользователем предоставляет интерфейс для отображения текущей информации, а также управления системой. Из функций управления стоит выделить возможность ввода настроечных параметров, составления конфигураций для функционирования системы и т.д.

В дальнейшем сущность разработанного способа будет раскрыта на примере.

К примеру, существует некоторая локальная сеть объекта. В зависимости от времени суток, дня недели, различных штатных ситуаций трафик в сети может вести себя различным образом и все это будут корректные ситуации.

Так же существует большая вариативность осуществления атак, которая так же совершенно различным образом сказывается на поведении сети.

Задачи системы сводятся к изучению всех возможных ситуаций поведения системы и выявления скрытых зависимостей взаимовлияния параметров сети и предсказанию поведения системы в нормальном режиме.

Первым этапом проводят обучение системы, для этого на базе модуля сбора данных производится сниффинг и фильтрации данных по всему сегменту сети. Полученные данные должны максимально покрывать все возможные ситуации поведения сети в нормальном режиме.

Далее эти данные обрабатывают с использованием модуля обработки данных и происходит извлечение карты фич (featuresmap), которая специализированным образом описывает состояние системы и позволяет предсказывать как бы повела себя система при нормальном режиме работы.

На втором этапе система интегрируется на объект и на базе регулярно получаемых данных о текущем состоянии системы (от модуля сбора данных) предсказывает параметры поведения системы при нормальном режиме работы.

Модуль обнаружения вторжения анализирует реальные данные, полученные от модуля сбора данных, и сравнивает с ожидаемыми параметрами трафика для нормального режима работы. При расхождении параметров ожидаемого и реального трафиков сети происходит генерация предупреждений пользователю.

Полученное предупреждение может быть интерпретировано на стороне пользователя по-разному, в зависимости от типа применяемой системы, в которую оно передается.

Если описанный метод реализуется в системе IPS (IntrusionDetectionSystem) сформированные предупреждения передаются пользователю в модуль SIEM/SOC. Сообщения такого рода фильтруются, а также пользователь по назначению принимает соответствующие меры. Меры должны носить организационный характер: остановка транспортного средства, отключение отдельных модулей от общей информационной управления транспортного средства, физический осмотр отдельных модулей на предмет дефекта или работоспособности и т.д.

Если описанный метод реализуется в системе IPS (IntrusionPreventionSystem), то передаваемые предупреждения на вышестоящие иерархические уровни, могут являться маркерами для принятия решения о блокировки отдельных пакетов с данными. Каждый отдельный сценарий настраивается в зависимости от назначения системы, используемого оборудования, структуры и т.д. В данном случае система может автоматически реагировать на несанкционированные вторжения в информационные системы управления транспортных средств и ликвидировать их.

Описанными способами обеспечивается информационная безопасность информационных систем управления в транспортных средствах.

1. Способ защиты систем управления транспортных средств от вторжений, характеризующийся тем, что проводят идентификацию всех узлов/устройств в информационных системах управления, собирают и анализируют трафик информационных сетей передачи данных внутри системы управления транспортными средствами, а затем с использованием метода машинного обучения, проводят определение нормального состояния трафика системы, а также выявление аномальных изменений состояния трафика по сравнению с нормальным, при этом используемая система выполнена с возможностью только информировать пользователя о состоянии трафика и с возможностью блокирования аномального трафика, причем используемая система выполнена с возможностью реализации как самостоятельная, так и в качестве подсистемы, при этом для выявления аномального поведения трафика анализ сетевого трафика проводят по статическим характеристикам и динамическим характеристикам.

2. Способ по п. 1, отличающийся тем, что трафик в информационной сети собирают в пассивном режиме, после чего трафик передают в модуль для предварительной обработки данных из сети, в котором извлекают признаки для дальнейшей обработки для составления общей структуры, представляющей собой структурированный набор данных, для обработки нейронной сетью.

3. Способ по п. 1, отличающийся тем, что сбор и анализ трафика осуществляют с использованием системы модулей, выполненных на базе промышленных компьютеров.