Информационная безопасность АСУ с использованием машинного обучения

Активное развитие такой области знаний как машинное обучение позволило добиться создания работ в области прикладного анализа данных, а также реализовать различные голосовые помощники и научить автопилот управлять автомобилем. В качестве основного фактора успеха внедрения машинного обучения стоит отметить тот факт, что фактически получается стабильная и отличная работа одного и того же метода независимо от обрабатываемой задачи.

Подобное наблюдение является актуальным и в области защиты информации, что подтверждается активными исследованиями и инвестициями в данную сферу. Причем активно обсуждается возможность применения технологии машинного обучения в области защиты информации. Ведь решение данного вопроса напрямую зависит от времени, а использование технологий машинного обучения в данной сфере зависит лишь от того, насколько точно будет отработана практика в плане использования нового инструментария. Точнее, достаточно использовать уже имеющиеся алгоритмы, обеспечив их корректную работу в новых условиях и при решении новых задач, а также выполнять постоянный сбор данных с целью систематизации получаемых знаний и их применения в дальнейшей работе по анализу и выявлению угроз.

Традиционные меры обеспечения информационной безопасности АСУ в большинстве своем опираются на анализ знакомого поведения вредоносного программного обеспечения. Применение машинного обучения при защите АСУ позволит на ранних этапах опознать те угрозы, которые системе еще неизвестны. Для получения данного результата модель на входе должна получать входные данные касаемо объекта защиты, на основании которых будет происходить обучение системы защиты. При этом процедура обучения модели может проводиться в течении длительного срока времени

В основе машинного обучения лежат три ключевых элемента – датасет, признаки и алгоритм с моделями.

Датасет представляет собой большой объем данных, который обрабатывается системой. К сведениям данного типа относятся: интернет трафик, потоки данных, сведения из журнала событий системы, активность в поведении пользователя и т.д. В зависимости от объема, а также разнообразия данных в составе обучающей выборки варьируется и точность результата предсказаний. Например, чтобы получить корректные результаты при определении спама в почтовом ящике, следует первоначально проанализировать несколько сотен тысяч электронных сообщений. Аналогично для получения максимально точного прогноза касаемо дальнейших действий пользователя необходимо осуществить наблюдения за данным пользователем минимум в течении пары месяцев. Качество сборки и подготовки датасета прямым образом влияет на эффективность машинного обучения.

Признаки система ищет непосредственно в датасетах. Например, электронный адрес отправителя письма, доменное имя сайта, время получения письма или сообщения и т.д. Число признаков может варьироваться, в зависимости от требований решаемой задачи [2].

Алгоритмы указывают методику осуществления поиска в рамках датасета. Чаще всего для его осуществления используют большое число параметров. Подбор корректного алгоритма поиска всегда сказывается на скорости работы и уровне корректности получаемых прогнозов. Данный факт приводит к выполнению активных экспериментов с моделями с целью подбора наиболее подходящей при решении той, либо иной задачи.

Обеспечение постоянной защиты АСУ реализуется за счет ряда факторов к которым относят:

• использование дорогостоящего аппаратного и программного обеспечения для организации рабочего процесса;
• применение универсальных технологий и протоколов при работе оборудования;
• отсутствие возможности реализации изолированных объектов АСУ от иной инфраструктуры организации;
• в случае возникновения атак или угроз АСУ возникнет ущерб, обладающий высокой финансовой стоимостью.

А рамках обеспечения защиты АСУ необходимо выделить ряд наиболее распространенных типовых угроз:

• внешнее проникновение на объект с последующим выходом из строя как самой системы управления, так и управляемых ею объектов;
• несанкционированное подключение к объектам управления и оказание стороннего незапланированного воздействия на них;
• возникновение блокировок в плане управления как системой, так и в плане управления объектами;
• осуществление несанкционированного обновления программного обеспечения и последующее нарушение работы оборудования [4].

Разработка автоматизированных методик, направленных на анализ и выявление возможных инцидентов информационной безопасности в рамках системы управления чаще всего реализуется на основании подхода с выявлением аномалий.

В данном случае под аномалией понимается некоторое состояние информационной системы, имеющее существенные отличия от иных состояний, наблюдаемых ранее, и имеющих какие-либо отличия в рамках соответствия данного действия требованиям информационной безопасности.

Основой представленного подхода является предположение, согласно которому большую часть времени АСУ функционирует в безопасном состоянии, которое соответствует политике безопасности. В данном случае выявление некоторой аномалии соответствует возникновению некоторого инцидента информационной безопасности. При этом может иметь место возникновение одной из двух ошибок выявления угроз на основании данного метода. Это обусловлено тем фактом, что при возникновении инцидента информационной безопасности какие-либо аномалии могут отсутствовать, либо наоборот – при возникновении некоторой аномалии не всегда имеет место возникновение инцидента информационной безопасности. Вероятность возникновение ошибочных ситуаций данного рода напрямую зависит от того, какой алгоритм и какие методы определения аномалий используются в работе [1].

При этом для определения возникающих аномалий в работе защищаемой системы управления чаще всего используются обобщенный алгоритм, состоящий из следующих операций:

• определяется состав входных данных;
• полученные входные данные обрабатываются;
• далее используется метод обнаружения аномалий, который может опираться на фиксированный набор правил или на оценку некоторого внешнего эксперта;
• последним шагом выполняется процедура выявления аномалии на основании количественных или качественных характеристик с последующей её оценкой.

Для всех решений, применяемых с целью выявления аномалий в АСУ, характерно различие, согласно которому по различному реализуются шаги «обработка входных данных» и «применение метода обнаружения аномалий».

Обработка поступающей информации может быть реализована с различной степенью детализации, начиная от конфигурирования длины пакетов, заканчивая частотой отправки или получения пакетов [5].

Применение метаинформации для осуществления анализа трафика в сетях АСУ является более эффективным методом, однако имеет недостаток в обязательном наличии корреляции между поступающими сведениями о сетевом трафике и текущим состоянием информационной безопасности для защищаемой системы. Это может приводить к возникновению большого числа ошибок при анализе метаинфомации.

Для более точного результата может быть использована методика глубокой инспекции пакетов, однако она довольно сложна в реализации, так как требует полностью описать синтаксис всех анализируемых протоколов.

Обнаружение аномалий также может выполняться с использованием двух видов процедур – осуществление классификации, в которой применяются различные алгоритмы машинного обучения, и моделирование. Использование классификации при осуществлении задачи данного рода позволяет определить каждое состояние защищаемой системы и проанализировать его на соответствие нормальной модели поведения системы. При реализации моделирования строится уменьшенная модель системы, на основании которой строится прогноз касаемо текущего состояния защищаемой системы. Наличие аномалии фиксируется при возникновении расхождения между прогнозируемой и фактической величинами. В данном случае алгоритм выявления аномалии будет значительно сложнее, однако он позволит довольно точно объяснить происхождение аномалии и оперативно локализовать её. Полученные сведения касаемо аномалии позволят объективно оценить данную аномалию.

На основании вышесказанного необходимо отметить тот факт, что процесс реализации системы защиты АСУ на основании машинного обучения сводится к поиску определенного компромисса между точностью и универсальностью выбираемого алгоритма обнаружения аномалий. При этом технологии машинного обучения позволяют реализовывать подобные алгоритмы в довольно универсальном виде, что позволяет в автоматическом режиме изучать структуры сетевых протоколов, используемых в рамках функционирования защищаемой системы, на основании чего выполняется настройка правил осуществления активной и качественной проверки пакетов. Также, на основании данной технологии может быть выполнено формирование модели защищаемой системы высокого уровня, которая позволит максимально точно определять аномальное состояние системы [3].

В рамках современных реалий обеспечение информационной безопасности становится все сложнее реализовать в эффективном русле. Это связано с большим числом факторов, основным из которых следует назвать возникновение больших объемов различных событий, а также снижение уровня экспертных оценок. При этом наблюдается все больший рост периода необнаружения угроз информационной безопасности, что приводит к необходимости использования современных методов решения данной задачи. Машинное обучение является одним из данных методов, позволяющих реализовать гибкую и самообучающуюся систему защиты.

Машинное обучение сейчас является одними из распространенных инструментов в рамках обеспечения информационной безопасности. Однако конечные пользователи не могут в полной мере оценить плюсы использования данной технологии. Это обусловлено отсутствием корректно обработанных исходных данных, а также собственных аналитиков данных.

При этом важно понимать, что машинное обучение, при всех его достоинствах, не является абсолютно безопасным решением. Это обусловлено наличием большого числа различного рода атак, направленных как раз на него. Это могут быть атаки на датасеты, либо атаки на алгоритмы, которые, в конечном счете, приводят к возникновению ошибочных решений. Также, уже давно замечено использование технологии машинного обучения злоумышленниками, что только усложнит процесс обеспечения безопасности. Однако в роли основного инструмента противостояния в данном случае должны выступать механизмы машинного обучения, без которых довольно сложно представить современную систему обеспечения информационной безопасности.