+

RU2747461C2 - System and method of countering anomalies in the technological system - Google Patents

System and method of countering anomalies in the technological system Download PDF

Info

Publication number
RU2747461C2
RU2747461C2 RU2019122432A RU2019122432A RU2747461C2 RU 2747461 C2 RU2747461 C2 RU 2747461C2 RU 2019122432 A RU2019122432 A RU 2019122432A RU 2019122432 A RU2019122432 A RU 2019122432A RU 2747461 C2 RU2747461 C2 RU 2747461C2
Authority
RU
Russia
Prior art keywords
technological system
technological
data packet
control
intercepted
Prior art date
Application number
RU2019122432A
Other languages
Russian (ru)
Other versions
RU2019122432A3 (en
RU2019122432A (en
Inventor
Александр Викторович Шадрин
Павел Владимирович Дякин
Дмитрий Александрович Кулагин
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2019122432A priority Critical patent/RU2747461C2/en
Publication of RU2019122432A3 publication Critical patent/RU2019122432A3/ru
Publication of RU2019122432A publication Critical patent/RU2019122432A/en
Application granted granted Critical
Publication of RU2747461C2 publication Critical patent/RU2747461C2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Programmable Controllers (AREA)

Abstract

FIELD: computer technology for information security of a technological system.
SUBSTANCE: invention relates to the field of computer technology for information security of a technological system. The technical result described below is achieved due to the method of blocking the transmission of data packets in the technological system, consisting of stages at which: a) using the duplication tool, at least one outgoing data packet is intercepted, addressed to an element of the technological system, with the duplication tool being a secure operating system with support for the hypervisor function, running on the element of the technological system; b) over a secure connection, information about the said intercepted data packet is transmitted to the control device by means of duplication; c) the control tool is used to intercept at least one incoming data packet addressed to an element of the technological system, while the control tool is a secure operating system with support for the hypervisor function running on the element of the technological system; d) with the help of the control tool, the transmission of the intercepted incoming data packet to the element of the technological system is blocked if the intercepted incoming data packet does not correspond to the mentioned information received from the duplication tool.
EFFECT: increased information security of a technological system with the ability to counteract anomalies in the technological system.
4 cl, 5 dwg

Description

Область техникиTechnology area

Изобретение относится к решениям для повышения информационной безопасности технологической системы, а более конкретно к системам и способам противодействия аномалиям в технологической системе.The invention relates to solutions for improving the information security of a technological system, and more specifically to systems and methods for countering anomalies in a technological system.

Уровень техникиState of the art

Одной из актуальных проблем промышленной безопасности является проблема безопасного протекания технологических процессов (ТП). К основным угрозам для функционирования ТП можно отнести непреднамеренные ошибки или злонамеренные действия в операционном управлении, износ и отказ оборудования и агрегатов, компьютерные атаки на системы управления и информационную систему и др.One of the urgent problems of industrial safety is the problem of the safe flow of technological processes (TP). The main threats to the functioning of the TP include unintentional errors or malicious actions in operational management, wear and tear of equipment and units, computer attacks on control systems and information systems, etc.

Автоматизированные системы управления (АСУ) на предприятиях управляют технологическими системами и также нуждаются в обеспечении необходимого уровня безопасности. Элементы технологических систем, а также операционные системы и прошивки, управляющие упомянутыми элементами, зачастую устаревают. Частое обновление операционных систем и прошивок также невозможно, ибо приводит к прерываниям в технологических процессах. Кроме того, новые версии программ также могут содержать ошибки, которые негативно сказываются на стабильности функционирования элементов технологических систем. Кроме того, существующие устаревшие, спроектированные быть изолированными, АСУ зачастую подключаются к компьютерным сетям и не имеют средств для обеспечения информационной безопасности при вредоносном воздействии извне.Automated control systems (ACS) at enterprises control technological systems and also need to ensure the required level of safety. Elements of technological systems, as well as operating systems and firmware that control these elements, are often outdated. Frequent updating of operating systems and firmware is also impossible, because it leads to interruptions in technological processes. In addition, new versions of programs may also contain errors that negatively affect the stability of the functioning of elements of technological systems. In addition, existing outdated, designed to be isolated, ICSs are often connected to computer networks and do not have the means to ensure information security in the event of malicious influences from the outside.

В технологических системах распространенной проблемой является необходимость использования устаревшего оборудования, работающего по незащищенным или уязвимым протоколам передачи информации. Это связано с тем, что срок службы оборудования в таких системах составляет годы или даже десятилетия - в течение этого срока протоколы передачи информации успевают устареть, в них обнаруживаются уязвимости. Поскольку замена уже работающего оборудования является сложным и дорогим процессом (а иногда и невозможным), зачастую проблемы безопасности остаются нерешенными, соответственно в системах управления технологическими системами появляются уязвимости. Типичная сеть управления технологическими системами включает элементы различных типов. Важными элементами являются управляющие компьютеры (серверы и клиентские станции SCADA) и программируемые логические контроллеры (ПЛК), обеспечивающие непосредственное управление оборудованием (например, исполнительными механизмами). Программное обеспечение SCADA достаточно просто обновить, при этом обновление прошивки ПЛК требует участия производителя оборудования и зачастую является чрезвычайно сложно разрешимой проблемой. В такой ситуации у злоумышленников появляется возможность влиять на работу ПЛК, что может привести к серьезным последствиям (например, к выходу контролируемого оборудования из строя, нарушениям технологического процесса в технологической системе в целом - вплоть до катастрофических последствий).In technological systems, a common problem is the need to use outdated equipment operating over insecure or vulnerable information transfer protocols. This is due to the fact that the service life of equipment in such systems is years or even decades - during this period, the information transfer protocols have time to become outdated, and vulnerabilities are discovered in them. Since the replacement of already operating equipment is a difficult and expensive process (and sometimes impossible), security problems often remain unresolved, and accordingly, vulnerabilities appear in the control systems of technological systems. A typical process control network includes various types of elements. Important elements are control computers (servers and SCADA client stations) and programmable logic controllers (PLCs) that provide direct control of equipment (for example, actuators). SCADA software is fairly easy to update, and PLC firmware update requires the involvement of the hardware manufacturer and is often an extremely difficult problem to solve. In such a situation, attackers have the opportunity to influence the operation of the PLC, which can lead to serious consequences (for example, to the failure of controlled equipment, disruptions of the technological process in the technological system as a whole - up to catastrophic consequences).

Для решения упомянутых проблем используется подход, реализованный программным обеспечением KICS for Networks «Лаборатории Касперского», в котором происходит анализ трафика внутри сети передачи данных в технологической системе с целью выявления в нем аномалий. Такой подход требует большого количества априорной информации о работе ПЛК (знание различных протоколов и значений параметров, используемых ПЛК), а выявление аномалий в трафике для сложных систем может приводить к ошибкам обнаружения вредоносной активности как первого, так и второго родов.To solve the above problems, an approach implemented by the KICS for Networks software of Kaspersky Lab is used, in which the traffic inside the data transmission network in the technological system is analyzed in order to detect anomalies in it. This approach requires a large amount of a priori information about the operation of the PLC (knowledge of various protocols and parameter values used by the PLC), and the detection of anomalies in traffic for complex systems can lead to errors in detecting malicious activity of both the first and second kind.

Существуют и другие решения, направленные на обеспечение информационной безопасности технологических систем предприятия. Одним из примеров является технология, предложенная в публикации US 20140189860, которая описывает способ обнаружения компьютерных атак на технологическую систему путем обнаружения отклонений функционирования системы от нормы, где для обнаружения отклонений используются различные методы.There are other solutions aimed at ensuring information security of technological systems of an enterprise. One example is the technology proposed in the publication US 20140189860, which describes a method for detecting computer attacks on a technological system by detecting deviations in the functioning of the system from the norm, where various methods are used to detect deviations.

В рамках настоящего изобретения предлагается подход, который требует минимальных априорных знаний о работе ПЛК и позволяет гарантированно обнаруживать попытки несанкционированного вмешательства в их работу, что повышает защищенность технологической системы. В описанном ниже решении защищенное взаимодействие компонентов SCADA с ПЛК и применение безопасного соединения (например, с использованием средств криптографической защиты) позволяют гарантировано обнаруживать аномалии (и, вероятно, вредоносные воздействия, которые не являются частью ТП и зачастую направлены на нарушение протекания ТП) в сети передачи данных и противодействовать им без проведения накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому (англ. Deep Packet Inspection, DPI), даже в случае, если некоторые элементы технологической системы в сети передачи данных работают по незащищенным протоколам передачи данных. При этом обеспечение защищенного взаимодействия компонентов SCADA с ПЛК возможно даже без модификации ПО SCADA за счет использования технологий виртуализации.Within the framework of the present invention, an approach is proposed that requires minimal a priori knowledge of the operation of the PLC and makes it possible to reliably detect attempts of unauthorized interference in their work, which increases the security of the technological system. In the solution described below, the secure interaction of SCADA components with the PLC and the use of a secure connection (for example, using cryptographic protection means) make it possible to reliably detect anomalies (and, probably, malicious influences that are not part of the TP and are often aimed at disrupting the TP flow) in the network data transmission and counteract them without accumulating statistical data, checking and filtering network packets by their content (Deep Packet Inspection, DPI), even if some elements of the technological system in the data transmission network operate using insecure data transmission protocols. At the same time, ensuring secure interaction of SCADA components with PLCs is possible even without modifying the SCADA software through the use of virtualization technologies.

Сущность изобретенияThe essence of the invention

Настоящее изобретение предназначено для противодействия аномалиям в технологической системе.The present invention is intended to counter anomalies in a process system.

Технический результат настоящего изобретения заключается в реализации заявленного назначения.The technical result of the present invention is to implement the declared purpose.

Согласно одному из вариантов реализации предоставляется способ блокирования передачи пакетов данных в технологической системе, состоящий из этапов, на которых: с помощью средства дублирования перехватывают по меньшей мере один исходящий пакет данных, адресованный элементу технологической системы; по безопасному соединению передают средством дублирования средству контроля информацию об упомянутом перехваченном пакете данных; с помощью средства контроля перехватывают по меньшей мере один входящий пакет данных, адресованный элементу технологической системы; с помощью средства контроля блокируют передачу перехваченного входящего пакета данных элементу технологической системы в случае, если перехваченный входящий пакет данных не соответствует упомянутой информации, полученной от средства дублирования.According to one of the embodiments, a method is provided for blocking the transmission of data packets in a technological system, which consists of the steps: using the duplicating means, at least one outgoing data packet addressed to an element of the technological system is intercepted; over a secure connection, transmitting information about said intercepted data packet by means of duplication to means of control; using the control means intercepting at least one incoming data packet addressed to an element of the technological system; with the help of the control means, the transmission of the intercepted incoming data packet to the element of the technological system is blocked if the intercepted incoming data packet does not correspond to the said information received from the duplicating means.

Согласно другому частному варианту реализации предлагается способ, в котором средство дублирования представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы.According to another particular embodiment, a method is proposed, in which the replication means is a secure operating system with support for a hypervisor function, running on an element of the technological system.

Согласно еще одному частному варианту реализации предлагается способ, в котором элемент технологической системы представляет собой компонент SCADA.According to another particular embodiment, a method is proposed in which an element of a technological system is a SCADA component.

Согласно еще одному частному варианту реализации предлагается способ, в котором элемент технологической системы представляет собой программируемый логический контроллер.According to another particular embodiment, a method is proposed in which an element of a technological system is a programmable logic controller.

Согласно еще одному частному варианту реализации предлагается способ, в котором средство контроля представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы.According to another particular embodiment, a method is proposed, in which the control means is a secure operating system with support for a hypervisor function, running on an element of the technological system.

Согласно еще одному частному варианту реализации предлагается способ, в котором средство контроля расположено топологически последовательно с элементом технологической системы, которому адресован перехваченный пакет данных, и перед упомянутым элементом.According to another particular embodiment, a method is proposed, in which the monitoring means is located topologically sequentially with the element of the technological system to which the intercepted data packet is addressed, and in front of the said element.

Согласно еще одному частному варианту реализации предлагается способ, в котором средство контроля расположено на элементе технологической системы, которому адресован перехваченный пакет данных.According to another particular embodiment, a method is proposed, in which the control means is located on the element of the technological system to which the intercepted data packet is addressed.

Краткое описание чертежейBrief Description of Drawings

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objects, features and advantages of the present invention will be apparent from a reading of the following description of an embodiment of the invention with reference to the accompanying drawings, in which:

Фиг. 1а схематично изображает пример технологической системы.FIG. 1a schematically depicts an example of a technological system.

Фиг. 1б схематично изображает частный пример имплементации технологической системы.FIG. 1b schematically depicts a particular example of the implementation of a technological system.

Фиг. 2 отображает пример реализации предлагаемой системы противодействия аномалиям в технологической системе.FIG. 2 shows an example of the implementation of the proposed system for countering anomalies in the technological system.

Фиг. 3 отображает пример реализации предлагаемого способа противодействия аномалиям в технологической системе.FIG. 3 shows an example of the implementation of the proposed method for countering anomalies in a technological system.

Фиг. 4 показывает пример компьютерной системы общего назначения, которая позволяет реализовать настоящее изобретение.FIG. 4 shows an example of a general purpose computer system that enables the present invention to be implemented.

Описание вариантов осуществления изобретенияDescription of embodiments of the invention

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, but may be embodied in various forms. The essence recited in the description is nothing more than specific details provided to assist a person skilled in the art in a comprehensive understanding of the invention, and the present invention is defined only within the scope of the appended claims.

Введем ряд определений и понятий, которые будут использоваться при описании вариантов осуществления изобретения.Let's introduce a number of definitions and concepts that will be used in describing the embodiments of the invention.

Объект управления - технологический объект, на который направляются внешние воздействия (управляющие и/или возмущающие) с целью изменения его состояния, в частном случае такими объектами являются устройство (например, электродвигатель) или технологический процесс.Control object is a technological object to which external influences (controlling and / or disturbing) are directed in order to change its state, in a particular case, such objects are a device (for example, an electric motor) or a technological process.

Технологический процесс (ТП) - процесс материального производства, заключающийся в последовательной смене состояний материальной сущности (предмета труда).Technological process (TP) is a process of material production, which consists in a sequential change in the states of a material entity (subject of labor).

Управление технологическим процессом (англ. Process Control) - набор методов, используемых для управления технологическими параметрами при производстве конечного продукта.Process Control is a set of methods used to control technological parameters in the production of the final product.

Технологический параметр (англ. Process Variable, PV) - текущее измеренное значение определенной части ТП, который наблюдается или контролируется. Технологическим параметром может быть, например, измерение датчика.Process Variable (PV) is the current measured value of a certain part of the TP, which is observed or controlled. The process parameter can be, for example, a sensor measurement.

Внешнее воздействие - способ изменения состояния элемента, на который направлено воздействие (например, элемента ТС), в определенном направлении, при этом воздействие от элемента ТС к другому элементу ТС передается в виде сигнала.External influence - a way of changing the state of an element to which the influence is directed (for example, a vehicle element), in a certain direction, while the impact from the vehicle element to another vehicle element is transmitted as a signal.

Состояние объекта управления - совокупность его существенных свойств, выраженных параметрами состояний, изменяемых или удерживаемых под влиянием внешних воздействий, в том числе и управляющих воздействий со стороны подсистемы управления.The state of a control object is a set of its essential properties, expressed by the parameters of states, changed or held under the influence of external influences, including control actions from the control subsystem.

Параметр состояния - одно или несколько числовых значений характеризующих существенное свойство объекта, в частном случае параметр состояния является числовым значением физической величины.A state parameter is one or several numerical values characterizing an essential property of an object; in a particular case, a state parameter is a numerical value of a physical quantity.

Формальное состояние объекта управления - состояние объекта управления, соответствующее технологической карте и другой технологической документации (если речь идет о ТП) или расписанию движения (если речь идет об устройстве).The formal state of the control object is the state of the control object that corresponds to the technological map and other technological documentation (if we are talking about TP) or the traffic schedule (if we are talking about a device).

Управляющее воздействие - целенаправленное (цель воздействия - воздействие на состояние объекта) легитимное (предусмотренное ТП) внешнее воздействие со стороны субъектов управления подсистемы управления на объект управления, приводящее к изменению состояния объекта управления или удержанию состояния объекта управления.Controlling action - purposeful (the purpose of action is to influence the state of the object) legitimate (provided for by TP) external influence from the control subjects of the control subsystem on the control object, leading to a change in the state of the control object or retention of the state of the control object.

Возмущающее воздействие - целенаправленное или нецеленаправленное нелегитимное (непредусмотренное ТП) внешнее воздействие на состояние объекта управления, в том числе и со стороны субъекта управления.Disturbing impact - purposeful or non-purposeful illegitimate (unforeseen by TP) external impact on the state of the control object, including from the side of the control subject.

Аномалия - возникновение возмущающего воздействия в технологической системе.Anomaly is the occurrence of a disturbing effect in a technological system.

Субъект управления - устройство, которое направляет управляющее воздействие на объект управления или передает управляющее воздействие другому субъекту управления для преобразования перед непосредственным направлением на объект.A control subject is a device that directs a control action to a control object or transfers control action to another control subject for transformation before directing it to an object.

Многоуровневая подсистема управления - совокупность субъектов управления, включающая несколько уровней.A multilevel management subsystem is a set of subjects of management, which includes several levels.

Кибер-физическая система (англ. cyber-physical system) - информационно-технологическая концепция, подразумевающая интеграцию вычислительных ресурсов в физические процессы. В такой системе датчики, оборудование и информационные системы соединены на протяжении всей цепочки создания стоимости, выходящей за рамки одного предприятия или бизнеса. Эти системы взаимодействуют друг с другом с помощью стандартных протоколов для прогнозирования, обратной связи и адаптации к изменениям. Примерами кибер-физической системы является технологическая система, промышленный интернет вещей.A cyber-physical system is an information technology concept that implies the integration of computing resources into physical processes. In such a system, sensors, equipment and information systems are connected throughout the entire value chain, which extends beyond a single enterprise or business. These systems interact with each other using standard protocols to predict, feed back, and adapt to change. Examples of a cyber-physical system are the technological system, the industrial Internet of things.

Интернет вещей (англ. Internet of Things, IoT) - вычислительная сеть физических предметов («вещей»), оснащенных встроенными технологиями для взаимодействия друг с другом или с внешней средой. Интернет вещей включает такие технологии, как носимые устройства, электронные системы транспортных средств, умные автомобили, умные города, промышленные системы и пр.The Internet of Things (English Internet of Things, IoT) is a computing network of physical objects ("things") equipped with built-in technologies for interacting with each other or with the external environment. The Internet of Things includes technologies such as wearable devices, electronic vehicle systems, smart cars, smart cities, industrial systems, and more.

Промышленный Интернет вещей (англ. Industrial Internet of Things, IIoT) - это подкатегория Интернета вещей, который также включает приложения, ориентированные на потребителя, например, носимые устройства, технологии «умного дома» и автомобили с автоматическим управлением. Отличительной чертой обеих концепций являются устройства со встроенными датчиками, станки и инфраструктура, которые передают данные через Интернет и управляются с помощью программного обеспечения.The Industrial Internet of Things (IIoT) is a subcategory of the Internet of Things that also includes consumer-oriented applications such as wearable devices, smart home technologies, and self-driving cars. The hallmarks of both concepts are devices with integrated sensors, machines and infrastructure that transmit data over the Internet and are controlled by software.

Технологическая система (ТС) - функционально взаимосвязанная совокупность субъектов управления многоуровневой подсистемы управления и объекта управления (ТП или устройство), реализующая через изменение состояний субъектов управления изменение состояния объекта управления. Структуру технологической системы образуют основные элементы технологической системы (взаимосвязанные субъекты управления многоуровневой подсистемы управления и объект управления), а также связи между этими элементами. В том случае, когда объектом управления в технологической системе является технологический процесс, конечной целью управления является: через изменение состояния объекта управления изменить состояние предмета труда (сырья, заготовки и т.д.). В том случае, когда объектом управления в технологической системе является устройство, конечной целью управления является изменение состояния устройства (транспортное средство, космический объект). Функциональная взаимосвязь элементов ТС подразумевает взаимосвязь состояний этих элементов. При этом непосредственной физической связи между элементами может и не быть, например, физическая связь между исполнительными механизмами и технологической операцией отсутствует, но, например, скорость резания функционально связана с частотой вращения шпинделя, несмотря на то, что физически эти параметры состояний не связаны.A technological system (TS) is a functionally interconnected set of control subjects of a multi-level control subsystem and a control object (TP or device), which implements a change in the state of the control object through a change in the states of control subjects. The structure of the technological system is formed by the main elements of the technological system (interconnected subjects of management of the multilevel subsystem of management and the object of management), as well as the connections between these elements. In the case when the object of control in the technological system is a technological process, the ultimate goal of control is: through a change in the state of the control object, change the state of the object of labor (raw materials, workpieces, etc.). In the case when the object of control in the technological system is a device, the ultimate goal of control is to change the state of the device (vehicle, space object). The functional relationship of vehicle elements implies the relationship between the states of these elements. In this case, there may not be a direct physical connection between the elements, for example, there is no physical connection between the actuators and the technological operation, but, for example, the cutting speed is functionally related to the spindle speed, despite the fact that these state parameters are not physically connected.

Состояние субъекта управления - совокупность его существенных свойств, выраженных параметрами состояний, изменяемых или удерживаемых под влиянием внешних воздействий.The state of the subject of control is a set of its essential properties, expressed by the parameters of states that are changed or retained under the influence of external influences.

Существенными свойствами (соответственно и существенными параметрами состояния) субъекта управления являются свойства, оказывающие непосредственное влияние на существенные свойства состояния объекта управления. При этом существенными свойствами объекта управления являются свойства, оказывающие непосредственное влияние на контролируемые факторы (точность, безопасность, эффективность) функционирования ТС. Например, соответствие режимов резания формально заданным режимам, движение поезда в соответствии с расписанием, удержание температуры реактора в допустимых границах. В зависимости от контролируемых факторов выбираются параметры состояния объекта управления и соответственно связанные с ними параметры состояний субъектов управления, оказывающих управляющее воздействие на объект управления.The essential properties (respectively, the essential parameters of the state) of the subject of control are the properties that directly affect the essential properties of the state of the control object. In this case, the essential properties of the control object are properties that have a direct impact on the controlled factors (accuracy, safety, efficiency) of the vehicle functioning. For example, the compliance of the cutting modes with the formally specified modes, the movement of the train in accordance with the schedule, the keeping of the reactor temperature within the permissible limits. Depending on the controlled factors, the parameters of the state of the control object and, accordingly, the parameters of the states of the control subjects, which exert a control effect on the control object, are selected.

Гипервизор (монитор виртуальных машин) - программа, создающая среду функционирования других программ (в том числе других гипервизоров) за счет имитации аппаратных средств вычислительной техники, управления данными средствами и гостевыми операционными системами, функционирующими в данной среде.A hypervisor (virtual machine monitor) is a program that creates an environment for the operation of other programs (including other hypervisors) by simulating computer hardware, managing these tools and guest operating systems operating in this environment.

Под средствами системы анализа файла на вредоносность в виртуальной машине в настоящем изобретении понимаются реальные устройства, системы, элементы, группы элементов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемые вентильные матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips) Функциональность указанных средств системы может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности средств системы реализована программными средствами, а часть аппаратными. В некоторых вариантах реализации часть средств, или все средства, могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 4). При этом элементы (каждое из средств) системы могут быть реализованы в рамках как одного вычислительного устройства, так и разнесены между несколькими, связанными между собой вычислительными устройствами.By means of a file analysis system for malware in a virtual machine, in the present invention we mean real devices, systems, elements, groups of elements implemented using hardware, such as application-specific integrated circuits (ASICs) or programmable gate arrays ( field-programmable gate array, FPGA) or, for example, in the form of a combination of software and hardware, such as a microprocessor system and a set of software instructions, as well as on neurosynaptic chips. The functionality of these system means can be implemented exclusively hardware, as well as in the form of a combination, where part of the functionality of the system is implemented by software, and part by hardware. In some implementations, some or all of the means may be executed on a processor of a general purpose computer (eg, as shown in FIG. 4). In this case, the elements (each of the means) of the system can be implemented within the framework of a single computing device, or spaced between several interconnected computing devices.

На Фиг. 1а схематично изображен пример технологической системы 100, которая включает в себя элементы 105 и 110, где элементы ТС: объект управления 105; субъекты управления 110, образующие многоуровневую подсистему управления 120; горизонтальные связи 130а и вертикальные связи 130б. Субъекты управления 110 сгруппированы по уровням 140.FIG. 1a schematically depicts an example of a technological system 100, which includes elements 105 and 110, where the elements of the vehicle: a control object 105; control subjects 110, forming a multi-level control subsystem 120; horizontal ties 130a and vertical ties 130b. Control subjects 110 are grouped into levels 140.

На Фиг. 1б схематично изображен частный пример имплементации технологической системы 100’. Объектом управления 105’ является ТП или устройство, на объект управления 105’ направляются управляющие воздействия, которые вырабатываются и реализуются автоматизированной системой управления (АСУ) 120’, в АСУ различают три уровня 140’, состоящих из субъектов управления 110, взаимосвязанных между собой как по горизонтали горизонтальными связями (связи внутри уровня, на фигуре не указаны), так и по вертикали вертикальные связи 130б’ (связи между уровнями). Взаимосвязи являются функциональными, т.е. в общем случае изменение состояния субъекта управления 110 на одном уровне вызывает изменение состояний связанных с ним субъектов управления 110 на этом уровне и других уровнях. Информация об изменении состояния субъекта управления передается в виде сигнала по горизонтальным и вертикальным связям, установленным между субъектами управления, т.е. информация об изменении состояния рассматриваемого субъекта управления является внешним воздействием по отношению к другим субъектам управления 110. Уровни 140’ в АСУ 120’ выделяют в соответствии с назначением субъектов управления 110. Количество уровней может варьироваться. Для физической связи элементов ТС (105, 110) и подсистем ТС 100 используются проводные сети, беспроводные сети, интегральные микросхемы, для логической связи между элементами ТС (105, 110) и подсистемами ТС 100 используются Ethernet, промышленный Ethernet, промышленные сети. При этом промышленные сети и протоколы используются различных типов и стандартов: Profibus, FIP, ControlNet, Interbus-S, DeviceNet, P-NET, WorldFIP, LongWork, Modbus и др.FIG. 1b schematically shows a particular example of the implementation of the technological system 100 '. The control object 105 'is a TP or a device, control actions are sent to the control object 105', which are generated and implemented by an automated control system (ACS) 120 ', three levels 140' are distinguished in the ACS, consisting of control subjects 110, interconnected as horizontal horizontal links (links within the level, not shown in the figure), and vertical vertical links 130b '(links between levels). Relationships are functional, i.e. in general, a change in the state of the subject of control 110 at one level causes a change in the states of the associated control subjects 110 at this level and other levels. Information about a change in the state of the subject of control is transmitted in the form of a signal along horizontal and vertical links established between the subjects of control, i.e. information about a change in the state of the considered subject of management is an external influence in relation to other subjects of management 110. Levels 140 'in ACS 120' are allocated in accordance with the appointment of subjects of management 110. The number of levels may vary. For physical connection of TS elements (105, 110) and TS 100 subsystems, wired networks, wireless networks, integrated circuits are used; for logical communication between TS elements (105, 110) and TS 100 subsystems, Ethernet, industrial Ethernet, industrial networks are used. At the same time, industrial networks and protocols are used of various types and standards: Profibus, FIP, ControlNet, Interbus-S, DeviceNet, P-NET, WorldFIP, LongWork, Modbus, etc.

Верхний уровень (уровень supervisory control and data acquisition, SCADA) - это уровень диспетчерско-операторского управления, включает в себя, по меньшей мере, следующие субъекты управления 110’: контроллеры, управляющие компьютеры, человеко-машинные интерфейсы (англ. human-machine interface, HMI) (на Фиг. 1б изображены в рамках одного субъекта управления SCADA). Уровень предназначен для отслеживания состояний элементов ТС (105’, 110’), получения и накопления информации о состоянии элементов ТС (105’, 110’) и при необходимости их корректировки.The upper level (the level of supervisory control and data acquisition, SCADA) is the level of dispatch and operator control, includes at least the following control subjects 110 ': controllers, control computers, human-machine interfaces , HMI) (in Fig. 1b are shown within one SCADA control subject). The level is intended for tracking the states of vehicle elements (105 ', 110'), receiving and accumulating information about the state of vehicle elements (105 ', 110') and, if necessary, adjusting them.

Средний уровень (уровень CONTROL) - это уровень контроллеров, включает по меньшей мере следующие субъекты управления: программируемые логические контроллеры (ПЛК, англ. programmable Logic Controller, PLC), счетчики, реле, регуляторы. Субъекты управления 110’’ типа «PLC» получают информацию с субъектов управления типа «контрольно-измерительное оборудование» и субъектов управления 110’’’ типа «датчики» о состоянии объекта управления 105’. Субъекты управления типа «PLC» вырабатывают (создают) управляющее воздействие в соответствии с запрограммированным алгоритмом управления на субъекты управления типа «исполнительные механизмы». Исполнительные механизмы его непосредственно реализуют (применяют к объекту управления) на нижнем уровне. Исполнительный механизм (англ. actuator) - часть исполнительного устройства (оборудования).The middle level (CONTROL level) is the level of controllers, it includes at least the following control subjects: programmable logic controllers (PLC, English programmable Logic Controller, PLC), counters, relays, regulators. Control subjects 110 '' of the "PLC" type receive information from control subjects of the "control and measuring equipment" type and control subjects 110 "" of the "sensors" type about the state of the control object 105 '. Control subjects of the "PLC" type develop (create) a control action in accordance with the programmed control algorithm on the control subjects of the "executive mechanisms" type. The executive mechanisms directly implement it (applied to the control object) at the lower level. An actuator is a part of an executive device (equipment).

Нижний уровень (уровень Input/Output) - это уровень таких субъектов управления как: датчики и сенсоры (англ. sensors), контрольно-измерительные приборы (КИП), контролирующие состояние объекта управления 105’, а также исполнительные механизмы. Исполнительные механизмы непосредственно воздействуют на состояние объекта управления 105’, для приведения его в соответствие с формальным состоянием, т.е. состоянием, соответствующим технологическому заданию, технологической карте или другой технологической документации (если речь идет о ТП) или расписанию движения (если речь идет об устройстве). На этом уровне осуществляется согласование сигналов от субъектов управления 110’’’ типа «датчики» с входами субъектов управления среднего уровня, и согласование вырабатываемых субъектами управления 110’’ типа «PLC» управляющих воздействий с субъектами управления 110’’’ типа «исполнительные механизмы», которые их реализуют. Исполнительный механизм - это часть исполнительного устройства. Исполнительное устройство осуществляет перемещение регулирующего органа в соответствии с сигналами, поступающими от регулятора или управляющего устройства. Исполнительные устройства являются последним звеном цепи автоматического управления и в общем случае состоят из блоков:The lower level (Input / Output level) is the level of such control subjects as: sensors and sensors, instrumentation (instrumentation) that monitor the state of the control object 105 ', as well as actuators. The actuators directly affect the state of the control object 105 'to bring it into line with the formal state, i.e. a state corresponding to a technological assignment, a technological map or other technological documentation (if we are talking about a TP) or a movement schedule (if we are talking about a device). At this level, signals from control subjects 110 "" of the "sensor" type are coordinated with the inputs of control subjects of the middle level, and the control actions generated by control subjects 110 "" of the "PLC" type are coordinated with control subjects 110 "" of the "executive mechanisms" that implement them. An actuator is a part of an actuator. The actuator moves the regulator in accordance with the signals from the regulator or control device. Actuators are the last link in the automatic control chain and generally consist of blocks:

- устройства усиления (контактор, частотный преобразователь, усилитель, и т.п.);- amplification devices (contactor, frequency converter, amplifier, etc.);

- исполнительного механизма (электро-, пневмо-, гидропривод) с элементами обратной связи (датчики положения выходного вала, сигнализации конечных положений, ручного привода и т.п.);- an actuator (electric, pneumatic, hydraulic drive) with feedback elements (position sensors of the output shaft, signaling of end positions, manual drive, etc.);

- регулирующего органа (вентили, клапаны, заслонки, шиберы и т.п.).- a regulating body (valves, valves, dampers, dampers, etc.).

В зависимости от условий применения исполнительные устройства конструктивно могут различаться между собой. К основным блокам исполнительных устройств обычно относят исполнительные механизмы и регулирующие органы.Depending on the conditions of use, the actuators may be structurally different from each other. The main blocks of executive devices usually include executive mechanisms and regulating bodies.

В частном примере исполнительное устройство в целом называют исполнительным механизмом.In a particular example, the actuator is generally referred to as an actuator.

Перечисленные субъекты управления (110’, 110’’, 110’’’) различных уровней являются элементами технологической системы (далее по тексту -элементы ТС).The listed subjects of management (110 ', 110' ', 110' ') of various levels are elements of the technological system (hereinafter referred to as the elements of the TC).

На Фиг. 2 отображает структуру системы противодействия аномалиям в технологической системе.FIG. 2 displays the structure of the system for countering anomalies in the technological system.

В общем случае элементы ТС верхнего уровня 110’ (компьютеры, на которые установлены компоненты SCADA или инженерные терминалы), объединены в отдельную защищенную сеть передачи данных известными из уровня техники системами и способами. Кроме того, элементы ТС верхнего уровня 110’ посылают элементам ТС среднего уровня 110’’ (в общем случае, программируемым логическим контроллерам) пакеты данных (например, содержащие команды технологических процессов и параметры команд). В силу того, что технологические процессы рассчитаны на десятки лет, элементы ТС среднего уровня 110’’ в общем случае менее защищены и зачастую устаревают, то есть работают с использованием устаревших незащищенных протоколов передачи данных, а также имеют известные уязвимости. Предполагается, что IP-адреса элементов ТС среднего уровня 110’’ (например, ПЛК) известны. Злоумышленнику, для того чтобы вмешаться в работу ПЛК, требуется посылать информационные пакеты по IP-адресу ПЛК. Таким образом задача, решаемая настоящим изобретением, сводится к определению того, какие пакеты являются «доверенными», а какие «недоверенными». В общем случае доверенный пакет данных - это пакет данных, отправленный одним элементом ТС, например, элементом ТС верхнего уровня 110’, другому элементу ТС, например, элементу ТС среднего уровня 110’’. В рамках настоящего изобретения допустимо считать, что пакеты данных, исходящие из упомянутой защищенной сети передачи данных - доверенные. Доверенные пакеты должны быть доставлены элементам ТС среднего уровня 110’’.In general, the upper-level TS elements 110 '(computers on which SCADA components or engineering terminals are installed) are combined into a separate secure data transmission network using systems and methods known from the prior art. In addition, the upper-level TC elements 110 'send data packets (for example, containing technological process commands and command parameters) to the middle-level TC elements 110' '(in the general case, programmable logic controllers). Due to the fact that technological processes are designed for tens of years, the elements of mid-level TS 110 '' are generally less protected and often outdated, that is, they work using outdated unprotected data transfer protocols, and also have known vulnerabilities. It is assumed that the IP addresses of the mid-level TS 110 '' (for example, PLCs) are known. An attacker, in order to interfere with the operation of the PLC, needs to send information packets to the IP address of the PLC. Thus, the problem solved by the present invention is reduced to determining which packages are "trusted" and which are "untrusted". In general, a trusted data packet is a data packet sent by one TS element, for example, an upper-level TS element 110 ', to another TS element, for example, a middle-level TS element 110' '. Within the framework of the present invention, it is permissible to assume that data packets originating from said secure data transmission network are trusted. Trusted packets must be delivered to mid-level TS elements 110 ''.

В общем случае система содержит по меньшей мере одно средство дублирования 210 и по меньшей мере одно средство контроля 220.In general, the system comprises at least one backup means 210 and at least one control means 220.

Средство дублирования 210 в общем случае представляет собой защищенную операционную систему с поддержкой функции гипервизора, и предназначено для установки на элемент ТС (в частном случае, на элемент ТС верхнего уровня 110’). Защищенная операционная система с поддержкой функции гипервизора позволяет запускать в виртуальном окружении существующие операционные системы и приложения элементов ТС верхнего уровня 110’. За счет использования технологии виртуализации становится возможным добавление новых свойств для компонентов систем SCADA, функционирующих на элементах ТС верхнего уровня 110’, без модификации программного обеспечения SCADA-приложений.Duplication tool 210 is generally a secure operating system with support for a hypervisor function, and is intended to be installed on a TS element (in a particular case, on an upper-level TS element 110 '). A protected operating system with support for the hypervisor function allows running existing operating systems and applications of 110 'upper-level TS elements in a virtual environment. Due to the use of virtualization technology, it becomes possible to add new properties for the components of SCADA systems operating on the elements of the upper-level TS 110 ', without modifying the software of SCADA applications.

В общем случае средство дублирования 210, установленное на элемент ТС верхнего уровня 110’, перехватывает исходящие пакеты данных, которые исходят от приложений, выполняющихся в гостевой операционной системе, запущенной в виртуальном окружении, и от самой гостевой операционной системы, и адресованы другим элементам ТС (например, элементам среднего уровня 110’’). Перехват пакетов данных в общем случае возможен с использованием известных из уровня техники способов виртуализации. В одном из вариантов реализации средство дублирования также определяет IP-адрес элемента ТС среднего уровня 110’’, которому направлен исходящий пакет данных.In the general case, the duplication means 210 installed on the upper-level TS element 110 'intercepts outgoing data packets that come from applications running in the guest operating system running in the virtual environment and from the guest operating system itself, and are addressed to other TS elements ( e.g. mid-level elements 110 ''). Capturing data packets is generally possible using virtualization techniques known from the prior art. In one embodiment, the duplicator also determines the IP address of the middle tier 110 '' TC element to which the outgoing data packet is directed.

Каждое средство дублирования 210 устанавливает безопасные соединения (отображены для одного средства дублирования 210 на Фиг. 2) со всеми средствами контроля 220, существующими в сети передачи данных, и передает средствам контроля 220 информацию о каждом исходящем пакете данных, который был перехвачен. Информация может содержать как сам перехваченный исходящий пакет данных в исходном или преобразованном виде (например, после шифрования или упаковки), так и его контрольную сумму (например, MD5 или CRC), а также дополнительные сведения, полученные средством дублирования 210 в результате перехвата исходящего пакета данных. В одном из вариантов реализации средство дублирования 210 использует известные криптографические методы защиты при передаче данных средствам контроля 220. В еще одном из вариантов реализации на уровне гипервизора обеспечена возможность дополнительного преобразования или шифрования средством дублирования 210 перехваченных исходящих пакетов с данными.Each duplicator 210 establishes secure connections (depicted for one duplicator 210 in FIG. 2) with all monitors 220 existing on the data network and communicates to monitors 220 information about each outgoing packet of data that has been intercepted. The information can contain both the intercepted outgoing data packet itself in its original or transformed form (for example, after encryption or packaging), and its checksum (for example, MD5 or CRC), as well as additional information obtained by the duplicator 210 as a result of intercepting the outgoing packet data. In one implementation, the duplicator 210 uses known cryptographic security techniques when transmitting data to controls 220. In yet another implementation, the duplicator 210 can further transform or encrypt intercepted outgoing data packets or encryption by the duplicator 210.

В одном из вариантов реализации, если был определен адрес IP-адрес элемента ТС среднего уровня 110’’, которому направлен исходящий пакет данных, средство дублирования 210 по безопасному соединению передает информацию о перехваченных исходящих пакетах средствам контроля 220, которые находятся в одной сети (или подсети) передачи данных с элементом ТС среднего уровня 110’’, которому направлен исходящий пакет данных.In one embodiment, if the IP address of the middle-level TS element 110 '' has been determined, to which the outgoing data packet is directed, the duplicator 210 over a secure connection transmits information about the intercepted outgoing packets to the controllers 220 that are in the same network (or subnetwork) of data transmission with the middle layer TS element 110 '', to which the outgoing data packet is directed.

В одном из вариантов реализации исходящий пакет данных, который был перехвачен средством дублирования 210, не отправляется далее в сеть передачи данных, а остается в памяти гипервизора. При этом, после получения подтверждения от средства контроля 220 о получении информации о перехваченном пакете данных, средство дублирования 210 отправляет перехваченный исходящий пакет данных, который хранится в памяти гипервизора, в сеть передачи данных в его первоначальном неизмененном виде. В другом варианте реализации, например, когда недопустимы задержки при передаче пакетов данных (работа ТС в реальном времени), перехваченный исходящий пакет отправляется средством дублирования 210 в сеть передачи данных сразу, одновременно с информацией, переданной по безопасному соединению средству контроля 220.In one implementation, the outgoing data packet that was intercepted by the duplicator 210 is not sent further to the data network, but remains in the hypervisor's memory. In this case, after receiving confirmation from the control means 220 about the receipt of information about the intercepted data packet, the duplicating means 210 sends the intercepted outgoing data packet, which is stored in the hypervisor's memory, to the data transmission network in its original unchanged form. In another implementation, for example, when delays in the transmission of data packets are unacceptable (real-time operation of the TS), the intercepted outgoing packet is sent by the duplicator 210 to the data network immediately, simultaneously with the information transmitted over the secure connection to the monitor 220.

Современные АСУ как правило могут иметь несколько компонентов систем SCADA, функционирующих на элементах ТС верхнего уровня 110’, расположенных в разных сетях передачи данных. В этом примере реализации каждая такая сеть содержит средство дублирования 210, которое выполняет вышеописанные действия по перехвату исходящий пакетов данных и передаче информации о них средствам контроля 220.As a rule, modern ACS can have several components of SCADA systems operating on the elements of the upper level 110 'TS located in different data transmission networks. In this exemplary implementation, each such network includes a duplication means 210 that performs the above-described actions to intercept outgoing data packets and transmit information about them to controls 220.

Средство контроля 220 в общем случае исполняется на элементе ТС 110. В одном из вариантов реализации средство контроля 220 исполняется на элементе ТС верхнего уровня 110’. В другом варианте реализации средство контроля 220 исполняется на элементе ТС среднего уровня 110’’. В одном из вариантов реализации средство контроля 220 топологически расположено в сети передачи данных так, что перехватывает все пакеты данных, адресованные элементам ТС 110. В одном из вариантов реализации средство контроля 220 функционирует (исполняется) на существующем элементе ТС 110, например, на элементе ТС среднего уровня 110’’ или элементе ТС верхнего уровня 110’, при этом средство контроля 220 является исполняемым приложением или сервисом. В еще одном из вариантов реализации средство контроля 220 представляет собой защищенную операционную систему с поддержкой функции гипервизора и предназначенную для установки на элемент ТС среднего уровня 110’’. В другом варианте реализации средство контроля 220 устанавливается на дополнительный элемент ТС среднего уровня 110’’, который предназначен только для функционирования средства контроля 220.The control means 220 is generally executed on the TC element 110. In one embodiment, the control means 220 is executed on the upper-level TC element 110 '. In another embodiment, the control means 220 is executed on the mid-level TC element 110 ''. In one implementation, the monitor 220 is topologically located in the data network so that it intercepts all data packets addressed to the elements of the TS 110. In one embodiment, the monitor 220 operates (runs) on an existing element of the TS 110, for example, on an element of the TS middle layer 110 '' or high-level TOC element 110 ', where the control 220 is an executable application or service. In yet another embodiment, control 220 is a secure operating system with hypervisor functionality and is designed to be installed on mid-level vehicle element 110 ''. In another embodiment, the control device 220 is installed on an additional mid-level vehicle element 110 '', which is intended only for the operation of the control device 220.

Как было описано выше средство контроля 220 получает по безопасному соединению информацию о перехваченных исходящих пакетах от средств дублирования 210. После получения информации о перехваченных исходящих пакетах средство контроля 220 передает подтверждение средствам дублирования 210 о получении указанной информации. Кроме того, средство контроля 220 перехватывает входящие пакеты данных, которые адресованы элементам ТС среднего уровня 110’’ по сети передачи данных. Перехват входящих пакетов данных в общем случае возможен с использованием известных из уровня техники способов виртуализации. В еще одном из вариантов реализации перехват возможен без использования способов виртуализации, например, используя сокет (англ. socket), открытый в режиме необработанных (или обработанных в минимальной степени) данных (англ. RAW mode).As described above, the monitor 220 receives information about the intercepted outgoing packets from the duplicators 210 over a secure connection. After receiving the information about the intercepted outgoing packets, the monitor 220 sends an acknowledgment to the duplicate devices 210 that this information has been received. In addition, the monitor 220 intercepts incoming data packets that are addressed to the mid-level TS elements 110 '' over the data network. Interception of incoming data packets is generally possible using virtualization techniques known from the prior art. In yet another implementation, interception is possible without using virtualization methods, for example, using a socket opened in the raw (or minimally processed) data mode (RAW mode).

В общем случае, средство контроля 220 сравнивает информацию о перехваченных исходящих пакетах, полученную от средств дублирования 210 по безопасному соединению с перехваченными входящими пакетами, которые адресованы элементам ТС среднего уровня 110’’ по сети передачи данных.In general, the monitor 220 compares the information about the intercepted outgoing packets received from the backup means 210 over the secure connection with the intercepted incoming packets that are addressed to the middle-level TS elements 110 '' over the data network.

В варианте реализации, когда перехваченные исходящие пакеты данных отправляются в сеть передачи данных средствами дублирования 210 одновременно с информацией о перехваченных исходящих пакетах данных по безопасному соединению, средство контроля 220 сравнивает полученную информацию с перехваченными входящими пакетами данных за интервал времени (например, 1с). Если перехвачен входящий пакет данных, информация о котором не была получена от средств дублирования 210 в течение упомянутого интервала, средство контроля 220 выявляет аномалию в технологической системе.In an embodiment, when the intercepted outgoing data packets are sent to the data network by means of duplication 210 concurrently with information about the intercepted outgoing data packets over a secure connection, the monitor 220 compares the received information with the intercepted incoming data packets over a time interval (e.g., 1s). If an incoming data packet is intercepted, information about which has not been received from the backup means 210 during the mentioned interval, the monitoring means 220 detects an anomaly in the technological system.

В варианте реализации, когда перехваченные исходящие пакеты данных отправляются в сеть передачи данных средствами дублирования 210 после получения подтверждения от средства контроля 220 получения информации о перехваченных исходящих пакетах данных по безопасному соединению, средство контроля 220 сравнивает перехваченные входящие пакеты с полученной информацией. Если перехвачен входящий пакет данных, информация о котором не была получена от средств дублирования 210, средство контроля 220 выявляет аномалию в технологической системе.In an embodiment, when the intercepted outgoing data packets are sent to the data network by the duplication means 210 after receiving an acknowledgment from the monitor 220 for receiving information about the intercepted outgoing data packets over a secure connection, the monitor 220 compares the intercepted incoming packets with the received information. If an incoming data packet is intercepted for which information has not been received from the back-up means 210, the control means 220 detects an anomaly in the process system.

Информация о выявленной аномалии может быть передана средством контроля 220 компонентам систем SCADA, функционирующим на элементах ТС верхнего уровня 110’, для информирования и дальнейшего принятия мер по устранению выявленной аномалии в технологической системе.Information about the detected anomaly can be transmitted by the control tool 220 to the components of SCADA systems operating on the elements of the upper level vehicle 110 'for informing and further taking measures to eliminate the detected anomaly in the technological system.

В одном из вариантов реализации, если средство контроля 220 размещено в сети передачи данных топологически последовательно с элементом ТС среднего уровня 110’’ и перед элементом ТС среднего уровня 110’’, в случае выявления аномалии в технологической системе средство контроля 220 не передает перехваченный входящий пакет данных далее в сеть передачи данных, таким образом противодействуя возможным последствиям возникшей аномалии в технологической системе. Элемент ТС среднего уровня 110’’ в данном примере реализации не получает перехваченный входящий пакет данных, что предупреждает возмущающее воздействие на элемент ТС среднего уровня 110’’.In one embodiment, if the monitoring means 220 is located in the data network topologically sequentially with the middle-level TS element 110 '' and in front of the middle-level TS element 110 '', if an anomaly is detected in the technological system, the monitoring means 220 does not transmit the intercepted incoming packet data further into the data transmission network, thus counteracting the possible consequences of the arisen anomaly in the technological system. The middle-level TS element 110 '' in this example of implementation does not receive the intercepted incoming data packet, which prevents the disturbing effect on the middle-level TS element 110 ''.

В еще одном из вариантов реализации, средство контроля 220 может быть размещено в сети передачи данных на том же элементе ТС среднего уровня 110’’, которому адресован перехваченный входящий пакет данных. В этом случае средство контроля 220 так же, как описано выше, противодействует возможным последствиям возникшей аномалии в технологической системе.In another embodiment, the monitoring means 220 may be located in the data network on the same middle-level TS element 110 '' to which the intercepted incoming data packet is addressed. In this case, the control means 220, as described above, counteracts the possible consequences of the arisen anomaly in the technological system.

Пример применения описанного изобретения описан ниже. Есть здание, которое оборудовано автоматизированной системой доступа в помещения, спортивным залом, бассейном, имеет по меньшей мере систему вентиляции и систему пожаротушения. АСУ и компоненты SCADA расположены в сети передачи данных здания в защищенном окружении (либо в защищенной подсети), однако обмениваются с программируемыми логическими контроллерами, управляющими перечисленными системами, посредством упомянутой сети передачи данных. Кроме того, к этой же сети передачи данных могут получать доступ работники здания и посетители. Подобные сети передачи данных существуют на практике достаточно часто, так как строятся без должного учета информационной безопасности при проектировании или с экономией материальных затрат.An example of the application of the described invention is described below. There is a building that is equipped with an automated access system to the premises, a gym, a swimming pool, at least a ventilation system and a fire extinguishing system. ACS and SCADA components are located in the building data network in a protected environment (or in a protected subnetwork), but communicate with the programmable logic controllers that control the listed systems via said data network. In addition, building workers and visitors can access the same data network. Such data transmission networks exist in practice quite often, since they are built without due regard for information security in the design or with savings in material costs.

Очевидно, что третьи лица могут отправлять в сеть пакеты данных, которые исходят не от компонентов SCADA и могут быть получены программируемыми логическими контроллерами, что является аномалией в рамках настоящего изобретения.Obviously, third parties may send data packets to the network that are not from SCADA components and may be received by programmable logic controllers, which is an anomaly within the scope of the present invention.

Таким образом, установка упомянутых средств системы, описанной в настоящем изобретении, позволяет предупреждать об упомянутых аномалиях. Так, средства дублирования 210, установленные на компонентах SCADA, перехватывают исходящие пакеты данных и передают их средствам контроля 220. Таким образом средства контроля 220 перехватывают и сравнивают все входящие пакеты данных, адресованные программируемым логическим контроллерам, что позволяет выявить аномалию (в случае, если пакет данных был отправлен в сеть передачи данных, например, не с компонента SCADA) и в одном из вариантов реализации (в случае блокирования входящего пакета данных) противодействует ей.Thus, the installation of said means of the system described in the present invention makes it possible to warn of the anomalies mentioned. Thus, the duplication tools 210 installed on the SCADA components intercept outgoing data packets and transmit them to the controls 220. Thus, the controls 220 intercept and compare all incoming data packets addressed to the programmable logic controllers, which makes it possible to identify an anomaly (if the packet data was sent to the data transmission network, for example, not from the SCADA component) and in one of the implementation options (in the case of blocking the incoming data packet) counteracts it.

Фиг. 3 показывает пример реализации предлагаемого способа противодействия аномалиям в технологической системе.FIG. 3 shows an example of the implementation of the proposed method for countering anomalies in a technological system.

На начальном этапе 310 с помощью средства дублирования 210, запущенного на элементе ТС верхнего уровня 110’, перехватывают по меньшей мере один исходящий пакет данных, адресованный элементу технологической системы среднего уровня 110’’. В одном из вариантов реализации средство дублирования 210 представляет собой защищенную операционную систему с поддержкой функции гипервизора. В еще одном из вариантов реализации элемент ТС верхнего уровня 110’ представляет собой компонент SCADA. Перехват пакетов данных в общем случае возможен с использованием известных из уровня техники способов виртуализации.At the initial stage 310, with the help of the duplication means 210, launched on the upper-level TC element 110 ', at least one outgoing data packet is intercepted, addressed to the middle-level technological system element 110' '. In one implementation, the duplicator 210 is a secure operating system with hypervisor functionality. In yet another embodiment, the top-level TC item 110 'is a SCADA component. Capturing data packets is generally possible using virtualization techniques known from the prior art.

Далее на этапе 320 по безопасному соединению передают средством дублирования 210 средству контроля 220, запущенному на элементе ТС среднего уровня 110’’, информацию об упомянутом перехваченном пакете данных. В одном из вариантов реализации средства контроля 220 расположено топологически последовательно с элементом ТС среднего уровня 110’’, которому адресован перехваченный пакет данных, и перед упомянутым элементом ТС среднего уровня 110’’. Средство дублирования 210 устанавливает безопасное соединение со всеми средствами контроля 220, существующими в сети передачи данных, и передает средствам контроля 220 информацию о каждом исходящем пакете данных, который был перехвачен. В одном из вариантов реализации средство контроля 220 представляет собой защищенную операционную систему. В еще одном из вариантов реализации средство контроля 220 расположено в той же сети передачи данных, в которой находится элемент ТС среднего уровня 110’’, которому адресован перехваченный пакет данных. Средство контроля 220 в общем случае представляет собой защищенную операционную систему с поддержкой функции гипервизора и предназначенную для установки на элемент ТС среднего уровня 110’’.Then, at step 320, information about the intercepted data packet is transmitted by means of duplication 210 to the means of control 220, launched on the element of the middle level TS 110 '', via a secure connection. In one embodiment, the monitoring means 220 is located topologically sequentially with the middle TOC element 110 '', to which the intercepted data packet is addressed, and in front of said middle TOC element 110 ''. The duplicator 210 establishes a secure connection with all monitors 220 existing in the data network and communicates to the monitors 220 information about each outgoing data packet that has been intercepted. In one implementation, control 220 is a secure operating system. In another embodiment, the monitoring means 220 is located in the same data network as the middle-level TOC element 110 '' to which the intercepted data packet is addressed. Control 220 is generally a secure hypervisor-enabled operating system designed to be installed on mid-level vehicle element 110 ''.

Далее, на этапе 330, с помощью средства контроля 220 перехватывают по меньшей мере один входящий пакет данных. Перехват входящих пакетов данных в общем случае возможен с использованием известных из уровня техники способов виртуализации.Next, at step 330, the monitor 220 intercepts at least one incoming data packet. Interception of incoming data packets is generally possible using virtualization techniques known from the prior art.

Далее, на этапе 340, с помощью средства контроля 220 выявляют аномалию в технологической системе в случае, если перехваченный входящий пакет данных не соответствует упомянутой информации, полученной от средства дублирования 210. Для выявления соответствия средство контроля 220 сравнивает информацию о перехваченных исходящих пакетах, полученную от средств дублирования 210 по безопасному соединению с перехваченными входящими пакетами, которые адресованы элементам ТС среднего уровня 110’’ по сети передачи данных. При этом с помощью средства контроля 220 блокируют передачу перехваченного входящего пакета данных элементу ТС среднего уровня 110’’, что противодействует выявленной аномалии в технологической системе. В противном случае, если аномалия не выявлена (перехвачен входящий пакет данных, информация о котором была получена от средств дублирования 210), происходит возврат на этап 330.Next, at step 340, the monitoring means 220 detects an anomaly in the technological system if the intercepted incoming data packet does not match the said information received from the duplicating means 210. To determine the match, the monitoring means 220 compares the information about the intercepted outgoing packets received from means of duplication 210 on a secure connection with intercepted incoming packets, which are addressed to the elements of the middle layer 110 '' via the data network. At the same time, using the control means 220, the transmission of the intercepted incoming data packet to the TS element of the middle level 110 '' is blocked, which counteracts the detected anomaly in the technological system. Otherwise, if the anomaly is not detected (the incoming data packet is intercepted, information about which was received from the duplication means 210), it returns to step 330.

В одном из вариантов реализации в случае, если выявлена аномалия, и заблокирована передача пакета данных, работа способа продолжается, происходит возврат на этап 330.In one embodiment, if an anomaly is detected and the transmission of a data packet is blocked, the method continues and returns to step 330.

Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные элементы, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 4 shows an example of a general-purpose computer system, a personal computer or server 20, containing a central processing unit 21, a system memory 22, and a system bus 23 that contains various system elements, including memory associated with the central processing unit 21. The system bus 23 is implemented as any bus structure known from the prior art, which in turn contains a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interfacing with any other bus architecture. System memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26 contains basic procedures that transfer information between the elements of the personal computer 20, for example, at the time of loading the operating room. systems using ROM 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20, in turn, contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29 and an optical drive 30 for reading and writing to removable optical disks 31, such as CD-ROM, DVD -ROM and other optical media. The hard disk 27, the magnetic disk drive 28, and the optical drive 30 are connected to the system bus 23 via the hard disk interface 32, the magnetic disk interface 33, and the optical drive interface 34, respectively. Drives and corresponding computer storage media are non-volatile storage media for computer instructions, data structures, program modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27, a removable magnetic disk 29 and a removable optical disk 31, but it should be understood that other types of computer storage media 56 are possible that are capable of storing data in a computer readable form (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.), which are connected to the system bus 23 through the controller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.Computer 20 has a file system 36, where the recorded operating system 35 is stored, as well as additional software applications 37, other program modules 38 and program data 39. The user has the ability to enter commands and information into the personal computer 20 through input devices (keyboard 40, manipulator " mouse "42). Other input devices may be used (not shown): microphone, joystick, game console, scanner, etc. Such input devices are conventionally connected to the computer system 20 through a serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or a universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer may be equipped with other peripheral output devices (not displayed), such as speakers, a printer, etc. ...

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment using a network connection with other or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the entity. the personal computer 20 shown in FIG. 4. In a computer network, there may also be other devices, such as routers, network stations, peer-to-peer devices, or other network nodes.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, personal computer 20 is connected to local network 50 via a network adapter or network interface 51. When using networks, personal computer 20 may use a modem 54 or other means of providing communication with a wide area network, such as the Internet. Modem 54, which is an internal or external device, is connected to the system bus 23 via a serial port 46. It should be noted that the network connections are only exemplary and are not required to reflect the exact configuration of the network, i. E. in fact, there are other ways of establishing a connection by technical means of communication of one computer with another.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.In conclusion, it should be noted that the information given in the description are examples and do not limit the scope of the present invention defined by the claims. One skilled in the art will appreciate that there may be other embodiments of the present invention consistent with the spirit and scope of the present invention.

Claims (8)

1. Способ блокирования передачи пакетов данных в технологической системе, состоящий из этапов, на которых:1. A method of blocking the transmission of data packets in a technological system, which consists of the stages at which: а) с помощью средства дублирования перехватывают по меньшей мере один исходящий пакет данных, адресованный элементу технологической системы, при этом средство дублирования представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы;a) using the duplication means intercept at least one outgoing data packet addressed to an element of the technological system, while the duplication means is a secure operating system with support for the hypervisor function running on the technological system element; б) по безопасному соединению передают средством дублирования средству контроля информацию об упомянутом перехваченном пакете данных;b) through a secure connection, the duplicating means are transmitted to the control means information about the intercepted data packet; в) с помощью средства контроля перехватывают по меньшей мере один входящий пакет данных, адресованный элементу технологической системы, при этом средство контроля представляет собой защищенную операционную систему с поддержкой функции гипервизора, запущенную на элементе технологической системы;c) using the control means intercepting at least one incoming data packet addressed to an element of the technological system, while the control means is a secure operating system with support for the hypervisor function, launched on the element of the technological system; г) с помощью средства контроля блокируют передачу перехваченного входящего пакета данных элементу технологической системы в случае, если перехваченный входящий пакет данных не соответствует упомянутой информации, полученной от средства дублирования.d) with the help of the control means, the transmission of the intercepted incoming data packet to the element of the technological system is blocked if the intercepted incoming data packet does not correspond to the mentioned information received from the duplicating means. 2. Способ по п.1, в котором элемент технологической системы представляет собой программируемый логический контроллер.2. The method of claim 1, wherein the process system element is a programmable logic controller. 3. Способ по п.1, в котором средство контроля расположено топологически последовательно с элементом технологической системы, которому адресован перехваченный пакет данных, и перед упомянутым элементом.3. A method according to claim 1, wherein the monitoring means is located topologically sequentially with the technological system element to which the intercepted data packet is addressed, and in front of said element. 4. Способ по п.1, в котором средство контроля расположено на элементе технологической системы, которому адресован перехваченный пакет данных.4. The method according to claim 1, wherein the control means is located on an element of the technological system to which the intercepted data packet is addressed.
RU2019122432A 2019-07-17 2019-07-17 System and method of countering anomalies in the technological system RU2747461C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2019122432A RU2747461C2 (en) 2019-07-17 2019-07-17 System and method of countering anomalies in the technological system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019122432A RU2747461C2 (en) 2019-07-17 2019-07-17 System and method of countering anomalies in the technological system

Publications (3)

Publication Number Publication Date
RU2019122432A3 RU2019122432A3 (en) 2021-01-18
RU2019122432A RU2019122432A (en) 2021-01-18
RU2747461C2 true RU2747461C2 (en) 2021-05-05

Family

ID=74185035

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019122432A RU2747461C2 (en) 2019-07-17 2019-07-17 System and method of countering anomalies in the technological system

Country Status (1)

Country Link
RU (1) RU2747461C2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2272362C1 (en) * 2004-09-21 2006-03-20 Военный университет связи Method for controlling data burst streams in the course of their transmission
US20110257766A1 (en) * 2008-11-24 2011-10-20 Abb Research Ltd. System and a method for control and automation service
US20130036470A1 (en) * 2011-08-03 2013-02-07 Zhu Minghang Cross-vm network filtering
EP1461704B1 (en) * 2001-12-10 2014-08-06 Cisco Technology, Inc. Protecting against malicious traffic
US20160219024A1 (en) * 2015-01-26 2016-07-28 Listal Ltd. Secure Dynamic Communication Network And Protocol

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1461704B1 (en) * 2001-12-10 2014-08-06 Cisco Technology, Inc. Protecting against malicious traffic
RU2272362C1 (en) * 2004-09-21 2006-03-20 Военный университет связи Method for controlling data burst streams in the course of their transmission
US20110257766A1 (en) * 2008-11-24 2011-10-20 Abb Research Ltd. System and a method for control and automation service
US20130036470A1 (en) * 2011-08-03 2013-02-07 Zhu Minghang Cross-vm network filtering
US20160219024A1 (en) * 2015-01-26 2016-07-28 Listal Ltd. Secure Dynamic Communication Network And Protocol

Also Published As

Publication number Publication date
RU2019122432A3 (en) 2021-01-18
RU2019122432A (en) 2021-01-18

Similar Documents

Publication Publication Date Title
EP2866407A1 (en) Protection of automated control systems
KR102251600B1 (en) A system and method for securing an industrial control system
US9874869B2 (en) Information controller, information control system, and information control method
WO2018044410A1 (en) High interaction non-intrusive industrial control system honeypot
Klick et al. Internet-facing PLCs as a network backdoor
US11683336B2 (en) System and method for using weighting factor values of inventory rules to efficiently identify devices of a computer network
US20150229660A1 (en) Method for Monitoring Security in an Automation Network, and Automation Network
CN112242991B (en) System and method for associating events to detect information security incidents
US20170177865A1 (en) Industrial Control System Emulator for Malware Analysis
US11971996B2 (en) Increasing the cybersecurity of a control subject of a technological system by using a protected operating system
RU2746101C2 (en) System and method of network unit definition using rules of inventory
RU2750629C2 (en) System and method for detecting anomalies in a technological system
RU2739864C1 (en) System and method of correlating events for detecting information security incident
RU2747461C2 (en) System and method of countering anomalies in the technological system
JP7255369B2 (en) control system
JP2023089019A (en) Support device and setting program
EP3767914B1 (en) System and method of detecting anomalies in a technological system
EP3716109B1 (en) System and method of stepwise increasing the it security of elements of a technological system
Kumar et al. ANALYSIS OF SECURITY SOLUTIONS FOR INDUSTRIAL CONTROL SYSTEMS
Milinković et al. On Cyber Security of Industrial Measurement and Control Systems
点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载