Применение поведенческих профилей и детектирования команд на основе DPI для защиты от несанкционированных изменений параметров НКУ на пищевых производствах
Ключевые слова:
глубокая инспекция пакетов, DPI, поведенческое профилирование, промышленная кибербезопасность, Modbus TCP, Profinet, низковольтные комплектные устройстваАннотация
В статье рассматривается обеспечение киберустойчивости низковольтных комплектных устройств (НКУ) в пищевой промышленности в условиях роста сетевой связности, обусловленного концепциями Индустрии 4.0 и сближением операционных и информационных технологий, при котором НКУ перестают быть изолированным физическим интерфейсом и превращаются в уязвимую точку воздействия на рецептурные и режимные параметры технологических линий (пастеризация, стерилизация, управление насосными группами и термоагрегатами). Анализируется ограниченность традиционных сигнатурных и пороговых средств контроля, не распознающих злоупотребление легитимными командами промышленных протоколов и порождающих избыточные ложные тревоги при переходных режимах (CIP-мойка, переналадка, пусконаладка), что подрывает доверие операторов к защитным системам. Предложен и верифицирован подход, сочетающий глубокую инспекцию пакетов (DPI) с поведенческим профилированием на основе машинного обучения, позволяющий извлекать семантику команд на уровне регистров Modbus TCP и объектов Profinet IO и сопоставлять сетевые действия с контекстом производственного цикла. Описана экспериментальная реализация на гибридном стенде с ПЛК Siemens S7-1500 и Schneider Electric Modicon M340 и высокопроизводительным захватом трафика; сформирован длительный массив сетевого обмена, включающий штатные и нестандартные режимы, а также синтетически воспроизведены 15 классов атак, включая инъекции команд, MITM и replay-сценарии. Показаны количественные характеристики обнаружения: высокая результативность для прямой записи уставок и инъекций команд при миллисекундных временах реакции, при этом наибольшую сложность представляют replay-атаки, требующие накопления исторического контекста и демонстрирующие повышенную долю пропусков и рост времени обнаружения. Проанализировано влияние DPI-шлюза на задержки и джиттер: при активной блокировке задержки возрастают нелинейно с нагрузкой, однако остаются в пределах типовых допусков Modbus TCP; одновременно отмечается рост вариативности задержек при пиковом трафике как фактор риска для контуров реального времени. Отдельно рассмотрена неоднородность ложных блокировок по режимам: минимальные значения характерны для стационарного производства, тогда как в режимах с высокой энтропией команд (CIP, переналадка, пусконаладка) требуется контекстно-зависимая смена профилей. Итоговая интерпретация результатов указывает на практическую применимость гибридной схемы, где детерминированные правила дополняют вероятностные модели аномалий, обеспечивая высокую релевантность выявления несанкционированных изменений параметров НКУ при приемлемой вычислительной цене и требованиях к интерпретируемости решений для персонала.Библиографические ссылки
Аникеев Д. А. Исследование возможности использования флэш-накопителей для защиты от несанкционированного доступа к информации // Россия молодая: мат. VI Всерос. науч.-прак. конф. мол. учен. с межд. участ. Под ред. В. Ю. Блюменштейна. 2014. С. 141.
Боровлев Б.С., Мушта А.И., Панарин С.И., Бачурин В.И. Встраиваемая программа защиты от несанкционированного доступа // Информация и безопасность. 2000. Т. 3. № 1. С. 84-85.
Гончарова О. Н., Никифоров С. В. Средства защиты от несанкционированного доступа // Проблемы информационной безопасности. 2015. С. 77.
Демкин Д. А. Защита базы данных от несанкционированного доступа // Актуальные проблемы науки и техники: мат. Всерос. (Национ.) науч.-прак. конф. Ростов н/Дону, 2024. С. 243-245.
Десницкий В. А., Котенко И. В. Модель защиты программ от несанкционированных изменений на основе механизма удаленного доверия // Информационная безопасность регионов России (ИБРР-2007): мат. конф. 2007. С. 81.
Запорожцев А.А., Козубенко М.В., Шейдаков Н.Е. Использование асимметричных криптосистем для защиты информации от несанкционированного доступа // Информационные системы, экономика, управление трудом и производством: ученые записки. Ростов н/Дону, 2014. С. 89-93.
Земляченко В.В., Бабаев А.А. Способы защиты беспроводных сетей Wi-Fi от несанкционированного доступа // Молодежь и кооперация: реальность и будущее: мат. Межд. студ. науч. конф. Белгород, 2011. С. 9-11.
Казанский Л.А., Письменный А.А., Фаерович С.И., Камынин И.П., Воронов А.Б., Сериков А.А. Устройство для защиты дифманометра: авт. свидет. SU 744256 A1 / № 2334699; заявл. 18.03.1976; опубл. 30.06.1980.
Краснопевцев А. А. Защита от несанкционированного копирования приложений, компилируемых в промежуточное представление: дис. ... канд. техн. наук. М., 2011. 24 с.
Краснопевцев А.А. Разработка автоматической защиты от несанкционированного копирования .NET приложений с использованием внешнего аппаратного модуля // Безопасность информационных технологий. 2009. Т. 16. № 1. С. 54-57.
Крахмальный И.О. Разработка модели прогнозирования кибератак // Академический исследовательский журнал. 2025. Т. 3. № 5. С. 180-184.
Кузнецов А.В. Информационная технология пассивной защиты цифровых изображений и видеосигналов от несанкционированных изменений: отчет о НИР: грант № СП-66.2015.5. 2015. 54 с.
Магомедова Н.А., Аливагабов М.К. Средства защиты информации от несанкционированного доступа // Вопросы структуризации экономики. 2009. № 1. С. 87.
Муратов А. В., Дубровин А. С., Коротков М. В., Рогозин Е. А. Оценка системы защиты информации от несанкционированного доступа при проектировании электронных средств // Проектирование и технология электронных средств. 2003. № 3. С. 7-10.
Степанцов А.А., Осадчий Ю.Ю., Танчер С.В. Новый класс устройств защиты информации от несанкционированного доступа – технические средства контроля доступа к аппаратным средствам ПЭВМ // Интеграл. 2007. № 5. С. 38-39.
