Защита операционных технологий (OT) в автоматизированных системах управления технологическими процессами (АСУ ТП) является критически важной задачей. Атаки на OT-инфраструктуру могут приводить к серьёзным сбоям и финансовым потерям.
Для выявления аномалий в промышленных сетях предлагается использовать гибридные автоматы. Этот подход позволяет моделировать как дискретные, так и непрерывные процессы, что повышает точность обнаружения отклонений от нормального поведения системы. Гибридные автоматы строятся на основе анализа исторических данных и дополняются экспертными знаниями.
В качестве данных для тестирования был использован датасет CIC Modbus 2023, содержащий записи реального трафика промышленного протокола Modbus, а также имитацию различных кибератак. Разработанная система продемонстрировала высокую точность и полноту обнаружения аномалий, включая разведку, флуд запросами, подбор параметров, манипуляции с длиной пакетов и внедрение ложных данных.
Дополнительные детекторы, контролирующие специфические параметры протокола Modbus (области памяти, соединения, ошибки, задержки), повышают эффективность выявления атак. Система показала низкий уровень ложных срабатываний (менее 0,5% на одном из тестовых устройств).
Изображение носит иллюстративный характер
Для выявления аномалий в промышленных сетях предлагается использовать гибридные автоматы. Этот подход позволяет моделировать как дискретные, так и непрерывные процессы, что повышает точность обнаружения отклонений от нормального поведения системы. Гибридные автоматы строятся на основе анализа исторических данных и дополняются экспертными знаниями.
В качестве данных для тестирования был использован датасет CIC Modbus 2023, содержащий записи реального трафика промышленного протокола Modbus, а также имитацию различных кибератак. Разработанная система продемонстрировала высокую точность и полноту обнаружения аномалий, включая разведку, флуд запросами, подбор параметров, манипуляции с длиной пакетов и внедрение ложных данных.
Дополнительные детекторы, контролирующие специфические параметры протокола Modbus (области памяти, соединения, ошибки, задержки), повышают эффективность выявления атак. Система показала низкий уровень ложных срабатываний (менее 0,5% на одном из тестовых устройств).
