ВВЕДЕНИЕ ...................................................................................................................... 5
ГЛАВА 1. АНАЛИЗ СОВРЕМЕННОГО СОСТОЯНИЯ ИССЛЕДОВАНИЙ В ОБЛАСТИ ОБНАРУЖЕНИЯ АНОМАЛИЙ И НЕЙТРАЛИЗАЦИИ УГРОЗ БИ НА ОБЪЕКТАХ КИИ С РАСПРЕДЕЛЕННОЙ АРХИТЕКТУРОЙ ............................... 12
1.1 Актуальность задачи обнаружения аномалий и нейтрализации угроз БИ на объектах КИИ с распределенной архитектурой ........................................................ 12
1.2 Определение целевой функции и выбор критериев оценки результатов исследования .................................................................................................................. 14
1.3 Анализ структурно-функциональной организации распределенной АСУ ТП как объекта защиты ....................................................................................................... 19
1.4 Классификация и характеристика основных аномалий в распределенных управляющих системах................................................................................................. 30
1.5 Характеристика сетевого трафика АСУ ТП как источника сведений об аномалиях ....................................................................................................................... 32
1.6 Анализ современных решений задачи обнаружения аномалий и нейтрализации угроз БИ в распределенных АСУ ТП .......................................................................... 36
1.7 Концепция исследования ........................................................................................ 44
1.8 Выводы по первой главе ......................................................................................... 47
ГЛАВА 2. РАЗРАБОТКА МЕТОДА ПОСТРОЕНИЯ МАТЕМАТИЧЕСКИХ И ИМИТАЦИОННЫХ МОДЕЛЕЙ И МОДЕЛЬНОГО БАЗИСА ЗАДАЧИ ОБНАРУЖЕНИЯ АНОМАЛИЙ И НЕЙТРАЛИЗАЦИИ УГРОЗ БИ НА ОСНОВЕ ДАННЫХ МОНИТОРИНГА СЕТЕВОГО ТРАФИКА ............................................. 48
2.1 Классификация моделей задачи обнаружения аномалий и нейтрализации угроз в распределенных автоматизированных системах .................................................... 48
2.2 Характеристика базовой модели угроз для распределенной АСУ процессом транспортировки нефтегазового сырья ....................................................................... 52
2.3 Метод кластеризации угроз и моделей угроз БИ для подсистем распределенных объектов КИИ на основе ортогональных средних значений
3
рисков ............................................................................................................................. 58
2.4 Метод построения математических и имитационных моделей для обнаружения аномалий и распознавания состояния КС АСУ на основе данных мониторинга сетевого трафика .................................................................................... 67
2.4.1 Математическая модель и метод обнаружения аномалий в сетевом трафике АС на основе дихотомического подхода .................................................................... 67
2.4.2 Математическая модель идентификации аномального состояния АС на основе ассоциативно-мажоритарного подхода .......................................................... 73
2.4.3 Обобщенный алгоритм и структурно-функциональная модель ассоциативного процессора обнаружения аномалий и нейтрализации угроз по данным сетевого трафика ............................................................................................. 75
2.5 Выводы по второй главе ......................................................................................... 80
ГЛАВА 3. РАЗРАБОТКА АЛГОРИТМОВ, МЕТОДИК И ПРОГРАММНОЙ РЕАЛИЗАЦИИ МЕТОДОВ И СРЕДСТВ ОБНАРУЖЕНИЯ АНОМАЛИЙ И НЕЙТРАЛИЗАЦИИ УГРОЗ В КС РАСПРЕДЕЛЕННЫХ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ..................................................................... 82
3.1 Графо-аналитическая модель и метод восстановления маршрутов распространения вредоносного кода по фрагментам данных сетевого трафика ... 82
3.2 Алгоритм, методика и программная реализация средств восстановления маршрутов распространения вредоносного кода в распределенной КС ................. 88
3.3 Имитационная модель и метод определения резервного маршрута на основе принципа обхода аномальных участков промышленных КС................................... 92
3.4 Алгоритм, методика и программная реализация средств определения резервного маршрута на основе принципа обхода аномальных участков промышленных КС ..................................................................................................... 100
3.5 Структурно-функциональная модель и метод контроля управляющих транзакций в АС на основе сигнатурного принципа ............................................... 105
3.6 Алгоритм, методика и программно-аппаратная реализация средств мониторинга действий персонала в АС на основе логического контроля ассоциативности сигнатур управляющих транзакций ............................................ 111
4
3.7 Выводы по третьей главе ...................................................................................... 117
ГЛАВА 4. ЭКСПЕРИМЕНТАЛЬНАЯ ОЦЕНКА ЭФФЕКТИВНОСТИ РЕЗУЛЬТАТОВ ИССЛЕДОВАНИЙ И РАЗРАБОТКА РЕКОМЕНДАЦИЙ ИХ ПРАКТИЧЕСКОГО ПРИМЕНЕНИЯ В РАСПРЕДЕЛЕННЫХ АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ НА ПРИМЕРЕ АСУ ТП ТРАНСПОРТИРОВКИ НЕФТЕГАЗОВОГО СЫРЬЯ ............................................. 119
4.1 Сопоставительный анализ методов реализации дихотомического разделения состояний сетевого трафика на основе мажоритарной и нейросетевой моделей 119
4.2 Экспериментальная оценка эффективности применения методов обнаружения аномалий и нейтрализации угроз в распределенных АСУ ТП ............................... 127
4.3 Апробация результатов исследований ................................................................ 142
4.4 Разработка рекомендаций по внедрению результатов исследований ............. 154
4.5 Выводы по четвертой главе .................................................................................. 165
ЗАКЛЮЧЕНИЕ ........................................................................................................... 167
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ ................................................. 169
Приложение А. Акты о внедрении результатов диссертационной работы .......... 196
Приложение Б. Определение информативных признаков аномалии по данным протокола Modbus TCP ............................................................................................... 201
Приложение В. Анализ методов обнаружения аномалий в сетевом трафике АСУ ....................................................................................................................................... 204
Приложение Г. Результаты вычислительных экспериментов по исследованию эффективности применения разработанных методов ............................................. 207
Приложение Д. Многоаспектный анализ результатов диссертационной работы в задаче защиты информации ....................................................................................... 215
Приложение Е. Характеристика программно-аппаратного комплекса мониторинга и анализа аномалий в КС «МАКС-1» ........................................................................ 223
Приложение Ж. Листинги программных средств .................................................... 226
Приложение З. Справка о получении грантов ......................................................... 235
