Способ и система мониторинга целостности данных

Изобретение относится к области защиты информации от несанкционированного доступа.

Известен способ (патент РФ №2560810, МПК G06F 21/31, H04L 9/32, опубл. 20.08.2015), в котором для создания безопасной среды для защиты информации от несанкционированного использования шифруют информацию с помощью криптографического процессора и закрытого криптографического ключа, хранящегося в устройстве пользователя, формируют и отправляют пакет данных, содержащий одноразовый код аутентификации пользователя, на сервер обслуживающего лица, расшифровывают пакет данных на сервере обслуживающего лица и проверяют на сервере одноразовый код аутентификации пользователя и проверочный код, в случае положительного результата проверки сервер отправляет пользователю пакет данных, одноразовый код аутентификации пользователя, полученный при расшифровке пакета данных пользователя, затем устройство пользователя формирует новый пакет данных, характеризующийся новым одноразовым кодом аутентификации пользователя, пакет данных состоит из зашифрованной и незашифрованной частей, а незашифрованная часть содержит проверочный код, составленный с возможностью проверки целостности всего пакета данных, и идентификатор пользователя.

Известен способ (патент РФ №2704268, МПК H04L 9/08 H04W 12/06, опубл. 25.10.2019), в котором используются ключевые носители, оснащенные криптографическими функциями, схемы взаимной аутентификации беспилотного летательного аппарата (БПЛА) и наземной станцией управления (НСУ) на основе асимметричных криптографических ключей, совмещенной со схемой вычисления общего симметричного ключа, и схемы генерации сеансовых мастер-ключа и ключей шифрования и вычисления имитовставки для последующего формирования защищенного канала беспроводной связи между БПЛА и НСУ, обеспечивающего шифрование передаваемой информации и контроль ее целостности, при этом схемы взаимной аутентификации, вычисления общего симметричного ключа и генерации сеансовых ключей разработаны с учетом специфики применения БПЛА и формирования каналов беспроводной связи между БПЛА и НСУ.

Общим недостатком данных способов является необходимость дополнительных секретных ключей, которые используются для подтверждения целостности переданной информации. Наличие такого ключа не сможет помешать внутреннему злоумышленнику подделать информацию о состоянии летательного аппарата (ЛА) в пунктах приема информации. Кроме того, как на борту ЛА, так и на предприятии, получающем информацию, необходимо иметь соответствующее криптографическое оборудование и программное обеспечение, что может негативно сказаться на вычислительных возможностях бортового вычислителя.

Таким образом, общим недостатком рассмотренных способов является возможность подмены или модификации данных, полученных с борта ЛА о состоянии системы автоматического управления газотурбинным двигателем, внутренним злоумышленником.

Ближайшим аналогом заявляемых способа и системы выбран (Guzairov М.В. Frid A.I., Vulfin A.M., Berkholts V.V. The concept of integrity of telemetric information about the state of an aircraft power plant monitoring // Proceedings of 2019 International Conference on Electrotechnical Complexes and Systems (ICOECS) Электронный ресурс https://ieeexplore.ieee.org/document/8950020). Мониторинг целостности данных, получаемых с ЛА о состоянии системы автоматического управления газотурбинным двигателем, передаваемых с борта летательного аппарата на предприятие-изготовитель, основывают на сравнении технологических временных рядов, характеризующих поведение параметров системы автоматического управления газотурбинным двигателем (САУ ГТД), установленной на летательном аппарате, и модели системы автоматического управления газотурбинным двигателем, установленной на предприятии-изготовителе, по показателям: коэффициенты корреляции и детерминации и средний процент отклонения, на сигнале системы контроля исправности системы автоматического управления газотурбинного двигателя и режиме работы системы автоматического управления газотурбинным двигателем.

Аналог предлагаемой системы состоит из следующих блоков:

1. Блок оконного анализа технологических временных рядов (ТВР), формирующий многомерные ТВР, полученные от САУ ГТД и сгенерированные моделью, для определения текущего типа динамики САУ ГТД и дальнейшего анализа согласованности ТВР.

2. Группа блоков, реализующая классификатор для определения текущего режима работы системы автоматического управления газотурбинным двигателем помощью кластерного анализа состояния САУ ГТД для выделения режимов работы САУ ГТД и реализующая классификатор состояний САУ ГТД

5. Блок, выполняющий построение вектора оценок согласованности многомерных ТВР в текущем окне анализа с помощью набора метрик: коэффициент корреляции, коэффициент детерминации и средний процент отклонения.

6. Блок, предназначенный для кластеризации параметров согласованности ТВР.

7. Блок, представляющий собой ансамбль нейронечетких классификаторов и нейросеть, определяющий, к какому типу согласованности относится текущий вектор параметров согласованности.

8. Результирующий блок, реализующий принятие решения о текущем состоянии системы; позволяет оценить наличие одного из состояний согласованности данных модели и ГТД: «Отказ системы автоматического управления газотурбинным двигателем», «Нормальная работа», «Нарушение целостности»

Недостатком прототипа является низкая вероятность обнаружения вмешательства злоумышленника, обусловленная тем, что для определения режима работы объекта используется алгоритм кластеризации. Автоматическая классификация более, чем на два класса не позволяет с высокой точностью определить режим работы объекта, что может привести к уменьшению вероятности обнаружения вмешательства злоумышленника, также сложная реализация алгоритма кластеризации режимов работы объекта требует дополнительных вычислительных ресурсов. Дополнительным фактором, снижающим вероятность обнаружения вмешательств злоумышленника, является то, что коэффициенты корреляции и детерминации оба иллюстрируют долю дисперсии, таким образом, согласованность ТВР фактически определяется только по двум параметрам: доле дисперсии и среднему проценту отклонения, что приводит к ухудшению оценки согласованности ТВР.

Задачей, на решение которой направлен заявляемые способ и система, является повышение вероятности принятия правильного решения об установлении факта атаки на целостность данных.

Технический результат - повышение уровня защищенности от несанкционированной модификации.

Решение поставленной задачи и технический результат достигаются тем, что способ мониторинга целостности данных о состоянии системы автоматического управления газотурбинным двигателем, передаваемых с борта летательного аппарата на предприятие-изготовитель, для осуществления которого сравнивают технологические временные ряды, характеризующие поведение параметров системы автоматического управления газотурбинным двигателем, установленной на летательном аппарате, и модели системы автоматического управления газотурбинным двигателем, установленной на предприятии-изготовителе, для сравнения вычисляют показатели: коэффициент детерминации и средний процент отклонения, определяют сигнал системы контроля исправности системы автоматического управления газотурбинного двигателя и режим работы системы автоматического управления газотурбинным двигателем, согласно изобретению для сравнения технологических временных рядов на основе вычисления вектора параметров согласованности, дополнительно используют вычисление евклидова расстояния, определяют, к какому из сформированных семь типов согласованности относится данный вектор, определяют, в каком из двух режимов работы находится система автоматического управления газотурбинным двигателем: переходном или установившемся, и в соответствии с выработанными правилами нечеткой установившемся, основанными на сигнале системы контроля, режиме работы и параметрах согласованности, принимают решение о наличии атаки злоумышленника на принятые данные, их целостность и оценивают вероятность, с которой это решение принято.

Решение поставленной задачи и технический результат достигаются тем, что Система мониторинга целостности данных о состоянии системы автоматического управления газотурбинным двигателем, передаваемых с борта летательного аппарата на предприятие-изготовитель, содержащая блок, выполняющий оконный анализ и формирующий многомерные технологические временные ряды системы автоматического управления и ее модели, выходы которого направлены в блок, реализующий классификатор для определения текущего режима работы системы автоматического управления газотурбинным двигателем, и в блок, выполняющий построение вектора оценок согласованности многомерных технологических временных рядов в текущем окне с помощью набора метрик: коэффициент детерминации, средний процент отклонения, выход которого направлен в блок, предназначенный для кластеризации параметров согласованности технологических временных рядов, выходы блока, реализующего кластеризацию параметров согласованности на типы согласованности, и блока, выполняющего построение вектора оценок согласованности направлены в блок, представляющий собой ансамбль нейронечетких классификаторов и нейросеть, определяющий, к какому типу согласованности относится текущий вектор параметров согласованности, выход которого направлен в результирующий блок принятия решения, на вход которому также подается результат работы блока, классифицирующего режим работы системы автоматического управления газотурбинным двигателем и выход системы контроля системы автоматического газотурбинным двигателем, реализующий итоговое принятие решения о текущем состоянии системы и позволяющий определить наличие одного из состояний согласованности данных модели и системы автоматического управления газотурбинным двигателем: «Отказ системы автоматического управления газотурбинным двигателем», «Нормальная работа», «Нарушение целостности», и оценить вероятности такого состояния, согласно изобретению в блоке, определяющем режим работы системы автоматического управления газотурбинным двигателем, классификация на два режима работы установившийся и переходный, реализуется на основе производной частоты вращения ротора высокого давления, сигнала с выхода селектора минимального значения и сравнении их с пороговыми значениями, блок, выполняющий построение технологических временных рядов дополнительно оценивает согласованность по метрике евклидово расстояние.

Предлагаемый способ мониторинга целостности данных, получаемых с эксплуатируемой САУ ГТД ЛА, основан на выделении в сигналах особенностей в автоматическом режиме. Анализ сигналов требует идентификации фрагментов, связанных с отдельными событиями, и исследования соответствующих событий путем сегментации исходного технологического временного ряда (ТВР) и [Ярушкина Н.Г. Интеллектуальный анализ временных рядов: учебное пособие /Н.Г. Ярушкина, Т.В. Афанасьева, И.Г. Перфильева-Ульяновск: УлГТУ, 2010 - 320 с.] последующего анализа сигнала с использованием таких характеристик, как амплитуда, форма волны (морфологии), длительность, интервалы между событиями, распределение энергии, частотное содержание и т.д. Блок принятия решений о состоянии канала передачи с борта ЛА на предприятие-изготовитель обеспечивает обработку ТВР, генерируемых САУ ГТД на эксплуатируемом ЛА, а именно определяет режим работы САУ ГТД (установившийся или переходный) и производит сравнение этих данных с данными, генерируемыми моделью на предприятии-изготовителе. [Гольберг Ф.Д. Математические модели авиационных газотурбинных двигателей как объект управления /. Гольберг Ф.Д., Батенин А.В. - Москва: издательство МАИ, 1999 - 82 с.] Такое разделение всех режимов работы САУ ГТД на две группы позволит исключить ошибки первого рода в процессе принятия решения о несанкционированной модификации данных на переходных режимах работы САУ ГТД, так как на переходных режимах параметры САУ ГТД и параметры модели могут быть менее согласованы, чем на установивших, что может повлечь за собой принятие ложного решения о наличии нарушении целостности. Ввод разных правил для установившихся и переходных режимов САУ ГТД позволяет исключить такие ошибки. Изобретение поясняется чертежами:

На фиг. 1 представлена структурная схема способа мониторинга целостности данных, получаемых с бортовых систем ЛА.

На фиг. 2 представлена структурная схема системы, реализующей способ мониторинга целостности телеметрической информации (ТМИ) САУ ГТД, получаемых с модели и с борта ЛА.

На фиг. 3 представлена структурная схема классификатора режима работы САУ ГТД.

На фиг. 4 представлена обобщенная структурная схема защищенной системы сбора, хранения и обработки ТМИ.

На фиг. 5А, 5Б, 5В, 5Г и 5Д представлены возможные варианты согласованности ТВР.

На фиг. 6А, 6Б, 6В и 6Г представлены варианты атак злоумышленника

Структурная схема способа мониторинга целостности параметров САУ ГТД летательного аппарата представлена на фиг. 1.

В систему управления САУ ГТД 1 поступает вектор F, характеризующий свойства внешней среды, такие как параметры атмосферного воздуха: температуру за бортом ЛА, давление и прочее. Вектором Е обозначены дополнительные эксплуатационные факторы [Гольберг Ф.Д. Математические модели авиационных газотурбинных двигателей как объект управления /. Гольберг Ф.Д., Батенин А.В. - Москва: издательство МАИ, 1999 - 82 с.]. Исходящими из объекта управления 2 являются векторы Y и Х. Вектор Y включает в себя параметры регулирования, такие как: частоты вращения роторов, давление воздуха за компрессором, температура газа за турбиной и т.д. Вектор X включает следующие характеристики САУ ГТД: тяга, скорость ее изменения, удельный расход топлива и прочее. В САУ ГТД поступает вектор управляющих воздействий U, формируемый системой управления. Система контроля САУ ГТД формирует сигнал (K) о состоянии (исправна К=1/неисправна К=0) САУ ГТД.

Векторы X, Y, K, F, E и положение рычага управления двигателем (αРУД) отправляются через канал передачи данных 3 на предприятие-изготовитель. Канал подвергаются воздействию внешних факторов и шуму, воздействие которых обозначено вектором N.

Сигнал системы контроля САУ ГТД передается на предприятие-изготовитель. В случае возникновения отказа сигнал выводится на приборную панель ЛА для уведомления экипажа ЛА о появившейся неисправности. Согласно (ФАП "Подготовка и выполнение полетов в гражданской авиации Российской Федерации" (п.3.117 в ред. Приказа Минтранса России от 22.11.2010 N 263)), экипаж, как только станет возможным, информирует Организацию воздушного движения (ОрВД) при необходимости с применением сигнала срочности о возникшей неисправности.

Возникновение отказа на борту ЛА - особый случай. При передаче данных с борта ЛА на предприятие-изготовитель, включающих подобный сигнал, предприятие-изготовитель связывается с органами ОрВД для исключения возможности подделки такого сигнала злоумышленником

В случае, если на предприятие-изготовитель пришли данные, говорящие о нормальной работе САУ ГТД (К=1), однако злоумышленник модифицировал сигнал системы контроля, и неисправности были, сравнение ТВР и оценка параметров согласованности выявит нарушение целостности.

Кортеж векторов (X, Y, K, F, E, αРУД) поступает на предприятие изготовитель. На ПИ модель САУ ГТД 4 по параметрам полета (векторы Е и F) генерирует сигналы Y_M (аналог вектора Y), Х_M (аналог вектора X), исходящие из модели объекта управления 5, и UM-вектор регулирующих воздействий модели САУ ГТД.

Векторы X, Y, Y_M, Х_M отправляются в блок принятия решения 6, где они сравниваются, а также проверяется состояние сигнала системы контроля (К), после чего принимается решение (R) о том, было ли совершено воздействие на систему злоумышленником, произошел отказ оборудования или работа продолжается в штатном режиме и оценка вероятности правильности принятого решения (Р).

Заявляемый способ мониторинга целостности данных, получаемых с борта ЛА, включает следующие основные шаги:

1. Выделяется набор параметров САУ ГТД для анализа рассогласований данных, полученных с модели, и данных, полученных с ЛА;

2. Выделяется скользящее окно для анализа многомерных векторов X, Y, Y_M, Х_M. , - наборы ТВР, сгенерированные моделью и полученные с ЛА, помещенные в одно временное окно;

3. Строится многомерный временной ряд (BP) P^W - параметры согласованности ТВР для каждого из окон анализа W_S;

4. Определяется режим работы САУ ГТД U_H (установившийся или переходный) в выделенном временном окне;

5. Выполняется расчет параметров согласованности ТВР, полученных с борта ЛА, и ТВР, генерируемых моделью;

6. По вычисленным параметрам рассогласования определяется тип рассогласования ТВР;

7. На основе типа динамики САУ ГТД, типа рассогласования BP и сигнала системы контроля принимается решение о целостности данных, полученных с ЛА;

Контроль целостности ТМИ базируется на анализе согласованности поведения параметров, полученных с помощью модели сложного технического изделия, и принимаемых с бортовых систем летательного аппарата. Выходом системы мониторинга является оценка вероятности событий нарушения целостности данных.

2. Система, реализующая способ мониторинга целостности данных, получаемых с борта ЛА

Структурная схема системы, реализующей способ мониторинга целостности данных, полученных из модели САУ ГТД и летательного аппарата, представлена на фиг. 2 и содержит в себе следующие блоки:

Блок оконного анализа ТВР 7 с помощью скользящего окна длиной WS с шагом S формирует из исходных многомерных ТВР х_M и х набор матриц , признаков для определения текущего типа динамики САУ ГТД и дальнейшего анализа согласованности ТВР. Размер скользящего временного окна равен 100 временным отсчетам. Размер был подобран экспериментально.

Пример матрицы ТВР представлен в таблице 1:

Блок (8) реализует классификатор состояний модели САУ ГТД. На выходе блока формируется решение о том, в каком состоянии находится модель САУ ГТД: установившемся или переходном. Подробная схема блока (8) представлена на фиг. 3.

Обозначения на фиг. 3 следующие:

n₁ - частота вращения ротора низкого давления

n₂ - частота вращения ротора высокого давления

- температура газа за турбиной

n₁₀ - уставочное значение частоты вращения ротора низкого давления

n₂₀ - уставочное значение частоты вращения ротора высокого давления

- уставочное значение температуры газа за турбиной

Δn₁ - разность между уставочным и действительным значениями частоты вращения ротора низкого давления

Δn₂ - разность между уставочным и действительным значениями частоты вращения ротора высокого давления

- разность между уставочным и действительным значениями температуры газа за турбиной

G_t - расход топлива

Δх - выход сектора минимума

- производная частоты вращения ротора высокого давления

На вход классификатора 15 поступают производная частоты вращения 13 ротора высокого давления и сигнал с выхода селектора минимального значения 14 рассогласований управляемых параметров двигателя 2, являющегося элементом САУ ГТД [Гуревич, О.С., Гольберг, Ф.Д., Селиванов О.Д. Интегрированное управление силовой установкой многорежимного самолета / Под общ. ред. О.С. Гуревича. - М. Машиностроение, 1993. - 304 с.], вычисляют абсолютные значения этих величин и сравнивают их с пороговыми значениями. Режим считается установившимся, если выполняется следующее условие:

где Δх - это выход сектора минимума,

х₀=0,2% от регулируемого в настоящий момент параметра,

- это производная частоты вращения ротора высокого давления,

в секунду.

Если условие не выполняется, то режим САУ ГТД считается переходным. В случае, если в выбранном временном окне встречается и переходный, и установившийся, считают, что в данном окне САУ ГТД находится в переходном состоянии.

Блок (9) выполняет построение вектора PW оценок согласованности многомерных ТВР в текущем окне анализа , с помощью набора метрик (коэффициент детерминации, средний процент отклонения (МАРЕ) [J.S. Armstrong, F. Collopy, Error measures for generalizing about forecasting methods: Empirical comparisons, International Journal of Forecasting 8 (1) (1992) 69-80.] и евклидово расстояние [Загоруйко Н.Г. Прикладные методы анализа данных и знаний. - Новосибирск: ИМ СО РАН, 1999. - 270 с].

Коэффициент корреляции вычисляется по формуле:

где n - размер выборки,

- это выборочные средние величин,

S_x и S_y выборочные среднеквадратичные отклонения.

Коэффициент детерминации вычисляется по формуле:

Так как коэффициент детерминации выводится из коэффициента корреляции, то наличие обоих коэффициентов в БПР избыточно. Для БПР будет использоваться коэффициент детерминации.

Расчет МАРЕ происходит по формуле:

Расчет евклидова расстояния производится по следующей формуле

Так как само по себе евклидово расстояние нерепрезентативно на данных, имеющих разные единицы измерения, то для различных параметров САУ ГТД, необходимо использовать формулу расчета евклидова расстояния на нормированных данных х_н и у_н:

где - это выборочные средние величин

Данный вектор оценок согласованности позволяет делать вывод о текущем типе согласованности параметров модели и реального САУ ГТД для последующего принятия решения о возможных причинах выявленных расхождений в блоке принятия решений.

Блок (10) предназначен для автоматической классификации параметров согласованности ТВР . В результате формируется совокупность кластеров {С*} типов согласованности методом к - средних (k - means) [Steinhaus Н. (1956). Sur la division des corps materiels en parties. Bull. Acad. Polon. Sci., C1. III vol IV: 801-804], в ходе анализа которой выполняется переход к системе классов типов согласованности {Cq}. Метод k-средних стремится минимизировать суммарное квадратичное отклонение точек кластеров от центров этих кластеров:

где k - число кластеров,

S_i - полученные кластеры,

μ_i - центры масс всех векторов х из кластера S_i.

Метод кластеризации k-means разбивает множество элементов на заранее известное число кластеров k.

В ходе анализа согласованности ТВР было выделено 7 кластеров, после чего была выполнена автоматическая классификация типов согласованности.

Блок (11) позволяет выполнить построение классификатора типов согласованности на имеющихся данных P^W. Для принятия решения о классе текущего вектора параметров согласованности ТВР возникает необходимость построения гетерогенного ансамбля нейро - нечетких классификаторов (ННК) с архитектурой ANFTS [Jang, Jyh-Shing R (1991). «Fuzzy Modeling Using Generalized Neural Networks and Kalman Filter Algorithms in Proceedings of the 9th National Conference on Artificial Intelligence, Anaheim, CA, USA, July 14-19. 2: 762-767], каждый из которых предназначен для обнаружения только одного из выделенных типов согласованности. Адаптивная нейро-нечеткая система вывода (adaptive network-based fuzzy inference system), ANFIS - это искусственная нейронная сеть, основанная на нечеткой системе вывода. Каждый из комитета ННК принимает в себя метрики согласованности ТВР и решает, принадлежит ли этот вектор метрик типу согласованности, на котором он обучен, и выдает значение вероятности, с которой этот вектор принадлежит его типу согласованности. U_C - вероятность принадлежности текущего вектора параметров согласованности к классам(типам) согласованности.

После обучения отдельных ННК в режиме «один-все» (one-vs-all) становится возможной оценка вероятности U_R принадлежности текущего вектора признаков PW согласованности каждому из классов С* и итоговое выделение наиболее вероятного типа согласованности в режиме голосования при помощи нейросети (НС) типа с функцией активации SOFTMAX [Hinton G., Vinyals О., Dean J. Distilling knowledge in a neural network // Proc. NIPS 2014 Deep Learning Workshop. Montreal, Canada, 2014. arXiv: 1503.02531].

Функция активации Softmax выглядит следующим образом:

где z_i - значение выхода i-го нейрона до активации,

N - общее количество нейронов в слое.

K - количество классов

Входом этой НС являются вероятности принадлежности вектора метрик согласованности ТВР каждому из типов согласованности. НС решает, вероятность какого из типов максимальна. Таким образом, при прохождении значениями вероятностей блока финальной НС, решается задача классификации типов рассогласования данных, полученных с модели, и данных, полученных непосредственно с борта самолета.

Результирующий блок (12) основан на НС типа ANFIS [Jang, J.-S.R. ANFIS: adaptive-network-based fuzzy inference system (англ.) // IEEE Transactions on Systems, Man and Cybernetics: journal. - 1993. - Vol. 23, no. 3.], который позволяет развернуть механизм принятия решения для оператора при необходимости проведения процедуры расследования инцидентов нарушения целостности ТМИ и реализует итоговое принятие решения Ro текущем состоянии системы и позволяет произвести оценку вероятности правильности принятого решения Р о наличии одного из состояний согласованности данных модели и САУ ГТД: «Отказ САУ ГТД», «Нормальная работа», «Нарушение целостности». НС работает на правилах вида «ЕСЛИ …, ТО …». Правила представлены в таблице 4.

На фиг. 4 представлена обобщенная структурная схема защищенной системы сбора, хранения и обработки ТМИ с ЛА (16, 17); данные с ЛА считываются на станциях технического обслуживания 18 и передаются в корпоративную информационную сеть (КИС) 20 через Интернет-соединение 18. Далее ТМИ поступает в модуль интеграции подсистем КИС 21. Внутренними злоумышленниками, способными внести модификации для рассматриваемой системы, могут являться администраторы корпоративной информационной системы 20, подсистем хранения 22, подсистем обработки 23, баз данных и бизнес-процессов ПИ 24, а также персонал по техническому обслуживанию (ТО) на станциях ТО 18. Точками ⊗ отмечены места возможного воздействия злоумышленника.

Тестирование представленного способа проводилось на выборке, представляющей из себя два типа технологических временных рядов: ТВР, полученных с модели, и ТВР, полученных с ЛА. На ТВР, полученных с ЛА, накладывался шум, а также симулировались различные случаи нарушения целостности злоумышленником. В общем случае, подобные воздействия можно описать следующим выражением:

x{t)=ε(t)*(ϕ(x'(t))

где x(t) - значение принимаемого параметра САУ ГТД в t момент времени,

ε(t) - шум, накладываемый на сигнал в t момент времени,

x'(t) - передаваемое значение параметра САУ ГТД в t момент времени, ϕ(x'(t)) - воздействие злоумышленника на передаваемое значение параметра САУ ГТД в t - момент времени.

Нарушитель может осуществлять следующие действия по нарушению целостности ТМИ [Васильев В.И., Вульфин A.M., Берхольц В.В., Кириллова А.Д., Вельский СМ. Анализ рисков обеспечения целостности телеметрической информации с использованием технологии когнитивного http://journal.ugatu.ac.ru/index.php/Vestnik/article/view/2216 (дата обращения: 15.03.2020).]:

1) подмену базовой и/или абонентской радиостанции - подавление сигнала базовой/абонентской радиостанции и радиообмен с помощью собственной радиостанции нарушителя, передающей поддельную информацию;

2) отправку поддельной информации в радиоканал - создание пакета данных с поддельной телеметрической информацией и отправка его базовой/абонентской радиостанции;

3) повторную отправку ранее перехваченной в радиоканале информации - перехват легитимного сообщения, передаваемого по радиоканалу, и его повторная отправка участнику движения через некоторый период времени.

На фиг. 5А, 5Б, 5В, 5Г и 5Д представлены примеры анализа согласованности ТМИ и модельных данных.

Для описания правил при принятии решения о целостности данных были введены лингвистические переменные, характеризующие каждый из параметров согласованности, представленные в таблице 2.

Кроме того, коэффициент детерминации также может принимать значение NaN («Not a number», «нечисло») - несуществующее значение при постоянном значении параметра в текущем окне временного ряда.

5А1. В данном случае не происходит атака злоумышленника, а происходит отказ оборудования или обрыв передачи сигнала с борта ЛА. Начиная с 85 итерации значения данных, полученных с ЛА, резко изменились, и значение их средней величины снизилось относительно средней величины предыдущих значений, получаемых с модели. Падение величины принимаемого сигнала произошло практически на последних итерациях в текущем временном окне анализа, однако, значения параметров согласованности говорят о недостоверности принимаемых данных, но сигнал системы контроля свидетельствует о неполадках на борту. Симулирована ситуация «Отказ оборудования».

5А2. В данном примере симулирована атака злоумышленника «2В. Подмена данных на данные, непохожие на подлинные, в конце временного окна». На 57 итерации среднее значение передаваемого сигнала резко изменилось по сравнению с предыдущими данными. Искажение сигнала происходит на поздних итерациях, что снижает чувствительность коэффициента детерминации. Однако, значения коэффициента и детерминации, значение МАРЕ и евклидово расстояние низкие, система контроля показывает, что на ЛА все в порядке, а параметры согласованности ТВР низкие для установившегося режима работы САУ ГТД. Целостность данных нарушена.

5Б1. В данном примере симулирована атака злоумышленника «2Б. Подмена данных на данные, похожие на подлинные, в середине временного окна». Этот пример иллюстрирует ситуацию, когда параметры согласованности ТВР принимают низкие значения, САУ ГТД находится в переходном режиме работы, система контроля говорит о нормальной работе САУ ГТД на ЛА. Такие низкие параметры согласованности свидетельствуют о нарушении целостности данных.

5Б2. Атака злоумышленника отсутствует. Здесь САУ ГТД работает в установившемся режиме, а, значит, параметры согласованности ТВР должны иметь высокие значения, что и отражают значения коэффициента детерминации, МАРЕ и евклидово расстояние. Целостность данных не нарушена. Атака отсутствует.

5B1. САУ ГТД находится в переходном режиме работы, а, значит, окно для рассогласованности параметров шире и некоторые из параметров согласованности могут принимать средний уровень значений, а именно коэффициент детерминации, а также евклидово расстояние, однако, МАРЕ имеет высокое значение. Целостность данных не нарушена. Атака отсутствует.

5B2. САУ ГТД находится в переходном режиме работы, и, несмотря на низкое значение МАРЕ, коэффициент детерминации высокие, евклидово расстояние мало. Целостность данных не нарушена. Атака отсутствует

5B3. В данном случае, во временном окне параметр САУ ГТД принимал постоянное значение, поэтому невозможно вычислить коэффициент детерминации, им присваивается значение NaN (Not-a-Number), однако, МАРЕ и евклидово расстояние принимают низкие значение, режим работы САУ ГТД статический, система контроля говорит о нормальном режиме работы. Целостность данных не нарушена. Атака отсутствует.

5Г1. Симулирована атака злоумышленника «3А. Увеличение (уменьшение) параметров САУ ГТД при сохранении характера поведения параметров в течение всего временного окна». Установившийся режим САУ ГТД. Сигнал системы контроля - нормальная работа. Из-за того, что характер поведения параметров сохраняется, коэффициенты и детерминации принимают высокое значение, однако, МАРЕ и евклидово расстояние низкие, следовательно, целостность данных нарушена.

5Г2. Симулирована атака злоумышленника «1А. Наложение шума на передаваемые данные в течение всего временного окна». Установившийся режим САУ ГТД. Сигнал системы контроля - нормальная работа. Все параметры согласования принимают низкие значения. Целостность данных нарушена.

5Д. Симулирована атака злоумышленника «4А. Подделка управляющих и внешних воздействий в течение всего временного окна». Установившийся режим САУ ГТД. Сигнал системы контроля - нормальная работа. Все параметры согласования принимают низкие значения. Данные, сгенерированные моделью, не соответствуют данным, полученным с САУ ГТД. Целостность данных нарушена.

Исходя из перечисленных выше нарушений целостности и примеров анализа согласованности ТВР, можно сформулировать следующие типы атаки злоумышленника (фиг. 6А, 6Б, 6В и 6Г): атаки, направленные на подделку данных, генерируемых датчиками САУ ГТД, т.е. самих параметров САУ ГТД (частоты вращения роторов высокого и низкого давления, расход топлива, температуру и давление газа и т.п.), и атаки, направленные на подделку управляющих и внешних воздействий (αРУД, высота полета, число Маха и т.п.). При подделке управляющих и внешних воздействий модель будет генерировать сигналы САУ ГТД, не соответствующие действительным значениям параметров полета. Подобные варианты атак представлены на рисунке 6Г. При такой атаке параметры согласованности принимают низкие значения, что позволяет однозначно указывают на наличие атаки, как показано в эксперименте 5Д.

При решении задачи кластеризации на типы согласованности выделены 7 типов согласованности, представленные в таблице 3

БПР реализует следующий набор правил, на основании которых выносится решение о целостности передаваемой ТМИ. Эти правила представлены в таблице 4, где РРС - режим работы САУ двигателя (установившийся и переходный), СК - система контроля. Если сигнал К=1, САУ ГТД исправна, в противном случае К=0. При сигнале системы контроля К=0 данные, полученные с ЛА, будут считаться недействительными. Это выделено в особое событие для БПР «Отказ САУ ГТД».

Работу этих правил можно сопоставить с проделанным на фиг. 5 экспериментом. Применение правил представлено в таблице 5.

Тестирование алгоритма проводилось на 2500 тестовых ТВР. Каждая пара ТВР (ТВР с модели и ТВР, генерируемых САУ ГТД), представлял собой временное окно, состоящее из 100 отсчетов ТВР во временном окне. На некоторые данные, полученные с САУ ГТД, были произведены атаки злоумышленника, описанные в таблице 6 для получения разных типов согласования ТВР. Далее, для каждой пары вычислялись параметры согласования ТВР.

Примеры тестовой выборки параметров согласования и соответствующего типа согласованности представлены в таблице

Итоговой протокол экспериментов по классификации типа согласованности представлен в таблице 7.

Итоговые протоколы по оценке целостности переданной с ЛА информации представлены в таблицах 8, 9, 10. Таблица 8 представляет собой протокол эксперимента для данных, переданных с САУ ГТД, находившейся в установившемся режиме полета. Таблица 9 представляет собой протокол эксперимента для информации, переданной с САУ ГТД, находившейся в переходном режиме полета. Таблица 10 представляет собой итоговый протокол эксперимента.

Таким образом, как видно из таблицы 10, оценка вероятности правильности принятого решения о типе согласованности ТВР, а, следовательно, и о целостности данных, принятых с борта ЛА, составила 0,85.

Итак, заявляемые способ и система позволяют выявлять несанкционированные воздействия на данные о состоянии САУ ГТД и тем самым повысить уровень защиты информации при ее передаче с борта ЛА на предприятие-изготовитель.

1. Способ мониторинга целостности данных о состоянии системы автоматического управления газотурбинным двигателем, передаваемых с борта летательного аппарата на предприятие-изготовитель, для осуществления которого сравнивают технологические временные ряды, характеризующие поведение параметров системы автоматического управления газотурбинным двигателем, установленной на летательном аппарате, и модели системы автоматического управления газотурбинным двигателем, установленной на предприятии-изготовителе, для сравнения вычисляют показатели: коэффициент детерминации и средний процент отклонения, определяют сигнал системы контроля исправности системы автоматического управления газотурбинного двигателя и режим работы системы автоматического управления газотурбинным двигателем, отличающийся тем, что для сравнения технологических временных рядов на основе вычисления вектора параметров согласованности, дополнительно используют вычисление евклидова расстояния, определяют, к какому из сформированных семи типов согласованности относится данный вектор, определяют, в каком из двух режимов работы находится система автоматического управления газотурбинным двигателем: переходном или установившемся, и в соответствии с выработанными правилами нечеткой логики, основанными на сигнале системы контроля, режиме работы и параметрах согласованности, принимают решение о наличии атаки злоумышленника на принятые данные, их целостность и оценивают вероятность, с которой это решение принято.

2. Система мониторинга целостности данных о состоянии системы автоматического управления газотурбинным двигателем, передаваемых с борта летательного аппарата на предприятие-изготовитель, содержащая блок, выполняющий оконный анализ и формирующий многомерные технологические временные ряды системы автоматического управления и ее модели, выходы которого направлены в блок, реализующий классификатор для определения текущего режима работы системы автоматического управления газотурбинным двигателем, и в блок, выполняющий построение вектора оценок согласованности многомерных технологических временных рядов в текущем окне с помощью набора метрик: коэффициент детерминации, средний процент отклонения, выход которого направлен в блок, предназначенный для кластеризации параметров согласованности технологических временных рядов, выходы блока, реализующего кластеризацию параметров согласованности на типы согласованности, и блока, выполняющего построение вектора оценок согласованности, направлены в блок, представляющий собой ансамбль нейронечетких классификаторов и нейросеть, определяющий, к какому типу согласованности относится текущий вектор параметров согласованности, выход которого направлен в результирующий блок принятия решения, на вход которому также подается результат работы блока, классифицирующего режим работы системы автоматического управления газотурбинным двигателем и выход системы контроля системы автоматического управления газотурбинным двигателем, реализующий итоговое принятие решения о текущем состоянии системы и позволяющий определить наличие одного из состояний согласованности данных модели и системы автоматического управления газотурбинным двигателем: «Отказ системы автоматического управления газотурбинным двигателем», «Нормальная работа», «Нарушение целостности», и оценить вероятности такого состояния, отличающаяся тем, что в блоке, определяющем режим работы системы автоматического управления газотурбинным двигателем, классификация на два режима работы установившийся и переходный, реализуется на основе производной частоты вращения ротора высокого давления, сигнала с выхода селектора минимального значения и сравнении их с пороговыми значениями, блок, выполняющий построение технологических временных рядов дополнительно оценивающий согласованность по метрике евклидово расстояние.