Комплексный анализ защищенности объектов критически важной инфраструктуры, использующих технологии Интернета вещей, в интересах обнаружения слабых мест и архитектурных дефектов

КАРТОЧКА ПРОЕКТА ФУНДАМЕНТАЛЬНЫХ И ПОИСКОВЫХ НАУЧНЫХ ИССЛЕДОВАНИЙ,
ПОДДЕРЖАННОГО РОССИЙСКИМ НАУЧНЫМ ФОНДОМ

Информация подготовлена на основании данных из Информационно-аналитической системы РНФ, содержательная часть представлена в авторской редакции. Все права принадлежат авторам, использование или перепечатка материалов допустима только с предварительного согласия авторов.

ОБЩИЕ СВЕДЕНИЯ

Номер проекта 24-71-10095

НазваниеКомплексный анализ защищенности объектов критически важной инфраструктуры, использующих технологии Интернета вещей, в интересах обнаружения слабых мест и архитектурных дефектов

Руководитель Левшун Дмитрий Сергеевич, Кандидат технических наук

Организация финансирования, регион Федеральное государственное бюджетное учреждение науки "Санкт-Петербургский Федеральный исследовательский центр Российской академии наук" , г Санкт-Петербург

Конкурс №98 - Конкурс 2024 года «Проведение исследований научными группами под руководством молодых ученых» Президентской программы исследовательских проектов, реализуемых ведущими учеными, в том числе молодыми учеными

Область знания, основной код классификатора 01 - Математика, информатика и науки о системах; 01-216 - Математические модели и методы защиты, преобразования и передачи информации

Ключевые слова информационная безопасность, критически важная инфраструктура, интернет вещей, анализ защищенности, анализ исходного кода, анализ конфигурации, анализ уязвимостей, обнаружение атак, обнаружение аномалий, профилирование, динамическое тестирование

Код ГРНТИ81.93.29

ИНФОРМАЦИЯ ИЗ ЗАЯВКИ

Аннотация
Объекты критически важной инфраструктуры являются неотъемлемой частью ключевых сфер экономики Российской Федерации и напрямую связаны с обеспечением жизнедеятельности населения страны. Нарушение функционирования данных объектов приводит не только к финансовому и репутационному ущербу, но и оказывает влияние на экономику страны в целом. При этом информационные технологии все чаще используются для вмешательства во внутренние дела Российской Федерации, а число компьютерных атак на российские информационные ресурсы и количество преступлений, осуществленных с применением цифровых технологий, стремительно растет. Известные средства и системы для анализа защищенности объектов критически важной инфраструктуры не отвечают предъявляемым требованиям по оперативности, полноте, точности и адекватности принимаемых решений. Во многом это объясняется отсутствием стандартов в области обеспечения защищенности устройств Интернета вещей, непрерывным ростом количества этих устройств, а также взрывным ростом объемов передаваемых ими данных. Более того, обеспечение информационной безопасности масштабных систем требует значительных усилий по автоматизации данного процесса, в то время как действия злоумышленников становятся все более разнообразными. В качестве основных недостатков существующих подходов можно выделить следующие: 1. В то время как отдельные аспекты статического и динамического анализа защищенности активно исследуются и разрабатываются, задача их адаптации и объединения единым подходом для устройств Интернета вещей исследована недостаточно. 2. При этом подходы динамического анализа, в том числе на основе принципов белого, черного и серого ящиков, активно используются для анализа исходного кода, в то время как их применение для программно-аппаратных устройств не исследовано в полной мере. 3. Также подходы статического и динамического анализа защищенности используются отдельно, в то время как вопросу построения задач динамического тестирования на основе результатов статического, и наоборот, уделяется недостаточное внимание. Данный проект направлен на решение фундаментальной задачи, заключающейся в разработке модельно-методологического аппарата, включающего совокупность взаимосвязанных моделей, алгоритмов и методов, а также реализующих их программных прототипов, предназначенных для комплексного анализа защищенности объектов критически важной инфраструктуры, использующих технологии Интернета вещей. В проекте планируется объединить статические (исходный код, компонентный состав, конфигурация) и динамические (белый, черный и серый ящик) аспекты анализа защищенности устройств Интернета вещей единым автоматизированным подходом с минимальным участием оператора. При этом за счет применения онтологической модели данных предлагаемое решение будет модульным, расширяемым и иерархическим, а также способным работать в условиях недостатка или недоступности данных. Преимущество предлагаемых решений заключается в объединении предложенных методов в интересах комплексного анализа различных аспектов защищенности объектов критически важной инфраструктуры, в то время как каждый метод имеет ограниченную область применения и не позволяет оценить информационную безопасность объектов критически важной инфраструктуры в целом. При этом анализ мировой научной литературы показывает, что в такой постановке данная задача ставится впервые, чем определяется ее высокая научная значимость и новизна. Предполагается, что внедрение результатов данного проекта позволит обнаруживать слабые места и архитектурные дефекты в устройствах Интернета вещей, тем самым значительно снизив количество угроз информационной безопасности в объектах критически важной инфраструктуры. В свою очередь это позволит снизить риски, связанные с финансовыми потерями, потерями времени, а также безопасностью людей, что и обеспечивает высокую практическую значимость данного исследования для национальной безопасности Российской Федерации.

ОТЧЁТНЫЕ МАТЕРИАЛЫ

Аннотация результатов, полученных в 2025 году
Предложен общий подход и архитектура системы для комплексного анализа защищенности объектов критически важной инфраструктуры, использующих технологии Интернета вещей. Данный подход включает цикл статического анализа устройств Интернета вещей, который направлен на предварительный анализ защищенности таких устройств, т.е. до их непосредственной эксплуатации в системах критически важной инфраструктуры. Также подход включает цикл динамического тестирования устройств Интернета вещей, направленный на анализ защищенности таких устройств в процессе их непосредственной работы. При этом оба цикла применяются как к новым устройствам, подключаемым к системе, так и при обновлении уже используемых. Непосредственное взаимодействие циклов статического и динамического анализа осуществляется через онтологическое хранилище данных, которое выступает источником знаний для всех этапов анализа защищенности. Разработана онтологическая модель, описывающая угрозы, уязвимости, слабости, техники атак и меры защиты в информационных системах, включая критически важную инфраструктуру с использованием устройств Интернета вещей. Выполнен анализ и сопоставление данных из российских (БДУ ФСТЭК) и международных (CVE, CWE, ATT&CK) источников. Построены связи между сущностями, реализована многоклассовая категоризация и прототип визуализации базы знаний. На данный момент онтологическая модель наполнена данными из БДУ ФСТЭК с возможностью дальнейшего обогащения данными из сторонних баз на основе онтологических связей. Проведена систематизация решений в области анализа защищенности исходного кода устройств Интернета вещей. Рассмотрены и проанализированы способы представления кода, модели токенизации и классификации, а также наборы данных и результаты оценки эффективности подходов. Предложены модели представления кода, которые условно можно разделить на последовательность токенов и графовые модели. Разработано три алгоритма анализа защищенности исходного кода, включая обнаружение уязвимостей (а) на основе предобученной языковой модели, (б) на основе обучения ряда классификаторов на токенизированных данных, (в) применении графовых моделей. Предложенные модели и алгоритмы включены в общий метод статического анализа защищенности исходного кода устройств Интернета вещей. Разработан прототип системы анализа защищенности исходного кода. Рассмотрены и проанализированы способы построения модели угроз систем Интернета вещей, выделены аспекты моделирования и анализа защищенности их устройств, в том числе использующих LLM-компоненты. Предложены методы статического анализа угроз с помощью алгоритмов на графах. Разработан прототип системы анализа защищенности компонентного состава устройств Интернета вещей. Оценена применимость стандарта MUD. Проведена систематизация алгоритмов машинного обучения, релевантных для обработки и интерпретации профилей устройств. Обобщены и предложены для дальнейшего развития подходы к анализу защищенности на основе профилирования. Результаты ориентированы на последующее создание инструментария для автоматического обнаружения уязвимостей в IoT-инфраструктурах на основе профилирования их поведенческих характеристик. Разработан прототип системы анализа защищенности конфигурации устройств Интернета вещей.

Публикации

1. Легкодымов Д.М., Левшун Д.С., Котенко И.В. Применение машинного обучения для профилирования устройств Интернета вещей в интересах обнаружения вредоносной активности Научно-технический вестник информационных технологий, механики и оптики, Т. 25. № 4. 2025. С. 663-675 (год публикации - 2025)
10.17586/2226-1494-2025-25-4-663-675

2. Легкодымов Д.М., Левшун Д.С. Exploring Efficiency of Machine Learning in Profiling of Internet of Things Devices for Malicious Activity Detection Proceedings of the 11th International Conference on Information Systems Security and Privacy (ICISSP 2025), Vol. 2. P. 276-283 (год публикации - 2025)
10.5220/0013389100003899

3. Лаврентьев В.В., Левшун Д.С. LLMSecurityTester: A Tool for Detection of Vulnerabilities in LLM-based Chatbots Proceedings of the 33rd Euromicro International Conference on Parallel, Distributed and Network-Based Processing (PDP 2025), P. 608-615 (год публикации - 2025)
10.1109/PDP66500.2025.00091