CC BY
0
14. Katanov Y., Vaganov Y., Cheymetov M. Neural simulation-based analysis of the well wall stability while productive seam penetrating / Mining of Mineral Deposits. 2021. T. 15. № 4. C. 91-98.
15. Horbiichuk M., Bila O., Zaiachuk Y., Humeniuk T. Method for evaluating technical condition of aggregates based on artificial intelligence / Engineering, Computer Science. 2020. No 2. P. 99-119.
© neTpyHMH M.O., 2024
УДК 004.622
Тощук С. Н.
Аспирант
Ростовского государственного экономического университета «РИНХ»,
г. Ростов-на-Дону
ФОРЕНЗИКА В СИСТЕМАХ NOT, ПРОБЛЕМЫ И ТЕНДЕНЦИИ РАЗВИТИЯ
Аннотация
Рассмотрены проблемы цифровой криминалистики в системах промышленного интернета вещей, пути решения и тенденции развития. Проанализированы разные направления форензики: Network forensics, Mobile device forensics, Forensic data analysis, Hardware forensic. Проведён анализ различных методов, алгоритмов и техник для проведения экспертиз в системах, основанных на технологии промышленного интернета вещей. Проведена оценка методов и техник при сборе и анализе сетевого трафика в системах IIoT.
Ключевые слова:
цифровая криминалистика, система промышленного интернета вещей, Network forensics, Mobile device forensics, Forensic data analysis, Hardware forensic.
Toschuk S. N.
Postgraduate student, Rostov State University of Economics,
Rostov-on-Don
FORENSICS IN IIOT SYSTEMS: ISSUES AND DEVELOPMENT TRENDS
Abstract
The article discusses the issues of digital forensics in Industrial Internet of Things (IIoT) systems, their solutions, and development trends. Various branches of forensics are analyzed, including Network forensics, Mobile device forensics, Forensic data analysis, and Hardware forensic. The article evaluates different methods, algorithms, and techniques for conducting expert examinations in IIoT-based systems. An assessment is made of the methods and techniques used in collecting and analyzing network traffic in IIoT systems.
Keywords:
digital forensics, Industrial Internet of Things system, Network forensics, Mobile device forensics, Forensic data analysis, Hardware forensic.
Современное состояние защищённости систем с промышленным интернетом вещей свидетельствует нам о том, что такие системы весьма уязвимы поскольку используют конфиденциальные
данные, несанкционированный доступ к которым возможен со стороны криминально заинтересованных лиц и организаций.
Обработка нашей информации производится с помощью сложных алгоритмов, в процессе которой может нарушиться целостность данных, что делает их более доступными в результате кибератак недружественной стороны [1].
Поэтому, возникает необходимость борьбы системных администраторов и ответственных за информационную безопасность в системах промышленного интернета вещей с кибернетической преступностью, в том числе, методами и способами компьютерной криминалистики (или форензики), разработка которых на настоящем этапе развития общества представляется весьма своевременной и актуальной.
Направления компьютерной криминалистики (форензики) весьма обширны и затрагивают различные направления, связанные с программным и аппаратным обеспечением вычислений:
- направление Network forensics исследует процессы в вычислительных сетях;
- направление Mobile device forensics работает с мобильными операционными системами Android и
iOS;
- направление Forensic data analysis изучает файлы и структуры данных;
- направление Hardware forensic отвечает за аппаратную часть и т.д.
Как и любое научно-техническое направления, так и перечисленные направления компьютерной криминалистики, разрабатывают собственные методы, способы и алгоритмы применительно к объектам исследования - IIoT системам.
Компьютерная криминалистика для решения своих задач использует современные методы криптографии и аутентификации, осуществляет постоянный мониторинг сетевого трафика, подвергает анализу данные, и все ради того, чтобы выявить какие-либо угрозы цифровой безопасности или значительные отклонения от средних значений показателей сетевого трафика [1].
За последние годы наметились некоторые тенденции в развитии MoT-технологий, на которые стали заметно влиять рост количества устройств, автоматически выходящих в интернет, через которых сильно вырос поток передаваемых и принимаемых данных с повышением качества их обработки.
В свою очередь, возросла квалификация и расширились возможности для совершения новых правонарушений у кибернетической преступности. Каждая из противостоящих сторон такого цифрового конфликта получила возможность пользоваться услугами чатов с системами искусственного интеллекта мирового уровня, что повысила эффективность собственных действий.
Рассмотрим каждое из направлений компьютерной криминалистики более подробно. Как мы видим, в направление Network forensics входят исследования, изучающие проблемы, связанные с вычислительными сетями и их трафиком, а также какие данные различным пользователям и злоумышленникам можно получить из сетей.
В вычислительных сетях каждой из сторон цифрового конфликта интересно осуществить анализ стека протоколов, используемых в сети, после которого можно выявить практически все уязвимости в сетевых устройствах.
Обнаруженные уязвимости, если не будут своевременно и надёжно закрыты системными администраторами, могут быть использованы злоумышленниками для проведения кибератак в будущем.
В этой связи, чрезвычайно важно иметь и применять системным администраторам такие специализированные инструменты и методы анализа, которые могут собрать цифровые доказательства и помочь обнаружить преступные действия злоумышленников [2].
Как уже отмечалось выше, в рамках Network forensics нами широко используются методы анализа сетевого трафика. К таким методам мы относим сбор и анализ логов, анализ пакетов, сравнение сетевых данных с эталонными значениями и все остальные, которые связаны так или иначе с сетевыми процессами. В нашем распоряжении имеются специализированные инструменты, такие как Wireshark, tcpdump и другие.
Следующее научное направление компьютерной криминалистики не менее для нас актуальное и важное, чем первое, поскольку Mobile device forensics занимается разработкой методов и алгоритмов по извлечению, анализу и интерпретации цифровых данных в мобильных устройствах, которые весьма распространены. Такие данные наиболее широко используются на бытовом уровне среди сотен миллионов пользователей, работающих со смартфонами и планшетами на операционных системах Android и iOS.
Что может представлять интерес для нас, как одной из сторон, в информационном конфликте? Очевидно, что, насколько извлекаемые общие или персональные данные: контакты, сообщения, местоположения и др., доступны или защищены от посторонних лиц. Поскольку таких данных очень много, то для этой задачи используются специализированные инструменты и методы анализа, разработанные для работы с мобильными устройствами.
Как отмечалось нами выше, в научном направлении Mobile device forensics используются методы извлечения или чтения данных из мобильных устройств, такие, как извлечение файловой системы, чтение данных из баз данных, анализ метаданных и другие. Нам для такой деятельности были рекомендованы разработчиками специализированные инструменты, такие, как Cellebrite, Oxygen Forensic Detective и другие.
Переходя к анализу следующего научного направления форензики- Forensic data analysis, из его названия следует, что оно работает с данными. Такая информация станет доказательной базой в будущих судебных процессах.
Нам известно [3], что множество киберпреступлений осуществляется на основе внедрения вредоносного программного обеспечения в виде программ-вирусов, проникающих в сетевые системы.
Чтобы понять, что такое проникновение произошло, необходимо осуществить эвристический анализ, который выявляет вирусы на основе исследования их программного кода, и то, как этот код себя ведет в вычислительной системе в смысле осуществления некоторых действий, которые могут быть квалифицироваться, как вызывающие угрозу системам IIoT.
Регистрированные ранее вирусы имеют известные антивирусным программам контрольные суммы собственных кодов. Нашим антивирусным программам просто необходимо постоянно заниматься поиском и подсчетом таких сумм.
На более высоком уровне в динамическом режиме такие программы осуществляют сетевой мониторинг на предмет выявления каких-либо аномалий. В данном случае, нам не столь важно выявить конкретный вирус, как обнаружить сам вредоносный процесс, который может быть инициирован таким вирусом, изменившим свой код и контрольную сумму, чтобы его не обнаружили.
Так постепенно накапливается доказательная база из результатов анализа файловой системы, оценки баз данных, извлечения удаленных файлов, анализа метаданных и др. цифровых документов. Чтобы глубоко исследовать данные и выявить скрытые связи между ними, нам следует использовать специализированные инструменты и методы анализа.
Для успешного решения задач по данному направлению, нами были применены специализированные инструменты, такие, как EnCase, FTK Imager и другие.
После анализа информационной части мы проводили исследование в рамках Hardware forensic для проведения экспертизы аппаратного обеспечения и технических устройств, чтобы получить необходимые заключения, которые могут быть использовались в качестве цифровых доказательств в судебных процессах.
Для нас представлял интерес вопрос использования аппаратных устройств лицами, допущенными к ним. Поэтому весьма актуальным становится вопрос: «Насколько жесткие диски, платы с памятью, процессоры, блоки питания и т.д., а также принтеры, сканеры, роутеры и т.д. защищены от возможных враждебных информационных воздействий?»
Для ответа на поставленный вопрос в нашем распоряжении имеются разнообразные
специализированные инструменты, а также методы анализа, с помощью которых мы рассчитываем глубоко и тщательно провести исследование всех имеющихся аппаратных средств, чтобы выявить признаки какой-либо преступной деятельности. Нас также интересует состояние разнообразных датчиков и контроллеров, которыми насыщены современные производства.
Когда мы посещали современные производства, нас, в первую очередь, интересовали, как на них проводятся экспертные оценки по состоянию информационной безопасности, а также на каких методах и алгоритмах основаны такие оценки.
В рамках научного направления Hardware forensic мы работали с «железом», то есть с техническими устройствами.
Нам приходилось изучать порядок перезаписи данных с устройств, из которых состоит компьютер: память, процессор, периферия. Для решения такой задачи мы воспользовались программами Atola TaskForce, Logicube Falcon-NEO и др. [4].
Каждый специалист из нашей команды столкнулся с проблемными ситуациями, вызванными сбоями в работе систем промышленного интернета вещей. Расследования таких случаев относится к сфере Industrial IoT Forensics[5].
Последнее направление уже наработало массу методов и подходов, чтобы успешно решать подобные проблемы, возникающие с информацией, циркулирующей в устройствах IIoT. Мы изучали сетевой трафик, протоколы связи, логи и журналы событий, информацию от датчиков и т.д.
Что тем самым требовалось установить? Мы стремились выявить инциденты при передаче данных, которые угрожали информационной безопасности системам IIoT.
Мы хотели понять, какие причины вызвали такие инциденты, каковы масштабы таких событий. И как мы можем это доказать, проводя собственные расследования или обращаясь в судебные инстанции.
Год от года растет мастерство хакерских атак, в процессе отражения которых мы выработали свои инструменты и методы с учетом специфических особенностей систем IIoT.
Так, компании-разработчики предложили нам инструменты для мониторинга и анализа сетевого трафика, инструменты для извлечения данных из устройств IIoT, а также инструменты для анализа и интерпретации данных, за что мы им весьма благодарны.
Накапливая аналитический материал по расследованию происшествий и инцидентов в системах IIoT, нам было важно сформулировать объективные экспертные заключения с привлечением передовых методов и технологий [6].
Системный анализ при проведении экспертиз в системах IIoT позволяет нам определить возможные проблемы в работе системы и выявить потенциальные уязвимости. Мы использовали на практике методы оценки взаимодействия сетевых устройств друг с другом в системах IIoT.
Для этого использовались инструменты для мониторинга и анализа сетевого трафика такие, как Wireshark, tcpdump, Tshark и другие. Эти инструменты позволяют захватывать сетевой трафик, анализировать его и выявлять потенциальные угрозы для системы IIoT [6].
С помощью указанных инструментов мы выявили различные аномалии в сетевом трафике и определили его возможные уязвимости. Нами были выявлены также потенциальные атаки на систему IIoT и определены вероятные маршруты распространения вредоносного кода. Кроме того, при сборе и анализе сетевого трафика в системах IIoT [7] нам удалось проанализировать протоколы связи. Мы увидели возможные уязвимости в системах IIoT при взаимодействии различных устройств. Как известно, протоколы связи используются для обмена данными между устройствами в системе IIoT. Платформы управления данными IIoT, инструменты для сбора данных, инструменты для анализа данных и инструменты для мониторинга и обнаружения угроз помогают нам собирать, анализировать и обеспечивать безопасность данных IIoT.
Мы задались вопросом: «Как возможно повысить эффективность такой работы?» В первую очередь, сильной составляющей является человеческий фактор, который действует со всех противоборствующих
сторон в информационном конфликте в системах 11оТ.
Нам было необходимо привлечь искусственный интеллект (ИИ), как внешний чат, так и встроенные нейронные сети, в данный вычислительный процесс и тем самым усилить нашу составляющую человеческого фактора, поскольку анализ большого потока данных и выявление угроз не под силу отдельным специалистам.
Мы видим, что квалификация недружественной стороны непрерывно возрастает по тем многочисленным и разнообразным информационным атакам на системы 11оТ, которые умножились в последнее время. В этой связи, перечень задач, возлагаемых на системы с ИИ, схожи с теми, которые решают традиционные инструменты.
Однако, мы ожидаем большее. Мы рассчитываем на что у систем с ИИ появится больше информации об уязвимостях и аномалиях в системах с 11оТ, чем это было при обычных подходах и используемых инструментах. Нейронные сети, основанные на ИИ, способны к обучению и поиску таких явлений. Чем больше данных будет обрабатываться, тем больше будет выявлено ситуаций и закономерностей воздействия недружественной стороны на наши системы.
Нам также будет проще разработать порядок применения мер предосторожностей при обнаружении ИИ подозрительной деятельности в сети со стороны некоторых пользователей, которые используют, например, многократный ввод неправильного пароля, нарушая тем самым порядок проверки авторизации и т.д. Также систему с ИИ может насторожить появление большого количества запросов в системе, необоснованный рост или сокращение объёма обрабатываемого трафика там, где его, в принципе, не ожидалось.
По мере роста систем с 11оТ, увеличения количества информационных датчиков, процессоров, исполнительных устройств система с ИИ будет способна адаптироваться к новым «нормальностям», среди которых относительно легко будут выявлены, в том числе, необычные сценарии поведения нашей системы с 11оТ.
Один из подходов развития системы безопасности для целей 11оТ-это распределение или разделение функций информационной защиты на всех участников вычислительного процесса дружественной стороны конфликта от отдельного датчика до конкретного оператора, которые смогут сигнализировать обо всех возникающих аномалиях в информационный центр, отвечающий за безопасность системы.
Система с ИИ, отвечающая за безопасность может сама создавать в целях тестирования работоспособности системы с 11оТ новые сценарии, генерирующие угрозы и сложные ситуации, чтобы проверить, как они будут разрешаться на местах.
Насколько система готова к внезапным отключениям энергии, перебоям в каналах связи, выходу из строя отдельных устройств или приостановке деятельности кого-то из персонала? Считать это атакой или нештатной рабочей ситуацией? Сколько нужно времени системе с 11оТ, чтобы выйти из цейтнота и восстановить падение собственной производительности?
Пройдя такие испытания, мы сможем обучать сотрудников и программировать отдельные устройства при работе с новыми угрозами и непонятными сценариями событий. При этом, система с ИИ не является панацеей от всех бед и конфликтов, а лишь дополнительным инструментом к тому многообразию всего инструментария, который имеется в сфере информационной безопасности.
Нам также необходимо дать квалифицированную правовую оценку с точки зрения форензики и отечественного законодательства всех аномалий и отклонений от нормальных рабочих ситуаций на этапах генерации, передачи и преобразования электронного потока данных.
Мы нуждаемся в современных методах выявления и профилактики составов конкретных киберпреступлений, проведения криминалистической идентификации, совершенствования методов выявления цифровых следов и взаимодействии с современными криптографическими и стеганографическими методами, методами информационной защиты.
В рамках современного права нам следует усовершенствовать порядок организации и ведения уголовного процесса в части судопроизводства и сбора доказательной базы, а также проведения объективной судебной компьютерно-технической экспертизы с привлечением широкого круга различного рода специалистов из разнообразных областей науки: права, информационной безопасности, искусственного интеллекта, вычислительных сетей и систем, и промышленного интернета вещей, психологии.
В целом, рассмотренные методы и инструменты позволяют повысить безопасность и эффективность наших систем с IIoT, обеспечивая надежный сбор данных, для выявления уязвимостей и принятия соответствующих мер для защиты системы от всевозможных информационных угроз в рамках современного законодательства и права. Список использованной литературы:
1. Кузьменко, А. А. и др. Форензика в системах промышленной автоматизации: проблемы и перспективы развития // Промышленные информационные технологии. - 2019. - Т. 15. - № 1. - С. 51-59.
2. Замятин, М. А. и др. Форензика в системах промышленной автоматизации: анализ и моделирование атак на SCADA-системы // Труды Института системного программирования РАН. - 2018. - Т. 30. - № 5. - С. 83-94.
3. Алексеев, Д. С. и др. Методы выявления вредоносных программ в оперативной памяти на основе анализа аномалий. // Кронос. 2022. №11 (73). Режим доступа: https://cyberleninka.ru/article/n/metody-vyyavleniya-vredonosnyh-programm-v-operativnoy-pamyati-na-osnove-analiza-anomaliy (дата обращения: 24.11.2023).
4. Kaur, J. and all. Forensic Analysis of Industrial Internet of Things (IIoT): Challenges and Solutions // International Journal of Computer Science and Information Security (IJCSIS). - 2020. - Vol. 18, No. 4.
5. Raza, S. and all. Forensic analysis of IIoT: A comprehensive survey // Future Generation Computer Systems. -2021. - Vol. 117. - P. 151-167.
6. Gani, A. and all. Internet of Things Forensics: Recent Advances, Taxonomy, and Open Challenges // Journal of Network and Computer Applications. - 2018. - Vol. 107. - P. 82-105.
7. Kaur, J. and all. Forensic Analysis of Industrial Internet of Things (IIoT): Challenges and Solutions // International Journal of Computer Science and Information Security (IJCSIS). - 2020. - Vol. 18, No. 4.
7. Ahsan, M. and all. Forensic Analysis of Industrial Internet of Things (IIoT): Frameworks and Challenges // IEEE Access. - 2021. - Vol. 9. - P. 7210-7229.
© Тощук С.Н., 2024
УДК 697.1
Харлов Д.А., магистрант 1 курса ФГБОУ ВО «МГТУ им. Г.И. Носова», г. Магнитогорск, РФ Научный руководитель: Новоселова Ю.Н., к.т.н., доцент, ФГБОУ ВО «МГТУ им. Г.И. Носова», г. Магнитогорск, РФ
ОРГАНИЗАЦИЯ МИКРОКЛИМАТА ВО ВРЕМЕННО-ЖИЛОМ МОДУЛЕ НА НАДВОДНОЙ ПЛАТФОРМЕ «БЕРКУТ»
Аннотация
Организация комфортного микроклимата является первоочередной задачей для помещений любого назначения, особенно важной она является для тех объектов, которые являются местом
