CC BY
111
Grigorev Vitalii Vladimirovich, postgraduate, sumkin125@,gmail. com, Russia, Sankt-Petersburg, Military Telecommunications Academy named after Marshal of the Soviet Union S. Budyonny,
Antipov Nikita Sergeyevich, student, bogdan141 @mail. ru, Russia, Cherepovets, Cherepovets highest military engineering college of radio electronics
УДК 004
КИБЕРВОЗДЕЙСТВИЯ НА ПРОТОКОЛЫ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ
В.Е. Дементьев, А.А. Чулков
Рассматривается анализ кибервоздействий на протоколы сетей передачи данных, уязвимости и механизмы их реализации. Отдельным вектором рассматриваются угрозы и их реализации применительно к автоматизированным системам управления технологическими процессами. Приводится статистика воздействий на протоколы СПД в различных отраслях их применения. В основу статьи положена задача идентификации признаков воздействий и оценка защищенности протоколов СПД с целью выработки решений по выработке мероприятий защиты. Данное исследование проводилось с целью обоснования направления разработки системы оценки защищенности СПД в условиях кибервоздействий.
Ключевые слова: идентификация, признак, протокол, уязвимость, оценка, защищенность, автоматизация, автоматизированные системы управления технологическими процессами.
Современные сети передачи данных (СПД), как и информационно-телекоммуникационные системы, ассоциируются с большим количеством воздействий на информацию и технологические данные. Статистика говорит об увеличении количества кибервоздействий в 2019 году на 19% по сравнению с 2018 годом [1]. Кибервоз-действиям подвергаются как государственные, так и частные сети. С точки зрения областей государственного сектора воздействия распределились в соответствии с рис. 1.
/ \6% ^ 8% \ 31%
19%
ГИ Государственные организации
U Промышленность I—I Топливно-энергетический — комплекс I I Телекоммуникации
I I Финансовая отрасль
□ Другие
Рис. 1. Сектора приложения кибервоздействий
Функционирование современных предприятий, организаций и учреждений подразумевает под собой использование сотрудниками мобильных терминалов, компьютеров, серверов, сетевого оборудования, необходимого для доступа к базам данных, веб-ресурсам, а также взаимодействия между территориально удаленными представительствами (объектами) и управления производственно-промышленным оборудованием. Исходя из этого кибервоздействия направлены на нарушение функционирования областей государственного сектора, получение данных, в том числе и конфиденциальных, финансовой выгоды, а в ряде случаев - навязывание идеологии, идущей вразрез с государственной. Основные объекты кибервоздействия представлены на рис. 2.
245
з%
■ Компьютеры, серверы
■ Получение данных О Финансовая выгода П Хактивизм □ Кибервойна
и сетевое оборудование □ Веб-ресурсы
□ Персонал
□ Мобильные устройства
Рис. 2. Целевые векторы кибервоздействий
Активность злоумышленников и приведенная статистика связана с различными уровнями взаимодействия СПД, начиная от организационного и заканчивая технологическим. Организационные воздействия интересны с точки зрения обеспечения защиты информации на этапах ее обработки должностными лицами и связаны в первую очередь с защитой от несанкционированного доступа, а технологические относятся к категории обеспечения корректного функционирования СПД. В данной статье в большей степени будет рассмотрена область технологическая, как отвечающая за обеспечение кибернетической составляющей воздействия. Она характеризуется технологиями и протоколами обмена данными, обеспечивающими заданные режимы работы СПД и предоставление необходимого набора услуг пользователям. В данной области существует определенная стандартизация, о которой будет подробно сказано далее.
В случае приложения к СПД как к объекту, следует четко разделять воздействия по типам, объектам и механизмам реализации. Здесь необходимо обратить внимание на то, что речь не идет об угрозах или уязвимостях. В контексте оценки защищенности СПД от кибервоздействий правильнее будет рассматривать активную составляющую, поскольку протокол - это не только набор правил, зафиксированных на бумаге (требования, руководства, рекомендации и т.п.). Когда он присутствует (функционирует) в сети передачи данных, информационно-телекоммуникационной сети, мультисервисной сети или в какой-то другой сети обмена данными наступает основной этап его жизненного цикла - он реализуется. Это означает, что различные сущности (примитивы, программы, процессы, службы и т.п.) применяют конкретные правила (процедуры протокола) для взаимодействия. Поэтому оценка защищенности протокола от кибервоздействий должна включать как минимум два этапа - статический (включает анализ правил и полей пакетов и разработку сигнатур) и активный, т.е. оценка этих сигнатур с позиций семантики или структурной корреляции в ходе реализации конкретного протокола в процессе сетевого взаимодействия.
Сети передачи данных в настоящее время внедрены повсеместно, от систем обмена информацией до реализации различных технологических процессов, что обуславливается конвергенцией сетей, услуг, служб, а, следовательно, и протоколов, их реализующих. Следовательно, и воздействия на протоколы с точки зрения кибернетической не имеют существенных отличий, вся изюминка будет заключаться только в том, насколько полна база сигнатур или насколько обучена система распознавания образов для реализации процесса защиты или оценки защищенности.
Представленная авторами статья затрагивает аспекты протокольных воздействий, их признаки и механизмы реализации. Авторы не претендуют на полноту рассмотрения всех видов воздействий, в современном динамичном мире это нереализуемо в принципе. Основная задача представляется в детализации векторов и механизмов воздействий и в описании актуальности направлений проводимых исследований с точки зрения реализации подходов оценки защищенности. Так же авторами в статье не затрагиваются вопросы составления базы сигнатур признаков, их идентификации и распознавания, поскольку это отдельные, самостоятельные направления, которые будут освящаться в следующих работах по данной тематике. Как уже было сказано выше, для определения места проводимых исследований необходимо уяснить зависимость механизмов воздействий, применяемых злоумышленниками, от технологической составля-
ющей, т.е. определить, насколько успешным будет кибервоздействие, если исключить из него структурную, семантическую и статистическую составляющую, которые содержатся в пакетах данных в СПД. Для иллюстрации этой зависимости рассмотрим ряд примеров кибервоздействий, связанных между собой единым объектом - протоколом.
В настоящее время имеющиеся на вооружении злоумышленников методики проведения воздействий на данные, обрабатываемые в сетях передачи данных (СПД) подразумевают необходимость получения доступа внутрь периметра. Однако злоумышленник, находясь за пределами атакуемой СПД, не может точно знать ее структуру, состав, особенности, набор протоколов и технологий до тех пор, пока не попадет внутрь. Для поиска уязвимых серверов, сетевого оборудования (коммутаторов, маршрутизаторов и т.п.), а также рабочих станций необходима разведка и подключение к самой СПД. Подобные факты подключений однозначно могут быть идентифицированы различными способами. Наиболее действенные - анализ сетевого трафика или просмотр логов оборудования. Помимо подключений внутри сети злоумышленник должен установить связь внутри домена, что, в совокупности, позволит отследить и обнаружить кибервоздействие. Все операции анализа трафика могут быть выполнены и постфактум. Как показывает статистика [1, 2, 3] для реализации кибервоздействий на СПД злоумышленники могут использовать подходы, проявляющиеся в виде следующих событий (рис. 3, рис. 4):
Подозрительная сетевая активность
Нарушение регламентов НБ
я 94%
Активность вредоносного ПО
Попытки эксплуатации уязвнмостен в ПО
я 28%
Попытки подбора пароля
19%
Попытки эксплуатации вэб-уязвнмостей _ 11%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Рис. 3. Категории кибервоздействий на СПД
Современные злоумышленники на вооружении имеют достаточно большой арсенал средств и методов для маскировки своего присутствия в СПД. Наличие воздействий на протоколы СПД не может быть распознано никакими другими подходами, кроме как анализ сетевого трафика. В данном случае не стоит забывать о том, что анализ пакетов содержит этап анализа заголовков и служебных сигнатур (меток), передаваемых в ходе технологического обмена в СПД.
Известные ранее подходы на основе анализа сетевых адресов, активных портов или отдельных протоколов установления сетевого взаимодействия недостаточно эффективны для своевременного выявления кибервоздействий на СПД. Рассмотрим это утверждение на примере известных воздействий на протоколы СПД.
К примеру, для перемещения нарушителя между оборудованием сети, обрабатывающим определенные данные, могут использоваться общие сетевые ресурсы, доступ к которым имеют только локальные администраторы узла. Как правило для этих целей используется интерфейс для удаленного вызова процедур (RPC), для реализации которого используются менеджер сервисов Service Control Manager (SCM) и сетевой ресурс IPCS (Inter-Process Communication). Менеджер сервисов позволяет запускать, останавливать сервисы и взаимодействовать с ними (техника service execution). Эти две процедуры работают вместе в процессе удаленного выполнения команд через RPC.
247
Кроме того, протокол RPC может работать как поверх SMB, так и поверх TCP (без использования протокола прикладного уровня). Таким образом, чтобы выявлять в трафике подключения к общим ресурсам и передачу файлов, потребуется парсинг протокола SMB и извлечение передаваемых файлов из сетевого трафика.
Сокрытие трафика (прокси, туннелирование)
_ б4°-0
Сканирование внутренней сети
_ ЗЗ'ч
Запуск инструментов для администрирования и проведения атак
_ 28%
Попытки удаленного запуска процесса _ 25%
Сбор информации об активных сетевых сессиях на узлах _ 19%
Сбор информации о пользователях, группах, парольной политике с контроллера домена я 19%
Сканирование периметра
ш 8%
4_*_*_4_4_*_4_4_*_4_4_
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Рис. 4. Векторы сетевой активности злоумышленников в СПД
С помощью RPC реализуются и другие техники, например, account discovery. Отправка запросов сервису Security Accounts Manager по протоколу SAMR позволяет получить список пользователей и групп в домене, а перебор идентификаторов SID с помощью сервиса Local Security Authority (LSARPC) позволяет злоумышленнику узнать имена пользователей на удаленном узле.
Подобные техники относятся к категории разрешенных и широко внедрены в деятельность администраторов СПД, что обуславливает необходимость создания подходов по автоматизации обнаружения RPC-вызовов и запросов к службам. Так же требуется учитывать связь с другими событиями в общем контексте ситуации. Безусловно эффективен сигнатурный анализ, подразумевающий разработку точечных правил обнаружения (сигнатур), которые используются для анализа сетевого трафика с учетом порядка команд и значений полей в заголовках пакетов протоколов или объектов в запросах, характерных для конкретных инструментов. Однако отсутствие автоматизации решаемых задач потребует больших трудозатрат.
На этапе реализации некоторых кибервоздействий для проникновения внутрь СПД злоумышленнику необязательно знать пароль пользователя, чтобы получить доступ к какому-либо сервису или услуге. Воздействие на основе процедуры «pass the hash» эксплуатирует особенности протокола аутентификации NTLM и позволяет подключаться к ресурсам при наличии хеша пароля.
Если в СПД реализована аутентификация с помощью Kerberos, то для выявления воздействий в виде подбора паролей потребуется анализ протокола Kerberos, заключающийся в нахождении сессии с ошибками, сообщающими, что запрашиваемый пользователь отсутствует, и разделенными с точностью до миллисекунд.
Вредоносные программы, внедренные злоумышленником в СПД, должны связываться со своими управляющими серверами, чтобы контролировался процесс воздействия. Основная задача такой программы - передача данных в виде, затрудняющем их обнаружение в трафике. Существует множество методов маскировки трафика и затруднения анализа передаваемых данных. В качестве примера можно привести использование нестандартных алгоритмов кодирования, стеганографии или маскировки под легитимный трафик.
Чаще всего для обмена данными с командным центром или доступа к каким-либо внешним ресурсам злоумышленники используют протоколы прикладного уровня - HTTP, HTTPS, DNS, что помогает скрыть нелегитимный трафик в общем потоке. Следовательно, необходимо уметь идентифицировать используемые протоколы передачи данных и парсить их для извлечения необходимых признаков воздействия. В общем случае подверженность протоколов СПД кибервоздействиям различного рода представлена на рис. 5.
HTTP HTTPS SMTP SSH NTP IPSec SNMP DNS FTP RDP RPC PPTP NetBIOS Microsoft DS
100 100
u_63
^—
я_58
53
я_42
37
Telnet *—21
SIP ■ »——
РОРЗ ■——
IMAP д ■—iS
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Рис. 5. Подверженность протоколов кибервоздействиям
В современных условиях особую актуальность принимают удаленные соединения, удаленное подключение рабочих мест к ресурсам СПД и другие варианты реализации различных механизмов шифрования трафика. Злоумышленники могут передавать вредоносный код внутри туннеля, установленного с использованием таких протоколов, как DNS, SMTP, ICMP. Известно два подхода к выявлению туннелей - это 1) выявление признаков самого туннеля или 2) идентификаторов ПО для его создания. Для первого случая потребуется идентификация признаков в сетевом трафике, указывающих на наличие туннеля для конкретного типа протокола. К примеру, для протокола DNS аномалией являются большие размеры TXT-записей. Признаком ICMP-туннеля может служить размер пакетов Echo Request и Echo Response - он лишь незначительно изменяется в зависимости от сетевой ОС, поэтому наличие аномалии справедливо, если анализируемый пакет заметно превышает размер стандартного пакета. Косвенным признаком может стать увеличение ICMP-трафика, поскольку, как правило, в СПД его величина не превышает 5 %, а при передаче большого количества данных через туннель будет явный всплеск. Второй подход - обнаружение отдельных утилит. Например, использование инструментов ICMPTX и ICMPSH видно по особенностям ICMP-пакетов. Это в полной мере справедливо и в отношении технологий MPLS.
В последнее время для реализации кибервоздействий часто применяются скриптовые языки программирования. Перед тем как выполнить скрипт, его необходимо передать на целевой узел. Это может быть, как файл скрипта характерным расширением (.psl, .vbs, .bat) или макрос внутри офисного документа, так и ответ веб-сервера внутри HTML-кода, TXT-запись в DNS-ответе, закодированная строчка с командами на исполнение, передаваемая по протоколу WMI.
Для идентификации различных вариантов передачи вредоносных скриптов требуется возможность распознавания применяемых протоколов и(или) кодировки. В целях повышения оперативности данной процедуры необходимо в автоматизированном
режиме извлекать передаваемые данные и анализировать целевые файлы. Кроме того, известные вредоносные утилиты идентифицируются по хешсуммам, содержащихся в специальных индикаторах компрометации.
Поскольку СПД представляет собой достаточно хорошо эшелонированную систему со встроенными средствами защиты и обеспечения безопасности, то в процессе реализации воздействия для злоумышленников важное значение приобретает этап преодоления средств защиты. Стартовым рубежом являются средства сигнатурного анализа трафика, которые выявляют уже известные воздействия. В них идентифицируются общие признаки, для выявления которых предварительно разрабатывают правила и сигнатуры. В ответ на это злоумышленники используют техники обфускации, кодирования и шифрования. Как правило, наиболее распространенными техниками являются Base-подобные кодировки, как правило это Base64. При анализе сетевого трафика определяется использование Base64 и применение правила анализа уже к декодированному содержимому.
В настоящее время одним из самых действенных способов борьбы с обфуска-цией является поведенческий анализ, который требует объединения процедур анализа и запуска кода (протокола) в специально созданной виртуальной среде (песочнице). Таким образом возможно проверять все извлеченные из трафика файлы, например, незашифрованные архивы или упакованные исполняемые файлы.
Однако возникает другая проблема - как выявить факт воздействия, если трафик зашифрован? Известны разные подходы к детектированию подозрительной активности в шифрованном трафике. К ним относятся, например, расшифровывание трафика посредством атаки типа «человек посередине», однако использование нестандартных протоколов, а также SSL pinning (аутентификация клиента по сертификату при установлении SSL-соединения) вносят ограничения на применение активных методов анализа.
Кроме того, известны пассивные методы анализа. К таковым можно отнести подход, когда признаки вредоносной активности в зашифрованном трафике могут быть обнаружены через побочные каналы, а также анализ длин пакетов и порядка их следования [5] с учетом закономерностей, выявленных аналитиками при исследовании определенных инструментов.
Одним из важных факторов, влияющих на идентификацию воздействий [6] представляется тот, что алгоритм воздействия определен заранее. Вредоносное ПО (ВПО) сообщает различную служебную информацию, составляющую внутренний протокол или алгоритм вредоносного взаимодействия клиента и сервера. Поскольку правила обмена заранее установлены, это упрощает противодействие. Следовательно, передаваемая информация об объекте воздействия, не может быть передана в открытом виде и зашифровывается, а при шифровании формирует пакеты определенной длины. Это позволяет установить конкретные правила (сигнатуры) анализа длин запросов и ответов, чтобы однозначно идентифицировать определенный класс ВПО. Подобная техника достаточно легко формализуема и может быть успешно применена для идентификации признаков кибернетических воздействий на протоколы СПД.
Учитывая тот факт, что важное значение для оценки защищенности протоколов [7]как защиты СПД играет выполнение регламентов информационной безопасности необходимо обратить внимание на связанные с этим угрозы и реализующие их воздействия, которые представлены на рис. 6.
Кроме того, как показывает практика проверок оценки защищенности протоколов в современных СПД возможно использование незащищенных протоколов передачи данных, что приводит к активным воздействиям на них. Статистика подобных уязвимых протоколов представлена на рис. 7.
Использование незащищенных протоколов передачи данных
Использование ПО для удаленного доступа
Использование BitTorrent
Словарные пароли
Использование мессенджеров
_ 22%
Применение протоколов LLMNR и NetBIOS 17%
Открытые сетевые порты на периметре __6%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Рис. 6. Воздействие угроз на протоколы, программное обеспечение и ресурсы сети передачи данных
LDAP
HTTP
_ 50%
SMTP
_ 42%
РОРЗ
. 31%
Tebiet
_ 25%
FTP
я 17%
IMAP
я 14%
4_Л Л._Л Л. Л._А Л. Л_Л Л.
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Рис. 7. Использование незащищенных протоколов в сетях передачи данных
Очередная область, получившая в последнее время особую актуальность в связи с большим количеством воздействий - АСУ ТП. Данная тематика вызывает повышенную озабоченность по ряду факторов. К ним можно отнести следующие.
Во-первых, для программирования и управления промышленным оборудованием на настоящий момент используются языки, технологии и методы, а также инструменты, разработанные более двадцати лет назад, к ним можно отнести следующие: ABB, Comau, Denso, Fanuc, Kawasaki, Kuka, Mitsubishi и Universal Robots. Практически во всех из них отсутствуют механизмы аутентификации, идентификации, фильтрации либо другие возможности для проверки или подтверждения подлинности. В документации большинства производителей промышленного оборудования явно прописано, что задача проверки подлинности абонентов ложится на плечи взаимодействующей с АСУ ТП сети или системы. Проприетарные языки содержат низкоуровневые средства для доступа к сетевым и системным ресурсам, что позволяет злоумышленникам использовать их не по прямому назначению, критически повлияв на безопасность оборудования, оператора и подключённых систем. Поскольку не предусмотрен защищённый доступ к основным или расширенным возможностям, злоумышленники могут использовать их для создания и внедрения вредоносных модулей.
Во-вторых - в устаревших языках программирования, перечисленных выше и использующихся в промышленной автоматизации (Industrial Robots Programming Language - IRPL), отсутствует возможность и механизмы проверки кода, аналогичные C, C++, C#, Java, PHP и Python. Семантика каждого IRPL уникальна, не похожа на семантику обычных языков программирования. Некоторые возможности, например, для управления строками или криптографическими операциями, в проприетарных языках АСУ ТП отсутствуют, или не обладают необходимым функционалом. К основным источникам угроз и уязвимостей ПО АСУ ТП можно отнести следующие:
информационный обмен и взаимодействие между файлами и каталогами; вызов функций по имени и динамическая загрузка модулей; сетевое взаимодействие с внутренними или внешними системами. Если злоумышленнику удастся взломать рабочее место, находящееся в сети АСУ ТП, он сможет подключиться к веб-серверу, запросить и получить файл без авторизации, поскольку ПО выполняет любые запросы от внутри сети как легитимные и поступившие от доверенного пользователя, поскольку не предусмотрена внутренняя аутентификация. Единственной защитой является проверка MAC-адреса и IP-адреса отправителя, любой из которых может быть с лёгкостью подделан злоумышленником.
В-третьих, существует определенный класс уязвимостей, таких как RCE-уязвимости, характерный для легитимного ПО АСУ ТП. Суть кибервоздействия, эксплуатирующего данную уязвимость, сводится к тому, что программа не анализирует целостность загружаемых библиотек запускаемых на исполнение имен функции.
Подводя итог можно сказать следующее. В современных АСУ ТП активно внедряются IoT/IIoT-устройства, «умные» станки и другое оборудование, которое помимо прочего подключается к сетям общего пользования. Специализированное, прикладное и сетевое ПО таких устройств потенциально может содержать в себе угрозы, уязвимости или недекларированные возможности. Кроме того, большинство промышленных протоколов разработаны много лет назад и с тех пор практически не модернизировались. Между тем на этапе их создания, не было большей части современных угроз и АСУ ТП были изолированы от сетевого взаимодействия. Как результат - по данным исследований [2, 8-10], 4 из 5 наименее безопасных протоколов - это промышленные протоколы управления.
Таким образом можно сделать следующий общий вывод. Кибернетические воздействия на протоколы СПД постоянно развиваются, совершенствуются инструменты и появляются новые образцы ВПО. Под конкретную СПД может создаваться целевой образец, позволяющий обойти традиционные средства идентификации. В таком случае одиночная сигнатурная защита не эффективна и результативным средством становится анализ трафика, в том числе и ретроспективный. Вышесказанное подтверждает необходимость анализа протоколов всех уровней (от L1 до L7 ЭМВОС либо L1-L3 АСУ ТП).
Анализ сетевого трафика может служить дополнением к уже существующим средствам обнаружения воздействий [11]. Современные системы оценки защищенности реализуют различные технологии, позволяющие совместить рассмотренные в статье подходы к построению защищенных СПД. Поскольку краеугольным камнем каждой СПД является протокол необходимо создать систему предварительной и рациональной оценки их защищенности. Неумолимо возрастающие объемы трафика, в том числе и в СПД специального назначения, свидетельствуют о том, что нагрузка на подобные системы будет только возрастать, что говорит о необходимости разработки и внедрения новых подходов к оценке защищенности протоколов СПД. Наиболее перспективным направлением в данной области авторам представляется использование систем искусственного интеллекта с применением нейросетевых технологий и технологий глубокого обучения. Реализация данного направления позволит существенно повысить оперативность и точность идентификации признаков воздействий и уровня защищенности протоколов СПД в условиях кибернетических воздействий. Представленный в статье
анализ позволил утверждать, что без внедрения современных систем автоматизации, в первую очередь обучения и идентификации сигнатур признаков воздействий не решить поставленную задачу научного исследования.
Список литературы
1. Авезова Я. Актуальные киберугрозы // Сборник исследований по практической информационной безопасности Positive Research. 2020: [Электронный ресурс] URL: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/positive-research -2020-rus.pdf (дата обращения: 14.10.2020).
2. Good Practices for Security of Internet of Things in the context of Smart Manufacturing // Enisa. 2018. [Электронный ресурс] URL: https://www.enisa.europa.eu/ publications/ good-practices-for-security-of-iot (дата обращения: 14.10.2020).
3. The state of industrial cybersecurity in the era of digitalization // Kaspersky Industrial Cybersecurity Conference. 2020. [Электронный ресурс] URL: https://ics-cert. kaspersky.com/ media/ Kaspersky_ ARC_ ICS- 2020 - Trend-Report.pdf (дата обращения: 15.10.2020).
4. How to detect overpass-the-hash attacks // Stealthbits. 2019. [Электронный ресурс] URL: https://stealthbits.com/blog/protip-active-directory-advanced-threat-analytics-and - response (дата обращения: 15.10.2020).
5. Устинов Е., Тюрин А. Как выявлять активность злоумышленников в зашифрованном трафике // Positive Technologies/ 2019. [Электронный ресурс] URL: https:// www.ptsecurity.com/ru-ru/research/webinar/298091 (дата обращения: 15.10.2020).
6. Дементьев В.Е. Методика оценки комплексного информационного воздействия на протоколы обработки данных информационно-телекоммуникационной сети // Вопросы безопасности. 2016. № 4. С. 54-62.
7. Дементьев В.Е. Методика оценки протокольной защищенности информационно-телекоммуникационной сети // Информатизация и связь. 2016. № 3. С. 95-101.
8. Уязвимости и вредоносный код в системах промышленной автоматизации // Информационная безопасность, исследования и прогнозы в IT. Компания Trend Micro. 2019. [Электронный ресурс] URL: https://habr.com/ru/company/trendmicro/blog/518184 (дата обращения: 15.10.2020).
9. Maggi F. Pogliani M. Rogue Automation. Vulnerable and Malicious Code in Industrial Programming // Trend Micro. 2019. [Электронный ресурс]. URL: https:// docu-ments.trendmicro.com/assets/white_papers/wp-rogue-automa-tion-vulnerable-and-malicious-code-in-industrial-programming.pdf (дата обращения: 15.10.2020).
10. Balduzzi M, Bongiorni L., Flores R., Philippe Z Lin, Perine C., Vosseler R. Lost in Translation: When Industrial Protocol Translation Goes Wrong // Trend Micro. 2019. [Электронный ресурс] URL: https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/lost-in-translation-when-industrial-protocol-translation-goes-wrong. (дата обращения: 16.10.2020).
11. Дементьев В.Е. Методика прогнозирования информационных воздействий на информационно-телекоммуникационную сеть // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. 2016. № 5-6 (95-96). С. 36-41.
Дементьев Владислав Евгеньевич, д-р техн. наук, доцент, заместитель начальника кафедры, dem-vlada ramhler.ru, Россия, Санкт-Петербург, Военная академия связи имени Маршала Советского Союза С.М. Буденного,
Чулков Александр Анатольевич, адъюнкт, sir.alexanderchulkov@yandex.ru, Россия, Санкт-Петербург, Военная академия связи имени Маршала Советского Союза С. М. Буденного
CYBERA TTACKS ON DATA NETWORK PROTOCOLS V.E. Dement 'ev, A.A. Chulkov
The article analyzes cyber impacts on data network protocols, vulnerabilities, and mechanisms for their implementation. Threats and their implementation in relation to automated process control systems are considered as a separate vector. The statistics of impacts on the LDS proto-colas in various fields of their application are presented. The article is based on the task of identifying the signs of impacts and assessing the security of the SPD protocols in order to develop solutions for the development ofprotection measures. This study was conducted in order to substantiate the direction of development of a system for assessing the security of SPD in the context of cyber attacks.
Key words: identification, feature, Protocol, vulnerability, assessment, security, automation, automated process control systems.
Dement 'ev Vladislav Evgenevich, doctor of technical sciences, docent, dem-vlad@rambler. ru, Russia, Saint Petersburg, Military Academy of Communications Marshal of the Soviet Union S.M. Budyonny,
Chulkov Alexander Anatolevich, adjunct, sir.alexanderchulkovayandex.ru, Russia, Saint Petersburg, Military Academy of Communications Marshal of the Soviet Union S.M. Budyonny
УДК 004.932.2
АНАЛИЗ ВИДЕОИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ ВЕКТОРНЫХ ПОТОКОВЫХ ПРОЦЕССОРОВ С ОБЩЕЙ ПАМЯТЬЮ
А. А. Беляев, Е.С. Янакова, А. А. Тюрин, Г.Т. Мачарадзе
Приводится схема реализации объединенного векторно-скалярного реконфигу-рируемого регистрового файла векторно-потоковых процессоров, позволяющая эффективно объединять векторные и скалярные инструкции, а также функциональные блоки, эффективно решая задачу обработки видеоинформации, включая и нейросете-выми алгоритмами. Приведены численные результаты запуска алгоритмов на ядрах ЕЬсоге-50, разработанные НПЦ «ЭЛВИС», объединенных N0С. Показано, что производительность в векторно-потоковых процессоров ограничена сложностью алгоритма по обращению к памяти (количество обращений к памяти, как функция от количества входных данных).
Ключевые слова: видеоаналитика, векторный потоковый процессор, система на кристалле, сеть на кристалле.
В последние годы наблюдается всё более активный рост различных сегментов рынка компьютерного зрения, начиная от систем безопасности и транспортных инфраструктур, заканчивая умными экосистемами, такими как умный город, тихий аэропорт, безопасный транспорт и другими. Усложнение алгоритмов машинного зрения приводит к новым требованиям к вычислительным устройствам и их подсистемам памяти.
