Многие самолеты, космические аппараты и системы вооружения имеют бортовую компьютерную сеть, известную как военный стандарт 1553, обычно называемый MIL-STD-1553 или даже просто 1553. Сеть - это проверенный протокол, позволяющий таким системам, как радар, система управления полетом и дисплей оповещения, взаимодействовать друг с другом.

Защита этих сетей от кибератак является императивом национальной безопасности, сказал Крис Дженкинс, специалист по кибербезопасности Sandia National Laboratories. По его словам, если хакер перехватит управление 1553 в середине полета, пилот может потерять контроль над критическими системами самолета, и последствия могут быть разрушительными.

Дженкинс не одинок в своих опасениях. Многие исследователи по всей стране разрабатывают средства защиты для систем, использующих протокол MIL-STD-1553 для командования и контроля. Недавно Дженкинс и его команда из Sandia сотрудничали с исследователями из Университета Пердью в Западном Лафайете, штат Индиана, чтобы протестировать идею, которая могла бы обезопасить эти критически важные сети.

Их результаты, недавно опубликованные в научном журнале Транзакции IEEE по надежным и безопасным вычислениям, показывают, что при правильном использовании техника, уже известная в кругах кибербезопасности, называемая moving target defense, может эффективно защитить сети MIL-STD-1553 от алгоритма машинного обучения. Исследование финансировалось программой исследований и разработок, руководимой лабораторией Сандии.

"Когда мы говорим о защите наших компьютерных систем, часто мы полагаемся на две основные составляющие", - сказал Эрик Вугрин, старший научный сотрудник Sandia по кибербезопасности, который также работал над проектом. "Первый подход заключается в том, чтобы просто не подпускать плохого парня и никогда не разрешать доступ к системе. Физический аналог состоит в том, чтобы построить большую стену и не впускать его в первую очередь. И запасной план таков: если стена не сработает, мы полагаемся на обнаружение. Оба этих подхода несовершенны. Итак, защита от движущейся цели предлагает в качестве дополнительной стратегии то, что даже если эти два подхода терпят неудачу, движущаяся цель сбивает атакующего с толку и затрудняет нанесение урона ".

Защита движущихся целей должна заставлять кибератакеров гадать

Подобно игре в монте-карло с тремя картами, в которой мошенник использует ловкость рук, чтобы перетасовать карты из стороны в сторону, защита движущейся цели требует случайности. Без этого защита разваливается. Исследователи хотели знать, сработает ли защита от движущихся целей при постоянном изменении сетевых адресов - уникальных номеров, присвоенных каждому устройству в сети. Они не были уверены, что это сработает, потому что, по сравнению с другими типами сетей, адресное пространство MIL-STD-1553 невелико и поэтому его трудно рандомизировать.

Например, стратегия оказалась полезной с интернет-протоколами, которые имеют в своем распоряжении миллионы или миллиарды сетевых адресов, но у 1553 есть только 31. Другими словами, Сандии пришлось придумать способ тайно перетасовать 31 число таким образом, чтобы его было нелегко расшифровать.

"Кто-то посмотрел мне в лицо и сказал, что это невозможно, потому что там был всего 31 адрес", - сказал Дженкинс. "И поскольку это число так мало по сравнению с миллионами, миллиардами или триллионами, людям просто показалось, что случайности недостаточно".

Проблема с рандомизацией небольшого набора чисел заключается в том, что "Ничто в компьютерном программном обеспечении не является по-настоящему случайным. Это всегда псевдослучайно", - сказал специалист по информатике Sandia Инду Маникам. Все должно быть запрограммировано, сказала она, поэтому всегда есть скрытая закономерность, которую можно обнаружить.

По ее словам, имея достаточно времени и данных, "человек с таблицей Excel должен быть в состоянии получить это".

Маникам - эксперт в области машинного обучения, или компьютерных алгоритмов, которые выявляют и предсказывают закономерности. Эти алгоритмы, хотя и полезны для кибербезопасности и многих других областей исследований и инженерии, представляют угрозу для защиты движущихся целей, поскольку они потенциально могут обнаружить закономерность в процедуре рандомизации намного быстрее, чем человек.

"Мы используем методы машинного обучения, чтобы лучше защищать наши системы", - сказал Вугрин. "Мы также знаем, что плохие парни используют машинное обучение для атаки на системы. Итак, одна из вещей, которую Крис определил на раннем этапе, заключалась в том, что мы не хотим создавать защиту движущейся цели, где кто-то может использовать атаку машинного обучения, чтобы сломать ее и сделать защиту бесполезной ".

Сложные алгоритмы не обязательно означают конец такого рода киберзащите. Разработчики кибербезопасности могут просто написать программу, которая изменяет шаблон рандомизации, прежде чем машина сможет его уловить.

Но команде Sandia нужно было знать, как быстро машинное обучение может сломить их защиту. Итак, они объединились с Бхаратом Бхаргавой, профессором компьютерных наук в Университете Пердью, чтобы протестировать его. Бхаргава и его команда ранее участвовали в исследовании аспектов защиты движущихся целей.

По словам Бхаргавы, в течение последних семи лет области исследований в области кибербезопасности и машинного обучения сталкивались. И это изменило концепции кибербезопасности.

"Что мы хотим сделать, так это научиться защищаться от нападающего, который тоже учится", - сказал Бхаргава.

Результаты тестов служат основой для будущих улучшений кибербезопасности

Дженкинс и команда Sandia настроили два устройства для обмена данными по сети 1553. Иногда одно устройство отправляло закодированное сообщение, которое изменяло сетевые адреса обоих устройств. Дженкинс отправил исследовательской группе Бхаргавы журналы этих сообщений, используя различные процедуры рандомизации. Используя эти данные, команда Пердью обучила тип алгоритма машинного обучения, называемый длинной кратковременной памятью, предсказывать следующий набор адресов.

Первая процедура рандомизации была не очень эффективной.

"Мы смогли не только определить следующий набор адресов, который должен появиться, но и следующие три адреса", - сказал Ганапати Мани, бывший член команды Purdue, который внес свой вклад в исследование.

Алгоритм набрал 0,9 балла из идеальных 1,0 по так называемому коэффициенту корреляции Мэтьюса, который оценивает, насколько хорошо работает алгоритм машинного обучения.

Но второй набор журналов, в котором использовалась более динамичная процедура, привел к радикально иной истории. Алгоритм набрал всего 0,2 балла.

"0,2 довольно близок к случайному, так что на самом деле он ничему не научил", - сказал Маникам.

Тест показал, что защита от движущихся целей может фундаментально работать, но, что более важно, он дал обеим командам представление о том, как инженеры по кибербезопасности должны разрабатывать эти средства защиты, чтобы противостоять атаке на основе машинного обучения, концепции, которую исследователи называют кодовым дизайном, основанным на угрозах.

Защитники, например, могли бы "добавить в него поддельные данные, чтобы злоумышленники не могли извлечь из них уроки", - сказал Мани.

Полученные результаты могут помочь повысить безопасность других небольших киберфизических сетей, выходящих за рамки MIL-STD-1553, таких как те, которые используются в критически важной инфраструктуре.

Дженкинс сказал: "Возможность выполнить эту работу лично для меня принесла некоторое удовлетворение, потому что показала, что при правильном типе технологий и инноваций вы можете решить ограниченную проблему и при этом применить к ней защиту от движущихся целей".

Sandia National Laboratories - это многопрофильная лаборатория, управляемая компанией National Technology and Engineering Solutions of Sandia LLC, дочерней компанией Honeywell International Inc., полностью принадлежащей Национальному управлению ядерной безопасности Министерства энергетики США. Sandia Labs отвечает за основные исследования и разработки в области ядерного сдерживания, глобальной безопасности, обороны, энергетических технологий и экономической конкурентоспособности, с основными объектами в Альбукерке, Нью-Мексико, и Ливерморе, Калифорния.