RU2753169C1 - Method for self-regulation of network infrastructure of industrial facilities under influence of security threats - Google Patents

Method for self-regulation of network infrastructure of industrial facilities under influence of security threats Download PDF

Info

Publication number
RU2753169C1
RU2753169C1 RU2020142565A RU2020142565A RU2753169C1 RU 2753169 C1 RU2753169 C1 RU 2753169C1 RU 2020142565 A RU2020142565 A RU 2020142565A RU 2020142565 A RU2020142565 A RU 2020142565A RU 2753169 C1 RU2753169 C1 RU 2753169C1
Authority
RU
Russia
Prior art keywords
network
network infrastructure
graph
function
security
Prior art date
Application number
RU2020142565A
Other languages
Russian (ru)
Inventor
Максим Олегович Калинин
Дарья Сергеевна Лаврова
Евгений Юрьевич Павленко
Original Assignee
федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ")
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") filed Critical федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ")
Priority to RU2020142565A priority Critical patent/RU2753169C1/en
Application granted granted Critical
Publication of RU2753169C1 publication Critical patent/RU2753169C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models

Landscapes

  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Computational Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Algebra (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: computer systems.
SUBSTANCE: invention relates to the field of computer systems, namely to the network infrastructure of modern industrial facilities and methods for its automatic rebuilding upon detection of security threats. The effect is achieved due to the fact that in the claimed solution the network is rebuilt upon receipt of a signal from the security threat detection system, for which the target function of the industrial facility is formed, the graphical representation of the network infrastructure of the industrial facility, sets of connections and operations between clusters of each function from a set of functional sequences, obtained using de Bruijn graphs, and upon receipt of a security threat detection signal, compile a list of violated functions from a set of functional sequences, then choose the fastest option for rebuilding the network structure to apply and apply to the current network structure.
EFFECT: increased mobility and performance of the network, as well as the ability to neutralize security threats.
1 cl, 5 dwg

Description

Изобретение относится к области компьютерных систем, а именно к сетевой инфраструктуре современных промышленных объектов и способам ее автоматического перестроения при воздействии угроз безопасности.The invention relates to the field of computer systems, namely to the network infrastructure of modern industrial facilities and methods of its automatic rebuilding when exposed to security threats.

Технической проблемой является повышение скорости реагирования на угрозы безопасности и повышение защищенности сетевой инфраструктуры промышленных объектов за счет перестроения сетевой инфраструктуры на этапе обнаружения угрозы безопасности таким образом, чтобы угроза безопасности не могла быть реализована.The technical problem is to increase the speed of response to security threats and increase the security of the network infrastructure of industrial facilities by rebuilding the network infrastructure at the stage of detecting a security threat in such a way that the security threat cannot be realized.

Известен способ, обеспечивающий выполнение адаптивной аналитики кибербезопасности системы (патент США №US9032521B2, опубликован 12.05.2015, МПК H04L63/1433). На компьютере вычисляется оценка кибербезопасности системы, зависимая от уровня текущей сетевой активности. Полученная оценка указывает на вероятность нарушения безопасности в системе и позволяет сформировать сигнал о подозрительной сетевой активности, если оценка переходит установленные границы, свидетельствующие о нарушении. Недостатком данного решения является его ориентированность на косвенное обнаружение угроз безопасности по вычислимой оценке, которая определяется на основании признаков сетевой активности в системе. Тем самым изобретение позволяет сигнализировать об угрозе, а не о нарушении, а также не позволяет нейтрализовать угрозы безопасности (согласно п. 1 формулы). Адаптация системы заключается в выполнении автоматического обновления программных компонентов и связана только с использованием вычислительной модели оценки, реагирующей на признаки того, является ли нарушение безопасности настоящей угрозой или нет. При этом все действия по нейтрализации выявленных угроз безопасности выполняются человеком.The known method provides the implementation of adaptive analytics of cybersecurity of the system (US patent No. US9032521B2, published 05/12/2015, IPC H04L63 / 1433). The computer calculates the cybersecurity score of the system, depending on the level of the current network activity. The resulting score indicates the likelihood of a security breach in the system and allows you to generate a signal of suspicious network activity if the score goes beyond the established boundaries that indicate a violation. The disadvantage of this solution is its focus on indirect detection of security threats based on a computable estimate, which is determined based on signs of network activity in the system. Thus, the invention makes it possible to signal a threat, and not a violation, and also does not allow to neutralize security threats (according to clause 1 of the formula). The adaptation of the system consists in performing an automatic update of software components and is associated only with the use of a computational assessment model that responds to signs of whether a security breach is a real threat or not. At the same time, all actions to neutralize the identified security threats are performed by a person.

Известно изобретение, представляющее собой систему кибербезопасности, реализующую агрегирование данных, поступающих от множества узлов сети, выявление инцидента безопасности и перестроение рабочих процессов в ответ на выявленный инцидент безопасности (патент США №20200244696, опубликован 07.30.2020, МПК H04L29/06; H04L9/00; H04L9/32). В зависимости от характера конкретного инцидента безопасности решение позволяет инициировать план действий, адаптированный к операционному центру безопасности и его операционным процедурам для защиты узлов сети, затронутых инцидентом безопасности. A known invention is a cybersecurity system that aggregates data from multiple network nodes, identifies a security incident and rebuilds workflows in response to a detected security incident (US patent No. 20200244696, published 07.30.2020, IPC H04L29 / 06; H04L9 / 00 ; H04L9 / 32). Depending on the nature of the particular security incident, the solution allows you to initiate an action plan tailored to the security operations center and its operating procedures to protect the hosts affected by the security incident.

Согласно п. 1 формулы, данное изобретение выполняет идентификацию автоматического действия для устранения угрозы безопасности и инициирует по крайней мере одно автоматическое действие для устранения инцидента безопасности. Согласно п. 2 формулы, по крайней мере одно автоматизированное действие, выполняемое изобретением, блокирует вредоносный сетевой трафик, по крайней мере, в пределах контролируемого сегмента сети. Таким образом, реагируя на инцидент безопасности и блокируя трафик, изобретение перестраивает сетевую инфраструктуру при обнаружении инцидентов безопасности, сохраняя при этом автономность от оператора. Недостатками данного изобретения являются минимальный набор действий по устранению угрозы безопасности, выполняемых автономно от оператора, а также использование политики сетевой безопасности, что недостаточно для регуляции сетевой инфраструктуры промышленных объектов. Это связано с большим масштабом таких объектов, а также с разнородностью типов сетей, входящих в состав сетевой инфраструктуры промышленных объектов (клиент-серверные сети, сенсорные сети, децентрализованные сети, одноранговые сети мобильных устройств).According to claim 1, the present invention performs the identification of an automatic action to eliminate a security threat and initiates at least one automatic action to eliminate a security incident. According to claim 2, at least one automated action performed by the invention blocks malicious network traffic, at least within the monitored network segment. Thus, by responding to a security incident and blocking traffic, the invention rebuilds the network infrastructure when security incidents are detected, while maintaining autonomy from the operator. The disadvantages of this invention are the minimum set of actions to eliminate security threats, performed autonomously from the operator, as well as the use of a network security policy, which is not enough to regulate the network infrastructure of industrial facilities. This is due to the large scale of such facilities, as well as the heterogeneity of the types of networks that make up the network infrastructure of industrial facilities (client-server networks, sensor networks, decentralized networks, peer-to-peer networks of mobile devices).

Наиболее близким техническим решением является способ адаптивной переконфигурации коммуникационной сети устройств (патент США №US7117257B2, опубликован 03.10.2006, МПК H04Q3/0083). Техническое решение, согласно п. 7 формулы, включает сетевое устройство для адаптивной переконфигурации сети, имеющей не менее одного центрального узла и множество граничных узлов. Устройство реализует временную блокировку граничных узлов, группировку граничных узлов в соответствии с задержкой реконфигурации каждого граничного узла, назначение порога задержки реконфигурации для каждой группы граничных узлов и периодическую перенастройку маршрутов, связанных с граничными узлами в каждой группе граничных узлов в соответствии с указанным порогом задержки. Данное решение обеспечивает быструю переконфигурацию сетевых маршрутов, связывающих взаимодействующие через сеть узлы, где любые два граничных узла могут соединяться между собой через центральный узел. Для повышения адаптивности, мобильности и производительности сети граничные узлы, связанные через центральный узел, разделяются на множество групп на основе оценки временных задержек приема-передачи при взаимодействии с центральным узлом. Это позволяет отделить короткие маршруты от длинных, и в свою очередь, заменяя разные отрезки маршрута на коротких дистанциях, позволяет настраивать короткие маршруты чаще, чем длинные маршруты, тем самым обеспечивая адаптацию пропускной способности сети к изменяющимся условиям. Однако, указанное решение обладает рядом недостатков. Разделение узлов сети осуществляется только по критерию, формируемому на основе оценки задержек при передаче пакетов между граничным узлом и центральным узлом и не учитывает всю сеть в целом. Такой критерий переконфигурации эффективен для небольшой сети с выраженным центральным узлом, через который взаимодействуют граничные узлы. Для такой сети выигрыш в пропускной способности достигается за счет перестроения сетевых маршрутов от граничных узлов к центральному. Однако такой способ неэффективен в случаях децентрализованной и одноранговой сетевых инфраструктур. Целесообразно введение критерия переконфигурации сети, учитывающего набор функций, выполняемых отдельными узлами сетевой инфраструктуры, их связи друг с другом, а также вычислительную мощность узлов сети, поскольку в сетевой инфраструктуре промышленных объектов часто используются малоресурсные сетевые узлы: датчики и контроллеры устройств.The closest technical solution is a method for adaptive reconfiguration of the communication network of devices (US patent No. US7117257B2, published 03.10.2006, IPC H04Q3 / 0083). The technical solution, according to clause 7 of the formula, includes a network device for adaptive reconfiguration of a network having at least one central node and many border nodes. The device implements temporary blocking of border nodes, grouping of border nodes in accordance with the reconfiguration delay of each border node, assigning a reconfiguration delay threshold for each group of border nodes, and periodic reconfiguration of routes associated with border nodes in each group of border nodes in accordance with the specified delay threshold. This solution provides fast reconfiguration of network routes linking interconnecting nodes, where any two border nodes can be connected to each other through a central node. To improve the adaptability, mobility and performance of the network, the edge nodes connected through the central node are divided into multiple groups based on an estimate of the round-trip time delays when interacting with the central node. This allows you to separate short routes from long ones, and in turn, by replacing different sections of the route at short distances, allows you to configure short routes more often than long routes, thereby ensuring the adaptation of network capacity to changing conditions. However, this solution has several disadvantages. The division of network nodes is carried out only according to the criterion formed on the basis of an estimate of the delays in the transmission of packets between the border node and the central node and does not take into account the entire network as a whole. This reconfiguration criterion is effective for a small network with a pronounced central node through which the border nodes interact. For such a network, the gain in throughput is achieved by rebuilding network routes from the border nodes to the central one. However, this method is ineffective in cases of decentralized and peer-to-peer network infrastructures. It is advisable to introduce a network reconfiguration criterion that takes into account the set of functions performed by individual nodes of the network infrastructure, their connections with each other, as well as the computing power of network nodes, since low-resource network nodes are often used in the network infrastructure of industrial facilities: sensors and device controllers.

Кроме того, изобретение не ориентировано на нейтрализацию угроз безопасности. Изобретение направлено на повышение мобильности и производительности сети, в то время как для решения задачи нейтрализации угроз безопасности важны не только производительность, но и исключение скомпрометированных узлов сети, а также построение альтернативных путей между узлами, связь между которыми была нарушена в результате воздействия киберугрозы. При этом в указанном решении используется фиксированный (задаваемый) порог задержки. Перестроение сетевой инфраструктуры часто приводит к тому, что узлы, которые ранее были практически не загружены, становятся загруженными и требуют обновления порога задержки для обеспечения адекватной реакции на изменение условий работы сетевой инфраструктуры.Moreover, the invention is not focused on mitigating security threats. The invention is aimed at increasing the mobility and performance of the network, while for solving the problem of neutralizing security threats, not only performance is important, but also the elimination of compromised network nodes, as well as the construction of alternative paths between nodes, the connection between which has been disrupted as a result of the cyber threat. In this case, the specified solution uses a fixed (set) delay threshold. Rebuilding the network infrastructure often leads to the fact that nodes that were previously practically unloaded become loaded and require an update of the latency threshold to ensure an adequate response to changing conditions in the network infrastructure.

Решение поставленной технической проблемы обеспечивается тем, что в способе саморегуляции сетевой инфраструктуры промышленных объектов при воздействии угроз безопасности определяют целевую функцию рассматриваемого промышленного объекта, выделяя множество физических процессов объекта и набор информационных функций, выполняемых узлами сетевой инфраструктуры объекта, и представляя целевую функцию в виде набора функциональных последовательностей, затем сохраняют целевую функцию в виде набора функциональных последовательностей в базу данных, расположенную на сервере баз данных, затем строят граф сетевой инфраструктуры промышленного объекта и сохраняют его в базу данных, расположенную на сервере баз данных, затем формируют для каждой функции, входящей в состав целевой функции, кластер, представляющий собой множество, в котором будут собраны все вершины и подграфы графа, способные выполнить данную функцию, строят граф всех возможных вариантов реализации целевой функции в виде многоуровневого графа и сохраняют его в базу данных, расположенную на сервере баз данных, затем, используя графы де Брёйна, получают наборы связей между кластерами и операций между кластерами в связи со строгим порядком при выполнении и взаимосвязи функций, входящих в целевую, затем сохраняют полученные наборы связей и операций между кластерами в базу данных, расположенную на сервере баз данных, затем получают сигнал от системы или модуля обнаружения угроз безопасности о том, какой узел графа затронут воздействием угрозы безопасности, затем определяют список нарушенных функций, которые выполнял затронутый нарушением безопасности узел графа, затем перестраивают инфраструктуру сети промышленного объекта таким образом, чтобы нейтрализовать влияние угрозы с использованием кластеров функций, наборов связей и операций между кластерами, многоуровневого графа, затем проверяют, что целевая функция снова выполняется узлами.The solution to the technical problem posed is provided by the fact that in the method of self-regulation of the network infrastructure of industrial facilities when exposed to security threats, the target function of the industrial facility under consideration is determined, highlighting the set of physical processes of the facility and the set of information functions performed by the nodes of the network infrastructure of the facility, and presenting the target function as a set of functional sequences, then save the objective function as a set of functional sequences into a database located on the database server, then build a graph of the network infrastructure of an industrial facility and save it to the database located on the database server, then generate for each function included in the the objective function, a cluster, which is a set in which all the vertices and subgraphs of the graph capable of performing this function will be collected, build a graph of all possible options for implementing the objective function in the form of a multilevel graph and save it to a database located on the database server, then, using de Bruijn graphs, they obtain sets of links between clusters and operations between clusters in connection with the strict order in the execution and interconnection of functions included in the target, then save the resulting sets of links and operations between clusters to a database located on the database server, then receive a signal from the system or the security threat detection engine about which node of the graph is affected by the impact of the security threat, then determine the list of violated functions that the affected graph node performed, then rebuild the network infrastructure of an industrial facility in such a way as to neutralize the impact of the threat using clusters of functions, sets of connections and operations between clusters, a multi-level graph, then check that the target function is again performed by the nodes.

Сетевая инфраструктура представляется в виде ориентированного графа, а ее целевая функция (набор необходимых функций промышленного объекта) – в виде последовательности взаимосвязанных функций, ассоциированных с узлами графа. Воздействие угрозы безопасности представляется в виде изменения числа узлов и дуг графа, а также изменения их характеристик. Для каждой функции, входящей в состав целевой, формируется кластер – набор узлов и подграфов графа, которые способны выполнить эту же функцию и заменить устройство, выполняющее функцию в данный момент, в случае его выхода из строя или компрометации в результате реализации угрозы безопасности в виде нарушения безопасности. The network infrastructure is represented in the form of a directed graph, and its objective function (a set of necessary functions of an industrial facility) - in the form of a sequence of interrelated functions associated with the nodes of the graph. The impact of a security threat is represented in the form of a change in the number of nodes and graph arcs, as well as changes in their characteristics. For each function that is part of the target, a cluster is formed - a set of nodes and subgraphs of the graph that are able to perform the same function and replace the device performing the function at the moment, in the event of its failure or compromise as a result of the implementation of a security threat in the form of a violation security.

Для целевой функции задаются связи между кластерами с использованием графов де Брёйна. Использование графов де Брёйна позволяет выделить между разными кластерами такие узлы или подграфы, связь между которыми может быть построена максимально быстро, так как будут найдены подграфы, заканчивающиеся (для первого кластера) и начинающиеся (для второго) с одного и того же узла графа, что минимизирует время соединения и выполнения обеих функций, и, следовательно, обеспечит максимально быстрое построение альтернативной функциональной последовательности, эквивалентной целевой функции, наблюдаемой до начала реализации угрозы безопасности.For the objective function, connections between clusters are specified using de Bruijn graphs. The use of de Bruijn graphs makes it possible to distinguish between different clusters such nodes or subgraphs, the connection between which can be built as quickly as possible, since subgraphs will be found that end (for the first cluster) and begin (for the second) from the same node of the graph, which minimizes the time of connection and execution of both functions, and, therefore, will provide the fastest possible construction of an alternative functional sequence equivalent to the objective function observed before the implementation of the security threat.

Способ саморегуляции сетевой инфраструктуры промышленных объектов при воздействии угроз безопасности поясняется изображением связи между кластерами с использованием графа де Брёйна (фиг. 1), общей схемой осуществления саморегуляции сетевой инфраструктуры промышленного объекта (фиг. 2), а также примером, включающим три фигуры (граф сетевой инфраструктуры до воздействия угрозы безопасности (фиг. 3), построение новых связей с помощью графов де Брёйна (фиг. 4), новый граф сетевой инфраструктуры после выполнения саморегуляции (фиг. 5)).The method of self-regulation of the network infrastructure of industrial facilities under the influence of security threats is illustrated by the image of the connection between clusters using the de Bruijn graph (Fig. 1), the general scheme for the implementation of self-regulation of the network infrastructure of an industrial facility (Fig. 2), as well as an example that includes three figures (network graph infrastructure before the impact of a security threat (Fig. 3), building new connections using de Bruijn graphs (Fig. 4), a new graph of the network infrastructure after performing self-regulation (Fig. 5)).

Последствия воздействия угрозы безопасности в терминах графовой модели представлены в виде разрывов в функциональной последовательности целевой функции промышленного объекта. Например, для объекта, реализующего целевую функцию

Figure 00000001
, в результате нарушения безопасности из строя выведен узел, реализующий функцию
Figure 00000002
. Тогда в результате разрыва функции
Figure 00000003
остались две последовательности:
Figure 00000004
и
Figure 00000005
, для соединения которых необходимо найти нескомпрометированный узел, способный выполнять функцию
Figure 00000002
и взаимодействовать с узлами, реализующими две оставшиеся последовательности. The consequences of the impact of a security threat in terms of the graph model are presented as discontinuities in the functional sequence of the objective function of an industrial facility. For example, for an object that implements the objective function
Figure 00000001
, as a result of a security breach, the node that implements the function
Figure 00000002
... Then, as a result of the discontinuity of the function
Figure 00000003
there are two sequences left:
Figure 00000004
and
Figure 00000005
, for the connection of which it is necessary to find an uncompromised node capable of performing the function
Figure 00000002
and interact with nodes that implement the remaining two sequences.

Такое представление функции

Figure 00000003
позволяет провести аналогию между восстановлением функции
Figure 00000003
и биоинформационной задачей сборки генома. Способ саморегуляции сетевой инфраструктуры промышленных объектов при воздействии угроз безопасности реализует перенос и адаптацию принципов сборки генома на сетевые инфраструктуры промышленных объектов с использованием математического аппарата графов де Брёйна, обеспечивая повышение скорости их реконфигурации.This function representation
Figure 00000003
allows you to draw an analogy between the restoration of the function
Figure 00000003
and the bioinformatics task of genome assembly. The method of self-regulation of the network infrastructure of industrial facilities under the influence of security threats implements the transfer and adaptation of the principles of genome assembly to the network infrastructures of industrial facilities using the mathematical apparatus of de Bruijn graphs, providing an increase in the speed of their reconfiguration.

Из представления фиг. 1 следует, что функция

Figure 00000006
может быть выполнена либо одиночным устройством, являющимся в терминах графовой модели вершиной
Figure 00000007
, либо одиночным устройством
Figure 00000008
, либо путем взаимодействия устройств (в терминах графовой модели – маршрутом на графе):
Figure 00000009
. Функция
Figure 00000010
может быть выполнена либо устройством
Figure 00000011
, либо устройствами (
Figure 00000012
), либо устройствами
Figure 00000013
.From the representation of FIG. 1 it follows that the function
Figure 00000006
can be performed either by a single device, which is a vertex in terms of the graph model
Figure 00000007
, or a single device
Figure 00000008
, or through the interaction of devices (in terms of the graph model - a route on the graph):
Figure 00000009
... Function
Figure 00000010
can be done either by the device
Figure 00000011
, or devices (
Figure 00000012
), or devices
Figure 00000013
...

Сопоставление каждой из функций, входящей в состав целевой, множества вариантов ее реализации целесообразно по следующим причинам. Ее легко выполнить на этапе подготовки промышленного объекта к работе в небезопасной среде – кластеризация выполняется крайне быстро. Время поиска в кластере во много раз меньше, чем поиск с полным перебором вершин в графе. К тому же, в условиях примерно одинакового размера всех кластеров, эффективен будет параллельный поиск (в случае, если нарушение безопасности затронуло несколько звеньев цепочки целевой функции). Представление функции промышленного объекта в виде графов де Брёйна обеспечивает связывание кластеров, и именно за счет них обеспечивается получение более сложных функций, каждая из которых выполняется множеством устройств.Comparison of each of the functions included in the target, the set of options for its implementation is advisable for the following reasons. It is easy to perform at the stage of preparing an industrial facility for operation in an unsafe environment - clustering is extremely fast. The search time in a cluster is many times less than a search with an exhaustive search of vertices in a graph. In addition, in conditions of approximately the same size of all clusters, parallel search will be effective (if a security breach has affected several links in the objective function chain). The representation of the function of an industrial facility in the form of de Bruijn graphs provides the linking of clusters, and it is due to them that more complex functions are obtained, each of which is performed by many devices.

Если с использованием кластера для нарушенной функции

Figure 00000010
был получен альтернативный вариант ее реализации, необходимо учесть, что до нее выполнялась, например, функция
Figure 00000006
, а после
Figure 00000010
будет выполнена
Figure 00000014
. В таких условиях необходимо, чтобы все узлы сетевой инфраструктуры промышленного объекта, реализующие эти функции, могли взаимодействовать между собой. При этом, поскольку время на поиск, выбор и применение сценария саморегуляции сильно ограничен временем реализации угрозы безопасности, выбирают такие устройства для восстановления функции
Figure 00000010
, которые позволят организовать более быстрое взаимодействие с устройствами из кластеров других функций.If using a cluster for the broken function
Figure 00000010
an alternative version of its implementation was obtained, it is necessary to take into account that, for example, the function
Figure 00000006
, and then
Figure 00000010
will be done
Figure 00000014
... In such conditions, it is necessary that all nodes of the network infrastructure of an industrial facility that implement these functions can interact with each other. At the same time, since the time for the search, selection and application of the self-regulation scenario is strongly limited by the time of the implementation of the security threat, such devices are chosen to restore the function.
Figure 00000010
that will allow you to organize faster interaction with devices from clusters of other functions.

Вершины графа де Брёйна – строки фиксированной длины, и они соединены ребром тогда, когда суффикс первой строки является префиксом второй строки. Для применения данного графа к промышленному объекту концевой вершине каждого подграфа рассматриваемого кластера сопоставляют метку – список, с какими вершинами она может взаимодействовать. И при выборе способа восстановления функции ориентируются на те вершины, с которых начинается выполнение функции из соседнего кластера.The vertices of the de Bruijn graph are strings of fixed length, and they are connected by an edge when the suffix of the first string is the prefix of the second string. To apply this graph to an industrial facility, the end vertex of each subgraph of the cluster under consideration is associated with a label - a list with which vertices it can interact with. And when choosing a recovery method, functions are guided by those vertices from which the execution of a function from a neighboring cluster begins.

Если между вершинами

Figure 00000007
и
Figure 00000011
была нарушена связь, вследствие чего не была выполнена функция
Figure 00000010
, то в кластере для функции
Figure 00000010
находят альтернативные пути ее реализации. Важным условием является выбор такого маршрута, при котором устройства из разных кластеров смогут взаимодействовать, и время выполнения нового маршрута будет минимальным.If between the peaks
Figure 00000007
and
Figure 00000011
communication was broken, as a result of which the function was not performed
Figure 00000010
, then in the cluster for the function
Figure 00000010
find alternative ways to implement it. An important condition is the choice of a route in which devices from different clusters will be able to interact, and the execution time of a new route will be minimal.

Пусть каждая вершина характеризуется тремя символами (обозначениями вершин): первый символ обозначает вершину, которая начинает выполнять функцию, второй символ – вершину, которая заканчивает выполнение функции, третий символ – вершину не из кластера, с которой смежна рассматриваемая вершина. Если вершина обозначена двумя символами – значит, рассматриваемая функция выполняется одним устройством (тем же, что стоит на первом месте в наименовании вершины).Let each vertex be characterized by three symbols (designations of vertices): the first symbol denotes a vertex that begins to perform the function, the second symbol denotes a vertex that ends the execution of the function, and the third symbol denotes a vertex not from a cluster with which the considered vertex is adjacent. If a vertex is designated by two symbols, it means that the function under consideration is performed by one device (the same one that is in the first place in the name of the vertex).

Использование графа де Брёйна позволяет быстро выполнять отбор подходящего сценария саморегуляции. Общая схема осуществления саморегуляции сетевой инфраструктуры промышленного объекта представлена на фиг. 2. Саморегуляцию сетевой инфраструктуры промышленных объектов реализуют следующим образом:The use of the de Bruijn Count allows you to quickly select a suitable scenario for self-regulation. The general scheme for implementing self-regulation of the network infrastructure of an industrial facility is shown in Fig. 2. Self-regulation of the network infrastructure of industrial facilities is implemented as follows:

1. Выполняют определение последовательностей функций, для которых требуется восстановить маршрут. Каждая из последовательностей начинается с функции, которая может быть реализована без восстановления маршрута. Исключение составляет случай, когда требуется полное восстановление маршрута всей целевой функции.1. Determine the sequences of functions for which the route is to be restored. Each of the sequences begins with a function that can be implemented without re-routing. An exception is the case when a complete restoration of the route of the entire objective function is required.

2. Для каждой последовательности

Figure 00000015
:2. For each sequence
Figure 00000015
:

2.1. Построение вспомогательного графа осуществляют по следующим правилам:2.1. The construction of an auxiliary graph is carried out according to the following rules:

каждый слой графа отвечает за выполнение одной из функций в последовательности

Figure 00000016
;each layer of the graph is responsible for performing one of the functions in the sequence
Figure 00000016
;

слои в графе размещены в том же порядке, что и соответствующие им функции в последовательности;the layers in the graph are placed in the same order as the corresponding functions in the sequence;

каждый слой

Figure 00000017
включает множество вершин и последовательностей вершин, принадлежащих кластеру, соответствующему функции
Figure 00000018
;each layer
Figure 00000017
includes a set of vertices and sequences of vertices belonging to the cluster corresponding to the function
Figure 00000018
;

между всеми соседними слоями кроме первого и второго строят ребра по принципу построения ребер в графе де Брёйна.between all adjacent layers, except for the first and second, edges are constructed according to the principle of building edges in the de Bruijn graph.

2.2. Из всех вершин и последовательностей вершин первого слоя выбирают ту вершину или последовательность вершин, которая реализует функцию

Figure 00000019
в текущем состоянии маршрута. Обозначают данную вершину (или, в случае выбора последовательности, последнюю вершину в последовательности) как
Figure 00000020
. Далее создают ребра между вершиной
Figure 00000020
и некоторыми вершинами второго слоя: между одиночными вершинами, которые в графе являются соседями
Figure 00000020
, и между вершинами, которые являются соседями
Figure 00000020
в исходном графе и с которых начинается последовательность вершин. В том случае, когда требуется восстановить маршрут всей целевой функции, ребра между всеми слоями строят по принципу построения ребер в графе де Брейна, первый и второй слои не являются исключением.2.2. From all vertices and sequences of vertices of the first layer, select that vertex or sequence of vertices that implements the function
Figure 00000019
in the current state of the route. This vertex (or, in the case of a sequence selection, the last vertex in the sequence) is denoted as
Figure 00000020
... Next, create the edges between the vertex
Figure 00000020
and some vertices of the second layer: between single vertices that are neighbors in the graph
Figure 00000020
, and between vertices that are neighbors
Figure 00000020
in the original graph and from which the sequence of vertices begins. In the case when it is required to restore the route of the entire objective function, the edges between all layers are built according to the principle of constructing edges in the de Bruijn graph, the first and second layers are no exception.

На данном шаге также создают два пустых множества:

Figure 00000021
– множество вершин, достижимых из первого слоя;
Figure 00000022
– множество вершин, ведущих к тупиковым путям.This step also creates two empty sets:
Figure 00000021
- the set of vertices reachable from the first layer;
Figure 00000022
- many peaks leading to dead-end paths.

2.3. До тех пор, пока не будет найден маршрут или пока не окажется, что подходящих маршрутов нет, осуществляют следующие действия:2.3. Until a route is found or until it turns out that there are no suitable routes, the following actions are performed:

2.3.1. Выполняют поиск путей, соединяющих первый и последний слои.2.3.1. Searches for paths connecting the first and last layers.

1) Помечают множество достижимых вершин (с привязкой к слою, в котором они находятся), используя поиск в глубину или в ширину, начинающийся из вершины

Figure 00000023
. Если какая-либо из вершин последнего слоя помечается, то маршрут найден. Переходят к следующей последовательности.1) Mark the set of reachable vertices (with reference to the layer in which they are located) using depth-first or breadth-first search, starting from the vertex
Figure 00000023
... If any of the vertices of the last layer is marked, then the route is found. Move on to the next sequence.

2) Выбирают наиболее длинный путь, начинающийся из первого слоя и не содержащий в себе тупиковых вершин или последовательностей вершин. Длину пути измеряют количеством слоев, через которые данный путь проходит.2) Choose the longest path starting from the first layer and not containing dead-end vertices or sequences of vertices. The length of a path is measured by the number of layers through which a given path passes.

3) Обозначают последнюю вершину в этом пути как

Figure 00000024
. Соединяют вершину
Figure 00000024
c вершиной следующего слоя, если эта одиночная вершина, которая в графе является соседней с
Figure 00000024
и не принадлежит множеству тупиковых вершин; или с этой вершины начинается последовательность вершин, не являющейся тупиковой, и эта вершина является соседней с вершиной
Figure 00000024
в исходном графе.3) Designate the last vertex in this path as
Figure 00000024
... Connect the top
Figure 00000024
with the vertex of the next layer, if this single vertex, which in the graph is adjacent to
Figure 00000024
and does not belong to the set of dead-end vertices; or from this vertex begins a sequence of vertices that is not a dead end, and this vertex is adjacent to the vertex
Figure 00000024
in the original graph.

4) Если вершину не удается соединить ни с одной из вершин следующего слоя, вершина переносится из множества достижимых вершин в множество тупиковых.4) If a vertex cannot be connected to any of the vertices of the next layer, the vertex is transferred from the set of reachable vertices to the set of dead ends.

5) Выполняют возврат к шагу 1), помечая множество достижимых вершин.5) Return to step 1), marking the set of reachable vertices.

2.3.2. Если путь не был найден, слева к графу добавляют еще один слой, соответствующий функции, предшествующей текущей рассматриваемой последовательности функций. Нумерацию слоев сдвигают (первый становится вторым и т.д.). По принципу, указанному на шаге 2.2, выбирают новую вершину

Figure 00000020
, строят ребра между первым и вторым слоями графа, строят дополнительные ребра между вторым и третьим слоем. При этом не строят ребра между остальными слоями, поскольку они уже построены ранее. Если новый слой добавить невозможно (это происходит, когда на предыдущем шаге уже был добавлен слой), соответствующий началу целевой функции, то далее действия не осуществляют, так как без внесения дополнительных модификаций в исходный граф восстановить маршрут нельзя.2.3.2. If the path was not found, one more layer is added to the left of the graph, corresponding to the function preceding the current sequence of functions under consideration. The numbering of the layers is shifted (the first becomes the second, etc.). According to the principle indicated in step 2.2, a new vertex is selected
Figure 00000020
, build edges between the first and second layers of the graph, build additional edges between the second and third layers. At the same time, they do not build edges between the rest of the layers, since they have already been built earlier. If it is impossible to add a new layer (this happens when a layer has already been added in the previous step) corresponding to the beginning of the objective function, then no further actions are performed, since the route cannot be restored without additional modifications to the original graph.

3. Объединяют обнаруженные маршруты.3. Combine the discovered routes.

На фиг. 3 представлен пример графа, моделирующего подсистему анализа энергетического промышленного объекта. Точечными стрелками представлена целевая функция

Figure 00000025
. В результате воздействия угрозы безопасности, заключающейся в выведении из строя трех компонентов (
Figure 00000026
), выполнена саморегуляция с использованием графа, представленного на фиг. 4. Новое графовое представление и новый маршрут реализации целевой функции представлены на фиг. 5.FIG. 3 shows an example of a graph that simulates the analysis subsystem of an energy industrial facility. The dotted arrows represent the objective function
Figure 00000025
... As a result of the impact of a security threat, consisting in the incapacitation of three components (
Figure 00000026
), self-regulation was performed using the graph shown in Fig. 4. The new graphical representation and the new route of the objective function implementation are presented in FIG. 5.

В итоге для любого типа угрозы безопасности при первом ее проявлении в сети инициируется саморегуляция сетевой инфраструктуры промышленных объектов при воздействии угроз безопасности. За счет сохраненного графового представления целевой функции, сформированных кластеров для каждой функции и сохраненных графов де Брёйна для связей между кластерами быстро находится решение, позволяющее восстановить нарушенную функцию, входящую в состав целевой функции. Способ позволяет перестроить инфраструктуру сети быстрее, чем развивается нарушение безопасности, и за счет этого повысить безопасность и устойчивость промышленных объектов. As a result, for any type of security threat, at its first manifestation in the network, self-regulation of the network infrastructure of industrial facilities is initiated when exposed to security threats. Due to the saved graph representation of the objective function, the formed clusters for each function and the saved de Bruijn graphs for the connections between the clusters, a solution is quickly found that allows you to restore the broken function that is part of the objective function. The method allows you to rebuild the network infrastructure faster than a security breach develops, and thereby increase the security and stability of industrial facilities.

Claims (1)

Способ саморегуляции сетевой инфраструктуры промышленных объектов при воздействии угроз безопасности, включающий перестроение сети при получении сигнала от модуля или системы обнаружения угроз безопасности, расположенных на отдельном компьютере, отличающийся тем, что для сетевой инфраструктуры промышленного объекта заранее формируют и сохраняют в базы данных, расположенные на сервере баз данных, набор функциональных последовательностей, характеризующий целевую функцию промышленного объекта, графовое представление сетевой инфраструктуры промышленного объекта, наборы связей и операций между кластерами каждой функции из набора функциональных последовательностей, полученные с использованием графов де Брёйна, многоуровневый граф, представляющий все возможные варианты реализации целевой функции, затем при получении сигнала от модуля или системы обнаружения угроз безопасности, расположенных на отдельном компьютере, о том, какой узел графа затронут сетевой атакой, составляют список нарушенных функций из набора функциональных последовательностей, выполняют поиск по сохраненным в базах данных кластерам функций, наборам связей и операций между кластерами, многоуровневому графу вариантов перестроения сетевой структуры, затем выбирают наиболее быстрый для применения вариант перестроения сетевой структуры и применяют к текущей структуре сети, затем выполняют проверку того, что целевая функция снова выполняется узлами сетевой инфраструктуры. A method of self-regulation of the network infrastructure of industrial facilities when exposed to security threats, including rebuilding the network upon receipt of a signal from a module or a security threat detection system located on a separate computer, characterized in that for the network infrastructure of an industrial facility, it is preformed and saved to databases located on the server databases, a set of functional sequences characterizing the target function of an industrial facility, a graphical representation of the network infrastructure of an industrial facility, sets of links and operations between clusters of each function from a set of functional sequences obtained using de Bruijn graphs, a multilevel graph representing all possible options for implementing the target function , then when receiving a signal from a module or a security threat detection system located on a separate computer, about which node of the graph is affected by a network attack, a list of violated functions from a set of functional sequences, search for clusters of functions stored in databases, sets of links and operations between clusters, a multi-level graph of options for rebuilding the network structure, then choose the fastest option for rebuilding the network structure to apply and apply to the current network structure, then check the fact that the target function is again performed by the nodes of the network infrastructure.
RU2020142565A 2020-12-23 2020-12-23 Method for self-regulation of network infrastructure of industrial facilities under influence of security threats RU2753169C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2020142565A RU2753169C1 (en) 2020-12-23 2020-12-23 Method for self-regulation of network infrastructure of industrial facilities under influence of security threats

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020142565A RU2753169C1 (en) 2020-12-23 2020-12-23 Method for self-regulation of network infrastructure of industrial facilities under influence of security threats

Publications (1)

Publication Number Publication Date
RU2753169C1 true RU2753169C1 (en) 2021-08-12

Family

ID=77349143

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020142565A RU2753169C1 (en) 2020-12-23 2020-12-23 Method for self-regulation of network infrastructure of industrial facilities under influence of security threats

Country Status (1)

Country Link
RU (1) RU2753169C1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7117257B2 (en) * 2002-03-28 2006-10-03 Nortel Networks Ltd Multi-phase adaptive network configuration
US8600951B2 (en) * 2001-09-18 2013-12-03 Skype Systems, methods and programming for routing and indexing globally addressable objects and associated business models

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8600951B2 (en) * 2001-09-18 2013-12-03 Skype Systems, methods and programming for routing and indexing globally addressable objects and associated business models
US7117257B2 (en) * 2002-03-28 2006-10-03 Nortel Networks Ltd Multi-phase adaptive network configuration

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
TEKINER FIRAT et al.: "Implementation and evaluation of shufflenet, gemnet and de bruijn graph logical network topologies", 2004, [найдено: 05.07.2021] Надено в: "https://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.62.3677&rep=rep1&type=pdf";. *
МАКСИМОВСКИЙ А.Ю. "О применении теоретико-групповых и комбинаторных методов мониторинга информационной безопасности сложных систем", Тринадцатая международная конференция "Управление развитием крупномасштабных систем" (MLSD’2020) Россия, Москва, ИПУ РАН, 28-30 сентября 2020 г., [найдено: 05.07.2021] Надено в: "https://mlsd2020.ipu.ru/ru/prcdngs". *
МАКСИМОВСКИЙ А.Ю.: "Спектральные и комбинаторные свойства редуцированных графов де Брейна", Вопросы кибербезопасности, 2018.N4(28), стр. 70-76 [найдено: 05.07.2021] Найдено в: "https://cyberleninka.ru/article/n/spektralnye-i-kombinatoryne-svoystva-redutsirovannyh-grafov-de-breyna". *
МАКСИМОВСКИЙ А.Ю.: "Спектральные и комбинаторные свойства редуцированных графов де Брейна", Вопросы кибербезопасности, 2018.N4(28), стр. 70-76 [найдено: 05.07.2021] Найдено в: "https://cyberleninka.ru/article/n/spektralnye-i-kombinatoryne-svoystva-redutsirovannyh-grafov-de-breyna". МАКСИМОВСКИЙ А.Ю. "О применении теоретико-групповых и комбинаторных методов мониторинга информационной безопасности сложных систем", Тринадцатая международная конференция "Управление развитием крупномасштабных систем" (MLSD’2020) Россия, Москва, ИПУ РАН, 28-30 сентября 2020 г., [найдено: 05.07.2021] Надено в: "https://mlsd2020.ipu.ru/ru/prcdngs". TEKINER FIRAT et al.: "Implementation and evaluation of shufflenet, gemnet and de bruijn graph logical network topologies", 2004, [найдено: 05.07.2021] Надено в: "https://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.62.3677&rep=rep1&type=pdf";. *

Similar Documents

Publication Publication Date Title
Shahriar et al. G-ids: Generative adversarial networks assisted intrusion detection system
CN112073411B (en) Network security deduction method, device, equipment and storage medium
CN103733590B (en) Compiler for regular expressions
Gao et al. Modeling and restraining mobile virus propagation
Seufert et al. Machine learning for automatic defence against distributed denial of service attacks
CN107682195B (en) Communication network robustness evaluation method based on combination of complex network and big data
CN101325518B (en) Supervisor peer for malicious peer detection in structured peer-to-peer networks
US11522902B2 (en) Reliability calculation apparatus, reliability calculation method and program
Mahboubi et al. Stochastic modeling of IoT botnet spread: A short survey on mobile malware spread modeling
Van Ruitenbeek et al. Modeling peer-to-peer botnets
Yeh et al. Predicting Spread Probability of Learning‐Effect Computer Virus
CN110677433A (en) Method, system, equipment and readable storage medium for predicting network attack
CN105431828A (en) System and method for detecting a compromised computing system
CN112364295A (en) Method and device for determining importance of network node, electronic equipment and medium
TW202201930A (en) Method for forecasting health status of distributed networks by artificial neural networks
Pavlenko et al. Ensuring the sustainability of cyberphysical systems based on dynamic reconfiguration
RU2753169C1 (en) Method for self-regulation of network infrastructure of industrial facilities under influence of security threats
Liu et al. Evolving robust networks using evolutionary algorithms
Sharma et al. Analysis of ddos attacks in software defined networking using machine learning
CN116938608B (en) Network security protection method and system based on mimicry defense
Alhamami et al. DDOS attack detection using machine learning algorithm in SDN network
Lavrova et al. Approach to presenting network infrastructure of cyberphysical systems to minimize the cyberattack neutralization time
KR102259732B1 (en) A honeypot deployment method on a network
Kondakci et al. Internet epidemiology: healthy, susceptible, infected, quarantined, and recovered
CN116232628A (en) Blocking or allowing a file stream associated with a file based on an initial portion of the file