Способ обнаружения аномалий в работе устройства умного дома на аппаратном уровне

Изобретение относится к способу обнаружения аномалий в работе устройств умного дома. Технический результат заключается в повышении надежности выявления аномалий в работе устройств умного дома. В способе формируют локальную сеть, работающую параллельно с сетью устройств умного дома, состоящую из контроллеров безопасности, при этом каждое устройство умного дома соединяют с контроллером безопасности сформированной локальной сети, а каждый из контроллеров безопасности соединяют с сервером, выполняют измерение параметров каждого контроллера безопасности, включающее в себя измерение температуры процессора контроллера безопасности, измерение тока посредством доступа к контакту общей земли контроллера безопасности, измерение напряжения посредством доступа к контакту общей земли и контакту питания контроллера безопасности, формируют датасет для обучения, представляющий собой пакет данных, состоящий из временной метки и измеренных параметров контроллера безопасности, отправляют сформированный датасет серверу, выполняют на сервере в режиме реального времени обучение модели прогнозирования возникновения аномалий на основании полученных датасетов, при этом каждому котроллеру безопасности и устройству умного дома на сервере соответствует отдельный модуль модели прогнозирования, запускают на сервере в режиме реального времени обученную модель прогнозирования для выявления аномалий в работе устройств умного дома. 1 ил.

Способ обнаружения аномалий в работе устройств умного дома, содержащий этапы, на которых:

формируют локальную сеть, работающую параллельно с сетью устройств умного дома, состоящую из контроллеров безопасности, при этом каждое устройство умного дома соединяют с контроллером безопасности сформированной локальной сети, а каждый из контроллеров безопасности соединяют с сервером,

выполняют измерение параметров каждого контроллера безопасности, включающее в себя измерение температуры процессора контроллера безопасности, измерение тока посредством доступа к контакту общей земли контроллера безопасности, измерение напряжения посредством доступа к контакту общей земли и контакту питания контроллера безопасности,

формируют датасет для обучения, представляющий собой пакет данных, состоящий из временной метки и измеренных параметров контроллера безопасности,

отправляют сформированный датасет серверу,

выполняют на сервере в режиме реального времени обучение модели прогнозирования возникновения аномалий на основании полученных датасетов, при этом каждому котроллеру безопасности и устройству умного дома на сервере соответствует отдельный модуль модели прогнозирования,

запускают на сервере в режиме реального времени обученную модель прогнозирования для выявления аномалий в работе устройств умного дома.

Изобретение относится к области компьютерных систем, а именно к обнаружению аномалий в работе устройства умного дома на аппаратном уровне.

Известен способ использования модели IoT-устройства для определения аномалий в работе устройства патент (№ RU2772072 опуб. 16.05.2022). Способ покрывает большой спектр уязвимостей в системах умного дома и IoT. Изобретение предлагает решение проблем безопасности для IoT-устройств на разных уровнях: на уровне самого устройства, уровне сети, на уровне инфраструктуры.

Способ опирается на использования модели IoT-устройства для определения аномалий в работе устройства, в котором определяют новое устройство; получают данные об устройстве для формирования профиля; создают свёртку устройства на основании профиля; выбирают из базы данных свёрток свёртку, схожую с созданной свёрткой; если существует известная модель, то используют уже известную модель поведения устройства, связанную с выбранной свёрткой, в ином случае собирают данные в профиле устройства для создания и обучения модели устройства и последующего использования обученной модели, при этом использование модели предполагает определение аномалий в работе устройства.

Данное изобретение обладает следующими недостатками:

Система слишком тяжеловесна для маломощных устройств, то есть тех устройств, у которых не хватит ресурсов поддерживать заданные конфигурации, протоколы. В связи с этим, предложенный способ невозможно внедрить в системы, работающие на более низком уровне. Устройства, связанные со сбором данных или коммуникацией, датчики, брокеры.

1. Система защиты находится внутри рабочей системы, то есть при атаке на целевую систему, будет атакована и защитная система, что снижает отказоустойчивость систем умного дома и IoT.

2. Нет аппаратной защиты, то есть если устройство подвержено к примеру «импульсной атаке по питанию» для перескока проверки пароля или других нужд злоумышленника, такую атаку невозможно определить, используя этот способ, так как устройство не изменит алгоритм вложенных в него действий.

Известен способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределённых сетевых атак (патент № RU2703329 опуб. 19.05.2022).

Основная идея предлагаемого способа заключается в том, что аномальная активность может быть обнаружена самим сетевым устройством ограниченной функциональности в режиме реального времени с помощью встроенного в его ПО классифицирующего модуля, способного выделять аномалии в признаках сетевого трафика, выходящие за пределы области признаков разрешённого сетевого взаимодействия устройства, заранее заложенной в классификаторе. Данное изобретение обладает следующими недостатками:

1. Большое количество дешёвых устройств не имеет своей операционной системы, что делает невозможным использование данного способа защиты от сетевых атак.

2. Дополнительная нагрузка на маломощные устройства не является хорошим решением, так как это увеличит износ устройства.

Известен Способ оценки степени износа IoT-устройства со стороны элемента сетевой инфраструктуры (№ RU2703329 опуб. 16.10.2019).

Способ оценки степени износа IoT-устройства со стороны элемента сетевой инфраструктуры содержит этапы, на которых: собирают данные о работе устройства; формируют отчёт о работе устройства на основании собранных данных; вычисляют степень износа устройства с помощью модели износа на основании сформированного отчёта. Далее вычисляется, выше ли степень износа порогового значения данного устройства и определяются дальнейшие действия.

Данное изобретение обладает следующими недостатком - если устройство не выходит из строя и показатели в норме, то такая система не сможет определить тенденцию к износу устройства так как ведётся работа с API устройства и сетевым трафиком, а не с фактическими показателями устройства.

Технической проблемой заявляемого изобретения является разработка способа обнаружения аномалий в работе устройства умного дома на аппаратном уровне.

Технический результат заключается в использовании параллельной системы защиты для обнаружения аномалий в работе устройств умного дома. Так как система локально отделена от основной системы умного дома, нет возможности влиять на неё и на умный дом одновременно, что повышает отказоустойчивость системы.

Решением поставленной задачи является создание локальной сети, которая будет параллельна для сети умного дома, то есть каждое устройство будет соединено с контроллером безопасности. Каждый из контроллеров безопасности будет соединён с сервером, тем самым организуется локальная сеть для анализа устройств. Далее контроллер отправляет показатели устройства на сервер. На сервере по полученным данным обучается модуль, далее вычисляются погрешности прогноза этого модуля, и он запускается для работы над этим устройством в режиме реального времени.

Изобретение поясняется на Фиг. 1, изображающей схема работы способа.

Важность работы именно с аппаратной частью контроллера обоснована тем, что информация об показателях самого устройства даст возможность обнаружить атаку на контроллер раньше, за счет анализа нагрузки устройства.

Важность решения данной задачи связана также с тем, что в промышленные области все больше добавляются умные системы датчиков, выход из строя одной области может повлечь неправильную работу целого сектора.

Основной особенностью предлагаемого способа является аппаратная оболочка вокруг системы умного дома или предприятия. Нет необходимости, иметь определённое устройство с определённым количеством памяти или внутренних возможностей, устройства не будут нагружаться в параллель своей полезной нагрузки. Так как сейчас имеется огромный рынок компаний, производящих дешёвое, низкокачественное оборудование, с постоянными обновлениями, сложно уследить и принять необходимые меры внутри системы, так как злоумышленники обладают полной информацией о таких устройствах. Но в совокупности с этим способом можно ограничить как физическое воздействие на устройства, так и многие сетевые атаки, так как это будет заметно на снимаемых показателях.

Несколько явных киберугроз контроллеров, которые с лёгкостью будут обнаружены данным способом:

- DDoS-атаки, при увеличении нагрузки на процессор, температура процессора начнёт расти.

- Смена прошивки, если через OTA контроллер был перепрошить, его сигнатура изменится.

- Импульсные атаки по питанию, фаззинг, обход пароля и др.

- Физический доступ злоумышленника к контроллеру.

Основным недостатком такого способа является необходимость определённых модулей в составе контроллера для анализа: WiFi-модуль, АЦП не ниже 10 бит.

Основной оптимизацией является использование контроллера, в котором уже есть подобные модули, тем самым уменьшив размер устройства, его потребление и определив точный порядок передачи данных.

Для анализа используются следующие показатели:

1. Температура. Для считывания температуры необходимо иметь доступ к процессору, для установки термодатчика, либо доступ к внутри процессорному термодатчику.

2. Ток. Для считывания тока необходимо иметь доступ к контакту общей земли контроллера, там будет последовательно подключён низкоомный резистор (далее шунт), что будет считывать все что уходит в землю с платы. Измеряя напряжение в точке между платой и шунтом, можно получить напряжение и высчитать потребляемый ток микроконтроллером.

3. Напряжение. Для считывания напряжения нужно иметь доступ к двум контактам, общей земле и питанию контроллера.

Каждое из устройств подразумевает TCP клиент, которые отправляет данные зашифрованными пакетами, для проверки подлинности. Пакет представляет собой сформированную строку для csv таблицы: «временная метка, параметр1, параметр2, параметр3». На сервере формируется таблица из таких строк, после чего происходит обучение модели. Каждый модуль работает отдельно от остальных, это значит, что у каждого устройства он свой и обучается отдельно от других, что позволяет расширять систему для более большого количества устройств.

Предлагается следующий способ обнаружения аномалий в работе устройств умного дома:

1. Ожидание и подключение нового устройства

2. Получение данных от контроллера

3. Верификация и преобразование данных в дата сет для обучения

4. Обучение модели прогнозирования состояния и проверка погрешности

5. запуск модели для анализа устройства

Таким образом, разработанный способ обеспечивает безопасность любым маломощным устройствам без нагрузки на само устройство.

В итоге разработанная система в будущем поможет унифицировать все маломощные, дешёвые устройства и дать возможность использовать их в больших промышленных зонах без риска производственных аварий или возможных негативных событий при их эксплуатации.