Clear Sky Science
Объяснения на основе доказательств, минимум жаргона

Clear Sky Science · ru

Подход на основе глубокого обучения для обнаружения вредоносного ПО в зарядных станциях электромобилей

· Назад к списку

Почему важно безопасность вашего зарядного устройства

Электромобили все чаще подключаются к интеллектуальным зарядным станциям, заполненным небольшими устройствами с подключением к интернету. Эти устройства делают зарядку быстрее и эффективнее, но также открывают новые пути для злоумышленников. Вредоносное ПО, проникшее в один датчик или контроллер, может вызвать каскадный эффект, угрожая электросетям, персональным данным и доступности самой зарядки. В этой статье предлагается новый метод выявления такого скрытого вредоносного ПО до того, как оно попадет в устройства внутри зарядной станции электромобиля (EV).

Figure 1
Figure 1.

Скрытые риски внутри умных зарядных устройств

Современные зарядные станции для EV опираются на экосистему устройств Интернета вещей (IoT) — умные счетчики, датчики температуры, реле и контроллеры, которые постоянно обмениваются данными с облаком и друг с другом. Если злоумышленники внедрят вредоносное ПО в любой из этих компонентов, они смогут перехватывать или подделывать данные, похищать платежную информацию или даже манипулировать нагрузкой при зарядке, чтобы дестабилизировать локальную сеть. Реальные инциденты в энергетическом секторе показывают, что компрометация промышленных устройств может отключать турбины или ставить под угрозу атомные объекты. По мере роста сетей зарядных станций обнаружение вредоносного ПО в программном обеспечении, работающем на этих различных устройствах, становится критически важной линией защиты.

Почему существующие защиты не справляются

Многие существующие детекторы IoT-вредоносного ПО анализируют только один тип процессора, например ARM или MIPS, хотя реальные сети зарядных станций используют смесь аппаратных платформ. Другие методы опираются на узкий набор данных, например на быструю «визуальную» снимок программы или простую статистику команд. Некоторые системы пытаются объединять несколько подсказок, но делают это грубо — просто соединяя признаки без понимания их взаимосвязей и значимости для конкретного образца. В результате они могут пропустить тонкие шаблоны атак или оказаться бесполезными при столкновении с новыми типами устройств или семействами вредоносного ПО.

Рассмотрение вредоносного ПО с трех сторон

Авторы предлагают статический подход к обнаружению — то есть анализ файлов программного обеспечения до их установки на устройство. Сначала они прогоняют код, скомпилированный для разных типов процессоров, через инструмент Ghidra (разработанный правительством), который переводит всё в общее «промежуточное» представление. Этот шаг устраняет аппаратные особенности, сохраняя при этом логику работы программы, что позволяет единой аналитической цепочке обрабатывать файлы для ARM, x86, MIPS и других архитектур. Затем из каждого файла система извлекает три взаимодополняющих представления: глобальную форму, статистическое представление и поведенческое представление.

В глобальном представлении сырой двоичный файл обрабатывается как длинный поток чисел и преобразуется в оттенки серого, где каждый пиксель соответствует фрагменту кода. Сверточная нейронная сеть просматривает это изображение в поисках повторяющихся текстур и компоновок, которые различаются в доброкачественном ПО и семьях вредоносов. В статистическом представлении переведенные инструкции разбиваются на короткие последовательности, частоты которых измеряются с использованием метода, заимствованного из поиска по тексту. Простая нейронная сеть анализирует эти паттерны частот, выявляя фрагменты инструкций, необычно частые в вредоносных программах. В поведенческом представлении повторяющиеся или малоинформативные шаблоны инструкций отсеиваются, а рекуррентная сеть (LSTM) читает оставшуюся последовательность инструкций как предложение, обучаясь порядку операций и выявляя более глубокую вредоносную логику.

Figure 2
Figure 2.

Смешивание подсказок с прицельным вниманием

Вместо простого объединения этих трех наборов признаков бок о бок авторы разрабатывают модель слияния, которая активно взвешивает и уточняет их. Механизм многошагового внимания, вдохновленный недавними достижениями в языковых моделях, учится определять, какой поток признаков несет наиболее убедительные доказательства для каждого образца ПО, динамически регулируя их вклад. Одномерный сверточный слой затем ищет в объединенном представлении короткие, но важные паттерны, а многоуровневый энкодер многократно смешивает и перестраивает информацию, выявляя тонкие взаимосвязи между структурными, статистическими и поведенческими подсказками. На выходе получается единый скор, указывающий, вероятно ли ПО доброкачественное или вредоносное, и к какому семейству вредоносов оно может принадлежать.

Насколько эффективен новый метод

Для проверки своей системы исследователи собрали большую публичную базу данных программ для IoT из двух широко используемых репозиториев вредоносного ПО, охватывающую пять основных типов процессоров, распространенных в инфраструктуре EV. Они сравнили множество настроек и комбинаций признаков, показав, что каждое из трех представлений вносит уникальную ценность — исключение любого из них заметно ухудшает результаты. Их полная модель с тремя представлениями и механизмом внимания превосходит несколько современных подходов, включая системы, основанные только на изображениях или графах. По всем архитектурам новый метод улучшает ключевую сбалансированную метрику точности (F1) примерно на 1,37 процентного пункта и снижает долю случаев, когда доброкачественное ПО ошибочно классифицируется как вредоносное.

Что это значит для повседневной зарядки

Для автовладельцев работа указывает на будущее, в котором программное обеспечение, работающее в зарядных станциях, проходит значительно более строгий отбор. Анализируя код с нескольких точек зрения и для разных аппаратных платформ, предложенная система может обнаруживать более широкий спектр угроз до их попадания в IoT-устройства, подключенные к сети. Хотя текущий метод ориентирован на статические файлы и может испытывать сложности с сильно обфусцированным или зашифрованным вредоносным ПО, он уже предлагает операторам сервисов и сетей зарядки мощный централизованный инструмент для поддержания цифровой надежности зарядной инфраструктуры наряду с кабелями и трансформаторами, которые мы видим на улице.

Цитирование: Xia, L., Chen, Y. & Han, L. A deep learning-based IoT malware detection approach for electric vehicle charging stations. Sci Rep 16, 10607 (2026). https://doi.org/10.1038/s41598-026-45220-x

Ключевые слова: вредоносное ПО для IoT, зарядка электромобилей, кибербезопасность, обнаружение на основе глубокого обучения, безопасность умной сети