XVIII Международная студенческая научная конференция Студенческий научный форум - 2026

Введение

Современные технологии развиваются так, что встроенные системы управления стали основой для работы важнейших объектов инфраструктуры. Они отвечают за безопасность полетов, управление энергосетями, движение беспилотных автомобилей и даже за работу имплантируемых медицинских приборов. Все перечисленные системы работают в реальном времени. Это накладывает жесткое условие: результат должен быть не только правильным, но и вовремя. Если система не успела — считай, что ошиблась.

Сегодня развитие технологий сталкивается с серьезным противоречием: с одной стороны, алгоритмы становятся все сложнее, с другой — встроенные системы жестко ограничены по вычислительной мощности, памяти и энергопотреблению. В таких условиях особенно остро встает проблема обеспечения целостности потока управления. Это фундаментальное свойство гарантирует, что программа выполняется именно так, как задумано, не отклоняясь от легитимного пути. Нарушение этого свойства — будь то из-за случайного сбоя или целенаправленной атаки — ведет к потере контроля над системой и может спровоцировать катастрофические последствия в реальном мире [1].

Цель исследования

Целью настоящей работы является комплексный анализ современного состояния проблемы обеспечения CFI в критически важных встроенных системах реального времени, систематизация угроз и методов защиты, а также выявление ключевых нерешенных задач, определяющих направления для разработки новых, более эффективных решений.

Материал и методы исследования

Материалом для исследования послужили фундаментальные и прикладные работы в области надежности встроенных систем, теории реального времени, архитектуры вычислительных систем и защиты от сбоев, опубликованные в период 2005-2025 гг. Методологическую основу составили методы системного анализа, сравнительного анализа и научной классификации, позволившие структурировать ландшафт угроз и эволюцию подходов к обеспечению целостности потока управления.

Результаты исследования и их обсуждение

Концепция контроля целостности потока управления, введенная в статье [2], прошла путь от простого контроля статического графа потока управления до сложных адаптивных моделей. Первоначальный подход предполагал создание статического графа и последующую проверку соответствия реального пути выполнения этому графу во время исполнения. Главная трудность при разработке таких методов — совместить детальность контроля с экономией вычислительных ресурсов. Сегодня перспективным направлением считаются гибридные модели, которые комбинируют статический анализ и динамическую проверку с учетом изменчивого поведения программ [3]. Отдельно стоит отметить модель «теневого стека» — она надежно защищает обратные переходы ценой дополнительного расхода памяти.

Спектр угроз для целостности потока управления сегодня существенно шире, чем классические атаки вроде ROP или JOP. Как показывают исследования последних лет, серьезную опасность представляют, например, множественные сбои в памяти микроконтроллеров: в некоторых случаях на них приходится до 40% всех отказов SRAM, и традиционные механизмы коррекции ошибок здесь уже не справляются [4]. Не менее тревожна ситуация на микроархитектурном уровне: атаки типа Spectre-BTI, ранее считавшиеся проблемой мощных процессоров, теперь успешно адаптируются для систем реального времени на ядрах ARM Cortex-M, открывая новые возможности для вмешательства в поток управления через спекулятивное исполнение команд [5].

Отдельную категорию представляют атаки на цепочки поставок, компрометирующие аппаратные IP-ядра и инструменты разработки на самом фундаментальном уровне. Исследования показывают, что до 15% коммерчески доступных IP-ядер могут содержать недокументированные функциональные возможности, которые могут быть использованы для нарушения целостности потока управления [6].

Критический обзор существующих подходов выявил их системные ограничения. Программные методы, несмотря на прогресс в снижении дополнительных вычислительных затрат до 15-20% [2], остаются проблематичными для систем жесткого реального времени из-за непредсказуемого роста наихудшего времени выполнения, который может достигать 40%. Кроме того, требования к памяти увеличиваются на 10-25% из-за хранения таблиц допустимых переходов. Аппаратные расширения демонстрируют высокую эффективность с дополнительными затратами менее 3-5%, однако они недоступны для массовых микроконтроллеров и увеличивают стоимость систем [5]. Проблема усугубляется наличием уязвимостей в гибридных архитектурах, где интерфейсы между программными и аппаратными компонентами могут создавать окна для атак [7]. Гибридные подходы, включая избирательную защиту, являются наиболее перспективным направлением. Подход, основанный на динамической адаптации уровня защиты в зависимости от критичности текущего контекста выполнения, позволяет снизить общие дополнительные затраты до 4-8% при сохранении адекватного уровня защиты [8].

Обеспечение целостности потока управления на уровне загрузчиков и в гетерогенных архитектурах — отдельная сложная задача. На ранних этапах загрузки защитные механизмы практически отсутствуют, что превращает их в критическую точку атаки. Наибольшую опасность представляют атаки на этапы инициализации аппаратуры, когда злоумышленник может вмешиваться в низкоуровневую настройку процессора. Ситуация осложняется тем, что ядра системы не равны по уровню доверия, и согласовать их безопасную работу трудно. Выход видят в адаптивной защите: механизмы безопасности включаются поэтапно, по мере готовности аппаратуры, и на каждом этапе действуют свои правила контроля [9].

Таблица 1. Сравнительный анализ методов обеспечения CFI

Метод / Технология	Производительность	Влияние на детерминизм	Потребление памяти	Доступность для массовых МК
Программные	Средний (15-25%)	Высокое, непредсказуемое	Высокое	Высокое
Аппаратные	Низкий (<3-5%)	Низкое, предсказуемое	Низкое	Низкая
Гибридные	Средние (10-15%)	Низкое	Среднее	Очень низкая
Избирательная защита	Низкий (4-8%)	Среднее, анализируемое	Среднее	Среднее

Заключение

Проведенный анализ позволяет сформулировать ключевые нерешенные научные проблемы в области обеспечения целостности потока управления для критических встроенных систем.

• Проблема детерминированных временных затрат. До сих пор не существует методов, которые гарантировали бы предсказуемое и ограниченное время выполнения проверок целостности и при этом позволяли бы интегрировать эти проверки в модели анализа наихудшего времени выполнения для систем жесткого реального времени. То, что есть сегодня, работает плохо: одни решения не обеспечивают нужной детерминированности, другие добиваются ее ценой неприемлемого усложнения системы.

• Проблема ресурсной эффективности. Необходимость создания легковесных методов защиты, соизмеримых по затратам с возможностями массовых микроконтроллеров без использования дорогостоящих аппаратных расширений. Современные подходы либо требуют значительных ресурсов, либо обеспечивают недостаточный уровень защиты.

• Проблема архитектурной адаптивности. Дефицит гибких решений, легко переносимых между различными архитектурами и не требующих глубокой модификации инструментальных цепочек разработки.

Таким образом, обоснована актуальность разработки нового легковесного гибридного метода обеспечения целостности потока управления. Такой метод должен сочетать высокий уровень гарантий защиты от современных полиморфных угроз со строгим соблюдением требований к детерминизму реального времени и минимальным потреблением вычислительных ресурсов и памяти, что и станет целью дальнейших исследований. Перспективным направлением представляется разработка метода избирательной защиты на основе анализа критичности программных компонентов, интегрируемого в стандартные инструментальные цепочки разработки встроенного программного обеспечения.

Список литературы

1. Rimsa, A. Practical dynamic reconstruction of control flow graphs / A. Rimsa, J. Nelson Amaral, M. Cintra // Software: Practice and Experience. – 2021. – Vol. 51, № 2. – P. 353-371.

2. Abadi, M. Control-flow integrity / M. Abadi, M. Budiu, Ú. Erlingsson // Proceedings of the 12th ACM conference on Computer and communications security. – 2005. – P. 340-353.

3. Burow, N. SoK: Shining Light on Shadow Stacks / N. Burow, X. Zhang, M. Payer // Proceedings of the 2019 IEEE Symposium on Security and Privacy (SP). – 2019. – P. 985-999.

4. Chatzidimitriou, A. Multi-bit upsets vulnerability analysis of modern microprocessors / A. Chatzidimitriou, G. Papadimitriou, D. Gizopoulos // Proceedings of the 2019 IEEE International Symposium on Defect and Fault Tolerance in VLSI and Nanotechnology Systems (DFT). – 2019. – P. 1-6.

5. Bălucea, R. Software mitigation of RISC-V Spectre attacks / R. Bălucea, P. Irofti // Proceedings of the 2023 International Conference on Information Technology (ICIT). – 2023. – P. 1-6.roceedings of the 2024 IEEE Symposium on Security and Privacy. – 2024. – P. 156-170.

6. Барабанов, А.В. О систематике информационной безопасности цепей поставки программного обеспечения / А.В. Барабанов, А.С. Марков, В.Л. Цирлов // Безопасность информационных технологий. – 2019. – Т. 26, № 3. – С. 7-16.

7. Zhang, J. DeepCheck: A non-intrusive control-flow integrity checking based on deep learning / J. Zhang, W. Chen, Y. Niu // arXiv preprint. – 2019.

8. Kumar, P.D. Hybrid analysis of executables to detect security vulnerabilities / P.D. Kumar, A. Nema, R. Kumar // Proceedings of the 2nd India Software Engineering Conference (ISEC '09). – 2009. – P. 99-100.

9. Davi, L. HAFIX: Hardware-Assisted Flow Integrity Extension / L. Davi, P. Koeberl, A. Sadeghi // Proceedings of the 52nd Annual Design Automation Conference (DAC '15). – 2015. – Article No. 74, P. 1-6