Разработка интеллектуальных методов автоматизированного обнаружения и предотвращения распределенных сетевых атак и их реализация в современных системах облачных вычислений
- Номер контракта: 07.514.11.4048
- Приоритетное направление: Информационно-телекоммуникационные системы
- Критическая технология: Технологии и программное обеспечение распределенных и высокопроизводительных вычислительных систем
- Период выполнения: 06.10.2011 — 04.10.2012
- Исполнитель: Федеральное государственное бюджетное учреждение науки Институт программных систем им. А.К. Айламазяна Российской академии наук (ИПС им. А.К. Айламазяна РАН)
- Ключевые слова: сетевые атаки, облачные вычисления, архитектура, экспериментальный образец, модуль, автоматная модель, генетическая настройка, нейронные сети, корреляция, метрика, эксперимент, обнаружение вторжений, классификатор, комитет
1. Цель исследования, разработки
1.1.Формулировка задачи/проблемы, на решение
которой направлен проект.
Проект направлен на решение проблемы повышения безопасности современных
систем облачных вычислений за счет создания системы обнаружения и
предотвращения как классических, так и распределенных сетевых атак.
Повышение эффективности систем обнаружения вторжений обеспечивается за
счет использования интеллектуальных методов, что приводит к сокращению
эксплуатационных затрат на разработку и обслуживание средств обеспечения
безопасности при создании защищенных облачных систем
1.2. Формулировка цели реализованного
(реализуемого) проекта
Целью реализованного проекта является создание конечного продукта в виде
экспериментального образца "Интеллектуальная система для обнаружения и
предотвращения сетевых атак на распределенные вычислительные системы"
ориентированного на повышение эффективности защиты облачных систем
различного назначения.
2. Основные результаты проекта
1) Краткое описание основных полученных результатов
К основным теоретическим результатам можно отнести:
1) двухуровневую архитектуру модульной программной системы "ЭО ИПС" c обнаружением на первом уровне факта атаки и распознаванием типа атаки на втором; 2) новый класс алгоритмов обнаружения сетевых атак с помощью генетически обучаемых конечных автоматов, которые характеризуются приемлемым временем, затрачиваемым на обучение, отсутствием необходимости в экспертных знаниях, высокой скоростью и точностью обнаружения факта сетевых атак, возможностью дообучения на выборках; 3) комитет классификаторов на основе: метода опорных векторов, нейронной сети прямого распространения, расстояния Евклида-Махаланобиса и корреляционного анализатора, наиболее полно учитывающий современные тенденции построения интеллектуальных систем, обладающий высокой точностью и полнотой обнаружения сетевых атак; 4) ранжирование признаков по степени информативности на основе выполненного корреляционного анализа.
К основным экспериментальным результатам можно отнести:
1) анализ информативности признаков, позволивший выделить для каждой атаки минимально необходимый по объему упорядоченный набор признаков; 2) экспериментальные исследования качества работы отдельных программных модулей системы "ЭО ИПС", подтвердившие эффективность их функционирования; 3) создание стенда и проведение экспериментов по отражению типовых атак, произведенных типовыми генераторами с блокировкой атакующего на основе модуля реакции, подтвердившие работоспособность системы в целом.
2) Основные характеристики созданной научной продукции
Достигнуты характеристики, превышающие лучшие показателей в этой области: 1) построенные на основе генетического подхода автоматы имеют приемлемое время обучения на выборке из полумиллиона записей сетевой активности (порядка 10 часов или 1000 эпох обучения) и достаточно хорошо распознают как обучающую, так и тестовую выборки; 2) классификатор на основе метода опорных векторов имеет точность и полноту распознавания, близкой к 100%, причем время сходимости алгоритма обучения на порядок ниже времени алгоритма обучения нейронной сети; 3) в целом "ЭО ИПС" обеспечивает: повышение безопасности современных систем облачных вычислений; повышение точности работы систем обнаружения вторжений, за счет использования интеллектуальных методов, что приводит к сокращению эксплуатационных затрат на разработку и обслуживание; информационную защищенность и конкурентоспособность отечественных ГРИД-систем.
3) Оценка элементов новизны научных решений
Новизной обладают предложенный метод обнаружения и распознавания атак на базе комитета классификаторов, включающего новую метрику, распознающие автоматы модели, метод опорных векторов, инструмент корреляции и нейронные сети. Новизной в целом обладает архитектура и предложенные технические решения по реализации программных модулей, что в целом позволяет претендовать на новую полезную модель. Полученные решения соответствуют мировому уровню средств защиты информации от сетевых атак, что подтверждено экспериментальными исследованиями, проведенным патентным исследованием и анализом литературных источников
4) Сопоставление с результатами аналогичных работ
"ЭО ИПС", в отличие от ряда многих известных систем защиты облачных сред: TippingPoint Intrusion Prevention System, Cloud Security Platform, Cloud SSO, O3 Cloud Identity and Access Control, непосредственно ориентирован на защиту облачных вычислений от сетевых атак, в то время как, другие системы в основном ориентированы на обеспечение защиты пользовательской информации. Следует отметить, что: ни одна из рассмотренных систем не поддерживает функции в полном объеме; разрабатываемая "ЭО ИПС" близка по своим функциям к технологии TrippingPoint, однако, не использует аппаратных решений, что может снизить затраты на внедрение по сравнению с аналогами.
3. Охраноспособные результаты интеллектуальной деятельности (РИД), полученные в рамках исследования, разработки
В результате разработана программа для ЭВМ и построена единая технология на основе ноу-хау. Получено Свидетельство о государственной регистрации программы для ЭВМ № 2012617808 от 29 августа 2012 г. «Интеллектуальная система для обнаружения и предотвращения сетевых атак на распределенные вычислительные системы (ИПС "Заслон")».
4. Назначение и область применения результатов проекта
1) Описание областей применения полученных результатов
В качестве областей применения полученных результатов отметим, прежде всего, защиту распределенных систем космического и военного назначения, отказ которых может вызвать катастрофические последствия. Другим применением является защита Грид-систем в различных гражданских приложениях, в том числе мощных компьютерных систем и сетей ВУЗов и Институтов РАН. В настоящее время результаты частично используются в распределенной сети ИПС им. А.К. Айламазяна РАН, являющегося организацией-исполнителем проекта.
2) Описание практического внедрения полученных результатов и перспектив
Разработанные алгоритмы функционирования "ЭО ИПС" могут быть рекомендованы для использования в институтах РАН и отраслевых НИИ при разработке различных перспективных программных комплексов сетевой безопасности. Полученные результаты могут применяться для защиты суперкомпьютеров как отечественного, так и зарубежного производства. Результаты работы используются в ИПС им. А.К. Айламазяна РАН для защиты экспериментальных кластерных установок. Они также могут быть использованы для защиты систем облачных вычислений в организациях космической отрасли, например, НИИ КС, ОАО "Российские космические системы". Перспективно расширение сферы услуг, предоставляемых различным пользователям в виде ресурсов защищенных виртуальных машин.
3) Оценка влияния результатов на развитие научно-технических направлений
Полученные результаты работы способствуют развитию таких научных направлений как теория распознающих автоматов, теория построения комитетов большинства, методы классификации, теория построения сложных технических систем. Они вносят определенный вклад в развитие методов искусственного интеллекта, включая, нейронные сети, генетические алгоритмы, интерфейсы с когнитивной графикой и др.
5. Эффекты от внедрения результатов проекта
1) Описание ожидаемых социально-экономических и др. эффектов
Полученные результаты позволят повысить производительность труда системных администраторов, т.к. помогают в полуавтоматическом и автоматическом режимах принимать адекватные меры по информационной защите. Согласно отчету лаборатории PandaLabs компании Panda Security, объемы возникновения вредоносного программного обеспечения в 2011 году достигли 26 миллионов образцов. Эффектом от внедрения результатов проекта явится паритет между вредоносным программным обеспечением и средствами защиты облачных систем, достигаемый за счет создания качественно новых алгоритмов и технологий.
6. Формы и объемы коммерциализации результатов проекта
1) Существующие или возможные формы коммерциализации полученных результатов:
Коммерциализация проектом не предусмотрена. Тем не менее, разрабатываемые программные средства должны быть ориентированы на коммерческое применение. Годовые темпы прироста доходности рынка информационной безопасности остаются практически постоянными и составляют около 24%. Целесообразно создание новой крупной отечественной компании, способной решить проблему защиты от сетевых атак для преодоления имеющейся монополии на рынке информационной безопасности.
2) Описание видов новой и усовершенствованной продукции (услуги)
Развитие облачных систем позволяет применять разработанные технологии интеллектуальных сетей для предоставления услуг, обеспечения безопасности, а также для маркетингового обеспечения. На рисунке показана ожидаемая динамика реального дохода от продаж систем защиты
Возможности предоставления услуг заключаются в выполнения заказов на создание средств защиты; возможности послепродажного обслуживания; возможности разработки новой продукции; организации продаж и демонстрации товаров; владении технологией, представляющей РИД, полученную в результате выполнения НИР. Рекомендуемое незначительное снижение цены на услуги, по сравнению с рыночной ценой, может дать существенное конкурентное преимущество.