Разработка алгоритмов и программных решений выявления сетевых атак на облачные вычислительные системы и защиты от них, основанных на интеллектуальном анализе поведения пользователей и паттернов трафика сверхвысоких объемов
Ключевые слова сетевые атаки, DDOS атаки, защита информации, детектирование сетевых угроз, облачные вычисления, защита данных в облаке, модель угроз данным, анализ сетевого трафика, анализ данных, Марковские модели, нейросети, распознавание образов, машинное обучение, самообучение. network attacks, DDOS, information security, network threat detection, cloud computing, cloud data protection, threats data model, network traffic analysis, data networks, Markov networks, pattern recognition, machine learning, self-learning, data analysis
Цель проекта Целью проекта является предоставление организациям занимающимся разработкой вычислительных облачных систем новых эффективных методов повышения информационной безопасности, предотвращения сетевых угроз, существенно расширит применение вычислительных облаков и снизит потери их пользователей, а также откроет возможность создания и широкого применения отечественных вычислительных облачных систем. Для достижения этой цели будет выполнена разработка комплекса программно-технических решений, направленного на создание программного комплекса (ПК), обеспечивающего: 1) выявление сетевых атак методами обнаружения отклонений в трафике сверхбольших объемов, поступающем с пограничных маршрутизаторов сети передачи данных, обнаружении нехарактерного поведения пользователей; 2) защиту от сетевых атак типа получения несанкционированного доступа к информации и сервисам, отказ в обслуживании. 3) выявление угроз и рисков информационной безопасности в облачной вычислительной среде на основе анализа поведения пользователей c использованием современных быстродействующих методов анализа данных.
Описание проблемы, обоснование актуальности исследований
Защита информации от сетевых атак остается важнейшей проблемой информационной безопасности систем вычислительных облаков и других систем обработки данных (СОД) и систем хранения данных (СХД). Сегодня имеются стандартные средства информационной безопасности применимые в облачной среде: 1) Средства идентификации и аутоинфекции пользователей. 2) Ограничения и разграничения для пользователей прав доступа, объемов трафика и т.д. 3) Шифрование данных. 4) Программно-аппаратная защита низкого уровня. 5) Участие оператора в особых случаях (ручное управление).
Указанные средства необходимы для обеспечения информационной безопасности в облачной среде и в СХД, но недостаточны. В вычислительных облаках, СХД и крупных корпоративных сетях имеется возможности выявления атак на основе анализа объёмов трафика и поведения пользователей, но при этом требуется организовать анализ большого объем данных почти в реальном времени.
Анализ трендов направления распознавания подозрительного поведения пользователей недостаточно говорит про информационную безопасность данных в облачных средах и СХД, в основном про паттерны поведения пользователей в сети и связанные с этим риски – спам, накручивание лайков, фэйк-репосты, и т. п.
Аналоги предлагаемой разработки
Компания Elastica (https://www.elastica.net/detect) куплена Blue Coat, входящий в состав крупнейшей в мире компании занимающейся продуктами по IT безопасности Symantec. Для каждой процедуры, выполняемой пользователем в облаке, вычисляется уровень риска (ThreadScore™), вычисленного на основе машинного обучения и самообучения. Далее на основе уровней риска возможно программирование политик безопасности. Доступна только как SAAS (облачный сервис), и не доступна для установки на высокопроизводительные локальные СХД, математический аппарат не документирован, не годится для использования в российских облаках, так как будет требовать передачу информации на зарубежные сайты.
Система LANeye (LANeye Network Intrusion Detection and Prevention Software, http://www.laneye.com/software/how-laneye-works/suspicious-logon-detection.htm) анализирует трафик пользователя по пре-детерминированным правилам (например, сравнение активности с прошлой сессией) не является обучаемой, не анализирует признаки поведения не связанные с сетевой активностью.
В данной работе предполагается создание самообучаемой системы выявления сетевых атак и защиты от них, которую можно использовать в вычислительной облачной среде, а также в различных СХД и корпоративных сетях.
Задачи и возможные пути их решения
Основными задачами проекта являются: 1) Выбор направления исследований в области алгоритмов выявления сетевых атак и программных решений зашиты от них 2) Исследование архитектуры облачных вычислительных сред и архитектуры систем информационной безопасности этих систем. 3) Разработка алгоритмов выявления сетевых атак на основе методов машинного обучения. 4) Определение схемы взаимодействия подсистем выявления и защиты от сетевых атак между собой, c другими облачными сервисами и с пользовательским приложениями. 6) Разработка моделей угроз информационной безопасности в облачной среде 7) Разработка моделей динамики объёмов трафика. 8) Разработка методов динамического построения моделей поведения пользователей 9) Построение обучающих выборок для обучения алгоритмов выявления сетевых атак. 10) Разработка экспериментального образца программного комплекса (ЭО ПК) обнаружения угроз безопасности информации и защиты от них.
Предлагается исследовать возможность применения метода прогноза риска транзакции на основе методов самообучения, в частности синтеза и последующей идентификации скрытых Марковских моделей с применением искусственных нейронных сетей. Эти модели моделируют причинно-следственные связи между факторами, которые могут приводить к конечной классификации поведения пользователя как «атака» с большей точностью, чем классические методы статистического обучения.
Сети Маркова при заданной постановке задачи могут рассматриваться как один из вариантов скрытых Марковских моделей с непрерывным временем, которые используют оценки базовых признаков поведения пользователя в качестве наблюдаемых параметров. Марковские модели фактически выступают в роли одной из особых разновидностей нейронных сетей.
В ходе решения задачи обычно решаются две основные задачи: − по выборке наблюдаемых поведенческих характеристик составить спектр наиболее вероятных Марковских моделей, представляющих модели «безопасных» поведений и моделей «атак», как структуру взаимосвязанных действий, включая множество состояний, соответствующих различным действиям предшествующим совершению атаки, возможные переходы между ними и их количественные характеристики (задача синтеза). − по Марковской модели с заданными параметрами, состояния которой представляют различные действия, и последовательности наблюдаемых действий пользователя определить наиболее вероятную модель поведения («норма» или один из видов атаки) (задача идентификации); Данный подход успешно зарекомендовал себя в одной из самых чувствительной к возникновению особых ситуаций прикладной области – авиационной технике.
Возможный метод решения задач детектирования сетевых атак:
Разрабатываемый ПК получает в качестве исходных данных информацию: 1) о профилях пользователей, 2) об объёме трафика пользователей, 3) о действиях пользователей. ПК выполняет расчет статистических характеристик трафика для отдельных пользователей и для групп пользователей, построение динамических моделей объемов трафика и сохранение статистических характеристик и параметров моделей в базе данных. ПК осуществляет построение динамических моделей поведения пользователей и групп пользователи, на основе комплексный анализ данных о действиях пользователей, профилях пользователей и результатов анализа объёмов трафика пользователей. ПК выполняет детектирование угроз информационной безопасности на основе анализа согласования динамических моделей объемов трафика и динамических моделей поведения пользователей с данными объёмах трафика и поведении пользователей. ПК осуществляет защиту от сетевых атак путем: — оповещение системы управления сетью; — блокирование соединения; — блокирование записей пользователей; — блокирование отдельных сервисов;
Ожидаемые результаты
Основные ожидаемые результаты проекта: Алгоритмы: выявления сетевых атак, основанные на обнаружении отклонений в трафике сверхбольших объемов, поступающем с пограничных маршрутизаторов сети передачи данных, и на обнаружении не характерного поведения пользователей; защиты от сетевых атак типа: получения несанкционированного доступа к информации и сервисам, отказ в обслуживании. Программный комплекс обнаружения (ПК) угроз безопасности информации и защиты от них созданный на основе разрабатываемого комплекса программно-технических решений. Данный ПК может быть в частности внедрен в состав системного ПО вычислительного облака.
Области применения, способы использования ожидаемых результатов
Основная область ожидаем результатов – облачные вычислительные сети. В данной области результаты проекта будут использованы для противодействия информационным угрозам. Результат могут быть также применены в системах безопасности крупных корпоративных сетей, СХД и СОД.
Возможные потребители ожидаемых результатов
Основной путь доведения до потребителей ожидаемых результатов заключается в лицензировании результатов индустриальному партнеру проекта. Индустриальный партнер проекта — российская компания ООО «КНС Групп» (торговая марка YADRO, входит в группу компаний Национальной компьютерной корпорации http://www.ncc.ru/structure/, www.yadro.com), осуществляющая разработку и производство аппаратных средств: вычислительных систем и систем хранения данных; разработку системного ПО. По результатам пилотных проектов на реальных данных Индустриального партнера будет осуществлена интеграция созданного ЭО ПК в продукты Индустриального партнера. Кроме того, по условиям соглашения с Индустриальным партнером ООО «ПАВЛИН Техно» сможет использовать результаты РИД для дальнейших самостоятельных исследований и формирования новых продуктовых предложений (самостоятельных или с другими индустриальными партнерами).
Основные потребители: 1) Индустриальный партнер сможет использовать результаты ПНИЭР в составе системного ПО, обеспечивающего функционирование вычислительных сетей. 2) Операторы облачных вычислительных сетей смогут использовать результаты ПНИЭР для создания и развития служб информационной безопасности. 3) Любые организации, использующие вычислительные облака для хранения и обработки корпоративных данных будут конечными потребителями результаты ПНИЭР. 4) Любые крупные организации при организации системы безопасности корпоративных сетей.
Научный руководитель проекта
Научный руководитель проекта Куравский Лев Семенович — доктор технических наук, профессор, декан факультета информационных технологий Московского городского психолого-педагогического университета, заведующий кафедрой прикладной информатики и мультимедийных технологий факультета информационных технологий МГППУ, лауреат премии Правительства Российской Федерации в области образования (2011).