Разработка интеллектуальных методов адаптивного управления механизмами защиты и исследование алгоритмов анализа потоков событий инцидентов безопасности в сети провайдеров телекоммуникационных услуг
Проект № МК-860.2019.9
Руководитель — Парфёнов Д.И.
Фундаментальной научной проблемой, на решение которой направлен проект, является повышение эффективности обеспечения безопасности на основе адаптивного управления механизмами защиты и анализа потоков событий и инцидентов безопасности в сети провайдеров телекоммуникационных услуг. В настоящее время активно развивается рынок предоставления телекоммуникационных услуг.
На втором этапе выполнения НИР в 2020 году решен ряд вопросов, затрагивающих разработку алгоритмического и программного обеспечения для выявления угроз безопасности и защиты от кибератак в инфраструктуре сети провайдеров телекоммуникационных услуг. формализацию математического аппарата и разработку инфраструктурных алгоритмических решений, направленных на решение задачи обеспечения безопасности на основе анализа потоков событий из различных компонент сети провайдеров телекоммуникационных услуг.
В рамках данного исследования было осуществлено развертывание прототипа Прототип гибридной мультиоблачной платформы анализа и управления потоком событий и инцидентов безопасности для выявления угроз и защиты от кибератак в инфраструктуре сети провайдеров телекоммуникационных услуг. Кроме того, разработан набор теоретических моделей и алгоритмических решений, который включает в себя:
1) модель резервирования и распределенного верифицируемого хранения конфигураций и параметров SLA сервисов NFV, событий и инцидентов безопасности, создание критериев оценки эффективности работы гибридной мультиоблачной платформы анализа и управления потоком событий и инцидентов безопасности;
2) модель разграничения доступа к структурным компонентам и функциям сети провайдера телекоммуникационных услуг и алгоритма для определения зависимостей между событиями безопасности с целью выявления комплексных инцидентов безопасности;
3) алгоритм проведение анализа угроз безопасности, уязвимостей, возможных атак, нарушителей для типовых многопользовательских информационных систем;
4) алгоритм разграничения доступа к функциям гибридной мультиоблачной платформы анализа и управления потоком событий и инцидентов безопасности, алгоритм обработки потока событий инцидентов безопасности.
В основу разработанных модели идентификации атаки узла положено определение типового профиля атаки. Профиль атаки, как правило, включает в себя формирование целой цепочки узлов, связанных одной и той же атакой. Такой процесс требует значительных вычислительных ресурсов. Тем не менее, в системах мониторинга ресурсов уже есть необходимые профили легитимного поведения трафика, а также присутствуют исторические записи зафиксированных атак, на базе которых можно построить профили нелегитимного поведения трафика в сети.
Выявление атак предложено проводить на основе отслеживания изменения основных характеристик сетевых узлов. В этой работе предложено использовать распределенную схему обнаружения, основанную на классификаторах Extreme Learning Machine (ELM), которая использует ресурсы GPU, доступные через облачный сервис, для трудоемких и дорогостоящих в вычислительном плане задач обучения классификаторов.
Одним из подходов к диагностике критических состояний сети с точки зрения кибербезопасности является постоянный анализ системных журналов в режиме реального времени, поскольку информация, имеющаяся в данных журналах, отражает состояние системы, ее ресурсы, а так же происходящие в ней события. В рамках НИР раработан модуль обнаружения и идентификации кибератак в мультиоблачной инфраструктуре сети провайдеров телекоммуникационных услуг, основанный на работе алгоритмов адаптивных нейро-нечетких сетей ANFIS. На базе различных представлений нечетких правил ANFIS выполняет классификацию входящего трафика сети для идентификации различных инцидентов кибербезопасности. Система нейронечеткой классификации ANFIS в целом показала хорошую точность и обобщающую способность относительно многослойного классификатора персептрона, однако алгоритм ExtraTree в свою очередь показал преимущество согласно F-мере, так как является ансамблевым методом и позволяет сравнивать результаты на различных подвыборках.
В результате реализации НИР опубликовано 10 печатных работ, включая 4 статьи в изданиях, индексируемых в Scopus, 1 статья издании индексируемом в международной информационно-аналитической системе научного цитирования Web of Science, 1 статья в рецензируемом журнале, входящем в перечень ВАК, 4 статьи сборниках международных и всероссийских научных конференций, индексируемых в РИНЦ, а также получено 1 свидетельство о регистрации программы для ЭВМ в ФИПС.
Последнее обновление: 11.01.2021
Ответственный за информацию:
Болдырев Петр Алексеевич, управление научной и инновационной деятельности, начальник управления
(тел.91-21-38)
