Проект РФФИ на тему: «Методы исследования киберугроз, включая задачи выявления, локализации и защиты от них, в глобальных информационных системах поддержки цифровой экономики» (договор №18-29-03102\18 от 11.07.2018, договор №18-29-03102\19 от 04.09.2019, договор №18-29-03102\20 от 25.11.2020).

Руководитель: Зегжда Д.П, д.т.н., профессор РАН

В ходе реализации проекта разработаны компоненты технологии обеспечения кибербезопасности гетерогенных информационных систем поддержки цифровой экономики с помощью новых методов исследования киберугроз.

Проанализированы и систематизированы основные угрозы кибербезопасности современных глобальных инфраструктур для новых динамических распределенных систем «умной» (smart) производственной, энергетической и транспортной инфраструктуры. Установлено, что из-за особенностей современных цифровых инфраструктур и растущего объема данных, подвергающихся обработке, традиционные методы исследования и выявления киберугроз в крупных реконфигурируемых средах становятся малоэффективными. Выделена задача создания новых методов обеспечения кибербезопасности, которые отвечают актуальным потребностям: анализ и выявление новых типов киберугроз, управление безопасностью в крупной динамической инфраструктуре, обработка больших объемов данных о нарушениях и свойствах систем, глобальное представление и регулирование информационных и управляющих потоков с целью активного противодействия агрессивным воздействиям. Созданы адаптивные графовые модели типологий производственной, энергетической и транспортной информационно-компьютерных инфраструктур, разработаны методы ассоциативного графового, онтологического и многоаспектного семантического моделирования сложных систем, что обеспечило мультивариантное представление знаний о структуре, свойствах и связях «умной» инфраструктуры. Разработана методика адаптивной предобработки гетерогенных данных большого объема, включающая этапы агрегации, нормализации и типизации данных о функционировании крупных гетерогенных информационно-компьютерных инфраструктур. Для анализа защищенности систем, описанных в виде семантической сети (в рамках семантической модели представления систем), разработан метод, позволяющий представлять и анализировать знания о защищаемой системе и системе противника таким образом, что можно осуществлять логический вывод на семантических моделях и впоследствии синтезировать модули обеспечения кибербезопасности. Разработана методика автоматизированного получения информации о системах на основе OSINT-технологий (сбора данных по открытым источникам), которая была расширена методом поиска информации с динамической реформулировкой запроса и аспектным расширением семантического представления. Разработан метод интеграции мультиагентного поиска информации со средствами тестирования защищенности и с информационными Интернет-сервисами посредством добавления промежуточных интеграционных компонентов, выполняющих фильтрацию и трансляцию данных.

Разработан метод извлечения знаний из семантических моделей систем на основе сочетания интеллектуальной обработки графового представления, семантических сетей и нейронечеткого вывода. Для трансформации пространства данных разработана методика адаптивной предобработки гетерогенных данных большого объема о функционировании крупных инфраструктур. Для анализа и выявления кибератак реализован механизм оценки корреляции событий и кластеризации пространства событий безопасности. Для автоматизации когнитологических процедур построен метод обработки графового представления, который позволяет отобразить последствия кибератак на систему в виде комбинаций операций преобразования структуры графа и задействовать механизм анализа временных рядов, характеризующих поведение системы в динамике. Разработан метод автоматического выдвижения и проверки гипотез о семантических отношениях различных объектов крупных гетерогенных информационно-компьютерных инфраструктур, основанный на проверке семантических отношений между объектами и сочетающий определение взаимосвязей в больших массивах гетерогенных данных от объектов анализируемой системы и установление аналитической формы выявленных взаимосвязей. Разработан метод динамического мониторинга киберугроз на основе семантического анализа данных большого объема о функционировании систем на базе дискретного вейвлет-преобразования. Разработаны метод автоматической генерации вероятностных сценариев кибератак на основе построения графа достижимости и метод моделирования кибератак на основе генерации вероятностных сценариев для проверки автоматически сгенерированных статистических гипотез о защищенности объектов на базе адаптивного прогнозирования. Разработан метод идентификации критических объектов систем поддержки цифровой экономики на базе оценки самоподобия на графовых представлениях и анализа парных отношений, представляющих связи между узлами системы. Разработан метод автоматической идентификации киберугроз с помощью генеративных соревнующихся нейронных сетей глубокого обучения и природоподобной сборки генома на базе суффиксных деревьев, которые обеспечивают эффективность решений в условиях нехватки знаний и полиморфизма атак. Построена методика анализа рисков кибербезопасности для «умных» систем поддержки цифровой экономики, учитывающая особенности современных и перспективных киберсред и обеспечивающая получение количественных значений риска.

Разработан метод автоматической динамической количественной оценки рисков реализации киберугроз в системах поддержки цифровой экономики, которая учитывает особенности «умных» реконфигурируемых сред: типизацию устройств, взаимодействие узлов реконфигурируемой сети и изменчивость сетевой топологии. Разработан метод когнитивной визуализации киберугроз, сценариев кибератак, результатов моделирования на основе графового представления систем поддержки цифровой экономики, в т.ч. гибких сетевых киберфизических систем. На базе графового представления создан метод активной нейтрализации киберугроз на основе динамического перестроения графа системы. Метод позволяет реализовать адаптивное управление защищаемой системой на основе перестроения ее функциональной структуры с сохранением функциональности. Созданные в ходе проекта методы реализованы в виде программных средств мониторинга и нейтрализации киберугроз безопасности для подсистем управления «умных» систем. Эксперименты, проведенные с целью оценки эффективности созданных решений, показали высокую точность (до 99%) выявления кибератак, в т.ч. новых разновидностей атак, осуществляемых с использованием динамической маршрутизации, и полиморфных атак.

Полученные результаты проекта, связанные с исследованием киберугроз и анализом защищенности больших систем и комбинирующие современные технологии «больших данных», извлечения знаний, процессирования моделей, не имеют аналогов. Новизна решения для сложных инфраструктур заключается в преодолении барьеров, характерных для таких систем. Привлечение к решению задач исследования киберугроз, включая задачи их выявления, локализации и нейтрализации, когнитивных технологий, нейронечетких и нейросетевых методов, машинного обучения и методов обработки «больших данных», а также онтологического, графового и семантического моделирования безопасности, аппарата прогнозирования на знаниях о защищенности систем определяет междисциплинарный характер исследования.

Результаты проекта отражены в 60 публикациях по теме исследования, в т.ч. в 18 международных публикациях, проиндексированных в базе Scopus, 12 РИД, 1 монографии, 1 учебном пособии, представлены на 19 научных мероприятиях, включая международные конференции, семинары и выставки.