В ходе проекта создается комплекс программно-технических решений, направленный на выявление сетевых атак методами обнаружения отклонений в трафике сверхбольших объемов, поступающем с пограничных маршрутизаторов магистральных сетей Интернет, и на защиту от сетевых атак типа отказ в обслуживании, атак уровня приложений.
Ключевые задачи проекта:
1. Теоретические мультидисциплинарные исследования существующих методов обнаружения угроз безопасности и защиты от них. Для решения этой задачи должен быть выполнен аналитический обзор научных и информационных источников, затрагивающих проблему, исследуемую в рамках проекта, в том числе, статьи в ведущих зарубежных и российских научных журналах, монографии, патенты. Должны быть проведены патентные исследования в соответствии ГОСТ Р 15.011-96. Это позволит систематизировать существующие методы обнаружения и предотвращения сетевых атак, провести их сравнительную оценку и обосновать предлагаемые методы предотвращения сетевых атак с использованием технологии «больших данных» и эвристического анализа.
2. Разработка методов сбора и предварительной обработки сверхвысоких объемов трафика магистральных сетей Интернет для высокопараллельного анализа. Для обработки сетевого трафика должны быть использованы методы «больших данных», обеспечивающие сокращение размерности трафика, его классификацию, эффективное хранение и анализ, при этом должна обеспечиваться обработка сетевого трафика на многопроцессорном кластере.
3. Разработка методов предотвращения сетевых атак на основе технологии «больших данных» и высокопараллельного эвристического анализа. Для эффективного обнаружения сетевых атак с возможностью параллельной обработки должны быть разработаны новые эвристические методы, позволяющие с высокой точностью находить и контролировать инварианты трафика магистральных сетей на различных временных интервалах. Это позволит получить максимально широкий спектр знаний о сетевом трафике и обеспечит точное обнаружение аномалий. Предлагаемый в ПНИЭР подход основан на вычислении мультифрактальных и вейвлет-эвристик. Это связано с тем, что большие объемы сетевого трафика обладают свойством самоподобия, причем периодичностью могут обладать различные характеристики сетевого трафика. Совокупность фрактальных алгоритмов позволяет описать сетевой трафик в виде мультифрактала, тем самым, всесторонне характеризуя поведение трафика. Вейвлет-эвристики обеспечивают формирование множества выборок, единовременная оценка отклонения статистических параметров которых повышает эффективность обнаружения сетевых атак.
4. Разработка экспериментального образца программного комплекса обнаружения угроз безопасности информации и защиты от них (ЭО ПК). Созданная в результате ПНИЭР экспериментальная реализация должна обеспечивать:
а) получение, обработку и хранение информации о трафике, поступающем на пограничные маршрутизаторы со скоростью не более 100 Гбит/с;
б) хранение информации о трафике в течение не менее 12 месяцев с агрегированием информации о трафике за периоды не более 1 часа;
в) обнаружение сетевой атаки не более чем за 30 секунд с момента поступления на пограничный маршрутизатор трафика сетевой атаки.
г) вероятность обнаружения сетевой атаки не менее 0,97. д) вероятность ложного срабатывания не более 0,05.
5. Проведение исследовательских испытаний разработанного ЭО ПК в соответствии с ПМИ-И. В ходе экспериментов проводится оценка предложенных научно-технических решений на предмет выполнения технических требований.
6. Доведение результатов ПНИЭР до потребителя. Создаваемый комплекс методов и их реализаций в виде программных средств ориентирован на высокопараллельную обработку сверхвысокого объема разнородных данных на предмет безопасности, что определяет такие преимущества как производительность и масштабируемость. Предлагаемые оригинальные методы параллельной обработки сетевого трафика, хранения данных о трафике и обнаружения и предотвращения сетевых атак являются новыми и охраноспособными.
По результатам проекта планируется получение РИД, способных к патентованию и регистрации в виде программ для ПЭВМ. Результаты работы найдут свое отражение в дальнейшем ОКР, в том числе с участием Индустриального партнера.
В этой связи предлагаемое технологическое решение характеризуется как инновационное, направленное на завоевание лидирующей позиции отечественных разработок на мировом рынке средств обработки и анализа безопасности сверхвысоких объемов сетевого трафика.