Эксπир
Регистрация / Вход

Технология разработки распределенных программных систем для мониторинга больших корпоративных научно-образовательных сетей передачи данных на базе современных методов интеллектуального анализа данных и машинного обучения

Стадии проекта
Предложение принято
Конкурс завершен
Проект закончен
Проект
02.514.11.4027
Организация
ИВТ СО РАН
Руководитель работ
Шокин Юрий Иванович
Продолжительность работ
2007 - 2008, 17 мес.
Бюджетные средства
6 млн
Внебюджетные средства
1,2 млн

Создание технологии производства программного обеспечения для построения распределенных программных систем получения и применения знаний в области компьютерной безопасности и обеспечения контроля использования ресурсов сети Интернет. Выполнение обозначенных выше целей позволит разработать распределенные масштабируемые интеллектуальные программные системы обеспечения комплексной компьютерной безопасности, предназначенные для обнаружения внутренних вторжений в компьютерные системы, а также фильтрации Интернет трафика с контроля доступа к ресурсам Интернет и предотвращения утечек конфиденциальной информации. Отличительной особенностью таких систем должно являться использование вместо традиционных экспертных баз знаний методов интеллектуального анализа данных и машинного обучения для выявления закономерностей и знаний в прецедентных данных с целью автоматизированного формирования баз знаний, правил и сигнатур без участия экспертов. Архитектура должна базироваться на мультиагентном подходе. Это позволит получить следующие конкурентные преимущества перед существующими традиционными системами, основанными на сигнатурном подходе:
• обеспечение комплексной защиты от «внутренних» вторжений, надежный контроль за использованием Интернет ресурсов, а также предотвращение утечек конфиденциальной информации;
• возможность обнаруживать «замаскированные» и принципиально новые типы вторжений и несанкционированных рассылок;
• анализировать содержимое (контент) Интернет трафика в режиме реального времени с возможностью администратора самостоятельно определять категории и типы Интернет ресурсов;
• возможность динамически адаптироваться к изменениям в функционировании защищаемой компьютерной системы и особенностям каждого отдельного пользователя системы;
• независимость от внешних баз знаний;
• расширяемость, переносимость, высокая производительность, возможность работы в гетерогенной среде.

Соисполнители

Организация
СибГУТИ
Организация
ИСА РАН

Этапы проекта

1
18.05.2007 - 31.07.2007
анализ научно-технической литературы, анализ статистических методов определения аномальной сетевой активности, обоснование и разработка алгоритмов распознавания характерных шаблонов в потоке данных, анализ состава приложений позволяют оптимистично оценивать выбранное направление исследований. Эти результаты являются новыми в отечественной и мировой практике и будут необходимым условием успешного выполнения следующих этапов исследований.
Область применения - результаты могут быть применены в системах мониторинга и учета потребления сетевых ресурсов в крупных сетях.
УДК 004
Развернуть
2
01.08.2007 - 07.12.2007
обоснование и разработка типовой архитектуры и концепции построения распределенной предметно-ориентированной интеллектуальной системы в области компьютерной безопасности и обеспечения контроля использования ресурсов сети Интернет. Описывается методика разработки библиотеки алгоритмов интеллектуального анализа данных и машинного обучения, которые будут использоваться в качестве «интеллектуального ядра» при построении системы. Результаты являются новыми в отечественной и мировой практике и будут необходимы для успешного выполнения следующих этапов исследований.
Развернуть
3
01.01.2008 - 30.06.2008
Отчет содержит описание результатов работ по третьему (из четырех) этапу исследований, исполняемых ИВТ СО РАН по заказу Рособрнауки. Описаны результаты оригинальных исследований по заявленной тематике, объединенных общим названием – экспериментальные исследования поставленных перед НИР задач. Основная тематика исследований вытекает из потребности эффективного управления крупными корпоративными научно-образовательными сетями передачи данных, из потребности достоверной информации о структуре потоков данных, о природе этих потоков, о приложениях, генерирующих эти потоки. Актуальность тематики определяется фактом постоянного усложнения структуры сетевого трафика и ростом количества сетевых приложений.
Первая часть отчета посвящена созданию технологических средств для построения распределенных программных систем обеспечения информационной безопасности крупных корпоративных сетей. Рассмотрены техническое обеспечение и программные инструментальные пакеты. Приведены возможные варианты конфигурации системы защиты крупной сети передачи данных, сделаны выводы об использовании необходимого оборудования, схеме его соединений и подключений. Во второй части отчета приведены общие сведения о методике экспериментальной эксплуатации технологических средств в действующих сегментах сети СО РАН. Описаны принципы испытаний функций автоматической классификации электронных документов и определения аномалий и быстрых нерегулярностей в сетях передачи данных. Результаты являются новыми в отечественной и мировой практике и будут необходимы для успешного выполнения следующих этапов исследований.
Область применения - результаты могут быть применены в системах мониторинга и учета потребления сетевых ресурсов в крупных сетях.
УДК 004
Ключевые слова: отчет по НИР, мониторинг сетей, распределенные программные системы, аномальные сетевые потоки, интеллектуальный анализ данных, методика экспериментальной эксплуатации.
Развернуть
4
01.07.2008 - 31.10.2008
2.1. Результаты работы на отчетном этапе, в том числе:
Проведена экспериментальная эксплуатация разработанных технологи-ческих средств в соответствии с Программой и методикой эксперименталь-ной эксплуатации. С рабочей станции аудитора проведена серия эксперимен-тов – сетевых взаимодействий с удаленным сервером, имитирующих дейст-вия злоумышленника, направленные на компрометацию информационной системы на базе указанного сервера. Испытания имели целью подтверждение адекватной реакции системы на типичные ситуации, соответствующие ре-альным атакам.
• Удаленное сканирование сетевых портов сервера, эксплуатирующего модули определения быстрых нерегулярностей и аномальных отклоне-ний: тест прошел успешно.
• Удаленное, «скрытое» сканирование сетевых портов сервера, эксплуа-тирующего модули определения быстрых нерегулярностей и аномаль-ных отклонений: тест прошел успешно.
• Удаленное определение операционной системы сервера, эксплуати-рующего модули определения быстрых нерегулярностей и аномальных отклонений: тест прошел успешно.
• Удаленный перебор паролей по словарю «login:password» к сервису удаленного доступа по протоколу ssh2 сервера, эксплуатирующего мо-дули определения быстрых нерегулярностей и аномальных отклоне-ний: тест прошел успешно.
• Удаленная DOS-атака на сервер, эксплуатирующего модули определе-ния быстрых нерегулярностей и аномальных отклонений: тест прошел успешно.
• Функционирование в режиме контентной фильтрации: тест прошел ус-пешно.
• Функционирование в режиме контентной фильтрации: тест прошел ус-пешно.
2.2. Новизна научных, конструкторских или технологических решений в сравнении с другими работами, родственными по тематике и целевому на-значению и определяющими мировой уровень: разработанные технологии адекватны текущему мировому уровню разработок в этой области. Вывод основывается на результатах анализа научно-технической литературы, нор-мативной технической документации и других материалов, относящихся к теме работы, а также проведенных патентных исследований.
2.3. Особенности исследования, разработки, метода или методологии проведения работы на отчетном этапе: при проведении работ отчетного этапа использовались инструментальные средства тестирования программных сис-тем обеспечения информационной безопасности крупных корпоративных се-тей. Эти средства являются либо стандартными, относящимися к категориям общедоступного ПО и/или OpenSource, либо оригинальные специализиро-ванные средства тестирования этих систем, разработанные в рамках проекта.
2.4. В результате выполнения НИР зарегистрированы следующие объ-екты интеллектуальной собственности:
1. Патент Российской Федерации на полезную модель «Система ди-намической контентной фильтрации электронных документов». Номер регистрации 2008120195.
2. Заявка номер 2008613552 на госрегистрацию программы для ЭВМ SciDisc_DMplugin. Получен регистрационный номер 2008614747.
Развернуть

Программа

Программа "Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса России на 2007-2013 годы"

Программное мероприятие

1.4 Проведение проблемно-ориентированных поисковых исследований и создание научно-технического задела по перспективным технологиям в области информационно-телекоммуникационных систем
Тема
Технологии разработки распределенных программных систем получения и использования знаний.
Продолжительность работ
2007 - 2008, 17 мес.
Бюджетные средства
12 млн
Количество заявок
6
Тема
Разработка и реализация алгоритмических и программных средств тематической категоризации Интернет-ресурсов с использованием семантического анализа текстового содержимого web-страниц
Продолжительность работ
2005 - 2006, 23 мес.
Бюджетные средства
10 млн
Количество заявок
6
Тема
Разработка алгоритмов, технологий и прототипа информационной системы анализа социальных медиа и других интернет-ресурсов сети Интернет (блоги, форумы, социальные сети и т.п.) с целью выявления в режиме реального времени искусственно созданных сетей - источников угроз информационной безопасности, прогнозирования вероятных направлений информационных атак и выявления групп ресурсов, создаваемых в целях организации массовых информационных рассылок и спама
Продолжительность работ
2011 - 2013, 28 мес.
Бюджетные средства
150 млн
Количество заявок
1
Тема
Разработка методики идентификации прикладных Интернет протоколов на основе вариативно-сигнатурного анализа взаимодействия клиент-серверных компонент.
Продолжительность работ
2011 - 2012, 14 мес.
Бюджетные средства
8 млн
Количество заявок
3
Тема
Создание экспериментального программно-методического комплекса для естественно-математической дистанционной школы, интернет-олимпиады и интернет-конференции с персонифицированной обратной связью.
Продолжительность работ
2005 - 2006, 23 мес.
Бюджетные средства
5 млн
Количество заявок
2