Языки

Лаборатория изучения сетевых атак

О лаборатории

Лаборатория изучения сетевых атак создана в январе 2003 для координации деятельности сотрудников кафедры, занимавшихся исследованиями методов сетевых информационных воздействий, а так же методов их обнаружения и противодействия. Основными направления деятельности лаборатории стали:

  • разработка новых технологий обнаружения сетевых атак, в том числе, при помощи искусственных нейронных сетей;
  • разработка программного обеспечения для генерации информационных воздействий с заданными характеристиками;
  • разработка методических рекомендаций по разработке и тестированию эффективности систем обнаружения атак хостового и сетевого уровня и межсетевых экранов;
  • разработка новых технологий обнаружения аномального поведения пользователей на основе контроля профилей поведения при помощи искусственных нейронных сетей ;
  • разработка технологий изоляции и блокирования вредоносных программ.

Сотрудники лаборатории имеют большой опыт в области разработки и исследования методов и средств обнаружения атак.


Система обнаружения атак

Одним из направлений работы является разработка систем обнаружения атак. Основным отличием от аналогов является следование требованиям специально разработанной методики оценки эффективности систем обнаружения атак (СОА). Методика, основана на анализе способности СОА обнаруживать различные типы атак, и позволяет дать точную оценку функциональных возможностей системы. Применение этой методики позволяет выявлять уязвимости в средствах обеспечения безопасности информационных систем на этапе их проектирования. Система обнаружения атак использует метод комбинированного поиска атак, основанный на обнаружении аномалий сетевого трафика, свидетельствующих об атаке, и строковых сигнатур атак (злоупотреблений). Разработан метод обнаружения аномалий при помощи нейронной сети, исключающий возможность враждебного переобучения. Этот метод отличается возможностью обнаруживать известные и выявлять новые аномалии трафика.
Разработан метод неточного поиска (поиска с ошибками) строковых сигнатур, позволяющий обнаруживать строковые сигнатуры, отличающиеся от шаблона на заданное число символов. Разработан модуль обнаружения распределённых атак на основе аппарата нечёткой логики. Модуль позволяет распознать многоэтапную атаку, в том числе и в случае отсутствия или неполноты данных о каком-либо этапе. Также модуль позволяет предсказывать сценарий развития атаки. Разработан метод обнаружения аномалий при помощи нейронной сети, исключающий возможность враждебного переобучения. Этот метод отличается возможностью обнаруживать известные и выявлять новые аномалии трафика. Разработан метод неточного поиска (поиска с ошибками) строковых сигнатур, позволяющий обнаруживать строковые сигнатуры, отличающиеся от шаблона на заданное число символов.


Перспективные разработки

Разработан модуль обнаружения распределённых атак на основе аппарата нечёткой логики. Модуль позволяет распознать многоэтапную атаку, в том числе и в случае отсутствия или неполноты данных о каком-либо этапе. Также модуль позволяет предсказывать сценарий развития атаки.
Разработаны модули корреляции предупреждений СОА с использованием статистических методов анализа пороговых значений текущих параметров сети и методов нечёткой логики для обработки наборов примитивных сообщений СОА. В результате оператор СОА получает агрегированную картину происходящего и может оценить трудно алгоритмизируемые тенденции развития сетевой обстановки.
Разработан модуль контроля поведения локального пользователя на основе контроля активности приложений при помощи нейронной сети.
С использованием аппарата вероятностных суффиксных деревьев разработаны алгоритмы обнаружения вредоносной активности на основе контроля системных вызовов и алгоритма анализа прикладных сетевых протоколов на основе контроля последовательностей команд.

Научные работы

В настоящее время сотрудники лаборатории опубликовали более 15 научных работ по тематике обнаружения и генерации сетевых атак, а также участвуют в работе престижных всероссийских конференций и выполнении ОКР.