Разработка единого API взаимодействия программных агентов и подсистемы идентификации кибератак, разработка базы данных хранения состояний, событий, режимов работы платформы. Разработка модулей программных агентов сбора, первичной обработки и классификации сетевого трафика. Разработка уникального алгоритма сокращения передаваемой на классификатор информации внутри модулей сетевых агентов. Разработка подсистемы интеграции посредством единого API модулей сетевых агентов в локальную и сетевую системы обнаружения и предотвращения вторжений. Разработка гибридного нейросетевого детектора киберугроз и сетевых аномалий, разработка алгоритма обучения и поддержки единого API для взаимодействия с агентами сбора и базой данных платформы.

Настоящий отчет обобщает и систематизирует данные, полученные в результате исследований по теме: Разработка и испытания опытного образца аппаратно-программного комплекса обнаружения кибератак, классификации активности и аномалий трафика с помощью алгоритма машинного обучения в проводных и беспроводных сетях, средах умных устройств. Целью первого (промежуточного) этапа НИОКР по разработке и испытанию опытного образца аппаратно-программного комплекса обнаружения кибератак, классификации активности и аномалий трафика с помощью алгоритма машинного обучения в проводных и беспроводных сетях, средах умных устройств, является разработка программных модулей и уникальных алгоритмов для реализации и испытания системы обнаружения кибератак. Для выполнения НИОКР по разработке опытного образца аппаратно-программного комплекса обнаружения кибератак первого (промежуточного) этапа, необходимо решить следующие задачи: • Разработать единое API взаимодействия программных агентов и подсистемы идентификации кибератак, разработать базы данных хранения состояний, событий, режимов работы платформы • Разработать модули программных агентов сбора, первичной обработки и классификации сетевого трафика • Разработать уникальный алгоритм сокращения передаваемой на классификатор информации внутри модулей сетевых агентов • Разработать подсистемы интеграции посредством единого API модулей сетевых агентов в локальную и сетевую системы обнаружения и предотвращения вторжений • Разработать гибридный нейросетевой детектор киберугроз и сетевых аномалий, разработать алгоритм обучения и поддержки единого API для взаимодействия с агентами сбора и базой данных платформы. В результате выполнения первого (промежуточного) этапа НИОКР по разработке опытного образца аппаратно-программного комплекса обнаружения кибератак, удалось решить все поставленные задачи со следующими итогами: • Выбрана система реализации API на базе унифицированного сервиса трехуровневой архитектуры, разработан API взаимодействия программных агентов и подсистемы идентификации кибератак с рядом (18 функциональных и 5 сервисных) точек доступа в соответствии с функциями модулей серверной части и агентами. Выбран тип базы данных, разработаны объекты хранения и абстракции данных на базе реляционной структуры PostgreSQL и системы абстракции Django REST Framework, разработана методика хранения данных о состояниях, событий и режимов работы системы • Разработан программный модуль агента сбора, первичной обработки и классификации сетевого трафика на базе многопоточного кроссплатформенного приложения Python, имеющего 4 сервисных потока и 2 потока выполнения, с реализованными функциями автоматической идентификации сред контроля, с реализованной функцией удаленного запуска и управления, выбора параметров, с реализованными функциями предварительной обработки больших данных, картой событий и сеансов • Разработан уникальный алгоритм сокращения передаваемой на классификатор информации внутри модулей сетевых агентов на базе собственной реализации системы ANOVA сокращения размеченной информации путем сбора сеансовой информации и статистического мультиплицирования основным параметров сеанса • Разработана подсистема интеграции посредством единого API модулей сетевых агентов в локальную и сетевую системы обнаружения и предотвращения вторжений на базе объектно-ориентированного согласующего REST-модуля на языке Python и библиотек доступа к REST API • Разработан гибридный нейросетевой детектор киберугроз и сетевых аномалий на базе модифицированной самоорганизующейся карты Кохонена, слоем входных признаков с динамической нормализацией и слоем выбора победителя с гибридным спуском, разработан алгоритм обучения с рядом улучшений – таких как оптимизация начальной инициализации весовой карты, зональное выделение областей обучения и классификации, динамическая нормализация классифицирующих признаков, модифицированный алгоритм выбора победителя и соседей, и поддержки единого API для взаимодействия с агентами сбора и базой данных платформы. Все эти результаты позволяют успешно переходить к выполнению второго (заключительного) этапа выполнения НИОКР по разработке опытного образца аппаратно-программного комплекса обнаружения кибератак, классификации активности и аномалий трафика с помощью алгоритма машинного обучения в проводных и беспроводных сетях, средах умных устройств. УДК - 004.8 ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ Регистрационный № 121030200373-0 Инв. № - №1