ОТЧЕТ о выполнении НИОКР по теме: «Разработка программного комплекса ретроспективного анализа сетевого трафика Стетоскоп версии 3.0» (договор №304ГРЦТС10-D5/80707 от 22.11.2022) (Заключительный)

Отчет 142 с., 1 кн., 34 рис., 33 табл., 44 источн., 1 прил. АНАЛИЗАТОР СЕТЕВОГО ТРАФИКА, МАШИННОЕ ОБУЧЕНИЕ, SQL-ИНЪЕКЦИЯ, ФАЗОВЫЙ ПОРТРЕТ, СЕТЕВОЙ ЧЕРВЬ, РЕТРОСПЕКТИВНЫЙ АНАЛИЗ, ОБНАРУЖЕНИЕ СЕТЕВЫХ КОМПЬЮТЕРНЫХ АТАК, ЗАПИСЬ ТРАФИКА, АНАЛИЗ СЕТИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Целью данной НИОКР является создание анализаторов сетевого трафика, позволяющих на основе технологий искусственного интеллекта (далее – ИИ) типизировать, классифицировать сетевой трафик, выделять и анализировать передаваемые в нем объекты, выделять группы хостов по типу их поведения, классифицировать и выявлять известные и потенциально новые типы атак, идентифицировать нарушителей, а также сократить время на обнаружение атак, повысить готовность персонала к оперативному выявлению атак, увеличить точность обнаружения, повысить степень защищенности информационных систем, а также снизить требования к квалификации персонала, обслуживающего систему защиты. В рамках выполнения НИОКР решены следующие задачи: 1) Исследованы модели классического машинного обучения и модели глубокого нейросетевого обучения. Сделан обоснованный выбор нескольких моделей и проведены экспериментальные исследования их поведения с учетом подбора параметров их работы, определены требования к входным данным анализаторов и моделей. Выполнена отладка и экспериментальные исследования параметров алгоритмов ML/AI, а также сделаны уточнения параметров работы автогенераторов GAN на основании результатов экспериментальных проверок на моделирующем стенде. 2) Разработан стенд для моделирования, исследований, разработки, тестирования и проведения испытаний анализаторов, включая создание обучающих выборок, программных модулей и базы данных конфигураций, входных и выходных данных. 3) Разработана подсистемы оценки достоверности результатов работы анализаторов, в том числе с применением метода голосования. 4) Разработаны программные средства захвата, индексации и анализа трафика. 5) Разработаны интерфейсы веб-приложения для управления и мониторинга работы подсистем комплекса, интерфейсы по заданию сигнатур, политик и параметров работы анализаторов. 6) Разработаны методики и сформированы наборы обучающих данных (train), проверочных данных (test), контрольных данных (validation), новых данных, в том числе реальных данных компьютерной сети организации. 7) Выполнено проектирование, разработка и тестирование модуля перешифровки трафика (SSL/TLS) с функциями извлечения, предварительной обработки, хранения и организации доступа к объектам (файлам) прикладных протоколов. 8) Создан стенда для получения обучающих выборок, применяемых в алгоритмах ML/AI. В результате выполнения НИОКР получены: 1) Результаты исследований различных методов обнаружения компьютерных атак и аномалий, суммаризация и обобщение результатов их работы. На основании данного исследования были выбраны методы машинного обучения, наиболее подходящие для прикладного применения в анализе трафика компьютерной сети, как наиболее точно выявляющие компьютерные атаки и аномалии. 2) Положительные результаты исследований применения модели классического машинного обучения «Деревья решений» и «Бустинг на решающих деревьях». 3) Положительные результаты исследований применения модели нейросетевого обучения «Сверточные сети». 4) Программные средства и программные сервисы перешифровки трафика (SSL/TLS), обработки и анализа объектов прикладных протоколов. 5) Стенд и методики для выполнения моделирования, исследования, разработки, тестирования и проведения испытаний моделей, анализаторов, программных средств, создания наборов данных (обучающих, проверочных, контрольных и новых). 6) Компоненты программного комплекса, включающие в себя захват, индексацию и анализ сетевого трафика и его производных, хранилище данных (базу данных), веб-интерфейс конфигурирования, отображения статистики трафика и результатов работы анализаторов. 7) Сигнатурные, поведенческие, пороговые (статистические) анализаторы, а также анализаторы использующие алгоритмы ML/AI. 8) Программная документация, включая эксплуатационные документы. 9) Результаты испытаний по разработанной программе и методике испытаний. По результатам настоящей НИОКР можно сделать вывод об успешности применения технологий ML/AI в области анализа сетевого трафика с целью выявления компьютерных атак и аномалий при условии правильного подбора параметров и типов входных данных моделей машинного обучения. Это подтверждается успешными испытаниями опытного образца программного комплекса «Стетоскоп» версии 3.0, по разработанной программе и методике испытаний.