Активный интеллектуальный модуль защиты компьютерных систем от вредоносных программ и сетевых атак

Активный интеллектуальный модуль защиты компьютерных систем от вредоносных программ и сетевых атак предназначен для предоставления защиты компьютеров пользователей от преднамеренного уничтожения, модификации и кражи важной информации и персональных данных злоумышленниками.

Это принципиально новый метод обнаружения вредоносных программ и сетевых атак, в основу которого легли методы искусственного интеллекта: методы искусственных нейронных сетей и методы искусственных иммунных систем.

Головко Владимир Адамович Войцехович Леонид Юрьевич

Головко Владимир Адамович,

д.т.н., профессор, зав. кафедрой Интеллектуальных информационных технологий (ИИТ),
Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript..

Войцехович Леонид Юрьевич,

ст. преп., каф. ИИТ,
Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript..

Кочурко Павел Анатольевич Безобразов Сергей Валерьевич

Кочурко Павел Анатольевич,

к.т.н., каф. ИИТ,
Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript..

Безобразов Сергей Валерьевич,

к.т.н., доцент, каф. ИИТ,
Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript..

Презентация

Достижения и награды.
  • Разработанная система была награждена бронзовой медалью и дипломом на IX Московском международном салоне инноваций и инвестиций.
  • Работа получила поддержку БРФФИ в рамках темы «Нейросетевой модуль активной защиты компьютерных сетей от сетевых вторжений в реальном времени» (договор № Б08Б-003/792-3).
Конкурентные преимущества.

Учитывая возможности предлагаемых методов искусственного интеллекта, полученное ПО сможет единообразно анализировать как файлы, так и трафик, а с точки зрения конечного пользователя это будет и вовсе одно и то же. Как и прочие продукты класса InternetSecuritySuite, данная система сможет позиционироваться, как продукт для обеспечения тотальной безопасности компьютера пользователя, что соответствующим образом отразится на его цене в сторону увеличения (по сравнению с обычными антивирусами). При этом использование интеллектуальных, адаптивных методов позволит выделить его из череды подобных продуктов конкурентов.

Система имеет ряд особенностей, отличающих её от других подобных представленных на рынке систем.

  1. Высочайшая степень использования современных интеллектуальных методов, разработанных специально для этой системы.
  2. Отсутствие необходимости постоянных обновлений антивирусных баз через сеть Интернет без потери качества обнаружения. Возможность обновления представляет собой дополнительную опцию, позволяющую использовать наряду с интеллектуальными традиционные методы анализа.
  3. Объединение в единую систему антивируса, межсетевого экрана и системы обнаружения атак позволяет единообразно использовать методы анализа для различных объектов - файлов, процессов, сетевого трафика. Кроме того, отпадает необходимость в использовании дополнительных приложений для обеспечения комплексной безопасности.
Контакты.

Учреждение образования «Брестский государственный технический университет»: 224017 Брест, ул. Московская, 267.
Телефоны: + 375 (162) 32 18 01; + 375 (29) 728 86 27.
E-mail: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.

Назначение и область применения.

Согласно статистике CIS, каждая вторая организация в течение 2009 – 2010 годов зафиксировала различные атаки на свои информационные ресурсы, а 45,6% из них подверглись целенаправленному нападению. При этом Статистика 2009 - 2010 года: 64% респондентов подвергаются вирусным атакам, 29% - DoS-атакам, 14% - сетевым вторжениям.

Для полноценной защиты системы от атак различного рода необходимо применять целый комплекс программного обеспечения: антивирус, сетевой экран, система обнаружения атак, и т.д. Именно поэтому современная тенденция на рынке средств обеспечения безопасности – интеграция основных функций антивируса, сетевого экрана, системы обнаружения атак и др., необходимых персональному пользователю, в рамках одного продукта. Тем более, что подобное решение позволяет использовать методы поиска вирусов в сетевом трафике или методы обнаружения атак на локальных данных.

На сегодняшний день в области защиты компьютерной информации (информации, которая хранится, обрабатывается и передается посредством компьютерных систем) сложилась следующая ситуация - современные коммерческие антивирусные программы не в состоянии обеспечить должный уровень защиты компьютерных систем от вредоносных программ и сетевых атак.Используемые в них методы и алгоритмы имеют ряд существенных недостатков. Так, наиболее точный на сегодняшний день метод обнаружения вредоносных программ, сигнатурный метод, основывается на сигнатурном анализе (поиске уникальных последовательностей символов в проверяемом файле), и хорошо себя зарекомендовавший при обнаружении уже известных компьютерных вирусов (способен обнаруживать до 90 - 95 % известных вредоносных программ), абсолютно не пригоден для обнаружения новых, ранее неизвестных вредоносных программ и сетевых атак. На то, чтобы обнаружить новую вредоносную программу, создать для нее сигнатуру и обновить антивирусные базы, требуется некоторое время, зачастую достаточно продолжительное (от нескольких часов до нескольких десятков часов). Все это время, компьютеры во всем мире остаются практически не защищенными перед лицом новой угрозы. Как показывает практика, именно новые, ранее неизвестные компьютерные вирусы являются причиной глобальных информационных эпидемий и приводят к громадным финансовым и моральным убыткам (в 2001 году вирус CodeRed заразил около 390 000 компьютеров за 13 часов, в 2003 году вирус Slammer заразил около 75 000 компьютеров за 10 минут, в 2007 году вирус Storm заразил около 25 миллионов компьютеров).

Для того, чтобы обеспечить защиту компьютерных систем от неизвестных вредоносных программ были разработаны различные эвристические  (не точные) методы. Такие методы способны с определенной долей вероятности вынести решение о вредоносности программы. Однако, существующие эвристические алгоритмы, применяемые сегодня для обнаружения неизвестных вредоносных программ, характеризуются высоким уровнем возникновения ошибок первого и второго родов (классификация легитимных программ как вредоносных и наоборот) и низким уровнем, менее 60%, обнаружения неизвестных компьютерных вирусов, что затрудняет их применение в современных антивирусных системах.

Описание и инновационные аспекты разработки.

Активный интеллектуальный модуль защиты компьютерных систем от вредоносных программ и сетевых атак предназначен для предоставления защиты компьютеров пользователей от преднамеренного уничтожения, модификации и кражи важной информации и персональных данных злоумышленниками.Его основные функции – защита от вторжений: вредоносных программ, компьютерных вирусов и сетевых атак. Основной упор делается на разработку методов и алгоритмов обнаружения новых, ранее не известных вредоносных программ и сетевых атак. Для этого применяются специально разработанные методы и алгоритмы искусственного интеллекта, основанные на применении нейронных сетей, искусственной иммунной системы и многоагентных систем. Это позволяет спроектировать и разработать интеллектуальный модуль защиты компьютерной информации, характеризующийся способностью к самообучению и адаптации с целью предоставления неизменно высокого уровня защиты от компьютерных угроз.

Мы разработали принципиально новый метод обнаружения вредоносных программ и сетевых атак, в основу которого легли методы искусственного интеллекта: методы искусственных нейронных сетей и методы искусственных иммунных систем.

Нейронные сети являются цифровым аналогом биологических нейронных сетей головного мозга и уже успели себя зарекомендовать с самой лучшей стороны в решении разнообразных сложных технических и экономических задач: распознавание, прогнозирование, контроль и управление и т.д. Сегодня нейронные сети применяются в таких областях как автомобилестроение, космическая отрасль, робототехника и т.д.

Искусственные иммунные системы– новое, активно развивающее научное направление в рамках задачи создания искусственного интеллекта. Искусственные иммунные системы являются цифровым аналогом биологического иммунитета, который выполняет функции по защите организма от болезнетворных бактерий и вирусов. Сегодня такие системы хорошо себя зарекомендовали в решении таких технических задач как обработка данных и классификация образов.

Интеграция обоих методов позволила создать принципиально новый метод обнаружения вредоносных программ и сетевых атак. Была разработана структура нейросетевого детектора для обнаружения вредоносных программ, а также алгоритмы его функционирования с целью эффективного обнаружения компьютерных вирусов. Все это привело к созданию прототипа системы обнаружения вредоносных программ, которая характеризуется самоорганизацией и адаптивностью, и позволяет обнаруживать больше неизвестных вредоносных программ, чем применяемые сегодня эвристические методы. Подобная система обнаружения вредоносных программ способна адаптироваться к изменению состояний компьютера, она непрерывно эволюционирует для поддержания постоянно высокого уровня защиты, а использование передовых технологий позволяет добиться высокой надежности защиты. Не имеет мировых аналогов.

Использование методов искусственного интеллекта позволило также повысить качество защиты компьютерных систем от сетевых атак.  Разработанный метод позволяет обнаруживать как известные, так и неизвестные атаки. Обнаруженная однажды атака в дальнейшем становится известной и обнаруживается с лучшим качеством. Подобная система не нуждается в постоянном обновлении баз сигнатур и способна адаптироваться к любому сетевому окружению. Для того, чтобы добиться подобного эффекта, в рамках всей системы в целом и каждого блока по отдельности объединяются две парадигмы – обнаружение аномалий (известно нормальное поведение субъекта) и обнаружение злоупотреблений (априорное знание образов атак). Причем образы атак система создает сама, однажды их обнаружив. Разработанный исследовательский прототип системы показывает, что такая нейросетевая система обнаружения атак способна в реальном времени обнаруживать до 99% сетевых атак, в том числе неизвестных,  при этом корректно распознавать их тип – в 94% случаев.

Разработчики.

Головко Владимир Адамович, д.т.н., профессор, зав. кафедрой Интеллектуальных информационных технологий (ИИТ), Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.;

Безобразов Сергей Валерьевич, к.т.н., доцент, каф. ИИТ, Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.;

Войцехович Леонид Юрьевич, ст. преп., каф. ИИТ, Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.;

Кочурко Павел Анатольевич, ст. преп., каф. ИИТ, Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript..

Стадия разработки.

Разработан прототип активного интеллектуального модуля защиты компьютерных систем от вредоносных программ и сетевых атак. Проведены многочисленные эксперименты, свидетельствующие об эффективности предложенного подхода. Разработанная система прошла апробацию на многочисленных выставках и научных конференциях, где была отмечена рядом наград.

Форма сотрудничества (схема коммерциализации разработки).

Инвестиции необходимы для коммерческой реализации разработанных методов и технологий защиты компьютерных систем от вредоносных программ и сетевых атак.

Коммерческая реализация может быть разделена на две части:

Первая часть – создание отдельного программного модуля интеллектуальной защиты компьютерных систем от вредоносных программ и сетевых атак. Предназначение модуля – анализ объектов системы (файлов, программ и процессов) на предмет их вредоносности, а также анализ сетевого трафика с целью выявления хакерских атак. По окончании данного этапа можно будет делать выводы об успешности и конкурентоспособности разработанного продукта и принимать решение либо о дальнейшем развитии (вторая часть), либо о продаже модуля одному из антивирусных вендоров.

Вторая часть–вывод продукта на рынок, последующая поддержка и развитие. Подразумевает раскрутку собственного антивирусного брэнда со всеми составляющими данного процесса. На данном этапе создается отдел вирус-аналитики, приглашаются дополнительные специалисты, наращивается функционал программы и т.д. в зависимости от требований рынка.

 

© 2022 Учреждение образования "Брестский государственный технический университет"

Адрес: ул.Московская 267, 224017, Брест, Республика Беларусь
E-mail: canc@bstu.by (по официальным вопросам)
Телефоны: +375 162 32-17-32 (приемная ректора), +375 162 32-17-76 (приемная комиссия)
Факс: +375 162 32-17-55

Политика обработки персональных данных
Политика в отношении обработки файлов cookie

Регистрационное свидетельство № 2141102156 от 26.07.2011
Государственного регистра информационных ресурсов