Регистрация / Вход
Прислать материал

14.604.21.0056

Аннотация скачать
Постер скачать
Общие сведения
Номер
14.604.21.0056
Тематическое направление
Информационно-телекоммуникационные системы
Исполнитель проекта
федеральное государственное бюджетное образовательное учреждение высшего образования "Московский государственный университет имени М.В.Ломоносова"
Название доклада
Исследование и разработка инновационной технологии построения программных средств обеспечения компьютерной безопасности, основанных на использовании методов машинного обучения и математической статистики для анализа данных поведенческой биометрии пользователей при работе в рамках стандартного человеко-машинного интерфейса, для решения задач активной аутентификации и идентификации пользователей, обнаружения внутренних вторжений и предотвращения попыток хищения конфиденциальной информации
Докладчик
Машечкин Игорь Валерьевич
Тезисы доклада
Цели и задачи исследования
Исследование и разработка комплекса научных решений, направленных на создание программных средств анализа индивидуальных особенностей поведения пользователей компьютерных систем (поведенческой биометрии) при работе в рамках стандартного человеко-машинного интерфейса, с целью создания инновационной технологии построения новых систем компьютерной безопасности.

Актуальность и новизна исследования
Использование стандартных средств защиты информации, основанных на разграничении прав доступа, контроле целостности, аутентификации пользователей с использованием паролей, ключей или цифровых подписей, а также применение систем контроля работы пользователей, основанных на предопределенных регламентах, политиках, правилах и использовании сигнатурных методов обнаружения вторжений, не дают надежной защиты. Анализ предметной области показал, что традиционные методы демонстрируют высокую уязвимость, актуальной является разработка на основе анализа поведенческой биометрии с использованием статистических методов и методов машинного обучения новых способы решения следующих задач:
- задача аутентификации пользователей – процесс подтверждения личности пользователя;
- задача идентификации пользователей – постоянная или периодическая процедура оценки достоверности того, что пользователь, работающий с защищаемой компьютерной системой, является действительно тем, от имени кого он авторизовался;
- задача раннего обнаружения внутренних вторжений – процедура выявления фактов аномального или подозрительного поведения инсайдеров, которые обычно предшествуют внутреннему вторжению.
Актуальность, научная новизна подтверждаются активными исследованиями в области построения систем компьютерной безопасности на основе анализа поведенческой биометрии, поддерживаемыми ведущими правительственными и международными научно-исследовательскими организациями, в частности, Европейским агентством по сетевой и информационной безопасности (ENISA) и Агентством по перспективным оборонным научно-исследовательским разработкам США (DARPA).

Описание исследования

Разработка инновационной технологии обеспечения  компьютерной безопасности, основанной на анализе и моделировании поведения пользователей защищаемых компьютерных систем с помощью методов статистического анализа и машинного обучения для реализации активной аутентификации пользователей, обнаружения внутренних вторжений и предотвращения попыток хищения конфиденциальной информации, основывалась на исследовании и решении нижеследующих задач:

  1. «Алгоритмические» задачи:
    1. Проведено исследование и разработаны модели представления для трех типов исходных данных поведенческой биометрии: информации о динамике работы пользователя со стандартными устройствами ввода-вывода; информации о работе с информационными и вычислительными ресурсами защищаемой компьютерной системы; информации о текстовом содержимом и динамике его получения и обработки пользователем.
    2. Проведено исследование и разработаны обучаемые алгоритмы для построения моделей поведения пользователей на основе собранных биометрических данных и применения этих моделей для решения задач активной аутентификации, идентификации пользователей, входа в систему без использования секретной информации (пароля, ключа, секретных вопросов и т.д.), раннего обнаружения внутренних вторжений и попыток хищения конфиденциальной информации.
    3. Проведено исследование и сформулированы допустимые критерии по точности и скорости работы алгоритмов для возможности применения в реальных условиях, а также ограничения на размер получаемых моделей и хранимых биометрических данных.
    4. Разработана методика оценки и провести эксперименты на общедоступных эталонных и реальных собранных данных для определения точности и скорости работы алгоритмов, а также необходимых объемов тренировочного набора и времени его накопления с оценкой статистической достоверности получаемых результатов.
  2. «Системные» задачи:
    1. Проведено исследование и разработана общая концепция функционирования, спроектирована архитектуру и формализованы пользовательские сценарии работы, обосновано их удобство с точки зрения пользователя (usability).
    2. Проведено исследование и разработаны структуры представления биометрических данных, процедуры их сбора, хранения, управления ими и предварительной обработки.
    3. Реализованы прототипы программных компонент сбора, хранения, управления и предварительной обработки исходных биометрических данных, оценить параметры их работы с точки зрения безопасности персональных данных, объемов хранимой и передаваемой информации, удобства работы пользователя.
    4. Реализованы прототипы программных компонент построения, управления и применения пользовательских поведенческих моделей для задач активной аутентификации, идентификации пользователей, аутентификации без использования секретной информации (пароля, ключа, секретных вопросов), раннего обнаружения внутренних вторжений и попыток хищения конфиденциальной информации.

 

На основе проведенных исследований показана возможность создания принципиально новых систем компьютерной безопасности, обладающих следующими конкурентными преимуществами по сравнению с существующими отечественными и зарубежными аналогами:

  • за счет использования поведенческий биометрии при аутентификации и  непрерывной идентификации пользователей кардинально повышается уровень защиты от несанкционированного доступа, полученного злоумышленником в результате кражи паролей, ошибок легальных пользователей или использования программных уязвимостей защищаемой компьютерной системы;
  • за счет анализа, моделирования и мониторинга поведения пользователей повышается уровень защиты от злонамеренных действий инсайдеров, включая кражу конфиденциальной информации;
  • в отличие от существующих систем компьютерной безопасности, основанных на физиологической биометрии (анализ отпечатка пальца, голоса, радужной оболочки глаза и т.д.), разрабатываемая технология не требует установки дополнительного оборудования для считывания данных физиологической биометрии и способна защитить от инсайдеров;
  • технология позволяет непрерывно адаптировать и улучшать модель аутентификации и распознавания внутренних вторжений в зависимости от индивидуальных особенностей поведения пользователей при работе с конкретной защищаемой компьютерной системой.
Результаты исследования

Результатом настоящей работы является инновационная технология построения программных средств обеспечения  компьютерной безопасности, основанных на анализе данных поведенческой биометрии пользователей, собираемых в рамках стандартного человеко-машинного интерфейса, для решения следующих задач обеспечения компьютерной безопасности:

  • активная аутентификация пользователя на основе мониторинга и анализа особенностей его работы в защищаемой компьютерной системе, включая  вход в систему без использования секретной информации, такой как пароли, электронные ключи и т.д., а также фоновую непрерывную идентификацию пользователя во время работы в системе;
  • раннее обнаружение внутренних вторжений, и в частности предотвращение попыток хищения конфиденциальной информации, на основе обнаружения фактов аномальной или подозрительной активности пользователя при работе с информационными и вычислительными ресурсами защищаемой компьютерной системы, а также при работе с электронными документами, циркулирующими в ней.

В качестве поведенческих биометрических данных технология использует информацию, получаемую в результате работы пользователя в рамках стандартного человеко-машинного интерфейса без использования сканеров, камер, сенсоров, микрофонов и другого дополнительного оборудования. Технология базируется на следующих источниках поведенческой информации:

  • Особенности динамики работы пользователей со стандартными устройствами ввода-вывода.
  • Особенности использования информационных и вычислительных ресурсов защищаемой компьютерной .
  • Особенности потребляемой и создаваемой пользователем текстовой информации.

Технология активной аутентификации и обнаружения внутренних вторжений полностью базируется на методах статистического анализа и машинного обучения без использования сигнатур, экспертных правил и других «ручных» настроек, обеспечивая в тоже время высокий уровень точности распознавания при низком уровне ложно- положительных ошибок.

Разработан Экспериментальный программный образец (ЭО), включающий:

  1. Модули сбора и предобработки поведенческой биометрической информации.
  2. Серверы хранения и управления поведенческой биометрической информации, включая хранение теневых копий текстовых данных и журналов работы пользователей с вычислительными и информационными ресурсами защищаемой компьютерной системы.
  3. Модули построения и применения поведенческих моделей пользователей для решения задач:
    1. аутентификации с использованием информации об особенностях работы со стандартными устройствами ввода-вывода;
    2. постоянной фоновой идентификации пользователей с использованием информации об особенностях работы со стандартными устройствами ввода-вывода, информации о работе с информационными и вычислительными ресурсами защищаемой компьютерной системы, информации об особенностях работы с текстовыми данными;
    3. раннего обнаружения попыток внутреннего вторжения или кражи конфиденциальных данных с использованием информации об особенностях работы пользователя с информационными и вычислительными ресурсами защищаемой компьютерной системы, информации об особенностях работы с текстовыми данными.

Проведенный, в ходе выполнения проекта, анализ научных публикаций, коммерческих решений, а также патентов показал инновационные преимущества полученных результатов по сравнению с аналогичными работами.

Практическая значимость исследования
Полезный эффект от разработки такой технологии заключается в возможности создания на ее основе принципиально новых систем компьютерной безопасности, кардинально повышающих уровень защиты от несанкционированного доступа, полученного злоумышленником в результате кражи пароля, ошибок легальных пользователей или использования уязвимостей ПО, а также злонамеренных действий инсайдеров. Причем в отличие от существующих систем компьютерной безопасности, основанных на физиологической биометрии разрабатываемая технология:
- не требует установки дополнительного сканирующего и распознающего оборудования для считывания данных физиологической биометрии;
- она способна защитить от инсайдеров, действующих злонамеренно;
- позволяет непрерывно адаптировать и улучшать модели аутентификации и распознавания внутренних вторжений в зависимости от индивидуальных особенностей поведения отдельных пользователей при работе с защищаемой компьютерной системой.

В перспективе возможно проведение опытно-конструкторских работ по разработке, на основе созданной технологии, инновационных программных систем, компонентов ПО и информационных технологий, направленных на решение задач компьютерной безопасности, рассматриваемых в настоящей НИР. Возможна реализация востребованного промышленного программного продукта, не имеющего на настоящий момент функциональных аналогов в мире. Масштабность применения такой системы практически не ограничена. Она будет полезна организациям любого уровня и формы собственности, в которой происходит работа с конфиденциальной электронной информацией. Объем рынка подобных систем определяется спектром возможных потребителей. Ими могут быть государственные учреждения, банки, страховые компании, крупные технологические предприятия (КБ, заводы, НИИ), информационные агентства и другие.

Результаты ОКР возможно коммерциализировать по следующим схемам:
1. «Передача технологии».
2. Лицензируемое ПО («корпоративная версия»).
3. SaaS («облачное решение»).
4. Расширенная поддержка («аутсорсинг аналитики»).