Distribuované mechanismy pro ochranu počítačových sítí (CAMNEP)


V projektu CAMNEP jsme vyvinuli efektivní a samospravujcí se systém pro detekci narušení vysokorychlostních počítačových sítí. Pozorované anomálie na síti systém vizualizoval a skrze inteligentní uživatelské rozhraní operátor snadno spravoval provoz sítě. Analýza ze statistických dat zajistila nenarušení obsahu a zamezovala úniku dat o uživatelích.

Smysl projektu

V projektu CAMNEP jsme usilovali o vytvoření účinného systému určeného vysokorychlostním páteřním linkám síťových operátorů. Systém CAMNEP byl vybudován na inteligentní analýze chování síťového provozu skrze statistická data a za pomoci vizualizace usnadnil operátorům odhalení narušení na počítačové síti, detekci škodlivého provozu a eliminaci falešných bezpečnostních poplachů (poměr false positives a false negatives). Mimo to došlo ke snížení nákladů na provoz systému, neboť například kombinoval koordinační metody z tzv. multiagentních systémů (jednotliví agenti monitorují dílčí aspekty síťového provozu).

Technologie a specifika

  • Distribuovaný multiagentní systém
    Odhalení útoků zajišťovala skupina specializovaných detekčních agentů. Jednotliví agenti reprezentovali různé metody nalezení anomálií a vyhledávali anomálie v NetFlow datech za pomoci rozšířených důvěryhodnostních modelů. K celkovému rozhodování o důvěryhodnosti útoků systém využil kolektivní rozhodování s reputačním mechanismem.

  • Kombinace open-source řešení, hardwarově akcelerovaných sond a specializovaných detekčních agentů
    CAMNEP propojil existující open-source řešení (například agentní platformu A-Globe, NetFlow kolektor NfSen nebo vizualizační nástroje Prefuse a Walrus) a nové komponenty sběru dat síťového provozu (například síťovou sondu FlowMon na platformě COMBO).

  • Vysoký výkon a schopnost analyzovat síťový provoz v řádu Gb/s
    Využití speciálně navrženého hardwaru založeného na technologii FPGA umožnilo bezdrátové měření síťového provozu ve formátu NetFlow na síťových linkách s provozem v řádu Gb/s.

  • Ochrana soukromí koncových uživatelů i přenášeného obsahu
    Systém sledoval síťový provoz skrze statistická data, pro analyzování dat proto nebylo zapotřebí nahlížet do obsahu. Veškerá citlivá data koncových uživatelů zůstala v bezpečí. Systém rovněž zvládat analyzovat šifrovaný provoz, i z tohoto důvodu bylo možné odhalit neznámé typy útoků.

  • Inteligentní uživatelské rozhraní
    Ovládání a řízení systému jsme vyřešili pomocí inteligentního uživatelského rozhraní, které poskytovalo relevantní informace k incidentům a umožnilo definovat bezpečnostní politiku. Systém poskytoval přehledné vizualizace, které též usnadnily orientaci v situaci.

Úspěchy projektu

Výsledky projektu nyní využívají společnosti vzešlé z akademického prostředí (INVEA-TECH a AdvaICT z Masarykovy univerzity nebo Cognitive Security z Českého vysokého učení technického). Projekt vzešel ze spolupráce s Armádou spojených států (Velitelské centrum pro vědu, výzkum a inženýrství).

IDENTIFIKAČNÍ KÓD
N62558-07-C-0001