Система детектирования вторжений для формально описанных сетей

Информационно-Коммуникационные Технологии шаг за шагом превращают окружающую действительность в коммуницирующую интеллектуальную среду. В основе этой среды находятся встраиваемые и киберфизические системы, построенные из электронных компонент, встраиваемых процессоров и программного обеспечения. Чем более “интеллектуальную” функцию осуществляет элемент среды, тем сложнее в нем программное и аппаратное обеспечение.

Со временем количество таких устройств будет увеличиваться, некоторые из них будут выходить из поддержки производителей, их программное обеспечение перестанет обновляться, что может привести к появлению критических уязвимостей, что в свою очередь может привести к стремительному распространению вредоносного ПО. Для предотвращения распространения вредоносного ПО необходимо присутствие в сети специального активного компонента - специализированного сетевого оборудования, выявляющего наличие вредоносного кода в трафике и отклонения в “поведении” элементов сети.

В настоящее время на рынке присутствует множество анализаторов трафика, из них наиболее известные - SNORT и Suricata. Кроме того, существует значительное количество исследовательских работ посвященных применению техник машинного обучения для выявления аномального трафика. Все эти проекты объединены одним подходом - в них в явной (правила SNORT) или неявной (нейронные сети и модели пакетов) форме описывается детектируемое изменение поведения (аномалии). Такой подход обладает существенным недостатком - нет возможности математического доказательства полноты набора правил, высока вероятность возникновения ошибок второго рода, неспособность IDS противостоять будущим вторжениям.

В данном проекте мы используем другую стратегию. Вместо концентрации на поиске аномального поведения, мы концентрируемся на формальном описании модели цифровой сети и детектируем несоответствия работы сети ее формальному описанию.