КАРТОЧКА
ПРОЕКТА ФУНДАМЕНТАЛЬНЫХ И ПОИСКОВЫХ НАУЧНЫХ ИССЛЕДОВАНИЙ,
ПОДДЕРЖАННОГО РОССИЙСКИМ НАУЧНЫМ ФОНДОМ
Информация подготовлена на основании данных из Информационно-аналитической системы РНФ, содержательная часть представлена в авторской редакции. Все права принадлежат авторам, использование или перепечатка материалов допустима только с предварительного согласия авторов.
ОБЩИЕ СВЕДЕНИЯ
Номер 21-71-20078
НазваниеАналитическая обработка больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования компьютерных инцидентов в критически важных инфраструктурах
РуководительКотенко Игорь Витальевич, Доктор технических наук
Организация финансирования, регион Федеральное государственное бюджетное учреждение науки "Санкт-Петербургский Федеральный исследовательский центр Российской академии наук", г Санкт-Петербург
| Период выполнения при поддержке РНФ | 2021 г. - 2024 г. |
Конкурс№51 - Конкурс 2021 года по мероприятию «Проведение исследований на базе существующей научной инфраструктуры мирового уровня» Президентской программы исследовательских проектов, реализуемых ведущими учеными, в том числе молодыми учеными.
Объект инфраструктуры Суперкомпьютерный центр «Политехнический».
Область знания, основной код классификатора 01 - Математика, информатика и науки о системах, 01-406 - Технология защиты ресурсов распределенных информационно-вычислительных систем
Ключевые словаинформационная безопасность, кибербезопасность, аналитическая обработка данных, компьютерный инцидент, поддержка принятия решений, критически важная инфраструктура, большие данные, форенсика
Код ГРНТИ50.37.23
ИНФОРМАЦИЯ ИЗ ЗАЯВКИ
Аннотация
Стремительное внедрение компьютерных систем и сетей в государственную, производственно-экономическую и социально-культурную сферы современного общества является мощным стимулом их дальнейшего развития. В полной мере это справедливо и для критически важных инфраструктур, в том числе в сферах энергетики, управления транспортом, нефтегазовой отрасли, автоматизированного промышленного производства, управления городским хозяйством, науке, обеспечения обороноспособности, правопорядка и в Российской Федерации в целом. В то же время, многообразие киберугроз и необходимость противодействия им в современных условиях остро ставит проблему построения систем аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования компьютерных инцидентов в критически важных инфраструктурах.
В настоящее время эта проблема имеет недостаточное количество научно-технических решений. При этом известные средства и системы аналитической обработки данных о событиях кибербезопасности не отвечают предъявляемым требованиям по оперативности, полноте, точности и адекватности принимаемых решений. Во многом это объясняется, во-первых, взрывным ростом объемов данных о событиях и инцидентах кибербезопасности, которые необходимо обрабатывать для принятия своевременных и адекватных решений по противодействию киберугрозам, а, во-вторых, разнородностью этих данных. В результате возникает необходимость эффективного применения методов имитационного и графо-ориентированного моделирования, выявления аномальной активности и нарушений в политиках безопасности, оценки сетевой защищенности, оперативного анализа и управления рисками кибербезопасности, оперативного принятия решений, а также оперативной визуализации. Этим обусловливается высокая актуальность тематики и результатов проекта.
Проект направлен на решение фундаментальной задачи, заключающейся в разработке научно-методического обеспечения, включающего совокупность взаимосвязанных методов, моделей, методик и алгоритмов, а также реализующих их программных приложений и технологий, предназначенных для построения и функционирования интеллектуальных систем аналитической обработки больших объемов информации о кибербезопасности. Эти интеллектуальные системы призваны обеспечить оперативную обработку больших массивов гетерогенных данных, их точный анализ для оптимального управления рисками кибербезопасности, а также высокую полноту и достоверность оценки состояния, поддержки принятия решений и расследования инцидентов, используя при этом современные платформы параллельных вычислений, методы искусственного интеллекта, в том числе машинного обучения, методы и средства обработки больших данных и методы их онтологического представления, методы анализа инцидентов, а также методы оперативной визуализации и т.д.
Декомпозиция задачи на подзадачи осуществляется в соответствии с уровнями архитектуры и новыми компонентами, которые должны входить в состав перспективной системы аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности. Новыми компонентами такой системы являются: (1) компоненты обнаружения в реальном времени атак на основе имитационного и графо-ориентированного моделирования; (2) компоненты обнаружения в реальном времени аномальной активности и нарушений критериев и политик безопасности; (3) компоненты оперативной оценки защищенности информационных, телекоммуникационных и других критически важных ресурсов; (4) компоненты оперативного анализа и управления рисками информационной безопасности; (5) компоненты оперативной визуализации больших массивов гетерогенных данных о событиях кибербезопасности; (6) компоненты принятия решений по защите информационных, телекоммуникационных и других критически важных ресурсов; (7) компоненты проведения расследований компьютерных инцидентов на основе аналитической обработки больших массивов гетерогенных данных о кибербезопасности.
Разработанные в проекте модели и методы предполагается оценить на следующих предметных областях: (1) инфраструктура энергетической системы; (2) фрагмент инфраструктуры РЖД; (3) инфраструктура системы управления большим городом.
Анализ мировой научной литературы показывает, что в такой постановке данная задача ставится впервые, чем определяется ее высокая научная значимость и новизна. В проекте впервые планируется объединить и совместно использовать модели и методы аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования компьютерных инцидентов в критически важных инфраструктурах.
Адаптированные методы моделирования сложных многошаговых атак будут использовать графы (деревья атак, графы с перечислимым множеством состояний, графы зависимостей, графы путей реализации атак), байесовские сети (байесовские графы атак, скрытые Марковские модели), сети Петри (раскрашенные сети Петри, стохастические сети, нечеткие сети Петри), имитационные (многоагентные) модели. Для реализации методов и моделей обнаружения в реальном времени аномальной активности и нарушений критериев и политик безопасности предполагается использовать методы распределенного машинного обучения на больших данных, в том числе глубокого обучения, нечеткой кластеризации и нечеткого логического вывода, а также методы эволюционных вычислений (генетические алгоритмы, алгоритмы муравьиной колонии и т.д.). При обнаружении нарушений критериев и политик безопасности предполагается выявлять расхождения критически важных ресурсов и бизнес–процессов с внутренними политиками безопасности и принимать меры по приведению их в соответствие друг с другом. Модели и методы оперативной оценки защищенности информационных, телекоммуникационных и других критически важных ресурсов предлагается построить на основе многоуровневой системы метрик защищенности, связанных с результатами моделирования сложных многошаговых атак и последствий реализации контрмер. Для разработки моделей и методов оперативного анализа и управления рисками информационной безопасности предлагается использовать методы нечеткой классификации и кластеризации, нечеткой оптимизации и нечеткого логического вывода. Модели и методы оперативной визуализации больших массивов гетерогенных данных о событиях кибербезопасности предполагается разрабатывать на основе использования как стандартных, так и специально разработанных для этой цели нестандартных моделей и методов визуализации данных, в том числе виртуальной и дополненной реальности. В моделях и методах принятия решений по защите информационных, телекоммуникационных и других критически важных ресурсов предполагается использовать онтологическое представление данных о кибербезопасности и связанные с ними методы логического вывода, а также методы биоинспирированной оптимизации, нейросетевого моделирования и машинного обучения, связанные с результатами имитационного моделирования атак. Модели и методы проведения расследования компьютерных инцидентов предлагается разрабатывать с использованием методов анализа инцидентов, ситуационного управления, корреляции больших гетерогенных данных.
Предметные области, выбранные для оценки результатов, характеризуются жесткими требованиями по полноте и точности аналитической обработки данных о кибербезопасности (инфраструктура энергетической системы), высокой производительностью и масштабируемостью обработки больших потоков данных (фрагмент инфраструктуры РЖД), высокой достоверностью и адекватностью принимаемых решений при обработке неполных, противоречивых и нечетких знаний (инфраструктура системы управления большим городом).
Ожидаемые результаты
В ходе выполнения проекта ожидается получение следующих результатов:
1. Концепция аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования компьютерных инцидентов в критически важных инфраструктурах.
2. Модели, методы, алгоритмы и программные прототипы обнаружения в реальном времени атак на основе имитационного и графо-ориентированного моделирования.
3. Модели, методы, алгоритмы и программные прототипы обнаружения в реальном времени аномальной активности и нарушений критериев и политик безопасности на основе аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности.
4. Модели, методы, алгоритмы и программные прототипы оперативной оценки защищенности информационных, телекоммуникационных и других критически важных ресурсов на основе аналитической обработки больших массивов гетерогенных данных.
7. Модели, методы, алгоритмы и программные прототипы оперативного анализа и управления рисками информационной безопасности на основе аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования инцидентов.
8. Модели, методы, алгоритмы и программные прототипы оперативной визуализации больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования инцидентов.
9. Модели, методы, алгоритмы и программные прототипы принятия решений по защите информационных, телекоммуникационных и других критически важных ресурсов на основе аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности.
10. Модели, методы, алгоритмы и программные прототипы проведения расследований компьютерных инцидентов на основе аналитической обработки больших массивов гетерогенных данных о кибербезопасности.
11. Результаты теоретической, экспериментальной и маркетинговой оценки методов, моделей, методик, алгоритмов, архитектур и программных прототипов аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования компьютерных инцидентов в критически важных инфраструктурах.
12. Информационная технология аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования компьютерных инцидентов в критически важных инфраструктурах.
13. Научно-технические предложения по применению разработанных методов, моделей, методик, алгоритмов, архитектур, программных приложений и технологии аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования компьютерных инцидентов в различных сценариях критически важных инфраструктур (инфраструктура энергетической системы, фрагмент инфраструктуры РЖД, инфраструктура управления большим городом).
Отмеченные результаты будут оригинальными; они будут основываться на разработках исполнителей проекта, выполненных ранее и выполняемых в настоящее время, а также базироваться на современных достижениях в области средств и методов интеллектуального анализа данных, параллельных вычислений, обработки больших данных, обработки неполных, противоречивых и нечетких знаний, принятия решений, защиты информации, моделирования и др.
Оригинальность планируемых результатов подтверждается тем фактом, что до настоящего времени научная задача разработки научно-методического обеспечения, включающего совокупность взаимосвязанных методов, моделей, методик и алгоритмов, а также реализующих их программных прототипов, предназначенных для построения и функционирования интеллектуальных систем аналитической обработки больших объемов собираемой информации о кибербезопасности, обеспечивающих оперативный, надежный и устойчивый сбор больших массивов гетерогенных данных о компьютерных инцидентах, их достоверную и масштабируемую аналитическую обработку и выработку адекватных мер противодействия, в указанной в проекте постановке в России не ставилась, а за рубежом проблема вынесена на обсуждение лишь в середине 2010-х годов (практические разработки, основанные на технологии больших данных, появились только в конце 2010-х). Известные отечественные и зарубежные публикации по этой тематике малочисленны и позволяют говорить только о начальном этапе становления данного научного направления.
Основные результаты работы носят фундаментальный и исследовательский характер. Они имеют большое общегосударственное и национальное значение в силу возможности своего применения в автоматизированных системах критически важных объектов, а также в телекоммуникационном секторе, в силовых министерствах и ведомствах, в административно-государственных структурах, в которых широко используются компьютерные системы и сети и предъявляются повышенные требования по кибербезопасности. Кроме того, потребителями могут быть российские и иностранные коммерческие организации, занимающиеся разработкой и внедрением перспективных средств аналитической обработки больших массивов данных при мониторинге безопасности информационно-телекоммуникационных систем.
Основные результаты проекта планируется опубликовать в 32 статьях в изданиях, индексируемых в базах данных «Сеть науки» (Web of Science) или «Скопус» (Scopus), в том числе в Journal of Computational Science (Q1), Simulation Modelling Practice and Theory (Q1), IEEE Transactions on Emerging Topics in Computing (Q1), IEEE Acсess (Q1), Sensors (Q1), Journal of Information Security and Applications (Q2), Electronics (Q2), Energies (Q2), Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications (Q2), Information (Q3), «Труды СПИИРАН» (Q2), а также в 36 статьях в русскоязычных изданиях, учитываемых в РИНЦ, в том числе «Вестник Российской академии наук», «Информационно-управляющие системы», «Вопросы защиты информации», «Проблемы информационной безопасности. Компьютерные системы», «Защита информации. Инсайд», «Изв. вузов. Приборостроение», «Безопасность информационных технологий», «Информационные технологии» и др. Кроме того, планируется публикация в трудах ведущих международных конференций. Планируется также подготовка 2 монографий, содержащих основные результаты проекта.
ОТЧЁТНЫЕ МАТЕРИАЛЫ
Аннотация результатов, полученных в 2021 году
1. Разработана концепция аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования компьютерных инцидентов в критически важных инфраструктурах (КВИ). Концепция описывает: принципы организации аналитической обработки больших массивов гетерогенных данных; цели и задачи перспективных систем мониторинга и управления безопасностью КВИ, а также предъявляемые к ним требования; особенности применения технологии суперкомпьютерных вычислений для анализа данных по кибербезопасности; механизмы обеспечения оценки состояния, поддержки принятия решений и расследования инцидентов кибербезопасности; описание КВИ категорий «Интернет вещей» и «киберфизическая система»; обобщенную архитектуру разрабатываемой системы. Сформулированы основные задачи, решаемые системой: оперативное обнаружение атак и нарушений политики безопасности; выявление инцидентов безопасности и их приоритезация; автоматическое реагирование на инциденты безопасности; ведение базы знаний по инцидентам безопасности; аудит и расследование инцидентов безопасности; оценка угроз для отдельных ресурсов КВИ. Их решение в среде суперкомпьютерных вычислений предполагает использование графических CUDA-ускорителей, библиотек TensorFlow, TyTorch и Theano, технологии MPI, акторной модели. Определены основные аналитические компоненты системы: обнаружения атак; обнаружения аномалий; оценки защищенности; анализа рисков; принятия решений; визуализации; расследования компьютерных инцидентов. Функционирование системы осуществляется в режимах обучения и эксплуатации.
2. Разработан общий подход и требования, предъявляемые к компонентам обнаружения в реальном времени атак на основе имитационного и графо-ориентированного моделирования. Проведенный анализ современного состояния исследований позволил выделить методы обнаружения, основанные на графах, байесовских сетях, Марковских моделях, сетях Петри, имитационном моделировании и технологиях больших данных для обнаружения многошаговых атак. Требования, предъявляемые к компонентам обнаружения, рассмотрены с точки зрения возможных атакующих воздействий и процесса их обнаружения, защищаемой КВИ, структуры и объема обрабатываемых данных, вариативности и масштабируемости подхода, а также тестирования. Обнаружение проводится в режиме, близком к режиму реального времени, с возможностью оперативного выявления известных видов инцидентов безопасности в отведенные временные рамки. Структура компонентов обнаружения атак предполагает возможность встраивания в процессе настройки частных модулей выявления атак. Все встроенные и включенные в работу модули обнаружения функционируют параллельно, в результате чего их функции могут быть распределены в рамках вычислительного кластера суперкомпьютера.
3. Разработан общий подход и требования, предъявляемые к компонентам обнаружения в реальном времени аномальной активности и нарушений критериев и политик безопасности на основе аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности. Проблема обнаружения в реальном времени аномальной активности и нарушений критериев и политик безопасности связана с решением задач, обусловленных большими объемами анализируемых данных и их размерностью, и высокой скоростью генерации новых потоков данных. Эти задачи порождают научно-практические вызовы, связанные с асинхронной генерацией данных, выявлением динамических связей между событиями, разнородностью используемых форматов и схем описания событий, а также смещением концепта в данных. Ключевые требования к компонентам обнаружения аномальной активности и нарушений критериев и политик безопасности связаны с обеспечением масштабируемости, оперативности, полноты и достоверности принимаемого решения, а также адаптивностью процедур обработки больших массивов данных о событиях безопасности. В структурной схеме компонентов можно выделить два уровня: планирования задач, связанных с обработкой событий, и обработки событий безопасности. Второй уровень представлен множеством программных модулей, обеспечивающих несколько режимов работы: модули обнаружения аномалий, модули верификации модели, а также модули, реализующие дообучение моделей, которые будут позволять не переобучать все обученные ранее модели машинного обучения, а расширять и уточнять состав типов нарушений критериев и политик безопасности и аномальной активности.
4. Разработан общий подход и требования, предъявляемые к компонентам оперативной оценки защищенности информационных, телекоммуникационных и других критически важных ресурсов на основе аналитической обработки больших массивов гетерогенных данных. Подход включает этапы разработки требований к оценке защищенности, спецификации оценки защищенности, разработки проекта оценки защищенности, проведения оценки защищенности и формирование заключения об оценке защищенности. В его основу положена разработка модельно-методического аппарата для оценки информационных, телекоммуникационных и других критически важных ресурсов на основе совместного применения графов атак и графов зависимостей сервисов. При этом в среде суперкомпьютерных вычислений могут использоваться технология MPI и распределенная память суперкомпьютера. Выделенные функциональные требования определяют необходимость комплексной оценки защищенности, поддержки принятия мер защиты, фиксации критериев, процедур, инструментов оперативной оценки защищенности и форм представления ее результатов, указания условий и границ применения компонента оценки защищенности. К квалиметрическим требованиям относятся: несмещенность, состоятельность, эффективность и достаточность оценки защищенности ресурсов КВИ.
5. Разработан общий подход и требования, предъявляемые к компонентам оперативного анализа и управления рисками информационной безопасности на основе аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования инцидентов. Цель этих компонентов определить уровень рисков кибербезопасности, обеспечить баланс между стоимостью возможных негативных последствий и стоимостью мер защиты, и выработать рекомендации по обработке выявленных рисков. В условиях больших объемов данных компоненты анализа и управления рисками должны оперативно реагировать на изменяющуюся ситуацию, пересчитывать и сравнивать с критерием интегральные оценки. Достижение сформулированных требований к данным компонентам возможно при использовании комплекса методов, в том числе формирования модели атак в виде графа в условиях обработки больших данных и с учетом неизвестных уязвимостей, обработки больших графов атак с целью вычисления метрик безопасности, обработки графов атак с циклами, формировании объективных интегральных метрик и объяснении их смысла на основе онтологического подхода, параллельной обработки больших данных, в частности при формировании и обработке графовых моделей и онтологий, реализованных для исполнения на высокопроизводительном кластере с поддержкой горизонтального масштабирования вычислительных ресурсов в рамках данного компонента.
6. Разработан общий подход и требования, предъявляемые к компонентам оперативной визуализации больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования инцидентов. Были выявлены основные проблемы оперативной визуализации больших массивов гетерогенных данных, которые включают в себя выбор модели визуализации, обеспечение оперативности, восприятие данных большого объема, обработку гетерогенных данных и многомерность данных. Сформированный список требований к оперативной визуализации включает возможности агрегации данных путем агрегации объектов и измерений, поддержки преобразования гетерогенных данных к количественному или категориальному виду, а также определения структуры данных, обеспечения оперативности путем возможности горизонтального масштабирования вычислительных мощностей, включения моделей визуализации, которые способны отображать агрегированные объекты и человеко-машинного взаимодействия. Общий подход к визуализации представлен в виде стандартного конвейера визуализации, адаптированного для визуализации больших массивов гетерогенных данных, в виде схемы: анализ данных - агрегация - разметка - отрисовка. На основе данного общего подхода предложена архитектура компонента визуализации с поддержкой масштабирования модулей за счет методов параллельной обработки данных.
7. Разработан общий подход и требования, предъявляемые к компонентам принятия решений по защите информационных, телекоммуникационных и других критически важных ресурсов на основе аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности. Основное ограничение при принятии решений состоит в большом количестве вариантов решений и их характеристик, которые необходимо проанализировать. Поэтому для эффективного решения поставленной задачи требуется адаптация применяемого модельного аппарата под условия и ограничения современных систем параллельной обработки, в том числе с использованием суперкомпьютерных технологий и кластерных вычислений. В структурной схеме компонентов выделяются уровни планирования задач и принятия решений. Второй уровень представлен множеством программных модулей, обеспечивающих статический и динамический режим работы компонента. В том числе выделяются модули: обработки данных о событиях и данных безопасности из внешних источников; инвентаризации активов; формирования и обновления модели атак; формирования модели атакующего; формирования модели контрмер, интеграции с моделью атак; взаимодействия с компонентами оценивания и анализа защищенности, обнаружения атак и аномалий; принятия решений и вычисления показателей выбора мер реагирования; определения времени, доступного на принятие решения; взаимодействия с суперкомпьютерным центром; взаимодействия с компонентами визуализации.
8. Разработан общий подход и требования, предъявляемые к компонентам проведения расследований компьютерных инцидентов на основе аналитической обработки больших массивов гетерогенных данных о кибербезопасности. Общий подход к расследованию инцидентов включает следующие процедуры: индексация, хеширование и подписание цифровой подписью входных данных для удобства поиска, гарантии целостности и подлинности; данные о сценариях атак и их контексте поступают от компонентов обнаружения в реальном времени атак; данные об аномалиях поступают от компонентов обнаружения в реальном времени аномальной активности и нарушений критериев и политик безопасности; приоритет обнаруженных атак и аномалий для расследования инцидентов определяется на основе данных о критичности элементов КВИ, предоставляемых компонентами оперативного анализа и управления рисками информационной безопасности; в качестве выходных данных предоставляются отчеты о хранимых инцидентах безопасности, включая их контекст, а также связанных с ними инцидентах. Кроме того, формируются данные для компонентов оперативной визуализации с целью их отображения для аналитики.
Результаты исследований были опубликованы в 12 статьях, индексируемых WoS и Scopus, и 14 статьях и тезисах докладов, индексируемых РИНЦ. Опубликована одна монография. При выполнении проекта было подготовлено 9 свидетельств о государственной регистрации программ для ЭВМ. Члены коллектива участвовали в апробации результатов на 12 российских и международных конференциях и семинарах.
Также были подготовлены и проведены курсы по повышению квалификации в сфере киберкриминалистики для сотрудников Следственного комитета из разных регионов России [https://tass.ru/obschestvo/13166641/amp]. Для имитации действий нарушителей и сбора данных о событиях безопасности был разработан прототип информационной системы и организован Хакатон (соревнование по этичному хакингу) для студентов вузов Санкт-Петербурга. В мероприятии приняло участие 29 команд, более 70 студентов [https://spark.ru/user/139694/blog/82190/uchyonie-spb-fits-ran-testiruyut-algoritmi-obnaruzheniya-atak].
URL: http://comsec.spb.ru/ru/projects/
URL: http://comsec.spb.ru/en/projects/
Публикации
1. Буйневич М.В., Израилов К.Е., Котенко И.В., Курт П.А. Method and algorithms of visual audit of program interaction Journal of Internet Services and Information Security, Volume 11, No.10, P.16-43. (год публикации - 2021) https://doi.org/10.22667/JISIS.2021.02.28.016
2. Быстров И.С., Котенко И.В. Анализ моделей поведения пользователей для задачи обнаружения кибер-инсайдеров Юбилейная X Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2021). 2021. СПб. : СПбГУТ., Том 1. С. 139-143. (год публикации - 2021)
3. Гайфулина Д. А., Котенко И.В. Анализ критериев классификации подходов к корреляции событий безопасности Юбилейная X Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2021). 2021. СПб. : СПбГУТ., Том 1. С.315-319. (год публикации - 2021)
4. Донсков Е.А., Котенко И.В. Анализ состязательных атак на компоненты машинного обучения систем обнаружения вторжений Юбилейная X Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2021). 2021. СПб. : СПбГУТ., Том 1. С.315-319. (год публикации - 2021)
5. Зеличенок И.Ю., Котенко И.В. Анализ методов выявления многошаговых атак Юбилейная X Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2021). 2021. СПб. : СПбГУТ., Том 1. С.400-405. (год публикации - 2021)
6. Котенко И.В., Лаута О.С, Крибель К.А., Саенко И.Б. LSTM Neural Networks for Detecting Anomalies caused by Web Application Cyber Attacks New Trends in Intelligent Software Methodologies, Tools and Techniques / Frontiers in Artificial Intelligence and Applications. H. Fujita and H. Perez-Meana (Eds.). IOS Press, V.337. P.127-140. (год публикации - 2021) https://doi.org/10.3233/FAIA210014
7. Котенко И.В., Паращук И.Б. Evaluation of Information Security of Industrial Automation Systems Using Fuzzy Algorithms and Predicates 2021 International Russian Automation Conference (RusAutoCon). 5-11 Sept. 2021. Sochi, Russian Federation. IEEE. IEEE Xplore, P.261-266 (год публикации - 2021) https://doi.org/10.1109/RusAutoCon52004.2021.9537332
8. Котенко И.В., Паращук И.Б. Specification of Quality Indicators for Security Event and Incident Management in the Supply Chain International Journal of Computing, 20(1), P.22-30 (год публикации - 2021) https://doi.org/10.47839/ijc.20.1.2088
9. Котенко И.В., Паращук И.Б., Эль Баз Д. Selection and justification of information security indicators for materials processing systems 2021 International Conference on Modern Trends in Manufacturing Technologies and Equipment, ICMTMTE 2021; Sevastopol; Russian Federation; September 2021. MATEC Web of Conferences., 346, 01019, 2021. P.1-13. (год публикации - 2021) https://doi.org/10.1051/matecconf/202134601019
10. Котенко И.В., Пучков В.В. Анализ методик оценивания защищенности киберфизических систем Юбилейная X Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2021). 2021. СПб. : СПбГУТ., Том 1. С.531-536. (год публикации - 2021)
11. Котенко И.В., Саенко И.Б., Лаута О.С,, Карпов М.А. Methodology for management of the protection system of smart power supply networks in the context of cyberattacks Energies, 14, 5963 (год публикации - 2021)
12. Котенко И.В., Саенко И.Б., Лаута О.С,, Карпов М.А., Крибель К.А. An Approach to Modeling of the Security System of Intelligent Transport Systems Based on the Use of Flat Graphs Proceedings of the Fifth International Scientific Conference “Intelligent Information Technologies for Industry” (IITI’21). Lecture Notes in Networks and Systems (LNNS), Vol.330. Springer, Cham., Vol.330. pp 440-451. (год публикации - 2022) https://doi.org/10.1007/978-3-030-87178-9_44
13. Котенко И.В., Хмыров С.С. Анализ актуальных методик атрибуции нарушителей кибербезопасности при реализации целевых атак на объекты критической инфраструктуры Юбилейная X Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2021). 2021. СПб. : СПбГУТ., Том 1. С.536-541. (год публикации - 2021)
14. Лаута О.С, Саенко И.Б., Котенко И.В. Increasing the Reliability of Computer Network Protection System by Analyzing its Controllability Models 2021 International Russian Automation Conference (RusAutoCon). 5-11 Sept. 2021. Sochi, Russian Federation. IEEE. IEEE Xplore, P.537-542 (год публикации - 2021) https://doi.org/10.1109/RusAutoCon52004.2021.9537393
15. Лаута О.С, Саенко И.Б., Котенко И.В. Increasing the Reliability of Computer Network Protection System by Analyzing its Controllability Models 5-11 Sept. 2021. Sochi, Russian Federation. IEEE. IEEE Xplore, P.537-542. (год публикации - 2021) https://doi.org/10.1109/RusAutoCon52004.2021.9537393
16. Привалов А.А., Котенко И.В., Саенко И.Б., Евглевская Н.В., Титов Д.А. Evaluating the operation quality of data transmission networks in electric power complexes in the context of cyber attacks Energies, 14(16), 4755 (год публикации - 2021) https://doi.org/10.3390/en14164755
17. Саенко И.Б., Котенко И.В., Скорик Ф.А., Аль-Барри М.Х. Detecting Anomalous Behavior of Users of Data Centers based on the Application of Artificial Neural Networks LNAI 12948. Artificial Intelligence, 19th Russian Conference, RCAI 2021, Taganrog, Russia, October 11–16, 2021, Proceedings. Springer., P.331–342 (год публикации - 2021) https://doi.org/10.1007/978-3-030-86855-0_2
18. Синещук Ю.И., Терехин С.А., Саенко И.Б., Котенко И. В. Evaluation of graphical user interfaces by the search time for information objects International Conference on Automatics and Energy (ICAE 2021). Journal of Physics: Conference Series. IOP Publishing., Volume 2096. P.1-6. (год публикации - 2021) https://doi.org/10.1088/1742-6596/2096/1/012076
19. Ушаков Р.И., Дойникова Е.В., Новикова Е.С., Котенко И.В. CPE and CVE based Technique for Software Security Risk Assessment The 11th IEEE International Conference on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS 2021). 2021. 22-25 September, 2021, Cracow, Poland., Vol.1. P.353-356 (год публикации - 2021)
20. Дойникова Е.В., Котенко И.В. Оценивание защищенности и выбор контрмер для управления кибербезопасностью Оценивание защищенности и выбор контрмер для управления кибербезопасностью. Монография / Е.В. Дойникова и И.В. Котенко. СПб.: Изд-во «Наука», 2021., 184 с. (год публикации - 2021)
21. Быстров И.С., Котенко И.В. Классификация подходов к построению моделей поведения пользователей для задачи обнаружения кибер-инсайдеров Информационная безопасность регионов России (ИБРР-2021). XII Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 27-29 октября 2021 г. Материалы конференции / СПОИСУ. СПб., С.70-72. (год публикации - 2021)
22. Гайфулина Д.А. Основные критерии систематизации подходов к корреляции событий безопасности Информационная безопасность регионов России (ИБРР-2021). XII Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 27-29 октября 2021 г. Материалы конференции / СПОИСУ. СПб., С.73-75. (год публикации - 2021)
23. Голузина Д.Р., Виткова Л.А. Инструмент eBPF в задачах обнаружения аномалий в системах контейнеризации Перспективные направления развития отечественных информационных технологий (ПНРОИТ 2021): материалы VII межрегиональной научно-практической конференции. Севастополь, 21-25 сентября 2021 г., С. 63-64. (год публикации - 2021)
24. Паращук И.Б. Котенко И.В. Саенко И.Б. Анализ защищенности ресурсов критически важных инфраструктур с точки зрения их доступности: показатели и критерии Информационная безопасность регионов России (ИБРР-2021). XII Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 27-29 октября 2021 г. Материалы конференции / СПОИСУ. СПб., С.87-88. (год публикации - 2021)
25. Паращук И.Б., Котенко И.В., Саенко И.Б. Управление информацией и событиями безопасности на основе нечетких алгоритмов Перспективные направления развития отечественных информационных технологий (ПНРОИТ 2021): материалы VII межрегиональной научно-практической конференции. Севастополь, 21-25 сентября 2021 г., С. 67-68. (год публикации - 2021)
26. Помогалова А.В., Донсков Е.А., Котенко И.В. Децентрализованные финансовые сервисы: общий алгоритм атаки Информационная безопасность регионов России (ИБРР-2021). XII Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 27-29 октября 2021 г. Материалы конференции / СПОИСУ. СПб., С.95-97. (год публикации - 2021)
27. Пучков В.В., Котенко И.В. Анализ защищенности киберфизических систем с использованием графов атак Информационная безопасность регионов России (ИБРР-2021). XII Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 27-29 октября 2021 г. Материалы конференции / СПОИСУ. СПб., С.98-100. (год публикации - 2021)
28. Хмыров С.С., Котенко И.В. Анализ расширенной модели «Cyber Kill Chain» для атрибуции нарушителей кибербезопасности при реализации целевых атак на объекты критической инфраструктуры Информационная безопасность регионов России (ИБРР-2021). XII Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 27-29 октября 2021 г. Материалы конференции / СПОИСУ. СПб., С.103-105. (год публикации - 2021)
29. Десницкий В.А., Мелешко А.В. Компонент выбора параметров имитационных моделей для решения задач обнаружения атак в реальном времени -, 2021669913 (год публикации - )
30. Котенко И.В., Саенко И.Б., Лаута О.С., Карпов М.А. Программный комплекс мониторинга и управления системой защиты сети передачи данных на основе алгоритмов обучения и функционирования рекуррентной искусственной нейронной сети -, 2021680189 (год публикации - )
31. Котенко И.В., Саенко И.Б., Лаута О.С., Крибель А.М. Программный компонент обнаружения аномалий сетевого трафика на основе принципов фрактального анализа данных -, 2021680188 (год публикации - )
32. Левшун Д.С., Чечулин А.А. Модуль извлечения данных безопасности из журналов операционной системы -, 2021680193 (год публикации - )
33. Муренин И.Н., Голубев С.А., Новикова Е.С., Федорченко Е.В. Компонент преобразования программного кода в графические изображения и извлечения атрибутов на их основе для обнаружения атак -, 2021680187 (год публикации - )
34. Новикова Е. С. Гайфулина Д.А., Котенко И.В. Компонент интегральной оценки защищенности информационных ресурсов -, 2021669729 (год публикации - )
35. Новикова Е.С., Федорченко Е.В. Компонент динамического пересчета интегральной оценки на основе данных об аномалиях -, 2021669914 (год публикации - )
36. Новикова Е.С., Федорченко Е.В., Котенко И.В., Федорченко А.В. Компонент обработки и интеграции данных от сенсоров системы управления информационной безопасностью -, 2021669916 (год публикации - )
37. Саенко И.Б., Котенко И.В., Скорик Ф.А., Аль-Барри М.Х. Программное средство обнаружения атак типа SQL-инъекции на основе применения комбинированной нейронной сети -, 2021669490 (год публикации - )
38. - Для СК разработали курсы по киберкриминалистике ТАСС, 10 ДЕК, 11:53 (год публикации - )
39. - Сотрудникам Следственного комитета начали преподавать курсы по киберкриминалистике КАНОБУ, 10.12.21 (год публикации - )
40. - Учёные СПб ФИЦ РАН тестируют алгоритмы обнаружения атак Spark, 10.12.21 (год публикации - )
41. - Учёные СПб ФИЦ РАН тестируют алгоритмы обнаружения атак 123ru.net, 10.12.21 (год публикации - )
42. - Учёные СПб ФИЦ РАН тестируют алгоритмы обнаружения атак news-life, 10.12.21 (год публикации - )
43. - Учёные СПб ФИЦ РАН тестируют алгоритмы обнаружения атак russia24.pro, 10.12.21 (год публикации - )
Аннотация результатов, полученных в 2022 году
1. Разработаны методы, модели, методики и алгоритмы обнаружения в реальном времени атак на основе имитационного и графо-ориентированного моделирования. Разработанный метод обнаружения атак основан на комбинировании аналитического, имитационного и графо-ориентированного моделирования, машинного обучения, искусственных нейронных сетей и технологии больших данных. Метод предполагает возможности распараллеливания процедур обнаружения атак с разбиением по различным сценариям, видам атак, процедурам построения и обработки графов. Модельно-алгоритмическая часть метода специфицирует процедуры, используемые для описания анализируемой системы и ее характеристик, построения графов состояний, определения переходов между состояниями, а также для классификации и прогнозирования будущих состояний.
2. Разработаны методы, модели, методики и алгоритмы обнаружения в реальном времени аномальной активности и нарушений критериев и политик безопасности на основе аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности. Методы обнаружения предусматривают реализацию четырех этапов: предобработки входных данных, классификации объекта, представленного вектором или матрицей атрибутов, формирования решения о статусе объекта и формирования объяснения решений, сделанных на предыдущем этапе. Разработана модельно-алгоритмическая часть методов, которая включает в себя формальную модель выявления аномальной активности и нарушений критериев и политик безопасности на основе аналитической обработки больших массивов гетерогенных данных, модели данных от разнородных источников, в частности, от технологических процессов киберфизических объектов и политик безопасности, и алгоритмы предобработки входных данных в зависимости от типа их источника. Разработана формальная модель объяснений решений, а также алгоритмы их формирования с учетом требований к времени их генерации.
3. Разработаны методы, модели, методики и алгоритмы оперативной оценки защищенности информационных, телекоммуникационных (ИТР) и других критически важных ресурсов (КВР) на основе аналитической обработки больших массивов гетерогенных данных. В качестве основы разработанных моделей и методов используются аналитические выражения для количественного оценивания рисков защищенности, путей высокого риска защищенности (с учетом имеющихся уязвимостей) и максимально возможного риска с учетом максимально возможных уязвимостей. В состав алгоритмов оперативной оценки защищенности включены алгоритмы построения модели сети, построения графа рисков, выделения путей риска, оценки вероятности и воздействия путей риска, оценки сетевых рисков и выбора пути высокого риска. Разработанная методика оперативной оценки защищенности ресурсов ориентирована на совместное выполнение вышеперечисленных алгоритмов. При этом рассчитываются следующие показатели: путь высокого риска для конкретного хоста; путь высокого риска для конкретного злоумышленника; путь высокого риска для конкретной точки входа; путь высокого риска для всей совокупности ресурсов.
4. Разработаны методы, модели, методики и алгоритмы оперативного анализа и управления рисками информационной безопасности на основе аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования инцидентов. Методы отличаются вычислением уровня риска на основе данных об атаках и аномалиях, обнаруженных при совместном анализе сетевого трафика и журналов событий, и применением полученных оценок для прогнозирования развития кибератак с учетом этапа проведения атаки, к которому относится обнаруженное атакующее действие. Разработанная модельно-алгоритмическая часть подхода включает модель анализируемой киберфизической системы, модель атак, модель распространения ущерба в анализируемой системе, а также методики их построения на основе анализа данных журналов событий и сетевого трафика и алгоритмы вычисления уровня риска.
5. Разработаны методы, модели, методики и алгоритмы оперативной визуализации больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования инцидентов. Методика оперативной визуализации больших массивов гетерогенных данных основана на решении задач, описанных на первом этапе проекта, которые возникают при попытке визуализировать большие объемы данных безопасности. При визуализации ставится цель снижения количества объектов, отображаемых на экране с помощью методов агрегации отображаемых измерений и объектов, а также аппроксимации объектов. Решение о применении отдельных алгоритмов и моделей принимается исходя их объема данных, количества измерений и объектов. Решение принимается оператором системы экспериментальным путем. Предложено использовать алгоритмы агрегации измерений (PCA, UMAP, анализа мультиколлинеарности), объектов (K-means, spectral, поиск сообществ на основе модулярности и распространения метки), аппроксимации (KDE, гексогональные решетки) и модели визуализации (столбчатые графики, графики рассеивания, трилинейные координаты, линейные графики, счетчики, параллельные координаты, силовые графы, карты деревьев, радиальные графы, и матрицы).
6. Разработаны методы, модели, методики и алгоритмы принятия решений по защите информационных, телекоммуникационных и других критически важных ресурсов на основе аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования инцидентов. Методы принятия решений отличаются выделением уровней принятия решений в зависимости от доступного времени, возможности автоматической реализации мер защиты и необходимых для реализации мер защиты прав доступа. Кроме того, обеспечивается проактивное и реактивное принятие решений в зависимости от этапа реализации атаки. Разработанные алгоритмы выбора оптимального набора защитных мер используют результаты обнаружения атак и аномалий, а также анализа рисков. Модельно-алгоритмическая часть методов включает модель защитной меры и иерархическую модель принятия решений, а также методику и алгоритм выбора защитных мер, основанный на решении задач многокритериальной оптимизации.
7. Дополнительно к плану разработана архитектура и функциональная структура системы аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности. В функциональной структуре системы выделены служебные компоненты, такие как брокер сообщений, брокер потоков, компоненты оперативного и долговременного хранения, компонент менеджмента и управления вычислениями. Исследованы алгоритмы управления потоками для анализа больших массивов гетерогенных данных. Проведено тестирование существующих информационных технологий обработки Больших данных. Проведен сравнительный анализ фреймворков анализа Больших данных, поддерживаемых ими моделей защищенности, алгоритмов и методов управления потоками, а также возможностей разработки системы управления задачами распараллеливания вычислений. Реализован прототип, позволяющий оценить возможность запуска данных технологий на отечественных операционных системах. Предварительно разработаны и протестированы экспериментальные стенды «Умный дом», «Умный транспорт» и «Офис».
Результаты исследований опубликованы в 21 статье, индексируемой в WoS и Scopus (среди них 5 статей Q1), в одной статье, индексируемой в RSCI, и 21 статье и тезисах докладов, индексируемых в РИНЦ.
При выполнении проекта получены исключительные права на результаты интеллектуальной деятельности (РИД): 1 патент на изобретение, 7 свидетельств о государственной регистрации программ для ЭВМ и 1 свидетельство о государственной регистрации базы данных.
Члены коллектива участвовали в апробации результатов на 13 российских и международных конференциях и семинарах.
URL: http://comsec.spb.ru/ru/projects/
URL: http://comsec.spb.ru/en/projects/
Публикации
1. Виткова Л.А., Крестьяшин Н.А. Классификация источников угроз SQL инъекций XI Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2022). 2022. СПб.: СПбГУТ, 2022., Том 1. С.274-278. (год публикации - 2022)
2. Воробьева А., Хисаева Г.Ф., Заколдаев Д.А., Котенко И.В. Detection of Business Email Compromise Attacks with Writing Style Analysis Mobile Internet Security. 5th International Symposium, MobiSec 2021, Revised Selected Papers. Communications in Computer and Information Science 1544. Springer Nature Singapore Pte Ltd. 2022., Vol.1544. P. 248–262. (год публикации - 2022) https://doi.org/10.1007/978-981-16-9576-6_18
3. Десницкий В.А., Котенко И.В., Паращук И.Б. Vector-based Dynamic Assessment of Cyber-Security of Critical Infrastructures 2022 Conference of Russian Young Researchers in Electrical and Electronic Engineering (ElConRus-2022), St. Petersburg, Moscow, Russia, 2022, IEEE Xplore. 25-28 Jan. 2022., P.277-282. (год публикации - 2022) https://doi.org/10.1109/ElConRus54750.2022.9755836
4. Котенко И.В., Авраменко В., Маликов А., Саенко И.Б. An Approach to the Synthesis of a Neural Network System for Diagnosing Computer Incidents Intelligent Distributed Computing XIV. IDC 2021. Studies in Computational Intelligence, vol 1026. Springer, Cham. 2022., Vol 1026. P.417-426. (год публикации - 2022) https://doi.org/10.1007/978-3-030-96627-0_37
5. Котенко И.В., Гайфулина Д.А., Зеличенок И.Ю. Systematic Literature Review of Security Event Correlation Methods IEEE Access, Vol.10. P. 43387-43420. (год публикации - 2022) https://doi.org/10.1109/ACCESS.2022.3168976
6. Котенко И.В., Израилов К.Е., Буйневич М.В. Analytical modeling for identification of the machine code architecture of cyberphysical devices in Smart Homes Sensors, Vol.22, No.3, 1017. (год публикации - 2022) https://doi.org/10.3390/s22031017
7. Котенко И.В., Израилов К.Е., Буйневич М.В. Static Analysis of Information Systems for IoT Cyber Security: A Survey of Machine Learning Approaches Sensors, Vol.22, No.4, 1335. (год публикации - 2022) https://doi.org/10.3390/s22041335
8. Котенко И.В., Паращук И.Б. Construction of membership functions for fuzzy management of information and security events Studies in Systems, Decision and Control, Vol.417. Alla G. Kravets et al. (Eds): Cyber-Physical Systems. Springer, Cham. 2022., P.99-110. (год публикации - 2022) https://doi.org/10.1007/978-3-030-95116-0_8
9. Котенко И.В., Паращук И.Б. Description of information security events of production and technological systems using fuzzy graphs 2022 International Russian Automation Conference (RusAutoCon). 4-10 Sept. 2022. Sochi, Russian Federation. IEEE. IEEE Xplore. 2022, Vol. (Doc.) #9896271. P.45-50. (год публикации - 2022) https://doi.org/10.1109/RusAutoCon54946.2022.9896271
10. Котенко И.В., Паращук И.Б. Интервальный анализ защищенности телекоммуникационных ресурсов критически важных инфраструктур Математические методы в технологиях и технике, №1. С. 64-67. (год публикации - 2022) https://doi.org/10.52348/2712-8873_MMTT_2022_1_64
11. Котенко И.В., Саенко И.Б. Концепция аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности в критически важных инфраструктурах Конференция «Информационные технологии в управлении» (ИТУ-2022). Сборник материалов. 5 – 6 октября 2022 г. СПб.: СПбГЭТУ «ЛЭТИ»., С.222-225. (год публикации - 2022)
12. Котенко И.В., Саенко И.Б., Кочин В.П. Система аналитической обработки событий кибербезопасности на основе суперкомпьютерных вычислений: концепция построения Информатизация и связь, № 4. С.24–28. (год публикации - 2022) https://doi.org/10.34219/2078-8320-2022–13-4-24-28
13. Котенко И.В., Саенко И.Б., Лаута О.С., Карпов М. Situational Control of a Computer Network Security System in Conditions of Cyber Attacks 2021 14th International Conference on Security of Information and Networks (SIN). 15-17 December 2021. Edinburgh, United Kingdom. IEEE Xplore. 2022., P.1-8. (год публикации - 2022) https://doi.org/10.1109/SIN54109.2021.9699368
14. Котенко И.В., Саенко И.Б., Лаута О.С., Карпов М., Крибель К. An Approach to Modeling of the Security System of Intelligent Transport Systems Based on the Use of Flat Graphs Proceedings of the Fifth International Scientific Conference “Intelligent Information Technologies for Industry” (IITI’21). Lecture Notes in Networks and Systems (LNNS). Springer, Cham. 2022., Vol.330. P.440-451. (год публикации - 2022) https://doi.org/10.1007/978-3-030-87178-9_44
15. Котенко И.В., Саенко И.Б., Лаута О.С., Крибель А.М. Ensuring the survivability of embedded computer networks based on early detection of cyber attacks by integrating fractal analysis and statistical methods Microprocessors and Microsystems, Volume 90, April 2022, 104459. (год публикации - 2022) https://doi.org/10.1016/j.micpro.2022.104459
16. Котенко И.В., Саенко И.Б., Лаута О.С., Крибель А.М. A Proactive Protection of Smart Power Grids against Cyberattacks on Service Data Transfer Protocols by Computational Intelligence Methods Sensors, Vol.22, No.19, 7506. (год публикации - 2022) https://doi.org/10.3390/s22197506
17. Котенко И.В., Федорченко Е.В., Федорченко А.В., Десницкий В.А. Automation of Asset Inventory for Cybersecurity: Investigation of Event Correlation based Technique Electronics, Vol.11, No.15: 2368. (год публикации - 2022) https://doi.org/10.3390/electronics11152368
18. Котенко И.В., Хмыров С.С. Анализ моделей и методик, используемых для атрибуции нарушителей кибербезопасности при реализации целевых атак Вопросы кибербезопасности, № 4 (50). С.52-79. (год публикации - 2022) https://doi.org/10.21681/2311-3456-2022-4-52-79
19. Крюков Р., Зима В., Федорченко Е.В., Новикова Е.С., Котенко И.В. Mapping the Security Events to the MITRE ATT&CK Attack Patterns to Forecast Attack Propagation Attacks and Defenses for the Internet-of-Things. 5th International Workshop, ADIoT 2022, Copenhagen, Denmark, September 30, 2022, Revised Selected Papers. Lecture Notes in Computer Science, Vol.13745. 2022. Springer, Cham., Vol.13745. P.165-176. (год публикации - 2022) https://doi.org/10.1007/978-3-031-21311-3_10
20. Кузнецов М., Новикова Е.С., Котенко И.В. An approach to formal description of the user notification scenarios in privacy policies The 30th Euromicro International Conference on Parallel, Distributed and network-based Processing (PDP 2022). Spain, Valladolid, March 9-11, 2022., P.275-282. (год публикации - 2022) https://doi.org/10.1109/PDP55904.2022.00049
21. Кузнецов М., Новикова Е.С., Котенко И.В., Дойникова Е.В. Privacy Policies of IoT devices: collection and analysis Sensors, Vol.22, No.5, 1838. (год публикации - 2022) https://doi.org/10.3390/s22051838
22. Мелешко А.В., Десницкий В.А., Котенко И.В. Simulation-based and Graph oriented Approach to Detection of Network Attacks 11th Mediterranean Conference on Embedded Computing (MECO 2022), P.436-439. (год публикации - 2022) https://doi.org/10.1109/MECO55406.2022.9797159
23. Муренин И., Дойникова Е.В., Котенко И.В. Towards Security Decision Support for large-scale Heterogeneous Distributed Information Systems 2021 14th International Conference on Security of Information and Networks (SIN). 15-17 December 2021. Edinburgh, United Kingdom. IEEE Xplore. 2022., P.1-8. (год публикации - 2022) https://doi.org/10.1109/SIN54109.2021.9699195
24. Новикова Е.С., Гайфулина Д.А., Дойникова Е.В., Котенко И.В. Construction and Analysis of Integral User-Oriented Trustworthiness Metrics Electronics, Vol.11, No.2: 234. (год публикации - 2022) https://doi.org/10.3390/electronics11020234
25. Саенко И.Б., Котенко И.В. Towards Resilient and Efficient Big Data Storage: Evaluating a SIEM system Repository Based on HDFS The 30th Euromicro International Conference on Parallel, Distributed and network-based Processing (PDP 2022). Spain, Valladolid, March 9-11, 2022., P.290-297. (год публикации - 2022) https://doi.org/10.1109/PDP55904.2022.00051
26. Синещук Ю., Вострых А., Саенко И.Б. Designing a Human-Machine Interface Based on the Cognitive Model of Users of Information Systems 2022 International Russian Automation Conference (RusAutoCon). 4-10 Sept. 2022. Sochi, Russian Federation. IEEE. IEEE Xplore. 2022, Vol. (Doc.) #9896271. 2022, pp. 377-382. (год публикации - 2022) https://doi.org/10.1109/RusAutoCon54946.2022.9896356
27. Быстров И.С., Котенко И.В. Модель поведения пользователей для решения задачи обнаружения кибер-инсайдеров в информационных системах организаций XI Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2022). 2022. СПб.: СПбГУТ, 2022., Том 1. С. 225-229. (год публикации - 2022)
28. Быстров И.С., Котенко И.В. Показатели для оценки результатов машинного обучения применительно к задаче обнаружения кибер-инсайдеров Сборник научных статей XVIII Санкт-Петербургской международной конференции «Региональная информатика (РИ-2022)». СПб: СПОИСУ, 2022., С.141-142. (год публикации - 2022)
29. Веревкин С.А., Федорченко Е.В. Анализ источников данных безопасности для моделирования и оценивания кибератак XI Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2022). 2022. СПб.: СПбГУТ, 2022., Том 1. С.249-251. (год публикации - 2022)
30. Виткова Л.А., Паращук И.Б, Саенко И.Б. Проблематика и особенности процедур аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности в инфокоммуникационных сетях и системах XI Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2022). 2022. СПб.: СПбГУТ, 2022., Том 1. С.279-282. (год публикации - 2022)
31. Гайфулина Д.А., Котенко И.В. Модели обработки событий информационной безопасности в интеллектуальных системах мониторинга и оценки защищенности критически важных инфраструктур XI Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2022). 2022. СПб.: СПбГУТ, 2022., Том 1. С.319-324. (год публикации - 2022)
32. Донсков Е.А., Котенко И.В. Анализ защищенности объектов SD-IoV-Blockchain XI Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2022). 2022. СПб.: СПбГУТ, 2022., Том 1. С.423-428. (год публикации - 2022)
33. Донсков Е.А., Котенко И.В., Помогалова А.В. Анализ отказоустойчивости узла блокчейн-сети при моделировании суточной нагрузки на узел транспортной развязки Сборник научных статей XVIII Санкт-Петербургской международной конференции «Региональная информатика (РИ-2022)». СПб: СПОИСУ, 2022., С.154-156. (год публикации - 2022)
34. Зеличенок И.Ю., Котенко И.В. Методы выявления многошаговых атак на компьютерные сети с помощью машинного обучения Сборник научных статей XVIII Санкт-Петербургской международной конференции «Региональная информатика (РИ-2022)». СПб: СПОИСУ, 2022., С160-161. (год публикации - 2022)
35. Зеличенок И.Ю., Котенко И.В. Выявление многошаговых атак при помощи рекурентных нейронных сетей с применением слоев LSTM Сборник научных статей XVIII Санкт-Петербургской международной конференции «Региональная информатика (РИ-2022)». СПб: СПОИСУ, 2022., С.158-159. (год публикации - 2022)
36. Зеличенок И.Ю., Котенко И.В. Разработка архитектуры стенда генерации трафика для тестирования эффективности модуля обнаружения многошаговых атак XI Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2022). 2022. СПб.: СПбГУТ, 2022., Том 1. С.483-488. (год публикации - 2022)
37. Котенко И.В., Хмыров С.С. Модель компрометации объектов критической информационной инфраструктуры XI Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2022). 2022. СПб. : СПбГУТ, 2022., Том 1. С.614-619. (год публикации - 2022)
38. Левшун Д.А, Котенко И.В. Архитектура системы корреляции событий безопасности на основе интеллектуального анализа данных Сборник научных статей XVIII Санкт-Петербургской международной конференции «Региональная информатика (РИ-2022)». СПб: СПОИСУ, 2022., С.172-173. (год публикации - 2022)
39. Паращук И.Б., Котенко И.В. Оперативная оценка защищенности информационных и телекоммуникационных ресурсов на основе двухэтапной обработки неопределенных данных Конференция «Информационные технологии в управлении» (ИТУ-2022). Сборник материалов. 5 – 6 октября 2022 г. СПб.: СПбГЭТУ «ЛЭТИ»., С.238-241. (год публикации - 2022)
40. Паращук И.Б., Котенко И.В., Саенко И.Б. Построение подсистемы оперативной оценки уровня кибербезопасности информационных и телекоммуникационных ресурсов критической инфраструктуры на основе аналитической обработки больших массивов гетерогенных данных Сборник научных статей XVIII Санкт-Петербургской международной конференции «Региональная информатика (РИ-2022)». СПб: СПОИСУ, 2022., С.97-98. (год публикации - 2022)
41. Пучков В.В., Котенко И.В. Графовые базы данных для построения и анализа графов атак Сборник научных статей XVIII Санкт-Петербургской международной конференции «Региональная информатика (РИ-2022)». СПб: СПОИСУ, 2022., С.179-180. (год публикации - 2022)
42. Пучков В.В., Котенко И.В. Графовые алгоритмы и платформы управления графовыми базами данных для обеспечения кибербезопасности XI Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2022). 2022. СПб.: СПбГУТ, 2022., Том 1. С.609-613. (год публикации - 2022)
43. Хмыров С.С., Котенко И.В. Подход к профилированию кибернарушителя при атрибуции целевых атак на объекты критической информационной инфраструктуры Сборник научных статей XVIII Санкт-Петербургской международной конференции «Региональная информатика (РИ-2022)». СПб: СПОИСУ, 2022., С.190-191. (год публикации - 2022)
44. Браницкий А.А., Новикова Е.С., Котенко И.В. Компонент оценки информативности признаков глубокой нейронной сети для обнаружения аномалий в процессах киберфизических систем -, 2022681602 (год публикации - )
45. Десницкий Василий Алексеевич, Котенко Игорь Витальевич, Паращук Игорь Борисович, Саенко Игорь Борисович, Федорченко Елена Владимировна, Чечулин Андрей Алексеевич УСТРОЙСТВО МОНИТОРИНГА ИНФОРМАЦИОННОГО ТРАФИКА -, 2768543 (год публикации - )
46. Зеличенок И. Ю., Федорченко Е.В., Котенко И.В. База данных оценок рисков на основе аномалий, выявленных в процессах киберфизического объекта -, 2022623300 (год публикации - )
47. Зеличенок И. Ю., Федорченко Е.В., Новикова Е.С. Компонент тестирования моделей обнаружения аномалий и алгоритмов оценки рисков безопасности киберфизических объектов -, 2022681606 (год публикации - )
48. Левшун Д.А., Котенко И.В., Мелешко А.В., Десницкий В.А. Компонент генерации графов переходов состояний системы на основе статистического анализа данных -, 2022681561 (год публикации - )
49. Саенко И.Б., Котенко И.В., Аль-Барри М.Х. Средство моделирования признакового пространства для задачи выявления аномального поведения пользователей центров обработки данных -, 2022681572 (год публикации - )
50. Саенко И.Б., Котенко И.В., Аль-Барри М.Х. Средство обнаружения аномалий в поведении пользователей центров обработки данных на основе методов машинного обучения -, 2022681573 (год публикации - )
51. Саенко И.Б., Николаев В.В., Иванцов Д.С., Котенко И.В. Модель функционирования распределенного хранилища данных системы мониторинга и управления безопасностью -, 2022681604 (год публикации - )
52. Тушканова О.Н., Левшун Д.А., Новикова Е.С. Компонент обнаружения аномалий и расчёт метрик качества обнаружения аномалий во временных рядах -, 2022681599 (год публикации - )
53. - Российские учёные разрабатывают систему кибербезопасности для критически важных объектов spark, 22 Ноября 2022 (год публикации - )
54. - Российские учёные разрабатывают систему кибербезопасности для критически важных объектов Санкт-Петербург - ru24.net, 22.11.2022 (год публикации - )
55. - Российские учёные разрабатывают систему кибербезопасности для критически важных объектов news-life - Новости Санкт-Петербурга, 22 ноября, 10:59 (год публикации - )
56. - Российские учёные разрабатывают систему кибербезопасности для критически важных объектов Россия24.pro, 22 ноября, 10:59 (год публикации - )
57. - Российские учёные разрабатывают систему кибербезопасности для критически важных объектов ria.city, 22 ноября, 10:59 (год публикации - )
58. - Российские учёные разрабатывают систему кибербезопасности для критически важных объектов RSS+, 22 ноября, 10:59 (год публикации - )
Аннотация результатов, полученных в 2023 году
1. Разработаны методы, модели, методики и алгоритмы проведения расследований компьютерных инцидентов на основе аналитической обработки больших массивов гетерогенных данных о кибербезопасности.
Модель проведения расследований компьютерных инцидентов описывает основные множества и подмножества элементов киберпреступлений. Алгоритмы и методики этапов расследования используют этапы модели и её подмножества. Метод проведения расследований компьютерных инцидентов позволяет повысить эффективность работы специалистов при расследовании компьютерных инцидентов информационной безопасности. Он предполагает возможность своего использования для различных видов компьютерных инцидентов в качестве универсального метода расследования. Модельно-алгоритмическая часть метода специфицирует процедуры, используемые для описания этапов расследования, их состава и последовательности действий специалиста.
2. Разработаны архитектура и программные прототипы компонентов обнаружения в реальном времени атак на основе имитационного и графо-ориентированного моделирования.
Архитектура и программные компоненты включают следующие программные модули: (1) предобработки событий, отвечающий за извлечение информационных признаков из входного потока данных и их нормализацию с приведением к единому формату событий безопасности; (2) кластеризации событий для построения ограниченного числа агрегированных состояний системы на основе методов кластеризации; (3) построения графов состояний и переходов с определением допустимых переходов между агрегированными состояниями системы; (4) анализа графа состояний и переходов, отвечающий за обход графа по фактическому потоку событий от системы с целью определения текущего состояний системы; (5) нейросетевого прогнозирования состояний, основанный на рекуррентной нейронной сети и включающий элементы имитационного моделирования на основе правил и статистик.
3. Разработаны архитектура и программные прототипы компонентов обнаружения в реальном времени аномальной активности и нарушений критериев и политик безопасности на основе аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности.
Модельно-алгоритмическая часть включает модули предобработки данных, выявления аномалий, генерации объяснений решений, выдаваемых аналитическими моделями, и реализована с использованием библиотек TensorFlow и PyTorch (для работы с глубокими нейронными сетями, в частности pyOD и pyGOD). Обучение моделей анализа осуществлялось в вычислительной среде СКЦ.
Исходные данные включают набор данных от физических сенсоров и набор данных с системными событиями от службы аутентификации ОС Windows.
Для анализа системных событий разработан компонент их предобработки, который строит граф событий для заданного интервала времени и формирует вектор анализируемых признаков, представленные как структурно-топологическими характеристиками графа, так и статистическими характеристиками событий.
Для выявления аномалий в потоке данных от физических сенсоров использована связка двух моделей-классификаторов: DeepSVDD и модели случайного леса. Для объяснения прогноза используются два локальных метода объяснений - LIME и SHAP, среди которых SHAP является наиболее приемлемым в задаче объяснений аномалий для набора данных SWaT.
4. Разработаны архитектура компонентов оперативной оценки защищенности информационных, телекоммуникационных и других критически важных ресурсов на основе аналитической обработки больших массивов гетерогенных данных.
Архитектура включает два уровня: высокий и низкий. Высокий уровень составляют модули, непосредственно выполняющие оперативную оценку защищенности ресурсов с использованием возможностей СКЦ. В их состав входят следующие модули: построения модели сети; формирования путей риска; оценки рисков; выбора пути высокого риска. В состав модулей низкого уровня входят модули, выполняющие обеспечивающие функции: сбора и предварительной обработки исходных данных; ведения рабочей базы данных; взаимодействия с другими компонентами и с пользователями.
Прототип компонента реализован на языке Python с библиотек networkx, psycopg2, joblib и picle. Для хранения данных используется СУБД PostgreSQL. Для интеграции с компонентом оперативной визуализации используется фреймворк Flask. Для возможности тестирования прототипа компонента на данных сетевых информационных систем большого размера дополнительно разработан генератор сетевых графов.
5. Разработаны архитектура и программные прототипы компонентов оперативного анализа и управления рисками информационной безопасности на основе аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности.
Архитектура включает следующие функциональные модули: формирования интегральной оценки риска в статическом режиме; формирования интегральной оценки риска в динамическом режиме; сравнения интегральной оценки с критерием; постановки задачи компонентам обнаружения атак и аномалий; постановки задачи компоненту поддержки принятия решений. Имеются связи с другими компонентами системы, а также высокопроизводительным кластером. Уточнены форматы входных данных, включая события безопасности, профили устройств и пользователей, и связи между ними, вычисленные значения метрик защищенности для устройств и для пользователей, данные о количестве и типе аномалий, данные о количестве и типе кибератак, историческая информация об оценках рисков, введенные экспертами критерии уровней риска. Программные прототипы реализованы на языке python. Для тестирования и экспериментальной оценки прототипа использован набор данных SWaT.
6. Разработаны архитектура и программные прототипы компонентов оперативной визуализации больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования инцидентов, которые обеспечивают ручной визуальный анализ данных о событиях информационной безопасности при отображении больших объёмов гетерогенных исходных данных, отображение логов аутентификации пользователей, оценку состояния защищенности компьютерной сети и отображение метрик оценки рисков. Архитектура обеспечивает сопряжение модулей системы поддержки принятия решений с модулем оперативной визуализации для решения задач по визуальному поиску аномалий. Программные прототипы компонентов оперативной визуализации входят в систему поддержки принятия решений и обеспечивают возможность визуального поиска оператором аномалий в данных о событиях кибербезопасности.
7. Уточнена архитектура системы аналитической обработки больших массивов гетерогенных данных о событиях кибербезопасности, использующая возможности СКЦ.
Дополнительно разработаны следующие подсистемы: (1) управления, (2) экспериментальной среды, (3) инжиниринга, (4) создания, обучение и валидации моделей, (5) эксплуатации и переобучения моделей.
Выбраны элементы и стеки технологий, которые обеспечивают наиболее высокий уровень производительности и ресурсоэффективности. В качестве основной СУБД выбрана ClickHouse. Для управления потоками выбрана технология Apache Kafka, с которой связана СУБД MongoDB. Для унификации данных созданы модели унификации для User и Hosts. Данные, получаемые от внешних систем, сведения об уязвимостях, об оценках защищенности сохраняются в оперативном хранилище, построенном на базе СУБД MongoDB.
Результаты исследований опубликованы в 15 статьях, индексируемых в WoS и Scopus (среди них 2 статьи Q1), в 2 статьях, индексируемых в RSCI, и 20 статьях и тезисах докладов, индексируемых в РИНЦ.
При выполнении проекта получены исключительные права на РИД: 1 патент на изобретение, 5 свидетельств о государственной регистрации программ для ЭВМ.
Члены коллектива участвовали в апробации результатов на 14 российских и международных конференциях и семинарах.
Ссылка на информационные ресурсы в сети Интернет:
http://comsec.spb.ru/ru/projects/101/getfile - RSCF_21-71-20078_Report_2023_rus.pdf
Публикации
1. Валеев Д.Р., Котенко И.В. Анализ подходов к автоматической обработке результатов фаззинг-тестирования XII Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2023), Т.1. С.219-224 (год публикации - 2023)
2. Донг Х., Котенко И.В. Обнаружение вторжений с помощью многозадачного обучения, оптимизированного с учетом потерь на основе неопределенностей XII Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2023), Т.1. С.412-417 (год публикации - 2023)
3. Донг Х., Котенко И.В. Enhancing IoT Security through Convolutional Variational Autoencoders and Resampling Techniques with GAN Двадцать первая Национальная конференция по искусственному интеллекту с международным участием, КИИ-2023 (Смоленск, 16–20 октября 2023 г.). Труды конференции, Т.1. С.316-328 (год публикации - 2023)
4. Донсков Е.А., Котенко И.В. Алгоритмы обнаружения атак на интеллектуальные транспортные системы с применением технологии распределенного реестра блокчейн XII Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2023), Т.1. С.418-423 (год публикации - 2023)
5. Зеличенок И.Ю., Котенко И.В. Архитектура и реализация прототипа модуля выявления многошаговых атак при помощи краткосрочного и долгосрочного анализа XII Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2023), Т.1. С.537-541 (год публикации - 2023)
6. Ичетовкин Е.А., Котенко И.В. Анализ методов защиты систем обнаружения вторжений от атак на компоненты машинного обучения XII Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2023), Т.1. С.600-604 (год публикации - 2023)
7. Ичетовкин Е.А., Котенко И.В. Анализ атак на компоненты машинного обучения систем обнаружения вторжений XII Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2023), Т.1. С.600-604 (год публикации - 2023)
8. Котенко И.В., Левшун Д.А. Методы интеллектуального анализа системных событий для обнаружения многошаговых кибератак: использование баз знаний Искусственный интеллект и принятие решений, № 2. С.3-14. (год публикации - 2023) https://doi.org/10.14357/20718594230201
9. Котенко И.В., Левшун Д.А. Методы интеллектуального анализа системных событий для обнаружения многошаговых кибератак: использование методов машинного обучения Искусственный интеллект и принятие решений, № 3. С.3-16 (год публикации - 2023) https://doi.org/10.14357/20718594230301
10. Котенко И.В., Паращук И.Б. Адаптивная нейросетевая фильтрация в интересах оперативной оценки защищенности критически важных ресурсов Математические методы в технологиях и технике, №1. С. 58-61. (год публикации - 2023) https://doi.org/10.52348/2712-8873_MMTT_2023_1_58
11. Котенко И.В., Паращук И.Б., Саенко И.Б. Содержание и особенности ключевых стадий разработки методов и моделей обработки данных об инцидентах кибербезопасности в ведомственных инфокоммуникационных сетях XII Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2023), Т.1. С.674-678 (год публикации - 2023)
12. Котенко И.В., Саенко И.Б. Exploring Opportunities to Identify Abnormal Behavior of Data Center Users Based on Machine Learning Models Pattern Recognition and Image Analysis, Vol. 33, No. 3, pp. 368–372 (год публикации - 2023) https://doi.org/10.1134/S1054661823030227
13. Котенко И.В., Саенко И.Б., Привалов А.А., Лаута О.С. Ensuring SDN Resilience under the Influence of Cyber Attacks: Combining Methods of Topological Transformation of Stochastic Networks, Markov Processes, and Neural Networks Big Data and Cognitive Computing (MDPI), 7(2): 66. P.1-39 (год публикации - 2023) https://doi.org/10.3390/bdcc7020066
14. Котенко И.В., Федорченко Е.В., Новикова Е.С., Джа А. Cyber Attacker Profiling for Risk Analysis based on Machine Learning Sensors (MDPI), 23(4), 2028 (год публикации - 2023) https://doi.org/10.3390/s23042028
15. Левшун Д.А., Котенко И.В. Application of Intelligent Methods of Correlation of System Events in Predictive Analysis of Security States of Objects of Critical Infrastructure Pattern Recognition and Image Analysis, Vol. 33, No. 3, pp. 389–397 (год публикации - 2023) https://doi.org/10.1134/S1054661823030264
16. Левшун Д.А., Котенко И.В. Алгоритм причинно-следственной корреляции событий безопасности в киберфизических системах на основе интеллектуального графо-ориентированного подхода XII Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2023)., Т.1. С.669-674 (год публикации - 2023)
17. Попков И. А., Котенко И.В. Анализ актуальных направлений исследований в области Threat Hunting XII Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2023), Том 1. С.683-687 (год публикации - 2023)
18. Попков И.А., Котенко И.В. Методика автоматизированного сбора криминалистических данных в процессах Threat hunting XII Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2023), Том 1. С.683-687 (год публикации - 2023)
19. Тушканова О.Н., Левшун Д.А., Браницкий А.А., Федорченко Е.В., Новикова Е.С., Котенко И.В. Detection of cyber attacks and anomalies in cyber physical systems: approaches, data sources, evaluation Algorithms (MDPI), 16(2), 85. P.1-18 (год публикации - 2023) https://doi.org/10.3390/a16020085
20. Хмыров С.С., Котенко И.В. Применение индикаторов атак для атрибуции способов компрометации при реализации целевых атак на объекты критической инфраструктуры XII Международная научно-техническая и научно-методическая конференция "Актуальные проблемы инфотелекоммуникаций в науке и образовании" (АПИНО-2023), Т.3. С.805-809 (год публикации - 2023)
21. Котенко И.В., Паращук И.Б. Interval Analysis of Security for Information and Telecommunication Resources of Critical Infrastructures Kravets, A.G., Bolshakov, A.A., Shcherbakov, M.V. (eds) Society 5.0. Studies in Systems, Decision and Control, vol.437. Springer, Cham., P. 241-250 (год публикации - 2023) https://doi.org/10.1007/978-3-031-35875-3_19
22. Котенко И.В., Саенко И.Б., Скорик Ф.А. IoT Network Administration by Intelligent Decision Support Based on Combined Neural Networks Fotia, L., Messina, F., Rosaci, D., Sarné, G.M. (eds) Security, Trust and Privacy Models, and Architectures in IoT Environments. Internet of Things. Springer, Cham., P.1-24 (год публикации - 2023) https://doi.org/10.1007/978-3-031-21940-5_1
23. Валеев Д.Р., Котенко И.В. Ограничения и перспективы развития средств исправления программного обеспечения во время его выполнения Информационная безопасность регионов России (ИБРР-2023). XIII Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 25-27 октября 2023 г. Материалы конференции, С.69-70 (год публикации - 2023)
24. Десницкий В.А., Левшун Д.А., Котенко И.В. An approach to attack detection on graph-based modeling of states in critical infrastructures 2023 International Russian Automation Conference (RusAutoCon). 10-16 September 2023. Sochi, Russian Federation. IEEE. IEEE Xplore. 2023, IEEE Xplore Digital Library: Browse Conferences., pp. 420-424 (год публикации - 2023) https://doi.org/10.1109/RusAutoCon58002.2023.10272943
25. Донг Х., Котенко И.В. Train Without Label: A Self-supervised One-class Classification Approach for IoT Anomaly Detection Kovalev, S., Kotenko, I.V., Sukhanov, A., (eds) Proceedings of the Seventh International Scientific Conference “Intelligent Information Technologies for Industry” (IITI’23). IITI 2023. Lecture Notes in Networks and Systems, Vol. 777. Springer, Cham., P. 81-89 (год публикации - 2023) https://doi.org/10.1007/978-3-031-43792-2_8
26. Донг Х., Котенко И.В. Intrusion Detection with Uncertainty based Loss Optimized Multi-Task Learning International Conference on Information Processes and Systems Development and Quality Assurance (IPSQDA-2023). St. Petersburg, Russia. March 22-24, 2023. IEEE Explore., P.69-73 (год публикации - 2023)
27. Зеличенок И.Ю., Котенко И.В. Анализ методов обработки больших данных, применяемых для обнаружения многошаговых кибератак Информационная безопасность регионов России (ИБРР-2023). XIII Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 25-27 октября 2023 г. Материалы конференции, С.82-84 (год публикации - 2023)
28. Ичетовкин Е.А., Котенко И.В. Модели атак на компоненты машинного обучения систем обнаружения вторжений критических инфраструктур Информационная безопасность регионов России (ИБРР-2023). XIII Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 25-27 октября 2023 г. Материалы конференции, С.87-88 (год публикации - 2023)
29. Котенко И.В., Донг Х. An Autoencoder-based Multi-task Learning for Intrusion Detection in IoT Networks 2023 IEEЕ Ural-Siberian Conference on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT 2023). Yekaterinburg. 5- 15-17 May, 2023. IEEE Explore., Pp.1-4 (год публикации - 2023) https://doi.org/10.1109/USBEREIT58508.2023.10158807
30. Котенко И.В., Саенко И.Б. Applying machine learning methods to detect abnormal user behavior in a university data center Intelligent Distributed Computing XV. IDC 2022. Studies in Computational Intelligence, vol 1089. Springer, Cham., P.13-22 (год публикации - 2023) https://doi.org/10.1007/978-3-031-29104-3_2
31. Котенко И.В., Саенко И.Б., Лаута О.С., Багрецов С. An Approach for Improving the Network Resilience Based on Optimal Structural Reservation Proceedings. IEEE International Conference on Communications, Information, Electronic and Energy Systems (CIEES 2022). November 24-26, 2022, Veliko Tarnovo, Bulgaria, P.1-4 (год публикации - 2023) https://doi.org/10.1109/CIEES55704.2022.9990690
32. Котенко И.В., Саенко И.Б., Лаута О.С., Васильев Н.А., Крибель К. Attacks against artificial intelligence systems: classification, the threat model and the approach to protection Proceedings of the Sixth International Scientific Conference “Intelligent Information Technologies for Industry” (IITI’22). IITI 2022. Lecture Notes in Networks and Systems, Vol. 566. P.293-302 (год публикации - 2023) https://doi.org/10.1007/978-3-031-19620-1_28
33. Котенко И.В., Саенко И.Б., Паращук И.Б. Уровни архитектуры компонентов оперативной оценки защищенности информационных и телекоммуникационных ресурсов критической инфраструктуры Информационная безопасность регионов России (ИБРР-2023). XIII Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 25-27 октября 2023 г. Материалы конференции, С.88-90 (год публикации - 2023)
34. Левшун Д.А., Котенко И.В. Intelligent Graph-based Correlation of Security events in Cyber-physical Systems Kovalev, S., Kotenko, I.V., Sukhanov, A., (eds) Proceedings of the Seventh International Scientific Conference “Intelligent Information Technologies for Industry” (IITI’23). IITI 2023. Lecture Notes in Networks and Systems, Vol. 777. Springer, Cham., P.115-124 (год публикации - 2023) https://doi.org/10.1007/978-3-031-43792-2_12
35. Мельник М.В., Котенко И.В. Обнаружение аномального поведения пользователей и сущностей в контейнерных системах на основе методов машинного обучения Информационная безопасность регионов России (ИБРР-2023). XIII Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 25-27 октября 2023 г. Материалы конференции, С.97-98 (год публикации - 2023)
36. Попков И.А., Котенко И.В. Сбор данных цифровой криминалистики для целей Threat Hunting Информационная безопасность регионов России (ИБРР-2023). XIII Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 25-27 октября 2023 г. Материалы конференции, С.103-104 (год публикации - 2023)
37. Хмыров С.С., Котенко И.В. Подход к формированию признаков целевой кибератаки для атрибуции кибернарушителя Информационная безопасность регионов России (ИБРР-2023). XIII Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 25-27 октября 2023 г. Материалы конференции, С.112-114 (год публикации - 2023)
38. Горда М.Д., Чечулин А.А. Программный компонент сбора и анализа данных аутентификации пользователей для расследования инцидентов безопасности Свидетельсво о государственной регистрации программы для ЭВМ, 2023683991 (год публикации - 2023)
39. Десницкий В.А., Израилов К.Е., Котенко И.В., Левшун Д.А., Мелешко А.В. Программный компонент обнаружения атак на основе графо-ориентированного моделирования Свидетельство о государственной регистрации программы для ЭВМ, 2023684009 (год публикации - 2023)
40. Жернова К.Н., Котенко И.В. Компонент визуализации для поиска аномалий в гетерогенных исходных данных Свидетельство орегистрации программы для ЭВМ, 2023683974 (год публикации - 2023)
41. Жернова К.Н., Чечулин А.А. Компонент визуализации графа состояния компьютерной сети на основе больших массивов гетерогенных данных Свидетельство о государственной регистрации программы для ЭВМ, 2023684037 (год публикации - 2023)
42. Зеличенок И.Ю., Котенко И.В. Программный компонент архитектуры обнаружения многошаговых атак в системе управления водоснабжением умного города Свидетелсвто о государственной регистрации программы для ЭВМ, 2023684022 (год публикации - 2023)
43. Десницкий В.А., Котенко И.В., Паращук И.Б., Саенко И.Б., Чечулин А.А., Федорченко Е.В. Устройство поиска информации -, 2022131254 (год публикации - )
44. - СПб ФИЦ РАН разрабатывает отечественные передовые решения в сфере кибербезопасности Россия24.pro, 14 ноября 2023 года (год публикации - )
45. - СПб ФИЦ РАН ведёт разработки отечественных решений в сфере кибербезопасности Spark, 14 ноября 2023 года (год публикации - )
46. - СПб ФИЦ РАН разрабатывает отечественные решения в сфере кибербезопасности Санкт-Петербург - ru24.net, 15 ноября 2023 года (год публикации - )
47. - Новая аналитическая система борьбы с хакерскими атаками Программа "Ученый совет", 21 ноября 2023 года (год публикации - )
48. - СПб ФИЦ РАН разрабатывает отечественные решения в сфере кибербезопасности news-life - Новости Санкт-Петербурга, 15 ноября 2023 года (год публикации - )