Vienošanās nr. 2013/0033/2DP/2.1.1.1.0/13/APIA/VIAA/027

ERAF 2.1.1.1. aktivitāte „Atbalsts zinātnei un pētniecībai” (otrā kārta) 

Projekts  „Metodes un tehnoloģijas IT drošības incidentu atklāšanai un analīzei”
Noslēgtās vienošanās par projekta īstenošanu Nr.2013/0033/2DP/2.1.1.1.0/13/APIA/VIAA/027

Projekta vispārīgais mērķis: sekmēt zinātnes un ražošanas integrāciju un pētniecības rezultātu komercializāciju informācijas tehnoloģiju nozarē.

Projekta specifiskais mērķis: realizējot projektu tiks radīta jauna tehnoloģija, kas atvieglos un paātrinās drošības incidentu un apdraudējumu atklāšanu. Radīto tehnoloģiju ir plānots izmantot LU MII sniegtajos pakalpojumos – drošības incidentu izmeklēšanai LU MII struktūrvienībā CERT.LV. Jaunā tehnoloģija palīdzēs ātrāk izmeklēt jau notikušos incidentus kā arī preventīvi atklāt un novērst potenciālus uzbrukumus. Tādejādi tiks sniegti kvalitatīvāki pakalpojumi LU MII klientiem.

Projekta ietvaros tiks: tiks izstrādāts rīks IT drošības incidentu atklāšanai, kas tiks praktiski aprobēts LU MII struktūrvienībā CERT.LV un ļaus paaugstināt drošības incidentu atklāšanas efektivitāti (izstrādi no prototipa līdz pilnībā pabeigtai rīka versijai plānots novest 2 gadu laikā pēc projekta beigām). Tiks arī izstrādātas jaunas metodes, zināšanas un tehnoloģijas (intelektuālā īpašuma forma, daļa no tās tiks patentēta), kas LU MII ļaus zināšanu un tehnoloģiju pārneses formā: a) gūt komerciālu ieguvumu no izstrādātās tehnoloģijas licencēšanas IT firmām vai līgumdarbu piesaistes no šīm firmām uz šajā projektā radītajām tehnoloģijām balstītas programmatūras izstrādei; b) paaugstināt savu zinātniski pētniecisko potenciālu iesaistoties jaunos ES pētniecības projektos.

Tiks sagatavotas 2 publikācijas un patenta pieteikums.

Īstenošanas vieta: Rīga, LU MII.
Projekta izpildes ilgums: 18 mēneši.
Projekta kopējās attiecināmās izmaksas: 278 702 LVL, no tā ERAF finansējums 203 808 LVL un LUMII ieguldījums 74 894 LVL.
Projekta zinātniskais vadītājs: vadošais pētnieks Juris Vīksna

 

 

PROJEKTĀ RISINĀTĀ PROBLĒMA

Viens no būtiskiem IT nozares darbības virzieniem ir IT drošības nodrošināšana un drošības incidentu novēršana. IT drošības incidentu novēršanas institūcija CERT.LV tika nodibināta 2008. gadā kā LU MI struktūrvienība. CERT.LV darbojas LR Aizsardzības ministrijas pakļautībā IT drošības likuma ietvaros, un tās galvenie uzdevumi ir uzturēt un aktualizēt informāciju par IT drošības apdraudējumiem, sniegt atbalstu IT drošības incidentu novēršanā, sniegt atbalstu valsts institūcijām un uzņēmumiem IT drošības jomā, izstrādāt rekomendācijas par aktuālo IT risku novēršanu.

IT drošības incidentu analīze un preventīva incidentu atklāšana pamatā balstās uz tīkla pārraudzības datu analīzi, izmantojot šim nolūkam specializētus tīkla pārraudzības datu analīzes rīkus, kā arī saņemot incidentus raksturojošu/identificējošu informāciju no citu valstu CERT organizācijām. Šī datu analīze šobrīd tiek veikta pamatā izmantojot nekomerciālus brīvpieejas rīkus (NFDUMP, NfSen, ProcDOT, u.c.) Šo rīku funkcionalitāte lielā mērā ir pietiekama jau reģistrētu drošības incidentu izmeklēšanai, bet ne tik noderīga preventīvai incidentu atklāšanai, kas nav šo rīku pamatfunkcionalitāte.

Problēmas rada arī dažādu datu avotu integrācija, lielais datu apjoms, kādēļ nepieciešama laba datu filtrācija un prioretizācija, tomēr visbūtiskākā problēma ir automatizētu metožu trūkums incidentu atklāšanai. Līdzīga veida problēmas faktiski ir aktuāla daudzām CERT institūcijām un rezultātā vairākas no tām ir izstrādājušas pašas savus rīku komplektus – piemēram, ProcDOT ir CERT.at izstrāde datu integrācijas problēmu risināšanai. Projekta ietvaros ir paredzēts izstrādāt jaunas metodes un tehnoloģijas preventīvai incidentu atklāšanai, kas paaugstinātu gan pašas CERT.LV darbības efektivitāti, gan arī radītu jaunu un inovatīvu intelektuālo īpašumu, kas veicinātu LU MII konkurētspēju zinātniskās pētniecības jomā. em analogiem.

 
PIEDĀVĀTAIS RISINĀJUMS
 
Projekta ietvaros tiks izstrādātas jaunas, uz drošības incidentu paterniem balstītas, metodes preventīvai incidentu atklāšanai, vizualizācijai un analīzei. Metodes tiks praksē pārbaudītas uz izvēlētām CERT.LV tīkla pārraudzības datu kopām; tiks izstrādāts uz šīm metodēm balstīts rīka prototips (programmatūras vai moduļu komplekts), kurš tiks aprobēts jau uz reālā laikā saņemtiem datiem. Pēc projekta beigām balstoties uz šiem aprobācijas rezultātiem tiks uzsākta jau praktiski lietojama rīka izstrāde, kurš tiks izmantots CERT.LV iekšējai lietošanai paaugstinot tā darbības efektivitāti, kā arī uzsākta izstrādāto metožu un tehnoloģiju
komercializācija.
 
Metožu izstrādi ir plānots balstīt uz t.s. incidentu paterniem, kuru aprakstam tiks izmantotas gan formālas valodas, gan ontoloģijas (paterni tīkla pārraudzības datu failos), gan arī uz grafiem balstīti paterni, kas apraksta tīkla topoloģiju un tās izmaiņas laikā. Tas, ka šāda pieeja ir ļoti perspektīva plānoto projekta mērķu sasniegšanai, pamatojams ar jau veikto esošo pētījumu un izstrāžu analīzi, kā arī ar augsto projektā iesaistītā zinātniskā personāla kompetenci specifiskajās jomās.
Jāuzsver arī vairāki praktiska rakstura apstākļi, kas ir būtiski sekmīga rezultāta iegūšanai: CERT.LV ir LU MII struktūrvienība, kas ļauj nodrošināt ciešu sadarbību starp metožu izstrādātājiem un to praktiskajiem pielietotājiem (šāda cieša sadarbība tiek uzskatīta par ļoti vēlamu, bet starp CERT centriem un pētniecības institūtiem ir diezgan netipiska). LU MII ir arī nozīmīgs interneta pakalpojumu sniedzējs Latvijā, līdz ar to CERT.LV ir pieejami reālā laika tīkla pārraudzības dati, kas ir būtiski tīkla topoloģijas analīzei. Projekta izstrādei ir izvēlēts arī ļoti piemērots laika periods – nepieciešamība pēc līdzīgiem rīkiem ir apzināta un ir veikta diezgan liela apjoma akadēmiska rakstura priekšizpēte, bet konkrētā tirgus niša jau praktiski pielietojamiem rīkiem ir samērā brīva.
 
Ņemot vērā ļoti lielo tīkla pārraudzības datu failu apjomu, par ļoti būtiskām tiek uzskatītas metrikas un heiristikas datu filtrācijai kā arī metodes dažādu datu avotu integrācijai. Jaunu metožu izstrāde šeit netiek plānota, bet projekts paredz rūpīgu esošo metožu un rīku izpēti, no kurām tiks izvēlētas projektam piemērotākās. Kā neliela apjoma apakšaktivitātes projekts paredz: izvērtēt mašīnmācīšanās metožu iespējas incidentu paternu atklāšanai, kā arī tīkla pārraudzības datu izmantošanu kriptogrāfijas protokolu drošības analīzei. No teorijas viedokļa šīs apakšaktivitātes cieši saistās ar projekta pamat tematiku, šobrīd vēl nav datu par šādu pētījumu praktisko pielietojamību, bet pozitīvu rezultātu gadījumā sagaidāmā atdeve no šiem pētījumiem ir augsta.