Система поведенческой аналитики позволяет выявить нарушения в типичном поведении пользователей и обеспечить информационную безопасность. Эксперты разработали и обучили нейросеть, написали софт, разработали архитектуру системы поведенческой аналитики.
Начальник Суперкомпьютерного центра Санкт-Петербургского политехнического университета Петра Великого (СПбПУ) Алексей Лукашин отметил, что в использовании разработанной системы, прежде всего, заинтересованы крупные компании банковского и нефтегазового сектора.
У таких предприятий уже есть система SIEM (система сбора корпоративных событий). Цель системы, разработанной в СПбПУ, – анализ «потоков событий» и фактически в режиме реального времени обнаружение отклонения.
«Под событиями понимается множество манипуляций. Например, пользователь вставил в компьютер флешку, неправильно ввел пароль, скопировал файлы на сетевом диске и т. д. Это огромное количество абсолютно разных, не похожих друг на друга событий, – поясняет Лукашин. – Когда такой информации становится очень много, она лежит тяжелым грузом, оперативно ее крайне сложно анализировать. К примеру, сотрудник компании увольняется, а через несколько месяцев выясняется, что он в личных целях скопировал корпоративную информацию. Начинается расследование, которое может идти не один месяц, потому что необходимо много времени, чтобы в общем потоке информации установить, что делал сотрудник перед увольнением».
Разработка петербургских ученых также призвана повысить информационную безопасность. Скажем, фиксируется, когда сотрудник качает данные или что-то удаляет. Оператор системы видит сигнал о том, что поведение пользователей поменялось, и принимает решение, является ли такое поведение поводом передать эти сведения в Департамент информационной безопасности.
«Нередко поведение сотрудника меняется, что видно по тому, как он работает, что делает в корпоративной сети, ищет ли он новые вакансии. Отдел кадров может вовремя отреагировать на эти изменения и провести с сотрудником собеседование, возможно предотвратить уход специалиста», – продолжает ученый.
Лукашин рассказал, что разработанная система позволяет анализировать огромный поток данных, который порождает корпоративная инфраструктура. Поступающие данные разделяются на несколько потоков, например, от систем хранения информации или отдела бухгалтерии по разным правилам, которые задает пользователь системы.
«К каждому потоку можно применить один или несколько алгоритмов анализа данных, мы называем их анализаторами. Это заранее подготовленные нашими научными сотрудниками алгоритмы, которые, например, ищут отклонения в поведении пользователя. В его работе с электронной почтой, скажем. В зависимости от того, какую задачу решает тот или иной анализатор. Дальше смотрим, что пошло не так. Это позволяет решить широкий спектр задач. Так, если вирус напал на сервер и он начал заниматься рассылкой сомнительной информации, можно оперативно отреагировать на это событие и привести все в порядок», – отметил Алексей Лукашин.
К слову, эта разработка также подходит для различных киберфизических систем, систем промышленного интернета вещей.
«Скажем, на предприятии есть некий производственный процесс, различные датчики фиксируют температуру, давление и т. п. Наша система может собирать информацию и классифицировать ее, чтобы обеспечить безопасность работы. Например, есть некая турбина, все датчики показывают, что все в норме, но в совокупности поступающие с них данные могут показать, что турбина работает не в оптимальном режиме. Наша система привлечет внимание к проблеме, чтобы предотвратить износ или поломку турбины», – сказал Лукашин.
Он также обратил внимание, что в недалеком будущем система может быть использована на облачной платформе, что откроет к ней доступ для менее крупных компаний, которые смогут воспользоваться ей для решения различных проблем.
Сейчас система зарегистрирована и размещена в реестре отечественного программного обеспечения.
Источник: