SPINET – analiza behawioralna i uczenie maszynowe
Projekt współfinansowany Narodowe Centrum Badań i Rozwoju ze środków budżetu Państwa w ramach Programu Cyberbezpieczeństwo i Cyfrowa Tożsamość – CyberSecIdent IV.
Tytuł: „Budowa narzędzia dedykowanego dla ochrony użytkowników, systemów i urządzeń Internetu rzeczy, w oparciu o uczenie maszynowe i analizę behawioralną”
Projekt SPINET jest wspólnym przedsięwzięciem trzech instytucji:
- Sieć Badawcza Łukasiewicz – Instytut Technik Innowacyjnych EMAG – Lider projektu
- EFIGO Spółka z ograniczoną odpowiedzialnością
- QED Software Spółka z ograniczoną odpowiedzialnością
Nr umowy CYBERSECIDENT/489240/IV/NCBR/2021
Kierownik projektu ze strony Sieć badawcza Łukasiewicz – Instytutu Technik Innowacyjnych EMAG – dr inż. Marcin Michalak
Kierownik projektu ze strony EFIGO Spółka z ograniczoną odpowiedzialnością – Oliver Woźny
Kierownik projektu ze strony QED Software Spółka z ograniczoną odpowiedzialnością – Antoni Jamiołkowski
CEL PROJEKTU:
Celem projektu jest stworzenie systemu służącego ciągłemu monitorowaniu bezpieczeństwa w szerokim zakresie urządzeń IoT (opartych o systemy Android i Linux) ze szczególnym uwzględnieniem urządzeń zdalnego monitorowania sieci gazu, wody, ciepła oraz energii elektrycznej. Rozwiązanie obejmuje część centralną SOC (ang. Security Operations Center) działającą w modelu SaaS oraz dedykowane dla urządzeń IoT oprogramowanie monitorujące (Agent). Zadaniem Agenta jest zbieranie i agregowanie danych oraz wysyłanie ich do SOC, gdzie przeprowadzane są analizy bezpieczeństwa z wykorzystaniem algorytmów uczenia maszynowego. Wyniki te są z kolei wysyłane z powrotem do Agenta. SOC identyfikuje nowe zagrożenia i informuje o nich Agenta. Agent wywoła działania ochronne oraz zidentyfikuje nową sygnaturę zagrożenia i powiadomi o niej pozostałych Agentów. Agenci będą posiadać funkcjonalność weryfikacji stanu systemu w oparciu o istniejące sygnatury i będą podejmować działania z chwilą wykrycia zagrożenia. SOC będzie zarządzać podatnościami poprzez ich wartościowanie. Ekspercka ocena podatności prowadzona w SOC umożliwi bardziej efektywne wykorzystanie informacji w algorytmach uczenia maszynowego. Eksperci cyklicznie i przyrostowo będą oceniali odpowiednio historyczne i napływające zagrożenia co pozwoli dostrajać algorytmy uczenia maszynowego oraz poddawać weryfikacji istniejące zagrożenia i anomalie. W ramach projektu planowane jest w szczególności przygotowanie do implementacji systemu gotowego do instalacji i wdrażania na urządzeniach wyposażonych w procesory rodziny ARM. Ważnym elementem projektu jest opracowanie rozwiązania gwarantującego niski pobór energii elektrycznej. Zapewni to możliwość stosowania w urządzeniach zasilanych niskim napięciem lub bateryjnie oraz stosowanie chłodzenia pasywnego
PLANOWANE EFEKTY:
- Podwyższenie bezpieczeństwa zapewnienia ciągłości usług, korzystających z urządzeń podłączonych do systemu (np. usługi typu smart metering).
- Wzrost zaufania końcowych użytkowników do urządzeń IoT.
- Wzrost liczby wdrożeń urządzeń IoT.
- Zwiększenie bezpieczeństwa w zakresie wycieku danych wrażliwych a tym samym uniknięcie kar z tego tytułu.
- Zwiększenie poziomu bezpieczeństwa w zakresie ochrony przed „zero day attack”.
- Wcześniejsze wykrywanie nieautoryzowanych prób wysyłania danych oraz wczesnego wykrywania ataków mających na celu destabilizację urządzeń oraz kradzież danych.
- Obniżenie ryzyka niekontrolowanej zdalnej manipulacji urządzeniami IoT.
- Obniżenie ryzyka wykorzystania urządzeń IoT w sieciach botnet.
Wartość projektu: 5 811 322 PLN w tym dofinansowanie 5 060 266 PLN
Dofinansowanie dla Efigo Sp. z o.o. : – 1 227 032 PLN
Celem projektu jest stworzenie systemu służącego ciągłemu monitorowaniu bezpieczeństwa w urządzeniach IoT. Architektura systemu oraz zgodność z systemami rodziny Android i Linux z założenia będzie umożliwiała implementację w szerokim zakresie urządzeń IoT, ze szczególnym uwzględnieniem urządzeń zdalnego monitorowania sieci gazu, wody, ciepła oraz energii elektrycznej.
Detekcja anomalii na urządzeniach IoT
Jednym z podstawowych założeń projektu jest monitorowanie anomalii mogących stanowić zagrożenie bezpośrednio na urządzeniu, a nie, jak to miało miejsce do tej pory, w ruchu sieciowym.
Dzięki temu obniżone zostanie ryzyko infekowania samego urządzenia oraz podwyższona zostanie odporność urządzenia na ataki mające na celu zaburzenie jego pracy.
W ramach projektu zostanie wygenerowana próba danych, na bazie której będzie realizowana analiza behawioralna oraz proces uczenia maszynowego.
Stosowana analiza behawioralna
Jednym z założeń projektu jest zastosowanie wspomaganej analizy behawioralnej.
Zespół badawczy na podstawie wygenerowanej próby będzie identyfikował wzorce stanowiące o anomaliach. Wzorcowanie będzie używane w celu identyfikacji anomalii sprawniej i szybciej.
Uczenie maszynowe
Uczenie maszynowe będzie również realizowane na bazie wygenerowanej próbki danych.
Dzięki wzorcowaniu oraz znakowaniu anomalii system będzie w stanie uczyć się kolejnych anomalii oraz wskazywać albo eliminować tzw. „false positive”.