Zlecenie 8068658 - Realizacja usług badawczo-rozwojowych w ramach składanego...

en CyberSecurity Intelligence".

Celem projektu jest doprowadzenie w procesie badawczym do opracowania innowacyjnych w skali światowej, efektywnych metod identyfikowania zaawansowanych cyber-zagrożeń (w tym typu Zero-day) w środowisku IT. Metody te będą zaimplementowane w postaci systemu wykrywającego zagrożenia na podstawie ustalonych wariancji znanych wektorów ataków oraz anomalii w kompozycji cech behawiorystycznych użytkownika usługi IT, identyfikowanych z zastosowaniem uczenia maszynowego. W projekcie zakłada się przyjęcie typowej metodologii badawczej stosowanej w rozwoju systemów wykorzystujących metody uczenia maszynowego. W szczególności, dostępny zbiór danych etykietowanych podzielony zostanie na część uczącą, część walidacyjną i część testową. Następnie wykonane zostaną eksperymenty oceniające skuteczność wybranych algorytmów klasyfikacji i metod detekcji anomalii. W ramach tych eksperymentów dobrane zostaną również wartości hiper-parametrów testowanych algorytmów. Eksperymenty te zostaną przeprowadzone na danych zawężonych do zbioru uczącego i walidacyjnego a ich rezultatem będzie identyfikacja algorytmu o największej szacowanej skuteczności na dostępnych danych. Następnie przeprowadzona zostanie końcowa ocena skuteczności wybranych i wytrenowanych algorytmów. Problemem wyłonionym na Etapie 1 jest przygotowanie efektywnego środowiska badawczego, którego głównym elementem będzie samouzupełniający się, kanoniczny model danych. Jest to problem złożony, ponieważ model ten wymaga opracowania procesu korelacji i normalizacji informacji rejestrowanych w dziennikach zdarzeń różnych technologii IT (systemy operacyjne, komunikacja sieciowa, aplikacje) a w określonych przypadkach, poprzez zastosowanie inżynierii wstecznej, utworzenie własnych inicjatorów, wskaźników bądź interpreterów umożliwiających budowanie poprawnych ciągów przyczynowo-skutkowych. W ramach Etapu 2 problemem badawczym będzie ewaluacja najnowszych osiągnięć naukowych w zakresie wykrywania anomalii w szeregach czasowych i opracowanie unikalnych metod identyfikacji cyber ataków. Istotnym elementem prac badawczych będzie opracowanie zestawu danych i cech (features), które powinny być dostarczane do modeli wykrywających anomalie. Zakładamy, że poszerzenie zakresu procesowanych danych wpłynie pozytywnie na wyniki opracowanej metody. Następnie zdobyta wiedza zostanie wykorzystana do opracowania innowacyjnej metody wykrywania anomalii w działaniu środowiska informatycznego świadczących o możliwości cyber ataku. Zostaną przeprowadzone własne prace badawcze, eksperymenty i ewaluacja uzyskanych wyników. Prace badawcze nad charakterem szeregów czasowych opisujących działanie środowiska informatycznego, sposobem detekcji anomalii, różnorodnymi mechanizmami wpływającymi na detekcje anomalii w tego typu szeregach czasowych będą kluczowe dla niniejszego etapu. Zostanie przeprowadzona gruntowna ewaluacja, testy i eksperymenty opracowanej w ramach poprzedniego zadania metody. Metoda ta będzie opracowana na podstawie wyników własnych prac badawczych nad detekcją anomalii w szeregach czasowych, ich transformacjami i przetwarzaniami. Zostaną także uwzględnione wyniki badań nad charakterystyką tego typu szeregów czasowych. Zostanie dokonana analiza i badanie wpływu charakterystyki tego typu szeregów na właściwości prognostyczne różnych podejść. Metoda zostanie przetestowane na szerokim spektrum różnorodnych danych. W Etapie 3 będzie rozwiązywany problem budowania profilu użytkownika na podstawie danych pochodzących z jego aktywności behawioralnych oraz określenie algorytmu identyfikowania anomalii z użyciem wybranych modeli uczenia maszynowego oraz głębokiego uczenia. Do rozwiązania problemu zostaną użyte profilowane charakterystyki pracy użytkownika w zadanym środowisku z Etapu 1 badań przemysłowych a także wyniki dotyczące wykrywania anomalii z Etapu 2 badań przemysłowych. W wyniku prac przemysłowych Zamawiający uzyska zupełnie nową wiedzę w zakresie charakterystyki szeregów czasowych opisujących środowisko informatyczne i ich atrybutów, a także wpływu tej charakterystyki na różnorodne metody i algorytmy detekcji anomalii, w szczególności anomalii świadczących o zagrożeniu atakiem. Pozwoli to opracować własną, unikalną metodę anomalii w szeregach czasowych opisujących środowisko informatyczne (dotąd nie badaną) będącą rezultatem przeprowadzonych badań. Rezultatem zadania będzie zaawansowana, unikalna metoda detekcji anomalii w szeregachów czasowych w celu wykrywania potencjalnych ataków cyber zagrożeń która zostanie włączona jako nowa cecha funkcjonalna do produktu Zamawiającego. W ramach Etapu 4 eksperymentalnych prac rozwojowych opracowany zostanie prototyp konsolidujący efekty prac zrealizowanych we wcześniejszych Etapach [1,2,3]. Zakłada się, że prototyp: - Będzie zrealizowany w postaci samodzielnie działającego komponentu uruchomionego w otoczeniu symulującym środowisko rzeczywiste, potrafiącym przetworzyć ustrukturyzowany zbiór danych, poprawnie rozpoznać ich kontekst oraz zbudować wzorzec zdarzeń prawidłowych. - W przypadku zaistnienia zdarzeń stanowiących odchylenie od ustalonego wcześniej wzorca, będzie potrafił wskazać je jako potencjalne zagrożenie. - Wyłonione potencjalne zagrożenie podda automatycznej klasyfikacji i oceni wynikające z niego ryzyko. - Wynik całego procesu analitycznego zostanie zaprezentowany w ustalony i czytelny sposób. Przedmiotem zamówienia jest wykonanie prac badawczo-rozwojowych w następującym zakresie: W ramach Etapu 1, Podwykonawca dokona analizy danych i opracowania kanonicznego modelu danych który będzie wykorzystywany do treningu modeli opracowanych w Etapie 2 i Etapie 3. Odbiór prac nastąpi na podstawie oceny poprawności i kompletności projektu technicznego i dokumentacji technicznej a także analizy próbek danych. W ramach Etapu 2, Podwykonawca dostosuje bądź utworzy odpowiednie modele i hiperparametry pozwalające na wykrywanie wybranych typów incydentów na podstawie danych pochodzących z środowiska informatycznego. Odbiór prac nastąpi na podstawie wyników przeprowadzonych testów technicznych, oceny poprawności i kompletności projektu technicznego i dokumentacji technicznej. W ramach Etapu 3, Podwykonawca dostosuje bądź utworzy odpowiednie modele i hiperparametry pozwalające na wykrywanie wybranych typów incydentów na podstawie danych o profilu użytkownika i jego zachowania. Odbiór prac nastąpi na podstawie wyników przeprowadzonych testów technicznych, oceny poprawności i kompletności projektu technicznego i dokumentacji technicznej. W ramach Etapu 4 Podwykonawca weźmie udział w projektowaniu i implementacji prototypu usługi oraz w opracowaniu planu testów, realizacji testów i przygotowaniu raportu w zakresie zapewniania jakości otrzymanych wyników po implementacji prototypu z nową wersją usługi Zamawiającego. W ramach Etapu 4, weryfikacja i odbiór prac na podstawie wyników przeprowadzonych testów technicznych, oceny poprawności i kompletności projektu technicznego i dokumentacji technicznej.