Компания СайберЛимфа получила патент на технологию выявления аномалий в работе сети автоматизированной системы

our СyberLympha Technologies (10).jpg

Компания СайберЛимфа получила патент на технологию выявления аномалий в работе сети автоматизированной системы. Патент № 2 738 460 выдан Федеральной службой по интеллектуальной собственности (Роспатент).

Запатентованная технология стала основой для разработки решения CyberLympha Thymus – инновационной системы выявления компьютерных инцидентов. CyberLympha Thymus использует методы машинного обучения, позволяющие изучить защищаемую систему в полностью автоматическом режиме для последующего эффективного выявления аномалий в ее работе, которые могут являться следствием компьютерного инцидента.

В отличие от традиционных средств обнаружения вторжений, использующих сигнатуры известных атак или решений, фиксирующих аномальные значения общих параметров сетевых взаимодействий (типа количества сетевых пакетов, их среднего размера или частоты передачи), в CyberLympha Thymus применяются методы обратного инжиниринга сетевого трафика и многоагентного моделирования, что обеспечивает более высокую точность выявления аномалий, а также позволяет анализировать причины, по которым алгоритм отнес зафиксированное состояние к аномальному. Связка этих методов легла в основу патентованной технологии выявления аномалий.

Метод обратного инжиниринга сетевого трафика позволяет производить глубокую инспекцию пакетов протоколов, для которых не описана строгая спецификация формата в системе – эта спецификация формируется автоматически в ходе обучения метода. В результате анализа сетевого трафика метод формирует топологию сети защищаемой системе и протокол взаимодействия отдельных узлов системы – эта информация поступает на вход следующего метода.

Метод многоагентного моделирования строит модель системы как совокупности коммуницирующих между собой агентов, что позволяет модели предсказывать поведение системы в целом. При фиксации отклонений сигналов в реальной системе от предсказанных моделью метод фиксирует аномалию. Преимуществом такого способа выявления аномалии является возможность локализации точки и конкретных параметров, которые послужили причиной отнесения наблюдаемого состояния к аномальному.
CyberLympha Thymus имеет возможность полноценной интеграции с системами мониторинга информационной безопасности (ИБ), в частности с программным комплексом CyberLympha DATAPK, являющимся основным источником данных для CyberLympha Thymus. Такой подход повышает эффективность процесса выявления инцидентов ИБ, а также помогает наиболее точно локализовать активы, затронутые инцидентом ИБ. В дальнейшем это позволяет системе передавать необходимые сведения системам класса SOAR для автоматического устранения последствий инцидента ИБ.


«В ближайшие годы ожидается значительный рост рынка автоматизации, в то же время мы наблюдаем, насколько интенсивно растет и число успешных кибератак на автоматизированные системы управления (АСУ). На сегодняшний день не существует систем, которые полностью защищены от взлома и не подвержены риску реализации угроз ИБ. Это требует разработки новых технологий выявления инцидентов ИБ, в том числе, с использованием методов машинного обучения», – комментирует директор компании СайберЛимфа Алексей Шанин.