Během prvního roku pětileté smlouvy o sponzorovaném výzkumu mezi společností Cisco a Českým vysokým učením technickým v Praze bylo z celkové částky 500 tisíc EUR proinvestováno téměř 40 procent. Cisco podpořilo trojici výzkumných projektů na katedrách počítačů, kybernetiky a telekomunikací na Fakultě elektrotechnické ČVUT. Společnost Cisco při vývoji nových přístupů intenzivně spolupracuje s partnery, univerzitami a start-upy. Úspěšné zapojení týmu bývalého Cognitive Security a jeho spolupráce s ČVUT jsou toho důkazem.
Výsledek projektu doc. Ing. Filipa Železného, Ph.D, pod názvem „Metodologie konstrukce události z NetFlow toku“ je již přihlášen do patentového řízení. Nová metoda do budoucna umožní automaticky identifikovat útoky hackerů nebo jiné škodlivé události přímo v nejzákladnější úrovni síťového provozu, který má podobu jedniček a nul a běžnými nástroji ho nelze analyzovat. Přihláška patentu je pod společnou hlavičkou ČVUT a Cisco.
Výsledky projektů podpořených společností Cisco byly 22. října prezentovány na půdě výzkumného a vývojového centra Cisco v Praze za účasti rektora ČVUT prof. Ing. Petra Konvalinky, CSc., děkana Fakulty elektrotechnické ČVUT prof. Ing. Pavla Ripky, CSc., a prof. Dr. Ing. Michala Pěchoučka, M.Sc., ředitele pražského výzkumného centra firmy Cisco. V prvním roce podpořila společnost Cisco trojici projektů. Kromě projektu vedeného Filipem Železným šlo o projekt zabývající se problémy klasifikace incidentu nad síťovými daty vedený prof. Dr. Ing. Jiřím Matasem a projekt Detekce anomálií v latenci síťového provozu výzkumného týmu vedeného Dr. Lukášem Kenclem.
Bezpečnostní prostředí se mění, dřívější snaha chránit před útoky koncová zařízení jako jsou počítače, ale také tablety či telefony, již nestačí. Tato zařízení lze ale příliš snadno nakazit škodlivým kódem, efektivní obrana tak musí být v současnosti integrována přímo v síti. Jen tak lze bezpečnostní hrozby identifikovat a eliminovat dříve, než napadnou další části sítě a další zařízení.
Jak ostatně upozornili i autoři výzkumů, v současné době již není možné čekat na to, až bude škodlivý kód popsán. Bránit se známým hrozbám již dnes nestačí. Proto se společnost Cisco dlouhodobě zaměřuje na systémy, které na základě podrobné analýzy datového toku umožní odhalit i dosud nepopsané hrozby a zabránit i tak zvaným útokům nultého dne. Pokud má být síťová infrastruktura v bezpečí, musí být schopna bránit se již před započetím útoku, v jeho průběhu i po něm. Právě tímto směrem směřuje i práce mladých výzkumníků z ČVUT.
„Byl jsem velmi příjemně překvapen výsledky práce mladých výzkumníků na Fakultě elektrotechnické,“ prohlásil prof. Ing. Petr Konvalinka, CSc., rektor ČVUT a dodal: „Smlouva o sponzorovaném výzkumu se společností Cisco neznamená pro školu jen finanční přínos, ale je zároveň obrovskou šancí pro naše studenty zúčastnit se řešení projektů, na kterých se běžně během studia podílet nemohou. Spolupráci se společností Cisco považuji za skvělý příklad, jak by měly vypadat kontakty mezi univerzitami a komerční sférou.“
Děkan Fakulty elektrotechnické ČVUT prof. Ing. Pavel Ripka, CSc., připomněl, že oba zakladatelé české bezpečnostní firmy Cognitive Security, která se loni stala součástí struktur společnosti Cisco – Martin Rehák a Michal Pěchouček – byli a jsou zaměstnanci fakulty. Michal Pěchouček nadále působí na ČVUT jako řádný profesor. „Cognitive Security je skvělým příkladem toho, že na českých vysokých školách lze najít spoustu schopných odborníků majících skvělé nápady,“ uvedl Pavel Ripka. „Úspěch tohoto českého start-upu je velkou motivací pro naše studenty,“ dodal s tím, že smlouva o sponzorovaném výzkumu se společností Cisco je jednou z největších, na kterých se jeho fakulta podílí.
Michal Pěchouček řekl: „Výzkumné a vývojové centrum, v jehož čele stojím, má před sebou tři hlavní úkoly: vyvíjet bezpečnostní produkty pro zákazníky Cisco, vyvíjet technologie, které budou využitelné v těchto produktech, a podporovat jak základní, tak aplikovaný výzkum. Z tohoto pohledu je pro nás spolupráce s Českým vysokým učením technickým naprosto klíčová.“
V týmu výzkumného a vývojového centra v Praze pracuje dokonce 9 vědců s doktoráty jak z ČVUT nebo Karlovy univerzity, tak i ze zahraničních univerzit a několik doktorandů z ČVUT. „Celkově u nás pracuje přibližně stejné množství vědců a vývojářů,“ upozorňuje Michal Pěchouček. S tím, že právě možnost spolupracovat s akademickou sférou dává výzkumu společnosti Cisco možnost intelektuální diversifikace a konfrontace s jinými názory. „Být výzkumníkem a posouvat vědění kupředu lze jen v případě, že jsme otevřeni akademickému myšlení a spolupráci s univerzitní komunitou,“ poznamenal dále.
Společnost Cisco neposkytuje univerzitě pouze finanční prostředky na pokrytí výzkumu. Spolupráce mezi výzkumnými týmy na obou stranách je velmi intenzivní. Michal Pěchouček například upozornil, že velmi důležitým aspektem spolupráce je skutečnost, že vědci z ČVUT mohou pracovat na problémech se svými kolegy s Cisca a že mohou pracovat nad stejnými daty. „Jako jeden z největších globálních internetových hráčů disponuje společnost Cisco obrovským množstvím dat. Po jejich anonymizaci a je mohou využívat i výzkumníci na Fakultě elektrotechnické,“ zdůrazňuje Michal Pěchouček a vysvětluje, že takto velké objemy dat jsou pro výzkumníky velmi cenné a možnost s nimi pracovat není v akademické sféře úplně obvyklá.
Stručně o projektech
Metodologie konstrukce události z NetFlow toku
Vedoucí výzkumu: doc. Ing. Filip Železný, Ph.D; výzkumník: Ing. Gustav Šourek
Síťový provoz je pro vnějšího pozorovatele v podstatě nečitelný – jsou přenášeny zdánlivě nesouvisející a promíchané kousky informace. Teprve koncové počítače umí poskládat to podstatné: přenesený mail, obrázek nebo jiný soubor. Pro tvůrce softwarových řešení, která mají fungovat transparentně jako pozorovatel provozu na nejnižší úrovni, se síťový provoz jeví jako téměř chaotická změť signálů. Pozorovatel nezná high-level protokoly dodržované jednotlivými počítači v síti, a ani by je neměl potřebovat znát. V případě IDS (intrusion detection system) jako je Cognitive Threat Analytics, vyvíjeném v Cisco R&D v Praze, jde pouze o rozeznání jevů podezřelých.
Snažíme se proto zvnějšku automaticky rekonstruovat souvislosti mezi přenášenými daty a pochopit, jaké logické celky (aktivity) na síti probíhají. Sekvence signálů totiž mohou reprezentovat např. DDoS útok, ssh scan, určitý charakteristický vzorec a podobně. Dokáže-li IDS pozorované přenosy na síti takto logicky roztřídit, je pak mnohem snazší (a vůbec možné) stavět automatické klasifikátory, které rozhodnou o nebezpečnosti té které aktivity.
Spolupráce se skupinou Filipa Železného vedla k definici zcela unikátní metody pro „konstrukci událostí“. To umožňuje rozeznat v chaotickém provozu nejen dlouhou řadu známých typů aktivit, ale i souvislosti u aktivit dosud neznámých.
Problémy klasifikace incidentu nad síťovými daty
Vedoucí výzkumu: prof. Dr. Jiří Matas, MSc.; výzkumník: Dr. Vojtěch Franc, MSc.
V oborech blízkých umělé inteligenci existuje dlouhá řada standardních klasifikačních algoritmů (rozhodovacích pravidel), schopných roztřídit data do známých tříd. Tyto algoritmy jsou již dnes široce využívané – čtečka otisku prstů rozhoduje, je-li uživatel tím, za koho se označuje, moderní EKG samo navrhuje diagnózu, moderní automobily umí pomocí kamery rozeznat, jestli červený trojúhelníkový tvar je značka nebo jen natřený plakát na stěně.
Nejtěžší úlohou před nasazením klasifikátorů je ale vyřešit reprezentaci vstupních dat pomocí standardních číselných vektorů, které teprve standardní metody umí zpracovat. Při rozeznávání na fotografii lze na vektory převést jednotlivé body bitmapy, mnohem podstatnější jsou ale číselné hodnoty odvozené sofistikovanějším způsobem – například míra ostrosti přechodu barev či hran v obraze atd. Na rozdíl od analýzy obrazu, zvuku, či řeči, je analýza toků dat na síti v podstatě v začátcích. Definice vhodných číselných vektorů zatím závisí na expertní znalosti, a téměř jistě neumí odhalit všechny podstatné statistiky v datech ukryté.
Spolupráce zejména s Vojtěchem Francem vedla k hlubšímu pochopení možností vektorových reprezentací síťových dat a k úpravě některých klasifikátorů tak, aby dokázaly lépe reagovat na rychle se měnící a nesmírně komplikovanou povahu velkých počítačových sítí. V důsledku jsme schopni poskytovat uživatelům varování o bezpečnostních incidentech s menší mírou nejistoty a menším nebezpečím omylu.
Detekce anomálii v latenci síťového provozu
Vedoucí výzkumu: Dr. Lukáš Kencl, RDC Director; výzkumník: Ing. Pavol Mulinka
Přenos dat po síťových kabelech na velké vzdálenosti se pro někoho překvapivě potýká i se zpožděním přenosu. Zpoždění mohou mít nejrůznější příčiny a mohou vznikat na nejrůznějších úrovních sítí. Zpoždění přenosu je do jisté míry měřitelné a analyzovatelné. Standardní využití je např. kontrola dostupnosti cloudových služeb a následná automatická oprava (systém rozezná výpadek některých serverů, a automaticky zapojí servery záložní), popř. odhadování polohy mobilu vůči systému BTS vysílačů, apod.
Výzkum byl veden ambiciózní myšlenkou ověřit, do jaké míry je informace o zpoždění využitelná pro detekci jinak nevysvětlitelných anomálií a hlavně anomálií indikujících činnost virů popř. útok hackerů. Je nepochybné, že některá pozorovatelná zpoždění s bezpečnostními riziky souvisí, je ovšem velmi obtížné takovéto jevy smysluplně dekódovat. Podle dostupných informací se jedná o výzkum, který je jediný svého druhu a lze jej proto považovat za pilotní průzkum s cílem ověřit možnosti v této oblasti.
Psali jsme:
autor: Tisková zpráva
