Anomaly-based intrusion detection and prevention systems for mobile devices: Design and development

Abstract

Mobile devices have evolved and experienced an immense popularity over the last few years. Nevertheless, this growth has exposed mobile devices to an increasing number of security threats. It is thus for sure that despite the variety of peripheral protection mechanisms described in the literature, and the (post)authentication and access control techniques imposed by the Operating Systems (OS) of such devices, integral protection against advanced intrusions cannot be adequately enforced. More specifically, sophisticated, powerful OSs, such as Android and iOS, and the services they can support bring new opportunities to attackers toward compromising the device and the data stored on it. This is along with the rise of mobile malware which is anticipated to comprise a serious threat in the near future. Therefore, the research community is constantly seeking for solutions to cope with these newly-introduced perils. Thus, a need for more intelligent and sophisticated security controls such as Intrusion Detection and Prevention Systems (IDPS) is deemed necessary. However, whilst much work has been devoted to mobile device IDSs in general, research on anomaly-based or behavior-based IDS has been limited leaving several problems unsolved. Motivated by this fact, this doctoral thesis focuses on the design and development of advanced anomaly IDPS for modern mobile devices. Moreover, to the best of our knowledge, it is the first to explore, propose and evaluate modern advanced behavioral-based mechanisms and characteristics which can be used towards enchancing the security of mobile devices. More specifically, in the context of this thesis we show that by monitoring user’s touch patterns and behaviors as they utilize popular mobile applications or services (e.g., SMS, Call, Internet), and/or by profiling native system calls produced by an active (running) service, one is able to design powerful mechanisms that can be very reliable and accurate in detecting malicious behavior produced by malwares or unauthorised device use. The IPD mechanisms proposed and evaluated in the context of the present thesis are capable of detecting new undocumented malwares or illegitimate usage of services. This is achieved by providing continuous authentication to ensure legitimate use of the device and prevent threats via intelligent post-authentication and non-repudiation response schemes. This is supported by the experimental results that attest the efficiency of the proposed mechanisms. However, particular emphasis throughout with work is put to understand, explore and present how novel mobile device security threats can be exploited to violate confidentiality, integrity, availability, authenticity and privacy requirements imposed by such devices. This means that, by attacking modern smartphone platforms and popular services, and considering the different attack vectors, it allowed us to create proper IDP mechanisms for modern mobile devices. Last but not least, an advanced IDP theoretical framework for modern mobile platforms is introduced offering food for thought for future work in this exciting field.

Τα τελευταία χρόνια οι έξυπνες κινητές συσκευές έχουν εξελιχθεί σημαντικά, τόσο σε επίπεδο υλικού όσο και υπηρεσιών που μπορούν να υποστηρίξουν, και γι' αυτό η χρήση τους γνωρίζει ραγδαία εξάπλωση. Δεν αποτελεί υπερβολή το ότι οι παντός είδους τέτοιες συσκευές έχουν γίνει αναπόσπαστο μέρος της καθημερινότητάς μας. Παρόλα αυτά, η αυξανόμενη αυτή τάση έχει μοιραία εκθέσει τις κινητές συσκευές σε ένα ολοένα και αυξανόμενο πλήθος απειλών κατά της ασφάλειάς τους. Με τον όρο «ασφάλεια» αναφερόμαστε στην ασφάλεια που παρέχεται σε επίπεδο χρήστη της συσκευής, όσο και στο επίπεδο των δεδομένων που αποθηκεύονται σε αυτή. Παρά το πλήθος των μηχανισμών ασφάλειας που ενσωματώνουν τα σύγχρονα λειτουργικά συστήματα των κινητών συσκευών, όπως τεχνικές ελέγχου προσπέλασης χρηστών και ετεροχρονισμένης αυθεντικοποίησης, δεν είναι πάντοτε δυνατή η παροχή ολοκληρωμένης και αποτελεσματικής προστασίας ενάντια σε νέου τύπου εισβολές. Συγκεκριμένα, η εμφάνιση εξελιγμένων λειτουργικών συστημάτων (πλατφορμών), όπως το Android και το iOS, και η διαρκή εξάπλωση «ευφυούς» κακόβουλου λογισμικού, ειδικά κατασκευασμένου για αυτές τις πλατφόρμες, θέτουν νέα δεδομένα στο σχεδιασμό και υλοποίηση αποτελεσματικών λύσεων ασφαλείας για τους χρήστες αυτών των συσκευών. Έτσι, καθίσταται ολοένα και περισσότερο πρόδηλη η ανάγκη για τη δημιουργία εξυπνότερων και αποτελεσματικότερων μηχανισμών ασφαλείας, όπως είναι τα Συστήματα Ανίχνευσης και Πρόληψης Εισβολών (Intrusion Detection and Prevention Systems - IDPS). Ωστόσο, ενώ μέχρι στιγμής έχει μελετηθεί σε ικανοποιητικό βαθμό η χρήση IDPS σε κινητές συσκευές, η έρευνα που αφορά στην ανίχνευση εισβολών, η οποία όμως βασίζεται στον εντοπισμό ανωμαλιών σε προφίλ συμπεριφοράς χρήστη, είναι περιορισμένη. Παράλληλα, στο γοργά εξελισσόμενο χώρο των έξυπνων φορητών συσκευών, πλήθος προβλημάτων εξακολουθούν να παραμένουν αναπάντητα ή μερικώς απαντημένα όσον αφορά τη χρήση IDPS. Ο κύριος στόχος της παρούσας διδακτορικής διατριβής είναι η μελέτη και υλοποίηση ισχυρών και αξιόπιστων μηχανισμών ασφάλειας, οι οποίοι να είναι ικανοί στο να ανιχνεύουν με μεγάλη ακρίβεια κακόβουλες συμπεριφορές που παράγονται είτε από κακόβουλο λογισμικό, είτε από μη εξουσιοδοτημένη χρήση της συσκευής. Πιο συγκεκριμένα, οι μηχανισμοί που προτείνονται και αξιολογούνται στο πλαίσιο της διατριβής είναι ικανοί να εντοπίζουν εισβολές καταγράφοντας: (α) τα πρότυπα αφής που παράγονται όταν ο χρήστης της συσκευής αλληλεπιδρά με την οθόνη της, (β) τις συνήθειες του χρήστη ως προς το πως χρησιμοποιεί δημοφιλείς εφαρμογές ή υπηρεσίες, όπως για παράδειγμα αποστολή/λήψη μηνυμάτων, τηλεφωνικές κλήσεις, περιήγηση στο Διαδίκτυο, ψηφιακούς βοηθούς κ.ά., καθώς και (γ) το προφίλ που δημιουργείται από τις κλήσεις του λειτουργικού συστήματος όταν εκτελούνται οι εφαρμογές. Οι μηχανισμοί IDP που παρουσιάζονται στη διατριβή, έχουν τη δυνατότητα να εντοπίζουν νέες, μη καταγεγραμμένες εκδοχές κακόβουλου λογισμικού, μη ορθή χρήση υπηρεσιών, ενώ μπορούν επίσης να παρέχουν διαρκή αυθεντικοποίηση για να εξασφαλίσουν τη χρήση της έξυπνης φορητής συσκευής μόνο από τους εξουσιοδοτημένους χρήστες της. Οι προταθέντες μηχανισμοί, παρουσιάζουν ιδιαίτερα ανταγωνιστικές επιδόσεις στην αποτροπή επιθέσων κατά της μη-εξουσιοδοτημένης χρήσης της συσκευής, αξιοποιώντας έξυπνα αλλά ταυτόχρονα εύκολα υλοποιήσιμα και κλιμακούμενα μοντέλα ετεροχρονισμένης αυθεντικοποίησης και μη-αποποίησης. Για την επαρκή αξιολόγηση των μηχανισμών που προτείνονται χρησιμοποιήθηκαν πραγματικά δεδομένα και ικανό πλήθος προφίλ χρηστών. Ιδιαίτερη έμφαση στα πλαίσια της διατριβής δίνεται, στην κατανόηση, διερεύνηση και παρουσίαση των μεθόδων και ιδιαίτερων τεχνικών που ενδέχεται να χρησιμοποιηθούν από επίδοξους εισβολείς με σκοπό την παραβίαση βασικών απαιτήσεων ασφάλειας, όπως η εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα, αυθεντικότητα και ιδιωτικότητα, που πλέον - περισσότερο από ποτέ - θεωρούνται επιβεβλημένες για τις σύγχρονες κινητές συσκευές. Συγκεκριμένα, μέσω της σχεδίασης κακόβουλου λογισμικού και της υλοποίησης πρότυπων τύπων επιθέσων σε κινητές πλατφόρμες και υπηρεσίες έγινε εφικτή η αποτελεσματική αξιολόγηση των προταθέντων μηχανισμών IPD. Συνολικά, τα αποτελέσματα της διατριβής μπορούν να αξιοποιηθούν για την υλοποίηση ενός προηγμένου και ολιστικού πλαισίου IDPS για έξυπνες-φορητές συσκευές. Η θεωρητική βάση για ένα τέτοιο πλαίσιο αναπτύσσεται στο παρόν πόνημα και γι' αυτό μπορεί άμεσα να αξιοποιηθεί ως βάση για μελλοντικές έρευνες στην περιοχή.