Αναγνώριση επίθεσης σε δικτυακές υπηρεσίες με χρήση του συστήματος αρχείων και τεχνικών μηχανικής μάθησης

Abstract

Current Society is highly depended on the Internet. A vast amount of personal information, like user passwords, credit card numbers, e-mails, etc. travels around the world via the Internet backbone in a daily basis through the use of smart phones, tablets, and all different kinds of devices and sensors forming the Internet of Things (IoT). However, for those who are lurking in the cyber-space underground, as the number of on-line devices increases and the use of Internet services grows, so does the attack surface. In the recent years, apart from the cyber-threat protection provided traditionally by antivirus systems and firewalls, a new, second-line of defense has been developed, namely Intrusion Detection Systems (IDSs). The purpose of an IDS is to discover when an Information System is under attack and inform the user or even react when possible. This thesis is focused on how the Operating System's file system can be used in order to aid the intrusion detection process. For this purpose, a feature space is proposed on which raw file system information is projected. Based on this type of information, FI²DS is presented. FI²DS is an anomaly-based intrusion detection system that analyses file system information generated by web daemons to recognise attacks. FI²DS accomplishes high detection rates with low false positive rates, proving that our proposed feature space is highly informative and hence helpful for intrusion detection. Next, we propose a method for analysing sequences of alerts originating from the file system and generated by systems like FI²DS, and through the use of grouping, clustering and anomaly detection algorithms employed in these sequences, a further reduce in FI²DS' false positive rate is achieved. Finally, we propose a new architecture for designing IDSs which is based on behaviours. Behaviours are higher-level information units with respect to the raw information provided by IDS sensors. Based on the idea of behaviours, a prototype IDS is presented (BIDS) that outperforms FI²DS in the context of intrusion detection, indicating that as far as the file system is concerned, higher-level information is more useful than to lower-level information regarding intrusion detection.

Η σύγχρονη κοινωνία είναι άμεσα εξαρτώμενη από το Διαδίκτυο. Με τη χρήση των κινητών τηλεφώνων, των tablets, και όλων των έξυπνων συσκευών και αισθητήρων του Διαδικτύου των Πραγμάτων (Internet of Things), καθημερινά ανταλλάσσεται ένας γιγάντιος όγκος πληροφορίας μέσα από το Διαδίκτυο ο οποίος πολύ συχνά περιέχει ευαίσθητες πληροφορίες, όπως κωδικούς χρηστών, αριθμούς πιστωτικών καρτών, ηλεκτρονική αλληλογραφία, κ.λ.π. Παράλληλα, όμως, με την αύξηση των συνδεδεμένων στο Διαδίκτυο συσκευών και της χρήσης των διαθέσιμων ηλεκτρονικών υπηρεσιών αυξάνεται και η επιφάνεια επίθεσης για αυτούς που καραδοκούν. Πέρα από τις τυπικές μεθόδους προστασίας από κυβερνο-επιθέσεις, όπως είναι τα αντιιικά και τα τείχη προστασίας, τα τελευταία χρόνια έχει αναπτυχθεί μια δεύτερη γραμμή άμυνας, τα Συστήματα Αναγνώρισης Επίθεσης (IDS). Ο σκοπός των IDS είναι να ανακαλύπτουν πότε ένα υπολογιστικό σύστημα δέχεται επίθεση και να ενημερώνουν το χρήστη ή ακόμη και να λαμβάνουν αντίμετρα. Στην παρούσα διατριβή επικεντρωνόμαστε στο πώς το Σύστημα Αρχείων των Λειτουργικών Συστημάτων μπορεί να χρησιμεύσει στην αναγνώριση επίθεσης. Προτείνεται ένας χώρος χαρακτηριστικών στον οποίο προβάλλεται η πληροφορία του συστήματος αρχείων. Βασισμένος σε αυτήν την πληροφορία υλοποιείται ο FI²DS, ένα IDS αναγνώρισης ανωμαλιών του συστήματος αρχείων σε εξυπηρετητές ιστού. Ο FI²DS επιτυγχάνει υψηλά ποσοστά σωστών αναγνωρίσεων και χαμηλά ποσοστά εσφαλμένων συναγερμών, αποδεικνύοντας ότι ο χώρος χαρακτηριστικών που προτείνουμε είναι κατάλληλος για την αναγνώριση επιθέσεων. Στη συνέχεια, προτείνουμε μία μέθοδο ανάλυσης χρονοσειρών του συστήματος αρχείων που προέρχονται από συναγερμούς συστημάτων όπως ο FI²DS, και με τη χρήση αλγορίθμων ανίχνευσης ανωμαλιών και ομαδοποίησης επιτυγχάνουμε ακόμα μεγαλύτερη μείωση στο ποσοστό εσφαλμένων συναγερμών του FI²DS. Τέλος, προτείνουμε ένα μοντέλο σχεδίασης IDS που εκμεταλλεύεται συμπεριφορές. Οι συμπεριφορές αυτές είναι μονάδες πληροφορίας ανηγμένες σε υψηλότερο επίπεδο από ό,τι η πληροφορία που εισέρχεται στους αισθητήρες ενός IDS. Με βάση την ιδέα των συμπεριφορών, παρουσιάζουμε ένα πρότυπο IDS, το BIDS, το οποίο ξεπερνάει σε επιδόσεις το FI²DS, υποδεικνύοντας ότι στην περίπτωση του συστήματος αρχείων, η πληροφορία σε υψηλότερο επίπεδο είναι πιο χρήσιμη από ό,τι η χαμηλού επιπέδου πληροφορία που λαμβάνεται από τους αισθητήρες του IDS.