Σας ενημερώνουμε για την παρουσιαση της διπλωματκης εργασιας του φοιτητη Βασιλειου Νταλα (ΤΗ20093) την Πεμπτη 9/7 στις 2μμ, η οποια θα λαβει χωρα διαδικτυακα μεσω του συνδεσμου
https://vdc.hmu.gr/b/spy-zdo-all-zry
ΠΕΡΙΛΗΨΗ ΕΡΓΑΣΙΑΣ
Τα σύγχρονα συστήματα ανίχνευσης εισβολών IDS (Intrusion Detection Systems) συνήθως είναι μονοδιάστατα: αφενός ένα NIDS (Network Intrusion Detection System) αναλύει NetFlow records χωρίς να βλέπει τη συμπεριφορά μέσα στις υπολογιστικές συσκευές που αποτελούν τον στόχο μιας επίθεσης, ενώ ένα HIDS (Host Intrusion Detection System) αναλύει system calls εντός των υπολογιστικών συσκευών χωρίς να βλέπει δικτυακά μοτίβα ευρείας κλίμακας. Σε αυτό το πλαίσιο, η παρούσα διπλωματική εργασία σχεδιάζει, υλοποιεί και αξιολογεί ένα σύστημα ανίχνευσης εισβολών δύο modalities, συνδυάζοντας έναν κλάδο δικτύου (NetFlows) με έναν κλάδο host (system calls) και ενοποιώντας τις εξόδους τους μέσω του πλαισίου MITRE ATT&CK για την ταυτοποίηση των εισβολών. Το πλαίσιο MITRE ATT&CK αποτελεί μια δημόσια βάση γνώσης της συμπεριφοράς του επιτιθέμενου σε πλήθος καταγεγραμμένων κυβερνοεπιθέσεων, με κάθε κυβερνοεπίθεση να περιγράφεται ως προς την τακτική και τις τεχνικές που τη συνοδεύουν. Όπως αποδείχθηκε, η αντιστοίχηση μιας επιχειρούμενης κυβερνοεπίθεσης σε μια τεχνική ATT&CK ήταν ένα από τα πραγματικά δύσκολα προβλήματα σε αυτήν την διπλωματική. Πιο συγκεκριμένα, η παρούσα διπλωματική επιχειρεί να απαντήσει σε πέντε ερευνητικά ερωτήματα: 1) αν τα deep learning μοντέλα υπερτερούν των tree–based σε tabular δεδομένα δικτύου, 2) αν ένας ανιχνευτής ανωμαλιών εκπαιδευμένος μόνο σε φυσιολογική κίνηση ανακτά τις σιωπηλές αστοχίες ενός ταξινομητή και στα δύο modalities, 3) αν η επαύξηση των δεδομένων εκπαίδευσης με τεχνητά δεδομένα (augmentation) βοηθά τις σπάνιες κλάσεις, 4) αν η αυτόματη αντιστοίχιση στο ATT&CK οφελείται από αυστηρότερη επίσημη θεμελίωση, και 5) τι προσφέρει η σύντηξη των δύο κλάδων σε επίπεδο απόφασης.
Καθένας από τους δύο κλάδους του συστήματός που αναπτύχθηκε ακολουθεί το ίδιο pipeline στη δική του τηλεμετρία: α) μηχανική δεδομένων με ρητή αφαίρεση data leakage, β) εποπτευόμενος ταξινομητής συγκρινόμενος μεταξύ tree-based και deep αρχιτεκτονικών με τα ίδια splits και μετρικές, γ) ανιχνευτής ανωμαλιών benign-only αξιολογούμενος σε held-out κλάσεις επιθέσεων, δ) μελέτη augmentation (SMOTE, CTGAN, GAN εικόνας), και ε) ανάλυση σπουδαιότητας χαρακτηριστικών. Και οι δύο κλάδοι αντιστοιχίζονται στο πλαίσιο ATT&CK μέσω του ίδιου αυτόματου pipeline πέντε βημάτων: 1) εμπλουτισμός με επίσημο context, 2) ανάκτηση μέσω embedding, 3) συλλογιστική γλωσσικού μοντέλου, 4) επικύρωση STIX, και 5) ετικέτα εμπιστοσύνης βάσει συμφωνίας, διαφέροντας μόνο στην είσοδο του πρώτου βήματος. Επειδή τα δύο datasets δεν μοιράζονται κανένα κοινό χαρακτηριστικό, οι δύο κλάδοι συντήχθηκαν στο επίπεδο κοινών τεχνικών του πλαισίου ATT&CK και όχι σε επίπεδο χαρακτηριστικών ή δείγματος. Τέλος, τα εκπαιδευμένα μοντέλα αξιολογήθηκαν σε επιθέσεις καταγεγραμμένες ανεξάρτητα σε ξεχωριστό εργαστηριακό δίκτυο, πέραν των δύο διαδικασιών εκπαίδευσης που προηγήθηκαν.
Τα συμπεράσματα της διπλωματικήε μπορούν να συνοψιστούν ως ακολούθως: 1) Στον NIDS κλάδο, τα παραδοσιακά μοντέλα ταξινόμησης ξεπέρασαν σταθερά τα πολύπλοκα βαθειάς μάθησης, και ένας ανιχνευτής που δεν είχε δει ποτέ τις επιθέσεις τις ξεχώρισε αξιόπιστα από τη φυσιολογική κίνηση. 2) Στον HIDS κλάδο, η αντίστοιχη ανίχνευση αρχικά δε λειτούργησε σχεδόν καθόλου, βελτιώθηκε όμως σημαντικά μόλις η μέθοδος έλαβε υπόψη και τη σειρά των ενεργειών αντί μόνο τη συχνότητά τους, χωρίς ωστόσο να φτάσει στα αποτελέσματα του κλάδου NIDS. 3) Η τεχνητή δημιουργία δεδομένων (augmentation) δε βοήθησε ουσιαστικά καμία πλευρά. 4) Η αυτόματη αντιστοίχιση επιθέσεων στο πλαίσιο MITRE ATT&CK πέτυχε στις περισσότερες περιπτώσεις. 5) Στην προσπάθεια γενίκευσης των εκπαιδευμένων μοντέλων, η μεταφορά τους σε νέο περιβάλλον εφαρμογής δε συνοδεύτηκε από τα ίδια ποσοστά επιτυχίας με αυτά του benchmark.
