Modeling of Selected Cyber Threats with Ontology and Petri Nets

Modelowanie wybranych ataków cybernetycznych z wykorzystaniem ontologii i sieci Petriego - tłumaczenie oryginalnego tytułu

mgr inż. Bartosz Jasiul

Promotor: dr hab. Marcin Szpyrka, prof. AGH
Dyscyplina: Informatyka


Rozprawa doktorska prezentuje metodę wykrywania złośliwego oprogramowania (malware), którego kod został zaciemniony (obfuskowany). Zaproponowane rozwiązanie realizuje proces wykrywania ataku dwuetapowo. W pierwszym etapie wyszukiwane są zdarzenia systemowe charakterystyczne dla zamodelowanych typów malware’u. Etap ten wykorzystuje ontologię i wnioskowanie semantyczne do wyselekcjonowania zdarzeń podejrzanych na tle typowej aktywności systemu. W drugim etapie śledzony jest rozwój cech dystynktywnych złośliwego oprogramowania. Na podstawie modeli malware’u w postaci kolorowanych sieci Petriego następuje klasyfikacja i wykrycie określonego typu ataku na system teleinformatyczny.

W pracy przeprowadzono dowód poprzez zaprezentowanie sposobu działania metody oraz przeprowadzenie testów z wykorzystaniem ataków cybernetycznych, których kod został zaciemniony.

Opracowane narzędzie wykorzystujące zaproponowaną metodę modelowania malware’u umożliwia wykrycie złośliwego oprogramowania, dla którego do tej pory nie stworzono statycznych sygnatur kodu. Dzięki zaproponowanemu rozwiązaniu sygnatury ataków mogą zostać szybciej wytworzone i rozdystrybuowane do innych systemów komputerowych uniemożliwiając ich zainfekowanie tym typem ataku.

Rozwój współczesnych ataków cybernetycznych i metod ich ukrywania spowodował, iż obecne systemy sygnaturowe nie są w stanie na bieżąco wykrywać złośliwego oprogramowania, którego ilość przyrasta w zatrważającym tempie. Jak podaje rosyjski producent oprogramowania antywirusowego, liczba malware’u wzrosła z ok. 23,5 mln w 2008 r. do ok. 1,5 mld w 2012 r. Na podstawie najnowszych badań podaje się, iż ok. 30% organizacji jest zainfekowanych złośliwym oprogramowaniem, pomimo zainstalowanego systemu antywirusowego, blokad firewall i systematycznego korzystania z aktualizacji systemu operacyjnego oraz oprogramowania użytkowego. Spowodowane jest to brakiem sygnatur dla wszystkich typów malware’u oraz stosowaniem przez hackerów różnego rodzaju technik zaciemniania kodu. Detekcja obfuskowanych ataków zajmuje w ponad 80% przypadków tygodnie lub miesiące licząc od pierwszej infekcji. W tym czasie niemal każdy przeprowadzony atak kończył się będzie uzyskaniem przez atakującego zamierzonego celu.

Celowe w takim przypadku wydaje się przesunięcie rubieży obrony do poziomu pojedynczego hosta i obserwacji zachowań systemu operacyjnego oraz zainstalowanego oprogramowania. Istotą takiej obrony będzie zamodelowanie działania obfuskowanego malware’u celem wsparcia procesu wykrywania różnego rodzaju działań niepożądanych.

Biorąc powyższe pod uwagę autor rozprawy stawia tezę, iż:

Metoda modelowania malware’u bazująca na ontologii i kolorowanych sieciach Petriego umożliwia detekcję ataków cybernetycznych, których kod został zaciemniony.

W celu udowodnienia tezy:

• zaprojektowano i zweryfikowano ontologię ataków cybernetycznych oraz reguły wnioskowania,
• pokazano, iż model ontologiczny i reguły wnioskowania umożliwiają identyfikację pojedynczych działań złośliwych spośród zdarzeń regularnych,
• zamodelowano wybrane ataki cybernetyczne z wykorzystaniem kolorowanych sieci Petriego,
• zweryfikowano metodę modelowania ataków cybernetycznych bazującą na ontologii i kolorowanych sieciach Petriego poprzez wykorzystanie opracowanych modeli do detekcji różnych typów malware’u.

Ontologia i wnioskowanie semantyczne zostały użyte do filtrowania, spośród regularnych zdarzeń systemowych, pojedynczych symptomów, które wskazują na działający w systemie malware. Z kolei kolorowane sieci Petriego zostały użyte do śledzenia działania malware’u w zainfekowanym systemie. Odfiltrowane zdarzenia są korelowane w celu znalezienia podobieństwa z zamodelowanymi działaniami niepożądanymi w postaci kolorowanych sieci Petriego. Wynikiem śledzenia malware’u jest alarm składający się z wektora informującego o złośliwej aktywności, podobieństwie do znanych ataków oraz liście symptomów, na podstawie których stwierdzono działanie niepożądane. Skuteczność metody udowodniono poprzez implementację narzędzia PRONTO i wykorzystanie go do wykrycia wybranych typów złośliwego oprogramowania. W rozprawie przeprowadzono dowód w postaci wykrycia trzech różnych typów malware’u przy wykorzystaniu opracowanych modeli ataków cybernetycznych. Opracowane narzędzie PRONTO umożliwia wykrycie zaciemnionego złośliwego oprogramowania, dla którego nie ma stworzonych sygnatur, w ciągu minut lub godzin. Wynik ten jest satysfakcjonujący, gdyż obecne systemy sygnaturowej detekcji malware’u umożliwiają wykrycie złośliwego oprogramowania w ciągu tygodni lub miesięcy od pierwszej infekcji.

1. M. Szpyrka, B. Jasiul, K. Wrona, and F. Dziedzic. Telecommunications networks risk assessment with Bayesian networks. In Computer Information Systems and Industrial Management Proceedings of the 12th IFIP TC8 International Conference CISIM 2013, volume 8104 of Lecture Notes in Computer Science, Springer-Verlag, pages 277-288, 2013.
2. B. Jasiul, P. Olofsson, J. Śliwa, M. Sjöblom, R. Goniacz, and R. Piotrowski. A lesson learned from the information assurance and delivery in the project Multinational Interagency Situational Awareness – Extended Martime. In Military Communications and Information Systems Conference (MCC): Concepts and Implementations for Innovative Military Communications and Information Technologies, pages 407–417. MUT Publishing House, 2010.
3. B. Jasiul, J. Śliwa, R. Piotrowski, R. Goniacz, Authentication and Authorization of Users and Services in Dynamic Military SOA Environments, in „Journal of Telecommunications and Information Technology”, nr 1, pages 54-61, 2011.
4. B. Jasiul and R. Piotrowski. System ochrony sieci teleinformatycznych przed działaniami nieuprawnionymi SOPAS. W Ewolucja wojskowych systemów teleinformatycznych oraz lesson learned w Świetle misji pokojowych i stabilizacyjnych, strony 69–75, Ministerstwo Obrony Narodowej, 2012.
5. B. Jasiul, R. Piotrowski, P. Berezinski, M. Choraś, R. Kozik, and J. Brzostek. Federated Cyber Defence System – applied methods and techniques. In Military Communications and Information Systems Conference (MCC), 2012. Military Communications and Information Technology: A trusted Cooperation Enabler, vol. 1, pages 347–357.
6. B. Jasiul, J. Śliwa, R. Goniacz, R. Piotrowski, and M. Amanowicz. Web services security in SOA-based systems. In Proceedings of IEEE Multimedia Communications, Services and Security (MCSS), Krakow, Poland, 2010.
7. B. Jasiul, R. Piotrowski, G. Kantyka, J. Cichocka, Bezpieczeństwo teleinformatyczne w federacyjnym środowisku systemowym, Rozdział 3 pracy zbiorowej pod redakcją M. Amanowicza Zaawansowane metody i techniki tworzenia świadomości sytuacyjnej w działaniach sieciocentrycznych, strony 197-272, ISBN 978-83-61949-16-9, Wydawnictwo PTM, Warszawa, Polska, 2010.
8. B. Jasiul, J. Śliwa, R. Piotrowski, R. Goniacz, and M. Amanowicz. Authentication and authorization of users and services in federated SOA environments - challenges and opportunities. In Proceedings of NATO Information Systems and Technology Panel Symposium: Information Assurance and Cyber Defence, Tallinn, Estonia, 2010.
9. R. Piotrowski, B. Jasiul, M. Śliwka, G. Kantyka, T. Podlasek, T. Dalecki, M. Choraś, R. Kozik, and J. Brzostek. The response to cyber threats in federation of systems environment. In Military Communications and Information Systems Conference (MCC): Civil Military Cooperation, 2011.
10. J. Śliwa and B. Jasiul. Efficiency of dynamic content adaptation based on semantic description of web service call context. In Military Communications Conference, MILCOM 2012, Orlando, USA, pages 1–6, 2012.
11. Ł. Apiecionek, M. Romantowski, J. Śliwa, B. Jasiul, and R. Goniacz. Safe exchange of information for civil-military operations. In Military Communications and Information Technology: A Comprehensive Approach Enabler, pages 39–50. MUT Publishing House, 2010.
12. B. Jasiul, A. Moeller, Flexibility and Scalability of Security Measures, IST-073: Specialists Meeting on „Research Strategy for Information Security in NEC” at the Belgian Defence Staff, Brussels, Belgium, 2007.
13. B. Jasiul, M. Leonard, D. Merani, Management of Security Lifecycle, IST-073: Specialists Meeting on „Research Strategy for Information Security in NEC” at the Belgian Defence Staff, Brussels, Belgium, 2007.
14. B. Jasiul, R. Di Pietro, M. Leonard, Secure Session Key Establishment for Wireless Sensor Networks, MCC, Bonn, Germany, 2007.
15. B. Jasiul, Zagrożenia i mechanizmy bezpieczeństwa w systemach sieciocentrycznych, Krajowe Sympozjum Telekomunikacji i Teleinformatyki, Bydgoszcz 2006.