Ανίχνευση εισβολών στην ασφάλεια της τεχνολογίας της πληροφορίας

Abstract

Our aim is to expand Intrusion Detection to the area of Game Theory, to borrow concepts required to study the interactions between users and Intrusion Detection Systems (IDSs). The results offer a better understanding of what directions should be followed by an IDS and what motivations drive a user towards attacking activity. It is an inter-disciplinary research work, between Computer Science and Game Theory that falls in the new emerging area of Algorithmic Game Theory. We argue that an insider's behavior might be predicted and when it gives characteristics of attacking activity, the system can take the analogous countermeasures by deciding proper strategies to confront the potential attacker. The use of the logit QRE, as a method to calculate the likelihood an action will be chosen, enhances the effectiveness of a classical IDS. This is provided through an implementation scheme that proposes a Detection Mechanism, which operates on an algorithm that combines the output of an IDS with the output of the QRE algorithm in order to ensure more precise system reactions. In another implementation scheme, we propose a game-based ID model that will play the games between users and an IDS in such a way that an IDS will be able to defend the Target System by choosing proper actions to avoid attacks.

Στόχος μας είναι η επέκταση της Ανίχνευσης Εισβολών προς την περιοχή της Θεωρίας των Παιγνίων, με σκοπό να δανειστούμε τα εννοιολογικά εκείνα στοιχεία που απαιτούνται για τη μελέτη των αλληλεπιδράσεων μεταξύ χρηστών και Συστημάτων Ανίχνευσης Εισβολών (Intrusion Detection Systems - IDSs). Τα αποτελέσματα προσφέρουν καλύτερη κατανόηση ως προς τις κατευθύνσεις που πρέπει να ακολουθηθούν από ένα Σύστημα Ανίχνευσης Εισβολών και ως προς τα κίνητρα που οδηγούν ένα χρήστη προς την επιθετική δραστηριότητα. Πρόκειται για έρευνα μεταξύ δύο διαφορετικών επιστημονικών κλάδων, της Επιστήμης των Υπολογιστών και της Θεωρίας των Παιγνίων, που εμπίπτει στη νεοεμφανιζόμενη περιοχή της Αλγοριθμικής Θεωρίας των Παιγνίων (Algorithmic Game Theory). Υποστηρίζουμε ότι η συμπεριφορά ενός εσωτερικού επιτιθέμενου μπορεί να προβλεφθεί και όταν αυτή φανερώνει χαρακτηριστικά επιθετικής δραστηριότητας, το σύστημα μπορεί να λάβει τα ανάλογα αντίμετρα, επιλέγοντας κατάλληλες στρατηγικές για την αντιμετώπιση του δυνητικού επιτιθέμενου. Η χρήση του logit QRE, ως μέθοδος για τον υπολογισμό της πιθανότητας να επιλεγεί μία ενέργεια, ενισχύει την αποτελεσματικότητα ενός κλασικού Συστήματος Ανίχνευσης Εισβολών. Αυτό παρέχεται μέσα από ένα σχήμα υλοποίησης που προτείνει ένα Μηχανισμό Ανίχνευσης, ο οποίος λειτουργεί με έναν αλγόριθμο που συνδυάζει την έξοδο ενός Συστήματος Ανίχνευσης Εισβολών με την έξοδο του αλγόριθμου του QRE, έτσι ώστε να διασφαλιστούν περισσότερο ακριβείς ενέργειες αντίδρασης από την πλευρά του συστήματος. Σε ένα άλλο σχήμα υλοποίησης, προτείνουμε ένα μοντέλο Ανίχνευσης Εισβολών βασισμένο στα Παίγνια και τη θεωρία τους, το οποίο θα παίζει τα παίγνια μεταξύ των χρηστών και ενός Συστήματος Ανίχνευσης Εισβολών, με τέτοιο τρόπο, ώστε ένα Σύστημα Ανίχνευσης Εισβολών θα είναι σε θέση να αμυνθεί για την προστασία του συστήματος στόχου (Target System), επιλέγοντας τις κατάλληλες ενέργειες ώστε να αποφύγει επιθέσεις.