Αναγνώριση επίθεσης σε δικτυακές υπηρεσίες με χρήση του συστήματος αρχείων και τεχνικών μηχανικής μάθησης

Η σύγχρονη κοινωνία είναι άμεσα εξαρτώμενη από το Διαδίκτυο. Με τη χρήση των κινητών τηλεφώνων, των tablets, και όλων των έξυπνων συσκευών και αισθητήρων του Διαδικτύου των Πραγμάτων (Internet of Things), καθημερινά ανταλλάσσεται ένας γιγάντιος όγκος πληροφορίας μέσα από το Διαδίκτυο ο οποίος πολύ συχνά περιέχει ευαίσθητες πληροφορίες, όπως κωδικούς χρηστών, αριθμούς πιστωτικών καρτών, ηλεκτρονική αλληλογραφία, κ.λ.π. Παράλληλα, όμως, με την αύξηση των συνδεδεμένων στο Διαδίκτυο συσκευών και της χρήσης των διαθέσιμων ηλεκτρονικών υπηρεσιών αυξάνεται και η επιφάνεια επίθεσης για αυτούς που καραδοκούν. Πέρα από τις τυπικές μεθόδους προστασίας από κυβερνο-επιθέσεις, όπως είναι τα αντιιικά και τα τείχη προστασίας, τα τελευταία χρόνια έχει αναπτυχθεί μια δεύτερη γραμμή άμυνας, τα Συστήματα Αναγνώρισης Επίθεσης (IDS). Ο σκοπός των IDS είναι να ανακαλύπτουν πότε ένα υπολογιστικό σύστημα δέχεται επίθεση και να ενημερώνουν το χρήστη ή ακόμη και να λαμβάνουν αντίμετρα. Στην παρούσα διατριβή επικεντρωνόμαστε στο πώς το Σύστημα Αρχείων των Λειτουργικών Συστημάτων μπορεί να χρησιμεύσει στην αναγνώριση επίθεσης. Προτείνεται ένας χώρος χαρακτηριστικών στον οποίο προβάλλεται η πληροφορία του συστήματος αρχείων. Βασισμένος σε αυτήν την πληροφορία υλοποιείται ο FI²DS, ένα IDS αναγνώρισης ανωμαλιών του συστήματος αρχείων σε εξυπηρετητές ιστού. Ο FI²DS επιτυγχάνει υψηλά ποσοστά σωστών αναγνωρίσεων και χαμηλά ποσοστά εσφαλμένων συναγερμών, αποδεικνύοντας ότι ο χώρος χαρακτηριστικών που προτείνουμε είναι κατάλληλος για την αναγνώριση επιθέσεων. Στη συνέχεια, προτείνουμε μία μέθοδο ανάλυσης χρονοσειρών του συστήματος αρχείων που προέρχονται από συναγερμούς συστημάτων όπως ο FI²DS, και με τη χρήση αλγορίθμων ανίχνευσης ανωμαλιών και ομαδοποίησης επιτυγχάνουμε ακόμα μεγαλύτερη μείωση στο ποσοστό εσφαλμένων συναγερμών του FI²DS. Τέλος, προτείνουμε ένα μοντέλο σχεδίασης IDS που εκμεταλλεύεται συμπεριφορές. Οι συμπεριφορές αυτές είναι μονάδες πληροφορίας ανηγμένες σε υψηλότερο επίπεδο από ό,τι η πληροφορία που εισέρχεται στους αισθητήρες ενός IDS. Με βάση την ιδέα των συμπεριφορών, παρουσιάζουμε ένα πρότυπο IDS, το BIDS, το οποίο ξεπερνάει σε επιδόσεις το FI²DS, υποδεικνύοντας ότι στην περίπτωση του συστήματος αρχείων, η πληροφορία σε υψηλότερο επίπεδο είναι πιο χρήσιμη από ό,τι η χαμηλού επιπέδου πληροφορία που λαμβάνεται από τους αισθητήρες του IDS.