Autonomous Intelligence Driven Cyber Defense

Abstract

De fleste bedrifter er i varierende grad avhengig av Internet for å levere tjenester til kunder eller det offentlige. Disse eksponerte tjenestene risikerer kontinuerlige angrep fra ondsinnende hackere. Angripere vil forsøke å ta kontroll over bedriftens ressurser med alle midler. Dette skaper store utfordringer for bedriftene i forhold til ressurser, sikkerhets teknologi og kunnskap. Det nesten umulig å manuelt analysere og håndtere ondsinnede angrep i sanntid, derfor ser vi på muligheter til å automatisere respons beslutningene. Målet er lage et konseptuelt trussel beslutningssystem basert på kunnskapsgrafer som kan automatisk gjøre mottiltak basert på tidligere suksess erfaringer. Kommersielle sikkerhets produkter vil ofte fokusere på proaktive metoder gjennom streng eksponeringskontroll og autentisering. Vi har gjennom flere år sett en utvikling hvor en støtter seg på trussel intelligens på f.eks klassifisering av kjente IP addresser som utfører angrep for å styrke muligheten til å forsvare seg mot uønsket Internett aktivitet. Trenden er også mer utstrakt bruk av sporing utover hvilken Internett addresse de kommer fra og fokusere på identifisering av brukerens hardware enhet, samt bruk av manipulering av angriper som en strategi i Cyber forsvaret. I dette prosjektet tar vi utgangspunkt i at det er to mulige løsninger til håndtering av ondsinnede Internett angrep. Enten identifisiere og lokalisere angriperen for domfellelse, eller å gjøre angriperen identifiserbar til en slik grad at tilgang til Internett tjenester kan nektes. Uansett hvilken retning en velger foreslår vi en autonom beslutningssystem for håndtering av angrep og akkumulering av trussel intelligens. Dette prosjektet utforsker en konseptuell graf basert beslutnings system basert på Google's personalised PageRank. En utviklet kunnskapsgrafskjema blir validert gjennom et syntetisk dataset samt en konsept studie implementasjon.

Most companies depend on the Internet in some degree for providing services to customers or the public.These exposed services are risking continuously attacks from malicious people. Attackers will attempt to take control of the business assets in any way possible. This put an enormous strain on the defender both in regard of resources, advanced security protection and specialized security knowledge. It is near impossible to manually retrieve data from an active malicious attack in the short time the connection lasts, therefore autonomous or semi-automated response options are explored. The goal is to create an conceptual graph based decision system that can autonomous apply countermeasures based on previous successes. Commercial security products will often focus on proactive defense through careful service exposure control and authentication. In recent years we have seen an increasingly focus on integrating threat intelligence and reputation based access control. The trend is to do tracking beyond the Internet address and focus on identifying the specific user device, in addition to deception based defense systems. In this project we suggest that there are two possible solutions for dealing with malicious Internet activity. Either identify and locate the attacker in the real world for prosecution or make the attacker identifiable in such a way that general access to Internet services can be denied. Either way our suggested solution is to explore autonomous options for countering incoming threats and accumulate intelligence on the attackers. This project seeks to create a conceptual graph based decision system by applying the graph algorithm personalised PageRank on threat data stored in a knowledge graph. Through a synthetic data-set we validate our knowledge graph schema and also contribute with a case study of a proof of concept implementation.