Presentation för Handelsbanken. Januari 2024.

1. 1/12
Självlärande System för Cybersäkerhet
Kim Hammar
kimham@kth.se
CDIS, Centrum för cyberförsvar och informationssäkerhet
NSE, Avdelningen för nätverk och systemteknik
KTH Kungliga Tekniska Högskolan
11 Jan, 2024

2. 2/12
Hur kan vi mitigera cyberangrepp med AI?

3. 3/12
Hur kan vi mitigera cyberangrepp med AI?

4. 3/12
Motivation
I Utmaningar:
I Attackmetoder är i en konstant
förändring och utveckling
I Komplicerade IT-infrastrukturer
I Forskningsmål:
I Automatisera säkerhetsfunktioner
I Anpassa system till föränderliga
attackmetoder
Attackerare Klienter
. . .
Försvarare
1 IDS
1
alarm
Gateway
7 8 9 10 11
6
5
4
3
2
12
13 14 15 16
17
18
19
21
23
20
22
24
25 26
27 28 29 30 31

5. 4/12
Automatiserad Säkerhet: Nuvarande Forskningslandskap
Nivåer av säkerhetsautomatisering
Ingen automatisering.
Manuell detektering.
Manuell prevention.
Inga alarm.
Ingen automatiserad
attack mitigering.
Brist på verktyg.
80-talet 90-talet 00-talet-Nu Forskning
Operatörassistans.
Manuell detektering.
Manuell prevention.
Granskningsloggar.
Säkerhetsverktyg.
Partiell automatisering.
System har automatiserade
funktioner för detektering/
prevention men kräver manuell
uppdatering och konfiguration.
Intrångsdetekteringssystem.
Intrångspreventeringssystem.
Hög automatisering.
Systemet uppdaterar sig
självt automatiskt.
Automatiserad attackdetektering.
Automatiserad attackmitigering.

6. 5/12
Exempel: Intrångsmitigering
I En försvarare opererar en
infrastruktur
I Består av komponenter
sammankopplade i ett nät
I Komponenterna exekverar
nätverkstjänster
I Försvararen övervakar nätet och kan
utföra responsaktioner
I En attackerare har som mål att göra
ett intrång
I Vill få tillgång till komponenter
I Utför rekognisering samt
exploatering av sårbarheter
Attackerare Klienter
. . .
Försvarare
1 IDS
1
alarm
Gateway
7 8 9 10 11
6
5
4
3
2
12
13 14 15 16
17
18
19
21
23
20
22
24
25 26
27 28 29 30 31

7. 6/12
Steg 1: Emulering
Modell
s1,1 s1,2 s1,3 . . . s1,4
s2,1 s2,2 s2,3 . . . s2,4
Virtuell miljö
. . .
Virtuellt
datornät
Virtuella
enheter
Emulerade
Tjänster
Emulerade
aktörer
IT Infrastruktur
Konfiguration
Mätvärden
Verifierad säkerhetspolicy
Optimerad säkerhetspolicy

8. 7/12
Steg 2: Samla in data
0 2000 4000 6000 8000
probability
cve-2010-0426
0 2000 4000 6000 8000
cve-2015-3306
0 2000 4000 6000 8000
cve-2015-5602
0 2000 4000 6000 8000
cve-2016-10033
0 2000 4000 6000 8000
cwe-89
0 2000 4000 6000 8000
O
probability
cve-2017-7494
0 2000 4000 6000 8000
O
cve-2014-6271
0 5000 10000 15000 20000
O
ftp brute force
0 5000 10000 15000 20000
O
ssh brute force
0 5000 10000 15000 20000
O
telnet brute force
intrusion no intrusion intrusion model normal operation model
Fördelningar av intrångsdetekteringsalarm under olika typer av intrång.
I Första steget i vår metod är att samla in stora mängder data
från IT infrastrukturen.
I Vi samlar in data både under normaltillstånd samt under olika
typer av intrång (emulerade intrång).

9. 8/12
Steg 3: Modellering
I Vi modellerar systemet med hjälp av
de mätvärden vi samlat in.
I Statistiska modeller baserat på
I Hotmodellering
I Reglerteknik
I Beslutsteori
I Spelteori
I Exempel på frågor vi kan svara med
hjälp av modellen:
I Vad är sannolikheten att ett intrång
pågår?
I Vilken effekt fås om vi uppdaterar
vår säkerhetspolicy?
s1 s2 s3
s4 s5 s4
.
.
.
.
.
.
.
.
.

10. 9/12
Steg 4: Optimering
H C
∅
Optimering
Modell Simulering
Teoretiskt optimal
säkerhetspolicy
I Baserat på modellen och simuleringar så optimerar vi
säkerhetspolicyn för systemet. Tekniker för optimering:
I Artificiell intelligens
I Förstärkningsinlärning
I Dynamisk programmering
I osv.

11. 10/12
Steg 5: Implementering
Attackerare Klienter
. . .
Automatiserad säkerhetsstrategi
1 IDS
1
alarm
Gateway
7 8 9 10 11
6
5
4
3
2
12
13 14 15 16
17
18
19
21
23
20
22
24
25 26
27 28 29 30 31

12. 11/12
Vår metod för att automatiskt beräkna säkerhetsstrategier
s1,1 s1,2 s1,3 . . . s1,n
s2,1 s2,2 s2,3 . . . s2,n
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Emuleringssystem
IT
infrastruktur
Modellskattning &
Systemidentifiering
Mappning av
säkerhetsstrategi π
Selektiv
replikering
Implementation av
säkerhetsstrategi π
Simuleringssystem
Förstärkningsinlärning &
optimering
Utvärdering &
skattning av modeller
Automatiserad säkerhet &
självlärande system

13. 12/12
Referenser
I Referenser till artiklar och videos finns tillgängligt på:
https://www.kth.se/cdis