Ny metod skyddar samhällskritisk infrastruktur mot cyberattacker

Antalet cyberattacker ökar och ändrar ständigt karaktär. I en ny rörelse känd som "big game hunting" riktas attacker mot större företag, organistioner och offentliga institutioner.
Den våg av utpressningshot som sedan länge riktats mot privata datorer har de senaste åren i allt större utsträckning även drabbat stora företag, organisationer och offentliga institutioner. Nyligen rapporterade SVT att man utsatts för ett antal försök till intrång, och nu ska inrätta ett särskilt cybersäkerhetsteam. Norsk Hydro, ett multinationellt bolag inom processindustri, förlorade stora belopp efter en attack 2019.

Forskare vid Institutionen för data- och informationsteknik har i ett projekt finansierat av Myndigheten för samhällsskydd och beredskap föreslagit en ny metod, anpassad särskilt till samhällskritisk infrastruktur, för att upptäcka avancerade cyberattacker. I filmen ovan beskriver Wissam Aoudi, doktorand på avdelningen för Nätverk och system, det föreslagna systemet PASAD och hur det fungerar. 

PASAD – lösningen på ett enklare problem

Grunden till algoritmen är ett nytt och innovativt sätt att mäta om och när det övervakade systemet avviker från sin normala dynamik och börjar bete sig annorlunda. Metoden fungerar genom att i en analysfas registrera det underliggande systemets normala beteendede, och sedan övervaka realtidsbeteendet för att upptäcka avvikelser och skicka en varning vid misstanke om en potentiell attack. 

Traditionella metoder går ut på att med hjälp av historiska mätningar försöka förutsäga systemets framtida beteende, och sedan jämföra detta med realtidsobservationer och varna när skillnaden blir för stor. Men det är svårt att förutsäga framtiden. Metoderna fungerar bara för att upptäcka uppenbara attacker och missar mer avancerade intrång, där angripare döljer sina spår i brus från data.

Den nu föreslagna metoden har betydligt bättre träffsäkerhet. Att ta bort steget med att förutsäga framtida beteende innebär att den nya metoden är mer känslig och därmed kan upptäcka mer avancerade angrepp som tidigare kunnat döljas i brus. 

Kontakt

Wissam Aoudi, doktorand, Nätverk och system.
Magnus Almgren, docent, Nätverk och system.
 

Relaterade projekt och publikationer


"Truth Will Out: Departure-Based Process-Level Detection of Stealthy Attacks on Control Systems"
Proceedings of the ACM Conference on Computer and Communication Security 2018. 

"A probe into process-level attack detection in industrial environments from a side-channel perspective"
ACM International Conference Proceeding Series 2019.

15th European Dependable Computing Conference, 2019.

Publicerad: må 17 feb 2020.