Βιβλιοθήκη ΟΠΑ - Ψηφιακό Αποθετήριο

ΠΥΞΙΔΑ Ιδρυματικό Αποθετήριο
και Ψηφιακή Βιβλιοθήκη

Όνομα χρήστη
Κωδικός πρόσβασης

Συλλογές :	Ιδρυματικό Αποθετήριο ΟΠΑ / AUEB Institutional Repository Σχολή Επιστημών και Τεχνολογίας της Πληροφορίας / School of Informatics Τμήμα Πληροφορικής / Department of Informatics Μεταπτυχιακές Εργασίες / Postgraduate dissertations

Τίτλος :	Μοντέλο πρόβλεψης εκ των έσω απειλής

Δημιουργός :	Κάνδιας, Μιλτιάδης

Συντελεστής :	Γκρίτζαλης, Δημήτριος (Επιβλέπων καθηγητής) Οικονομικό Πανεπιστήμιο Αθηνών, Τμήμα Πληροφορικής (Degree granting institution)

Τύπος :	Text

Φυσική περιγραφή :	119σ.

Γλώσσα :	el

Περίληψη :	Η παρούσα εργασία ασχολείται με το ζήτημα της απειλής εκ των έσω. Πιο συγκεκριμένα προτείνει ένα μοντέλο πρόβλεψης απειλών εκ των έσω έτσι ώστε να μπορεί να μετριαστεί το εν λόγω πρόβλημα. Η πρόβλεψη σαν κομμάτι της πρόληψης έχει σκοπό να εντοπίσει απειλές πριν εκδηλωθούν με τη μορφή επιθέσεων. Για να επιτευχτεί αυτό χρησιμοποιούνται κάποια εργαλεία, μοντέλα και τεχνικές τα οποία αναλύονται στα κεφάλαια της παρούσας εργασίας και συνδυάζονται για τη δημιουργία ενός μοντέλου. Στο κεφάλαιο μελέτης του ψυχολογικού προφίλ των επιτιθέμενων αναφέρονται τεχνικές οι οποίες ανήκουν κυρίως στον τομέα της ατομικής αξιολόγησης και ψυχομετρικών ελέγχων, αλλά ενέχουν και χαρακτηριστικά άλλων τομέων, όπως η μελέτη κινήτρων και αποδοτικότητας. Αρχικά παρουσιάζεται μια μεθοδολογία η οποία στηρίζεται στην ψυχομετρική εξέταση του κάθε χρήστη ώστε να αποφασιστεί το κατά πόσο παρουσιάζει προδιάθεση για παραβατική συμπεριφορά μέσω χρήσης ηλεκτρονικού υπολογιστή. Το αποτέλεσμα αυτής της διαδικασίας βοηθά τόσο στην ταξινομία όσο και στο μοντέλο πρόβλεψης εκ των έσω απειλών. Κατόπιν, παρουσιάζεται συνοπτικά η μέθοδος μέτρησης άγχους του Lowenstein [Lowenstein 1997] και με τη βοήθειά της μελετάται μια μέθοδος προσωποποιημένης αξιολόγησης του παράγοντα άγχους η οποία βοηθά στη κατανόηση της ψυχολογικής κατάστασης του χρήστη [Puleo 2004]. Η συγκεκριμένη μέθοδος επιτρέπει τη συσχέτιση του άγχους με τη πιθανότητα ο χρήστης να συμμετέχει σε κάποια εκ των έσω επίθεση. Τα αποτελέσματα που εξάγονται χρησιμοποιούνται, επίσης, στη ταξονομία χρηστών αλλά και στο μοντέλο πρόβλεψης. Στο κεφάλαιο 3 παρουσιάζονται κάποιες ήδη γνωστές ταξονομίες και κατόπιν προτείνεται μία καινούρια, η οποία έχει δύο τμήματα, ένα για τους χρήστες κι ένα για τις πιθανές επιθέσεις. Η ταξονομία χρηστών αναλύει κάθε χρήστη με βάση επιλεγμένες διαστάσεις, οι οποίες συμπληρώνονται με την ολοκλήρωση κάποιων συγκεκριμένων ελέγχων που αναφέρονται στην εργασία, συγκεκριμένα μετά από κάθε εκτέλεση του μοντέλου πρόβλεψης, του κεφαλαίου 5. Οι πιθανές επιλογές και οι κατηγορίες κάθε διάστασης της ταξονομίας των χρηστών είναι σαφείς και περιγράφονται στο συγκεκριμένο κεφάλαιο. Αντίθετα, η ταξονομία επιθέσεων είναι παγιωμένη και περιέχει όλα τα χαρακτηριστικά για κάθε είδος επίθεσης. Επομένως, δεν παίρνει είσοδο από το μοντέλο πρόβλεψης αλλά του δίνει είσοδο για να μπορέσει να υπολογίσει κάποια χαρακτηριστικά τόσο για τους χρήστες όσο και για τις επιθέσεις. Επιπλέον, παρουσιάζονται τεχνικές παρακολούθησης των χρηστών σε πραγματικό χρόνο. Η έννοια της παρακολούθησης αναφέρεται στο ότι καταγράφονται, αποθηκεύονται και αναλύονται δεδομένα τα οποία προέρχονται από τον τρόπο με τον οποίο χρησιμοποιεί ο χρήστης το πληροφοριακό σύστημα. Η μελέτη ξεκινά από την επαλήθευση των γνώσεων πληροφορικής, όπου οι γνώσεις τις οποίες έχει δηλώσει ο χρήστης πως κατέχει επιβεβαιώνονται με τη χρήση της τεχνικής των Magklaras και Furnell [Magklaras and Furnell2004]. Αυτή η διαδικασία βοηθά ενεργά στην κατάταξη ενός χρήστη σε κάποιο ψυχολογικό προφίλ, όπως αυτά παρουσιάζονται στο κεφάλαιο 2 αλλά και στη δημιουργία ενός ιστορικού χρήσης, το οποίο δίνει σημαντικά δεδομένα στην ανάλυση που περιγράφεται στο υποκεφάλαιο 4.4 και πραγματεύεται πιθανές αλλαγές στη συμπεριφορά του χρήστη. Επιπροσθέτως, χρησιμοποιούνται τεχνικές παρακολούθησης των κλήσεων συστήματος που χρησιμοποιεί το λειτουργικό [Nguyen, Reiher and Kuenning 2003] [Liu et al. 2005] . Με τη χρήση αυτών των τεχνικών μπορεί να εμπλουτιστεί η συμπεριφορά του χρήστη με στοιχεία που ενέχουν ύποπτη χρήση του πληροφοριακού συστήματος. Επιπλέον, η μελέτη των κλήσεων συστήματος μπορεί να δημιουργήσει πολύ χρήσιμα στατιστικά τα οποία, με τη σειρά τους, μπορούν να δώσουν συμπεράσματα για αλλαγή της συμπεριφοράς του χρήστη κυρίως μέσω της αλλαγής του τρόπου χρήσης του λειτουργικού συστήματος. Επόμενο θέμα μελέτης είναι η αλλαγή στη συμπεριφορά χρήσης του πληροφοριακού συστήματος. Πολύ βασικό εργαλείο σε αυτό το κεφάλαιο είναι η χρήση συστημάτων εντοπισμού εισβολής (intrusion detection systems) νέας γενιάς τα οποία έχουν την ικανότητα να αναλύουν τη συνήθη συμπεριφορά κάθε χρήστη και να αναδεικνύουν οποιαδήποτε απόκλιση από αυτή τη συμπεριφορά. Τελευταία τεχνική που παρουσιάζεται είναι η χρήση δικτύων προσέλκυσης επιθέσεων (honeynets, honeypots κτλ.) για τον εντοπισμό πιθανών εκ των έσω επιτιθέμενων ή χρηστών οι οποίοι επιδεικνύουν ύποπτη συμπεριφορά [Spitzner2003]. Τα δίκτυα προσέλκυσης επιθέσεων μπορεί να αναδείξουν τόσο την παραβατική συμπεριφορά ενός χρήστη για την οποία ενδεχομένως να υπάρχουν κάποιες ενδείξεις, όσο και την προδιάθεσή του για εγκληματικές ενέργειες, όπως αυτή έχει παρουσιαστεί στο τεστ κατάταξης σε κάποιο ψυχολογικό προφίλ. Τέλος, γίνεται συζήτηση για τη χρήση αυτών των τεχνικών στην ταξονομία που έχει προταθεί και πως βοηθούν το μοντέλο πρόβλεψης παραβατικής συμπεριφοράς χρήστη. Καθίσταται, επίσης, σαφές ότι με όλες αυτές τις τεχνικές παρακολούθησης εγείρονται θέματα ιδιωτικότητας και ηθικής, τα οποία μελετώνται τόσο από τη πλευρά της ηθικής όσο κι από τη πλευρά του νομικού πλαισίου που υφίσταται. Για το μοντέλο πρόβλεψης εκ των έσω απειλών μελετώνται τέσσερις παράγοντες, η ευκαιρία, οι δεξιότητες του χρήστη, το κίνητρο και η ύπαρξη αδυναμίας στο σύστημα. Πρώτα ελέγχεται ο παράγοντας της ευκαιρίας. Είναι δύσκολο να εντοπιστεί μια ευκαιρία σε ένα σύστημα η οποία να συσχετίζεται συγκεκριμένα με κάποιο χρήστη. Επομένως, σε πρώτο στάδιο ελέγχεται το ενδεχόμενο κάποιος χρήστης να λειτουργεί με τη λογική ότι προσπαθεί να εκμεταλλευτεί κάποια ευκαιρία που του έχει παρουσιαστεί. Τα δεδομένα που χρησιμοποιούνται για να ληφθεί η απόφαση αυτή είναι η αλλαγή συμπεριφοράς στο σύστημα, ο ρόλος του χρήστη στο σύστημα και η ενασχόληση με το δίκτυο ή τα αντικείμενα προσέλκυσης επιτιθέμενων. Κατόπιν, μελετάται ο παράγοντας των δεξιοτήτων του χρήστη, η οποίες μετρώνται με βάση την αυτοαξιολόγηση, όπως παρουσιάζεται στο ερωτηματολόγιο του κεφαλαίου 2, τη ταξονομία χρηστών αλλά και την μέθοδο επαλήθευσης γνώσεων πληροφορικής του κεφαλαίου 4.Τελευταία μελετάται η διάσταση του κινήτρου, η οποία, είναι αρκετά δύσκολο να βρεθεί και να μελετηθεί, οπότε χρησιμοποιείται ένας συνδυασμός παραγόντων για να εντοπιστεί υποψία ότι υπάρχει κίνητρο. Αυτό σημαίνει ότι αν παρατηρούνται ιδιαίτερες αλλαγές στη ψυχολογική κατάσταση του χρήστη τότε μπορεί να γίνει η εικασία ότι ενδέχεται να υπάρχει κίνητρο. Ο υπολογισμός αυτού του χαρακτηριστικού γίνεται με βάση τη προδιάθεση του χρήστη για παραβατικές πράξεις, το επίπεδο άγχους που βιώνει αλλά και με την επαλήθευση των γνώσεων πληροφορικής που έχει δηλώσει ότι κατέχει. Στο πρώτο στάδιο του μοντέλου μελετώνται μόνο τα άνωθεν χαρακτηριστικά κι αν ο χρήστης κριθεί ύποπτος τότε ενεργοποιείται το επόμενο στάδιο ελέγχου το οποίο έχει να κάνει με την εύρεση αδυναμίας στο σύστημα. Η διαδικασία αυτή είναι επίπονη και απαιτεί πολλούς πόρους οπότε η απόφαση για το αν θα ελεγχθεί τελικά η πιθανότητα να υπάρχει αδυναμία στο σύστημα είναι στην επιλογή της εκάστοτε υλοποίησης. Παρουσιάζοντας λίγο πιο αφαιρετικά το μοντέλο πρόβλεψης εκ των έσω απειλών μπορεί να αναφερθεί ότι στη βάση βρίσκονται τα αντικείμενα παρακολούθησης. Αυτά παρακολουθούνται με συγκεκριμένο τρόπο κι έτσι συγκεντρώνονται τα απαραίτητα δεδομένα. Τα δεδομένα, κατόπιν, εξετάζονται από κάποιες μεθόδους παρακολούθησης, οι οποίες μπορεί να είναι κάποιο σύστημα εντοπισμού εισβολής, συστήματα εντοπισμού αλλαγής συμπεριφοράς κτλ. Στο ίδιο επίπεδο βρίσκονται και τα δίκτυα προσέλκυσης επιτιθέμενων τα οποία παίρνουν είσοδο κατευθείαν από τους χρήστες. Από αυτά φαίνεται ξεκάθαρα η σχέση του μοντέλου πρόβλεψης με τη ταξονομία επιθέσεων που παρουσιάζεται στο κεφάλαιο 3 αλλά και με τις μεθόδους παρακολούθησης του κεφαλαίου 4. Επίσης, υπάρχουν και οι ψυχομετρικές τεχνικές (το ερωτηματολόγιο προδιάθεσης και η μέθοδος ελέγχου επιπέδου άγχους) οι οποίες όταν αξιολογούνται δίνουν την αίσθηση του ψυχολογικού προφίλ του χρήστη. Εδώ καθίσταται άμεσα σαφής η χρήση των τεχνικών που περιγράφηκαν στο κεφάλαιο 2. Προφανώς, οι πληροφορίες του ψυχολογικού προφίλ δεν επεξεργάζονται από το ίδιο σύστημα που επεξεργάζεται τις μεθόδους παρακολούθησης, αλλά τροφοδοτούν το ίδιο σύστημα, στο σύστημα αξιολόγησης και απόφασης. Είσοδος σε αυτό το σύστημα είναι και εναλλακτικές πληροφορίες, όπως ο ρόλος του χρήστη, οι δυνατότητες του κτλ. Όλες αυτές τις εισόδους τις λαμβάνει το σύστημα αξιολόγησης και απόφασης και κατατάσσει τον κάθε χρήστη σε μια κατηγορία επικινδυνότητας. Η έξοδος προσφέρεται στο αρμόδιο προσωπικό για περαιτέρω ανάλυση και συμπληρώνεται στη ταξονομία χρηστών στη διάσταση «τελική κατάταξη». Στο τελικό στάδιο, ανάλογα με τη κατάταξη του χρήστη ενεργοποιείται το σύστημα εντοπισμού αδυναμίας στο σύστημα, το οποίο μελετά σε βάθος όλη τη κίνηση που προκαλεί ο χρήστης και προσπαθεί, με τη βοήθεια των ταξονομιών, να εντοπίσει κάποια πιθανή αδυναμία του συστήματος. Προφανώς, οτιδήποτε εντοπίσει θα έχει να κάνει με την προσπάθεια του χρήστη να το εκμεταλλευτεί. This research deals with the problem of the insider threat. Particularly, it suggests an insider threat prediction model to mitigate the problem. Prediction is a part of prevention and its aim is to find threats before they become more dangerous. In order to achieve that it uses some tools, models and techniques which are described in the chapters of this research and are combined in order to create a new model. In the chapter of attacker’s psychological profile two techniques are being mentioned which belong to the area of personal evaluation and psychometric tests, though they have characteristics of other areas like motive and productivity analysis. At first, a methodology based on psychometrics is used in order to decide whether a user shows tendencies towards illegal action using the information system. The result of this process helps both the taxonomy and the insider threats prediction model. Then outlines Lowenstein’s method of measuring stress [Lowenstein 1997] and with its help we study a method of personalized assessment stressor which helps in understanding the psychological status of the user [Puleo 2004]. This method allows the correlation of anxiety with the possibility of the user participating in an insider attack. The results extracted are used both in the taxonomy of users and the prediction model. Chapter 3 presents some already known taxonomies and then proposed a new taxonomy, which has two parts, one for users and one for possible attacks. The taxonomy analyzes each user based on selected dimensions, complemented by the completion of some specific controls explained in the research, namely after each run of the prediction model, explained in Chapter 5. The possible options and types of each dimension of taxonomy are clear and are described in a specific chapter. However, the taxonomy of attacks is fully established and includes all the features for each type of attack. Therefore, it offers input to the prediction model to be able to calculate some characteristics for both users and attacks. In addition, real time monitoring techniques are presented. The concept of monitoring means that data are being recorded, stored and analyzed about the way the user is using the information system. The study begins by checking the computer knowledge each user has and whether these are the same with those that he has said he has, using the technique of Magklaras and Furnell [Magklaras and Furnell 2004]. This process helps in the classification of users in a psychological profile, as presented in Chapter 2, but also in providing a history of use, which provides important data in the analysis described in subsection 4.4 and discusses possible changes in user behavior. Furthermore, there are used techniques to monitor the system calls of the operating system [Nguyen, Reiher and Kuenning 2003] [Liu et al. 2005]. Using these techniques can enrich the user's data associated with a suspected malicious use of information system. In addition, the study of system calls can create very useful statistics which, in turn, can give conclusions on changing user behavior primarily by changing the method of using the operating system. Next on the study is the behavior change of using the information system. A very basic tool in this chapter is the use IDS (intrusion detection systems) of the new generation which have the ability to analyze the normal behavior of each user and to highlight any deviation from this behavior. Last technique presented is to use honeynets and honeypots to identify possible insider attacks or users who exhibit suspicious behavior [Spitzner 2003]. Honeynets can highlight both the delinquent behavior of a user and the tendency for crime, as has occurred in the placement test at some psychological profile. Finally, there are proposed ideas about the use of these techniques in the proposed taxonomy and how they can help the prediction model. It is also clear that all these monitoring techniques raise privacy and ethical issues which are studied both from the moral side and the side of the legal framework that currently exists. The insider threat prediction model is being studied through four factors, the opportunity, user skills, motivation and weaknesses in the system. The first factor checked is that of opportunity. It is difficult to identify an opportunity in a system, which is associated with a specific user. Therefore, the first thing to be tested is the possibility of a user to operate under the logic that he is going to exploit any opportunity that has turned up. The data used to take this decision is whether the user has changed his behavior in the system, the role of the user in the system and if he has been dealing with the honeynet or the honeytokens. Then, the factor of skill of the user is being considered, which is measured by the selfassessment questionnaire as presented in Chapter 2, the taxonomy of users and the method to verify computer knowledge in Chapter 4. Last the dimension of the motive is being considered, which is quite difficult to find and study, so a combination of factors is being used to identify a suspected motive. This means that if there are specific changes in psychological state of the user then we can make the assumption that there may be a motive. The calculation of this feature is based on the predisposition of the user for fraudulent transactions, the stress levels experienced and the verification of computer knowledge that he user has said he holds. In the first stage of the model only the above characteristics are being studied and only if the user is judged as suspect the next stage of inspection is being activated. The next stage is about finding weaknesses in the system. This process is laborious and requires many resources, so the decision on whether to finally check the possibility that there is weakness in the system is given to those whose implement the model. Showing a little more deductive the insider threat prediction model, it can be reported that there are tracking objects in the base of the model. They are being observed in a certain way so as to collect the necessary data. The data then are examined by some monitoring methods, which could be an intrusion detection system, tracking systems that detect changes in the behavior, etc. Honeynets are on the same level and get input directly from users. These things show clearly the relationship of the prediction model with the taxonomy of attacks outlined in Chapter 3 and the monitoring methods of Chapter 4. Also, there are psychometric techniques (predisposition questionnaire and the method of measuring stress level) which when evaluated give a sense of the user’s psychological profile. Obviously, the information of the psychological profiles are not processed by the same system that processes the monitoring methods, but give output to their own system, the system of evaluation and decision. Input into this system is alternative information also, such as the role of the user, his abilities etc. All these inputs are received by the system of evaluation and decision and then it classifies each user into a category. The output is both offered to relevant staff for further analysis and make the final ranking of users in the taxonomy. In the final stage, according to the classification of the user the vulnerability detection system is being activated. This system studies all the traffic caused by the user and tries to identify a possible weakness in the system with the help of the taxonomies. Obviously, anything found will be related to the effort of the user to exploit vulnerability.

Περίληψη :

Η παρούσα εργασία ασχολείται με το ζήτημα της απειλής εκ των έσω. Πιο συγκεκριμένα προτείνει ένα μοντέλο πρόβλεψης απειλών εκ των έσω έτσι ώστε να μπορεί να μετριαστεί το εν λόγω πρόβλημα. Η πρόβλεψη σαν κομμάτι της πρόληψης έχει σκοπό να εντοπίσει απειλές πριν εκδηλωθούν με τη μορφή επιθέσεων. Για να επιτευχτεί αυτό χρησιμοποιούνται κάποια εργαλεία, μοντέλα και τεχνικές τα οποία αναλύονται στα κεφάλαια της παρούσας εργασίας και συνδυάζονται για τη δημιουργία ενός μοντέλου. Στο κεφάλαιο μελέτης του ψυχολογικού προφίλ των επιτιθέμενων αναφέρονται τεχνικές οι οποίες ανήκουν κυρίως στον τομέα της ατομικής αξιολόγησης και ψυχομετρικών ελέγχων, αλλά ενέχουν και χαρακτηριστικά άλλων τομέων, όπως η μελέτη κινήτρων και αποδοτικότητας. Αρχικά παρουσιάζεται μια μεθοδολογία η οποία στηρίζεται στην ψυχομετρική εξέταση του κάθε χρήστη ώστε να αποφασιστεί το κατά πόσο παρουσιάζει προδιάθεση για παραβατική συμπεριφορά μέσω χρήσης ηλεκτρονικού υπολογιστή. Το αποτέλεσμα αυτής της διαδικασίας βοηθά τόσο στην ταξινομία όσο και στο μοντέλο πρόβλεψης εκ των έσω απειλών. Κατόπιν, παρουσιάζεται συνοπτικά η μέθοδος μέτρησης άγχους του Lowenstein [Lowenstein 1997] και με τη βοήθειά της μελετάται μια μέθοδος προσωποποιημένης αξιολόγησης του παράγοντα άγχους η οποία βοηθά στη κατανόηση της ψυχολογικής κατάστασης του χρήστη [Puleo 2004]. Η συγκεκριμένη μέθοδος επιτρέπει τη συσχέτιση του άγχους με τη πιθανότητα ο χρήστης να συμμετέχει σε κάποια εκ των έσω επίθεση. Τα αποτελέσματα που εξάγονται χρησιμοποιούνται, επίσης, στη ταξονομία χρηστών αλλά και στο μοντέλο πρόβλεψης. Στο κεφάλαιο 3 παρουσιάζονται κάποιες ήδη γνωστές ταξονομίες και κατόπιν προτείνεται μία καινούρια, η οποία έχει δύο τμήματα, ένα για τους χρήστες κι ένα για τις πιθανές επιθέσεις. Η ταξονομία χρηστών αναλύει κάθε χρήστη με βάση επιλεγμένες διαστάσεις, οι οποίες συμπληρώνονται με την ολοκλήρωση κάποιων συγκεκριμένων ελέγχων που αναφέρονται στην εργασία, συγκεκριμένα μετά από κάθε εκτέλεση του μοντέλου πρόβλεψης, του κεφαλαίου 5. Οι πιθανές επιλογές και οι κατηγορίες κάθε διάστασης της ταξονομίας των χρηστών είναι σαφείς και περιγράφονται στο συγκεκριμένο κεφάλαιο. Αντίθετα, η ταξονομία επιθέσεων είναι παγιωμένη και περιέχει όλα τα χαρακτηριστικά για κάθε είδος επίθεσης. Επομένως, δεν παίρνει είσοδο από το μοντέλο πρόβλεψης αλλά του δίνει είσοδο για να μπορέσει να υπολογίσει κάποια χαρακτηριστικά τόσο για τους χρήστες όσο και για τις επιθέσεις. Επιπλέον, παρουσιάζονται τεχνικές παρακολούθησης των χρηστών σε πραγματικό χρόνο. Η έννοια της παρακολούθησης αναφέρεται στο ότι καταγράφονται, αποθηκεύονται και αναλύονται δεδομένα τα οποία προέρχονται από τον τρόπο με τον οποίο χρησιμοποιεί ο χρήστης το πληροφοριακό σύστημα. Η μελέτη ξεκινά από την επαλήθευση των γνώσεων πληροφορικής, όπου οι γνώσεις τις οποίες έχει δηλώσει ο χρήστης πως κατέχει επιβεβαιώνονται με τη χρήση της τεχνικής των Magklaras και Furnell [Magklaras and Furnell2004]. Αυτή η διαδικασία βοηθά ενεργά στην κατάταξη ενός χρήστη σε κάποιο ψυχολογικό προφίλ, όπως αυτά παρουσιάζονται στο κεφάλαιο 2 αλλά και στη δημιουργία ενός ιστορικού χρήσης, το οποίο δίνει σημαντικά δεδομένα στην ανάλυση που περιγράφεται στο υποκεφάλαιο 4.4 και πραγματεύεται πιθανές αλλαγές στη συμπεριφορά του χρήστη. Επιπροσθέτως, χρησιμοποιούνται τεχνικές παρακολούθησης των κλήσεων συστήματος που χρησιμοποιεί το λειτουργικό [Nguyen, Reiher and Kuenning 2003] [Liu et al. 2005] . Με τη χρήση αυτών των τεχνικών μπορεί να εμπλουτιστεί η συμπεριφορά του χρήστη με στοιχεία που ενέχουν ύποπτη χρήση του πληροφοριακού συστήματος. Επιπλέον, η μελέτη των κλήσεων συστήματος μπορεί να δημιουργήσει πολύ χρήσιμα στατιστικά τα οποία, με τη σειρά τους, μπορούν να δώσουν συμπεράσματα για αλλαγή της συμπεριφοράς του χρήστη κυρίως μέσω της αλλαγής του τρόπου χρήσης του λειτουργικού συστήματος. Επόμενο θέμα μελέτης είναι η αλλαγή στη συμπεριφορά χρήσης του πληροφοριακού συστήματος. Πολύ βασικό εργαλείο σε αυτό το κεφάλαιο είναι η χρήση συστημάτων εντοπισμού εισβολής (intrusion detection systems) νέας γενιάς τα οποία έχουν την ικανότητα να αναλύουν τη συνήθη συμπεριφορά κάθε χρήστη και να αναδεικνύουν οποιαδήποτε απόκλιση από αυτή τη συμπεριφορά. Τελευταία τεχνική που παρουσιάζεται είναι η χρήση δικτύων προσέλκυσης επιθέσεων (honeynets, honeypots κτλ.) για τον εντοπισμό πιθανών εκ των έσω επιτιθέμενων ή χρηστών οι οποίοι επιδεικνύουν ύποπτη συμπεριφορά [Spitzner2003]. Τα δίκτυα προσέλκυσης επιθέσεων μπορεί να αναδείξουν τόσο την παραβατική συμπεριφορά ενός χρήστη για την οποία ενδεχομένως να υπάρχουν κάποιες ενδείξεις, όσο και την προδιάθεσή του για εγκληματικές ενέργειες, όπως αυτή έχει παρουσιαστεί στο τεστ κατάταξης σε κάποιο ψυχολογικό προφίλ. Τέλος, γίνεται συζήτηση για τη χρήση αυτών των τεχνικών στην ταξονομία που έχει προταθεί και πως βοηθούν το μοντέλο πρόβλεψης παραβατικής συμπεριφοράς χρήστη. Καθίσταται, επίσης, σαφές ότι με όλες αυτές τις τεχνικές παρακολούθησης εγείρονται θέματα ιδιωτικότητας και ηθικής, τα οποία μελετώνται τόσο από τη πλευρά της ηθικής όσο κι από τη πλευρά του νομικού πλαισίου που υφίσταται. Για το μοντέλο πρόβλεψης εκ των έσω απειλών μελετώνται τέσσερις παράγοντες, η ευκαιρία, οι δεξιότητες του χρήστη, το κίνητρο και η ύπαρξη αδυναμίας στο σύστημα. Πρώτα ελέγχεται ο παράγοντας της ευκαιρίας. Είναι δύσκολο να εντοπιστεί μια ευκαιρία σε ένα σύστημα η οποία να συσχετίζεται συγκεκριμένα με κάποιο χρήστη. Επομένως, σε πρώτο στάδιο ελέγχεται το ενδεχόμενο κάποιος χρήστης να λειτουργεί με τη λογική ότι προσπαθεί να εκμεταλλευτεί κάποια ευκαιρία που του έχει παρουσιαστεί. Τα δεδομένα που χρησιμοποιούνται για να ληφθεί η απόφαση αυτή είναι η αλλαγή συμπεριφοράς στο σύστημα, ο ρόλος του χρήστη στο σύστημα και η ενασχόληση με το δίκτυο ή τα αντικείμενα προσέλκυσης επιτιθέμενων. Κατόπιν, μελετάται ο παράγοντας των δεξιοτήτων του χρήστη, η οποίες μετρώνται με βάση την αυτοαξιολόγηση, όπως παρουσιάζεται στο ερωτηματολόγιο του κεφαλαίου 2, τη ταξονομία χρηστών αλλά και την μέθοδο επαλήθευσης γνώσεων πληροφορικής του κεφαλαίου 4.Τελευταία μελετάται η διάσταση του κινήτρου, η οποία, είναι αρκετά δύσκολο να βρεθεί και να μελετηθεί, οπότε χρησιμοποιείται ένας συνδυασμός παραγόντων για να εντοπιστεί υποψία ότι υπάρχει κίνητρο. Αυτό σημαίνει ότι αν παρατηρούνται ιδιαίτερες αλλαγές στη ψυχολογική κατάσταση του χρήστη τότε μπορεί να γίνει η εικασία ότι ενδέχεται να υπάρχει κίνητρο. Ο υπολογισμός αυτού του χαρακτηριστικού γίνεται με βάση τη προδιάθεση του χρήστη για παραβατικές πράξεις, το επίπεδο άγχους που βιώνει αλλά και με την επαλήθευση των γνώσεων πληροφορικής που έχει δηλώσει ότι κατέχει. Στο πρώτο στάδιο του μοντέλου μελετώνται μόνο τα άνωθεν χαρακτηριστικά κι αν ο χρήστης κριθεί ύποπτος τότε ενεργοποιείται το επόμενο στάδιο ελέγχου το οποίο έχει να κάνει με την εύρεση αδυναμίας στο σύστημα. Η διαδικασία αυτή είναι επίπονη και απαιτεί πολλούς πόρους οπότε η απόφαση για το αν θα ελεγχθεί τελικά η πιθανότητα να υπάρχει αδυναμία στο σύστημα είναι στην επιλογή της εκάστοτε υλοποίησης. Παρουσιάζοντας λίγο πιο αφαιρετικά το μοντέλο πρόβλεψης εκ των έσω απειλών μπορεί να αναφερθεί ότι στη βάση βρίσκονται τα αντικείμενα παρακολούθησης. Αυτά παρακολουθούνται με συγκεκριμένο τρόπο κι έτσι συγκεντρώνονται τα απαραίτητα δεδομένα. Τα δεδομένα, κατόπιν, εξετάζονται από κάποιες μεθόδους παρακολούθησης, οι οποίες μπορεί να είναι κάποιο σύστημα εντοπισμού εισβολής, συστήματα εντοπισμού αλλαγής συμπεριφοράς κτλ. Στο ίδιο επίπεδο βρίσκονται και τα δίκτυα προσέλκυσης επιτιθέμενων τα οποία παίρνουν είσοδο κατευθείαν από τους χρήστες. Από αυτά φαίνεται ξεκάθαρα η σχέση του μοντέλου πρόβλεψης με τη ταξονομία επιθέσεων που παρουσιάζεται στο κεφάλαιο 3 αλλά και με τις μεθόδους παρακολούθησης του κεφαλαίου 4. Επίσης, υπάρχουν και οι ψυχομετρικές τεχνικές (το ερωτηματολόγιο προδιάθεσης και η μέθοδος ελέγχου επιπέδου άγχους) οι οποίες όταν αξιολογούνται δίνουν την αίσθηση του ψυχολογικού προφίλ του χρήστη. Εδώ καθίσταται άμεσα σαφής η χρήση των τεχνικών που περιγράφηκαν στο κεφάλαιο 2. Προφανώς, οι πληροφορίες του ψυχολογικού προφίλ δεν επεξεργάζονται από το ίδιο σύστημα που επεξεργάζεται τις μεθόδους παρακολούθησης, αλλά τροφοδοτούν το ίδιο σύστημα, στο σύστημα αξιολόγησης και απόφασης. Είσοδος σε αυτό το σύστημα είναι και εναλλακτικές πληροφορίες, όπως ο ρόλος του χρήστη, οι δυνατότητες του κτλ. Όλες αυτές τις εισόδους τις λαμβάνει το σύστημα αξιολόγησης και απόφασης και κατατάσσει τον κάθε χρήστη σε μια κατηγορία επικινδυνότητας. Η έξοδος προσφέρεται στο αρμόδιο προσωπικό για περαιτέρω ανάλυση και συμπληρώνεται στη ταξονομία χρηστών στη διάσταση «τελική κατάταξη». Στο τελικό στάδιο, ανάλογα με τη κατάταξη του χρήστη ενεργοποιείται το σύστημα εντοπισμού αδυναμίας στο σύστημα, το οποίο μελετά σε βάθος όλη τη κίνηση που προκαλεί ο χρήστης και προσπαθεί, με τη βοήθεια των ταξονομιών, να εντοπίσει κάποια πιθανή αδυναμία του συστήματος. Προφανώς, οτιδήποτε εντοπίσει θα έχει να κάνει με την προσπάθεια του χρήστη να το εκμεταλλευτεί.
This research deals with the problem of the insider threat. Particularly, it suggests an insider threat prediction model to mitigate the problem. Prediction is a part of prevention and its aim is to find threats before they become more dangerous. In order to achieve that it uses some tools, models and techniques which are described in the chapters of this research and are combined in order to create a new model. In the chapter of attacker’s psychological profile two techniques are being mentioned which belong to the area of personal evaluation and psychometric tests, though they have characteristics of other areas like motive and productivity analysis. At first, a methodology based on psychometrics is used in order to decide whether a user shows tendencies towards illegal action using the information system. The result of this process helps both the taxonomy and the insider threats prediction model. Then outlines Lowenstein’s method of measuring stress [Lowenstein 1997] and with its help we study a method of personalized assessment stressor which helps in understanding the psychological status of the user [Puleo 2004]. This method allows the correlation of anxiety with the possibility of the user participating in an insider attack. The results extracted are used both in the taxonomy of users and the prediction model. Chapter 3 presents some already known taxonomies and then proposed a new taxonomy, which has two parts, one for users and one for possible attacks. The taxonomy analyzes each user based on selected dimensions, complemented by the completion of some specific controls explained in the research, namely after each run of the prediction model, explained in Chapter 5. The possible options and types of each dimension of taxonomy are clear and are described in a specific chapter. However, the taxonomy of attacks is fully established and includes all the features for each type of attack. Therefore, it offers input to the prediction model to be able to calculate some characteristics for both users and attacks. In addition, real time monitoring techniques are presented. The concept of monitoring means that data are being recorded, stored and analyzed about the way the user is using the information system. The study begins by checking the computer knowledge each user has and whether these are the same with those that he has said he has, using the technique of Magklaras and Furnell [Magklaras and Furnell 2004]. This process helps in the classification of users in a psychological profile, as presented in Chapter 2, but also in providing a history of use, which provides important data in the analysis described in subsection 4.4 and discusses possible changes in user behavior. Furthermore, there are used techniques to monitor the system calls of the operating system [Nguyen, Reiher and Kuenning 2003] [Liu et al. 2005]. Using these techniques can enrich the user's data associated with a suspected malicious use of information system. In addition, the study of system calls can create very useful statistics which, in turn, can give conclusions on changing user behavior primarily by changing the method of using the operating system. Next on the study is the behavior change of using the information system. A very basic tool in this chapter is the use IDS (intrusion detection systems) of the new generation which have the ability to analyze the normal behavior of each user and to highlight any deviation from this behavior. Last technique presented is to use honeynets and honeypots to identify possible insider attacks or users who exhibit suspicious behavior [Spitzner 2003]. Honeynets can highlight both the delinquent behavior of a user and the tendency for crime, as has occurred in the placement test at some psychological profile. Finally, there are proposed ideas about the use of these techniques in the proposed taxonomy and how they can help the prediction model. It is also clear that all these monitoring techniques raise privacy and ethical issues which are studied both from the moral side and the side of the legal framework that currently exists. The insider threat prediction model is being studied through four factors, the opportunity, user skills, motivation and weaknesses in the system. The first factor checked is that of opportunity. It is difficult to identify an opportunity in a system, which is associated with a specific user. Therefore, the first thing to be tested is the possibility of a user to operate under the logic that he is going to exploit any opportunity that has turned up. The data used to take this decision is whether the user has changed his behavior in the system, the role of the user in the system and if he has been dealing with the honeynet or the honeytokens. Then, the factor of skill of the user is being considered, which is measured by the selfassessment questionnaire as presented in Chapter 2, the taxonomy of users and the method to verify computer knowledge in Chapter 4. Last the dimension of the motive is being considered, which is quite difficult to find and study, so a combination of factors is being used to identify a suspected motive. This means that if there are specific changes in psychological state of the user then we can make the assumption that there may be a motive. The calculation of this feature is based on the predisposition of the user for fraudulent transactions, the stress levels experienced and the verification of computer knowledge that he user has said he holds. In the first stage of the model only the above characteristics are being studied and only if the user is judged as suspect the next stage of inspection is being activated. The next stage is about finding weaknesses in the system. This process is laborious and requires many resources, so the decision on whether to finally check the possibility that there is weakness in the system is given to those whose implement the model. Showing a little more deductive the insider threat prediction model, it can be reported that there are tracking objects in the base of the model. They are being observed in a certain way so as to collect the necessary data. The data then are examined by some monitoring methods, which could be an intrusion detection system, tracking systems that detect changes in the behavior, etc. Honeynets are on the same level and get input directly from users. These things show clearly the relationship of the prediction model with the taxonomy of attacks outlined in Chapter 3 and the monitoring methods of Chapter 4. Also, there are psychometric techniques (predisposition questionnaire and the method of measuring stress level) which when evaluated give a sense of the user’s psychological profile. Obviously, the information of the psychological profiles are not processed by the same system that processes the monitoring methods, but give output to their own system, the system of evaluation and decision. Input into this system is alternative information also, such as the role of the user, his abilities etc. All these inputs are received by the system of evaluation and decision and then it classifies each user into a category. The output is both offered to relevant staff for further analysis and make the final ranking of users in the taxonomy. In the final stage, according to the classification of the user the vulnerability detection system is being activated. This system studies all the traffic caused by the user and tries to identify a possible weakness in the system with the help of the taxonomies. Obviously, anything found will be related to the effort of the user to exploit vulnerability.

Λέξη κλειδί :	Εκ των έσω απειλή Μοντέλο πρόβλεψης Μέθοδοι παρακολούθησης Σύστημα εντοπισμού εισβολών Δίκτυα προσέλκυσης επιτιθέμενων Ταξονομία Ψυχομετρικοί έλεγχοι πρΔιάθεση παραβατικής συμπεριφοράς Μέτρηση άγχους Κίνητρο Αδυναμία Δεξιότητες Ευκαιρία Insider threat prediction model Monitoring methods Iintrusion detection system Honeynets Taxonomy Psychometric tests Predicting delinquent behavior Measuring stress Motivation Weakness Skills Opportunity

Λέξη κλειδί :

Εκ των έσω απειλή
Μοντέλο πρόβλεψης
Μέθοδοι παρακολούθησης
Σύστημα εντοπισμού εισβολών
Δίκτυα προσέλκυσης επιτιθέμενων
Ταξονομία
Ψυχομετρικοί έλεγχοι
πρΔιάθεση παραβατικής συμπεριφοράς
Μέτρηση άγχους
Κίνητρο
Αδυναμία
Δεξιότητες
Ευκαιρία
Insider threat prediction model
Monitoring methods
Iintrusion detection system
Honeynets
Taxonomy
Psychometric tests
Predicting delinquent behavior
Measuring stress
Motivation
Weakness
Skills
Opportunity

Ημερομηνία :	28-02-2010

Άδεια χρήσης :

Αρχείο: Kandias_2010.pdf

Τύπος: application/pdf