Machine learning-based near real time intrusion detection and prevention system using eBPF.

Abstract

As technology evolves rapidly, more and more critical infrastructures are going online. Malicious individuals are trying to exploit such infrastructures, thus cyber-attacks have become a major issue for users and businesses. Various network security software applications are developed to prevent or mitigate cyber-attacks; however, with a low success rate [1], as more than three billion zero-day [2] attacks were reported in a calendar year in the USA and Australia according to Symantec Internet Security Threat Report . Current software applications struggle to confront the more sophisticated malware that cybercriminals use. Additionally, network security software applications, which utilize network packets for detecting cyber-attacks, consume a great amount of power and system resources, such as Random Access Memory (RAM), Disk, Central Processing Unit (CPU), etc. After researching and reviewing multiple technologies that can be employed to implement optimal security systems, this thesis proposes a cyber-security software application named eIDPs. The proposed solution employs novel technologies for detecting, analyzing, and preventing various network attacks, while utilizing minimum computer resources, namely: the Extended Berkeley Packet Filter (eBPF), which can run virtualized functions directly in the kernel, and Machine Learning (ML) for detecting, analyzing, and preventing various network attacks, while utilizing minimum computer resources. The use of novel technologies resulted in a better, efficient attack detection and prevention system compared to the current state-of-art network intrusion detection and prevention systems, such as Snort . A comparison was conducted between the solution proposed in this thesis and the Snort software, in a closed test environment. Slight modifications were performed on the Snort detection schema for utilizing the same ML model internally, in order to perform equal measurements between the proposed solution and the Snort software. The evaluation results showcased that eIDPS are vastly more lightweight and efficient in detecting and preventing malicious activities.

Καθώς η τεχνολογία εξελίσσεται ραγδαία, όλο και περισσότερες κρίσιμες υποδομές συνδέονται στο διαδίκτυο. Κακόβουλα άτομα προσπαθούν να εκμεταλλευτούν αυτές τις υποδομές, με αποτέλεσμα οι επιθέσεις στον κυβερνοχώρο να έχουν γίνει μείζον ζήτημα για τους χρήστες και τις επιχειρήσεις. Διάφορες εφαρμογές λογισμικού ασφάλειας δικτύων αναπτύσσονται για την πρόληψη ή τον μετριασμό των κυβερνοεπιθέσεων- ωστόσο, με χαμηλό ποσοστό επιτυχίας [1], καθώς περισσότερες από τρία δισεκατομμύρια επιθέσεις zero day [2] αναφέρθηκαν σε ένα ημερολογιακό έτος στις ΗΠΑ και την Αυστραλία σύμφωνα με την έκθεση Symantec Internet Security Threat Report. Οι τρέχουσες εφαρμογές λογισμικού δυσκολεύονται να αντιμετωπίσουν το ολοένα εξελισσόμενο κακόβουλο λογισμικό που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου. Επιπλέον, οι εφαρμογές λογισμικού ασφάλειας δικτύου, οι οποίες χρησιμοποιούν πακέτα δικτύου για τον εντοπισμό κυβερνοεπιθέσεων, καταναλώνουν μεγάλη ποσότητα ενέργειας και πόρων συστήματος, όπως μνήμη τυχαίας προσπέλασης (RAM), δίσκος, κεντρική μονάδα επεξεργασίας (CPU) κ.λπ. Μετά από έρευνα και εξέταση πολλαπλών τεχνολογιών που μπορούν να χρησιμοποιηθούν για την εφαρμογή βέλτιστων συστημάτων ασφαλείας, η παρούσα πτυχιακή εργασία προτείνει μια εφαρμογή λογισμικού κυβερνοασφάλειας με την ονομασία eIDPs. Η προτεινόμενη λύση χρησιμοποιεί νέες τεχνολογίες για την ανίχνευση, την ανάλυση, και την αποτροπή διαφόρων επιθέσεων δικτύου, με ταυτόχρονη χρήση ελάχιστων υπολογιστικών πόρων, και συγκεκριμένα: το Extended Berkeley Packet Filter (eBPF), το οποίο μπορεί να εκτελεί εικονικές λειτουργίες απευθείας στον πυρήνα του συστήματος, και τη Μηχανική Μάθηση (MM) για την ανίχνευση, την ανάλυση, και την αποτροπή διαφόρων επιθέσεων δικτύου, με ταυτόχρονη χρήση ελάχιστων υπολογιστικών πόρων. Η χρήση νέων τεχνολογιών οδήγησε σε ένα καλύτερο και αποτελεσματικότερο σύστημα ανίχνευσης και πρόληψης επιθέσεων σε σύγκριση με τα τρέχοντα σύγχρονα συστήματα ανίχνευσης και πρόληψης εισβολών στο δίκτυο, όπως το Snort . Πραγματοποιήθηκε σύγκριση μεταξύ της λύσης που προτείνεται στην παρούσα πτυχιακή εργασία και του λογισμικού Snort, σε κλειστό περιβάλλον δοκιμών. Πραγματοποιήθηκαν μικρές τροποποιήσεις στο σχήμα ανίχνευσης του Snort για τη χρήση του ίδιου μοντέλου MΜ στο εσωτερικό του, προκειμένου να πραγματοποιηθούν ισότιμες μετρήσεις μεταξύ της προτεινόμενης λύσης και του λογισμικού Snort. Τα αποτελέσματα της αξιολόγησης έδειξαν ότι το eIDPS είναι πολύ πιο ελαφρύ και αποτελεσματικό στην ανίχνευση και την πρόληψη κακόβουλων δραστηριοτήτων.