Den våg av utpressningshot som sedan länge riktats mot privata datorer har de senaste åren i allt större utsträckning även drabbat stora företag, organisationer och offentliga institutioner. Nyligen rapporterade SVT att man utsatts för ett antal försök till intrång, och nu ska inrätta ett särskilt cybersäkerhetsteam. Norsk Hydro, ett multinationellt bolag inom processindustri, förlorade stora belopp efter en attack 2019.
Forskare vid institutionen för data- och informationsteknik har i ett projekt finansierat av Myndigheten för samhällsskydd och beredskap föreslagit en ny metod, anpassad särskilt till samhällskritisk infrastruktur, för att upptäcka avancerade cyberattacker. I filmen ovan beskriver Wissam Aoudi, doktorand på avdelningen för Nätverk och system, det föreslagna systemet PASAD och hur det fungerar.
PASAD – lösningen på ett enklare problem
Grunden till algoritmen är ett nytt och innovativt sätt att mäta om och när det övervakade systemet avviker från sin normala dynamik och börjar bete sig annorlunda. Metoden fungerar genom att i en analysfas registrera det underliggande systemets normala beteende, och sedan övervaka realtidsbeteendet för att upptäcka avvikelser och skicka en varning vid misstanke om en potentiell attack.
Traditionella metoder går ut på att med hjälp av historiska mätningar försöka förutsäga systemets framtida beteende, och sedan jämföra detta med realtidsobservationer och varna när skillnaden blir för stor. Men det är svårt att förutsäga framtiden. Metoderna fungerar bara för att upptäcka uppenbara attacker och missar mer avancerade intrång, där angripare döljer sina spår i brus från data.
Den nu föreslagna metoden har betydligt bättre träffsäkerhet. Att ta bort steget med att förutsäga framtida beteende innebär att den nya metoden är mer känslig och därmed kan upptäcka mer avancerade angrepp som tidigare kunnat döljas i brus.
Kontakt
Wissam Aoudi, doktorand, Nätverk och system.
Magnus Almgren, docent, Nätverk och system.