Wyszukiwanie

Nippon-European Cyberdefense-Oriented Multilayer threat Analysis (NECOMA)

  • Nazwa projektu: Nippon-European Cyberdefense-Oriented Multilayer threat Analysis (NECOMA)
  • Strona www: https://www.necoma-project.eu
  • Źródło finansowania: Komisja Europejska
  • Cel projektu: Podniesienie cyberbezpieczeństwa poprzez zwiększenie skuteczności wykrywania zagrożeń oraz zapewnienie jak najskuteczniejszej ochrony w czasie rzeczywistym. Realizacja tych celów zakładała trzy etapy działań:
    • opracowanie metodologii oceny stanu zagrożenia Sieci;
    • opracowanie zaawansowanych mechanizmów obrony przed cyberatakami;
    • wdrożenie pełnego procesu (od zdobycia informacji do reakcji) w jednym z projektów demonstracyjnych.

OPIS PROJEKTU:

Badacze z zespołu NASK-PIB pracowali przede wszystkim nad rozwijaniem narzędzi do agregacji dużej ilości danych oraz zaawansowanych mechanizmów inferencyjnych wykorzystanych  do analizy zagrożeń (threat analysis). Projekt był finansowany przez Projekt Promocji Badań i Rozwoju Ministerstwa Spraw Wewnętrznych i Komunikacji Japonii oraz grant 608533 w ramach Siódmego Programu Ramowego Unii Europejskiej. Zbiór danych wykorzystywanych do uczenia klasyfikatorów i mechanizmów opartych na regułach musi być z jednej strony liczny, z drugiej zaś odpowiednio zawężony, by pozwalać na maksymalnie skuteczne wykrywanie zagrożeń przy jak najmniejszym błędzie (fałszywych alarmach), dlatego w ramach projektu NECOMA opracowywana była metodyka oceny źródeł, z których pochodzą informacje, pod kątem ich jakości.

W projekcie wykorzystano między innymi algorytm FP-Growth (Frequent Pattern) – adresy URL są parsowane i kompresowane do postaci drzewa FP, które z kolei poddawane jest eksploracji przy użyciu strategii „dziel i rządź” („divide-and-conquer strategy”) opracowanej przez Y. Han i in. (2000). Implementacja tej metody odkrywania wiedzy posłużyła do stworzenia zestawu uczącego dla klasyfikatora maszyny wektorów nośnych, którego zadaniem jest przypisywanie nowych podejrzanych wzorców do kategorii „powiązany” lub „nie powiązany” z kampanią złośliwą. Adaptacja zaawansowanych metod z zakresu data mining miała istotne znaczenie dla poprawy jakości ostrzegania o cyberzagrożeniach.

Jednym z kluczowych dla projektu narzędzi stanowiących źródło danych o złośliwym oprogramowaniu była stworzona przez CERT Polska platforma n6 (autorska baza służąca do gromadzenia, przetwarzania i przekazywania informacji o incydentach w sposób automatyczny), dlatego w ramach projektu prowadzono również prace nad jej udoskonaleniem (dodanie możliwości strumieniowego przekazywania zdarzeń w celu zminimalizowania opóźnień w komunikacji) oraz publikacją n6 SDK na otwartej licencji GPL.

REZULTATY PROJEKTU:

  • opracowanie metodyki oceny źródeł informacji pod kątem ich jakości
  • zaproponowanie techniki wykrywania kampanii wykorzystujących złośliwe oprogramowanie poprzez analizę zróżnicowanych zbiorów danych
  • stworzenie biblioteki n6 SDK, która ułatwia organizacjom udostępnianie danych z dowolnego źródła poprzez interfejs zgodny z n6

UCZESTNICY PROJEKTU:

Konsorcjum EU:

  1. Institut Mines-Telecom (IMT, Francja)
  2. Atos Spain S.A,(ATOS, Hiszpania)
  3. Foundation for Research and Technology – Hellas (FORTH, Grecja)
  4. Naukowa i Akademicka Sieć Komputerowa (NASK, Polska)
  5. 6cure SAS (6CURE, Francja)

Konsorcjum japońskie:

  1. Nara Institute of Science and Technology (NAIST, Japonia)
  2. IIJ - Innovation Institute (IIJ-II, Japonia)
  3. National Institute of Informatics (NII, Japonia)
  4. Keio University (KEIO, Japonia)
  5. The University of Tokyo (UT, Japonia)

PUBLIKACJE NAUKOWE:

  1. NECOMA: Nippon-European Cyberdefense-Oriented Multilayer Analysis. Rozdział w książce: European Project Space on Networks, Systems and Technologies, w druku.
  2. Paweł Pawliński, Adam Kozakiewicz. Lowering Cost of Data Exchange for Analysis and Defence. In proceedings of the Coordinating Attack Response at Internet Scale (CARIS) Workshop. Berlin, Germany, June 2015.
  3. Michał Kruczkowski, Ewa Niewiadomska-Szynkiewicz, Adam Kozakiewicz. Cross-Layer Analysis of Malware Datasets for Malicious Campaign Identification. In Proceedings of the International Conference on Military Communications and Information Systems (ICMCIS 2015). Cracow, Poland, May 2015.
  4. Michał Kruczkowski, Ewa Niewiadomska-Szynkiewicz, Adam Kozakiewicz. FP-tree and SVN for Malicious Web Campaign Detection. In Proceedings of the 7th Asian Conference Intelligent Information and Database Systems (ACIIDS 2015). Bali, Indonesia, March 2015.
  5. Michał Kruczkowski, Ewa Niewiadomska-Szynkiewicz. Support Vector Machine for malware analysis and classification. In Proceedings of Web Intelligence (WI) and Intelligent Agent Technologies (IAT), 2014 IEEE/WIC/ACM International Joint Conferences on Web Intelligence. Warsaw, Poland. August, 2014.
  6. P. Szynkiewicz, A. Kozakiewicz. System wytwarzania off-line sygnatur zagrożeń aktywnych. Przegląd telekomunikacyjny i wiadomości telekomunikacyjne, vol. 8-9, 1090–1098. September 2015.
  7. Kozakiewicz, T. Pałka, P. Kijewski. Wykrywanie adresów serwerów C&C botnetów w danych ze środowisk sandbox. Przegląd telekomunikacyjny i wiadomości telekomunikacyjne, vol. 8-9, 1223-1231. September 2015.
  8. M. Kruczkowski. System do wykrywania kampanii złośliwego oprogramowania. Przegląd telekomunikacyjny i wiadomości telekomunikacyjne, vol. 8-9, 789-797. September 2015.
  9. Michał Kruczkowski, Ewa Niewiadomska-Szynkiewicz. Comparative study of supervised learning methods for malware analysis. Journal of Telecommunications and Information Technology (JTIT), Vol.4/2014, pp.1-10. December, 2014.
Wszystkie projekty