IT202100024438A1 - Sistema di sicurezza informatica contro minacce evolventi - Google Patents

Sistema di sicurezza informatica contro minacce evolventi Download PDF

Info

Publication number
IT202100024438A1
IT202100024438A1 IT102021000024438A IT202100024438A IT202100024438A1 IT 202100024438 A1 IT202100024438 A1 IT 202100024438A1 IT 102021000024438 A IT102021000024438 A IT 102021000024438A IT 202100024438 A IT202100024438 A IT 202100024438A IT 202100024438 A1 IT202100024438 A1 IT 202100024438A1
Authority
IT
Italy
Prior art keywords
processes
module
events
analysis
machine learning
Prior art date
Application number
IT102021000024438A
Other languages
English (en)
Inventor
Santis Maurizio De
Jutatip Boontawee
Original Assignee
Santis Maurizio De
Jutatip Boontawee
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Santis Maurizio De, Jutatip Boontawee filed Critical Santis Maurizio De
Priority to IT102021000024438A priority Critical patent/IT202100024438A1/it
Publication of IT202100024438A1 publication Critical patent/IT202100024438A1/it

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Diaphragms For Electromechanical Transducers (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)
  • Developing Agents For Electrophotography (AREA)

Description

DESCRIZIONE
a corredo di una Domanda di Brevetto per Invenzione Industriale avente per titolo:
?SISTEMA DI SICUREZZA INFORMATICA CONTRO MINACCE EVOLVENTI?
La presente invenzione si riferisce ad un sistema di sicurezza informatica contro le minacce quali malware e tentativi di accesso non autorizzati.
Come ? noto, ? sempre maggiore la complessit? delle tecnologie e delle risorse messe in campo per contrastare gli attacchi informatici sferrati ai singoli apparati e ad intere infrastrutture. Tra le ultime tecnologie di contrasto, lo stato della tecnica ? rappresentato dallo sviluppo e dall?applicazione di strumenti di Machine Learning (ML) e di threat intelligence per il rilevamento di attacchi informatici da parte di malware o di accessi non autorizzati agli asset sensibili.
Il principale valore aggiunto di queste tecnologie rispetto a quelle tradizionali ? rappresentato da una loro capacit? adattativa nel processo di individuazione e contrasto rispetto alla continua evoluzione delle minacce.
Va infatti sottolineato che le soluzioni fino ad oggi adottate non consentono di bloccare le minacce ?dell?ultima ora? (zero-day attack), consentendo, di fatto, una protezione adeguata solo da minacce gi? censite o da tecniche di intrusione di cui si conosce la tecnica in letteratura.
Il problema non pu? essere sottovalutato in quanto al numero gi? esorbitante di minacce censite (oltre 4.000.000 solo facendo riferimento al Kaspersky Lab) si aggiunge la facilit? di creazione di nuovi virus resa possibile dalla disponibilit? di appositi toolkit che consentono la creazione di sofisticati pattern di attacco anche da parte di sviluppatori non necessariamente ?formati? sul tema. Pertanto la protezione dei sistemi informatici ? uno dei pi? importanti compiti di cybersecurity visto che, come si ? visto, anche un singolo attacco pu? determinare una massiva perdita di dati.
La frequenza con cui questi attacchi si verifica, determina la necessit? di una accurata metodologia di rilevamento delle minacce, specialmente rivolta ai cosiddetti ?zero-day attacks?.
La diversit?, la sempre maggiore complessit? e il sempre maggior numero di minacce pone una sfida enorme alla ricerca della sicurezza dei sistemi informatici.
Le tecniche tradizionali di analisi, basate sia sull?esame statico che dinamico, presentano dei problemi non del tutto risolti. Non ultimo ? l?affacciarsi di nuove generazioni di malware che a loro volta usano tecniche di Machine Learning per portare i loro attacchi.
Per questo si stanno affermando sempre pi? tecniche basate sull?analisi ?comportamentale? del processo da monitorare, per determinare in tempo reale se il processo stesso ? un malware o meno.
Per far fronte ai problemi sopra citati e soprattutto per affrontare il problema dei virus non precedentemente classificati (zero-day attack), ? stato proposto il machine learning (ML) per integrare le soluzioni esistenti.
Il ML si basa su un workflow iterativo che parte dalla raccolta dati, il loro trattamento di bonifica e preparazione, la creazione di uno o pi? modelli, la validazione di questi ultimi ed infine la loro messa in produzione.
A seguito dei recenti sviluppi nel campo della visione artificiale, interpretazione del linguaggio naturale ed altri temi avanzati, lo sviluppo di tecniche di Deep Learning ? stato proposto anche nel campo della lotta ai malware e ai processi di cybersecurity.
Alcune di queste soluzioni si propongono di addestrare i modelli interamente con i dati che derivano dall?osservazione diretta dei processi con ovvi vantaggi sui tempi di sviluppo in quanto si aggira il problema di ottenere una base di dati aggiornata di firme e dati caratteristici dei malware conosciuti.
L?esigenza attualmente sentita ? quella di avere un prodotto capace di rilevare in tempo reale un malware sconosciuto (zero day attack) in modo da garantire automaticamente la protezione dell?intero sistema di cybersecurity.
La presente invenzione si pone lo scopo di fornire mezzi per la protezione degli end point e mezzi di Smart Security per la threat intelligence.
Tale scopo ? raggiunto fornendo mezzi in grado di eseguire una analisi di un qualsiasi processo sconosciuto (FUTURE-READY ATTACK PROTECTION) basandosi esclusivamente su pattern comportamentali rilevati nel corso dell?esecuzione stessa.
L?analisi del processo viene eseguita in una modalit? ?protetta?, per cui fino all?esito dell?analisi stessa al processo non ? consentita alcuna azione dannosa.
La presente invenzione precettivamente non necessita di un sistema basato su firme o catalogazioni pregresse del processo in esame, e non richiede nemmeno l?esecuzione di un processo sospetto in un ambiente di controllo del tipo sandbox, Virtual Machine o simili.
La determinazione di un??anomalia comportamentale? viene definita da modelli ricavati da algoritmi di Machine Learning (ML) addestrati su server dedicati. I modelli ottenuti da questo sistema di analisi vengono continuamente aggiornati, redistribuiti e usati dal sistema di monitoraggio installato sugli agent.
Il sistema della presente invenzione consiste in una architettura che prevede una rete di componenti connessi tra loro.
I componenti sono implementati sotto forma di processi fisici distinti, in modo da soddisfare i criteri di ridondanza, resilienza e sicurezza di tutto il prodotto.
Ogni processo possiede uno status di vitalit? definito come MANDATORIO oppure OPZIONALE.
Ogni processo ? connesso agli altri tramite comunicazione interprocessi (IPC) su socket e scambia di continuo con gli altri un messaggio di vitalit? in modo da informare gli altri processi del proprio stato attivo.
Qualora uno dei processi rilevi che un processo mandatorio non invia pi? messaggi di vitalit?, quest?ultimo viene immediatamente riavviato, in modo da ripristinarne la funzionalit?.
Perci?, costituisce oggetto della presente invenzione un sistema secondo l?allegata Rivendicazione 1.
Costituisce anche oggetto della presente invenzione un sistema secondo l?allegata Rivendicazione 2.
Costituisce anche oggetto della presente invenzione un sistema secondo l?allegata Rivendicazione 3.
La presente invenzione sar? compresa in base alla seguente descrizione in riferimento al disegno allegato, in cui l?unica FIGURA 1 illustra l?architettura del sistema della presente invenzione. In riferimento alla FIGURA 1 i componenti principali dell?architettura del sistema della presente invenzione sono:

Claims (3)

RIVENDICAZIONI
1. Sistema informatico comprendente in combinazione:
- un modulo SYSTEM MONITOR (1) rappresentante nodo centrale connesso a tutti gli altri processi del sistema stesso tramite comunicazione interprocessi IPC, ed il quale - riceve gli eventi rilevati da un DEVICE DRIVER LAYER (3)
- distribuire gli eventi ai processi che sottoscrivono questo tipo di telegrammi e che analizzano gli stessi;
- riceve da un modulo GATEWAY (19) aggiornamenti su componenti software, processi in black list, aggiornamenti sui modelli di machine learning;
- aggiorna detta black list locale in caso sia rilevato un processo malevolo;
- termina i processi segnalati come malevoli dai processi dedicati;
- gestisce la partizione di quarantena e i file in essa contenuti;
- detto DEVICE DRIVER LAYER (3) comprendendo device driver dedicati all?intercettazione a basso livello di eventi di:
? avvio di processi e threads (5)
? I/O Request Packet (IRP) sui file system attivi (7)
? traffico di rete in entrata e in uscita (9) ? accessi all?MBR (Master Boot Record) (11)
? variazioni anomale dell?utilizzo di memoria fisica (13)
? utilizzo del registry (15);
detti eventi essendo rilevati ed inviati tramite comunicazione interprocessi IPC a detto modulo SYSTEM MONITOR (1);
- un modulo HEALTH SYSTEM (17) che verifica lo stato di vitalit? di detti processi mandatori, e, qualora uno di essi non risulti attivo, il modulo HEALTH SYSTEM (17) provvede al riavvio del processo che non risponde; ed il quale qualora non sia attivo, ? a sua volta riavviato dal modulo SYSTEM MONITOR; talch? ? effettuato un doppio controllo, che garantisce la non interrompibilit? dell?intero sistema;
- un modulo GATEWAY (19) responsabile delle funzioni di comunicazione e aggiornamento da e per il sistema remoto (HUB Server); lo scambio di dati in uscita da questo modulo verso l?HUB riguarda i seguenti dati:
- eventi critici, inclusi processi malevoli rilevati
- dump di processi potenzialmente malevoli da far esaminare alla struttura centrale
- IOC (indicatori di compromissione) rilevati localmente
- i dati in entrata dall?HUB invece consistono in:
- aggiornamenti software la presenza dei quali viene notificata a detto modulo SYSTEM MONITOR (1) che provvede al riavvio dei moduli interessati;
- aggiornamento della black list e degli IOC (indicatori di compromissione)
- aggiornamento dei modelli di machine learning;
- un modulo BEHAVIOR ANALYZER (21) il quale effettua una analisi comportamentale dei processi attivi sul sistema allo scopo di individuare eventuali azioni malevole da parte degli stessi;
l?analisi comportamentale essendo effettuata a partire dagli eventi ricevuti da detto modulo SYSTEM MONITOR (1) che vengono elaborati da un set dinamico di regole determinato da un modello di machine learning, inclusi i seguenti eventi:
? Creazione di processi da parte di
altri processi
? Accessi a chiavi particolari di registry
? Utilizzo dei file con particolare riguardo alle operazioni in scrittura
e al valore entropico differenziale rispetto agli altri processi
? Accesso a particolari locazioni fisiche del disco
? Creazione e lancio di file eseguibili
? Accesso a indirizzi di rete sospetti;
nel caso che le regole definiscano un processo come anomalo, questo essendo segnalato a detto modulo SYSTEM MONITOR (1) che provvede ad interromperlo e metterlo in una partizione di quarantena;
- un modulo STATIC ANALYZER (23) il quale processo esegue una analisi statica dei processi in esecuzione e dei file eseguibili presenti sul disco (anche non in esecuzione); - ed il quale esegue una scansione preventiva dei file system rimovibili, incluse chiavi usb, HDD esterni, quando questi vengono inseriti;
- nel corso dell?analisi essendo utilizzati indicatori di compromissione (IOC) provenienti da detto HUB server e, nel caso un processo venga individuato come anomalo, questo viene segnalato a detto modulo SYSTEM MONITOR (1) che provvede ad interromperlo e metterlo nella partizione di quarantena; - un modulo RANDOM FOREST ML ANALYZER (25), il quale esegue un?analisi dinamica dei processi in esecuzione utilizzando un modello di machine learning derivato da RANDOM FOREST,
il modello essendo addestrato sul HUB server da procedure dedicate ed essendo eseguito in recall sull?end point da questo modulo stesso (25);
nel caso in cui un processo venga individuato come anomalo, questo essendo segnalato a detto modulo SYSTEM MONITOR (1) che provvede ad interromperlo e metterlo nella partizione di quarantena.
2. Sistema secondo la Rivendicazione 1, ulteriormente comprendente
un modulo GUI (27) attivo solo su attivazione dell?utente e che provvede una dashboard locale per visualizzare lo stato di protezione del dispositivo e le operazioni disponibili, incluse visualizzazione status, riavvio, interruzione del servizio di monitoring, scansione del disco.
3. Sistema secondo la Rivendicazione 1, ulteriormente comprendente
un modulo HUB Server (29) residente su infrastruttura Tecninf e contenente il database degli eventi e il motore di machine learning dedicato all?analisi degli eventi e gli altri dati provenienti dagli end point, e che
? riceve dagli Endpoint AI service (client) i metadati relativi all?esecuzione dei processi e al profilo operativo dell?endpoint;
? raccoglie i metadati per creare in modalit? non supervisionata profili e classificazioni per tipologia di endpoint e singolo processo (osservazioni comportamentali);
? crea e mantiene la base dati con profili, classificazioni e osservazioni comportamentali per singolo processo;
? attiva i processi di machine learning sulle osservazioni comportamentali allo scopo di individuarne i pattern prevedibili e desiderati; ? effettua la modellazione dei pattern e redistribuisce i modelli ottenuti agli Endpoint AI service per l?utilizzo live;
? riceve dagli Endpoint le segnalazioni dei tentativi di attacco rilevati tramite anomaly detection salvando dati e metadati utili al team di analisi;
? redistribuisce ai client (Endpoint) le informazioni relative a processi classificati benevoli o malevoli in termini di hashcode e metadati (IOC) in modo che questi possano aggiornare le white, black e grey list;
? mantiene una base dati statistica relativa agli attacchi registrati a scopo di monitoraggio.
IT102021000024438A 2021-09-23 2021-09-23 Sistema di sicurezza informatica contro minacce evolventi IT202100024438A1 (it)

Priority Applications (1)

Application Number Priority Date Filing Date Title
IT102021000024438A IT202100024438A1 (it) 2021-09-23 2021-09-23 Sistema di sicurezza informatica contro minacce evolventi

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT102021000024438A IT202100024438A1 (it) 2021-09-23 2021-09-23 Sistema di sicurezza informatica contro minacce evolventi

Publications (1)

Publication Number Publication Date
IT202100024438A1 true IT202100024438A1 (it) 2023-03-23

Family

ID=79019062

Family Applications (1)

Application Number Title Priority Date Filing Date
IT102021000024438A IT202100024438A1 (it) 2021-09-23 2021-09-23 Sistema di sicurezza informatica contro minacce evolventi

Country Status (1)

Country Link
IT (1) IT202100024438A1 (it)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200074078A1 (en) * 2018-08-31 2020-03-05 Sophos Limited Computer augmented threat evaluation
US11010472B1 (en) * 2018-10-23 2021-05-18 Architecture Technology Corporation Systems and methods for signature-less endpoint protection against zero-day malware attacks
US20210176257A1 (en) * 2019-12-10 2021-06-10 Fortinet, Inc. Mitigating malware impact by utilizing sandbox insights

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200074078A1 (en) * 2018-08-31 2020-03-05 Sophos Limited Computer augmented threat evaluation
US11010472B1 (en) * 2018-10-23 2021-05-18 Architecture Technology Corporation Systems and methods for signature-less endpoint protection against zero-day malware attacks
US20210176257A1 (en) * 2019-12-10 2021-06-10 Fortinet, Inc. Mitigating malware impact by utilizing sandbox insights

Similar Documents

Publication Publication Date Title
US11483318B2 (en) Providing network security through autonomous simulated environments
Moustafa et al. Data analytics-enabled intrusion detection: Evaluations of ToN_IoT linux datasets
ES2946062T3 (es) Sistemas y métodos para la detección de amenazas de comportamiento
JP2022512192A (ja) 挙動による脅威検出のためのシステムおよび方法
US20190354680A1 (en) Identifying malicious executing code of an enclave
JP2018503203A (ja) 許容可能なアクティビティルールに基づく許容可能なアクティビティの決定
Shterenberg et al. A distributed intrusion detection system with protection from an internal intruder
US10757029B2 (en) Network traffic pattern based machine readable instruction identification
JP7662267B2 (ja) インラインマルウェア検出
CN104618353A (zh) 一种计算机安全网络
US10291644B1 (en) System and method for prioritizing endpoints and detecting potential routes to high value assets
Benisha et al. Design of intrusion detection and prevention in SCADA system for the detection of bias injection attacks
Abed et al. Resilient intrusion detection system for cloud containers
CN116194917A (zh) 第三方即服务解决方案中安全地支持客户安全策略的系统和方法
US20240195816A1 (en) A lightweight attacker identification method for federated learning with secure byzantine-robust aggregation via clustering
Pitropakis et al. The greater the power, the more dangerous the abuse: facing malicious insiders in the cloud
Nezarat et al. A game theoretic-based distributed detection method for VM-to-hypervisor attacks in cloud environment
CN118740519B (zh) 一种基于隔离森林的服务器集群异常检测方法
US20240364716A1 (en) Massive vulnerable surface protection
Bukac et al. Advances and challenges in standalone host-based intrusion detection systems
CN119646804A (zh) 使用数据处理单元(dpu)的基于分布式拒绝服务(ddos)的人工智能(ai)加速解决方案
Sun et al. Inferring the stealthy bridges between enterprise network islands in cloud using cross-layer bayesian networks
Tudosi et al. Design and Implementation of an Automated Dynamic Rule System for Distributed Firewalls.
JP2015132927A (ja) 情報処理システム、情報処理装置、監視装置、監視方法、及び、プログラム
IT202100024438A1 (it) Sistema di sicurezza informatica contro minacce evolventi