Till innehåll på sidan
Till KTH:s startsida

Optimal Security Response to Network Intrusions in IT Systems

Tid: To 2024-12-05 kl 14.00

Plats: F3 (Flodis), Lindstedtsvägen 26 & 28, Stockholm

Videolänk: https://kth-se.zoom.us/j/64592772191

Språk: Engelska

Ämnesområde: Elektro- och systemteknik

Respondent: Kim Hammar , Nätverk och systemteknik

Opponent: Professor Tansu Alpcan, The University of Melbourne, Melbourne, VIC, Australia

Handledare: Professor Rolf Stadler, Nätverk och systemteknik

Exportera till kalender

Academic Dissertation which, with due permission of the KTH Royal Institute of Technology, is submitted for public defence for the Degree of Doctor of Philosophy on Thursday the 5th December 2024, at 14:00 in F3, Lindstedtsvägen 26, Stockholm.

The defense will be streamed via Zoom: https://kth-se.zoom.us/j/64592772191

Candidate: Kim Hammar

Supervisor: Professor Rolf Stadler, KTH, Sweden

Opponent: Professor Tansu Alpcan, The University of Melbourne, Australia

Grading committee:

 - Professor Emil Lupu, Imperial College London, UK

 - Professor Alina Oprea, Northeastern University, USA

 - Professor Karl H. Johansson, KTH, Sweden

Reviewer: Professor Henrik Sandberg, KTH, Sweden

QC 20241111

Abstract

Cybersäkerhet är en av vår tids mest angelägna teknologiska utmaningar och kräver åtgärder från alla samhällssektorer. En nyckelåtgärd är automatiseringav säkerhetsrespons, vilket möjliggör automatisk avvärjning och återhämtning från cyberangrepp. Betydande framsteg mot sådan automatisering har gjorts genom utvecklingen av regelbaserade responssystem. Dessa system har dock en kritisk nackdel: de är beroende av domänexperter för att konfigurera reglerna, en process som är både felbenägen och ineffektiv. Modellering av säkerhetsrespons som ett reglertekniskt optimeringsproblem är ett lovande sätt att hantera denna begränsning men medför nya utmaningar. Främst bland dem är att överbrygga gapet mellan teoretisk optimalitet och operativ prestanda. Nuvarande responssystem med teoretiska optimalitetsgarantier har endast validerats i simulering, vilket lämnar deras praktiska nytta oprövad.

Den här avhandlingen behandlar ovannämnda utmaningar genom att utveckla en praktisk metodik för optimal säkerhetsrespons. Metodiken omfattar två system. För det första inkluderar den ett emuleringssystem som replikerar it-infrastrukturer i en virtuell miljö. Från detta system samlar vi in mätvärden och loggar som vi sedan använder för att identifiera en spelteoretisk modell. För det andra innefattar metodiken ett simuleringssystem där spelteoretiska responsstrategier optimeras genom stokastisk approximation för att uppnå ett givet mål, exempelvis att minimera responssystemets driftkostnad samt maximera dess förmåga att automatiskt stävja potentiella cyberangrepp. De optimerade responsstrategierna utvärderas och förfinas sedan i emuleringssystemet för att minska klyftan mellan teoretisk och operativ prestanda.

Vi presenterar CSLE, en originell plattform med öppen källkod som implementerar vår metodik. Med hjälp av denna plattform utvärderar vi vår metodik experimentellt på flera användningsområden, inklusive förebyggande av intrång, intrångssvar, intrångstolerans och försvar mot avancerade bestående hot. Vi bevisar strukturella egenskaper hos optimala responsstrategier och härleder effektiva algoritmer för att beräkna dem. Detta gör det möjligt för oss att lösa ett tidigare olöst problem: att demonstrera optimal säkerhetsrespons mot nätverksintrång på en it-infrastruktur.

urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-356193