Forsker fingeravtrykk nettverk for å finne useriøs maskinvare

Det er tøft å finne et useriøst tilgangspunkt. Hver gang jeg blir bedt om å hjelpe med å finne en, henvender jeg meg til Internett i håp om å finne en mirakelkur. Jeg er lei av å se ut som en nøttesak, løpe rundt og peke en merkelig antenne på alle.

Ting ser opp.

Raheem Beyah, førsteamanuensis i informatikk ved Georgia State University, mottok et enormt tilskudd fra DARPA for et prosjekt som heter: Network Intrusion Detection Using Hardware Signatures. Med det har Dr. Beyah tenkt å:

  • Lag en maskinvaresignatur for hver enhet ved å studere pakkene de genererer.
  • Utvikle en prototype for intrusjonsdeteksjonssystem (IDS) som bruker maskinvaresignaturer.
  • Undersøk hvordan du sikrer nettverk mot trusler som involverer uautoriserte enheter.

Professoren og teamet hans samlet allerede betydelig erfaring med Wi-Fi-nettverk: En passiv tilnærming til trådløs enhet fingeravtrykk.

Etter å ha lest papiret var jeg fremdeles med tap. Jeg så ikke hvordan hver nettverksenhet kunne ha et unikt digitalt fingeravtrykk. Den eneste måten jeg vet å fikse det på er å stille spørsmål. Dr. Beyah, en travel lærer, var nådig nok til å forklare.

Kassner : Wikipedia definerer fingeravtrykk for enheter som:

"Et kompakt sammendrag av programvare- og maskinvareinnstillinger samlet inn fra en ekstern databehandlingsenhet."

Hva anser du for å være digital fingeravtrykk?

Beyah : Aller først Michael, takk for at du tok deg tid til å stille spørsmål om prosjektet.

Digital fingeravtrykk kan ha mange forskjellige betydninger. Forskningen min fokuserer på det spisse spørsmålet om: Hva anser du for å være fingeravtrykk for enheter?

Jeg vil definere enhetens fingeravtrykk som metoder som brukes til å identifisere spesifikke enheter eller typer enheter ved å bruke informasjon som er "lekket" fra enheten.

Informasjon som er lekket ut kan være en indikator på enhetens programvare (f.eks. Operativsystem, firmware eller drivere) eller maskinvaren (dvs. maskinvaresammensetning). Nøkkelen er å smelte sammen de forskjellige delene med lekket informasjon for å komme med en identifikator som er veldig vanskelig for en motstander å undergrave.

Kassner : Jeg har lest fingeravtrykk kan være passiv (lyttende) eller gjort aktivt (håndtrykk med enheten). Hva er fordelene med hver? Hvilken tilnærming bruker du? Beyah : Aktive tilnærminger innebærer vanligvis å avhøre en node med forskjellige typer pakker. Disse pakkene kan variere i størrelse og kan være legitime eller misdannede. Målet med aktive teknikker er å utløse en respons som er unik for enheten som fingeravtrykkes.

Passive teknikker er ofte mer ønskelige for fingeravtrykket, men de gir vanligvis mindre informasjon om en node enn deres aktive kolleger. Generelt tilfører ikke passive tilnærminger noe sentralstimulerende middel i interessesystemet.

Snarere fanger de data stille med mål om ikke å varsle eller forstyrre systemet under overvåkning. Dataene blir analysert for å avdekke mønstre som er unike for interessesystemet. Vi bruker en kombinasjon av aktive og passive tilnærminger, selv om det meste av arbeidet vårt er passivt.

Kassner : I papiret nevner du at IAT er parameteren som brukes til å identifisere den nettverksenhet. Jeg er ikke kjent med IAT. Hva står forkortelsen for, og hvorfor fungerer det som et fingeravtrykk? Beyah : IAT står for ankomsttid. Når du vurderer IAT i forbindelse med datamaskin-nettverkstrafikk, beskriver den tiden mellom påfølgende pakker som er sendt eller mottatt av en node.

IAT er en interessant beregning og kan beskrive mange forskjellige aspekter ved et system eller nettverk. For eksempel har IAT blitt brukt av forskere for å bestemme hvilke koblinger som er flaskehalser på Internett. Den har også blitt brukt til å bestemme hvilken type kobling som brukes for å få tilgang til et nettverk (f.eks. En trådløs nettverkskobling eller en kablet nettverkskobling).

I det mest grunnleggende scenariet gir forskjellen mellom to påfølgende pakker (dvs. IAT) informasjon om systemet pakkene krysset. Hvis flere IAT-verdier avviker, kan dette indikere at systemets tilstand (f.eks. Nettverket, en enhet) pakkene som krysses, kan ha endret seg i en eller annen form.

Basert på tolkningen av disse IAT-svingningene, kan det utledes forskjellige kjennetegn på interessesystemet. Hvis for eksempel IAT-svingningene for en spesifikk enhet var forutsigbare og forskjellige fra andre enheter, kan disse svingningene brukes til fingeravtrykksenheter.

En annen måte å si det på er at informasjonen som beskriver systemet og dets tilstand, lekker gjennom IAT. Utfordringen er da å bestemme en måte å trekke ut informasjonen som ligger begravet i en serie IAT-verdier (dvs. en tidsserie). Normalt brukes forskjellige statistiske og signalbehandlingsteknikker for dette.

Kassner : Wikipedia nevner at digitale fingeravtrykk trenger mangfold (ingen to enheter har samme fingeravtrykk) og stabilitet (fingeravtrykket forblir det samme over tid). Det er vanskelig å forestille seg at hver enkelt enhet kan differensieres. Hvordan er det mulig? Beyah : Jeg er enig i at det er vanskelig å forestille seg at enheter kan ha et unikt fingeravtrykk. Jeg er sikker på at mange sa det samme om mennesker før identifikatorer som DNA, menneskelige fingeravtrykk og retinal skanning ble brukt.

Når det gjelder fingeravtrykk for enheter, er vår hypotese at nettverkspakker er en funksjon av komposisjonen (dvs. arkitekturen) til enhetene som genererer dem akkurat som stemmer er en funksjon av komposisjonen (f.eks. Strupehode, stemmebånd) til det bestemte mennesket som genererer det.

Hvis du graver litt dypere, vil du oppdage at det er nok produksjonsprosessvariasjoner over integrerte kretsløp (ment for å være identiske) til å karakterisere hver integrerte krets. Forskere har brukt dette konseptet i det siste for å utføre forskjellige nivåer av autentisering for feltprogrammerbare gate-arrays (FPGAs).

Utfordringen ligger da i å trekke ut disse liten forskjellene. Vi prøver å bruke forskjellige teknikker for å oppdage disse forskjellene og også for å forstå grensene for slike teknikker.

Kassner : Det ser ut til at digital fingeravtrykk ikke er sluttformålet, men midlene for å oppnå det. Hva er ditt mål? Beyah : På et grunnleggende nivå er vårt mål å forstå og karakterisere samspillet mellom arkitekturen til et system og nettverket systemet er koblet til. Fingeravtrykk er en viktig applikasjon av den grunnleggende ideen om at nettverket kan sees på som en utvidelse av en dataenhet.

Et langsiktig mål for fingeravtrykkarbeidet vårt er å ha en unik og ugjendrivelig identifikator for alle enheter som er koblet til alle typer nettverk. Dette vil bidra til å gjøre nettverkene våre sikrere.

Kassner : Tidligere nevnte du å bruke teknikker som ligner identifikasjon av mennesker. Kan du vennligst gå nærmere inn på? Beyah : Visst. Vi tror det er en parallell mellom oppretting av mennesker og stemmepakker. Den generelle ideen er at både mennesker og dataenheter er sammensatte enheter.

For at både mennesker og dataenheter skal kunne kommunisere (dvs. å snakke for mennesker og sende pakke for databehandlingsenheter), må det også oppstå et komplekst sett av interaksjoner mellom flere interne komponenter. Disse interaksjonene og komponentene i seg selv setter sitt preg på den resulterende kommunikasjonen.

Som et resultat kan dette unike merket oppdages eksternt for mennesker ved å bruke forskjellige høyttaleridentifikasjonsteknikker eller eksternt for databehandlingsapparater ved bruk av forskjellige enhetsidentifiseringsteknikker.

Kassner : Hva ser du for deg at denne enheten / teknologien skal gjøre når den finner en uautorisert enhet koblet til nettverket? Beyah : Dette er utenfor omfanget av dette nåværende prosjektet, men man kan absolutt forestille seg et system som kan signalisere en nettverksbryter for å deaktivere porten som den useriøse er festet til.

En annen handling kan være å signalisere forskjellige inntrengningsdeteksjonssystemer for å overvåke den useriøse enheten, dens handlinger og kommunikasjonsmønster nærmere i håp om å få nok informasjon til å spore inntrengeren.

Kassner : Ville det være mulig for denne tilnærmingen å bestemme merke og modell for nettverksenheter og bli brukt til lagerbeholdning? Beyah : Absolutt. Dette er ett mål med dette arbeidet. Det trenger absolutt ikke være noen aktiv trussel for at dette arbeidet skal være relevant. Nettverksadministrasjon er ofte like vanskelig som å sikre nettverket.

Siste tanker

Jeg ser mye løfte for denne typen fingeravtrykksteknologi. Spesielt når Dr. Beyah nevnte vil det sannsynligvis være passivt. Jeg glemte å spørre når det vil være tilgjengelig, håper jeg før enn senere.

En spesiell takk til en utrolig travel Dr. Beyah for hans vilje til å hjelpe.

© Copyright 2021 | pepebotifarra.com