Wykrywanie naruszeń cyberbezpieczeństwa i eksfiltracji danych w instytucjonalnym ruchu sieciowym

 

Nazwa: Wykrywanie naruszeń cyberbezpieczeństwa i eksfiltracji danych w instytucjonalnym ruchu sieciowym

Detecting anomalies in corporate network traffic caused by data exfiltration

Numer umowy: 39/UR/1/DG/PCI/2020

Kwota dofinansowania: 113 066,16 zł.

Źródło finansowania: Podkarpackie Centrum Innowacji

Okres realizacji: 02.2021 - 10.2021

Kierownik projektu: dr hab. Urszula Bentkowska, prof. UR

 

Opis projektu: Celem Projektu ma być opracowanie algorytmu pozwalającego na wykrywanie anomalii w korporacyjnym ruchu sieciowym spowodowanych eks/infiltracją danych na etapie postexploitacyjnym ingerencji w system informatyczny. Jak zbadano większość firm nie jest nawet świadoma, że była celem ataku - jako średni czas wykrycia (jeżeli ono w ogóle nastąpi) przyjmuje się 146 dni. Stąd tak ważne jest wykrywanie nie tylko samego ataku, ale dalszych nieautoryzowanych działań, wśród których kluczowe jest uzyskanie komunikacji zwrotnej. Komunikacja taka musi zostać niezauważona co jest szczególnie trudne w przypadku pobierania przez atakującego zdobytych danych o znaczących rozmiarach. Do tego celu najlepiej jest więc użyć protokołów transmisji, które wyglądając jak zwykły ruch, będą nadużyte w taki sposób, aby przesyłać dodatkowe ukryte dane. Proponowane rozwiązanie to zrezygnowanie z użycia heurystyk wymagających przykładów i oparcie się wyłącznie na metodach wykorzystujących logikę przedziałowo-rozmytą.

 

The aim of the Project is to develop an algorithm that allows detecting anomalies in corporate network traffic that are caused by data ex/infiltration at the post-exploitation stage of hacking the IT system. As researched, most companies are not even aware that they were the target of an attack - the average detection time (if it occurs at all) is 146 days. That is why it is so important to detect not only the attack itself, but further unauthorized actions, among which the key is to get reverse connection. Such communication must be unnoticed, which is particularly difficult when the attacker downloads the acquired data of significant size. For this purpose, it is best to use transmission protocols that, looks like normal traffic, but is abused in such a way as to send additional hidden data. The proposed solution is to give up the use of heuristics that require examples and rely only on methods using interval-valued fuzzy logic.