Een team van onderzoekers van Binghamton University heeft een nieuw intrusion detection systeem ontwikkeld dat werkt op basis van toezicht op het gedrag van systemen en het opmerken wanneer dit verschilt van “normaal” gedrag.

Het project met de naam “Intrusion Detection Systems: Object Access Graphs” werd gefinancierd door het “Air Force Office of Scientific Research” en werd uitgevoerd door promovendi Patricia Moat en Zachary Birnbaum en wetenschappelijk onderzoeker Andrey Dolgikh. Ze werden begeleid door Victor Skormin, hoogleraar “electrical and computer engineering”.

Gedrag

De onderzoekers hebben ervoor gekozen zich te concentreren op het gedrag van het systeem in plaats van het opsporen van malware. Deze keuze is gemaakt omdat malware sneller kan veranderen dan er nieuwe definities voor gemaakt kunnen worden.

"Wij nemen een foto van je computer, waarna we deze vergelijken met een foto van een computer die zich normaal gedraagt en een foto van een geïnfecteerde computer. Vervolgens kijken we naar de verschillen", aldus Birnbaum. "Aan de hand van de verschillen kunnen we zien of de computer geïnfecteerd is en om wat voor infectie het gaat. Zodra je weet dat je geïnfecteerd bent kun je actie ondernemen."

“System calls die onder normale omstandigheden worden gemaakt, worden geconverteerd naar “graph components” die weer worden gebruikt als uitgangspunt van het profiel van een computer in normale toestand" zo leggen de onderzoekers uit.

Bron: Intrusion Detection Using N-Grams of Object Access Graph Components

"Onze resultaten tonen aan dat een efficiënte detectie van abnormaal gedrag mogelijk is door een slimme toepassing van “graph processing” algoritmes op het maken van systeemgedrag profielen.”

De PDF met de details over het project kun je hier vinden.