Tulostusversio

1/2015

Asiantuntijalta: Tekoäly auttaa löytämään tuntemattomat poikkeamat

Teksti: Antti Juvonen

Hyökkääjät ovat aina askeleen edellä, ja siksi verkkoliikenteestä on kyettävä löytämään ennestään tuntemattomia poikkeamia. Automaattinen poikkeamien havainnointi on uusi keino, mutta ihmeitä ei silläkään saada aikaan.

Verkossa liikkuvan datan ja liikenteen määrä kasvaa koko ajan. Samalla käytettävät järjestelmät ja palvelut ovat muuttuneet yhä monimutkaisemmiksi. Tämä tarjoaa verkkohyökkääjille lähes rajattomat mahdollisuudet. Haitallisen toiminnan tunnistamiseen tarvitaan tunkeutujan havaitsemisjärjestelmiä (englanniksi ’intrusion detection system’, IDS).

Useimmat hyökkääjien tunnistamiseen käytetyt järjestelmät havaitsevat edelleen ennestään tunnettuja hyökkäyksiä käyttäen etukäteistietoon perustuvia sääntöjä, joita pitää luoda ja päivittää manuaalisesti. Nämä järjestelmät lähtevät oletuksesta, että tiedämme, mitä etsimme. Järjestelmät ovat tarkkoja mutta pystyvät löytämään vain ennalta määriteltyjä hyökkäyksiä ja virhetilanteita.

On selvää, että tietoturvan saralla olisi käyttöä automaattiselle poikkeavuuksien havainnoinnille (englanniksi ’anomaly detection’). Poikkeavuus voi olla vaikkapa verkossa tapahtuva yksittäinen tapahtuma, esimerkiksi hyökkäysyritys. Toisaalta voidaan ottaa huomioon aikaulottuvuus: suuren tiedoston lataaminen voi olla normaalia työaikaan mutta ei esimerkiksi sunnuntai-iltana. Lisäksi poikkeama voi olla yksittäisen tapahtuman sijaan useampien toimintojen sarja.

Poikkeamia voidaan siis etsiä eri tavoin, mutta automaattisille poikkeamien havainnointimenetelmille yhteistä on, ettei ennakko-oletuksia normaalista ja epänormaalista tarvitse tehdä manuaalisesti.

Takana vuosien tutkimus

Tiedemaailmassa automaattinen poikkeavuuksien havaitseminen verkkoliikenteestä ei ole uusi idea, sillä sen juuret ulottuvat ainakin 1980-luvulle. Vuonna 1986 tietoturvatutkija Dorothy Denning esitti järjestelmän, joka pystyi manuaalisten sääntöjen lisäksi havaitsemaan poikkeavuuksia tilastollisesti.

Sen jälkeen tutkimus on ollut vilkasta, ja tähän mennessä poikkeavuuksia on etsitty useilla eri tiedonlouhinnan ja koneoppimisen menetelmillä, kuten neuroverkoilla, tukivektorikoneilla sekä muilla luokittelu- ja ryhmittelyalgoritmeilla. Ajatuksena on, että tekoäly auttaa ihmistä löytämään asioita, joista emme tiedä etukäteen mitään.

Ahkerasta tutkimuksesta huolimatta käytännön kaupalliset sovellukset ovat vieläkin melko harvinaisia tutkimustiedon määrään nähden, vaikka myös käytännön sovelluksia on olemassa. Kaupallisten järjestelmien voi olettaa kuitenkin lisääntyvän samalla, kun kyberturvallisuus on noussut yhä tärkeämmäksi aiheeksi.

Uusi menetelmä, uudet ongelmat

Vaikka poikkeamien havaitsemisjärjestelmillä voidaan ratkaista monia perinteisiä tietoturvaan liittyviä ongelmia, uudet menetelmät tuovat mukanaan myös uusia ongelmia.

Yleensä järjestelmä antaa aina jonkun verran vääriä hälytyksiä, sillä algoritmi ei voi täysin varmasti tietää, mikä on oikea ja tärkeä poikkeama. Väärät hälytykset voivat olla suuri ongelma, sillä jos niitä tulee liikaa, oikeasti vakavat hyökkäykset peittyvät niiden alle. Hyökkääjä voi myös tietoisesti pyrkiä huijaamaan poikkeavuuksien havaitsemisalgoritmia naamioimalla toimintansa normaalin kaltaiseksi.

Lisäksi poikkeamien etsiminen voi olla laskennallisesti vaativaa, jos verkkoliikennettä on paljon. Koneoppimisalgoritmit ovat kaiken lisäksi parempia tunnistamaan samankaltaisuuksia kuin erilaisuuksia, mikä tekee niiden käytöstä teoreettisestikin haastavaa silloin, kun etsitään poikkeamia.

Data on valittava huolellisesti

Toisaalta ongelmat voidaan ratkaista huolellisella suunnittelulla. Kun analysoitava data eli verkkoliikenteestä kerättävä informaatio valitaan huolellisesti, on paremmat mahdollisuudet onnistua.

Datan valinnalla saadaan luotua tarkempi konteksti, joka helpottaa oikeiden poikkeamien löytymistä. Kaikessa tiedonlouhinnassa aluksi kerätyn datan on oltava laadukasta, muuten kaikki seuraavat analyysin vaiheet ovat turhia.

Yleensä kerätty liikennedata on raakaa ja vaatii esikäsittelyä, jotta oleelliset piirteet saadaan erotettua ja analysoitua. Myös käytettävät algoritmit on valittava huolella käyttötarkoituksen mukaan, sillä tietyt algoritmit soveltuvat poikkeavuuksien etsimiseen paremmin kuin toiset.

Vaikka monet koneoppimismenetelmät ovat monipuolisia työkaluja, on myös tärkeää välttää ylimääräistä monimutkaisuutta. Muuten järjestelmästä tulee liian raskas ja virheille altis.

Tiedonlouhinta täydentää keinovalikoimaa

Automaattinen verkkoliikenteen poikkeavuuksien havainnointi tiedonlouhintamenetelmiä käyttäen yleistynee tulevaisuudessa.

Olisi kuitenkin helppoa ajatella monimutkaisten algoritmien hoitavan kaiken puolestamme. Todellisuudessa uudet menetelmät eivät tule korvaamaan perinteisempiä tietoturvajärjestelmiä, vaan toimimaan niiden rinnalla. Tietoturva on kokonaisuus, jossa kaikki vaikuttaa kaikkeen. Tiedonlouhinta tuo mukaan oman elementtinsä, jolla kokonaisuutta pystytään parantamaan.

Tutkimuksessa ja kaupallistamisessa on edettävä askel kerrallaan, ja se vaatii tutkijoiden ja yritysten yhteistyötä. Aluksi parhaita käyttökohteita voisivat olla esimerkiksi kriittiset järjestelmät, joissa tietoturva on muuten jo ajan tasalla ja normaali verkkoliikenne on melko rajattua.

----

[KIRJOITTAJA]

Antti Juvonen väitteli filosofian tohtoriksi Jyväskylän yliopistosta loppuvuonna 2014 väitöskirjalla “Intrusion Detection Applications Using Knowledge Discovery and Data Mining” pääaineenaan tietotekniikka. Hän työskentelee nyt CAP Data Technologies -startupissa tiedonlouhinnan, data-analyysin ja poikkeavuuksien havainnoinnin parissa.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.