Bruker kunstig intelligens mot fiendtlige angrep

Norge bruker kunstig intelligens for å forsvare seg mot ondsinnet og skadelig programvare fra fiendtlige stater.

MODERNE FORSVAR: Vasileios Mavroeidis (t.v.) og Kamer Vishi bruker kunstig intelligens for å avsløre hvordan fiendtlige stater angriper kritisk infrastruktur i Norge med ondsinnet programvare. Foto: Yngve Vogt

Norge blir daglig bombardert med ondsinnet programvare som kan sette infrastrukturen ut av spill. Spørsmålene står i kø. Hvem står bak? Hva er motivasjonen for angrepene? Hvilke teknikker er brukt?

Noen av de vanligste angrepene er en type skadelig programvare som låser alle dokumentene dine om du ikke betaler løsepenger. De farligste og mest skadelige angrepene er derimot dem fra nasjonale stater. Disse angrepene kan bestå av flere hundre variasjoner og er svært vanskelige å oppdage.

– Angrepene blir stadig mer sofistikerte. De er automatiserte og kan skje på sekunder. Likevel kan det ta lang tid å oppdage dem. Her snakker vi ikke bare om minutter og timer. Noen ganger kan det ta måneder og år, poengterer stipendiat Kamer Vishi i forskningsgruppen Digitale infrastrukturer og sikkerhet på Institutt for informatikk ved Universitetet i Oslo.

Sammen med stipendiat Vasileios Mavroeidis forsker Kamer Vishi på hvordan man kan bruke kunstig intelligens til å stoppe disse dataangrepene.

Kritiske angrep

En av de aller største truslene er når fiendtlige land angriper kritiske samfunnssystemer med ondsinnet programvare. Hvis det blir krig, kan de angripe systemene innenifra.

– Norge er under angrep hele tiden. Poenget er å oppdage hvilke maskiner som er angrepet, slik at den ondsinnete programvaren kan stoppes eller fjernes før den gjør noe galt, forteller Vasileios Mavroeidis.

De mest sofistikerte, internasjonale angriperne mot Norge er nasjonale stater som Russland, Kina, Iran og Nord-Korea. Angrepsmetodene deres er helt nye.

Den skadelige programvaren er ofte tilpasset spesielle datasystemer, slike som dem elektrisitetstilbyderne bruker. Hvis angriperne klarer å knele strømleveransene, stopper samfunnet opp. Da kollapser både vannforsyningen og telekommunikasjonen.

Gjennomskuer angrepene

De to stipendiatene analyserer oppførselen til angrepene slik at de skal bli lettere å oppdage. Angrepene kan foregå på mange nivåer. For hvert nivå gjelder det å finne en teknikk for å stoppe dem. Noen angrep er lettere å stoppe enn andre. Hvis forskerne forstår hvordan angrepene er programmert, vil Norge være bedre i stand til å forstå oppførselen til angrepet og kunne forutsi et angrep i tide.

For å løse dette har stipendiatene tatt i bruk maskinlæring, som er den datatekniske delen av kunstig intelligens.

Tenk deg at noen ønsker å angripe den mest kritiske infrastrukturen på arbeidsplassen din. For å trenge inn i systemet kan angrepet starte på PC-en din. Der kan angriperne prøve å få tak i de privilegiene som trengs, før de fortsetter angrepet videre til maskinene de vil sette ut av spill. Hvordan i alle dager skal man oppdage slikt?

– I en større bedrift er det kanskje 30 000 pc-er. Alle brukerne har sine spesielle jobbvaner. Da må vi forstå hvordan datamaskinene kommuniserer når det ikke er angrep. Alle angrep har en form for signatur. Med maskinlæring kan vi oppdage disse signaturene ved å se på endringene i mønstrene i de store datamengdene, forklarer Kamer Vishi.

Hele poenget er altså å tolke store mengder data for å kunne finne mønsteret under et angrep. Jo mer dataene blir analysert, desto bedre fungerer maskinlæringen. Og jo flere som er angrepet av den samme programvaren, desto lettere er det å finne mønsteret som forklarer hvordan angrepet foregår.

– Da kan vi lage preventiv programvare.

En av de vanlige teknikkene i dagens dataangrep er å generere nye domener. Et domene er selve identiteten din på Internett. Hvis et angrep danner millioner av domener, er det mulig å lage et dataprogram som gjenkjenner denne formen for angrep. Ved å tolke enorme mengder data fra en stor bedrift er det mulig å se om brukermønsteret på maskinene endrer seg. En slik endring kan bety et målrettet dataangrep. Vasileios Mavroeidis har nå, i samarbeid med forskere fra Norsk Regnesentral, utviklet et system for å oppdage nettopp denne typen skadelig programvare.

Datamengdene som de må analysere, er faktisk så enorme at de må bruke universitetets tungregnemaskin for å oppdage et angrep.

Begrensning

Uheldigvis møter forskerne en del praktiske begrensninger. De får ikke tilgang til all  datakommunikasjonen på en arbeidsplass. Det handler om personvern. Det gjør forskningen deres ekstra vanskelig.

– Hvis vi ikke får tak i nok ekte datasett med ekte angrep, er det vanskelig å finne mønstrene som definerer hva et angrep er.

Som om dette ikke er kronglete nok: Resultatene fra kunstig intelligens er angitt i sannsynligheter. Selv om den kan slå fast at sannsynligheten er så høy som 99,99 prosent for at du er angrepet, er ikke denne angivelsen god nok når det er snakk om mange milliarder hendelser. Da er det likevel mange angrep som ikke blir fanget opp. Svarene kan dessuten være falske positive eller falske negative. 

– Det verste er om programmet sier at et angrep ikke har skjedd.

Jo mer data som analyseres, desto større er sannsynligheten for å kunne avsløre et angrep. Det betyr at responsen mot dataangrepene kan bli bedre om Norge utveksler brukerinformasjon med andre land.

Evig kamp

Selv om forskerne jobber iherdig med å forstå hvordan angriperne tenker, kan forskningen deres paradoksalt nok hjelpe fienden. Uheldigvis er det slik i forskningens verden at alt som forskes på, blir publisert som vitenskapelige artikler.

– Dette er dessverre forskningens bakside. Da kan fienden lese forskningsartiklene våre og endre den ondsinnete programvaren sin.

– Hvem vil vinne kappløpet. Dere eller angriperne?

– Det er en evig kamp. Noen ganger vinner vi et slag. Andre ganger taper vi. Jo mer digitaliserte vi blir, desto flere muligheter har de til å angripe oss. Angriperne har langt større kapasitet enn oss. De blir stadig mer sofistikerte, men jobben vår er å gjøre jobben deres så vanskelig som mulig, poengterer Vasileios Mavroeidis.

Av Yngve Vogt
Publisert 30. okt. 2019 06:00
Legg til kommentar

Logg inn for å kommentere

Ikke UiO- eller Feide-bruker?
Opprett en WebID-bruker for å kommentere