Informatică, Informatică economică

Informatică economică

- Machine Learning, detectarea anomaliilor în rețea, detectarea mesajelor de phishing, securitatea cibernetică în domeniul sănătate

În societatea actuală, dominată de o evoluție tehnologică continuă, amenințările asupra securității sistemelor informaționale sunt din ce în ce mai dese și au efecte negative majore, în special în domeniul sănătate.Scopul principal al tezei a fost de a identifica și dezvolta, conceptual și practic, o soluție de securitate cibernetică bazată pe machine learning (ML), cu accent pe necesitățile identificate la nivelul instituțiilor din sistemul național de sănătate. În acest sens, au fost propuse și îndeplinite o serie de obiective.Primul obiectiv al cercetării a vizat obținerea unei imagini de ansamblu cu privire la factorii care motivează și favorizează derularea atacurilor cibernetice asupra instituțiilor din sistemul de sănătate.Analiza studiilor de specialitate, dar mai ales a rezultatelor chestionarului aplicat instituțiilor din sistemul național de sănătate publică, a evidențiat că starea de securitate cibernetică este marcată de deficiențe care duc la vulnerabilizarea infrastructurii și sistemelor informatice, cu impact atât asupra bugetului, cât și asupra mediului social. Aceste deficiențe sunt provocate, în principal, de lipsa abordării unor standarde în implementarea măsurilor de securitate, dar și de lipsa unei culturi de securitate cibernetică în rândul utilizatorilor și al responsabililor IT. Această stare de fapt nu face decât să favorizeze atacurile cibernetice, care devin din ce în ce mai complexe. Pe acest fond, s-a constatat faptul că deficiențele identificate în sistemul de sănătate favorizează exploatarea infrastructurilor și sistemelor informatice și medicale prin atacuri de phishing, în principal, sau prin alte tipuri de atacuri ce vizează accesarea neautorizată a resurselor informatice.2. Al doilea obiectiv a vizat obținerea, din analiza cercetărilor existente, a caracteristicilor și particularităților modelelor ML utilizate în detectarea atacurilor cibernetice, respectiv fiabilitatea alegerii acestora pentru asigurarea securității cibernetice.Din analizele efectuate a rezultat că detectarea anomaliilor din rețea reprezintă o problemă cu un grad ridicat de importanță, fiind o temă abordată, în perioada 2010-2022, de 764 de lucrări indexate de platforma Scopus. În ceea ce privește problema phishing-ului, s-au înregistrat 425 de articole. Ca urmare, se poate spune că anomaliile din rețea reprezintă un indicator important al atacurilor cibernetice, fie că sunt din categoria phishing, malware, DoS/DDoS sau acces neautorizat. Trendul general, atât pentru detectarea atacurilor de tip phishing, cât și pentru identificarea anomaliilor din fluxurile de date, este adoptarea Deep Learning pentru dezvoltarea soluțiilor de securitate.Majoritatea articolelor privind aplicarea modelelor ML pentru detectarea atacurilor de phishing au urmărit identificarea unor caracteristici unice în variabilele text (subiect, conținutul mesajului, link-uri) prin folosirea NLP sau a altor modalități de preprocesare a datelor. Aceste modele utilizau algoritmi specifici Supervised Learning, ca Logistic Regression, Support Vector Machines sau Random Forests, tendința fiind de a apela la algoritmi din categoria rețelelor neuronale (Neural Networks) și, implicit, trecerea către deep learning.În literatura de specialitate, cercetările privind detectarea anomaliilor în rețea prin intermediul modelelor de ML, au evidențiat faptul că aceste abordări se sprijină în principal pe utilizarea seturilor de date cunoscute și etichetate, precum UNSW-NB15 și NSL-KDD. De asemenea, aceste abordări implică folosirea unor algoritmi care inițial au fost dezvoltați pentru Supervised Learning, inclusiv Adaptive Boosting, Decision Tree, Random Forest, Naive Bayes, Logistic Regression, Support Vector Machine, K-nearest neighbors, și altele. Pe lângă acestea, s-a constatat că unele studii utilizează modele originale sau îmbunătățite ale algoritmilor de tip Unsupervised Learning, precum Autoencoder, Self-Organizing Map, HDBSCAN, K-means clustering, pentru a atinge obiectivele propuse în detecția anomaliilor în rețele.3. Al treilea obiectiv al cercetării, și cel mai important, a reprezentat dezvoltarea unor modele teoretice și practice de ML care să fie utilizate pentru asigurarea securității cibernetice a organizațiilor din sistemul de sănătate.Pentru îndeplinirea celui de-al treilea obiectiv, implicit al scopului tezei, au fost create două modele de ML pentru detectarea phishing-ului, respectiv a anomaliilor din rețea.Modelul obținut pentru detectarea phishing-ului a constat în aplicarea și evaluarea următorilor algoritmi din categoria Supervised Learning: AdaBoost, Decision Tree, Extra Trees, Random Forest, Logistic Regression, Ridge Regression, Gaussian Naive Bayes, Support Vector Machine, K-Nearest Neighbors, Multi Layer Perceptron și Gradient Boosting. Aceștia au fost aplicați pe un set de date ce conținea înregistrări cu caracteristici extrase și prelucrate dintr-un total de 1.000 de mesaje e-mail, din care 42,8% erau specifice phishing-ului. Setul de date a fost obținut cu sprijinul unei companii locale și conținea detalii în limba română extrase din mesaje valide și de phishing. Mesajele de phishing aveau ca destinatar instituții publice de sănătate din România. În urma cercetării, a rezultat că cel mai bun model, cu un procent al acurateței de 97,5%, este unul hibrid, ce utilizează algoritmii Multi Layer Perceptron și Gradient Boosting. Modelul obținut ar putea fi aplicat pe serverele de e-mail, în scopul identificării mesajelor de phishing și salvării acestora într-un director separat, pentru a fi analizate de administratorul de securitate/ responsabilul IT.Modelul pentru detectarea anomaliilor din rețea a constat în antrenarea a patru modele ML, prin aplicarea și evaluarea următorilor algoritmi specifici Unsupervised Learning: HDBSCAN, Isolation Forest, Autoencoder și Gaussian Mixture Model. Algoritmii au fost aplicați pe un set de date reale, extrase din infrastructura unei instituții din sistemul de sănătate. Deoarece datele nu erau etichetate, în sensul evidențierii traficului normal, algoritmii au fost evaluați în baza anomaliilor identificate, dar și a diagramelor de dispersie. În acest context, soluția optimă a fost utilizarea unui model hibrid, la fel ca și în cazul modelului pentru detectarea phishing-lui, prin utilizarea capabilităților oferite de algoritmii HDBSCAN și Isolation Forest. Modelul antrenat poate fi utilizat într-un sistem hibrid, împreună cu un echipament IDS, ca de exemplu Fortigate.

Informatică

- sandbox, analiza, instrumentare

Tema de cercetare are la baza un utilitar software construit in cadrul programului de doctorat. Acesta se numeste COBAI (Complex Orchestrator for Binary Analysis and Instrumentation) si este un utilitar de instrumentare binara dinamica dedicat analizei aplicatiilor malitioase. In luna august am submis un articol care descrie felul in care COBAI reuseste sa contra-atace o serie de tehnici menite sa evite analiza, implementate in aplicatiile malitioase. Articolul a fost submis la TDSC (Transactions on Dependable and Secure Systems - IEEE). COBAI este primul instrument software care ar putea permite analistilor in securitate cibernetica sa automatizeze analizeze de tip inginerie-inversa pentru aplicatii malitioase.

Teme noi în curînd!

Universitatea “Alexandru Ioan Cuza” din Iaşi este cea mai veche instituţie de învăţământ superior din România continuând, din anul 1860, o tradiţie a excelenţei şi inovaţiei în educaţie şi cercetare. Cu peste 25 000 de studenţi şi  peste 700 de cadre didactice titulare, universitatea se bucură de un important prestigiu la nivel naţional şi internaţional, având colaborări cu peste 500 de universităţi din străinătate.

În curînd

Meniul

Adresa

Universitatea Alexandru Ioan Cuza din Iași

Bulevardul Carol I nr. 11

Iași, 700506

Contact

doctorat@uaic.ro

+40 232 20 10 23