Legjobb cikk díjat (best paper award) nyert a Hálózati Rendszerek és Szolgáltatások Tanszék (HIT) CrySyS Laborjának cikke a 2022-es IoTBDS konferencián

A kártékony programok (vírusok, férgek, összefoglalóan malware-ek) az IoT rendszerekre is veszélyt jelentenek, így IoT eszközökön is felmerül a vírus-detekció igénye. Az IoT eszközök erőforrás-korlátozottsága azonban nagy kihívást jelent és a hagyományos anti-vírus megoldások ebben a környezetben nem alkalmazhatóak. A CrySyS Laborban folyó, IoT biztonsággal kapcsolatos kutatómunka eredményeként született megoldás, a SIMBIoTA, és annak gépi tanulásra épülő változata, a SIMBIoTA-ML, hatékony és hatásos malware detekciót tesz lehetővé beágyazott IoT eszközökön is. A témában publikált legfrissebb cikk elnyerte a legjobb cikk díjat (best paper award) a 2022-es Internet-of-Things, Big Data, and Security (IoTBDS) konferencián (https://iotbds.scitevents.org/).

Az Internet ma már több beágyazott eszközt köt össze, mint hagyományos PC-t és szervert. A beágyazott eszközökkel kiterjesztett Internetet nevezzük Internet-of-Things-nek, vagy röviden IoT-nek. Az IoT számos alkalmazási területen biztosíthatja az új megoldások és a dinamikus fejlődés lehetőségét. Ugyanakkor, az IoT új biztonsági kihívásokat is rejt magában, ugyanis mindennapi életünk nagy fokú digitalizálása, automatizálása, és hálózatba kapcsolt eszközök számának drasztikus növekedése megnöveli a kibertér felől érkező támadásoknak való kitettséget. Jól példázza ezt a fertőzött IoT eszközökből felépülő Mirai botnet és az arról indított DDoS támadás az Internet infrastruktúra ellen, mely számos kedvelt szolgáltatást (Facebook, Twitter, stb) tett órákra elérhetetlenné 2016-ban (https://www.wired.com/2016/10/internet-outage-ddos-dns-dyn/). A HIT-en működő CrySyS Laboratórium vezeti a SETIT Projektet (2018-1.2.1-NKP-2018-00004), melyben a BME, a Szegedi Tudományegyetem és a Debreceni Egyetem együttműködésében olyan új biztonsági megoldások kutatása és fejlesztése folyik, melyek jelentősen csökkentik az IoT rendszerek biztonsági kockázatait (https://www.crysys.hu/research/setit/). A 4 éves projekt 2018 őszén indult és a „Nemzeti Kiválósági Program: 2018-1.2.1-NKP” pályázati program keretében, a Nemzeti Kutatási és Innovációs Alapból biztosított támogatással valósul meg. A projekt keretében, a BME kutatói többek között az IoT eszközök kártékony programok elleni védelmével is foglalkoznak. A projektben kifejlesztett megoldások segítségével detektálhatóvá válnak a Mirai-hoz hasonló malware-ek, és ezzel növekszik IoT rendszereink biztonsága. A malware detekció beágyazott IoT eszközökön azért nehéz, mert ezek az eszközök erősen erőforrás-korlátozottak lehetnek, és emiatt a hagyományos anti-vírus megoldások közvetlenül nem alkalmazhatók. Az új megoldás, a 2021-ben publikált SIMBIoTA, bináris hasonlóság alapján próbálja eldönteni egy fájlról, hogy az malware vagy sem. Ehhez az anti-vírus cégnél levő vírus adatbázisból egy hasonlósági gráfot építünk, melynek domináló csúcshalmazát kell eljutatni az IoT eszközökhöz, ahol aztán e csúcshalmaz segítségével történik a malware detekció. A hasonlósági gráf tipikus klaszterezettsége miatt a domináló csúcshalmaz jelentősen kisebb, mint maga a gráf, ezért annak tárolása nagyon kevés (pár 10 kB) tárkapacitást igényel az IoT eszközöktől. Ugyanakkor, méréseink alapján a módszer 90-95% pontossággal képes a kártékony fájlokat felismerni, még akkor is, ha ezek egyáltalán nincsenek is benne az anti-vírus cég adatbázisában. Ezt a módszert fejlesztettük tovább legfrissebb cikkünkben, melyben a SIMBIoTA gépi tanulásra épülő változatát valósítottuk meg. A SIMBIoTA-ML lényege, hogy az anti-vírus cég kiszámolja az adatbázisában található malware minták és ismert ártalmatlan fájlok ún. TLSH hash értékeit, és ezeket mint feature vektorokat használva betanít egy random forest gépi modellt, majd a modellt magát küldi el az IoT eszközöknek, ahol a modell segítségével történik a kártékony fájlok felismerése. Ezzel a módszerrel sikerült tovább növelni a SIMBIoTA detekciós pontosságát a korábbi 90-95%-ról 97-98%-ra. Ugyanakkor, az ML modell tárolása az IoT eszközön több tárkapacitást igényel és a detekciós idő is növekedett, bár mindkettő továbbra is bőven az elfogadható tartományban van (pár 100 kB és pár ezredmásodperc). Munkánk elnyerte a legjobb cikk díjat (best paper award) a 7. Nemzetközi Internet-of-Things, Big Data, and Security (IoTBDS) Konferencián. Résztvevő kutatók: Dr. Buttyán Levente, docens (kutatás-vezető), CrySyS Lab, BME-HIT Dr. Papp Dorottya, tanársegéd, CrySyS Lab, BME-HIT Dr. Ács Gergely, docens, CrySyS Lab, BME-HIT Nagy Roland, doktorandusz, CrySyS Lab, BME-HIT Tamás Csongor, Ukatemi Technologies Kft.

Forrás: D. Papp, G. Ács, R. Nagy, L. Buttyán, SIMBIoTA-ML: Light-weight, Machine Learning-based Malware Detection for Embedded IoT Devices, 7th International Conference on Internet of Things, Big Data and Security (IoTBDS), on-line, April 22-24, 2022. (Best Paper Award), https://www.crysys.hu/publications/files/PappANB2022iotbds.pdf