Anomaly-Based intrusion detection and prevention systems for mobile devices : design and development

Abstract

Τα τελευταία χρόνια οι έξυπνες κινητές συσκευές έχουν εξελιχθεί σημαντικά, τόσο σε επίπεδο υλικού όσο και υπηρεσιών που μπορούν να υποστηρίξουν, και γι' αυτό η χρήση τους γνωρίζει ραγδαία εξάπλωση. Δεν αποτελεί υπερβολή το ότι οι παντός είδους τέτοιες συσκευές έχουν γίνει αναπόσπαστο μέρος της καθημερινότητάς μας. Παρόλα αυτά, η αυξανόμενη αυτή τάση έχει μοιραία εκθέσει τις κινητές συσκευές σε ένα ολοένα και αυξανόμενο πλήθος απειλών κατά της ασφάλειάς τους. Συγκεκριμένα, η εμφάνιση εξελιγμένων λειτουργικών συστημάτων (πλατφορμών), όπως το Android και το iOS, και η διαρκή εξάπλωση «ευφυούς» κακόβουλου λογισμικού, ειδικά κατασκευασμένου για αυτές τις πλατφόρμες, θέτουν νέα δεδομένα στο σχεδιασμό και υλοποίηση αποτελεσματικών λύσεων ασφαλείας για τους χρήστες αυτών των συσκευών. Έτσι, καθίσταται ολοένα και περισσότερο πρόδηλη η ανάγκη για τη δημιουργία εξυπνότερων και αποτελεσματικότερων μηχανισμών ασφαλείας, όπως είναι τα Συστήματα Ανίχνευσης και Πρόληψης Εισβολών (Intrusion Detection and Prevention Systems - IDPS). Ο κύριος στόχος της παρούσας διδακτορικής διατριβής είναι η μελέτη και υλοποίηση ισχυρών και αξιόπιστων μηχανισμών ασφάλειας, οι οποίοι να είναι ικανοί στο να ανιχνεύουν με μεγάλη ακρίβεια κακόβουλες συμπεριφορές που παράγονται είτε από κακόβουλο λογισμικό, είτε από μη εξουσιοδοτημένη χρήση της συσκευής.Οι μηχανισμοί IDP που παρουσιάζονται στη διατριβή, έχουν τη δυνατότητα να εντοπίζουν νέες, μη καταγεγραμμένες εκδοχές κακόβουλου λογισμικού, μη ορθή χρήση υπηρεσιών, ενώ μπορούν επίσης να παρέχουν διαρκή αυθεντικοποιηση για να εξασφαλίσουν τη χρήση της έξυπνης φορητής συσκευής μόνο από τους εξουσιοδοτημένους χρήστες της. Οι προταθέντες μηχανισμοί, παρουσιάζουν ιδιαίτερα ανταγωνιστικές επιδόσεις στην αποτροπή επιθέσων κατά της μη-εξουσιοδοτημένης χρήσης της συσκευής, αξιοποιώντας έξυπνα αλλά ταυτόχρονα εύκολα υλοποιήσιμα και κλιμακούμενα μοντέλα ετεροχρονισμένης αυθεντικοποίησης και μη-αποποίησης. Ιδιαίτερη έμφαση στα πλαίσια της διατριβής δίνεται, στην κατανόηση, διερεύνηση και παρουσίαση των μεθόδων και ιδιαίτερων τεχνικών που ενδέχεται να χρησιμοποιηθούν από επίδοξους εισβολείς με σκοπό την παραβίαση βασικών απαιτήσεων ασφάλειας, όπως η εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα, αυθεντικότητα και ιδιωτικότητα, που πλέον - περισσότερο από ποτέ - θεωρούνται επιβεβλημένες για τις σύγχρονες κινητές συσκευές. Συνολικά, τα αποτελέσματα της διατριβής μπορούν να αξιοποιηθούν για την υλοποίηση ένος προηγμένου και ολιστικού πλαισίου IDPS για έξυπνες-φορητές συσκευές. Η θεωρητική βάση για ένα τέτοιο πλαίσιο αναπτύσσεται στο παρόν πόνημα και γι' αυτό μπορεί άμεσα να αξιοποιηθεί ως βάση για μελλοντικές έρευνες στην περιοχή.

Mobile devices have evolved and experienced an immense popularity over the last few years. Nevertheless, this growth has exposed mobile devices to an increasing number of security threats. It is thus for sure that despite the variety of peripheral protection mechanisms described in the literature, and the (post)authentication and access control techniques imposed by the Operating Systems (OS) of such devices, integral protection against advanced intrusions cannot be adequately enforced. More specifically, sophisticated, powerful OSs, such as Android and iOS, and the services they can support bring new opportunities to attackers toward compromising the device and the data stored on it. This is along with the rise of mobile malware which is anticipated to comprise a serious threat in the near future. Therefore, the research community is constantly seeking for solutions to cope with these newly-introduced perils. Thus, a need for more intelligent and sophisticated security controls such as Intrusion Detection and Prevention Systems (IDPS) is deemed necessary. However, whilst much work has been devoted to mobile device IDSs in general, research on anomaly-based or behavior-based IDS has been limited leaving several problems unsolved. Motivated by this fact, this doctoral thesis focuses on the design and development of advanced anomaly IDPS for modern mobile devices. Moreover, to the best of our knowledge, it is the first to explore, propose and evaluate modern advanced behavioral-based mechanisms and characteristics which can be used towards enchancing the security of mobile devices. More specifically, in the context of this thesis we show that by monitoring user's touch patterns and behaviors as they utilize popular mobile applications or services (e.g., SMS, Call, Internet), and/or by profiling native system calls produced by an active (running) service, one is able to design powerful mechanisms that can be very reliable and accurate in detecting malicious behavior produced by malwares or unauthorised device use. The IPD mechanisms proposed and evaluated in the context of the present thesis are capable of detecting new undocumented malwares or illegitimate usage of services. This is achieved by providing continuous authentication to ensure legitimate use of the device and prevent threats via intelligent post-authentication and non-repudiation response schemes. This is supported by the experimental results that attest the efficiency of the proposed mechanisms. However, particular emphasis throughout with work is put to understand, explore and present how novel mobile device security threats can be exploited to violate confidentiality, integrity, availability, authenticity and privacy requirements imposed by such devices. This means that, by attacking modern smartphone platforms and popular services, and considering the different attack vectors, it allowed us to create proper IDP mechanisms for modern mobile devices. Last but not least, an advanced IDP theoretical framework for modern mobile platforms is introduced offering food for thought for future work in this exciting field.