11 april 2024
FOI Totalförsvarets forskningsinstitut

Lärande strategier med inslag av slump bäst för honungs­fällor

Honungsfällor är inom it-branschen en metod för att vilseleda hackers. En grupp forskare vid FOI och kandidat-exjobbare från KTH har undersökt hur strategisk placering av honungsfällor ska utföras och automatiseras på bästa sätt.

Angripare letar kontinuerligt efter svagheter i it-system för att få tillgång till värdefull information. Honungsfällor ger sken av att vara värdefulla resurser som angriparen vill ha. Det ger en försvarande it-organisation möjlighet att kunna analysera en angripares beteende, att delge denne irrelevant information eller att sakta ned ett förestående angrepp.

Det sker en kontinuerlig kapplöpning mellan angripare och försvarare, vilket öppnar för frågeställningen om hur den strategiska placeringen av honungsfällor ska utföras och automatiseras, bland annat med hjälp av AI.

En tidigare studie fångades upp av Mika Cohen, förste forskare på FOI. Den väckte internt intresse, men behövde utvärderas genom reproduktion, vilket ledde till att FOI erbjöd ett kandidatexamensarbete via KTH. Två civilingenjörsstudenter, Madeleine Lindström och Samuel Lavebrink, tog sig an arbetet. De implementerade sex föreslagna strategier och genomförde ett experiment med 124 KTH-studenter, där respondenterna fick försöka övervinna någon av försvarsstrategierna. Men de AI-baserade strategierna för utplacering av honungsfällorna lyckades väl med sin uppgift. Framförallt visade det sig att lärande strategier med inslag av slump var överlägsna äldre, mer ”stelbenta” former av försvar.

Prisbelönad forskning

I samverkan med studenterna skrev forskargruppen på FOI ett bidrag till konferensen IEEE/ACM ASONAM 2023 som hölls i Kuşadası, Turkiet. Det slutade med ett pris för ”Best Paper” som forskare Edward Tjörnhammar och forskningschef Joel Brynielsson mottog på plats i Kuşadası.

Patrik Hansen och Edward Tjörnhammar , forskningsingenjör vid FOI, berättar om exjobbarnas förutsättningar.

– Vi höll månadsvisa möten där vi diskuterade hur strategierna kunde tänkas lura en angripare, hjälpte studenterna med ett ramverk för arbetet och stöttade med implementation av algoritmer och den statistiska analysen, berättar Edward Tjörnhammar.

Arbetet fortsätter

Framgångarna har lett till en fortsatt ansats.

– Vi ska tillsammans med två nya kandidat-exjobbare från KTH fortsätta att titta på honungsfällors utplacering, om hur vidareutvecklade och nya strategier påverkas i försök med människor. Människor beter sig irrationellt, men samtidigt inte helt slumpartat utan informerat av viss kompetens, säger Patrik Hansen.

Samarbetet gynnar alla parter, enligt FOI-handledarna:

– Exjobbarna får jobba med saker som ligger nära forskningsfronten tillsammans med FOI-medarbetare i en annorlunda forskningsmiljö. Vi på FOI är också tillgängliga för exjobbarna så att de inte tappar momentum i arbetet, säger Edward Tjörnhammar.

– För oss på FOI är det kul att vi på detta sätt kan få kontakt med drivna studenter som är intresserade av FOI och hjälper oss att hålla kontakten med akademin, berättar Patrik Hansen.

Det saknas inte personliga intressen:

– Jag älskar att undervisa, att se studenter utvecklas och lära sig saker. Det ger även mig själv möjlighet att lära mig igen och att tvinga mig att reda ut luckor och förklara pedagogiskt, säger Edward Tjörnhammar.