Hybrid Ensemble Methods: Interpretible Machine Learning for High Risk Aeras / Hybrida ensemblemetoder: Tolkningsbar maskininlärning för högriskområden

Ulvklo, Maria

January 2021

Despite the access to enormous amounts of data, there is a holdback in the usage of machine learning in the Cyber Security field due to the lack of interpretability of ”Black­box” models and due to heterogenerous data. This project presents a method that provide insights in the decision making process in Cyber Security classification. Hybrid Ensemble Methods (HEMs), use several weak learners trained on single data features and combines the output of these in a neural network. In this thesis HEM preforms phishing website classification with high accuracy, along with interpretability. The ensemble of predictions boosts the accuracy with 8%, giving a final prediction accuracy of 93 %, which indicates that HEM are able to reconstruct correlations between the features after the interpredability stage. HEM provides information about which weak learners trained on specific information that are valuable for the classification. No samples were disregarded despite missing features. Cross validation were made across 3 random seeds and the results showed to be steady with a variance of 0.22%. An important finding was that the methods performance did not significantly change when disregarding the worst of the weak learners, meaning that adding models trained on bad data won’t sabotage the prediction. The findings of these investigations indicates that Hybrid Ensamble methods are robust and flexible. This thesis represents an attempt to construct a smarter way of making predictions, where the usage of several forms of information can be combined, in an artificially intelligent way. / Trots tillgången till enorma mängder data finns det ett bakslag i användningen av maskininlärning inom cybersäkerhetsområdet på grund av bristen på tolkning av ”Blackbox”-modeller och på grund av heterogen data. Detta projekt presenterar en metod som ger insikt i beslutsprocessen i klassificering inom cyber säkerhet. Hybrid Ensemble Methods (HEMs), använder flera svaga maskininlärningsmodeller som är tränade på enstaka datafunktioner och kombinerar resultatet av dessa i ett neuralt nätverk. I denna rapport utför HEM klassificering av nätfiskewebbplatser med hög noggrannhet, men med vinsten av tolkningsbarhet. Sammansättandet av förutsägelser ökar noggrannheten med 8 %, vilket ger en slutgiltig prediktionsnoggrannhet på 93 %, vilket indikerar att HEM kan rekonstruera korrelationer mellan funktionerna efter tolkbarhetsstadiet. HEM ger information om vilka svaga maskininlärningsmodeller, som tränats på specifik information, som är värdefulla för klassificeringen. Inga datapunkter ignorerades trots saknade datapunkter. Korsvalidering gjordes över 3 slumpmässiga dragningar och resultaten visade sig vara stabila med en varians på 0.22 %. Ett viktigt resultat var att metodernas prestanda inte förändrades nämnvärt när man bortsåg från de sämsta av de svaga modellerna, vilket innebär att modeller tränade på dålig data inte kommer att sabotera förutsägelsen. Resultaten av dessa undersökningar indikerar att Hybrid Ensamble-metoder är robusta och flexibla. Detta projekt representerar ett försök att konstruera ett smartare sätt att göra klassifieringar, där användningen av flera former av information kan kombineras, på ett artificiellt intelligent sätt.

Interpretability

Machine Learning

Sparse Data

Ensemble

Cyber Security

High Risk Sectors

Tolkbarhet

Maskininlärning

Gles Data

Ensemblemetoder

Cybersäkerhet

Högriskområden

Other Mathematics

Annan matematik

Val av hårdvara för cybersäker kommunikation på järnvägen / Hardware Selection for Cybersecure Communication on Railways

Hakkarainen, Mikko, Holmström, Linus

January 2024

På grund av den ökande digitaliseringen inom järnvägen ökar även antalet digitala anslutningar. Detta gör att fientliga aktörer kan påverka den operativa driften och personsäkerheten på distans av järnvägen via oskyddade anslutningar. Syftet med arbetet är därför att identifiera hårdvarulösningar för att öka cybersäkerheten av kommunikation mellan datorställverk och banobjekt via utdelar i datorställverken. Undersökningen fokuserar på att hitta den mest lämpliga processorenheten (CPU) eller Trusted Platform Module (TPM) för Alstoms utdel (OC950), med hänsyn till specifika cybersäkerhetskriterier enligt standarden IEC—63442. Genom att använda en Pugh-matris jämfördes fem CPU-lösningar och fyra TPM-lösningar. Resultatet visade att de två bästa alternativen var CPU-lösningar, där ”AM64x” från Texas Instruments utmärkte sig som det bästa valet tack vare dess goda cybersäkerhetsfunktioner, processorkapacitet och energieffektivitet. Denna funktionalitet tillät lösningen att ge ett tillfredställande cyberskydd samt gav driftfördelar och framtidsäkran. Sammanfattningsvis konstateras att processorenheter är att föredra för att förbättra prestanda och framtidssäkra hårdvaran på OCS950. TPM-lösningar kan vara ett lämpligt alternativ för att hantera cybersäkerhetsfunktioner men riskerar att bli en flaskhals för kommunikation. Därför är CPU-lösning att föredra, då det kan öka prestandan på utdelen samtidigt som det tillåter implantering av ett tillfredställande cyberskydd. Arbetet bidrar till att förbättra cybersäkerheten mellan utdel och en central ställverksdator och föreslår samtidigt en metod för att jämföra olika hårdvarulösningar genom Pugh-matriser. / Due to the increasing digitalization within the railway sector, the number of digital connections is also rising. This allows hostile actors to remotely impact the operational functioning and personal safety of the railway through unprotected connections. Therefore, the purpose of this work is to identify hardware solutions to enhance the cybersecurity of communication between interlocking computers and trackside objects via object controllers in the interlocking systems. The study focuses on finding the most suitable processor unit (CPU) or Trusted Platform Module (TPM) for Alstom's object controller (OC950), with considering for specific cybersecurity criteria according to the IEC-63442 standard. Using a Pugh matrix, five CPU solutions and four TPM solutions were considered. The results showed that the two best options were CPU solutions, with the "AM64x" from Texas Instruments standing out as the best choice due to its strong cybersecurity features, processing capacity, and energy efficiency. This functionality allowed the solution to provide satisfactory cyber protection as well as operational advantages and futureproofing. In summary, it is noted that processor units are preferred to improve performance and future-proof the hardware on OCS950. TPM solutions may be a suitable alternative for managing cybersecurity functions but risk becoming a communication bottleneck. Therefore, a CPU solution is preferred, as it can enhance the performance of the object controller while allowing the implementation of satisfactory cyber protection. The work contributes to improving cybersecurity between object controllers and central interlocking computers and simultaneously proposes a method for comparing different hardware solutions using Pugh matrices. / Digitalisaation lisääntyessä rautateillä myös digitaalisten yhteyksien määrä kasvaa. Tämä mahdollistaa vihamielisten toimijoiden vaikuttamisen rautateiden operatiiviseen toimintaan ja henkilöturvallisuuteen etäyhteyksien kautta suojaamattomien yhteyksien avulla. Työn tarkoituksena on siksi tunnistaa laitteistoratkaisuja kyberturvallisuuden parantamiseksi viestinnässä tietokonekeskusten ja ratakohteiden välillä jakelijoiden kautta tietokonekeskuksissa.  Tutkimus keskittyy sopivimman prosessoriyksikön (CPU) tai Trusted Platform Module (TPM) löytämiseen Alstomin jakelijalle (OC950), ottaen huomioon tietyt kyberturvallisuuskriteerit standardin IEC—63442 mukaisesti. Pugh-matriisin avulla verrattiin viittä CPU-ratkaisua ja neljää TPM-ratkaisua. Tulokset osoittivat, että kaksi parasta vaihtoehtoa olivat CPU-ratkaisuja, joista Texas Instrumentsin “AM64x” erottui parhaana vaihtoehtona sen hyvien kyberturvallisuusominaisuuksien, prosessorikapasiteetin ja energiatehokkuuden ansiosta. Tämä toiminnallisuus mahdollisti ratkaisun tarjoavan tyydyttävän kybersuojan sekä toi operatiivisia etuja ja tulevaisuuden varmuutta.  Yhteenvetona todetaan, että prosessoriyksiköt ovat suositeltavia suorituskyvyn parantamiseksi ja laitteiston tulevaisuuden varmistamiseksi OCS950:ssa. TPM-ratkaisut voivat olla sopiva vaihtoehto kyberturvallisuustoimintojen hallintaan, mutta ne voivat muodostaa pullonkaulan viestinnässä. Siksi CPU-ratkaisu on suositeltava, koska se voi parantaa suorituskykyä jakelussa samalla kun se mahdollistaa tyydyttävän kybersuojan toteuttamisen. Työ edistää kyberturvallisuuden parantamista jakelun ja keskus tietokonekeskuksen välillä ja ehdottaa samalla menetelmää eri laitteistoratkaisujen vertailemiseen Pugh-matriisien avulla.

Cybersecurity

railway

encryption

processing units

Cybersecurity-standard

Pugh-matrix.

Tietoturva

rautatie

salaus

CPU

tietoturvan-standardi

Pugh-matriisi.

Cybersäkerhet

järnväg

kryptering

processorenheter

cybersäkerhetsstandard

Pugh-matris.

Communication Systems

Kommunikationssystem

Etisk hackning av en smart kattlucka : Sårbarhetstestning av en smart kattlucka / Ethical hacking of a smart cat flap : Vulnerability testing of a smart cat flap

Kastrati, Adrian

January 2024

Många hem köper produkter som är internetuppkopplade, sakernas internet (IoT), det gäller allt från lampor till kattluckor. Detta öppnar upp för möjligheten att styra sitt hem på nya sätt men det medför nya hot mot hem och samhället. Detta är ett kritiskt problem för många företag, särskilt på IoT-marknaden där det finns incitament som driver låga kostnader och snabb marknadsintroduktion. Litteratstudien visade en brist på tydliga värderingar av investeringar och att även om produktivitet påverkas negativt och förlänger tiden från idé till marknad undviks framtida svårigheter vid lyckade cybersäkerhethetsåtgärder. Trots de betydande hoten kan många företag välja att acceptera risken för cyberattacker på grund av att kostnader vid säkerhetsbrister inte alltid hamnar hos dem.Sårbarhetstestningsmetoden PatrIoT följdes för att grundligt testa IoT-produkten Microchip Cat Flap Connect. Attacker som utfördes var bland annat ping-flooding och MiTM. Produkten visade sig vara säker och vanliga svagheter som öppna nät- verkstjänster och avsaknad av kryptering var frånvarande. Produkten visade sig vara sårbar mot överflödesattacker (DoS) i form av ping-flooding. Med det går det att säga att produkten följer ett flertal principer för utveckling mot säker IoT men servern som används för webbapplikationen bör implementera krav på att endast lita på certifikat av betrodda certifikatutfärdare. / Many households purchase internet-connected products, Internet of Things (IoT), which includes everything from lamps to cat flaps. This opens new ways and possibilities of controlling one's home, but it brings new threats to home and society. This is a critical issue for many companies, especially in the IoT market where there are incentives that drive low costs and quick time to market. The literature study showed a lack of clear valuations of investments and that even if productivity is negatively affected and the time from idea to market is extended, future difficulties are avoided with successful cyber security measures. Despite the significant threats, many companies may choose to accept the risk of cyber-attacks because the costs of security breaches do not always end up with them.The PatrIoT vulnerability testing methodology was followed to thoroughly test the IoT product Microchip Cat Flap Connect. The product proved to be secure and common weaknesses, such as open network services and lack of proper implementation of encryption, could not be identified. The product was found to be vulnerable to denial-of-service (DoS) attacks in the form of ping-flooding. With that, it can be said that the product follows several principles for development towards secure IoT, but the server used for the web application should implement requirements to only trust certificates from trusted certificate authorities.

Ethical hacking

vulnerbility testing

PatrIoT

smart homes

internet of things

threat modelling

cybersecurity

Etisk hackning

sårbarhetstestning

PatrIoT

smarta hem

sakernas internet

hotmodellering

cybersäkerhet

Computer and Information Sciences

Data- och informationsvetenskap

Federated Online Learning with Streaming Data for Intrusion Detection Systems : Comparing Federated and Centralized Learning Methods in Online and Offline Settings

Arvidsson, Victor

January 2024

Background. With increased pressure from both regulatory bodies and end-users, interest in privacy preserving machine learning methods have increased among companies and researchers in the last few years. One of the main areas of research regarding this is federated learning. Further, with the current situation in the world, interest in cybersecurity is also at an all time high, where intrusion detection systems are one component of interest. With anomaly-based intrusion detection systems using machine learning methods, it is desirable that these can adapt automatically over time as the network patterns change, resulting in online learning being highly relevant for this application. Previous research has studied offline federated intrusion detection systems. However, there have been very little work performed in the study of online federated learning for intrusion detection systems. Objectives. The objective of this thesis is to evaluate the performance of online federated machine learning methods for intrusion detection systems. Furthermore, the thesis will study the performance relationship between offline and online models for both centralized and federated learning, in order to draw conclusions about the ability to extrapolate from results between the different types of models. Methods. This thesis uses a quasi-experiment to evaluate two different types of models, Naive Bayes and Semi-supervised Federated Learning on Evolving Data Streams (SFLEDS), on three different datasets, NSL-KDD, UNSW-NB15, and CIC-IDS2017. For each model, four variants are implemented: centralized offline, centralized online, federated offline and federated online, and in the federated setting the models are evaluated with 20, 30, and 40 clients. Results. The results show that the best performing model in general is the federated online SFLEDS. They also highlight an important problem with using imbalanced datasets without proper care for data preprocessing and model design. Finally, the results show that there are no general relationships between offline and online models that hold in both the centralized and federated settings in terms of prediction performance. Conclusions. The main conclusion of the thesis is that online federated learning has a lot of potential for the application of intrusion detection systems, but more research is required to find the optimal models and parameters that result in satisfactory performance. / Bakgrund. Med ökat tryck från både tillsynsorgan och slutanvändare har intresset för integritetsbevarande maskininlärning ökat hos företag och forskare under de senaste åren. Ett av huvudområdena där det forskas om detta är inom federerad inlärning. Vidare, med det nuvarande läget i världen är intresset för cybersäkerhet högre än någonsin, där bland annat intrångsdetekteringssystem är av intresse. Med avvikelsebaserade intrångsdetekteringssystem som använder sig av maskininlärning så är det önskvärt att dessa automatiskt kan anpassa sig över tid när nätverksmönster förändras, vilket resulterar i att online maskininlärning är högst relevant för området. Tidigare forskning har studerat federerade offline intrångsdetekteringssystem, men det finns väldigt lite forskning gällande federerad online maskininlärning för intrångsdetekteringssystem. Syfte. Syftet med det här arbetet är att utvärdera prestandan av federerad online maskininlärning för intrångsdetekteringssystem. Vidare kommer det här arbetet att studera prestandaförhållandet mellan offline och online modeller för både centraliserad och federerad inlärning, för att kunna dra slutsatser om förmågan att extrapolera resultat mellan olika typer av modeller. \newline\textbf{Metod.} Det här arbetet använder sig av ett kvasiexperiment för att utvärdera två olika modeller, Naive Bayes och Semi-supervised Federated Learning on Evolving Data Streams (SFLEDS), på tre olika dataset, NSL-KDD, UNSW-NB15 och CIC-IDS2017. För varje modell implementeras fyra varianter: centraliserad offline, centraliserad online, federerad offline och federerad online. De federerade modellerna utvärderas med 20, 30 och 40 klienter. Resultat. Resultaten visar att den generellt bästa modellen är online SFLEDS. De belyser även ett viktigt problem med att använda obalanserade dataset utan tillräcklig hänsyn till förbearbetning av datan och modelldesign. Slutligen visar resultaten att det inte finns något generellt samband mellan offline och online modeller som stämmer för både centraliserad och federerad inlärning när det gäller modellprestanda. Slutsatser. Den huvudsakliga slutsatsen från arbetet är att federerad online maskininlärning har stor potential för intrångsdetekteringssystem, men mer forskning krävs för att hitta den bästa modellen och de bästa parametrarna för att nå ett tillfredsställande resultat.

Naive Bayes

SFLEDS

Semi-Supervised Learning

Cybersecurity

Centralized Federated Learning

Naive Bayes

SFLEDS

Semi-övervakad maskininlärning

Cybersäkerhet

Centraliserad federerad maskininlärning

Computer Sciences

Datavetenskap (datalogi)

Framtidens cybersäkerhet : en studie om hur Natural Language Processing påverkar dagens cybersäkerhetsarbete / The Future of Cybersecurity : A Study on How Natural Language Processing Impacts Today's Cybersecurity Efforts

Grönstedt Söderberg, Olle, Mattsson, Fredrik

January 2024

Sedan lanseringen av OpenAIs generativa chatbot ChatGPT i slutet av 2022 har intresset för artificiell intelligens (AI) och specifikt Natural Language Processing (NLP) ökat markant. Genom dess förmåga att tolka och generera mänskligt språk har NLP redan transformerat flertalet industrier och skapat debatter bland forskare, där somliga ser AI som en av de mest betydelsefulla innovationerna någonsin, medan andra varnar för att den hastiga teknikutvecklingen leder till nya och förändrade risker. Denna studie syftar till att undersöka cybersäkerhetsexperters syn på risker relaterade till användningen av NLP och dess inverkan på cybersäkerhetsarbete. Genom intervjuer och enkäter har studien identifierat flera risker som effektiviseras i och med användningen av NLP-baserade tjänster. Studiens enkätresultat visar vilka risker cybersäkerhetsexperter värderar högst utifrån sannolikhet och potentiella skada. Värderingarna görs med ramverket CIA i åtanke (Confidentiality, Integrity, Availability), en beprövad säkerhetsmodell som används för att upprätthålla god informations- och cybersäkerhet. Studiens intervjuresultat förser studien med insikter i respondenternas bakomliggande resonemang och betonar också vikten av medvetenhet vid användningen av NLP-baserade tjänster. Sammantaget förser studien läsaren med en förståelse för de risker som är förknippade med Natural language processing och ger insikt i de faktorer som cybersäkerhetsexperter tar i beaktning när de bedömer dessa risker. De tre risker som studien identifierade som särskilt framstående var: Spear-phishing, Skadlig Kod och Data leaks.

Natural language processing

Cybersecurity

Artificial intelligence

CIA

Risks

Natural language processing

Cybersäkerhet

Artificiell intelligens

CIA

Risker

Information Systems, Social aspects

Evaluation of Explainable AI Techniques for Interpreting Machine Learning Models

Muhammad, Al Jaber Al Shwali

January 2024

Denna undersökning utvärderar tillvägagångssätt inom "Explainable Artificial Intelligence" (XAI), särskilt "Local Interpretable Model Agnostic Explanations" (LIME) och 'Shapley Additive Explanations' (SHAP), genom att implementera dem i maskininlärningsmodeller som används inom cybersäkerhetens brandväggssystem. Prioriteten är att förbättra förståelsen av flervals klassificerings uppgift inom brandvägg hantering. I takt med att dagens AI-system utvecklas, sprids och tar en större roll i kritiska beslutsprocesser, blir transparens och förståelighet alltmer avgörande. Denna studie demonstrerar genom detaljerad analys och metodisk experimentell utvärdering hur SHAP och LIME belyser effekten av olika egenskaper på modellens prognoser, vilket i sin tur ökar tilliten till beslut som drivs av AI. Resultaten visar, hur funktioner såsom "Elapsed Time (sec)”, ”Network Address Translation” (NAT) källa och "Destination ports" ansenlig påverkar modellens resultat, vilket demonstreras genom analys av SHAP-värden. Dessutom erbjuder LIME detaljerade insikter i den lokala beslutsprocessen, vilket förbättrar vår förståelse av modellens beteende på individuell nivå. Studiet betonar betydelsen av XAI för att minska klyftan mellan AI operativa mekanismer och användarens förståelse, vilket är avgörande för felsökning samt för att säkerställa rättvisa, ansvar och etisk integritet i AI-implementeringar. Detta gör studiens implikationer betydande, då den ger en grund för framtida forskning om transparens i AI-system inom olika sektorer. / This study evaluates the explainable artificial intelligence (XAI) methods, specifically Local Interpretable Model-Agnostic Explanations (LIME) and Shapley Additive Explanations (SHAP), by applying them to machine learning models used in cybersecurity firewall systems and focusing on multi-class classification tasks within firewall management to improve their interpretability. As today's AI systems become more advanced, widespread, and involved in critical decision-making, transparency and interpretability have become essential. Through accurate analysis and systematic experimental evaluation, this study illustrates how SHAP and LIME clarify the impact of various features on model predictions, thereby leading to trust in AI-driven decisions. The results indicate that features such as Elapsed Time (sec), Network Address Translation (NAT) source, and Destination ports markedly affect model outcomes, as demonstrated by SHAP value analysis. Additionally, LIME offers detailed insights into the local decision making process, enhancing our understanding of model behavior at the individual level. The research underlines the importance of XAI in reducing the gap between AI operational mechanisms and user understanding, which is critical for debugging, and ensuring fairness, responsibility, and ethical integrity in AI implementations. This makes the implications of this study substantial, providing a basis for future research into the transparency of AI systems across different sectors.

Explainable AI

SHAP

LIME

machine learning

firewall management

cybersecurity

model interpretability

multiclass classification

Förklarbar AI

SHAP

LIME

maskininlärning

brandväggshantering

cybersäkerhet

modellens tolkbarhet

flervalsklassificering

Software Engineering

Programvaruteknik

Bankernas utmaningar under digitaliseringens framfart : En kvalitativ studie om hur banker hanterar förtroenderelaterade frågor gentemot sina kunder under den digitala utvecklingen

Thomas, Tomas, Poli, Tobil

January 2017

Bakgrund: Banksektorn genomgår en digital utveckling och förändringen sker i en allt snabb takt. Nya marknadsförhållanden med regelverk, en förändrad konkurrenssituation och ett förändrat kundbeteende har ställt banksektorn inför nya utmaningar och möjligheter som bankerna behöver förhålla sig till för att upprätthålla och stärka förtroendet gentemot sina kunder. Syfte: Studiens huvudsyfte är att undersöka hur banker hanterar förtroenderelaterade frågor under den ökade digitaliseringen inom banksektorn. Vidare syftar studien till att skapa en djupare förståelse för robotiserade rådgivningsprocesser och dess påverkan på bankkundernas förtroende i samband med att den fysiska kontakten mellan bank och kund minskar. Metod: Studien är utav en kvalitativ karaktär med en abduktiv forskningsansats och baseras på intervjuer med fem respondenter med relevanta yrkesroller som berör digitalisering- och förtroendefrågor inom den svenska banksektorn. Slutsats: Studiens resultat påvisar att digitaliseringen medför nya möjligheter och utmaningar som bankerna kan dra nytta av förutsatt att dem hanterar den digitala utvecklingen på ett korrekt sätt. Resultatet tyder vidare på att bankerna behöver förhålla sig till dem förändrade marknadsförhållandena och ständigt bemöta kundernas förväntansbild. / Background: The banking industry is facing a digital transformation and the change is taking place at a rapid pace. New market conditions, a changing competitive situation and a changing customer behavior have put the banking industry in front of new challenges and opportunities that banks needs to manage to maintain and strengthen their customers trust towards themselves. Purpose: The main purpose of the study is to investigate how banks handles trust-related issues in the context of the increased digitalization in the banking industry. Furthermore, the study aims to create a deeper understanding of robo-advising and its impact on banking customers' trust while the physical contact between banks and customers decreases. Method: The study is of a qualitative character and follows an abductive research effort. The study is based on interviews with five respondents with relevant professional roles that concern digitalization and trust within the Swedish banking industry. Conclusion: The study's results show that digitalization brings new opportunities and challenges that banks can benefit from, given they handle the digital development properly. The result further indicates that banks need to manage the changing market conditions and constantly respond to customers' expectations.

Digitalization

trust

advise

consultation

robo-advisor

diffusion

adoption

competition

CRM

cybersecurity

communication

information

customer relationship

Digitalisering

förtroende

rådgivning

robotrådgivning

diffusion

adoption

konkurrens

CRM

cybersäkerhet

kommunikation

information

kundrelation

Business Administration

Företagsekonomi

Ransomware-attacker : En kvalitativ studie kring informationssäkerhetsarbetet inom mindre svenska kommuner

Järgenstedt, Tindra, Kvernplassen, Nelly

January 2023

Ransomware-attacker har blivit ett allt större hot i och med samhällets ständigt pågående digitalisering. Denna studie undersöker vilka faktorer som är viktiga för att förhindra ransomware-attacker mot mindre svenska kommuner. För att åstadkomma detta genomfördes semistrukturerade intervjuer med sex olika respondenter. De som intervjuades arbetade alla i mindre svenska kommuner och hade god insyn och kunskap kring kommunens IT- och informationssäkerhetsarbete. Materialet analyserades sedan utifrån Protection Motivation Theory (PMT). Studien diskuterar både kommunernas attityd till informationssäkerhet samt konstaterar vilka säkerhetsåtgärder som utmärker sig som viktigast. Dessa var skyddade säkerhetskopior, utbildning samt kontinuitetsplaner kopplade till just IT-attacker. / Ransomware attacks have become an increasing threat with the ongoing digitalization of society. This study investigates what factors are important to prevent ransomware attacks against smaller Swedish municipalities. To accomplish this, semi-structured interviews were conducted with six different respondents. The interviewees all worked in smaller Swedish municipalities and had good insight and knowledge of the municipality's IT and information security work. The material was then analyzed using Protection Motivation Theory (PMT). The study discusses both the municipalities' attitude to information security and notes which security measures stand out as most important. These were protected backups, education and continuity plans linked to IT attacks. The paper then concludes with suggestions for further research.

Information Security

Cyber security

Ransomware attack

Qualitative research

Swedish municipalities

Protection Motivation Theory

Kill-chain

Informationssäkerhet

Cybersäkerhet

Ransomware-attack

Kvalitativ studie

Svenska kommuner

Protection Motivation Theory

Kill Chain

Information Systems, Social aspects

Analyzing Radial Basis Function Neural Networks for predicting anomalies in Intrusion Detection Systems / Utvärdera prestanda av radiella basfunktionsnätverk för intrångsdetekteringssystem

Kamat, Sai Shyamsunder

January 2019

In the 21st century, information is the new currency. With the omnipresence of devices connected to the internet, humanity can instantly avail any information. However, there are certain are cybercrime groups which steal the information. An Intrusion Detection System (IDS) monitors a network for suspicious activities and alerts its owner about an undesired intrusion. These commercial IDS’es react after detecting intrusion attempts. With the cyber attacks becoming increasingly complex, it is expensive to wait for the attacks to happen and respond later. It is crucial for network owners to employ IDS’es that preemptively differentiate a harmless data request from a malicious one. Machine Learning (ML) can solve this problem by recognizing patterns in internet traffic to predict the behaviour of network users. This project studies how effectively Radial Basis Function Neural Network (RBFN) with Deep Learning Architecture can impact intrusion detection. On the basis of the existing framework, it asks how well can an RBFN predict malicious intrusive attempts, especially when compared to contemporary detection practices.Here, an RBFN is a multi-layered neural network model that uses a radial basis function to transform input traffic data. Once transformed, it is possible to separate the various traffic data points using a single straight line in extradimensional space. The outcome of the project indicates that the proposed method is severely affected by limitations. E.g. the model needs to be fine tuned over several trials to achieve a desired accuracy. The results of the implementation show that RBFN is accurate at predicting various cyber attacks such as web attacks, infiltrations, brute force, SSH etc, and normal internet behaviour on an average 80% of the time. Other algorithms in identical testbed are more than 90% accurate. Despite the lower accuracy, RBFN model is more than 94% accurate at recording specific kinds of attacks such as Port Scans and BotNet malware. One possible solution is to restrict this model to predict only malware attacks and use different machine learning algorithm for other attacks. / I det 21: a århundradet är information den nya valutan. Med allnärvaro av enheter anslutna till internet har mänskligheten tillgång till information inom ett ögonblick. Det finns dock vissa grupper som använder metoder för att stjäla information för personlig vinst via internet. Ett intrångsdetekteringssystem (IDS) övervakar ett nätverk för misstänkta aktiviteter och varnar dess ägare om ett oönskat intrång skett. Kommersiella IDS reagerar efter detekteringen av ett intrångsförsök. Angreppen blir alltmer komplexa och det kan vara dyrt att vänta på att attackerna ska ske för att reagera senare. Det är avgörande för nätverksägare att använda IDS:er som på ett förebyggande sätt kan skilja på oskadlig dataanvändning från skadlig. Maskininlärning kan lösa detta problem. Den kan analysera all befintliga data om internettrafik, känna igen mönster och förutse användarnas beteende. Detta projekt syftar till att studera hur effektivt Radial Basis Function Neural Networks (RBFN) med Djupinlärnings arkitektur kan påverka intrångsdetektering. Från detta perspektiv ställs frågan hur väl en RBFN kan förutsäga skadliga intrångsförsök, särskilt i jämförelse med befintliga detektionsmetoder.Här är RBFN definierad som en flera-lagers neuralt nätverksmodell som använder en radiell grundfunktion för att omvandla data till linjärt separerbar. Efter en undersökning av modern litteratur och lokalisering av ett namngivet dataset användes kvantitativ forskningsmetodik med prestanda indikatorer för att utvärdera RBFN: s prestanda. En Random Forest Classifier algorithm användes också för jämförelse. Resultaten erhölls efter en serie finjusteringar av parametrar på modellerna. Resultaten visar att RBFN är korrekt när den förutsäger avvikande internetbeteende i genomsnitt 80% av tiden. Andra algoritmer i litteraturen beskrivs som mer än 90% korrekta. Den föreslagna RBFN-modellen är emellertid mycket exakt när man registrerar specifika typer av attacker som Port Scans och BotNet malware. Resultatet av projektet visar att den föreslagna metoden är allvarligt påverkad av begränsningar. T.ex. så behöver modellen finjusteras över flera försök för att uppnå önskad noggrannhet. En möjlig lösning är att begränsa denna modell till att endast förutsäga malware-attacker och använda andra maskininlärnings-algoritmer för andra attacker.

anomaly

cyber security

evaluation

machine learning

radial basis function

random forest classifier

supervised learning

anomali

cybersäkerhet

utvärdering

maskininlärning

radialbaserad funktion

slumpmässig skogsklassificering

övervakad inlärning

Computer and Information Sciences

Data- och informationsvetenskap

What are Users Willing to Comply With to Avoid Phishing? : An Interview-based Case Study

Bårman, Jennifer

January 2023

Phishing (nätfiske) fortsätter att vara ett av de vanligaste hoten för användare på Internet. På grund av detta så har mycket forskning gjorts på säkerhetsåtgärder för att identifiera och stoppa nätfiske. Mycket av detta arbete går till maskininlärning, medans ett välkänt behov av utbildning av användarsäkerhet på Internet finns. Användare är den största sårbarheten inom IT, och de borde därför bli utbildade och uppmuntrade att agera säkert på Internet. Denna studie fokuserade på ett mellanstort företag som jobbar med IT i Sverige, på dess användares förmåga och vilja att hantera sin epost säkert för att undvika att gå på nätfiske. Detta har studerats genom intervjuer med anställda på företaget. För möjlighet för transparens och replikering av studiens resultat så startades intervjuerna med att etablera respondenternas bakgrund och erfarenhet med nätfiske. Detta följdes av en demonstration av de vanligaste tecknen på nätfiske som hölls för varje intervjuade individ, för att försäkra att de hade kunskap om dem. Demonstrationen följdes sedan av ytterligare frågor som uppmuntrade deltagarna att först reflektera på ämnet, och sedan möjligheter för dem att utöka sin kunskap.Det som kom fram under intervjuerna var att användarna på företaget alla hade erfarenhet av nätfiske och visste i teorin hur man identifierar nätfiske. Detta trots att majoriteten av medverkande inte hade någon officiell utbildning inom ämnet. Alla användare som medverkade var villiga att göra det som förväntas av dem ifrån företaget. Alla respondenter i denna studie var villiga att göra det de kan för att undvika nätfiske, och några var villiga att gå längre än så på deras arbetsplats genom att utöka deras kompetens. Ingen medverkande i studien uttryckte ovilja att utbilda sig själv ytterligare i ämnet. Två av de åtta respondenterna tog emellertid upp ett starkt argument, att tiden för kontrollen av eposten inte borde överskrida användbarheten av processen. Sammanfattningsvis så har vissa användare behov av incentiv för att förbättra sin säkerhet, någon form av förklaring för varför vissa åtgärder behövs. Om sådant rättfärdigande kunde göras så fanns inga klagomål eller motvilja till att agera mer säkert. / Phishing continues to be one of the most common threats for users of the Internet. As such, a lot of research is made into security measures to identify and stop phishing. A lot of this work goes into machine learning, while it is known that user education on Internet security is needed. Users are the biggest vulnerability within IT, and should therefore be educated and encouraged to act securely on the Internet. This study's focus is on a medium-sized company working with IT in Sweden, on their users’ ability and willingness to handle their emails securely to avoid falling for phishing scams.This was studied through interviews with employees of the company. For the sake of transparency and replication, the interviews were started by establishing the respondents’ background and experiences with phishing. Following this a demonstration of some of the most common tells of phishing was held for each interviewee, to ensure that they know about them. The demonstration was then followed by further questions encouraging the interviewees to reflect upon first the subject, then possible opportunities for them to further their knowledge.What was found is that the users of the company all had experience with phishing and were knowledgeable in theory about how to identify phishing. This is despite the majority of the participants having no official education on the subject. It was found that all users who participated were willing to do what they are expected to do from the company. All respondents in this study were willing to do what they could to avoid phishing, and some were willing to go beyond that at their workplace by expanding their skills. No participant in the study expressed unwillingness to educate themselves further on the subject. However, an important opinion raised by two of the eight respondents was the aspect of time consumed to control all emails should not overshadow the usefulness of the practice. It was concluded that some users needed incentives to improve their security, justifications of why certain measures were needed. If such justifications could be made, there were no complaints or reluctance to act more securely.

User perspective

Phishing

Spear-phishing

Security

Cyber-security

Information security

Learning

Education

Usable security

User awareness

Användarperspektiv

Nätfiske

Riktat nätfiske

Säkerhet

Cybersäkerhet

Informationssäkerhet

Lärande

Utbildning

Användarsäkerhet

Användarmedvetenhet

Information Systems