A Synthetic User Environment for Network Counter-Surveillance Operations

Abstract

The traditional response to the discovery of a network compromise has been to remove the compromised system from the network, to clean it and to restore it to service. This approach is reactive; a more active approach is necessary and such an approach requires better intelligence collection on attackers. New tools and techniques are required to allow the collection of intelligence on attackers, including the provision of realistic user activity at the human interface device (HID) level. This research developed a conceptual framework for the automatic generation of HID events in a manner that, when observed by attackers, is consistent with a human inputting text into a computer system. The framework, called the Human Interface Device Event Generation Process, accepts a target document as its input and, through sequential transformation, generates a series of mouse and keyboard human interface device events. When placed on the Universal Serial Bus of a compromised computer system, these human interface device events render the composition of the target document by a synthetic user. In order to make the generation of human interface device events consistent with what is expected of a human user, the framework makes use of a User Personality Model which represents the synthetic user’s text composition preferences, editing choices, typing accuracy, use of the mouse and timing characteristics of human interface device events. All of these aspects of the User Personality Model are defined in this research. To demonstrate the validity and feasibility of the framework, we have developed a proof-of-concept Synthetic User Environment which implements the keyboard aspects of the Human Interface Device Event Generation Process framework. The research contributes to the field of computer network defence by providing a framework for the automatic generation of human interface device events, defining User Personality Model components and providing tools for the advancement of Network Counter-Surveillance Operations and Deception Operations.

La réponse typique à la découverte d’une compromission réseau est de retirer le système compromis du réseau, de le nettoyer et de le remettre en service. Cette approche est réactive; une approche plus active est nécessaire et une telle approche requière une meilleure cueillette de renseignement sur les attaquants. De nouveaux outils et techniques sont de mise pour permettre la cueillette de renseignements sur les attaquants, y compris la fourniture d’activité d’utilisateur au niveau de dispositifs d’interfaces humaines. Cette recherche a conçu un cadre conceptuel pour la génération automatisé d’évènements de dispositifs d’interfaces humaines de sorte à ce qu’ils soient consistants, lorsqu’observés par les attaquants, avec un humain composant du texte sur un système informatique. Le cadre conceptuel, appelé le Human Interface Device Event Generation Process, accepte un document-cible comme entrant et, de par une séquence de transformation, génère des évènements pour dispositifs d’interfaces humaines pour une souris et un clavier. Lorsque placé sur le bus USB d’un système informatique compromis, ces évènements pour dispositifs d’interfaces humaines simulent la composition du document-cible par un utilisateur synthétique. Afin que la génération d’évènements pour dispositifs d’interfaces humaines soit consistante avec un utilisateur humain, le cadre conceptuel utilise un modèle de personnalité humaine qui représente les aspects suivants de l’utilisateur synthétique : ses préférences de compositions, ses choix à titre de révision, son exactitude dactylographique, son utilisation de la souris et les délais associés avec les évènements pour dispositifs d’interfaces humaines. Tous ces aspects du modèle de personnalité humaine sont définis dans cette recherche. Une démonstration de la faisabilité, nommé le Synthetic User Environment, a été développée et mise en œuvre afin de démontrer la validité du cadre conceptuel. La recherche fait contribution à la défense de réseaux informatiques en fournissant un cadre conceptuel pour la génération automatique d’évènements pour dispositifs d’interfaces humaines, en définissant les aspects du modèle de personnalité humaine et en fournissant des outils pour l’avancement de opérations de contre-surveillance réseaux et les opérations de déception.