Promovendus: Hackers bestrijden met Machine Learning

De inzet van machine learning levert interessante inzichten op in het gedrag van staatshackers en andere cybercriminelen. Dit blijkt uit een proefschrift van Azqa Nadeem, onderzoeker bij TU Delft Algorithmics.

Nadeem promoveert op 2 april in Delft op het onderwerp ‘verklaarbare kunstmatige intelligentie’ in cybersecurity: kunstmatige intelligentiesystemen die zo zijn ontworpen dat ze transparant en begrijpelijk zijn voor beveiligers. Deze beveiligingsexperts kunnen aankomende bedreigingen eerder zien en erop anticiperen. Nu het dreigingsprofiel echter voortdurend verandert, worden datagestuurde oplossingen essentieel om automatisch gedragspatronen uit data te herkennen. Handmatige analyses kosten te veel tijd. Machine learning, het onderdeel van AI dat zich richt op het vermogen van computersystemen om te leren zonder expliciet geprogrammeerd te zijn, biedt een uitweg.

Het ontwikkelen van modellen voor vijandig gedrag is echter een uitdaging, omdat cyberdata vaak ongelabeld, ‘luidruchtig’ en grillig zijn en complexe patronen bevatten die in de loop van de tijd evolueren. De promovendus laat zien dat sequentiële functies effectief zijn bij het aanpakken van deze uitdagingen. Ze hebben echter een beperkte interpreteerbaarheid en algoritmische ondersteuning.

Uitlegbaarheid

Het proefschrift begint met het definiëren van het concept van verklaarbaarheid, zoals het momenteel wordt gebruikt in cybersecurity. De literatuur baseert zich vaak op black box-modellen die gebruik maken van externe en beschikbare verklaringsmethoden, zonder rekening te houden met de partijen die geïnteresseerd zijn in de verklaring. Daarentegen is de literatuur over sequentiële leermodellen die door ontwerp interpreteerbaar zijn, zeer beperkt.

De Pakistaanse onderzoeker pakt deze uitdagingen aan door speciale algoritmen te ontwikkelen die opeenvolgende patronen van zeldzame gebeurtenissen leren en gegevens te ontwikkelen in een omgeving zonder toezicht. Het gebruikt deze algoritmen om een ​​verzameling interpreteerbare softwareontwikkelingstools te creëren om het gedrag van verschillende soorten tegenstanders te begrijpen. Deze toolchains zijn open source. De promovendus modelleerde eerst de strategieën die menselijke dreigingsactoren volgen. Vervolgens ontwikkelde hij een nieuw conceptueel raamwerk voor ‘aanvalsgrafieken’, hulpmiddelen voor het modelleren en analyseren van mogelijke aanvalspaden binnen een netwerk.

De Delftse onderzoeker creëerde een S-PDF A-model (suffix-based probabilistic deterministic eindige automatisering) om minder bekende aanvalsstrategieën te begrijpen. Dit model biedt een methode om de bovengenoemde tools te bouwen op basis van huidige inbraakwaarschuwingen. Deze kaarten bieden nuttige informatie over strategische verschillen en vingerafdrukken. Ze verlichten ook de last voor analisten die alle waarschuwingen beu zijn en daarom soms ook kritieke situaties niet beoordelen.

Nadeem ontwikkelde ook een reeks softwareontwikkeltools die samen malwaregedrag op het netwerk blootleggen. Deze tools kunnen reeksen gegevens analyseren en in groepen groeperen. Dit gebeurt op een zodanige wijze dat de resultaten verklaarbaar en begrijpelijk zijn. Door automatisch realtime gedragsprofielen van met bot geïnfecteerde hosts te maken, kan het met 100 procent nauwkeurigheid onderscheid maken tussen goedaardige en kwaadwillende hosts.

Prof.dr.ir. Inald Lagendijk en ir. Sicco Verwer begeleiden de promotie.