Gebruik van machine learning verschaft interessante inzichten in het gedrag van staatshackers en andere cybercriminelen. Dat blijkt uit een proefschrift van Azqa Nadeem, een onderzoekster aan de TU Delft Algorithmics.
Nadeem promoveert op 2 april in Delft op het thema van ‘uitlegbare artificial intelligence’ in de cybersecurity: kunstmatige-intelligentiesystemen die zo zijn ontworpen dat ze transparant en begrijpelijk zijn voor beveiligers. Deze security-experts zijn in staat om dreigingen eerder te zien aankomen en hierop te anticiperen. Alleen, nu het dreigingsbeeld om de haverklap verandert, worden datagedreven oplossingen essentieel voor het automatisch herkennen van gedragspatronen uit data. Handmatige analyses zijn te tijdrovend. Machine learning, het onderdeel van ai dat zich richt op het vermogen van computersystemen om te leren zonder expliciet geprogrammeerd te worden, biedt hier een uitweg.
Het ontwikkelen van modellen voor vijandig gedrag is echter een uitdaging, omdat cybergegevens vaak ongelabeld, ‘luidruchtig’ en onregelmatig zijn en ingewikkelde patronen bevatten die in de loop van de tijd evolueren. De promovenda laat zien dat opeenvolgende functies effectief zijn bij het aanpakken van deze uitdagingen. Toch hebben ze een beperkte interpreteerbaarheid en algoritmische ondersteuning.
Verklaarbaarheid
Het proefschrift begint met het definiëren van het begrip verklaarbaarheid, zoals dat momenteel binnen cybersecurity wordt gebruikt. De literatuur steunt vaak op black-box-modellen die gebruik maken van externe kant-en-klare uitlegmethoden zonder rekening te houden met de belanghebbenden bij de uitleg. Daarentegen is de literatuur over modellen voor het leren van sequenties die door hun ontwerp interpreteerbaar zijn, ernstig beperkt.
De onderzoekster uit Pakistan pakt deze uitdagingen aan door speciale algoritmen te ontwikkelen die sequentiële patronen leren van zeldzame gebeurtenissen, en door gegevens te ontwikkelen in een omgeving zonder toezicht. Zij gebruikt deze algoritmen om een verzameling interpreteerbare software-ontwikkeltools te creëren om het gedrag van verschillende soorten tegenstanders te begrijpen. Deze tool-chains zijn opensource. De promovendus maakte eerst een model van de strategieën die menselijke dreigingsactoren volgen. Daarna ontwikkelde zij een nieuw denkkader voor ‘attack graphs’, tools voor het modelleren en analyseren van potentiële aanvalsroutes binnen een netwerk.
De Delftse onderzoekster stelde een S-PDF A-model (suffix-based probabilistic deterministic finite automation) op voor het doorgronden van minder bekende aanvalsstrategieën. Dit model biedt een methode om eerder genoemde tools te bouwen op basis van actuele alerts over binnendringers. Deze graphs bieden bruikbare informatie over strategische verschillen en vingerafdrukken. Ze verminderen ook de last van analisten die moe zijn van alle waarschuwingen en daardoor kritieke situaties soms minder goed beoordelen.
Nadeem ontwikkelde ook een serie software-ontwikkeltools die samen het netwerkgedrag van malware blootleggen. Deze tools kunnen sequenties van gegevens analyseren en in clusters groeperen. Dit gebeurt op zo’n manier dat de resultaten uitlegbaar en begrijpelijk zijn. Door automatisch in realtime gedragsprofielen van met bot geïnfecteerde hosts te maken is met honderd procent nauwkeurigheid onderscheid te maken tussen goedaardige en kwaadwillende hosts.
Prof.dr.ir Inald Lagendijk en ir. Sicco Verwer begeleiden de promotie.