Misbruik van domein namen en Active Authentication: toepassingen van machine learning in cyberbeveiliging

In onze huidige gedigitaliseerde samenleving is cyberveiligheid een essentiële voorwaarde voor een goed functionerende, eerlijke samenleving: Burgers, bedrijven en overheden moeten kunnen vertrouwen op hun computers en mobiele toestellen, alsook op de diensten die aangeboden worden door overheden en bedrijven.

Een belangrijk onderdeel van cyberveiligheid is de bestrijding van cybercriminaliteit. Deze strijd gaat verder dan het inzetten van ‘passieve infrastructuur’ zoals firewalls en toegangscontrole systemen en impliceert een wapenwedloop tussen cybercriminelen en cyberbeveiligers. Het gebruik van machine learning kan hierbij een grote troef betekenen, niet enkel om cybercriminaliteit te detecteren en te voorkomen, maar ook voor het versterken van authenticatie systemen.
In deze dissertatie onderzoeken we de toegevoegde waarde van het gebruik van machine learning voor cyberveiligheid op twee verschillende gebieden: dat van de preventie van het misbruik van Internet domein namen en op het vlak van Active Authentication voor het verbeteren van gebruikersidentificatie.

In ons werk rond het voorkomen van misbruik van Internet domein namen introduceren we Premadoma: een systeem dat machine learning gebruikt om reeds op het ogenblik van de registratie van een nieuwe domein naam te voorspellen of de nieuw geregistreerde domein naam zal gebruikt worden voor kwaadaardige toepassingen. Het systeem werd succesvol ingezet bij EURid vzw, het register voor .eu domein namen, waar het bijdroeg tot het off-line halen van 58.966 kwaadaardige domein namen in 2018 en in een indrukwekkende vermindering van het aantal kwaadaardige registraties in het .eu register. Daarnaast evalueerden we twee verschillende recente machine learning systemen voor het detecteren van algoritmisch gegenereerde domein namen zoals gebruikt worden door botnets voor het contacteren van hun ‘command & control’ server. We tonen aan dat de neurale netwerken van de deep learning methode het beter doen dan traditionele machine learning en we introduceren een nieuw domein naam creatie algoritme om aan te tonen dat de kennis van welke manueel gekozen elementen er gebruikt worden voor traditionele machine learning kan misbruikt worden om detectie te kunnen ontlopen.

In ons werk rond Active Authentication tonen we aan dat een erg eenvoudige eigenschap zoals de hoeveelheid batterij lading die een mobiele telefoon nog bezit kan bijdragen tot Active Authentication, maar dat het belangrijk is om realistische aanvaller modellen te gebruiken om correcte performantie cijfers te bekomen. We bekijken fotoplethysmografie als een techniek om vervalsing bij authenticatie door gezichtsherkenning te detecteren. We tonen daarbij aan dat ook hier een gebrek aan goede aanvaller modellen kan resulteren in zwakke systemen om vervalsingen te herkennen. We introduceren een nieuw en betrouwbaarder systeem om vervalste gezichtsherkenning te onderscheiden op basis van fotoplethysmografie. Tenslotte bestuderen we het domain van de detectie van gezichtsherkenning vervalsingen in het algemeen, waarbij we aantonen dat in dit onderzoeksgebied de wetenschappelijke methode zelf soms de oorzaak is van onbetrouwbare detectie van vervalsingen. We formuleren hiervoor enkele aanbevelingen.

In deze dissertatie tonen we aan dat machine learning een waardevol hulpmiddel kan zijn, zowel bij de detectie en preventie van cybercriminaliteit als bij het versterken van Active Authentication systemen. In beide domeinen stellen we vast dat kennis van de aanvaller en zijn of haar werkwijze belangrijk is en dat het gebruik van offensieve technieken kan bijdragen tot een betere cyberveiligheid.