Stel het je voor. Je IT-netwerk zit achter meerdere firewalls, je hebt een SIEM, en endpoints zijn voorzien van EDR. Tóch sluipt er verdachte activiteit door. Bijvoorbeeld een kleine datalek of een onbekend aanvalspatroon dat de signature-database niet kent. In zo’n situatie ontdek je pas hoe belangrijk IDS/IPS is, en daar kan Machine Learning Detectie een extra beveiligingsslag in maken.

Hoe werkt Machine Learning afwijkingsdetectie binnen Intrusion Detection & Intrusion Prevention (IDS/IPS)? Welke modellen bewijzen zich al in de praktijk en met welke uitdagingen moet je rekening houden als je dit gaat uitwerken? En nog een stap terug: wanneer is dit een zinvolle invalshoek? We beantwoorden deze vragen in dit blog.

Eerst de begrippen uitleggen

Machine Learning afwijkingsdetectie

Machine Learning afwijkingsdetectie is een techniek waarbij een systeem leert wat “normaal” gedrag is in het netwerkverkeer of gebruikersactiviteit. Daardoor kunnen afwijkingen daarvan automatisch worden gemarkeerd als verdacht. Het doel is om onbekende of nieuwe aanvallen te herkennen zonder vooraf gedefinieerd regels.

Intrusion Detection System (IDS)

IDS is een beveiligingstool die aanvallen of verdachte activiteiten opspoort binnen een netwerk of systeem en hier alerts op geeft. IDS detecteert, maar onderneemt geen actie — het waarschuwt alleen.

Intrusion Prevention System (IPS)

IPS is de oplossing die actie onderneemt. Het is namelijk een systeem dat niet alleen detecteert, maar ook blokkeert. IPS kan bijvoorbeeld automatisch een IP-adres blokkeren of verkeer onderbreken zodra het iets verdachts detecteert.

Wanneer regels alleen niet (meer) volstaan

De traditionele IDS-systemen werken vooral op signature-based detectie. Dat betekent dat ze zoeken naar bekende aanvalspatronen of indicatoren (ook wel: IOC’s). Dat is snel en betrouwbaar voor bekende dreigingen, maar het kijkt niet naar nieuwe of gemuteerde aanvallen.

Machine Learning detectie – vaak dus in de vorm van afwijkingsdetectie – heeft als voordeel dat het een “normaal” profiel opbouwt van netwerk- of systeemgedrag, en afwijkingen daarvan markeert als verdacht. Daarmee kan het hele nieuwe aanvalsvormen (zero-days) potentieel opsporen die geen bekende signature hebben. In de praktijk zie je eigenlijk vaak hybride oplossingen. Dus je hebt regels, samen met Machine Learning. In dat geval vangen de regels de bekende dreigingen snel op, en is Machine Learning er als aanvulling om grensgevallen af te dekken.

Hoe werkt Machine Learning detectie?

Het is ook goed om even te duiken in de architectuur en aanpak van Machine Learning detectie, zodat het effect extra duidelijk wordt.

Training op gebruikelijk gedrag

Een kernaspect van Machine Learning detectie is – hij is al een keer eerder kort benoemd – training op veelzeggende data van normale systeem- of netwerkactiviteit. Dat kan met gelabelde data (supervised) of zonder labels (unsupervised). Veel anomaly-detectie is tegenwoordig unsupervised. Dit betekent dat je de verdeling van normaal verkeer leert en afwijkingen daarbuiten scorematig beoordeeld.

Technieken zoals auto-encoders worden hierbij toegepast. Dat is een type netwerk dat in staat is om herkende data te reconstrueren, wat niet lukt als de data afwijkend is. Een andere methode die we vaak zien, is Isolation Forest. Die detecteert afwijkingen doordat ze makkelijker geïsoleerd kunnen worden in willekeurige boomstructuren.

Feature engineering en dimension reduction

Data moeten worden teruggebracht tot zinnige features. Denk aan netwerkflows, packet headers, tijdstippen, gedragspatronen en frequenties. Als er namelijk sprake is van te veel features, heb je al snel te maken met ruis. Daarom wordt vaak dimension-reduction of feature-selectie toegepast.

Afwijkingsscores

Elke observatie krijgt een afwijkingsscore. Afhankelijk van een drempel (bijvoorbeeld 95%) wordt een waarschuwingsalert afgegeven. In de praktijk is het afstemmen van deze drempel heel belangrijk om false positives en false negatives in balans te kunnen houden.

Integratie en actiesturing

De output van de Machine Learning-detector wordt geïntegreerd in je SOC-, SIEM-, en SOAR-omgeving. Hierdoor kunnen alerts handmatig worden onderzocht of kunnen er zelfs automatisch acties worden uitgezet op basis van het risico. Ook zorgt samenwerking met Threat Intelligence en bekende regels voor een hogere kwaliteit van de risicobeslissing.

Succesfactoren en valkuilen

Nu duidelijk is wat Machine Learning Afwijkingsdetectie betekent en waaruit het bestaat, is het ook belangrijk om de voor- en nadelen kort toe te lichten. Zo kan je als organisatie bewust kiezen om ermee aan de slag te gaan of te concluderen dat het (nog) niet past bij je huidige securityinrichting.

De voordelen van Machine Learning detectie

• Effectief ontdekken van onbekende aanvallen. Machine Learning detectie kan onverwachte patronen herkennen die geen bestaande signature hebben;
• Aanpassend vermogen. Het systeem kan zich (gedeeltelijk) aanpassen aan veranderend netwerkgedrag;
• Schaalbaarheid. Moderne Machine Learning-modellen zijn in staat om grote volumes data te verwerken, onder andere door feature compressie;
• Minder tijd aan regels. Met Machine Learning detectie is er sprake van minder handmatige regelupdates in sommige domeinen.

De uitdagingen

• Black-box. Veel modellen zijn nog lastig te verklaren. Waarom worden bepaalde observaties gezien als afwijking? Dit maakt dat vertrouwen soms een ding is;
• Data poisoning. Als je trainingsdata al besmet is met afwijkende activiteiten, leert het model verkeerde patronen. Dit noemen we data poisoning;
• False positives. Het kan voorkomen dat er te veel alerts worden gegeven door ruis. Dit kan de SOC-teamcapaciteit belasten, omdat zij moeten reageren op deze alerts;
• Veroudering. Normaal gedrag verandert over de tijd (bijvoorbeeld door nieuwe toepassingen of piekbelasting), waardoor het Machine Learning-model verouderd kan raken;
• Performance & latency. In een liveomgeving moet de detectie snel genoeg zijn, zonder negatieve invloed te hebben op de netwerkperformance. Daar moet het model aan kunnen voldoen.

Hoe zet je Machine Learning afwijkingsdetectie goed in?

• Start klein. Werk altijd met een proof-of-concept. Dit betekent dat je een duidelijk segment kiest van je netwerk om te testen of het voor jouw securityomgeving werkt. Bijvoorbeeld een DMZ of kritisch cluster;
• Gebruik het samen met regels. Laat signature-based detectie de “bekende” aanvallen vangen en gebruik Machine Learning voor de grensgevallen. Eerder hadden we het al over de hybride oplossing – dat is deze;
• Voer model retraining uit. Plan vooraf periodieke updates om veroudering van je model te voorkomen en kritisch te blijven op de output en alerts;
• Monitor drempels. Stel alerts set-up in fases in (te weten: laag → midden → hoog) en laat je Security Operations Center op die manier ervaring opbouwen;
• Onderzoek beslissingen. Je kunt explainability-tools implementeren (zoals feature-importance en saliency) om te onderzoeken en verduidelijken waarom bepaalde alerts zijn gegeven;
• Wees alert op adversarial attacks. Aanvallers kunnen data manipuleren om modellen te misleiden, wees je hiervan bewust en blijf zicht houden op het model;
• Integreer Machine Learning detectie in je SOC-operaties. Een detector is niets zonder een duidelijk proces, de juiste tooling en de nodige responscapaciteit. Daardoor is Machine Learning afwijkingsdetectie een mooie aanvulling op je SOC.

Conclusie

Machine Learning afwijkingsdetectie verandert de manier waarop we naar netwerkbeveiliging kijken. Waar klassieke IDS- en IPS-systemen vooral werken met bekende patronen, kijkt Machine Learning juist naar wat afwijkend is. Daardoor kunnen ook onbekende of slimme aanvallen – die tussen de regels door glippen – eerder worden herkend. De effectiviteit hangt wél af van goede data, slim ingestelde drempels en een zorgvuldige integratie met bestaande securityprocessen

Wil je weten hoe je dit in jouw organisatie kunt toepassen of testen in een proof-of-concept? We kijken en denken graag met je mee. Neem gerust contact met ons op om er eens vrijblijvend over te sparren of meteen je netwerkomgeving in te duiken met onze experts.