Foto Bax Lindhardt

Maskinlæring skal forhindre cyberangreb

torsdag 14 jan 21

Kontakt

Christian D. Jensen
Lektor, Sektionsleder
DTU Compute
45 25 37 24
Universiteter arbejder sammen med it-sikkerhedsfirma for at blokere hjemmesider med virus, inden man klikker på dem.

Hackere får nu kamp til stregen. Forskere fra DTU og Aalborg Universitet er sammen med it-sikkerhedsvirksomheden CSIS Security Group i gang med at finde nye løsninger, der skal forhindre, at man utilsigtet kommer til at give oplysninger til kriminelle eller besøger skadelige hjemmesider, som er inficeret med virus. Løsningerne skal udnytte kunstig intelligens til at opdage og blokere de skadelige hjemmesider og mails, allerede inden brugerne når at klikke på dem.

Forskningsprojektet hedder SecDNS og har fået en bevilling på 11,3 mio. kr. fra Innovationsfonden, og målet er at skabe et mere sikkert cybersamfund.

Hidtil har man brugt historiske data til at finde ud af, hvilke hjemmesider der skal blokeres, men den tilgang er ikke tilstrækkeligt beskyttende, forklarer Christian D. Jensen, der er leder af sektionen for cybersikkerhed på DTU Compute og deltager i SecDNS-projektet. 

”I sikkerhedskredse taler man om zero-day-angreb – som er angreb, man aldrig har set før. Den type angreb bliver aldrig fanget, når man kun har historiske data,” siger han.

På forkant med cyberkriminelle

"Udviklingen inden for kunstig intelligens har givet os langt bedre muligheder for at opdage cyberangreb."
Lektor Christian D. Jensen, DTU Compute

For at komme på forkant med de cyberkriminelle vil forskerne sætte ind helt ude på de navneservere, der dirigerer trafikken på internettet. 

Forskerne vil udvikle et system, der er baseret på kunstig intelligens, og som ude på serverne kan gennemgå de såkaldte DNS-opslag, der oversætter de hjemmesidenavne (domænenavne), som vi taster ind på vores computere, til de IP-adressers talkoder, computerne rent faktisk bruger.

Via disse DNS-opslag vil systemet tjekke, om links til hjemmesider er skadelige, eller om en e-mail indeholder et skadeligt link, og hvis det er tilfældet, vil systemet blokere dem. Derved vil brugeren enten aldrig modtage mailen, eller hvis brugeren modtager mailen og trykker på linket, vil systemet fremvise en advarselsskærm, der samtidig forhindrer det skadelige indhold i at blive eksponeret for brugeren.

For at få systemet til at opdage de skadelige hjemmesider, links og mails vil forskerne træne algoritmerne til at genkende mønstre, der kendetegner skadelige hjemmesider, ud fra store mængder data fra bl.a. brugsmønstre, kendte inficerede hjemmesider og cyberangreb, som universiteterne og CSIS Security Group har observeret. 

Positiv og negativ trafik

Det er første gang, at man arbejder så systematisk med maskinlæring på navneserverne. Forskerne deler deres data op i positiv og negativ trafik og lærer algoritmerne, hvad der er godt og dårligt. For at lære algoritmerne at genkende mønstre på virusinficerede hjemmesider kigger forskerne f.eks. på server- og domænenavne. Her undersøger de, hvornår navnene er registreret, hvem der har registreret dem, hvor længe de har været registreret, og om det er steder, som jævnligt bliver besøgt. 

”Udviklingen inden for kunstig intelligens har givet os langt bedre muligheder for at opdage cyberangreb end tidligere. Men hackerne bliver også bedre og bedre,” siger Christian D. Jensen.

”I dag ser vi eksempler på, at angriberne snyder algoritmer med maskinlæring. Derfor bliver det spændende at se, hvordan de begynder at bruge AI til at sløre og forvirre den kunstige intelligens, som vi sætter i spil. For at kunne hacke vores løsninger skal de lave mønstre, der ikke bliver genkendt af vores mønstergenkendelsessystemer. Det kan de gøre, hvis vores algoritmer ikke er gode nok.”

Franarrer data 

I dag ser Christian D. Jensen forskellige typer skadelige hjemmesider, der bruges til at franarre os data eller installere skadelige koder. En af dem er botnets, der er en sammenskrivning af ordene ’robot’ og ’netværk’. Her bryder hackere sikkerheden på flere brugeres computere, hvorefter de overtager styringen af hver computer og organiserer alle de inficerede maskiner i et netværk, som den kriminelle kan fjernstyre. Som eksempel blev malwaren Mirai i 2016 brugt til at lave nogle af de største overbelastningsangreb (DDoS-angreb), der hidtil er set. Et angreb, der gjorde en række store internettjenester utilgængelige.

Phishing er en anden form for bedrageri. Her forsøger kriminelle at narre offeret til at udlevere følsomme oplysninger ved f.eks. at udgive sig for at være en myndighed. Mange phishing-mails misbruger i øjeblikket covid-19 for at øge sandsynligheden for, at modtageren læser mailen og klikker på links eller vedhæftede filer. 

”Jeg ser et stort behov for at øge cybersikkerheden. Alle former for kriminalitet er for nedadgående – undtagen cyberkriminalitet. Derfor håber jeg, at den viden, vi opbygger, vil komme alle til gode,” siger Christian D. Jensen.


Cyberkriminalitet er en industri

Den indledende kompromittering (adgang til organisationen/virksomheden gennem f.eks. phishing, red.) udføres ikke nødvendigvis af de samme aktører, som gennemfører resten af ransomware-angrebet. Der eksisterer et kriminelt undergrundsmarked, hvor cyberkriminelle bl.a. videresælger adgange til hinanden og på anden vis understøtter hinandens virke.

Det er med andre ord sjældent én aktør, men nærmere et netværk af specialiserede hackere, som står bag et målrettet ransomware-angreb.

Kilde: Center for Cybersikkerhed

Phishing

I phishing-angreb forsøger hackerne at manipulere en person til at videregive personlige oplysninger, åbne inficerede filer eller klikke på links til falske hjemmesider. 

 

Phishing distribueres ofte gennem e-mails, der sendes ud til tusindvis af modtagere, men sker også via SMS’er, sociale medier eller andre kommunikationsplatforme.

 

Ifølge sikkerhedsfirmaet Verizon, der har undersøgt tusinder af cyberangreb, leveres næsten al malware (forkortelse af malicious software) gennem en e-mail. Hele 94 procent af de hændelser, hvor en computer i 2019 blev inficeret med malware, er startet med en mail.

 

Kilde: Center for Cybersikkerhed og Verizon

Nyheder og filtrering

Få besked om fremtidige nyheder, der matcher din filtrering.