Clear Sky Science
Op bewijs gebaseerde, jargonarme uitleg

Clear Sky Science · nl

Wiskundige modellering van adaptieve informatiebeveiligingsstrategieën met samengestelde gedragsmodellen

· Terug naar het overzicht

Waarom slimmer cyberverdedigen ertoe doet

Van ziekenhuissystemen tot elektriciteitsnetten: ons leven hangt tegenwoordig af van digitale systemen die continu worden aangevallen. Criminelen en door staten gesteunde hackers gebruiken niet langer enkelvoudige, grove trucs; ze voeren lange, heimelijke campagnes die zich aanpassen zodra verdedigers reageren. Dit artikel introduceert een nieuwe manier om dat kat-en-muisspel wiskundig te modelleren, met als doel verdedigers instrumenten te geven die zich in realtime aanpassen in plaats van te steunen op vaste regels of eenmalige machine-learningmodellen.

Figure 1
Figure 1.

Beperkingen van de hedendaagse verdedigingsmuren

De meeste bestaande beveiligingsmiddelen zoeken ofwel naar bekende vingerafdrukken van eerdere aanvallen, of naar eenvoudige statistische afwijkingen in netwerkverkeer. Anderen gebruiken speltheorie of machine learning om dreigingen te voorspellen. Elk van deze benaderingen vangt slechts één aspect van de werkelijkheid: ze modelleren mogelijk de aanvaller of de verdediger, maar zelden beide tegelijkertijd, en ze veronderstellen vaak gedrag dat in de tijd weinig verandert. Een uitgebreide literatuurstudie in deze studie, met 75 onderzoeksartikelen uit 2018–2025, toonde aan dat minder dan een derde van de bestaande modellen probeert verschillende gedragspatronen te combineren, en dat slechts ongeveer een kwart echte realtime-adaptatie ondersteunt. Met andere woorden: de meeste modellen behandelen cyberconflict als statisch en eendimensionaal, terwijl echte inbraken zich over veel fasen ontvouwen en reageren op de acties van verdedigers.

Een eenduidig beeld van aanvallers en verdedigers

De auteurs stellen een samengesteld gedragsmodel voor dat vele kleinere modellen van zowel aanvallers als verdedigers verweeft tot één dynamisch geheel. Aan de zijde van de aanvaller worden stadia weergegeven zoals het scannen van een netwerk, inbreken, zijwaarts bewegen tussen systemen en het behouden van een verborgen voet aan de grond. Aan de zijde van de verdediger omvat het componenten zoals anomaliedetectie, firewallafstemming en het verschuiven van rekenmiddelen naar plekken waar ze het meest nodig zijn. Al deze onderdelen worden verbonden door wiskundige vergelijkingen die beschrijven hoe de toestand van het gehele systeem in de tijd verandert, inclusief onzekerheid en willekeurige verstoringen. Cruciaal is dat de verdediger geen perfect beeld krijgt van wat er gebeurt; in plaats daarvan ziet hij ruissignalen — zoals onvolmaakte waarschuwingen en logs — en moet afleiden wat de aanvaller waarschijnlijk doet en daar passend op reageren.

Wiskunde omzetten in bewegende verdedigingen

Om hun ideeën te testen bouwden de auteurs een gedetailleerde simulatieomgeving met gebruik van gangbare cybersecurity-datasets (NSL-KDD en UNSW-NB15) en realistische, synthetische aanvalscampagnes geïnspireerd door de "kill chain"-fasen die moderne indringers gebruiken. Aanvallen verlopen als probabilistische ketens van gebeurtenissen, met willekeurige timing en sensorgebruik om de rommelige omstandigheden van echte netwerken te imiteren. Verdedigingscomponenten gebruiken leeregels en feedbackbesturing om drempels aan te passen, verdedigingen te herconfigureren en middelen opnieuw toe te wijzen wanneer nieuw bewijs binnenkomt. Het model draait als een gesloten lus: aanvallers veranderen tactiek als reactie op verdedigingen, waarna verdedigingen zich opnieuw aanpassen, enzovoort, waardoor de onderzoekers kunnen bestuderen hoe het hele systeem zich gedraagt over vele duizenden tijdstappen.

Figure 2
Figure 2.

Wat de simulaties onthullen

Over een breed scala aan scenario’s — van eenvoudige inbraken tot complexe, langzaam bewegende campagnes tegen gesimuleerde industriële besturingssystemen — presteerde het samengestelde model consequent beter dan traditionele niet-adaptieve verdedigingen en diverse geavanceerde referentiemodellen. Het behaalde detectiepercentages rond of boven de 90 procent in omgevingen met weinig ruis en bleef ongeveer boven de 85 procent zelfs wanneer aanvallers geavanceerder werden of wanneer monitoringsgegevens sterk door ruis waren aangetast. Vergeleken met een basismodel zonder aanpassing detecteerde het meer aanvallen, reageerde het sneller op veranderingen in het aanvallersgedrag en gebruikte het rekenmiddelen efficiënter, waarbij valse alarmen werden gereduceerd zonder uit de hand lopende kosten. Statistische tests bevestigden dat deze verbeteringen niet aan toeval te wijten waren, en de interne dynamiek van het systeem bleef stabiel in plaats van in chaos te vervallen terwijl aanvallers en verdedigers op elkaar reageerden.

Wat dit betekent voor alledaagse veiligheid

Voor niet-specialisten is de kernboodschap dat cyberverdediging meer gemodelleerd kan worden als een evoluerend ecosysteem dan als een vaste muur. Door wiskundig te beschrijven hoe veel verschillende aanvallers- en verdedigingsgedragingen in de loop van de tijd op elkaar inwerken — en door rekening te houden met onzekerheid en beperkte zichtbaarheid — laat het voorgestelde kader een weg zien naar beveiligingssystemen die tijdens een aanval leren, niet alleen ervoor. Dergelijke samengestelde, adaptieve modellen zouden de basis kunnen vormen voor toekomstige hulpmiddelen die stilletjes de verdediging van een netwerk herschikken terwijl bedreigingen zich ontvouwen, waardoor kritieke diensten online en betrouwbaar blijven, zelfs wanneer tegenstanders steeds vasthoudender en vindingrijker worden.

Bronvermelding: Nuaim, A.A., Nuaim, A.A., Nadeem, M. et al. Mathematical modeling of adaptive information security strategies using composite behavior models. Sci Rep 16, 10755 (2026). https://doi.org/10.1038/s41598-026-45315-5

Trefwoorden: adaptieve cyberbeveiliging, gedragsdreigingsmodellering, aanval–verdediging dynamiek, stochastische beveiligingssystemen, inbraakdetectie