Mutaties in DNS-registers monitoren met een ensemble-raamwerk voor anomaliedetectie

Een verkenning van hoe machine learning kan worden ingezet om verdacht registergedrag te detecteren

Microchip met een verlicht hersensymbool op een elektronische printplaat.

Elke dag verwerken DNS-registry's grote aantallen wijzigingen in domeinen, nameservers, delegatierecords en DNSSEC-configuraties. In verreweg de meeste gevallen gaat het om routinematige operationele wijzigingen die helpen om het internet goed te laten functioneren. Het blijft echter lastig om de kleine groep wijzigingen te herkennen die mogelijk extra aandacht verdienen.

Deze uitdaging wordt met name interessant nu operationele omgevingen zich steeds verder blijven ontwikkelen. In tal van sectoren stappen organisaties in toenemende mate over op gedistribueerde, in de cloud geïntegreerde en extern beheerde diensten om hun schaalbaarheid, flexibiliteit en operationele efficiëntie te vergroten. Soortgelijke moderniseringen zijn ook waar te nemen binnen de DNS-sector. SIDN heeft bijvoorbeeld discussies gevoerd over de voortdurende modernisering van het .nl-registratiesysteem en het gebruik van hybride cloudarchitecturen als onderdeel van de langetermijnstrategie voor de infrastructuur. Ook elders zijn dergelijke ontwikkelingen zichtbaar. DNS België migreerde zijn domeinregistratieplatform in 2017 naar een hyperscaler en heeft sindsdien plannen aangekondigd om kritieke registrydiensten over te zetten naar een Europese cloudprovider, wat de veranderende rol van cloudinfrastructuur in moderne infrastructuurimplementaties illustreert.

Hoewel zulke ontwikkelingen belangrijke operationele voordelen bieden, vergroten ze ook de complexiteit van operationele workflows. Moderne registryprocessen draaien in toenemende mate om API's, automatiseringsplatformen en interacties tussen meerdere systemen. Daardoor wordt het steeds belangrijker om te kunnen beoordelen of een bepaalde registermutatie verwacht is of juist ongebruikelijk.

Die constatering vormde het uitgangspunt van mijn masteronderzoek. In plaats van te kijken naar hoe aanvallen een systeem binnendringen, richt het onderzoek zich op de vraag of machine learning kan helpen bij het identificeren van verdachte mutaties in het DNS-register voordat ze onderdeel worden van de autoritatieve DNS-zone.

Van preventie naar detectie

DNS-registry's hanteren al een breed scala aan beveiligings- en operationele maatregelen om de integriteit van de gegevens in het register te beschermen en ervoor te zorgen dat registratieprocessen correct en soepel verlopen.

Deze mechanismen zijn echter in de eerste plaats bedoeld om te verifiëren of wijzigingen geldig, geautoriseerd en in overeenstemming met de operationele procedures zijn. Ze zijn meestal niet ontworpen om te bepalen of een wijziging afwijkt van het gebruikelijke patroon wanneer ernaar wordt gekeken in de context van historische gedragspatronen, onderlinge relaties binnen de infrastructuur en mutatiepatronen in het registry-ecosysteem.

Stel dat een kwaadwillige mutatie technisch gezien geldig is, via een legitiem account is ingediend en in alle opzichten voldoet aan de operationele procedures. Vanuit operationeel oogpunt is er misschien geen enkele directe aanwijzing dat er iets mis is. Toch kan de wijziging onbedoelde gevolgen hebben die mogelijk leiden tot downtime of een aanvaller in staat stellen het verkeer voor dat domein te onderscheppen.

Het onderzoek dat in deze blog wordt beschreven, verkent of machine learning een extra zichtbaarheidslaag kan bieden door te leren hoe normaal registergedrag eruitziet en mutaties te signaleren die van die patronen afwijken voordat ze onderdeel worden van de autoritatieve DNS-zone. Het doel is niet om bestaande maatregelen te vervangen, maar om ze aan te vullen met gedragsmonitoring die kan helpen om mogelijk verdachte wijzigingen te prioriteren voor verdere analyse.

Inzicht in het dreigingslandschap

Een van de grootste uitdagingen aan het begin van het onderzoek was vaststellen hoe verdacht gedrag binnen een DNS-register er eigenlijk uitziet. Er zijn namelijk vrijwel geen openbare datasets beschikbaar met voorbeelden van verdachte of kwaadaardige registermutaties.

Om dat tekort te ondervangen, ontwikkelde ik op basis van wetenschappelijke literatuur, interne dreigingsanalyses en gesprekken met experts een verzameling dreigingsscenario's. Deze scenario's beschrijven uiteenlopende misbruikpatronen rond DNS-registers, waaronder ongeautoriseerde delegatiewijzigingen, manipulatie van glue records, misbruik van DNSSEC, compromittering van registrars en gecoördineerde aanvallen waarbij meerdere domeinen betrokken zijn.

Hoewel deze scenario's technisch van elkaar verschillen, hebben ze ook een belangrijke overeenkomst: uiteindelijk leiden ze allemaal tot ongebruikelijke wijzigingen in registergegevens. Die constatering is terug te zien in het ontwerp van het raamwerk. In plaats van te focussen op specifieke aanvalstechnieken, richt het zich op het herkennen van verdachte toestandsveranderingen en gedragspatronen.

Figuur 1 geeft een overzicht van het voorgestelde raamwerk voor anomaliedetectie. Op basis van registermutatiegegevens combineert de pijplijn feature engineering, graafconstructie, anomaliedetectie en uitlegbaarheidscomponenten om mutaties te identificeren die nader onderzoek vereisen.

Overzicht van het voorgestelde raamwerk voor anomaliedetectie

Figuur 1: Overzicht van het voorgestelde raamwerk voor anomaliedetectie. Het proces begint met datasampling van registermutaties en toestandsreconstructie, gevolgd door feature-extractie en de constructie van een DNS-graaf. Daarna genereren Isolation Forest en GraphSAGE complementaire anomaliescores, die worden samengevoegd in een ensemble-beslislaag en vergeleken met een drempelwaarde om afwijkende gebeurtenissen te identificeren. In de laatste fase worden uitlegbare meldingen gegenereerd om analisten te ondersteunen bij het onderzoeken van verdachte mutaties in het DNS-register.

Combinatie van 2 perspectieven

Een belangrijke constatering tijdens het onderzoek was dat de gegevens in een DNS-register van nature relationeel zijn. Registermutaties staan niet op zichzelf: er zijn meerdere onderling verbonden entiteiten bij betrokken.

Wanneer deze entiteiten afzonderlijk worden bekeken, lijken ze vaak volkomen normaal. De relaties tussen die entiteiten kunnen echter patronen blootleggen die met uitsluitend traditionele, featuregebaseerde benaderingen moeilijk te herkennen zijn.

Dat inzicht leidde tot de keuze voor graafgebaseerd representatieleren. Het registry-ecosysteem werd gemodelleerd als een heterogene graaf met domeinen, nameservers, registrars, IP-subnetten en DNSSEC-gerelateerde entiteiten, die via hun operationele relaties met elkaar zijn verbonden.

Tegelijkertijd liet het onderzoek zien dat sommige anomalieën beter zichtbaar zijn via gedragsmatige en statistische signalen dan alleen via relaties binnen de infrastructuur. Dat was uiteindelijk de aanleiding voor een ensemble-benadering waarin een graafneuraal netwerk (GNN) werd gecombineerd met een isolation forest (IF). Door deze complementaire perspectieven te combineren, kan het raamwerk zowel relationele als gedragsmatige anomalieën identificeren die mogelijk nader onderzoek verdienen. Figuur 2 laat zien hoe het graafneurale netwerk en de isolation forest elkaar aanvullen bij de analyse van de geëvalueerde aanvalsscenario's.

Relatie tussen GNN en isolatiebos-anomaliescores

Figuur 2: Relatie tussen GNN- en IF-anomaliescores. De spreiding van de punten maakt duidelijk dat hoge anomaliescores in het ene model niet altijd overeenkomen met hoge scores in het andere. Dat wijst erop dat beide modellen verschillende aspecten van afwijkend gedrag in kaart brengen. Deze complementaire werking vormt de onderbouwing voor hun combinatie binnen het ensemble-raamwerk.

Zoals Figuur 2 laat zien, brengen de 2 modellen niet exact dezelfde anomaliepatronen in kaart. Dit vormt een sterke onderbouwing voor de combinatie van beide benaderingen binnen één ensemble-raamwerk.

De resultaten van beide modellen worden samengevoegd tot één enkele anomaliescore, zoals te zien is in Figuur 1, fase 4 (Decision Layer). Dankzij deze ensemble-benadering biedt het raamwerk zowel een relationeel perspectief als een perspectief op featureniveau, waardoor een bredere dekking van anomalieën wordt bereikt dan met elk model afzonderlijk.

Wanneer verdachte activiteit normaal lijkt

Verdeling van ensemble-anomaliescores met synthetische aanvalsmarkers

Figuur 3: Verdeling van de anomaliescores van het ensemblemodel, met markeringen voor de synthetische aanvallen. De zwarte lijn geeft de anomaliedrempel aan. De rode markering hoort bij het glue-manipulatiescenario. De score ligt dicht bij de beslisgrens, wat benadrukt hoe lastig het is om subtiele aanvallen op infrastructuurniveau te detecteren. De groene markeringen horen bij aanvalsscenario's die steevast hoge anomaliescores krijgen en daardoor duidelijk afwijken van normaal registergedrag.

Figuur 3 toont de door het raamwerk gegenereerde verdeling van de anomaliescores, samen met de geïnjecteerde aanvalsscenario's. De meeste aanvallen wijken duidelijk af van normale registermutaties en zijn te vinden tussen de waarnemingen met de hoogste scores.

Eén resultaat sprong er echter uit. Manipulatie van glue records bleek aanzienlijk moeilijker te detecteren dan alle andere geïmplementeerde aanvalsscenario's. Zoals te zien is in Figuur 3, clusteren de meeste aanvalsscenario's rond de hoogste anomaliescores (groene verticale lijnen), terwijl het glue-manipulatiescenario veel dichter bij normaal operationeel gedrag blijft (rode verticale lijn).

In tegenstelling tot veel aanvallen die de relaties tussen domeinen, nameservers en infrastructuur ingrijpend veranderen, kan manipulatie van glue records een groot deel van de omringende DNS-structuur intact laten. Domeinen blijven verwijzen naar dezelfde nameservers, registrars veranderen niet en ook DNSSEC-relaties kunnen onaangetast blijven. Vanuit het perspectief van de graaf lijkt er daardoor relatief weinig te veranderen.

Tegelijkertijd zijn wijzigingen in de nameserverinfrastructuur niet ongebruikelijk bij legitieme registeractiviteiten. Kwaadaardige aanpassingen aan glue records kunnen daardoor veel weg hebben van normale beheersactiviteiten. Enkel op basis van gedragsmatige en structurele signalen zijn ze dan ook moeilijk te onderscheiden van onschuldige wijzigingen.

Deze bevinding vestigt de aandacht op een belangrijke les: de moeilijkst te detecteren anomalieën zijn niet altijd de meest ontwrichtende of complexe. In de praktijk vormen juist aanvallen die sterk lijken op legitiem operationeel gedrag een van de grootste uitdagingen voor anomaliedetectiesystemen. Hoewel deze bevinding de beperkingen van anomaliedetectie aangeeft, bieden extra – al bestaande en geïmplementeerde – beveiligingsmechanismen zoals DNSSEC complementaire beschermingslagen die de kans op en impact van een geslaagde aanval helpen verkleinen.

Een nieuw perspectief op het monitoren van DNS-registers

De resultaten laten zien dat verdachte mutaties in DNS-registers kunnen worden gedetecteerd via gedragsmatige en relationele analyse, zelfs als er geen gelabelde aanvalsgegevens beschikbaar zijn. Door een evaluatie op basis van een dreigingsmodel te combineren met unsupervised machine learning, was het raamwerk in staat om het merendeel van de geïmplementeerde aanvalsscenario's consistent te herkennen en te prioriteren.

Een belangrijke constatering was het complementaire karakter van de ensemble-architectuur. Het graafneurale netwerk bracht relaties tussen domeinen, nameservers en infrastructuur in kaart, terwijl de isolation forest gevoelig was voor gedragsmatige en statistische afwijkingen. Samen zorgden deze 2 perspectieven voor een bredere anomaliedekking dan met elk van beide benaderingen afzonderlijk.

Het onderzoek benadrukte ook het belang van uitlegbaarheid binnen kritieke-infrastructuuromgevingen. Een verdachte mutatie signaleren is maar een deel van de uitdaging – beheerders moeten ook begrijpen waarom een mutatie als verdacht is aangemerkt, zodat ze gericht onderzoek kunnen uitvoeren en onderbouwde operationele beslissingen kunnen nemen.

Misschien wel de belangrijkste uitkomst van dit onderzoek is het concept van een vroegtijdig gedragsgericht risicofilter. In plaats van bestaande beveiligingsmaatregelen te vervangen, introduceert het raamwerk een aanvullende zichtbaarheidslaag die het mutatiegedrag beoordeelt voordat wijzigingen worden opgenomen in autoritatieve DNS-zones.

Toekomstig onderzoek zou zich kunnen richten op dynamische technieken voor graafgebaseerd leren, de integratie van aanvullende operationele context zoals passieve DNS- en BGP-gegevens, en complementaire DNSSEC-validatiemechanismen. In bredere zin laat dit onderzoek zien hoe graafgebaseerde machine learning en gedragsanalyse bestaande beveiligingspraktijken binnen registry's kunnen versterken en meer inzicht kunnen geven in complexe relaties binnen DNS-infrastructuren.

Al met al laat het onderzoek zien dat gedragsmatige anomaliedetectie een levensvatbare benadering is voor het monitoren van mutaties in een DNS-register. Het voorgestelde raamwerk detecteerde met succes 6 van de 7 geïmplementeerde aanvalsscenario's uit het dreigingsmodel. Daarmee blijkt dat machine learning zinvolle aanvullende inzichten kan bieden in verdachte registeractiviteiten. Hoewel dit onderzoek is uitgevoerd op basis van synthetische data, zijn we van mening dat de inzichten die eruit zijn voortgekomen ook waardevol zijn voor operationele systemen. Het raamwerk is niet bedoeld als vervanging van bestaande beveiligingsmaatregelen, maar als een extra laag in de verdedigingsstrategie die helpt om potentieel risicovolle mutaties te signaleren voordat ze worden opgenomen in autoritatieve DNS-zones. De experimentele evaluatie werd uitgevoerd op ongeveer 24.000 registermutaties met behulp van slechts één GPU. Dit suggereert dat de benodigde rekenkracht beheersbaar is en dat near-real-time implementatie binnen de bestaande publicatieworkflows van registry's haalbaar lijkt. Wel is verder onderzoek op basis van volledige datasets van registry's nodig om de schaalbaarheid en operationele prestaties bij toepassing op de schaal van een volledige registry te kunnen beoordelen. Toekomstig onderzoek zou ook moeten kijken naar mechanismen die het raamwerk in staat stellen zich aan te passen aan veranderend registergedrag, bijvoorbeeld via incrementeel leren, periodieke modelupdates of dynamische graafgebaseerde leermethoden. Daarmee neemt de noodzaak voor frequente hertraining in continu veranderende DNS-omgevingen af, zonder dat dit ten koste gaat van de effectiviteit van de detectie.