Metodi di machine learning per la cybersecurity

The cybersecurity landscape is rapidly evolving, presenting new threats every day. The constant ``arms race'' between attackers and defenders sees the former continuing to propose increasingly sophisticated and complex malicious techniques, while the latter strives to develop effective countermeasures. Despite their efforts, traditional solutions based on human analysis and manual implementations of countermeasures are no longer sufficient to keep pace with the speed, complexity, and variety of the latest cyber attacks and new technologies. It becomes crucial to integrate some form of automatic mechanism into defensive processes that can support cyber defenders in their operations. In this regard, methods and models based on machine learning techniques have emerged as a possible response to these needs. Their introduction into various defensive processes is justified by the fact that such models can make the most of the vast amount of data made available by systems and networks, extracting meaningful patterns that can automate many decision-making activities. However, numerous open issues persist that limit the application of machine learning techniques in realistic contexts. This thesis identifies and analyzes these problems, presenting innovative machine learning-based solutions for various important aspects in current cybersecurity. Specifically, techniques are proposed for automating penetration testing and vulnerability assessment, classifying phishing kits, and detecting network intrusions. For the latter topic, special attention is paid to issues related to adversarial attacks, not only from an offensive but also from a defensive perspective. It is important to emphasize that the approach adopted in this thesis is to always take into account the constraints imposed by the solution's application domain. This aspect is often ignored in the scientific literature, but is crucial for developing proposals that can be implemented in realistic scenarios. Furthermore, each of them is validated through an extensive experimental campaign supported by real data. The results enhance and refine previous proposals in the scientific literature. For these reasons, it can be confirmed that the solutions described in this thesis provide a significant contribution to integrating and supporting defensive processes in real-world contexts.

Il panorama della cybersecurity è in rapida evoluzione ed ogni giorno presenta nuove minacce. La costante "corsa alle armi" di attaccanti e difensori vede i primi continuare a proporre tecniche malevole sempre più sofisticate e complesse, mentre i secondi cercano di sviluppare contromisure efficaci. Nonostante gli sforzi di questi ultimi, le tradizionali soluzioni basate su analisi umane ed implementazioni manuali delle contromisure non sono più sufficienti per tenere il passo con la velocità, la complessità e la varietà dei più moderni attacchi cyber e delle nuove tecnologie. Diventa quindi fondamentale integrare nei processi difensivi qualche sorta di meccanismo automatico che sia in grado di supportare i cyber difensori nelle loro operazioni. In questo senso, metodi e modelli basati su tecniche di machine learning si sono affermati come possibile risposta a queste necessità. La loro introduzione in diversi processi difensivi è giustificata dal fatto che tali modelli sono in grado di sfruttare al meglio la grande quantità di dati messa a disposizione dai moderni sistemi e reti, estraendo da essi pattern significativi che possono automatizzare molte attività di decision making. Tuttavia, nonostante il loro successo, rimangono numerosi problemi aperti che limitano l'applicazione di tecniche di machine learning in contesti realistici. Questa tesi identifica e analizza tali problemi, e presenta soluzioni innovative basate su machine learning per diversi aspetti di estrema importanza nell'attuale cybersecurity. In dettaglio, vengono proposte tecniche per l'automazione di attività di penetration testing e vulnerability assessment, per la classificazione di phishing kit e per il rilevamento di intrusioni di rete. Per quest'ultimo tema, inoltre, si pone particolare attenzione a problemi relativi ad adversarial attack, non solo dal punto di vista offensivo, ma anche da quello difensivo. È importante sottolineare che l'approccio seguito in questa tesi è quello di tenere sempre in considerazione i fondamentali vincoli imposti dal dominio di applicazione della soluzione. Questo aspetto è spesso ignorato dalla letteratura scientifica, ma risulta essenziale per lo sviluppo di proposte che possano essere attuate scenari realistici. Per di più, ognuna di esse è validata tramite una estesa campagna sperimentale supportata da dati reali. I risultati migliorano e perfezionano precedenti proposte nella letteratura scientifica. Alla luce di ciò, è possibile confermare che le soluzioni descritte in questa tesi siano in grado di fornire un importante contributo per integrare e supportare processi difensivi in contesti reali.