Door onze website te bezoeken, gaat u akkoord met onze privacybeleid met betrekking tot cookies, trackingstatistieken, enz.

AI in cyberdefensie

Hoe AI cyberdefensie verandert gedurende de levenscyclus van cyberincidenten

Home
AI in cyberdefensie
AI in cyberaanvallen

Cyberdefensie heeft tot doel systemen, netwerken en gegevens te beschermen tegen infiltratie, verstoring of vernietiging. De cyberincident-levenscyclus biedt een handige manier om cyberdefensie te begrijpen, door deze op te splitsen in vier fasen:

  • Preventie: het voorkomen en verminderen van het risico op incidenten en het minimaliseren van de mogelijke gevolgen daarvan.
  • Paraatheid: het ontwikkelen van plannen, instrumenten en capaciteiten om een effectieve respons te ondersteunen.
  • Antwoord: het incident indammen en verdere schade voorkomen.
  • Herstel: snelle hersteloperaties en terugkeer naar een normaal of sterker beveiligingsniveau.

 

Kunstmatige intelligentie (AI) is in alle vier de fasen relevant geworden. In tegenstelling tot traditionele tools die perfect in één stap passen, overschrijden veel AI-mogelijkheden de levenscyclus: dezelfde techniek die paraatheid ondersteunt, kan ook een snellere respons mogelijk maken of herstel bevorderen. Deze integratie maakt AI zowel krachtig als moeilijk te classificeren: de waarde ervan ligt niet alleen in het verbeteren van individuele taken, maar ook in het naadloos met elkaar verbinden van de fasen.

Preventie

Paraatheid

Reactie

Herstel

In kaart brengen van het aanvalsoppervlak

Code scannen

Samenvatting van gegevens

Gegevensclassificatie

Detectie van afwijkingen

Schrijven en analyseren

Synthetische gegevens

Identiteits- en toegangsbeheer

Identiteits- en toegangsbeheer

Logboekanalyse

Malware-analyse

Training en laboratoria

Training en laboratoria

In de volgende paragrafen bekijken we concrete AI-toepassingen voor cyberdefensie en laten we zien hoe deze zich verhouden tot verschillende fasen van de incidentcyclus en in veel gevallen meerdere fasen tegelijk bestrijken.

In kaart brengen van het aanvalsoppervlak

Attack surface mapping identificeert alle activa, toegangspunten en kwetsbaarheden die een aanvaller zou kunnen misbruiken bij een aanval. Het biedt verdedigers inzicht in hun blootstelling en helpt bij het prioriteren van wat er beveiligd moet worden.

Hoe AI het in kaart brengen van aanvalsoppervlakken verandert:

AI transformeert het in kaart brengen van aanvalsoppervlakken door grootschalige scans van netwerken en activa te automatiseren, waardoor de handmatige inspanning drastisch wordt verminderd. Met geavanceerde patroonherkenning kan het verborgen of vergeten eindpunten detecteren die met traditionele methoden vaak over het hoofd worden gezien. AI-systemen kunnen kaarten continu bijwerken naarmate infrastructuren evolueren, waardoor blinde vlekken worden verminderd en verdedigers een nauwkeurig, realtime beeld van hun omgeving behouden.
Preventie. Vermindert blootstellingen voordat aanvallers er misbruik van maken.
Paraatheid. Houdt een actueel overzicht bij van de infrastructuur voor incidentplanning.

Uitgelicht geval: gebruik van LLMs voor het opsporen van activa in kritieke infrastructuur

In 2025, Luigi Coppolino e.a. een studie gepubliceerd waarin wordt aangetoond hoe grote taalmodellen (LLM's) het opsporen van activa in kritieke infrastructuren kunnen verbeteren. Traditionele tools zoals Nmap of industriële beveiligingsplatforms lopen het risico gevoelige systemen te verstoren door actieve scans, of slagen er niet in verborgen apparaten te detecteren wanneer ze alleen op passieve monitoring vertrouwen.

De onderzoekers stelden een op LLM gebaseerd “Mixture of Experts”-raamwerk voor dat gegevens combineert uit passieve verkeersobservatie, zorgvuldig beperkte actieve sondering en fysieke signalen zoals elektromagnetische emissies. Gespecialiseerde LLM-agenten interpreteren vervolgens deze gegevens: de ene richt zich op industriële protocollen, de andere op kwetsbaarheden in IT/OT-netwerken en weer een andere op systeemarchitectuur en afhankelijkheden.

Het systeem kan ook gebruikmaken van externe informatiebronnen (zoals MITRE ATT&CK- of CVE-databases) om zwakke plekken te identificeren en beveiligingsmaatregelen aan te bevelen. In tests op een gesimuleerd industrieel netwerk heeft het met succes activa zoals programmeerbare logische controllers, robotarmen en printers geclassificeerd, terwijl het onveilige praktijken zoals niet-versleuteld Modbus-verkeer heeft gemarkeerd.

Een dergelijke aanpak maakt van het in kaart brengen van het aanvalsoppervlak een adaptief en contextbewust proces dat realtime zichtbaarheid biedt en de risico's van traditionele scans vermindert. Door de technische barrières voor verdedigers te verlagen, maakt het een uitgebreidere monitoring mogelijk en versterkt het de algehele beveiligingspositie van kritieke infrastructuur.

Meer lezen
  • Impact van AI op dreigingsdetectie - "AI voor defensie" (Donnie W. Wendt 2024)
    Het hoofdstuk laat zien hoe AI de detectie en triage van bedreigingen heeft verbeterd, waarbij machine learning-modellen enorme hoeveelheden heterogene gegevens verwerken om potentiële aanvallen te identificeren. De resultaten laten zien hoe vroege toepassingen in de jaren 2000-2010 zich richtten op malware, inbraak en spamdetectie, wat de kracht van AI aantoont bij het analyseren van grote datasets en het verbeteren van bestaande detectiesystemen, terwijl de al lang bestaande cyberbeveiligingsfuncties stapsgewijs worden verbeterd.
  • Detectie van bedreigingen van de volgende generatie - "Een revolutie in cyberbeveiliging: de kracht van kunstmatige intelligentie en machine learning ontketenen" (Manoharan & Sarker 2022)
    Het artikel laat zien hoe AI en machine learning een revolutie teweegbrengen in de detectie van bedreigingen, waardoor organisaties afwijkingen kunnen opsporen, gedragspatronen kunnen analyseren en potentiële aanvallen kunnen voorspellen. De resultaten laten zien hoe technieken zoals NLP voor het extraheren van dreigingsinformatie en deep learning voor patroonherkenning de detectie en respons kunnen automatiseren, terwijl praktijkcases de effectiviteit ervan bevestigen.

Code scannen en evalueren

Code scanning controleert broncode om kwetsbaarheden, onveilige bibliotheken of slechte beveiligingspraktijken op te sporen voordat ze kunnen worden misbruikt.

Hoe AI het scannen en evalueren van code verandert:

AI versnelt het opsporen van kwetsbaarheden door onveilige functies te markeren en risicovolle coderingspatronen te identificeren die zijn geleerd uit eerdere exploits. Het biedt ook geautomatiseerde suggesties voor herstelmaatregelen, waardoor ontwikkelaars worden ondersteund bij het schrijven van veiligere code en de kansen voor aanvallers worden verkleind.

Preventie. Verhelpt zwakke punten voordat aanvallers ze ontdekken.
Paraatheid. Versterkt de basisbeveiliging voor incidentparaatheid.

Uitgelicht geval: gebruik van LLMs voor het scannen van code en veilige ontwikkeling

In 2025, Belozerov et al. onderzocht hoe grote taalmodellen veilige coderingspraktijken kunnen ondersteunen. In hun onderzoek testten ze ChatGPT aan de hand van de DevGPT-dataset, die echte ontwikkelaarscode bevatte naast bekende kwetsbaarheden die door statische scanners waren gesignaleerd. Van de 32 bevestigde kwetsbaarheden detecteerde ChatGPT er 18 correct en stelde het zelfs oplossingen voor voor 17 daarvan.

De resultaten laten zien hoe AI de handmatige inspanning bij het beoordelen van code kan verminderen, kan helpen bij het triëren van risicovolle coderingspatronen en geautomatiseerde suggesties voor herstel kan bieden. Dit biedt mogelijkheden om veilige coderingspraktijken op te schalen en de tijdspanne waarin kwetsbaarheden kunnen worden misbruikt te verkorten.

Tegelijkertijd benadrukte het onderzoek belangrijke beperkingen: ChatGPT produceerde af en toe overmoedige maar onjuiste resultaten, introduceerde nieuwe fouten bij pogingen tot correcties en was minder betrouwbaar dan statische analyse of beoordeling door menselijke experts. Een belangrijke conclusie uit dit onderzoek is dat AI een krachtige assistent kan zijn bij code-evaluatie, maar alleen in combinatie met traditionele tools en goed toezicht.

Meer lezen
  • Geautomatiseerde codereview - "Een overzicht van de toepassing van AI voor cyberbeveiliging: kansen, risico's en mitigatiestrategieën" (Ndibe & Ufomba 2024)
    Het artikel laat zien hoe AI en grote taalmodellen automatische codebeoordelingen en kwetsbaarheidsanalyses kunnen ondersteunen, waardoor organisaties proactief zwakke plekken in broncode kunnen opsporen en responstijden kunnen verkorten. De resultaten wijzen ook op risico's, zoals onveilige door AI gegenereerde code, wat de noodzaak van menselijk toezicht en governancekaders onderstreept.
  • Interpreteerbare deep learning voor het opsporen van kwetsbaarheden - "Kwetsbaarheidsdetectie met gedetailleerde interpretaties" (Li et al. 2021)
    Dit artikel presenteert IVDetect, een deep learning-model dat kwetsbaarheden in codes detecteert en de specifieke statements en afhankelijkheden aanwijst die hiervoor verantwoordelijk zijn. IVDetect verbetert de nauwkeurigheid ten opzichte van de meest geavanceerde tools en biedt gedetailleerde uitleg. De bevindingen tonen aanzienlijke verbeteringen in detectieprestaties en een nauwkeurigere identificatie van kwetsbare code, wat zowel geautomatiseerde analyse als herstel door ontwikkelaars ondersteunt.
  • Detectie van kwetsbaarheden in meertalige code - "Detectie van kwetsbaarheden in code in verschillende programmeertalen met AI-modellen" (Humran & Sonmez 2025)
    Dit artikel onderzoekt op transformatoren gebaseerde modellen, waaronder CodeBERT en CodeLlama, voor het opsporen van kwetsbaarheden in meerdere programmeertalen. Door fijnafstemming op diverse datasets leggen de modellen zowel syntaxis als semantiek vast, waarmee een nauwkeurigheid tot 97% wordt bereikt. De studie maakt ook gebruik van ensemble-methoden en verklaarbare AI om het aantal valse positieven te verminderen en het vertrouwen van ontwikkelaars te vergroten. Het toont aan dat AI-modellen beter presteren dan traditionele statische analysers in cross-language settings, hoewel er nog uitdagingen zijn op het gebied van robuustheid, precisie en implementatiegereedheid.

Samenvatting van gegevens

Gegevenssamenvatting condenseert grote hoeveelheden technische gegevens (bijvoorbeeld logboeken, rapporten en dreigingsinformatie) tot toegankelijke inzichten.

Hoe AI de samenvatting van gegevens verandert:

AI vermindert cognitieve overbelasting door ruwe en ongestructureerde informatie om te zetten in bruikbare informatie. Het kan terugkerende patronen of afwijkingen in gefragmenteerde datasets identificeren. Het kan ook rapporten in gewone taal genereren voor niet-specialisten. AI maakt informatie dus gemakkelijker te verwerken, te communiceren en om op te handelen.

Paraatheid. Helpt bij het verwerken van dreigingsinformatie en het effectiever plannen.
Reactie. Stroomlijnt het situationeel bewustzijn in realtime.
Herstel. Maakt samenvattingen en rapporten voor geleerde lessen.

Uitgelicht geval: AI voor logboekoverzichten en situationeel bewustzijn

In 2024, Balasubramanian et al. introduceerde CYGENT, een conversatieagent op basis van GPT-3 die systeemlogboeken kan analyseren en samenvatten. In plaats van dat analisten duizenden ruwe logboekvermeldingen moeten doorzoeken, vat CYGENT deze samen tot korte, voor mensen leesbare outputs waarin belangrijke gebeurtenissen en afwijkingen worden gemarkeerd.

In evaluaties presteerde CYGENT beter dan andere grote taalmodellen bij het produceren van duidelijke en bruikbare samenvattingen. Het systeem verminderde cognitieve overbelasting, ondersteunde het situationeel bewustzijn tijdens live incidenten en maakte snellere besluitvorming mogelijk.

Dit geval illustreert hoe AI ruwe, technische gegevens kan omzetten in toegankelijke informatie. Door logbestanden gemakkelijker te interpreteren te maken, helpt het verdedigers om zich effectiever voor te bereiden, sneller te reageren en na incidenten beter te herstellen met betere documentatie.

Meer lezen

Gegevensclassificatie

Gegevensclassificatie organiseert informatie op basis van de gevoeligheid of nalevingsvereisten ervan, zodat kritieke activa de juiste bescherming krijgen.

Hoe AI de gegevensclassificatie verandert:

AI maakt gebruik van natuurlijke taalverwerking om gevoelige inhoud automatisch te taggen en op grote schaal verkeerd geclassificeerde of blootgestelde gegevens te detecteren.

Preventie. Vermindert onbedoelde blootstelling van gevoelige gegevens.
Paraatheid. Ondersteunt naleving.

Uitgelichte casus: AI voor classificatie van gevoelige gegevens

In 2024, De Renzis et al. onderzocht hoe grote taalmodellen kunnen worden gebruikt om de classificatie van gevoelige informatie te verbeteren. Een belangrijke uitdaging op dit gebied is dat echte persoonsgegevens vanwege privacyrisico's niet altijd kunnen worden gebruikt voor training. De auteurs stelden voor om synthetische trainingsgegevens te genereren die nog steeds de patronen van gevoelige categorieën weerspiegelen, zoals gezondheid, politiek of religie.

Hun aanpak maakte het mogelijk om nauwkeurige classifiers te trainen zonder daadwerkelijke gebruikersgegevens bloot te geven, waarmee werd aangetoond hoe AI organisaties kan helpen om te voldoen aan regelgeving zoals de AVG en tegelijkertijd hun vermogen om gevoelige informatie te detecteren en te beschermen te vergroten. Dit voorbeeld illustreert hoe AI zowel preventie (door het verminderen van onbedoelde blootstelling van gegevens) als paraatheid (door het ondersteunen van compliancekaders) versterkt. Tegelijkertijd onderstreept het het belang van governance en validatie om ervoor te zorgen dat synthetische gegevens en de daaruit voortvloeiende modellen representatief en betrouwbaar blijven.

Meer lezen
  • Transformatorgebaseerde tagging van GDPR-categorieën - "Automatische detectie van gevoelige gegevens met behulp van op transformatoren gebaseerde classifiers" (Petrolini et al. 2022)
    Deze studie past AI-modellen toe om automatisch gevoelige tekst te markeren, onder meer op het gebied van politiek, gezondheid, religie en seksualiteit, binnen grote documentverzamelingen. Het toont aan dat op transformatoren gebaseerde benaderingen dergelijke gegevens op betrouwbare wijze kunnen classificeren, waardoor naleving van de AVG wordt ondersteund en grootschalige en geautomatiseerde labeling voor nalevingsgerichte gegevensclassificatie mogelijk wordt.
  • Semantische analyse voor geautomatiseerde detectie van gevoelige gegevens - "Geautomatiseerde identificatie van gevoelige gegevens op basis van impliciete gebruikersspecificaties (S3)" (Yang & Liang 2018)
    Dit artikel introduceert S3, een systeem dat gevoelige gegevens in mobiele apps identificeert door semantiek te analyseren in plaats van te vertrouwen op trefwoorden. Door de privacyvoorkeuren van gebruikers te leren, bereikt het een hogere nauwkeurigheid dan traditionele tools, wat illustreert hoe AI gegevensclassificatie kan aanpassen aan de praktijk. De studie benadrukt dat de gevoeligheid van informatie afhankelijk is van zowel de context van de toepassing als de voorkeur van de gebruiker, en dat effectieve bescherming in het cloudtijdperk vereist dat dergelijke gegevens eerst kunnen worden geïdentificeerd.

Detectie van afwijkingen in eindpunten of netwerken

Anomaliedetectie controleert eindpunten en netwerkverkeer op ongebruikelijk gedrag dat kan wijzen op een inbreuk.

Hoe AI de detectie van afwijkingen in eindpunten en netwerken verandert:

AI leert hoe normale activiteiten eruitzien en signaleert afwijkingen die kunnen wijzen op kwaadwillige activiteiten. In tegenstelling tot op handtekeningen gebaseerde systemen kan het subtielere inbraken detecteren die aan traditionele detectie ontsnappen. AI maakt een snellere en effectievere respons op incidenten mogelijk door waarschuwingen te prioriteren en het aantal valse positieven te verminderen.

Paraatheid. Stelt basisnormen vast voor normale activiteiten.
Reactie. Detecteert afwijkingen in realtime om aanvallen te signaleren en in te dammen.

Uitgelicht geval: gebruik van AI voor het opsporen van afwijkingen in kritieke systemen

In 2024, Nwoye en Nwagwughiagwu onderzocht hoe AI-gestuurde anomaliedetectie de cyberdefensie op eindpunten en netwerken zou kunnen verbeteren. Met behulp van machine learning-modellen die zijn getraind op normale patronen van systeemgedrag en netwerkverkeer, konden ze met hun aanpak subtiele afwijkingen identificeren die traditionele, op handtekeningen gebaseerde systemen zouden missen, waaronder bijvoorbeeld vroege tekenen van bedreigingen van binnenuit en datalekken.

De studie presenteerde praktijkvoorbeelden uit kritieke sectoren, waaruit bleek dat AI-gebaseerde anomaliedetectie de responstijden verkortte en de bedrijfscontinuïteit hielp handhaven door verdachte activiteiten te signaleren voordat deze ernstige schade veroorzaakten. De auteurs erkenden ook de uitdagingen, waaronder valse positieven en de noodzaak van transparantie in complexe AI-modellen. Deze casus laat zien hoe AI bijdraagt aan zowel paraatheid (door baselines van normale activiteiten vast te stellen) als respons (door afwijkingen in realtime te detecteren en te prioriteren).

Meer lezen
  • Op GAN gebaseerde anomaliedetectie - "TadGAN: Detectie van afwijkingen in tijdreeksen met behulp van generatieve adversarial networks" (Geiger et al. 2020)
    Dit artikel presenteert TadGAN, een onbegeleid kader dat cyclusconsistente GAN's toepast om afwijkingen in tijdreeksgegevens te detecteren. Door reconstructiefouten te combineren met kritieke outputs genereert TadGAN betrouwbare afwijkingsscores en vermindert het het aantal valse positieven. Getest op 11 benchmarkdatasets uit verschillende domeinen presteerde het consequent beter dan de meest geavanceerde methoden. De studie toont aan hoe GAN's de detectie van subtiele temporele afwijkingen in diverse real-world systemen kunnen verbeteren.
  • Machine learning voor het detecteren van afwijkingen in infrastructuur - "AI Defenders: Machine Learning Driven Anomaly Detection in Critical Infrastructures" (Nebebe et al. 2024)
    Dit artikel vergelijkt machine learning-modellen voor het detecteren van afwijkingen in kritieke infrastructuur, waarbij gebruik wordt gemaakt van tijdreeksgegevens van een hydraulische systeemsimulator. Het maakt onderscheid tussen puntsgewijze afwijkingen (enkele uitschieters) en contextuele afwijkingen (afwijkingen die alleen in de context zichtbaar zijn) en vergelijkt eenvoudige, interpreteerbare modellen (bijv. logistische regressie, beslissingsbomen) met complexere black-box-modellen op basis van consistente datasets. Het doel is om te beoordelen welke methoden het beste presteren in de praktijk van industriële omgevingen. Het artikel benadrukt dat complexe modellen weliswaar hogere detectiepercentages kunnen opleveren, maar dat eenvoudigere methoden nog steeds voordelen bieden op het gebied van interpreteerbaarheid en robuustheid in gevoelige infrastructuurdomeinen.

Algemene schrijf- en gegevensverzameling-/analysetaken

Defensieve operaties omvatten ook uitgebreid schrijfwerk, onderzoek en gegevensanalyse om incidenten te documenteren, beslissingen te onderbouwen en personeel op te leiden.

Hoe AI algemene schrijf- en gegevensverzameling- of analysetaken verandert:

AI kan rapporten, beleidsdocumenten en incidentbriefings opstellen, waardoor de administratieve lasten voor analisten worden verlicht. Het kan het verzamelen van open-source informatie voor oefeningen automatiseren, waardoor studenten en professionals zich kunnen concentreren op analyse en strategie op hoger niveau in plaats van op repetitieve taken.

Reactie. Ondersteunt snelle rapportage en situationeel bewustzijn.
Herstel. Maakt grondige documentatie na incidenten en geleerde lessen mogelijk.

Uitgelicht geval: Geautomatiseerde informatievergaring en rapportage

In 2024, Gao et al. introduceerde ThreatKG, een door AI aangedreven systeem dat automatisch cyberdreigingsinformatie uit open bronnen verzamelt, belangrijke entiteiten zoals actoren en kwetsbaarheden extraheert en deze organiseert in een gestructureerde kennisgrafiek. In plaats van dat analisten handmatig lange, ongestructureerde rapporten moeten doorlezen, biedt het systeem een geconsolideerd en doorzoekbaar overzicht. Dit vermindert de administratieve last van defensieve operaties, ondersteunt een snellere productie van incidentbriefings en verbetert het situationeel bewustzijn tijdens actieve dreigingen. Door gefragmenteerde informatie om te zetten in toegankelijke inzichten, stelt ThreatKG medewerkers in staat om meer tijd te besteden aan interpretatie en besluitvorming. De studie illustreert hoe AI het dagelijkse defensieve werk kan hervormen door het verzamelen van informatie efficiënter en bruikbaarder te maken, terwijl ook de noodzaak van toezicht wordt benadrukt om de nauwkeurigheid en relevantie te waarborgen.

Meer lezen
  • Bestuur, ethische, juridische en sociale implicaties van AI in OSINT - "Open Source Intelligence en AI: een systematisch overzicht" (Ghioni et al. 2023)
    Het artikel bespreekt 571 studies over AI in OSINT, over het gebruik van AI in open-source intelligence (OSINT), en onderzoekt de governance, ethische, juridische en sociale implicaties ervan. Uit het onderzoek blijkt dat AI de mogelijkheden van OSINT heeft uitgebreid door middel van machine learning, datamining en visuele forensische analyse, maar ook dringende zorgen heeft doen rijzen over privacy, verantwoordingsplicht, vooringenomenheid en misbruik. De auteurs wijzen op lacunes in de regelgeving, het toezicht en de transparantie en pleiten voor strengere kaders om ervoor te zorgen dat door AI aangestuurde OSINT inlichtingenoperaties ondersteunt zonder rechten, vertrouwen of democratische verantwoordingsplicht te ondermijnen.
  • Geautomatiseerde rapportgeneratie - "AGIR: Automatisering van rapportage over cyberdreigingen met behulp van natuurlijke taalgeneratie" (Perrina et al. 2023)
    Het artikel introduceert AGIR, een systeem voor het genereren van natuurlijke taal dat uitgebreide CTI-rapporten maakt op basis van formele entiteitsgrafieken. AGIR vermindert de tijd die nodig is voor het schrijven van rapporten met meer dan 40%, terwijl de hoge nauwkeurigheid en vloeiendheid behouden blijven. Het laat zien hoe AI het opstellen van rapporten en analysetaken kan automatiseren, waardoor analisten zich kunnen concentreren op interpretatie en strategie op hoger niveau.

Synthetische gegevens genereren

Synthetische gegevensgeneratie creëert kunstmatige datasets voor training, testen of simulatie zonder gevoelige informatie uit de echte wereld bloot te geven.

Hoe AI het genereren van synthetische gegevens verandert:

AI kan realistisch netwerkverkeer of malwarevoorbeelden voor laboratoriumgebruik genereren, hiaten opvullen waar geen echte gegevens beschikbaar zijn en de privacy waarborgen terwijl experimenten mogelijk worden gemaakt. Dit helpt docenten en beveiligers zich voor te bereiden op echte incidenten zonder het risico te lopen dat gevoelige gegevens openbaar worden gemaakt.

Preventie. Maakt veilig experimenteren mogelijk zonder gevoelige informatie bloot te geven.
Paraatheid. Ondersteunt training en simulatie met realistische datasets.
Herstel. Maakt aanvalscenario's na voor het testen en verbeteren na een incident.

Uitgelicht geval: gebruik van GAN's voor het produceren van veilige en realistische trainingsgegevens

In 2022, Nukavarapu et al. MirageNet ontwikkeld, een framework dat gebruikmaakt van generatieve adversarial networks (GAN's) om realistisch synthetisch netwerkverkeer te creëren. Het systeem kan patronen van DNS-verkeer en andere protocollen repliceren op een manier die sterk lijkt op echte gegevens, maar zonder gevoelige informatie uit live netwerken bloot te geven.

Deze innovatie is belangrijk omdat verdedigers en opleiders vaak realistische gegevens nodig hebben voor training, testen en experimenten, maar om privacy- of veiligheidsredenen niet altijd gebruik kunnen maken van operationeel verkeer. MirageNet maakt veilige simulaties mogelijk die analisten voorbereiden op echte aanvallen, zonder dat er risico's op openbaarmaking ontstaan. Het gebruik van AI, en in dit geval van GAN's, maakt veiliger en schaalbaarder experimenteren mogelijk. Tegelijkertijd blijft het belangrijk om te valideren dat synthetische gegevens echt een weerspiegeling zijn van echte operationele omstandigheden, zodat training en testen betrouwbaar blijven.

Meer lezen
  • Deep learning voor het modelleren van synthetisch netwerkverkeer - "STAN: Synthetische netwerkverkeersgeneratie met generatieve neurale modellen" (Xu et al. 2021)
    Het artikel presenteert STAN (Synthetic network Traffic generation with Autoregressive Neural models), een neurale architectuur die zowel temporele als attribuutafhankelijkheden in netwerkverkeer modelleert om realistische datasets te genereren. De resultaten tonen aan dat anomaliedetectiemodellen die zijn getraind op het synthetische verkeer van STAN een bijna vergelijkbare nauwkeurigheid bereiken als modellen die zijn getraind op echte gegevens. Dit laat zien hoe deep learning hoogwaardige synthetische datasets mogelijk maakt voor paraatheidstraining en simulatie, met behoud van privacy.
  • Evaluatie van methoden voor het genereren van synthetisch verkeer - "Genereren van synthetische netwerkverkeersgegevens: een vergelijkende studie" (Ammara et al., 2025)
    De studie evalueert twaalf methoden voor het genereren van synthetisch verkeer, waaronder statistische, klassieke AI- en generatieve AI-benaderingen, met behulp van standaarddatasets. De resultaten tonen aan dat op GAN gebaseerde modellen een superieure getrouwheid en bruikbaarheid bieden, terwijl statistische methoden het evenwicht tussen de klassen behouden, maar de structurele complexiteit missen.

Identiteits- en toegangsbeheer (IAM)

Identiteits- en toegangsbeheer (IAM) zorgt ervoor dat alleen geautoriseerde gebruikers de juiste toegang hebben tot systemen en bronnen.

Hoe AI identiteits- en toegangsbeheer verandert:

AI versterkt IAM door afwijkende inlogpatronen te detecteren die kunnen duiden op misbruik van inloggegevens, door adaptieve authenticatiebeleidsregels aan te bevelen en door routinematige controles te automatiseren. Tijdens incidenten kan het snel gecompromitteerde accounts signaleren en strengere controles activeren om bedreigingen in te dammen.

Preventie. Zorgt voor strengere authenticatie en vermindert ongeoorloofde toegang.
Reactie. Past zich in realtime aan bij vermoedelijk misbruik van inloggegevens.

Uitgelicht geval: detectie van ongebruikelijke en ongepaste toegang

In 2024, Verkoop een proof-of-concept-onderzoek uitgevoerd naar de toepassing van AI op IAM-systemen. Door een anomaliedetectiemodel te integreren in een live IAM-platform, kon het systeem ongebruikelijk inloggedrag en ongepaste toegangsrechten signaleren. Dankzij deze aanpak kunnen organisaties gecompromitteerde accounts of misbruik door insiders sneller opsporen en het authenticatiebeleid dynamisch aanpassen wanneer risico's worden gedetecteerd. De studie bracht duidelijke efficiëntiewinst aan het licht, maar benadrukte ook de voortdurende noodzaak van menselijk toezicht om gesignaleerde afwijkingen te interpreteren en onnodige verstoringen te voorkomen. AI maakt het dus mogelijk om de dagelijkse toegangscontrole te versterken en kan IAM omvormen tot een meer adaptieve en proactieve verdedigingslinie.

Meer lezen
  • Auditing van kritieke infrastructuur - "AI-aangedreven IAM-audit voor detectie van afwijkingen in kritieke infrastructuur" (Rodriguez et al. 2025)
    Het artikel stelt een door AI aangedreven IAM-auditraamwerk voor dat feature engineering, onbewaakte anomaliedetectie en bewaakte classificatie combineert om IAM-logs te analyseren. Op een synthetische dataset die is gemodelleerd naar kritieke infrastructuur, behaalde het systeem een detectiegraad van 92% met een percentage valse positieven van minder dan 3%. De bevindingen tonen aan hoe AI de IAM-logboekcontrole verbetert, waardoor proactieve detectie van interne bedreigingen en subtiele toegangsafwijkingen mogelijk wordt die met traditionele methoden vaak over het hoofd worden gezien.

Logboekanalyse

Loganalyse onderzoekt systeem- en beveiligingslogs om incidenten op te sporen, te onderzoeken en te begrijpen.

Hoe AI logboekanalyse verandert:

AI kan enorme hoeveelheden logbestanden in realtime verwerken, ongebruikelijke reeksen gebeurtenissen markeren en beknopte samenvattingen genereren. Dit verbetert de detectie en maakt sneller leren en incidentensimulaties mogelijk.

Paraatheid. Stelt basislijnen vast en identificeert mogelijke zwakke punten.
Reactie. Versnelt het onderzoek en ondersteunt de afhandeling van incidenten in realtime.
Herstel. Informeert over evaluaties en rapportages na incidenten.

Uitgelicht geval: AI-agenten voor logboekanalyse en detectie van bedreigingspatronen

In 2025, Karaarslan et al. onderzocht hoe AI-agenten de analyse van de uitgebreide logbestanden van Cowrie-honeypots konden ondersteunen. Honeypots bootsen opzettelijk kwetsbare systemen na om aanvallers aan te trekken, maar het resultaat is een overweldigende hoeveelheid ruwe data die voor menselijke analisten moeilijk te interpreteren is.

De onderzoekers toonden aan dat AI-agenten deze logbestanden automatisch kunnen parseren en samenvatten, terugkerende aanvalspatronen kunnen extraheren en beknopte rapporten kunnen genereren. Deze automatisering vermindert de handmatige inspanning, verbetert het situationeel bewustzijn en stelt verdedigers in staat om trends te detecteren en beveiligingsmaatregelen sneller aan te passen. De studie illustreert hoe AI onbeheersbare datasets kan omzetten in bruikbare informatie, maar benadrukt ook de noodzaak om de output zorgvuldig te valideren, zodat evoluerende of misleidende vijandige tactieken niet verkeerd worden geïnterpreteerd.

Meer lezen
  • Zelfgestuurde logboekanalyse - "AI-gestuurde loganalyse met behulp van transformatorconstructies" (Pan 2023)
    Deze studie onderzoekt hoe AI logboekanalyse kan ondersteunen bij het detecteren en onderzoeken van incidenten. Met behulp van een Transformer-model dat is getraind op normale logboekvermeldingen, past de aanpak logboekuitbreiding toe voor zelfgestuurd feature learning en verfijnt vervolgens het model met reinforcement learning op een kleine gelabelde dataset. De resultaten geven aan dat deze methode de uitdagingen van heterogene logboekbronnen en schaarse gelabelde gegevens kan overwinnen, wat veelbelovend is voor praktische en realistische implementatie in cyberbeveiligingsoperaties.
  • Op deep learning gebaseerde logboekanalyse voor inbraakdetectie - "Classificatie van cyberaanval-gebeurtenislogboeken met behulp van deep learning en semantische kenmerkanalyse" (Alzu'bi et al. 2025)
    Deze studie stelt een op deep learning gebaseerd raamwerk voor dat gebruikmaakt van semantische vectorisatie en BERT-embeddings om gebeurtenislogboeken te analyseren voor inbraakdetectie. Door logboeken te categoriseren op basis van gebeurtenis- en aanvalstypes met behulp van verklaarbare AI, verbetert deze aanpak de detectienauwkeurigheid, met een recall en precisie van meer dan 99%, en presteert hij beter dan bestaande modellen.

Malware-analyse

Malware-analyse onderzoekt kwaadaardige software om inzicht te krijgen in het gedrag, de oorsprong en de mogelijke impact ervan.

Hoe AI malware-analyse verandert:

AI versnelt de classificatie door codeovereenkomsten tussen malwarefamilies te identificeren en uitleg te genereren over de uitvoering in de sandbox. Het helpt analisten snel te begrijpen hoe malware werkt, waardoor sneller kan worden gereageerd en effectievere maatregelen kunnen worden genomen.

Reactie. Versnelt de identificatie en insluiting van malware.
Herstel. Draagt bij aan kennisopbouw voor toekomstige verdedigingen.

Uitgelichte zaak: AI-ondersteunde malware-demontage

In 2025, Apvrille en Nakov R2AI, een AI-plug-in voor de Radare2-disassembler, geëvalueerd op recente Linux- en IoT-malwaresamples. Het systeem integreert LLM's in het reverse engineering-proces en helpt analisten bij het decompileren van functies, het hernoemen van variabelen en het identificeren van verdacht gedrag. Uit hun onderzoek bleek dat AI-ondersteuning de analysetijd van enkele dagen tot ongeveer de helft kon terugbrengen, met behoud van een gelijkwaardige of betere kwaliteit dan bij analyse door alleen mensen. In het geval van de Linux/Devura-malware bijvoorbeeld, heeft AI correct argumentformaten afgeleid die menselijke analisten hadden gemist. Er bleven echter beperkingen bestaan: de modellen produceerden af en toe hallucinaties, overdrijvingen of weglatingen en moesten voortdurend worden gevalideerd door deskundige experts. De bevindingen suggereren dat AI-ondersteunde demontage het meest effectief is als krachtversterker, waardoor triage wordt versneld en details sneller aan het licht komen, terwijl men nog steeds vertrouwt op menselijk toezicht om de nauwkeurigheid te waarborgen en verkeerde interpretaties te voorkomen.

Meer lezen
  • Semantische segmentatie voor classificatie - "Deep learning met semantische segmentatie voor malwareclassificatie" (Chen et al. 2025)
    Het onderzoek toont aan dat het toepassen van AI op geselecteerde delen van malwarebestanden, in plaats van op volledige bestandssequenties, de prestaties aanzienlijk kan verbeteren. Door zich te richten op de headergegevens van Portable Executable-bestanden, bereikte hun model een nauwkeurigheid van 99,54% bij het classificeren van malwarefamilies. Dit suggereert dat het richten op de meest informatieve codesecties een snellere en betrouwbaardere detectie van bedreigingen mogelijk maakt.
  • Few-shot learning voor nieuwe malware - "Een benadering voor malwareclassificatie met enkele schoten voor herkenning van onbekende families met behulp van visualisatie van malwarekenmerken" (Conti et al. 2022)
    Het artikel stelt voor om few-shot learning te gebruiken om malwarefamilies te classificeren met slechts een handvol voorbeelden, waardoor het niet nodig is om modellen opnieuw te trainen wanneer er nieuwe malware opduikt. Door malware-binaries te visualiseren als 3-kanaalsafbeeldingen en twee architecturen (CSNN en Shallow-FS) te testen, toont het onderzoek een hoge nauwkeurigheid aan bij zowel traditionele als nieuwe malwareclassificatie. Dit toont het potentieel aan van few-shot-benaderingen om de aanpasbaarheid en snelheid bij het detecteren van opkomende bedreigingen te verbeteren.

Training en labs

Trainingen en labs bieden een gecontroleerde omgeving voor praktische cybersecurity-oefeningen en simulaties.

Hoe AI trainingen en labs verandert:

AI kan dynamische labscenario's genereren die zijn afgestemd op de voortgang van de leerling, adaptieve uitdagingen met verschillende moeilijkheidsgraden creëren en feedback en beoordeling automatiseren. Dit ondersteunt een meer realistische en schaalbare training.

Paraatheid. Versterkt de paraatheid door middel van adaptieve simulaties.
Herstel. Integreert lessen uit echte incidenten in de training.

Uitgelicht geval: door AI aangedreven cyberranges voor adaptieve training

In 2025, Sisodiya et al.introduceerde een door AI aangedreven cyberrange die is ontworpen om het realisme en de effectiviteit van cybersecuritytrainingen te verbeteren. In tegenstelling tot traditionele statische labs gebruikt het platform AI om de moeilijkheidsgraad van scenario's aan te passen aan de voortgang van de leerling, realistische aanvalsgebeurtenissen te simuleren en geautomatiseerde feedback te geven.

Uit het onderzoek bleek dat studenten die in deze omgeving werden getraind, een hogere detectienauwkeurigheid bereikten en minder tijd nodig hadden om de gevolgen te beperken in vergelijking met conventionele benaderingen. Voor docenten maakt het systeem het mogelijk om oefeningen op te schalen, uitdagingen te personaliseren en lessen uit echte incidenten in simulaties op te nemen.

Technisch gezien heeft het onderzoek ook aangetoond dat hybride architecturen, die de schaalbaarheid van de cloud combineren met de betrouwbaarheid van fysieke systemen, realistischere en adaptievere scenario's opleveren. De bevindingen laten zien hoe AI trainingen kan transformeren van vaste oefeningen naar dynamische leeromgevingen die studenten en professionals beter voorbereiden op echte cyberdreigingen.

Meer lezen
  • Methoden voor cybersecuritytraining - "Een systematisch overzicht van de huidige methoden voor cybersecuritytraining" (Prümmer et al. 2024)
    Het artikel laat zien dat een breed scala aan benaderingen voor cybersecuritytraining, waaronder spelgebaseerde methoden, het gedrag van eindgebruikers en de beveiligingsresultaten van organisaties verbeteren. De resultaten benadrukken de effectiviteit van gestructureerde trainingsprogramma's, maar brengen ook uitdagingen aan het licht, zoals kleine steekproefomvang en niet-experimentele ontwerpen. Dit onderstreept het belang van de integratie van AI in trainingen en labs om interventies op te schalen, inhoud te personaliseren en adaptieve oefeningen te genereren die de beperkingen van traditionele methoden overwinnen.

Discussievragen

  • Welke fase van de cyberincidentcyclus (preventie, paraatheid, respons, herstel) zal in de toekomst waarschijnlijk het meest worden getransformeerd door AI, en in welke fase maakt AI momenteel het grootste verschil? Waar lijkt AI het minst effectief te zijn?
  • Verschuift AI de machtsverhoudingen in cyberspace naar verdedigers, of helpt het vooral aanvallers om de overhand te behouden?
  • Zullen open source en algemeen beschikbare AI-tools het speelveld voor kleine verdedigers gelijk maken, of zullen geavanceerde propriëtaire systemen grote organisaties nog steeds een overweldigend voordeel geven?
  • Hoe verandert het vermogen van AI om detectie, triage en respons te automatiseren de snelheid en aard van defensieve operaties? Zou dit “traditionele SOC-modellen” overbodig kunnen maken?
  • Zouden verdedigers te afhankelijk kunnen worden van AI, wat zou kunnen leiden tot blinde vlekken als modellen falen, worden vergiftigd of worden misleid door vijandige inputs?
  • Wie draagt de verantwoordelijkheid als AI-systemen kritieke bedreigingen missen of onjuiste aanbevelingen doen: ontwikkelaars, implementerende organisaties of menselijke analisten die erop vertrouwen?
  • Hoe moeten beleidsmakers verantwoord gebruik van AI in defensie stimuleren zonder innovatie te belemmeren of de toegang voor docenten en kleinere organisaties te beperken?
  • Als zowel aanvallers als verdedigers AI gaan gebruiken, zal cyberconflict dan veranderen in een strijd tussen “autonome verdediging versus autonome aanval”?

Bibliografie

Alzu’bi, Ahmad, Omar Darwish, Amjad Albashayreh en Yahya Tashtoush. ‘Classificatie van cyberaanval-logboeken met behulp van deep learning en semantische functieanalyse’. Computers & Beveiliging 150 (maart 2025): 104222. https://doi.org/10.1016/j.cose.2024.104222. 

Ammara, Dure Adan, Jianguo Ding en Kurt Tutschku. ‘Synthetic Network Traffic Data Generation: A Comparative Study’. arXiv:2410.16326. Versie 2. Preprint, arXiv, 22 februari 2025. https://doi.org/10.48550/arXiv.2410.16326. 

Balasubramanian, Prasasthy, Justin Seby en Panos Kostakos. ‘CYGENT: een conversatieagent voor cyberbeveiliging met logboekoverzichten op basis van GPT-3’. arXiv:2403.17160. Preprint, arXiv, 25 maart 2024. https://doi.org/10.48550/arXiv.2403.17160. 

Coppolino, Luigi, Antonio Iannaccone, Roberto Nardone en Alfredo Petruolo. ‘Asset Discovery in Critical Infrastructures: An LLM-Based Approach’ (Ontdekking van activa in kritieke infrastructuren: een op LLM gebaseerde benadering). Elektronica 14, nr. 16 (2025): 3267. https://doi.org/10.3390/electronics14163267. 

Gao, Peng, Xiaoyuan Liu, Edward Choi, Sibo Ma, Xinyu Yang en Dawn Song. ‘ThreatKG: een door AI aangedreven systeem voor het automatisch verzamelen en beheren van open-source cyberdreigingsinformatie’. arXiv:2212.10388. Preprint, arXiv, 30 oktober 2024. https://doi.org/10.48550/arXiv.2212.10388. 

Geiger, Alexander, Dongyu Liu, Sarah Alnegheimish, Alfredo Cuesta-Infante en Kalyan Veeramachaneni. ‘TadGAN: Time Series Anomaly Detection Using Generative Adversarial Networks’. arXiv:2009.07769. Preprint, arXiv, 14 november 2020. https://doi.org/10.48550/arXiv.2009.07769. 

Ghioni, Riccardo, Mariarosaria Taddeo en Luciano Floridi. ‘Open Source Intelligence en AI: een systematisch overzicht van de GELSI-literatuur’. AI & Maatschappij, 28 januari 2023, 1–16. https://doi.org/10.1007/s00146-023-01628-x. 

Humran, Hael Abdulhakim Ali en Ferdi Sonmez. ‘Code Vulnerability Detection Across Different Programming Languages with AI Models’. arXiv:2508.11710. Preprint, arXiv, 14 augustus 2025. https://doi.org/10.48550/arXiv.2508.11710. 

Karaarslan, Enis, Esin Güler, Efe Emir Yüce en Cagatay Coban. ‘Towards Log Analysis with AI Agents: Cowrie Case Study’. arXiv:2509.05306. Preprint, arXiv, 22 augustus 2025. https://doi.org/10.48550/arXiv.2509.05306. 

Nebebe, Betelhem, Pavlina Kröckel, Romarick Yatagha, Natasha Edeh en Karl Waedt. ‘AI Defenders: Machine Learning Driven Anomaly Detection in Critical Infrastructures’. Gesellschaft für Informatik e.V., 2024, 1917–27. https://dl.gi.de/handle/20.500.12116/45143. 

Nukavarapu, Santosh Kumar, Mohammed Ayyat en Tamer Nadeem. ‘MirageNet – Naar een op GAN gebaseerd raamwerk voor het genereren van synthetisch netwerkverkeer’. GLOBECOM 2022 – IEEE Global Communications Conference 2022, IEEE, 4 december 2022, 3089–95. https://doi.org/10.1109/GLOBECOM48099.2022.10001494. 

Nwoye, Chukwujekwu Charles en Stephen Nwagwughiagwu. ‘AI-gestuurde anomaliedetectie voor proactieve cyberbeveiliging en preventie van datalekken’. Internationaal tijdschrift voor onderzoek en beheer op het gebied van engineeringtechnologie 8, nr. 11 (2024): 339–56. 

Ogundairo, Obaloluwa en Peter Broklyn. Natuurlijke taalverwerking voor analyse van cyberbeveiligingsincidenten. 2024. 

Peng, Wei, Junmei Ding, Wei Wang, et al. ‘CTISum: A New Benchmark Dataset For Cyber Threat Intelligence Summarization’. arXiv:2408.06576. Preprint, arXiv, 30 juni 2025. https://doi.org/10.48550/arXiv.2408.06576. 

Perrina, Filippo, Francesco Marchiori, Mauro Conti en Nino Vincenzo Verde. ‘AGIR: Automating Cyber Threat Intelligence Reporting with Natural Language Generation’. arXiv:2310.02655. Preprint, arXiv, 4 oktober 2023. https://doi.org/10.48550/arXiv.2310.02655. 

Petrolini, Michael, Stefano Cagnoni en Monica Mordonini. ‘Automatische detectie van gevoelige gegevens met behulp van op transformatoren gebaseerde classifiers’. Toekomstig internet 14, nr. 8 (2022): 228. https://doi.org/10.3390/fi14080228. 

Rani, Nanda, Bikash Saha, Vikas Maurya en Sandeep Kumar Shukla. ‘TTPXHunter: bruikbare dreigingsinformatie-extractie als TTP's uit voltooide cyberdreigingsrapporten’. Digitale bedreigingen: onderzoek en praktijk 5, nr. 4 (2024): 1–19. https://doi.org/10.1145/3696427. 

Rodriguez, David, Sarah Lee, Joshua Wilson en Sadis Bello. AI-aangedreven IAM-audit voor detectie van afwijkingen in kritieke infrastructuur. 18 april 2025. 

Selling, Felix. ‘Identiteits- en toegangsbeheer verbeteren met kunstmatige intelligentie voor het opsporen van afwijkingen: een proof of concept-implementatiestudie’. 2024. 

Xu, Shengzhe, Manish Marwah, Martin Arlitt en Naren Ramakrishnan. ‘STAN: Synthetic Network Traffic Generation with Generative Neural Models’. arXiv:2009.12740. Preprint, arXiv, 3 augustus 2021. https://doi.org/10.48550/arXiv.2009.12740. 

Yang, Ziqi en Zhenkai Liang. ‘Geautomatiseerde identificatie van gevoelige gegevens op basis van impliciete gebruikersspecificaties’. Cyberveiligheid 1, nr. 1 (2018): 13. https://doi.org/10.1186/s42400-018-0011-x.

Bedankt voor uw aanmelding voor onze nieuwsbrief!

Bedankt! RSVP ontvangen voor AI in cyberdefensie

AI in cyberdefensie

Bezig met laden...

Bezig met laden...