Een veilig internet is een van de belangrijkste streefdoelen voor DNS Belgium. Dat betekent een evenwicht vinden tussen een vlotte registratie van .be-domeinnamen en een strenge controle voor aanvragen die verdacht lijken. Met die uitdaging ontwikkelde DNS Belgium een tool die automatisch inschat of een nieuwe registratie verdachte trekjes vertoont.
Op basis van historische registratiedata voorspellen of een nieuwe domeinnaamregistratie verdacht is, dat is de opzet van RegCheck. De machinelearningtool werd door DNS Belgium, samen met haar Nederlandse evenknie SIDN, ontwikkeld.
Intussen is er een peer-reviewed paper gepubliceerd, die recent ook werd voorgesteld op de KDD 2025-conferentie (Knowledge Discovery and Data Mining) in Toronto. Een mooie gelegenheid om dieper in te gaan op wat RegCheck doet en hoe de tool tot stand kwam. Dat doen we met Maarten Bosteels, hoofd R&D bij DNS Belgium, en Thomas Daniels, onderzoeker in het R&D-team van DNS Belgium.
Hoe is RegCheck ontstaan?
Maarten Bosteels: Het begon met de veronderstelling dat er patronen zitten in malafide registraties en de aanname dat machine learning in staat zou zijn om die patronen te herkennen.
Dat onderwerp hebben we in het academiejaar 2019-2020 als thesisvoorstel ingediend bij het departement Computerwetenschappen van de KU Leuven. De eerste resultaten daaruit waren niet bruikbaar, maar wel veelbelovend. Vervolgens werd er vanaf 2021 een proof-of-concept (PoC) uitgebouwd door een onderzoeker van de KU Leuven, Pieter Robberechts. Hij was ook bekend met onze specifieke activiteiten omdat hij eerder al zijn thesis bij DNS Belgium had uitgewerkt.
Tijdens een CENTR R&D workshop in 2022 merkten we dat SIDN een gelijkaardig project had en hebben we beslist om onze krachten te bundelen. Er werden code en concepten uitgewisseld en we zijn samen gaan kijken welke features we konden bedenken. Die features zijn de inputvelden waar het machine learning model zich op baseert om een reputatieberekening te doen van een registratie.
Rond die tijd is ook Thomas Daniels als onderzoeker bij het project betrokken. Hij had ook zijn thesis bij DNS Belgium gedaan en toen is het idee voor een doctoraat ontstaan. Via een Baekeland-mandaat bij VLAIO werkt hij hier aan verschillende projecten om het internet in België veiliger te maken. RegCheck is zo het eerste project voor zijn doctoraat.
Het vastleggen van een domeinnaam loopt vlotter. Tegelijk kan onze supportafdeling veel gerichter werken
Op welk vlak werkt RegCheck beter dan de oude manier van werken?
Thomas Daniels: RegCheck draait sinds maart 2024 in productie. Voor die tijd was er een systeem van regels die manueel moesten onderhouden worden. In onze paper tonen we daarom ook aan dat het machine learning model het beter doet.
Bosteels: De meeste regels komen nu terug als features. Maar we hebben nu meer features (specifieke data die worden meegenomen voor de reputatiescore) dan dat er vroeger regels waren.
Vroeger gaf je elke regel zelf een gewicht van 1 tot 3. Vandaag kijkt RegCheck met machine learning naar de combinatie van alle kenmerken in plaats van simpelweg de ‘overtreden’ regels op te tellen.
Kan je aanpassen hoe streng zo’n systeem is?
Daniels: Het model kan meer of minder streng zijn naargelang je dat zelf wil. Het geeft de kans op fraude aan, maar hoe groot dat risico mag zijn, kan je zelf tunen.
Wil dat zeggen dat je met de tool minder mensen nodig hebt, of mensen kan ontslaan omdat machine learning het werk doet?
Bosteels: Met RegCheck doen we veel gerichter aan verificatie en dat heeft twee voordelen: het vastleggen van een domeinnaam loopt vlotter. Tegelijk kan onze supportafdeling veel gerichter werken omdat RegCheck hen vertelt welke registraties mogelijk verdacht zijn.
RegCheck is niet gebouwd om het werk met minder mensen te doen, wel om de kans te verhogen dat we de juiste registraties preventief tegenhouden. Zo kunnen de mensen betrokken bij dat proces veel gerichter verdachte registraties controleren. Zonder die filter zouden ze veel meer tijd stoppen in controles van registraties die niet verdacht zijn, waardoor er minder tijd is voor de opvolging van verdachte registraties.
Daniels: Dat maakt dat we met RegCheck het Belgisch internet veiliger maken omdat we gerichter verdachte registraties controleren en daarbij onze mensen efficiënt inzetten.
Je moet RegCheck zien als een breed net dat we uitgooien. Je kan pakweg dertig procent van de registraties tegenhouden en zo tachtig procent van de malafide registraties vinden.
Hoe zet je RegCheck optimaal in? Te streng gaat meer registraties onderbreken, te laks gaat meer malafide registraties doorlaten.
Bosteels: Ondanks de inzet van RegCheck wordt niet alles tegengehouden. Je zou daar strikter in kunnen zijn en dan ga je nog meer misbruik vinden, maar je gaat ook veel meer false positives krijgen (registraties die als verdacht worden gemarkeerd en achteraf gezien onschuldig bleken). Dat vraagt meer menselijke controles die net niet nuttig zijn. Je kan daarom zeker debatteren over hoe ‘streng’ zo’n systeem moet zijn.
Hoe zorg je ervoor dat machine learning verdachte dingen herkent, maar tegelijk niet overreageert?
Daniels: Voor het klasseren van data kan je twee kanten op: je kan expliciet features definiëren (feature engineering), of je doet dat niet (representation learning). Hier hebben we gekozen om zelf aan te geven waar het algoritme op moet letten. Maar dan moet je ook zorgen dat je enkel dingen aanduidt waar het model iets aan heeft. Bijvoorbeeld ‘een cijfer op het einde van een domeinnaam’ kan je zo benoemen en dan zal RegCheck daar expliciet op letten. Zo zijn er meerdere factoren die samen een reputatiescore geven.
Bij het opstellen moet je wel focus houden. Je doet vrij complexe databasequeries, je moet ook wat kennis van domeinnamen hebben om dat goed te kunnen doen. Maar ook in het trainen en testen zitten enkele valkuilen.
Bosteels: Je traint bijvoorbeeld je model op historische data. Wil je vervolgens testen hoe goed het werkt, dan moet je dat op andere historische data doen. Dus je wil bij dat testen ervoor zorgen dat dat niet met data gebeurt waarop je het model hebt getraind.
Een bijkomend obstakel is dat malafide registraties niet zwart/wit zijn. Het kan perfect zijn dat iemand een domein vastlegt waar op dat moment niets mis mee is, maar enkele weken later wel een frauduleuze webshop op draait. Als je zo’n dingen wil herkennen dan moet je met trainingsgegevens veel breder kijken dan enkel de gegevens of het gedrag van bij de registratie zelf.
In de zeven maanden na de uitrol is het aantal malafide registraties met dertig procent gedaald ten opzichte van dezelfde periode vorig jaar.
RegCheck draait nu al enige tijd bij DNS Belgium. Valt het in cijfers te gieten hoe goed het werkt?
Daniels: Zeker, dat hebben we uitgebreid beschreven in onze paper. In de zeven maanden na de uitrol is het aantal abusegevallen (malafide registraties) met dertig procent gedaald ten opzichte van dezelfde periode vorig jaar. Het model dat we ontwikkelden slaagt erin om registraties die effectief verdacht zijn, een hogere (lees: slechtere) score te geven.
Bosteels: Als RegCheck het verdacht vindt, moet je een apart identificatieproces doorlopen. Zo voorkomen we dat er veel .be-domeinnamen opduiken die kort nadien worden gebruikt om mensen op te lichten. In veel andere zones gebeurt die controle pas nadat de domeinnaam al actief is.
Een domeinnaam die wordt tegengehouden voor verificatie, blijft wel in handen van de registrant , hij of zij kan er alleen niets mee doen zo lang die identificatie niet voltooid is.
Er zijn geen plannen om het commercieel of open source aan te bieden, maar we delen graag de code van het project.
Maakt dat het trainen met recente data, nadat RegCheck al actief was, niet moeilijker?
Bosteels: Aanvankelijk was dit een struikelblok voor de evaluatie van RegCheck. Je filtert met RegCheck immers al een deel domeinnamen weg die anders gewoon online zouden komen. Bij het evalueren van je model heb je domeinen ingetrokken waarvan je uiteindelijk nooit gaat weten of ze, bij het online komen, malafide bleken te zijn.
Daniels: Onze bronnen om het systeem te laten leren zijn onder meer ingetrokken domeinnamen uit het verleden, malafide registraties die we zelf detecteerden en domeinnamen die langer dan 120 dagen klaar staan voor verificatie. Ook daar hebben we onderzocht wat de beste manier was om die bronnen te combineren.
Dit werd ontwikkeld binnen DNS Belgium in samenwerking met SIDN, wordt RegCheck ook elders gebruikt?
Daniels: Met RegCheck willen we het internet in zijn geheel veiliger maken dus daar staan we zeker voor open. Er zijn geen plannen om het commercieel of open source aan te bieden, maar als andere registries interesse hebben, dan delen we graag de code van het project en onze expertise staat ter beschikking.
Met dit artikel ondersteunen wij de Duurzame Ontwikkelingsdoelstellingen van de Verenigde Naties.