| dc.contributor.author | Johnsen, Jan William | |
| dc.date.accessioned | 2022-08-03T11:19:10Z | |
| dc.date.available | 2022-08-03T11:19:10Z | |
| dc.date.issued | 2022 | |
| dc.identifier.isbn | 978-82-326-6833-5 | |
| dc.identifier.issn | 2703-8084 | |
| dc.identifier.uri | https://hdl.handle.net/11250/3009942 | |
| dc.description.abstract | The Crime as a Service (CaaS) model allows cybercriminals to specialise in certain illicit fields, instead of being jacks-of-all-trades with in-depth computer knowledge. This model facilitates serious cyber-enabled and -dependent crimes, e.g. by exchanging information on abusive tactics and engagement in selling illegal materials, products and services. A minority of proficient cybercriminals drives the CaaS model. This minority group develops advanced hacker tools and supports the underground forums’ majority population without the same technical skills. Law enforcement tries to disrupt the CaaS model, but their focus has so far been on taking down famous underground forums. Their approach has been shown to have limited impact on CaaS activities in practice. Investigators must instead target specific actors to have an enduring crippling effect. Consequently, there is a strong need for objective and reliable identification of the most prominent cybercriminals.
Knowing which actor to put investigative efforts into means that investigators must scrutinise large quantities of unstructured data from underground forums. However, it is unfeasible to use contemporary investigative methods to examine unstructured data, and employing expert knowledge in manually analysing large amounts of data is absurd. Yet, a substantial improvement can be achieved by leveraging computational methods.
This thesis aims (i) to provide a scientific basis for identifying and profiling cybercriminals in investigations and (ii) to derive advanced computational methods for the machine processing of unstructured data from underground forums. Our empirical studies work towards inferring actors’ proficiency by using an interdisciplinary approach. This approach combines methods from natural language processing and social network analysis. Our approach equips investigators with methods to profile several thousands of underground forum actors and differentiate between novices and proficient actors. Thus, investigators can efficiently and effectively analyse criminal networks to identify actors to further focus investigative resources.
Our initial systematic studies on network centrality measures found them promising for ranking actors in a way that scientifically captures their relative importance. Still, there are two shortcomings in particular: (i) they appear to favour actors with higher communication frequency than important actors in the CaaS model and (ii) the results lack interpretability as to why the actors are given a distinct centrality score and ranked in a certain order. In fact, centrality measures disregard new and prominent actors with fewer posts, and they may erroneously single out actors as prominent cybercriminals in underground forums. We provide new insights in order to highly automate the process of inspecting underground forum actors’ posts using rigorous preprocessing steps and topic modelling. With our approach, investigators can complement the centrality measures’ results and understand individual actors and their role in the CaaS model. As a result, investigators can ascertain the value of a potential high-impact cybercriminal actor quickly.
The main contributions of this thesis are (i) designing an interdisciplinary approach for improving our understanding of underground forum communication, (ii) identifying proficient cybercriminals on both the high-level and individual viewpoint in large-scale datasets, (iii) develop a theoretical foundation for rigorous preprocessing steps for more efficient and effective algorithms, and (iv) support decision making and otherwise help investigators scrutinise large amounts of unstructured data. Advanced computational methods give us insights into underground forums’ inner workings, subsequently allowing us to exclude about 90% of novice users and focus our analysis on the more proficient cybercriminals. | en_US |
| dc.description.abstract | Sammendrag:
Modellen Datakriminalitet-Som-en-Tjeneste (DST) gjør at nettkriminelle kan spesialisere seg innen visse ulovlige områder, i stedet for å være altmuligmenn med utstrakt datakunnskap. Denne modellen muliggjør ondarta kyber-tilpasset og kyberavhengige forbrytelser, f.eks. ved å dele informasjon om skadelige fremgangsmåter samt salg av ulovlige materialer, produkter og tjenester. Et mindretall med dyktige nettkriminelle driver DST-modellen. Denne minoritetsgruppen utvikler avanserte hackerverktøy og støtter majoritetsbefolkningen i undergrunnsfora som ikke har de samme tekniske ferdighetene. Politiet prøver å stanse DST-modellen, men deres fokus har så langt vært å ta ned kjente undergrunnsfora. Deres tilnærming har vist seg å ha begrenset innvirkning på DST-aktivitetene i praksis. Etterforskere må i stedet fokusere på bestemte aktører for å få en varig lammende effekt. Derfor er det sterkt behov for objektiv og pålitelig identifisering av de mest fremtredende nettkriminelle.
Å vite hvilken aktør man skal etterforske betyr at etterforskere må granske store mengder ustrukturerte data fra undergrunnsfora. Det er imidlertid umulig for moderne etterforskningsmetoder å undersøke ustrukturerte data og svært ressurskrevende å bruke ekspertkunnskap i manuell analyse av store datamengder. Likevel kan en betydelig forbedring oppnås ved å utnytte datamaskinbaserte beregningsmetoder.
Denne oppgaven tar sikte på (i) å gi et vitenskapelig grunnlag for å identifisere og profilere nettkriminelle i etterforskninger og (ii) å utrede avanserte beregningsmetoder for maskinbehandling av ustrukturerte data fra undergrunnsfora. Våre dyptgående studier jobber mot å utrede aktørenes ferdigheter ved å bruke en tverrfaglig tilnærming. Denne tilnærmingen kombinerer metoder fra naturlig språkbehandling samt analyse av sosiale nettverk. Vår tilnærming gir etterforskere metoder for å profilere flere tusen undergrunnsforumaktører og skille mellom nybegynnere og dyktige aktører. Dermed kan etterforskere effektivt analysere kriminelle nettverk for å identifisere aktører og konsentrere etterforskningsressurser på dem.
Våre innledende systematiske studier av nettverks sentralitetsberegninger fant det lovende for å rangere aktører på en måte som vitenskapelig fanger den relative betydningen av aktørene. Likevel hadde de spesielt to mangler: (i) de ser ut til å favorisere aktører med høyere kommunikasjonsfrekvens enn viktige aktører i DST–modellen, og (ii) resultatet mangler tolkbarhet for hvorfor aktørene får en eksplisitt sentralitetspoeng og så blir rangert i en viss rekkefølge. Sentralitetsberegninger ser faktisk bort fra nye og fremtredende aktører med færre undergrunnsforuminnlegg, og man kan feilaktig anklage aktører som fremtredende nettkriminelle i undergrunnsfora.
Vi gir ny innsikt for å automatisere prosessen med å gjennomgå undergrunnsforumaktørers innlegg ved hjelp av strikte dataforhåndsbehandlingstrinn og emnemodellering. Med vår tilnærming kan etterforskere komplementere resultatet fra nettverkssentralitetsberegninger og forstå individuelle aktører og deres rolle i DST-modellen. Resultatet er at etterforskere raskt kan fastslå verdien av enhver potensiell høyt fremtredende nettkriminell.
Hovedbidragene til denne oppgaven er (i) å utforme en tverrfaglig tilnærming for å forbedre vår forståelse av undergrunnsforumkommunikasjon, (ii) identifisere dyktige nettkriminelle både på overordnet og individuelt nivå i store datasett, (iii) utvikle et teoretisk grunnlag for strikte dataforbehandlingstrinn for mer effektive algoritmer, og (iv) støtte beslutningstaking og ellers hjelpe etterforskere med å granske store mengder ustrukturerte data. Avanserte datamaskinbaserte beregningsmetoder gir oss innsikt i undergrunnsforums indre; som lar oss utelukke om lag 90% nybegynnere og fokusere analysen vår på dyktigere nettkriminelle. | en_US |
| dc.language.iso | eng | en_US |
| dc.publisher | NTNU | en_US |
| dc.relation.ispartofseries | Doctoral theses at NTNU;2022:65 | |
| dc.relation.haspart | Article 1: Johnsen, Jan William; Franke, Katrin. Feasibility Study of Social Network Analysis on Loosely Structured Communication Networks. Procedia Computer Science 2017 ;Volum 108. s. 2388-2392 https://doi.org/10.1016/j.procs.2017.05.172 Attribution-NonCommercial-NoDerivatives 4.0 International (CC BY-NC-ND 4.0) | en_US |
| dc.relation.haspart | Article 2: Johnsen, Jan William; Franke, Katrin. Identifying Central Individuals in Organised Criminal Groups and Underground Marketplaces. Lecture Notes in Computer Science (LNCS) 2018 ;Volum 10862 LNCS. s. 379-386 https://doi.org/10.1007/978-3-319-93713-7_31 | en_US |
| dc.relation.haspart | Article 3: Johnsen, Jan William; Franke, Katrin. The impact of preprocessing in natural language for open source intelligence and criminal investigation. TEMP 2017 IEEE International Conference on Big Data (Big Data) 2019 s. 4248-4254 https://doi.org/ 10.1109/BigData47090.2019.9006006 | en_US |
| dc.relation.haspart | Article 4: Johnsen, Jan William; Franke, Katrin. Identifying Proficient Cybercriminals Through Text and Network Analysis. I: 2020 IEEE International Conference on Intelligence and Security Informatics (ISI). IEEE conference proceedings https://doi.org/10.1109/ISI49825.2020.9280523 | en_US |
| dc.relation.haspart | Article 5:
Johnsen, Jan William; Franke, Katrin.
On the feasibility of social network analysis methods for investigating largescale criminal networks | en_US |
| dc.relation.haspart | Article 6: Shalaginov, Andrii; Johnsen, Jan William; Franke, Katrin. Cyber Crime Investigations in the Era of Big Data. I: IEEE Big Data 1st International Workshop on Big Data Analytic for Cyber Crime Investigation and Prevention 2017. IEEE 2017 s. 3672-3676 https://doi.org/ 10.1109/BigData.2017.8258362 | en_US |
| dc.title | Interdisciplinary approach to criminal network analysis: Opportunities and challenges | en_US |
| dc.type | Doctoral thesis | en_US |
| dc.description.localcode | “In reference to IEEE copyrighted material which is used with permission in this thesis, the IEEE does not endorse any of [name of university or educational entity]’s products or services. Internal or personal use of this material is permitted. If interested in reprinting/republishing IEEE copyrighted material for advertising or promotional purposes or for creating new collective works for resale or redistribution, please go to http://www.ieee.org/publications_standards/publications/rights/rights_link.html to learn how to obtain a License from RightsLink. | en_US |
