Avanzare nella sicurezza delle reti con un nuovo modello predittivo
Un nuovo modo per migliorare la sicurezza della rete attraverso una previsione delle attività più accurata.
― 6 leggere min
Indice
Rilevare Attività dannose in una Rete informatica è un compito fondamentale per mantenere la sicurezza. Un modo per farlo è prevedere le connessioni future basandosi sulle comunicazioni passate tra diversi computer. In parole semplici, guardiamo a come i computer si parlano nel tempo e proviamo a indovinare quali connessioni potrebbero accadere dopo. Tuttavia, i metodi tradizionali spesso non sono efficaci nel monitorare queste reti perché non tengono conto dei modelli di attività unici che possono cambiare rapidamente.
In molti uffici, l'attività di rete può cambiare drasticamente in breve tempo. Ad esempio, i modelli di comunicazione possono cambiare notevolmente da giorno a notte o quando i dipendenti sono in pausa. Per creare un Modello migliore per questi cambiamenti, suggeriamo di suddividere l'attività di rete in diverse Fonti che rappresentano vari tipi di azioni, come comunicazioni tra dipendenti, compiti di manutenzione o funzioni di sistema automatizzate. Ogni tipo di attività ha il suo impatto su come si comporta la rete.
Il Problema dei Metodi Attuali
I metodi attuali per prevedere le connessioni future usano principalmente tecniche sviluppate per analizzare le reti sociali. Queste reti sociali di solito hanno modelli di interazione diversi da quelli che vediamo nelle reti aziendali. In un ambiente di lavoro, le attività possono variare molto in breve tempo, il che porta spesso a previsioni fuorvianti se ci si basa solo su questi modelli di rete sociale.
Ad esempio, durante l'orario lavorativo, si può notare molta comunicazione interna, mentre fuori da questi orari, il traffico può diminuire drasticamente. Questa fluttuazione richiede un approccio diverso per analizzare accuratamente queste reti. La nostra ipotesi è che in un dato momento, l'attività osservata nella rete sia in realtà una combinazione di diverse fonti, e il modo in cui queste fonti interagiscono può cambiare nel tempo.
Approccio di Separazione delle Fonti
Basandoci su questa idea, introduciamo un metodo in cui trattiamo l'attività della rete informatica come un problema di separazione delle fonti. Invece di guardare solo alle reti nel loro insieme, puntiamo a identificare fonti individuali di attività e come contribuiscono all'immagine complessiva. Questo significa che il nostro modello imparerà non solo come le diverse attività si mescolano, ma anche come la loro importanza cambia nel tempo.
Crediamo che usare meno fonti di attività, ma più definite, renda il nostro modello più semplice e facile da gestire. Questa semplicità potrebbe beneficiaci in vari modi, inclusa una maggiore affidabilità e una migliore comprensione dei modelli di attività che osserviamo.
Introduzione al Modello
Abbiamo sviluppato un modello chiamato Superposed Nonnegative Matrix Factorization (SNMF). Questo modello suddivide l'attività della rete in varie fonti, consentendo una visione più chiara di come le diverse attività contribuiscono ai modelli di comunicazione complessivi. Il nostro modello prevede anche l'attività futura concentrandosi su un insieme più ridotto di parametri che riflettono l'importanza di ciascuna fonte.
Questo approccio potrebbe portare a prestazioni migliorate in due aree: prevedere quali connessioni future si formeranno e rilevare eventuali attività insolite che potrebbero segnalare una minaccia alla sicurezza.
Come Funziona il Modello
Per addestrare il nostro modello, utilizziamo dati reali da una rete informatica. Questi dati sono organizzati in un insieme di grafici, dove ciascun grafico rappresenta connessioni all'interno di un periodo di tempo specifico. L'obiettivo è addestrare il modello a riconoscere modelli normali di comunicazione e identificare eventuali Anomalie che potrebbero indicare un evento di sicurezza.
Quando applichiamo il nostro modello a nuovi dati, calcoliamo punteggi per ciascuna connessione potenziale basata su ciò che il modello ha appreso durante l'addestramento. Le connessioni ritenute insolite o inaspettate riceveranno un punteggio più alto, segnalando così la possibilità di attività malevole.
Validazione del Nostro Modello
Per testare quanto bene funziona il nostro modello, abbiamo condotto una serie di esperimenti. Il primo mirava a valutare se la nostra idea su fonti distinte di attività fosse vera. Abbiamo utilizzato un dataset che simulava il traffico di rete in un'azienda. Analizzando le fonti identificate dal modello, abbiamo potuto determinare se si allineavano con la nostra comprensione delle funzioni di rete.
I risultati sono stati promettenti. Abbiamo scoperto che il nostro modello riusciva a identificare con successo diversi modelli di attività che corrispondevano al comportamento reale nella rete. Ad esempio, abbiamo osservato un chiaro cambiamento nei modelli di comunicazione prima e dopo un attacco alla rete, confermando la sua capacità di rilevare eventi significativi.
Valutazione delle Prestazioni
Successivamente, abbiamo testato quanto bene il nostro modello si comportasse nel rilevare anomalie e prevedere connessioni future. Per questo, abbiamo utilizzato un dataset raccolto da una rete aziendale nel corso di diverse settimane. Il dataset includeva vari incidenti in cui gli attaccanti tentavano di violare la sicurezza della rete.
Quando abbiamo confrontato il nostro modello con altri metodi esistenti, SNMF ha costantemente superato gli altri, in particolare nel rilevare attività insolite. Questo è importante perché identificare azioni malevole è l'obiettivo principale di qualsiasi sistema di sicurezza.
Abbiamo anche analizzato come il nostro modello eccellesse nel distinguere tra connessioni normali e quelle che non erano tipiche. È diventato chiaro che più specifiche erano le nostre fonti di attività, meglio il nostro modello poteva prevedere e valutare lo stato di sicurezza della rete.
Intuizioni Acquisite
Dai nostri risultati, abbiamo tratto diverse intuizioni chiave. In primo luogo, le reti informatiche mostrano modelli specifici che sono distintivi rispetto alle reti sociali o ad altri tipi di dati. Queste dinamiche uniche evidenziano la necessità di modelli personalizzati che si adattino meglio alle complessità del comportamento di rete.
Inoltre, abbiamo scoperto che modelli più semplici possono spesso produrre risultati più affidabili. Questa semplicità consente al modello di evitare l'overfitting, dove diventa troppo complesso e quindi fatica a generalizzare con nuovi dati.
Direzioni Future
Anche se il nostro modello ha mostrato grandi promesse, ci sono ancora aree da migliorare. Ad esempio, le reti informatiche generano una ricca varietà di dati oltre ai semplici registri di comunicazione. Il lavoro futuro potrebbe incorporare fattori aggiuntivi come account utente o tipi di protocolli utilizzati.
Inoltre, al momento, il nostro modello si concentra principalmente sui cambiamenti a breve termine nella rete. Tuttavia, riconosciamo che i modelli a lungo termine giocano anche un ruolo cruciale nell'analisi delle reti. Affrontare questo potrebbe comportare aggiornamenti regolari del modello per tenere conto del comportamento in evoluzione nella rete o l'integrazione di fattori esterni come nuove applicazioni o cambiamenti nei ruoli degli utenti.
Raffinando il nostro approccio e integrando più tipi di dati, possiamo migliorare ulteriormente la nostra capacità di monitorare e proteggere efficacemente le reti informatiche.
Conclusione
In conclusione, il nostro approccio per modellare l'attività delle reti informatiche come una combinazione di fonti distinte ha mostrato risultati promettenti. Attraverso l'uso del modello SNMF, possiamo prevedere meglio le connessioni future e rilevare attività insolite che potrebbero compromettere la sicurezza. Le nostre scoperte sottolineano l'importanza di modelli personalizzati quando si monitora ambienti complessi e suggeriscono che la semplicità può portare a risultati più efficaci nel rilevamento delle anomalie. Il futuro del monitoraggio delle reti sembra luminoso, con tante strade ancora da esplorare e migliorare.
Titolo: A source separation approach to temporal graph modelling for computer networks
Estratto: Detecting malicious activity within an enterprise computer network can be framed as a temporal link prediction task: given a sequence of graphs representing communications between hosts over time, the goal is to predict which edges should--or should not--occur in the future. However, standard temporal link prediction algorithms are ill-suited for computer network monitoring as they do not take account of the peculiar short-term dynamics of computer network activity, which exhibits sharp seasonal variations. In order to build a better model, we propose a source separation-inspired description of computer network activity: at each time step, the observed graph is a mixture of subgraphs representing various sources of activity, and short-term dynamics result from changes in the mixing coefficients. Both qualitative and quantitative experiments demonstrate the validity of our approach.
Autori: Corentin Larroche
Ultimo aggiornamento: 2023-03-28 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2303.15950
Fonte PDF: https://arxiv.org/pdf/2303.15950
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.