Rastreamento de Ameaças Cibernéticas com Análise de Cluster Dinâmico
Um método pra analisar dados de telescópios de rede pra identificar atividades de computador coordenadas.
― 8 min ler
Índice
- Nosso Método
- Etapa 1: Aprendendo Representações de Hosts
- Etapa 2: Agrupando Hosts Similares
- Etapa 3: Rastreando Mudanças ao Longo do Tempo
- Analisando o Tráfego do Telescópio de Rede
- Cenário de Ameaças Digitais
- O Papel da Inteligência Artificial na Cibersegurança
- Análise Dinâmica de Clusters (DCA)
- Aplicação Prática e Resultados
- Percepções dos Resultados de Clustering
- Observando Mudanças nas Atividades
- Exemplos Específicos de Atividades
- Conclusão
- Direções Futuras
- Fonte original
- Ligações de referência
Na área de cibersegurança, acompanhar as atividades de vários computadores trabalhando juntos ao longo do tempo é bem complicado. Isso acontece porque tanto os computadores envolvidos quanto suas ações mudam rapidamente. Pra enfrentar esse problema, a gente criou um método pra encontrar e rastrear novos padrões no comportamento desses computadores, focando especialmente nos dados provenientes de telescópios de rede.
Um telescópio de rede é um tipo especial de sistema que coleta informações do tráfego da internet que não tá direcionado a nenhum serviço ativo. Esse tráfego pode dar uma visão sobre várias atividades cibernéticas notáveis. Nossa abordagem consiste em três etapas principais pra analisar esses dados de forma eficaz.
Nosso Método
Etapa 1: Aprendendo Representações de Hosts
A primeira etapa da nossa abordagem envolve criar representações mais simples dos computadores com base no tráfego que eles enviam. Isso é feito sem precisar de rótulos ou informações prévias sobre o que o tráfego significa. Analisando os dados de tráfego, conseguimos gerar representações compactas ou "embeddings" da atividade de cada computador.
Etapa 2: Agrupando Hosts Similares
Uma vez que temos essas representações, procuramos por grupos de computadores que mostram comportamentos semelhantes. Isso é feito usando um método chamado clustering, que ajuda a categorizar computadores que agem de forma parecida. Nessa fase, conseguimos identificar vários grupos de computadores que parecem estar respondendo de forma semelhante ao tráfego que recebem.
Etapa 3: Rastreando Mudanças ao Longo do Tempo
A última etapa é acompanhar como esses grupos mudam com o tempo. Todo dia, analisamos os novos dados de tráfego, identificamos clusters e vemos quais grupos continuam os mesmos e quais novos grupos aparecem. Fazendo isso, conseguimos detectar novos padrões que podem sinalizar ameaças emergentes ou mudanças de comportamento.
Analisando o Tráfego do Telescópio de Rede
Pra validar nosso método, aplicamos ele a 20 dias de dados de um telescópio de rede. Durante esse tempo, rastreamos mais de 8.000 computadores diferentes. Nossa análise mostrou que conseguimos identificar cerca de 50-70 grupos distintos de computadores a cada dia. Desses, cerca de 60-70% combinavam com padrões já conhecidos, enquanto cerca de 10-20 grupos foram identificados como novos, indicando novos comportamentos ou incidentes.
Cenário de Ameaças Digitais
No mundo da cibersegurança, novas ameaças aparecem todo dia. Uma preocupação significativa tem sido os Botnets, que são grupos de computadores comprometidos usados pra realizar atividades maliciosas sob o controle de outra pessoa. Os botnets mudam continuamente, melhorando seus métodos pra explorar as últimas vulnerabilidades. Por exemplo, certos botnets se adaptaram a fraquezas específicas em softwares pra melhorar suas táticas de disseminação.
Pra combater essas ameaças em evolução de forma eficaz, os especialistas em cibersegurança precisam entender como esses botnets operam e como identificar padrões semelhantes entre os computadores envolvidos. É aí que nosso método entra, utilizando técnicas de Inteligência Artificial pra reconhecer grupos coordenados de computadores, assim proporcionando uma abordagem proativa contra ameaças cibernéticas.
O Papel da Inteligência Artificial na Cibersegurança
A inteligência artificial virou uma ferramenta essencial na identificação de atividades coordenadas entre computadores comprometidos. Muitos pesquisadores usaram métodos tradicionais de extração de características dos dados e aplicaram técnicas de aprendizado de máquina como autoencoders e redes neurais pra analisar os conjuntos de dados resultantes. Outros pegaram ideias do processamento de linguagem natural pra analisar sequências de pacotes enviados pela rede, tratando os pacotes de forma semelhante a palavras em um texto.
Apesar desses avanços, diferenciar entre padrões conhecidos e atividades totalmente novas ainda é um desafio. Por exemplo, se compararmos os resultados de clustering de dois dias diferentes, é complicado determinar quais grupos são novos e quais são uma continuação de atividades passadas. É isso que a nossa análise dinâmica de clusters busca resolver.
Análise Dinâmica de Clusters (DCA)
A análise dinâmica de clusters é um método usado pra monitorar e rastrear como as agrupações de computadores evoluem ao longo do tempo. Uma técnica popular nessa área é chamada MONIC, que ajuda a rastrear mudanças e transições entre clusters. Nosso objetivo era adaptar o MONIC pra se encaixar melhor nas características dos dados de telescópios de rede.
No final de cada período de análise, agrupamos os computadores em clusters. Depois olhamos como esses clusters mudam de um período pro outro, identificando se continuam existindo, se se fundem com outros ou até desaparecem. Isso ajuda a entender a dinâmica geral da atividade.
Pra personalizar melhor esse processo pras nossas necessidades, fizemos algumas ajustes no MONIC, levando em conta as variações únicas nas atividades dos computadores que observamos.
Aplicação Prática e Resultados
Aplicamos nosso método a 20 dias de dados coletados de um telescópio de rede específico. No total, examinamos mais de 100 milhões de pacotes enviados por cerca de 785.000 computadores diferentes. Consideramos qualquer computador que enviou mais de cinco pacotes por dia como "ativo", resultando em cerca de 130.000 computadores ativos durante todo o período.
Nossa análise diária revelou vários padrões. A cada dia, detectamos 50-70 clusters de computadores coordenados. Uma parte significativa desses clusters permanecia ligada a atividades conhecidas anteriormente, enquanto um número menor surgia como novos, indicando mudanças ou novos incidentes.
Percepções dos Resultados de Clustering
Os resultados dos nossos esforços de clustering nos permitiram simplificar o trabalho manual que os analistas de cibersegurança normalmente enfrentam ao tentar entender padrões de tráfego. Ao identificar grupos de computadores que mostraram coordenação no tráfego, reduzimos o volume de dados que os analistas tinham que analisar.
A qualidade dos clusters que identificamos era geralmente alta. A maioria dos clusters tinha um bom grau de separação, facilitando tirar conclusões sobre os comportamentos dos computadores envolvidos. Isso permitiu uma detecção mais eficiente de anomalias e potenciais ameaças, melhorando os esforços gerais de cibersegurança.
Observando Mudanças nas Atividades
Um aspecto notável da nossa análise dinâmica de clusters foi o quanto conseguimos observar mudanças nas atividades. A cada dia, a análise indicava se os clusters estavam sobrevivendo, desaparecendo ou mostrando novos padrões de comportamento. A maioria dos clusters sobrevivia de um dia pro outro, indicando atividade maliciosa consistente, enquanto uma parte menor mudava pra outras categorias.
Ao acompanhar como os clusters mudavam ao longo do tempo, os analistas de cibersegurança poderiam priorizar quais padrões investigar com base na sua potencial importância e novidade. Essa capacidade de rastrear dinâmicas em evolução ajuda a manter uma abordagem proativa em relação à cibersegurança.
Exemplos Específicos de Atividades
Através de uma revisão manual de alguns clusters identificados, conseguimos descobrir mais detalhes sobre a natureza das suas atividades. Por exemplo, observamos um grupo mirando portas específicas ligadas a vulnerabilidades bem conhecidas. Isso indicava possíveis atividades de varredura maliciosa que mereciam mais atenção.
Em outro caso, identificamos remetentes que pareciam fazer parte de um botnet mirando um serviço vulnerável. Ao analisar o tráfego, confirmamos que esses computadores estavam realmente exibindo um comportamento de varredura coordenada que alinhava com características conhecidas de botnets.
Conclusão
Em conclusão, nosso método de análise dinâmica de clusters oferece vantagens significativas na área de cibersegurança. Ao identificar e rastrear atividades coordenadas de forma eficaz, podemos fornecer insights valiosos sobre ameaças emergentes e mudanças de comportamento. Nosso trabalho reduziu com sucesso a carga analítica sobre os profissionais de segurança, permitindo que eles se concentrem nos incidentes mais críticos.
Olhando pra frente, planejamos refinar ainda mais nossa abordagem, otimizando a análise dinâmica pra aplicação em tempo real. Ao analisar continuamente o tráfego, nosso objetivo é melhorar nossa capacidade de detectar e responder a ameaças de forma mais eficiente, contribuindo no fim das contas pra medidas de cibersegurança mais fortes.
Direções Futuras
À medida que avançamos, pretendemos melhorar nossa metodologia incorporando características adicionais na nossa análise. Isso inclui estabelecer critérios claros pra priorizar diferentes clusters e refinar estratégias pra combinar clusters ao longo de períodos mais longos. No final das contas, nosso objetivo é implantar um sistema mais robusto que possa monitorar continuamente o tráfego da rede, identificando e lidando com potenciais ameaças em tempo real.
As implicações éticas da nossa pesquisa são cuidadosamente consideradas. Nosso foco é exclusivamente melhorar a cibersegurança através de técnicas de medição passiva, garantindo que não interfiram em entidades observadas. À medida que continuamos a desenvolver nossas metodologias, permanecemos comprometidos em avançar a eficácia das práticas de segurança em rede, contribuindo positivamente na luta contínua contra ameaças cibernéticas.
Título: Dynamic Cluster Analysis to Detect and Track Novelty in Network Telescopes
Resumo: In the context of cybersecurity, tracking the activities of coordinated hosts over time is a daunting task because both participants and their behaviours evolve at a fast pace. We address this scenario by solving a dynamic novelty discovery problem with the aim of both re-identifying patterns seen in the past and highlighting new patterns. We focus on traffic collected by Network Telescopes, a primary and noisy source for cybersecurity analysis. We propose a 3-stage pipeline: (i) we learn compact representations (embeddings) of hosts through their traffic in a self-supervised fashion; (ii) via clustering, we distinguish groups of hosts performing similar activities; (iii) we track the cluster temporal evolution to highlight novel patterns. We apply our methodology to 20 days of telescope traffic during which we observe more than 8 thousand active hosts. Our results show that we efficiently identify 50-70 well-shaped clusters per day, 60-70% of which we associate with already analysed cases, while we pinpoint 10-20 previously unseen clusters per day. These correspond to activity changes and new incidents, of which we document some. In short, our novelty discovery methodology enormously simplifies the manual analysis the security analysts have to conduct to gain insights to interpret novel coordinated activities.
Autores: Kai Huang, Luca Gioacchini, Marco Mellia, Luca Vassio
Última atualização: 2024-05-17 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2405.10545
Fonte PDF: https://arxiv.org/pdf/2405.10545
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.
