Avançando a Segurança de Rede com Novo Modelo Preditivo
Uma nova abordagem pra melhorar a segurança da rede com previsões de atividade mais precisas.
― 7 min ler
Índice
Detectar Atividades prejudiciais em uma rede de computadores é uma tarefa crucial para manter a segurança. Uma abordagem para isso é prever conexões futuras com base nas comunicações passadas entre diferentes computadores. Em termos simples, a gente observa como os computadores se comunicam ao longo do tempo e tenta adivinhar quais conexões podem acontecer a seguir. Mas, métodos tradicionais costumam falhar na monitoração dessas Redes porque não consideram os padrões únicos de atividade que podem mudar rapidinho.
Em muitos ambientes de escritório, a atividade da rede pode mudar drasticamente em um curto período. Por exemplo, os padrões de comunicação podem mudar muito do dia para a noite ou quando os funcionários estão em pausa. Para criar um modelo melhor para essas mudanças, sugerimos dividir a atividade da rede em diferentes Fontes que representam vários tipos de ações, como comunicações entre funcionários, tarefas de manutenção ou funções de sistema automatizadas. Cada tipo de atividade impacta de um jeito como a rede se comporta.
O Problema com os Métodos Atuais
Os métodos atuais para prever conexões futuras usam, em sua maioria, técnicas desenvolvidas para analisar redes sociais. Essas redes sociais geralmente têm padrões de interação diferentes dos que vemos nas redes corporativas. Em um ambiente de trabalho, as atividades podem variar muito em pouco tempo, o que muitas vezes leva a previsões enganosas se confiarmos só nesses Modelos de redes sociais.
Por exemplo, durante o horário de trabalho, você pode ver muita comunicação interna, enquanto fora desse horário, o tráfego pode cair bastante. Essa flutuação exige uma abordagem diferente para analisar essas redes de forma precisa. Nossa hipótese é que, a qualquer momento, a atividade observada na rede é na verdade uma combinação de várias fontes, e a forma como essas fontes interagem pode mudar ao longo do tempo.
Abordagem de Separação de Fontes
Com base nessa ideia, apresentamos um método onde tratamos a atividade da rede de computadores como um problema de separação de fontes. Em vez de olhar para as redes como um todo, nosso objetivo é identificar fontes individuais de atividade e como elas contribuem para o panorama geral. Isso significa que nosso modelo vai aprender não só como as diferentes atividades se misturam, mas também como a importância delas muda com o tempo.
Acreditamos que usar menos fontes de atividade, mas mais definidas, torna nosso modelo mais simples e fácil de gerenciar. Essa simplicidade pode trazer benefícios de várias formas, incluindo maior confiabilidade e uma melhor compreensão dos padrões de atividade que observamos.
Apresentando o Modelo
Desenvolvemos um modelo chamado Fatoração de Matriz Não Negativa Superposta (SNMF). Esse modelo divide a atividade da rede em várias fontes, permitindo uma visão mais clara de como diferentes atividades contribuem para os padrões de comunicação geral. Nosso modelo também prevê a atividade futura focando em um conjunto menor de parâmetros que refletem a importância de cada fonte.
Essa abordagem pode levar a um desempenho melhor em duas áreas: prever quais conexões futuras vão se formar e detectar atividades incomuns que podem sinalizar uma ameaça de segurança.
Como o Modelo Funciona
Para treinar nosso modelo, usamos dados do mundo real de uma rede de computadores. Esses dados são organizados em um conjunto de gráficos, onde cada gráfico representa conexões dentro de um período específico. O objetivo é treinar o modelo para reconhecer padrões normais de comunicação e identificar quaisquer Anomalias que possam indicar um evento de segurança.
Quando aplicamos nosso modelo a novos dados, calculamos pontuações para cada conexão potencial com base no que o modelo aprendeu durante o treinamento. Conexões que são consideradas incomuns ou inesperadas recebem uma pontuação mais alta, sinalizando a possibilidade de atividade maliciosa.
Validando Nosso Modelo
Para testar como nosso modelo se sai, fizemos uma série de experimentos. O primeiro teve como objetivo avaliar se nossa ideia sobre fontes distintas de atividade realmente funciona. Usamos um conjunto de dados que simulava o tráfego de rede em uma empresa. Analisando as fontes que o modelo identificou, conseguimos determinar se elas alinhavam com nossa compreensão das funções da rede.
Os resultados foram promissores. Descobrimos que nosso modelo conseguia identificar diferentes padrões de atividade que correspondiam ao comportamento do mundo real na rede. Por exemplo, observamos uma mudança clara nos padrões de comunicação antes e depois de um ataque à rede, confirmando sua capacidade de detectar eventos significativos.
Avaliação de Desempenho
Em seguida, testamos como nosso modelo se saiu em detectar anomalias e prever futuras conexões. Para isso, usamos um conjunto de dados coletado de uma rede empresarial ao longo de várias semanas. O conjunto de dados incluía vários incidentes onde atacantes tentaram violar a segurança da rede.
Comparando nosso modelo com outros métodos existentes, o SNMF superou consistentemente os outros, especialmente na detecção de atividades incomuns. Isso é importante porque identificar ações maliciosas é o principal objetivo de qualquer sistema de segurança.
Analisamos também como nosso modelo se destacou em distinguir entre conexões normais e aquelas que não eram típicas. Ficou claro que quanto mais específicas eram nossas fontes de atividade, melhor nosso modelo conseguia prever e avaliar o estado de segurança da rede.
Insights Obtidos
Com nossas descobertas, tiramos várias lições importantes. Primeiro, as redes de computadores apresentam padrões específicos que são distintos das redes sociais ou de outros tipos de dados. Essas dinâmicas únicas destacam a necessidade de modelos personalizados que se adequem melhor às complexidades do comportamento da rede.
Além disso, descobrimos que modelos mais simples muitas vezes podem produzir resultados mais confiáveis. Essa simplicidade permite que o modelo evite o overfitting, quando fica muito complexo e, assim, luta para generalizar para novos dados.
Direções Futuras
Embora nosso modelo tenha mostrado grande potencial, ainda há áreas para aprimoramento. Por exemplo, redes de computadores geram uma variedade rica de dados além dos logs de comunicação. Trabalhos futuros poderiam incorporar fatores adicionais, como contas de usuários ou tipos de protocolos utilizados.
Além disso, agora, nosso modelo foca principalmente em mudanças de curto prazo na rede. No entanto, reconhecemos que padrões de longo prazo também desempenham um papel crucial na análise da rede. Abordar isso poderia envolver atualizações regulares do modelo para levar em conta o comportamento em evolução na rede ou incorporar fatores externos, como novos aplicativos ou mudanças em funções de usuários.
Aperfeiçoando nossa abordagem e integrando mais tipos de dados, podemos melhorar ainda mais nossa capacidade de monitorar e proteger redes de computadores de forma eficaz.
Conclusão
Em conclusão, nossa abordagem de modelar a atividade da rede de computadores como uma combinação de fontes distintas mostrou resultados promissores. Com o uso do modelo SNMF, conseguimos prever melhor futuras conexões e detectar atividades incomuns que podem comprometer a segurança. Nossas descobertas ressaltam a importância de modelos personalizados ao monitorar ambientes complexos e sugerem que a simplicidade pode levar a resultados mais eficazes na detecção de anomalias. O futuro da monitoração de redes parece promissor, com muitas possibilidades ainda a serem exploradas e aprimoradas.
Título: A source separation approach to temporal graph modelling for computer networks
Resumo: Detecting malicious activity within an enterprise computer network can be framed as a temporal link prediction task: given a sequence of graphs representing communications between hosts over time, the goal is to predict which edges should--or should not--occur in the future. However, standard temporal link prediction algorithms are ill-suited for computer network monitoring as they do not take account of the peculiar short-term dynamics of computer network activity, which exhibits sharp seasonal variations. In order to build a better model, we propose a source separation-inspired description of computer network activity: at each time step, the observed graph is a mixture of subgraphs representing various sources of activity, and short-term dynamics result from changes in the mixing coefficients. Both qualitative and quantitative experiments demonstrate the validity of our approach.
Autores: Corentin Larroche
Última atualização: 2023-03-28 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2303.15950
Fonte PDF: https://arxiv.org/pdf/2303.15950
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.