
Publicado em: 2 de janeiro de 2025 | Scientific Reports
Autores: Hazem M. Kotb, Tarek Gaber, Salem AlJanah, Hossam M. Zawbaa, Mohammed Alkhathami, et al.
A cibersegurança continua sendo um dos maiores desafios para as empresas modernas. Embora as organizações tradicionalmente invistam em medidas de segurança de perímetro, como firewalls e sistemas de detecção de intrusões (IDS), a crescente prevalência de ameaças internas deslocou o foco para a detecção de anomalias internas. Ameaças internas—sejam insiders maliciosos, colaboradores negligentes ou usuários comprometidos—representam uma fração significativa dos incidentes de segurança. Além disso, o surgimento da inteligência artificial generativa (IA) introduziu novas complexidades: sistemas automatizados agora podem gerar perfis de usuários falsos extremamente convincentes, que imitam comportamentos legítimos.
Neste artigo, exploramos um novo modelo de Detecção de Intrusões Internas Baseado em Síntese Profunda (DS-IID) que enfrenta esses desafios diretamente. Esse modelo não apenas identifica insiders maliciosos usando aprendizado profundo, mas também distingue entre perfis de usuários reais e gerados por IA (sintéticos). Abordaremos os princípios subjacentes, aspectos técnicos, apresentaremos trechos de código para cenários de detecção no mundo real e discutiremos o desempenho do modelo com base no conjunto de dados CERT Insider Threat.
Ameaças internas originam-se de entidades internas—empregados, prestadores de serviço ou dispositivos confiáveis—que possuem acesso legítimo aos recursos da organização. Por já terem privilégios elevados, comportamentos anômalos podem contornar medidas de segurança tradicionais, tornando-os difíceis de detectar com sistemas padrão de detecção de anomalias. Estudos recentes indicam que ameaças internas são responsáveis por até 79% dos problemas de cibersegurança em muitas organizações.
A situação tornou-se ainda mais complexa com o advento de tecnologias de IA generativa. Esses sistemas conseguem criar dados sintéticos realistas que simulam comportamentos legítimos de usuários. Ao gerar automaticamente perfis falsos, invasores podem esconder atividades maliciosas atrás de uma fachada de autenticidade. IDS tradicionais geralmente falham em diferenciar atividades genuínas de sintéticas, causando potenciais brechas de segurança.
O modelo DS-IID representa uma abordagem inovadora que combina a potência da síntese profunda de características, modelagem generativa e aprendizado profundo binário para detectar ameaças internas. Essa metodologia multifacetada permite que o DS-IID atinja três objetivos principais:
A Síntese Profunda de Características (DFS) está no núcleo do modelo DS-IID. Diferentemente da engenharia de características manual, a DFS permite extrair automaticamente perfis detalhados de usuários a partir de dados brutos de eventos. Ao sintetizar características complexas de logs, tráfego de rede e comportamento do usuário, o modelo constrói uma visão abrangente das atividades de cada usuário. Esse processo é fundamental para:
O modelo DS-IID integra modelos generativos para simular perfis de usuários reais. Essa simulação é crucial para avaliar se um perfil suspeito poderia ter sido gerado por IA. Paralelamente, um classificador binário de aprendizado profundo—treinado com dados reais e sintéticos—é usado para determinar se um perfil é legítimo ou malicioso. Essa abordagem dupla possibilita:
O desbalanceamento de dados é comum em cibersegurança, onde o número de instâncias benignas supera amplamente o de eventos maliciosos. Para lidar com isso, o modelo DS-IID emprega amostragem randômica ponderada em tempo real (on-the-fly). Essa técnica ajusta dinamicamente o processo de amostragem durante o treinamento, garantindo impacto adequado dos raros eventos maliciosos na aprendizagem.
Ao utilizar amostragem ponderada, o DS-IID foca na classe minoritária (comportamento malicioso) sem sacrificar o desempenho geral, resultando em taxas de detecção mais confiáveis e menor risco de classificar erroneamente comportamentos benignos como anômalos.
O DS-IID é construído sobre uma arquitetura multilayer que integra métodos diversos para processamento de dados, extração de características e classificação. A seguir, apresentamos uma visão técnica de cada módulo.
O DS-IID utiliza conjuntos de dados públicos, como o CERT Insider Threat. O processo de aquisição inclui coleta de logs de eventos brutos, registros de autenticação, tráfego de rede e outros logs relevantes. Etapas de pré-processamento:
Após o pré-processamento, aplica-se a síntese profunda de características para extrair atributos multidimensionais dos logs:
Na etapa final, um modelo binário de aprendizado profundo é treinado para diferenciar perfis legítimos de maliciosos. Principais passos:
import tensorflow as tf
from tensorflow.keras.models import Sequential
from tensorflow.keras.layers import Dense, Dropout
# Define o Modelo de Classificação Binária DS-IID
def build_ds_iid_model(input_dim):
model = Sequential()
model.add(Dense(128, activation='relu', input_dim=input_dim))
model.add(Dropout(0.3))
model.add(Dense(64, activation='relu'))
model.add(Dropout(0.3))
model.add(Dense(32, activation='relu'))
model.add(Dropout(0.3))
model.add(Dense(1, activation='sigmoid'))
model.compile(optimizer='adam', loss='binary_crossentropy', metrics=['accuracy'])
return model
# Uso de exemplo:
if __name__ == "__main__":
input_dimensions = 30 # Exemplo de quantidade de características após DFS
model = build_ds_iid_model(input_dimensions)
model.summary()
Para ilustrar as capacidades do DS-IID, as próximas seções descrevem exemplos reais, incluindo scripts em Bash e Python. Estes cobrem a varredura de arquivos de log em busca de atividades suspeitas e o parsing para alimentar um pipeline de aprendizado profundo.
#!/bin/bash
# Caminho para o arquivo de log (ex.: /var/log/auth.log)
LOG_FILE="/var/log/auth.log"
# Padrão para entradas suspeitas, p.ex. múltiplas tentativas de login falhas
PATTERN="Failed password|Invalid user"
echo "Escaneando logs por atividades suspeitas..."
grep -E "$PATTERN" "$LOG_FILE" > suspicious_activity.log
echo "Resumo de entradas suspeitas:"
wc -l suspicious_activity.log
echo "Primeiras 10 entradas suspeitas:"
head -n 10 suspicious_activity.log
Este script automatiza a detecção de eventos potencialmente maliciosos, como logins não autorizados. A saída pode ser processada pelo DS-IID.
import pandas as pd
import numpy as np
from datetime import datetime
# Faz parsing do arquivo de log e cria um DataFrame estruturado
def parse_log_file(log_file_path):
data = []
with open(log_file_path, 'r') as f:
for line in f:
parts = line.split()
timestamp_str = " ".join(parts[0:3])
try:
timestamp = datetime.strptime(timestamp_str, '%b %d %H:%M:%S')
except ValueError:
continue
log_entry = {
'timestamp': timestamp,
'hostname': parts[3],
'service': parts[4].split('[')[0],
'message': " ".join(parts[5:])
}
data.append(log_entry)
return pd.DataFrame(data)
# Gera características profundas agregando dados de log por host
def generate_features(df):
feature_df = df.groupby('hostname').size().reset_index(name='suspicious_count')
df['hour'] = df['timestamp'].dt.hour
hourly_features = df.groupby(['hostname', 'hour']).size().unstack(fill_value=0)
feature_df = feature_df.merge(hourly_features, on='hostname', how='left')
return feature_df
if __name__ == "__main__":
log_df = parse_log_file('suspicious_activity.log')
features = generate_features(log_df)
print("Características Geradas:")
print(features.head())
features.to_csv('user_features.csv', index=False)
Este script demonstra:
O modelo DS-IID foi avaliado extensivamente usando o conjunto CERT Insider Threat. Principais destaques:
O desempenho foi mensurado por nove métricas:
A amostragem ponderada em tempo real manteve alta performance mesmo com classes desbalanceadas.
Diferente de modelos convencionais baseados em regras ou clustering não supervisionado, o DS-IID alcança maior precisão ao integrar síntese automática de características e lidar com dados sintéticos gerados por IA, superando estudos que relatam acurácia entre 54% e 98%.
O DS-IID representa um avanço significativo na detecção de ameaças internas, especialmente em uma era em que a IA generativa pode criar perfis sintéticos enganosos. Com síntese profunda de características para gerar perfis detalhados e classificação binária de aprendizado profundo, o DS-IID atinge alta precisão na detecção de insiders tradicionais e ameaças geradas por IA.
Resumo:
À medida que as organizações enfrentam ameaças internas cada vez mais sofisticadas, integrar modelos como o DS-IID à infraestrutura de cibersegurança oferece um caminho promissor. Boa codificação e mantenha-se seguro!
Misturando técnicas de ponta com implementações práticas, este guia técnico destaca a abordagem multifacetada do DS-IID. Seja você um profissional de cibersegurança buscando reforçar defesas ou um cientista de dados interessado em aplicações avançadas de aprendizado profundo, o DS-IID oferece uma solução robusta e escalável para os complexos problemas de detecção de ameaças internas na era moderna.
Se você achou este conteúdo valioso, imagine o que você poderia alcançar com nosso programa de treinamento de elite abrangente de 47 semanas. Junte-se a mais de 1.200 alunos que transformaram suas carreiras com as técnicas da Unidade 8200.