Detecting Unauthorized Access to Computer Networks Through Graph Transformers
Pós-Graduação em Ciência da Computação – UFPE
Defesa de Tese de Doutorado Nº 667
Aluno: Luís Fred Gonçalves de Sousa
Orientador: Cleber Zanchettin
Título: Detecting Unauthorized Access to Computer Networks Through Graph Transformers
Data: 04/04/2025
Hora/Local: 8:30h – Virtual – Interessados em assistir entrar em contato com o aluno
Banca Examinadora:
Prof. Paulo Freitas de Araujo Filho (UFPE / Centro de Informática)
Prof. Divanilson Rodrigo Campelo (UFPE / Centro de Informática)Prof. Flavio Arthur Oliveira Santos (UFPE / Centro de Informática)
Prof. Byron Leite Dantas Bezerra (UPE / Escola Politécnica de PE)
Prof. Eduardo Coelho Cerqueira (UFPA / Faculdade de Engenharia da Computação e Telecomunicações do Instituto de Tecnologia)
RESUMO:
A adoção crescente de novas tecnologias digitais não apenas promove maior acesso a ferramentas que otimizam atividades cotidianas, como também amplia as oportunidades para a exploração criminosa no ambiente digital, gerando perdas significativas para indivíduos, organizações e governos. No centro de muitos ataques cibernéticos recentes está uma ameaça conhecida como \emph{Advanced Persistent Threats} (APT). Em ataques APT, os agentes estabelecem um ponto de apoio inicial e expandem furtivamente sua presença na rede até alcançar objetivos como roubo de dados e sabotagem. O movimento lateral, etapa decisiva do ataque, ajuda a consolidar a presença do adversário na rede do alvo. Autenticações anômalas, frequentemente indicativas de alternâncias não autorizadas entre os dispositivos, são indicadores-chave desse estágio. A identificação de tais eventos tem o potencial de mitigar o movimento lateral e atrasar o avanço de um ataque em curso. Como as interações em redes de computadores formam grafos, algoritmos como Graph Neural Networks (GNN) podem identificar relações incomuns. No entanto, o sucesso na detecção de tais anomalias usando esses algoritmos está condicionado à sua capacidade de representação de grafos. A agregação eficaz de embeddings de nó em GNNs é determinante para representar devidamente a topologia do grafo, algo que muitos métodos ainda não alcançam plenamente. Além disso, a complexidade computacional de abordagens mais sofisticadas, como as baseadas em Transformers, é outro desafio em grafos de grande escala, apesar de melhorarem a captura de padrões em nós distantes. Neste trabalho, exploramos GNNs e Transformers no problema da detecção de acessos não autorizados em redes de computadores em dois experimentos complementares. Em um primeiro estudo, propomos uma abordagem baseada em predição de links entre os vértices, com um mecanismo \emph{soft-attention} que facilita a agregação de representações de nó ao filtrar informações irrelevantes dos vértices. No segundo estudo, exploramos avanços recentes da literatura para a arquitetura transformer em grandes grafos e propomos uma nova abordagem baseada em classificação de vértices para detecção de autenticações anômalas que lida com a dependência temporal entre os eventos, considerando diferentes níveis de granularidade. Os modelos propostos foram treinados em \emph{datasets} públicos contendo registros de autenticação em redes corporativas. Os resultados experimentais mostraram que os métodos propostos superam as abordagens concorrentes estado da arte na detecção de autenticações anômalas.
Palavras-chave: Movimentação lateral, Aprendizagem de máquina, Redes Neurais de Grafos,
Segurança digital, Ameaças digitais persistentes.
Comentários desativados