Identificar ameaças de segurança cibernética a partir de dados brutos da Internet pode ser como localizar uma agulha em um palheiro. A quantidade de dados de tráfego da Internet gerados em um período de 48 horas, por exemplo, é muito grande para um ou mesmo 100 laptops processar em algo digerível para analistas humanos. É por isso que os analistas confiam na amostragem para pesquisar ameaças potenciais, selecionando pequenos segmentos de dados para olhar em profundidade, na esperança de encontrar um comportamento suspeito.

Embora este tipo de amostragem possa funcionar para algumas tarefas, como a identificação de endereços IP populares, é inadequado para encontrar tendências ameaçadoras mais sutis.

"Se você está tentando detectar um comportamento anômalo, por definição, esse comportamento é raro e improvável, "diz Vijay Gadepally, um membro sênior da equipe do Lincoln Laboratory Supercomputing Center (LLSC). "Se você está experimentando, torna uma coisa já rara quase impossível de encontrar. "

Gadepally faz parte de uma equipe de pesquisa no laboratório que acredita que a supercomputação pode oferecer um método melhor - que concede aos analistas acesso a todos os dados pertinentes de uma vez - para identificar essas tendências sutis. Em um artigo publicado recentemente, a equipe condensou com sucesso 96 horas de matéria-prima, A rede de 1 gigabit conecta os dados de tráfego da Internet em um pacote pronto para consulta. Eles criaram o pacote executando 30, 000 núcleos de processamento (igual a cerca de 1, 000 laptops) no LLSC localizado em Holyoke, Massachusetts, e é armazenado no MIT SuperCloud, onde pode ser acessado por qualquer pessoa com uma conta.

"[Nossa pesquisa] mostrou que poderíamos alavancar recursos de supercomputação para trazer uma grande quantidade de dados e colocá-los em uma posição onde um pesquisador de segurança cibernética possa fazer uso deles, "Gadepally explica.

Um exemplo do tipo de atividade ameaçadora que exige que os analistas se aprofundem em uma quantidade tão grande de dados são as instruções dos servidores de comando e controle (C&C). Esses servidores emitem comandos para dispositivos infectados com malware, a fim de roubar ou manipular dados.

Gadepally compara seu padrão de comportamento ao de chamadas telefônicas de spam:embora um chamador normal possa fazer e receber um número igual de chamadas, um spammer faria milhões de chamadas a mais do que recebe. É a mesma ideia para um servidor C&C, e esse padrão pode ser encontrado apenas examinando muitos dados por um longo período de tempo.

"O padrão atual da indústria é usar pequenas janelas de dados, onde você joga fora 99,99 por cento, "Gadepally diz." Fomos capazes de manter 100 por cento dos dados para esta análise. "

A equipe planeja espalhar a palavra sobre sua capacidade de compactar uma quantidade tão grande de dados e espera que os analistas aproveitem esse recurso para dar o próximo passo na luta contra as ameaças que até agora eram elusivas. Eles também estão trabalhando em maneiras de entender melhor como é o comportamento "normal" da Internet como um todo, para que as ameaças possam ser identificadas mais facilmente.

"A detecção de ameaças cibernéticas pode ser bastante aprimorada com um modelo preciso de tráfego de rede normal em segundo plano, "diz Jeremy Kepner, um bolsista do Lincoln Laboratory no LLSC que está liderando essa nova pesquisa. Os analistas podem comparar os dados de tráfego da Internet que estão investigando com esses modelos para trazer à tona o comportamento anômalo mais prontamente.

"Usando nosso pipeline de processamento, somos capazes de desenvolver novas técnicas para computar esses modelos de fundo, " ele diz.

Como governo, o negócio, e os usuários pessoais dependem cada vez mais da Internet para suas operações diárias, manter a segurança cibernética continuará sendo uma tarefa essencial para os pesquisadores e os pesquisadores dizem que a supercomputação é um recurso inexplorado que pode ajudar.

Esta história foi republicada por cortesia do MIT News (web.mit.edu/newsoffice/), um site popular que cobre notícias sobre pesquisas do MIT, inovação e ensino.