Capa » Notícias

Brasileiros desenvolvem inteligência artificial contra hackers

Sexta, 08 de junho de 2001, 11h42
O laboratório Advanced Counter-measures Environment (ACME), da Universidade Estadual Paulista (Unesp) de São José do Rio Preto, especializado em sistemas de segurança de computadores e redes, vem desenvolvendo um software capaz de detectar tentativas de ataques e invasões de hackers. De acordo com os pesquisadores responsáveis pelo projeto, o sistema possui a melhor margem de acerto e capacidade de adaptação frente a novos ataques.

O software, que leva o mesmo nome do laboratório, teria capacidade de detectar intrusos em cerca de 86% das ocorrências de invasão, sendo que o índice de alarmes falsos é de 15%.

"No mercado internacional, a margem de acerto dos sistemas fica entre 60% a 80% e o índice de falso-positivo é de até 30%, o que exige uma intervenção humana extra para ‘desempatar’ os alertas falsos", compara o coordenador do grupo, o professor Adriano Mauro Cansian, doutor em segurança de redes de computadores e professor do curso de Ciências da Computação da Unesp de São José do Rio Preto.

O desenvolvimento do software ACME tem o objetivo de atender a uma demanda crescente por maior segurança contra violações de sistemas. O último levantamento feito pelo Computer Security Institute (CSI), respeitado órgão americano de pesquisa em segurança em rede de computadores, confirma que as invasões de sistemas estão aumentando.

"Das 643 instituições pesquisadas pelo CSI, a maioria grandes corporações e agências de governo, 90% detectaram violações nos últimos doze meses, sendo que 70% tiveram algum tipo de prejuízo. As empresas que foram capazes de quantificar o prejuízo (273) estimaram em US$ 265 milhões as perdas financeiras", conta Cansian.

De acordo com o cientista, o software ACME utiliza um sistema único no mundo, aliando tecnologia de rede neural com informações de captura de pacotes e análises de assinaturas de ataque. "A rede neural é um sistema matemático e computacional, que consegue identificar padrões dentro de determinadas seqüências de dados, permitindo descobrir se as informações representam, ou não, um ataque aos sistemas de redes e de computadores que estão sob vigilância".

Durante os últimos cinco anos, os pesquisadores do laboratório se dedicaram à tarefa de investigar o comportamento dos hackers. Dentro das instalações dos laboratório foram criados sites denominados tecnicamente de honey-pots (armadilhas) para estimular as invasões e permitir que os atacantes fossem estudados e analisados. Paralelamente, um sistema de captura de informações de rede monitorizava todos os procedimentos dos invasores.

"As informações colhidas nessas pesquisas permitiram determinar as assinaturas de ataque do comportamento dos hackers, ou seja, as pistas que são deixadas pelo invasor, como se elas fossem um tipo de impressão digital do atacante". Cansian acrescenta que todo ataque a uma rede de computadores segue um padrão de ações com uma lógica seqüencial bem definida.

Feito este levantamento, os pesquisadores transformaram as assinaturas de ataque em códigos binários, os quais formam uma linguagem capaz de ser interpretada pela rede neural. Segundo informações dos pesquisadores, o ACME, além de ser um dos poucos sistemas que conseguem detectar invasões em tempo real, tem o diferencial de detectar um ataque para o qual ele não foi programado. A capacidade de máquinas analisarem e tomarem decisões para as quais não foram previamente programadas é o que se denomina de inteligência artificial.

"A rede neural tem a capacidade de ‘abstrair’, ou seja, de tentar inferir, ou quase ‘adivinhar’, se o que o sistema está detectando é um ataque, usando para isso a base de conhecimento adquirida", explica Cansian. Ele acrescenta que, nos outros sistemas, se o ataque não foi totalmente definido, pelo menos uma vez anteriormente, não há possibilidade de identificação, já que esses sistemas não têm capacidade adaptativa ou de abstração, conferida pela existência da rede neural.

"Outra vantagem do ACME é que, ao detectar a presença de comportamento intrusivo nos dados das informações da rede, o sistema automaticamente emite um alarme para o operador, por e-mail ou pager, informando a probabilidade de a ocorrência ser uma invasão e o grau de alerta".

Atualmente, o sistema está sendo testado por algumas instituições civis e militares do Brasil. Paralelamente, os pesquisadores estão aprimorando o sistema para que este adote contramedidas automaticamente, sem necessidade de uma intervenção por parte do operador. A previsão é de que o sistema esteja totalmente disponível no mercado até o final de 2001. Maiores informações podem ser obtidas na página do laboratório Acme na Internet, no endereço www.acme-ids.org.

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2001. Todos os direitos reservados.