BR102021012820A2 - Método para previsão do estado de saúde de redes distribuídas através de redes neurais artificiais - Google Patents

Método para previsão do estado de saúde de redes distribuídas através de redes neurais artificiais Download PDF

Info

Publication number
BR102021012820A2
BR102021012820A2 BR102021012820-8A BR102021012820A BR102021012820A2 BR 102021012820 A2 BR102021012820 A2 BR 102021012820A2 BR 102021012820 A BR102021012820 A BR 102021012820A BR 102021012820 A2 BR102021012820 A2 BR 102021012820A2
Authority
BR
Brazil
Prior art keywords
asset
health status
identified
assets
real
Prior art date
Application number
BR102021012820-8A
Other languages
English (en)
Inventor
Andrea CARCANO
Moreno CARULLO
Original Assignee
Nozomi Networks Sagl
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nozomi Networks Sagl filed Critical Nozomi Networks Sagl
Publication of BR102021012820A2 publication Critical patent/BR102021012820A2/pt

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3447Performance evaluation by modeling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/04Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Mathematical Physics (AREA)
  • Business, Economics & Management (AREA)
  • Biophysics (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Human Resources & Organizations (AREA)
  • Computer Security & Cryptography (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Quality & Reliability (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Tourism & Hospitality (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Game Theory and Decision Science (AREA)
  • Operations Research (AREA)
  • General Business, Economics & Management (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Educational Administration (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • Automation & Control Theory (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

método para previsão do estado de saúde de redes distribuídas através de redes neurais artificiais. a presente invenção se refere a um método para previsão do estado de saúde de uma rede distribuída através de uma rede neural artificial que compreende a fase de identificação de um ou mais sites, um ou mais ativos dos sites e os enlaces entre os ativos identificados na referida rede distribuída, compreendendo a fase de avaliação do estado de saúde real de cada um dos ativos identificados, a fase de avaliação do estado de saúde real de cada um dos referidos sites identificados e a fase de previsão, através da rede neural artificial, do estado de saúde subsequente de cada um dos sites identificados de acordo com uma função de previsão com base em um conjunto de valores compreendendo a classificação do estado de integridade do ativo real, o risco de infecção do ativo real, o fator de infecção do ativo real, a classificação do estado de integridade do site real e o risco de infecção do site real.

Description

MÉTODO PARA PREVISÃO DO ESTADO DE SAÚDE DE REDES DISTRIBUÍDAS ATRAVÉS DE REDES NEURAIS ARTIFICIAIS Campo da Invenção
[001] A presente invenção se refere ao campo dos métodos de segurança e sistemas de segurança no gerenciamento de redes distribuídas, com referência específica a redes distribuídas. Em particular, a presente invenção se refere a um método para previsão do estado de saúde de redes distribuídas através do uso de redes neurais artificiais.
Fundamentos
[002] Um site representa um site físico onde uma certa quantidade de ativos acessíveis pela rede está localizada.
[003] Um ativo é um equipamento habilitado fisico (ou virtual, como por exemplo uma Máquina Virtual) para rede que está fisicamente conectado dentro da rede de um site. Um ativo pode ser um computador, um tablet, uma impressora ou qualquer outro tipo de dispositivo capaz de se comunicar em uma rede TCP/IP ou semelhante.
[004] Além disso, um ativo pode se comunicar ou ter a possibilidade de se comunicar com outros ativos. Nesse caso, eles têm um enlace comum que modela o fato de que um ativo pode se comunicar com outro ativo pela rede com algum protocolo. As redes de computadores podem ter vários componentes entre os ativos e existem diferentes tipos de equipamentos (roteadores, firewalls, firewalls de aplicativos, etc.) que podem inibir todos ou alguns protocolos entre dois ativos. Por esse motivo, um enlace precisa ter um “de" e um “para" ativo e um protocolo.
[005] Devido à natureza do software de rede, uma ou mais vulnerabilidades podem afetar um ou mais ativos e, como tal, estão comumente sujeitos a ataques que minam sua segurança.
[006] No mundo da segurança cibernética, é comum avaliar a postura de segurança de um determinado ativo ou sistema de forma estática, observando sua saúde atual, vulnerabilidades e medidas de segurança implementadas para evitar vários tipos de interrupção.
[007] Uma forma complexa de avaliar a vulnerabilidade de um sistema é avaliar todo o sistema, assim como cada ativo, com um sistema de pontuação do tipo CVSS que consiste em três grupos de métricas: Base, Temporal e Ambiental. O grupo Base representa as qualidades intrínsecas de uma vulnerabilidade que são constantes ao longo do tempo e entre os ambientes do usuário, o grupo Temporal reflete as características de uma vulnerabilidade que mudam ao longo do tempo e o grupo Ambiental representa as características de uma vulnerabilidade que são exclusivas de um usuário meio Ambiente. Resumindo, a métrica Base produz uma pontuação, que pode então ser modificada pontuando as métricas Temporal e Ambiental.
[008] De qualquer forma, analisar tais aspectos isoladamente e com uma abordagem estática pode dar uma falsa percepção da realidade e levar a conclusões incorretas.
[009] Seria, portanto, desejável ter um método capaz de prever o estado de saúde de um site em uma rede distribuída. Além disso, seria desejável ter um método capaz de prever melhor como o risco pode impactar o estado de saúde do sistema, analisando holisticamente a evolução do sistema ao longo do tempo. Finalmente, seria desejável ter um método capaz de prevenir estados de saúde anômalos ligados a mudanças na vulnerabilidade de ativos.
[0010] Da mesma forma, seria desejável ter um aparelho capaz de prever melhor como o risco pode impactar o estado de saúde do sistema, analisando holisticamente a evolução do sistema ao longo do tempo.
Breve Descrição da Invenção
[0011] O objetivo da presente invenção é prover um método para previsão do estado de saúde de uma rede distribuída por uma rede neural artificial capaz de minimizar as desvantagens acima mencionadas.
[0012] De acordo com a presente invenção é descrito, portanto, um método para previsão do estado de saúde de uma rede distribuída por rede neural artificial compreendendo a fase de identificação dos objetos na rede distribuída compreendendo as etapas de:
  • - identificar, através da unidade de processamento de dados computadorizada operativamente conectada à rede distribuída, um ou mais sites na rede distribuída;
  • - identificar, através da unidade de processamento de dados informatizados, um ou mais ativos de cada um dos sites identificados;
  • - identificar, através da unidade de processamento de dados computadorizada, os enlaces entre os ativos identificados, em que um enlace é definido por um pacote de dados trocado na rede distribuída tendo um campo de protocolo relacionado ao ativo remetente, um campo de protocolo relacionado ao ativo destinatário e um campo de protocolo que permite a comunicação entre o ativo remetente e o ativo destinatário, e em que para cada um dos enlaces o ativo remetente e o ativo destinatário definem nós e conexões entre o ativo remetente e o ativo destinatário definem o enlace entre os nós com uma direção de o ativo do remetente para o ativo do destinatário;
  • - armazenar, em uma unidade de armazenamento do tipo permanente operacionalmente conectada à unidade de processamento de dados, os sites identificados, os ativos identificados e os enlaces identificados para a rede distribuída;
em que o método para previsão do estado de saúde compreende ainda a fase de avaliação, em uma iteração real, o estado de saúde real de cada um dos ativos identificados, compreendendo as etapas de:
  • - avaliar, pela unidade de processamento de dados computadorizada, a classificação de estado de saúde de ativo real de cada um dos ativos identificados de acordo com um conjunto predefinido de valores de estado de saúde de ativo variando do pior estado de saúde de ativo ao melhor estado de saúde de ativo;
  • - avaliar, pela unidade de processamento de dados computadorizada, o risco real de infecção de ativos de cada um dos ativos identificados de acordo com um conjunto predefinido de valores de risco de infecção de ativos que variam do risco máximo de infecção de ativos a nenhum risco de infecção de ativos;
  • - calcular, pela rede neural artificial operada pela unidade de processamento de dados computadorizada, o fator de infecção de ativo real de cada um dos ativos identificados como probabilidade de que uma infecção do ativo pode se espalhar para outros ativos de acordo com os enlaces identificados;
em que o método para previsão do estado de saúde compreende ainda a fase de avaliação, em uma iteração real, do estado de saúde real de cada um dos sites identificados, compreendendo as etapas de:
  • - avaliar, pela unidade de processamento de dados computadorizada, a classificação real do estado de integridade do site de cada um dos sites identificados como igual ao valor mínimo do estado de integridade do ativo real dos ativos no site;
  • - avaliar, pela unidade de processamento de dados computadorizada, o risco real de infecção do site de cada um dos sites identificados como igual ao valor máximo de risco de infecção de ativo dos ativos no site; e,
em que o método para previsão do estado de saúde compreende ainda a fase de previsão, em uma iteração subsequente e pela rede neural artificial operada pela unidade de processamento de dados computadorizada, o estado de saúde subsequente de cada um dos sites identificados, de acordo com uma função de previsão com base em um conjunto de valores de previsão compreendendo a classificação real do estado de integridade do ativo, o risco real de infecção do ativo, o fator de infecção real do ativo, a classificação real do estado de integridade do site e o risco real de infecção do site.
[0013] O método de acordo com a presente invenção, portanto, permite avaliar a rede do site real em termos de risco e estado de saúde e prover uma previsão de como ela se comportará em um futuro próximo. Fazendo uso de uma rede neural artificial, é possível definir uma abordagem de aprendizado de máquina, em que a previsão é baseada nos eventos de aprendizado em um estado real.
[0014] A fase de avaliação do estado de saúde real de cada um dos ativos identificados e a fase de avaliação do estado de saúde real de cada um dos sites identificados são realizadas por um intervalo de tempo de aprendizagem predeterminado,
em que a classificação real do estado de integridade do ativo de cada um dos ativos identificados, o risco real de infecção do ativo de cada um dos ativos identificados, o fator de infecção real do ativo de cada um dos ativos identificados, a classificação real do estado de integridade do site de cada um dos sites identificados e o risco real de infecção do site de cada um dos sites identificados são armazenados na unidade de armazenamento.
[0015] O intervalo de tempo de aprendizado predeterminado define o tempo agendado para calcular a iteração real, portanto, a rede neural artificial pode ser treinada dentro do referido intervalo de tempo de aprendizado.
[0016] A fase de avaliação do estado de saúde real de cada um dos ativos identificados e a fase de avaliação do estado de saúde real de cada um dos sites identificados são realizadas por um intervalo de tempo de aprendizagem predeterminado,
em que a classificação real do estado de integridade do ativo de cada um dos ativos identificados, o risco real de infecção do ativo de cada um dos ativos identificados, o fator de infecção real do ativo de cada um dos ativos identificados, a classificação real do estado de integridade do site de cada um dos sites identificados e o risco real de infecção do site de cada um dos sites identificados compreende uma pluralidade de valores definidos em instantes de aprendizagem predeterminados no intervalo de tempo de aprendizagem predeterminado.
[0017] Dessa forma, as alterações em ativos ou sites são avaliadas em instantes predeterminados.
[0018] A fase de avaliação do estado de saúde real de cada um dos ativos identificados e a fase de avaliação do estado de saúde real de cada um dos sites identificados são realizadas por um intervalo de tempo de aprendizagem predeterminado,
em que a classificação real do estado de integridade do ativo de cada um dos ativos identificados, o risco real de infecção do ativo de cada um dos ativos identificados, o fator de infecção real do ativo de cada um dos ativos identificados, a classificação real do estado de integridade do site de cada um dos sites identificados e o risco real de infecção do site de cada um dos sites identificados compreendendo uma pluralidade de valores definidos mediante mudanças durante o intervalo de tempo de aprendizagem predeterminado.
[0019] Dessa forma, as alterações em ativos ou sites são avaliadas em sua ocorrência.
[0020] A fase de previsão do estado de saúde subsequente de cada um dos sites identificados é realizada por um intervalo de tempo de previsão predeterminado.
[0021] O intervalo de tempo de previsão predeterminado define o tempo agendado para calcular a próxima iteração, portanto, a rede neural artificial pode prever o estado de saúde dentro do referido intervalo de tempo de previsão.
[0022] A fase de avaliação do estado de saúde real de cada um dos ativos identificados e a fase de avaliação do estado de saúde real de cada um dos sites identificados são realizadas por um intervalo de tempo de aprendizagem predeterminado,
em que a fase de previsão do estado de saúde subsequente de cada um dos sites identificados é realizada por um intervalo de tempo de previsão predeterminado, e
em que o intervalo de tempo de previsão é igual ao intervalo de tempo de aprendizado.
[0023] Assim, o intervalo de previsão corresponde ao intervalo de treinamento.
[0024] A rede neural artificial é do tipo de retroalimentação treinada com retropropagação.
[0025] Dessa forma, a informação se move em apenas uma direção, para a frente, dos nós de entrada para os nós de saída. Não há ciclos ou loops na rede. Os valores de saída são comparados com o valor real para calcular o valor de alguma função de erro predefinida. O erro é então realimentado pela rede. Usando essas informações, o algoritmo ajusta os pesos de cada conexão para reduzir o valor da função de erro em um pequeno valor.
[0026] A rede neural artificial é uma rede de 3 camadas ocultas com pelo menos tantos neurônios na camada oculta quanto o número do conjunto de valores de previsão, e
em que uma rede neural artificial diferente é usada para cada um dos sites identificados.
[0027] Ao definir esse número de camadas e neurônios, é possível aproximar cada tipo de site, que possui sua própria rede neural artificial.
[0028] O conjunto de valores de previsão também compreende um valor de frequência de envelhecimento para cada um dos ativos identificados nos sites identificados,
em que o valor da frequência de envelhecimento para a próxima iteração é calculado, pela unidade de processamento de dados computadorizada, para cada um dos ativos, aplicando um fator de decaimento predeterminado ao fator de infecção de ativo real na iteração real.
[0029] A frequência de envelhecimento, portanto, permite rastrear a frequência de entidades e eventos ao longo do tempo e pode ser vista como a sinapse da rede neural artificial.
[0030] O fator de infecção é calculado para cada um dos ativos identificados, pela rede neural artificial operada pela unidade de processamento de dados informatizada, como o valor máximo entre o fator de vulnerabilidade real do ativo dos ativos, sendo a probabilidade de que uma vulnerabilidade afete o ativo, e o fator de propagação do ativo real do ativo, sendo a probabilidade de que um outro ativo ataque o ativo identificado de acordo com os enlaces identificados.
Descrição Detalhada da Invenção
[0031] A presente invenção se refere a um método para previsão do estado de saúde de uma rede distribuída por rede neural artificial.
[0032] O método de acordo com a presente invenção encontra aplicação útil em infraestruturas físicas ou virtuais ou sistemas de automação, em particular em sistemas de automação industrial, tais como processos industriais para produção de manufatura, processos industriais para geração de energia, infraestruturas para distribuição de fluidos (água, petróleo e gás), infraestruturas de produção e/ou transporte de energia elétrica, infraestruturas de gestão de transportes.
[0033] O termo “site” significa, na presente invenção, uma localização física onde uma certa quantidade de ativos alcançáveis pela rede está localizada.
[0034] O termo “de ativos” significa, na presente invenção, um equipamento habilitado para rede física ou virtual que está fisicamente conectado dentro da rede de um site. Um ativo pode ser um computador, um tablet, uma impressora ou qualquer outro tipo de dispositivo capaz de se comunicar em uma rede TCP/IP ou semelhante.
[0035] O termo “enlace” significa, na presente invenção, um modelo que representa uma comunicação entre dois ativos na rede com algum protocolo. Um ativo pode se comunicar ou ter a possibilidade de se comunicar com outros ativos. Se um ativo puder se comunicar com outro ativo, eles terão um enlace comum, conforme descrito acima. As redes de computadores podem ter vários componentes entre os ativos e existem diferentes tipos de equipamentos (roteadores, firewalls, firewalls de aplicativos, etc.) que podem inibir todos ou alguns protocolos entre dois ativos. Por esses motivos, um enlace precisa ter um “a partir de” e um “para” ativo, e um protocolo porque não é garantido que se um ativo a pode se conectar a um ativo b com um protocolo, o mesmo pode acontecer para o referido ativo b para o referido ativo a. Representar um enlace também é útil porque é possível criar um gráfico de acessibilidade de um ativo, que por sua vez pode ser usado para entender como as infecções podem se espalhar pela rede.
[0036] A rede distribuída pode, portanto, conectar uma pluralidade de sites que, por sua vez, podem ser fornecidos com um ou mais ativos. Este último poderia criar uma rede de interconexões por meio de enlaces, conforme descrito acima.
[0037] O método de acordo com a presente invenção permite identificar os elementos acima mencionados para previsão do estado de saúde da rede distribuída através de uma pluralidade de fases e fazendo uso de uma função de previsão implementada pela rede neural artificial. Em particular, o escopo da presente invenção é prever o estado de saúde da rede distribuída em duas iterações subsequentes, isto é, a iteração real e a iteração subsequente.
[0038] O termo “iteração real” significa, na presente invenção, uma iteração que ainda está em execução e para ser usada na fase de aprendizagem da rede neural artificial. A este respeito, o termo “intervalo de tempo de aprendizagem” significa, na presente invenção, um intervalo de tempo de acordo com a fase de aprendizagem para a rede neural artificial.
[0039] O termo “iteração subsequente” significa, na presente invenção, uma iteração que ainda não está em execução e a ser utilizada na fase de previsão da rede neural artificial. A este respeito, o termo “intervalo de tempo de previsão” significa, na presente invenção, um intervalo de tempo de acordo com a fase de previsão para a rede neural artificial.
[0040] Devido à natureza do software de rede, uma ou mais vulnerabilidades podem afetar o Ativo.
[0041] O termo “vulnerabilidade” significa, na presente invenção, um problema de segurança potencial que um determinado produto de hardware ou software (ou combinação dos mesmos) pode ter em uma determinada versão (ões). Uma determinada vulnerabilidade pode ser explorada de várias maneiras diferentes, e uma delas é via rede com um ou mais protocolos onde esses protocolos são usados para infectar o ativo em primeiro lugar ou para espalhar a infecção para mais ativos (os primeiros protocolos e o último pode ser diferente). É importante notar que esta representação contempla a existência de vulnerabilidades que podem ser exploradas de outras maneiras (por exemplo, entrega de um malware via chave USB), mas nesse caso o conjunto de protocolos estará vazio.
[0042] O termo “infecção” significa, na presente invenção, a ocorrência de algum malware dentro de uma rede e, particularmente, afetando um (ou mais) ativos, geralmente devido a alguma forma de vulnerabilidade. Outra propriedade de uma infecção é o fator de infecção (Fator I), expresso em termos de probabilidade P de que a infecção pode se espalhar para outro ativo, visto que também é afetado pela mesma vulnerabilidade.
[0043] O método de acordo com a presente invenção permite avaliar a rede do site real em termos de risco e estado de saúde e prover uma previsão sobre como ela se comportará em um futuro próximo. Fazendo uso de uma rede neural artificial, é possível definir uma abordagem de aprendizado de máquina, em que a previsão é baseada nos eventos de aprendizado em estado real, conforme descrito a seguir.
[0044] O método para previsão do estado de saúde de uma rede distribuída por rede neural artificial compreendendo de acordo com a presente invenção compreende três fases principais, em particular uma fase de identificação dos objetos na rede distribuída, uma fase subsequente de avaliação, em uma iteração real, a estado de saúde real de cada um dos ativos identificados, uma fase subsequente de avaliação, em uma iteração real, o estado de saúde real de cada um dos sites identificados e, finalmente, uma fase de previsão, em uma iteração subsequente e pela rede neural artificial , o estado de saúde subsequente de cada um dos sites identificados.
[0045] O método é de um modo preferido realizado fazendo uso de uma ou mais unidades de processamento de dados computadorizadas e, em particular, a rede neural artificial é operada por uma ou mais das ditas unidades de processamento de dados computadorizadas.
[0046] A fase de identificação dos objetos na rede distribuída compreende uma primeira etapa de identificação, pela unidade de processamento de dados computadorizada operativamente conectada à rede distribuída, um ou mais sites na rede distribuída e, em seguida, uma segunda etapa de identificação, pela unidade computadorizada unidade de processamento de dados, um ou mais ativos de cada um dos sites identificados.
[0047] Portanto, a rede distribuída pode compreender um ou mais sites que, por sua vez, podem compreender um ou mais ativos.
[0048] A fase de identificação dos objetos na rede distribuída compreende uma etapa adicional de identificação, pela unidade de processamento de dados computadorizada, os enlaces entre os ativos identificados, em que um enlace é definido por um pacote de dados trocado na rede distribuída tendo um campo de protocolo relacionado para o ativo do remetente, um campo de protocolo relacionado ao ativo do destinatário e um campo de protocolo que permite a comunicação entre o ativo do remetente e o ativo do destinatário, e em que para cada um dos enlaces o ativo do remetente e o ativo do destinatário definem nós e conexões entre o remetente ativo e o ativo destinatário definem o enlace entre os nós com uma direção do ativo emissor para o ativo destinatário.
[0049] Por fim, procede-se a mais uma etapa de armazenamento, numa unidade de armazenamento do tipo permanente ligada operativamente à unidade de processamento de dados, os sites identificados, os ativos identificados e as ligações identificadas para a rede distribuída.
[0050] Portanto, a referida fase de identificação dos objetos na rede distribuída permite definir toda a estrutura da rede distribuída a ser prevista, levando em consideração todas as conexões entre os objetos. Em particular, essas são as principais entidades e estruturas de dados. Em uma rede de computadores essas entidades evoluem ao longo do tempo de acordo com diversos tipos de eventos, que consequentemente alteram o estado de uma ou mais entidades envolvidas.
[0051] O boletim de segurança cibernética de um site compreende dois valores distintos, que são sua classificação de estado de saúde e seu risco de infecção. Conforme descrito para o site, o próprio ativo também possui um boletim de segurança cibernética que compreende a classificação do estado de saúde e o risco de infecção que expressam os mesmos conceitos, mas com foco em um ativo específico. A seguir são descritos os principais eventos que afetam a evolução da postura de segurança cibernética, de acordo com os valores acima mencionados.
[0052] O termo “classificação do estado de saúde” significa, na presente invenção, um valor codificado sobre o estado de saúde de um objeto, isto é, um site ou um ativo. De um modo preferido, a classificação do estado de saúde é um número selecionado em um intervalo predefinido que permite expressar um valor codificado de saúde de um pior valor para um melhor valor. Em particular, na presente invenção, a classificação do estado de saúde é um número decimal que varia entre o número 0 e o número 10, em que o número 0 expressa um estado de saúde muito ruim (pior) e o número 10 expressa um bom (melhor) estado de saúde. Um estado de saúde ruim significa que alguma infecção (geralmente um malware) está ativa no site em um ou mais ativos ou alguma outra forma de degradação de funcionalidade está ocorrendo devido a problemas de segurança cibernética.
[0053] A classificação do estado de saúde avaliada para um ativo é, portanto, expressa como classificação do estado de saúde do ativo, enquanto o mesmo para um site é, consequentemente, expresso como classificação do estado de saúde do site. Além disso, levando em consideração o tipo de iteração, conforme descrito acima, a classificação do estado de integridade de um ativo pode ser avaliada em uma iteração real, como a classificação do estado de integridade do ativo real ou ativo de integridade real de um ativo, e em uma iteração subsequente, como classificação de estado de integridade de ativo subsequente ou ativo de integridade subsequente de um ativo. O mesmo se aplica, mutatis mutandis, para um site que leva em consideração a iteração real, como classificação de estado de integridade do site real ou ativo de integridade real de um site e, em uma iteração subsequente, como classificação de estado de integridade do site subsequente ou ativo de integridade subsequente de um site.
[0054] O termo “risco de infecção” significa, na presente invenção, um valor codificado sobre o risco de um objeto ser infectado, ou seja, um site ou um ativo. De um modo preferido, o risco de infecção é um número selecionado em uma faixa predefinida que permite expressar um valor codificado do risco de infecção de um valor máximo a um valor mínimo. Em particular, na presente invenção, o risco de infecção é um número decimal que varia entre o número 0 e o número 10, em que o número 0 não expressa nenhum risco de ser infectado (melhor) e o número 10 expressa perto da certeza de ficar infectado (pior)
[0055] No sentido de avaliar os valores acima mencionados, o método de acordo com a presente invenção compreende a fase de avaliação, em uma iteração real, o estado de saúde real de cada um dos ativos identificados. Em particular, tal fase compreende uma etapa de avaliação, pela unidade de processamento de dados computadorizada, a classificação do estado de saúde do ativo real de cada um dos ativos identificados de acordo com um conjunto predefinido de valores de estado de saúde do ativo variando do pior estado de saúde do ativo para o melhor estado de saúde do ativo. Uma outra etapa de avaliação, pela unidade de processamento de dados computadorizada, do risco real de infecção de ativos de cada um dos ativos identificados de acordo com um conjunto predefinido de valores de risco de infecção de ativos variando do risco máximo de infecção de ativos a nenhum risco de infecção de ativos é realizada. Finalmente, uma etapa de cálculo, pela rede neural artificial operada pela unidade de processamento de dados computadorizada, o fator de infecção de ativo real de cada um dos ativos identificados como probabilidade de que uma infecção do ativo pode se espalhar para outros ativos de acordo com os enlaces identificados é realizado.
[0056] Levando em consideração os valores avaliados ou calculados para cada ativo de um site, o método de acordo com a presente invenção compreende a fase de avaliação, em uma iteração real, o estado de saúde real de cada um dos sites identificados. Em particular, tal fase compreende uma primeira etapa de avaliação, pela unidade de processamento de dados computadorizada, a classificação do estado de saúde do site real de cada um dos sites identificados como igual ao valor do estado de saúde do ativo real mínimo dos ativos no site e um segunda etapa de avaliação, pela unidade de processamento de dados computadorizada, o risco real de infecção do site de cada um dos sites identificados como igual ao valor máximo de risco de infecção de ativo dos ativos no site.
[0057] Um alto risco de infecção pode aumentar a classificação do estado de saúde em um curto período de tempo, enquanto um site com baixo risco de infecção provavelmente terá uma classificação de bom estado de saúde.
[0058] Com base nos intervalos acima mencionados, quando uma infecção está afetando um ativo, a classificação do estado de saúde correspondente é diminuída pelo valor de impacto da infecção na saúde, um número decimal entre o número 0 e o número 10, em que o número 10 expressa a interrupção máxima para uma classificação de estado de integridade de ativo. O impacto na saúde é derivado das vulnerabilidades usadas para infectar, considerando o impacto máximo na saúde delas.
[0059] O termo “vulnerabilidade” significa, na presente invenção, a incapacidade de um objeto de resistir aos efeitos de um ambiente hostil. Uma vulnerabilidade é caracterizada pelo conjunto de condições (por exemplo, versão do software) que precisam existir no ativo para estar disponível um fator de risco.
[0060] As fases acima mencionadas, ou seja, a fase de avaliação do estado de saúde real de cada um dos ativos identificados e a fase de avaliação do estado de saúde real de cada um dos sites identificados, permite o treinamento (ou fase de aprendizagem) do design da rede neural artificial para realizou o método, conforme descrito a seguir em maiores detalhes. As redes neurais artificiais (RNA) são sistemas computacionais inspirados nas redes neurais biológicas. Esses sistemas aprendem a executar tarefas considerando exemplos, geralmente sem serem programados com regras específicas para tarefas. Uma RNA é baseada em uma coleção de unidades conectadas ou nós chamados neurônios artificiais (ou simplesmente neurônios), que modelam vagamente os neurônios em um cérebro biológico. Cada conexão, como as sinapses em um cérebro biológico, pode transmitir um sinal a outros neurônios. Um neurônio artificial que recebe um sinal, o processa e pode sinalizar os neurônios conectados a ele. Normalmente, os neurônios são agregados em camadas. Camadas diferentes podem realizar transformações diferentes em suas entradas. Os sinais viajam da primeira camada (a camada de entrada) até a última camada (a camada de saída), possivelmente depois de atravessar as camadas várias vezes.
[0061] Em uma modalidade, a rede neural artificial da presente invenção é do tipo retroalimentação treinada com retropropagação.
[0062] Uma rede neural retroalimentação é uma rede neural artificial em que as conexões entre os nós não formam um ciclo, em que a informação se move em apenas uma direção, para a frente, a partir dos nós de entrada, através dos nós ocultos (se houver) e para a saída nós. Não há ciclos ou loops na rede. Os valores de saída são comparados com o valor real para calcular o valor de alguma função de erro predefinida. O erro é então realimentado pela rede. Usando essas informações, o algoritmo ajusta os pesos de cada conexão para reduzir o valor da função de erro em um pequeno valor.
[0063] Em uma modalidade, a rede neural artificial é uma rede de 3 camadas ocultas com pelo menos tantos neurônios na camada oculta quanto o número do conjunto de valores de previsão. Em particular, o número ou sites a serem avaliados define o número de redes neurais artificiais a serem usadas, em que uma rede neural artificial diferente é usada para cada um dos sites identificados.
[0064] Ao definir esse número de camadas e neurônios, é possível aproximar cada tipo de site, que possui sua própria rede neural artificial.
[0065] Na RNA multicamada que faz uso de retropropagação, os valores de saída são comparados com a resposta correta para calcular o valor de alguma função de erro predefinida. Por várias técnicas, o erro é então realimentado pela rede. Usando essas informações, o algoritmo ajusta os pesos de cada conexão para reduzir o valor da função de erro em um pequeno valor. Depois de repetir esse processo por um número suficientemente grande de ciclos de treinamento, a rede geralmente convergirá para algum estado onde o erro dos cálculos seja pequeno, de modo que a RNA tenha aprendido uma determinada função alvo.
[0066] Em uma modalidade, a fase de avaliação do estado de saúde real de cada um dos ativos identificados e a fase de avaliação do estado de saúde real de cada um dos sites identificados são realizadas por um intervalo de tempo de aprendizagem predeterminado, em que a classificação do estado de saúde do ativo real de cada um dos ativos identificados, o risco real de infecção do ativo de cada um dos ativos identificados, o fator de infecção real do ativo de cada um dos ativos identificados, a classificação real do estado de integridade do site de cada um dos sites identificados e o risco real de infecção do site de cada um dos sites identificados são armazenados na unidade de armazenamento.
[0067] O intervalo de tempo de aprendizado predeterminado define o tempo agendado para calcular a iteração real, portanto, a rede neural artificial pode ser treinada dentro do referido intervalo de tempo de aprendizado.
[0068] Em particular, a fase de avaliação do estado de saúde real de cada um dos ativos identificados e a fase de avaliação do estado de saúde real de cada um dos sites identificados são realizadas por um intervalo de tempo de aprendizagem predeterminado, em que a classificação do estado de saúde do ativo real de cada um dos ativos identificados, o risco real de infecção do ativo de cada um dos ativos identificados, o fator de infecção real do ativo de cada um dos ativos identificados, a classificação real do estado de integridade do site de cada um dos sites identificados e o risco real de infecção do site de cada dos sites identificados compreendem uma pluralidade de valores definidos em instantes de aprendizagem predeterminados no intervalo de tempo de aprendizagem predeterminado.
[0069] Dessa forma, as alterações em ativos ou sites são avaliadas em instantes predeterminados.
[0070] Alternativamente, ou em combinação com os recursos acima mencionados, a fase de avaliação do estado de saúde real de cada um dos ativos identificados e a fase de avaliação do estado de saúde real de cada um dos sites identificados são realizadas por um intervalo de tempo de aprendizagem predeterminado , em que a classificação real do estado de integridade do ativo de cada um dos ativos identificados, o risco real de infecção do ativo de cada um dos ativos identificados, o fator de infecção real do ativo de cada um dos ativos identificados, a classificação real do estado de integridade do site de cada um dos sites e o risco de infecção de site real de cada um dos sites identificados compreendendo uma pluralidade de valores definidos mediante mudanças durante o intervalo de tempo de aprendizagem predeterminado.
[0071] Dessa forma, as alterações em ativos ou sites são avaliadas em sua ocorrência.
[0072] Em uma modalidade, o conjunto de valores de previsão também compreende um valor de frequência de envelhecimento para cada um dos ativos identificados nos sites identificados, em que o valor de frequência de envelhecimento para a próxima iteração é calculado, pela unidade de processamento de dados computadorizada, para cada um dos ativos aplicando um fator de degradação para o fator de infecção de ativo real na iteração real.
[0073] A frequência de envelhecimento, portanto, permite rastrear a frequência de entidades e eventos ao longo do tempo e pode ser vista como a sinapse da rede neural artificial.
[0074] A frequência de envelhecimento permite rastrear a frequência de entidades e eventos ao longo do tempo, pode ser vista como a sinapse de uma rede neural artificial. Na verdade, essa estrutura de dados é a base do algoritmo de aprendizagem e predição que permite entender o comportamento atual e futuro do sistema. A frequência de envelhecimento pode ser usada para rastrear a frequencia de um único objeto ou para calcular uma matriz de correlação. Em ambas as situações, a ideia central é que essa estrutura de dados represente o conhecimento de um determinado evento, cuja importância vai diminuindo ao longo do tempo. Por exemplo, ao rastrear a probabilidade de um ativo infectar outro ativo, podemos representá-lo como a matriz AgingFrequencyProbabilityOfContagion(Asseti,Assetj) cujo valor pode ser inicializado com uma certa quantidade de - digamos, 0,5. Ao iterar para o próximo ciclo da frequência de envelhecimento, cada valor da matriz é atualizado com um fator de decaimento que diminui todas as probabilidades pelo valor do fator de decaimento. No caso de um fator de decaimento de 0,01, a cada iteração o AgingFrequencyProbabilityOfContagion(Asseti,Assetj) é ajustado e, portanto, caso a iteração anterior fosse 0,5, o novo valor seria 0,49. Diferentes estruturas de frequência de envelhecimento (para rastrear objetos diferentes) podem usar diferentes fatores de decaimento.
[0075] Posteriormente à fase de aprendizagem, o método de previsão do estado de saúde compreende ainda a fase de previsão, em uma iteração subsequente e pela rede neural artificial operada pela unidade de processamento de dados computadorizada, o estado de saúde subsequente de cada um dos sites identificados, de acordo com uma função de previsão com base em um conjunto de valores de previsão compreendendo a classificação do estado de integridade do ativo real, o risco de infecção do ativo real, o fator de infecção do ativo real, a classificação do estado de integridade do site real e o risco de infecção do site real.
[0076] De um modo preferido, o fator de infecção é calculado para cada um dos ativos identificados, pela rede neural artificial operada pela unidade de processamento de dados informatizada, como o valor máximo entre o fator de vulnerabilidade real do ativo dos ativos, sendo a probabilidade de que uma vulnerabilidade afete o ativo, e o fator de propagação do ativo real do ativo, sendo a probabilidade de que um outro ativo ataque o ativo identificado de acordo com os enlaces identificados.
[0077] Portanto, a função de previsão usa uma abordagem de aprendizado de máquina, de um modo preferido com uma Rede Neural Artificial Retroalimentação (RNA) treinada com Retropropagação, que é usada para construir um modelo para entender a relação entre todos os fatores considerados (entre eles e ao longo do tempo), para cada ativo.
[0078] Levando em consideração alguns eventos a serem avaliados, um evento pode ser definido por uma “conexão ”, que ocorre sempre que um ativo se comunica com outro ativo, com um determinado protocolo e aplicativo. Quando esse evento ocorre, um enlace é criado ou atualizado de acordo.
[0079] Um outro evento pode ser definido por um “ataque”, que pode ocorrer em um determinado momento em um ativo alvo por um ativo invasor ou um invasor externo, causando a criação de uma nova infecção. O ataque usa uma ou mais vulnerabilidades. Quando uma infecção é criada, essas atualizações são acionadas no método:
- a classificação do estado de saúde do ativo infectado é atualizada;
- frequência(s) de envelhecimento é (são) atualizada(s)
○ Aging Frequency ProbabilityOfBeingExploited(Vulnerability) =1
  • ■ a probabilidade de que um ativo com determinada vulnerabilidade possa ser afetado por ela está sendo aumentada;
○ AgingFrequency Asset(ProbabilityOfBeingAttacked)= 1
  • ■ a probabilidade de que um ativo seja atacado é alta.
[0080] Além disso, o evento “Mudança de software” pode ocorrer quando um novo software é instalado no sistema, seja um completamente novo ou uma atualização para um já instalado. Às vezes, a atualização de um software é referida como “Remendo” (“Patching”). Um remendo, ou uma série de remendos, pode ser devido à vontade de remover uma infecção de um ativo. Quando um software está sendo instalado ou atualizado, um ativo pode ter algumas vulnerabilidades resolvidas ou novas podem aparecer. O fator de risco de um Ativo é atualizado: seu risco é calculado encontrando o valor máximo de risco nas vulnerabilidades que o afetam. Se o evento de alteração de software estiver removendo uma infecção, essas atualizações também serão realizadas:
- a classificação do estado de integridade do ativo infectado é atualizada conforme descrito;
- frequência(s) de envelhecimento é (são) atualizada(s):
○ AgingFrequency ProbabilityOfBeingExploited(Vulnerability) =0
  • ■ Se este evento não está deixando um único ativo vulnerável a determinada vulnerabilidade;
○ AgingFrequency ProbabilityOfBeingExploited(Asset) =0
  • ■ se este evento está corrigindo todas as vulnerabilidades que existem para o Ativo.
[0081] Finalmente, o evento “contágio” pode ocorrer quando um ativo infectado espalha sua infecção para outro ativo. O evento é semelhante a um ataque, mas é rastreado de forma diferente para poder prever melhor as evoluções futuras do sistema. Várias atualizações são acionadas no método, de forma semelhante, mas diferente para um ataque:
- a classificação do estado de integridade do ativo infectado é atualizada conforme descrito;
- frequência(s) de envelhecimento é(são) atualizada(s):
○ AgingFrequency ProbabilityOfBeingExploited(Vulnerability) -1
  • ■ a probabilidade de que um ativo com determinada vulnerabilidade possa ser afetado por ela está aumentando;
○ AgingFrequency ProbabilityOfContagion(AssetX,AssetY) =1
  • ■ a probabilidade de que o ativox possa infectar o ativoy aumenta.
○ AgingFrequencyAsset(ProbabilityOfBeingAttacked) =1
  • ■ a probabilidade de que um ativo seja atacado é alta.
[0082] A abordagem da presente invenção permite calcular a classificação do estado de saúde e o risco de infecção de um site (com base nos mesmos cálculos para os ativos correspondentes), e o cálculo desses dois valores ao longo do tempo permite rastrear e prever a postura de segurança cibernética de redes complexas, geograficamente distribuídas e interconectadas.
[0083] A ideia do método é que uma situação ideal, inicial no tempo 0 (primeira iteração) quando tudo é instalado do zero no site e tem um software novo e seguro, tem uma situação perfeita onde todos os ativos têm risco de infecção por um valor igual a 0 e o estado de saúde é classificado em um valor igual a 10.
[0084] A partir da segunda iteração, esta situação inicial e ideal é rapidamente deteriorada por ativos que são infectados por algum ator externo: esses eventos são impulsionados pela existência e evolução de vulnerabilidades e quão grande é a superfície de ataque daquelas, por exemplo, se alguma medida de defesa é no site para evitá-los.
[0085] A partir da segunda iteração, os ativos podem ser contaminados por outros ativos infectados. Este fluxo é impulsionado principalmente pelo Fator I das infecções em curso e as medidas que podem ser aplicadas para prevenir a propagação da infecção. Obviamente, na segunda iteração e em diante, o fluxo de infecção do ator externo também permanece ativo.
[0086] Em uma modalidade, a fase de previsão do estado de saúde subsequente de cada um dos sites identificados é realizada por um intervalo de tempo de previsão predeterminado. Em particular, o intervalo de tempo de previsão predeterminado define o tempo agendado para calcular a próxima iteração, portanto, a rede neural artificial pode prever o estado de saúde dentro do referido intervalo de tempo de previsão.
[0087] De um modo preferido, a fase de avaliação do estado de saúde real de cada um dos ativos identificados e a fase de avaliação do estado de saúde real de cada um dos sites identificados são realizadas por um intervalo de tempo de aprendizagem predeterminado, em que a fase de previsão do estado de saúde subsequente de cada um dos sites identificados é realizada para um intervalo de tempo de previsão predeterminado, e em que o intervalo de tempo de previsão é igual ao intervalo de tempo de aprendizagem. Assim, o intervalo de previsão corresponde ao intervalo de treinamento.
[0088] A função de previsão tenta entender o que acontece na iteração subsequente, acontecendo após um intervalo de tempo de previsão predeterminado. O intervalo de tempo de previsão para a função pode ser definido, por exemplo, para 24 horas - o método tentará prever o estado do sistema nas próximas 24 horas, supondo que todas as entidades e estruturas de dados sejam atualizadas para o estado atual. É importante observar que, se o intervalo de tempo de previsão precisar ser alterado, todo o aprendizado precisa ser iniciado do zero.
[0089] Como já descrito, a função de previsão usa uma abordagem de aprendizado de máquina com uma rede neural artificial retroalimentação treinada com retropropagação, que é usada para construir um modelo para entender a relação entre todos os fatores considerados (entre eles e ao longo do tempo), para cada ativo, que é:
fAtivo_a(x) = y
em que “x” é chamado de um padrão de um determinado conjunto de recursos para o ativo e “y” é a nova classificação de estado de saúde estimada.
[0090] De um modo preferido, o vetor “x” é um padrão de recursos, conforme descrito neste documento:
  • - classificação atual do estado de saúde do Ativoa;
  • - AgingFrequencyprobabiiityOjBeingExpioited(Asset-a) para o Ativoa;
  • - valores “n” mais altos de AgingFrequencyProbabilityOfBeingExploited(Vulnerability) que afetam o Ativoa;
  • - valores n mais altos de AgingFrequencyProbabilityOfContagion(Asset_b, Asset-a) onde o Ativob é vizinhos do Ativoa com um enlace para isso;
  • - valores “n” mais altos das infecções ativas do Fator I no ativob, em que o ativob é vizinho de ativoa com um enlace para isso.
[0091] A rede neural artificial para estimar fAtivo_a é uma rede de 3 camadas ocultas com pelo menos o mesmo número de neurônios na camada oculta para o número de recursos, ou seja, 3*n + 2.
[0092] O método é treinado desta forma. A qualquer momento, para ativos uma, nós temos aquele X uma tem o mais recente “M” entradas, para permitir que o método evolua ao longo do tempo e não seja influenciado por comportamentos anteriores.
[0093] Nas primeiras iterações (reais), os padrões são registrados observando o comportamento. O método adiciona aos padrões disponíveis X uma os pares (x, y) calculando os recursos para “x” considerando a classificação do estado de saúde anterior e tomando “y ” como a classificação do estado de saúde atual.
[0094] Quando pelo menos “z” iterações foram feitas (fase de aprendizagem), com “z ” sendo um parâmetro a ser definido durante a fase de aprendizagem, o método passa a prever o comportamento. Para cada ativo a ele se treina para estimar fAtivo_a dividir pegando 2/3 aleatórios de X uma e usar o restante 1/3 para validar seu desempenho usando alguma forma de métrica como precisão geral, não descrita em detalhes. Se a precisão geral da predição estiver acima de um número predeterminado, ou seja, 0,9 - isso significa que o erro de predição foi inferior a 10% no conjunto de teste - o valor previsto da classificação do estado de saúde para o ativo é fAtivo _a(x) = y. Em qualquer caso, a cada iteração, o valor real observado para (x, y) é adicionado a X uma para melhorar a previsão futura em novas iterações.
[0095] Para cada tabela de frequência de envelhecimento, para cada entrada, o fator de decaimento é aplicado para a próxima iteração.
[0096] As etapas acima permitem prever a classificação do estado de saúde subsequente para cada ativo. A classificação de estado de integridade subsequente do site é igual à classificação mínima de estado de integridade prevista do ativo de que é composto.
[0097] A abordagem acima permite uma operação completa e não supervisionada do algoritmo. No caso de uma função de combinação de ativos para site mais complexa ser desejada, por exemplo, para dar menos peso aos Ativos principalmente isolados, mais algumas etapas são necessárias e um especialista humano é necessário para prover conhecimento ao sistema para entender a política de agregação desejada.
[0098] O método de acordo com a presente invenção permite, portanto, calcular um boletim automático sobre o estado da rede de um site em termos de risco e estado de saúde atual e prover uma previsão de como ele se comportará em um futuro próximo.

Claims (10)

  1. Método para previsão do estado de saúde de uma rede distribuída através de rede neural artificial, caracterizado pelo fato de que compreende a fase de identificação dos objetos na referida rede distribuída, que compreende as etapas de:
    • - identificar, através da unidade de processamento de dados computadorizada operativamente conectada à referida rede distribuída, um ou mais sites na referida rede distribuída;
    • - identificar, através da referida unidade de processamento de dados computadorizada, um ou mais ativos de cada um dos referidos sites identificados;
    • - identificar, através da referida unidade de processamento de dados computadorizada, os enlaces entre os referidos ativos identificados, em que um enlace é definido por um pacote de dados trocado na referida rede distribuída tendo um campo de protocolo relacionado ao ativo remetente, um campo de protocolo relacionado ao ativo destinatário e um campo de protocolo que permite a comunicação entre o referido ativo remetente e o referido ativo destinatário, e em que para cada um dos referidos enlaces, o referido ativo remetente e o referido ativo destinatário definem nós e as conexões entre o referido ativo remetente e o referido ativo destinatário definem a referida ligação entre os referidos nós com uma direção do referido recurso remetente para o referido recurso destinatário;
    • - armazenar, em uma unidade de armazenamento do tipo permanente operativamente conectada à referida unidade de processamento de dados, os referidos sites identificados, os referidos ativos identificados e os referidos enlaces identificados para a referida rede distribuída;
    em que o referido método para previsão do estado de saúde compreende adicionalmente a fase de avaliação, em uma iteração real, do estado de saúde real de cada um dos referidos ativos identificados compreendendo as etapas de:
    • - avaliar, através da referida unidade de processamento de dados computadorizada, a classificação do estado de saúde de ativo real de cada um dos referidos ativos identificados de acordo com um conjunto predefinido de valores de estado de saúde de ativo variando do pior estado de saúde de ativo ao melhor estado de saúde de ativo;
    • - avaliar, através da referida unidade de processamento de dados computadorizada, o risco real de infecção de ativos de cada um dos referidos ativos identificados de acordo com um conjunto predefinido de valores de risco de infecção de ativos que variam do risco máximo de infecção de ativos a nenhum risco de infecção de ativos;
    • - calcular, através da referida rede neural artificial operada através da referida unidade de processamento de dados computadorizada, o fator de infecção de ativo real de cada um dos referidos ativos identificados como probabilidade de que uma infecção do referido ativo pode se espalhar para outros ativos de acordo com os referidos enlaces identificados;
    em que o referido método para previsão do estado de saúde compreende adicionalmente a fase de avaliação, em referida iteração real, do estado de saúde real de cada um dos referidos sites identificados compreendendo as etapas de:
    • - avaliar, através da referida unidade de processamento de dados computadorizada, a classificação do estado de saúde do site real de cada um dos referidos sites identificados como igual ao valor do estado de saúde do ativo real mínimo dos referidos ativos no referido site;
    • - avaliar, através da referida unidade de processamento de dados computadorizada, o risco real de infecção do site de cada um dos referidos sites identificados como igual ao valor máximo de risco de infecção de ativos dos referidos ativos no referido site; e
    em que o referido método para previsão do estado de saúde compreende adicionalmente a fase de previsão, através da referida rede neural artificial operada através da referida unidade de processamento de dados computadorizada, o estado de saúde subsequente de cada um dos referidos sites identificados em uma iteração subsequente de acordo com uma função de previsão com base em um conjunto de valores de previsão compreendendo a classificação do estado de saúde do ativo real, o risco de infecção do ativo real, o fator de infecção do ativo real, a classificação do estado de saúde do site real e o risco de infecção do site real.
  2. Método para previsão do estado de saúde de uma rede distribuída através de rede neural artificial de acordo com a reivindicação 1, caracterizado pelo fato de que a referida fase de avaliação do estado de saúde real de cada um dos referidos ativos identificados e a referida fase de avaliação do estado de saúde real de cada um dos referidos sites identificados são realizado por um intervalo de tempo de aprendizagem predeterminado, e
    em que a referida classificação do estado de saúde do ativo real de cada um dos referidos ativos identificados, o referido risco de infecção do ativo real de cada um dos referidos ativos identificados, o referido fator de infecção do ativo real de cada um dos referidos ativos identificados, a referida classificação do estado de saúde do site real de cada um dos referidos sites identificados e o referido risco real de infecção do site de cada um dos referidos sites identificados é armazenado na referida unidade de armazenamento.
  3. Método para previsão do estado de saúde de uma rede distribuída através de rede neural artificial de acordo com a reivindicação 1, caracterizado pelo fato de que a referida fase de avaliação do estado de saúde real de cada um dos referidos ativos identificados e a referida fase de avaliação do estado de saúde real de cada um dos referidos sites identificados são realizado por um intervalo de tempo de aprendizagem predeterminado, e
    em que a referida classificação do estado de saúde do ativo real de cada um dos referidos ativos identificados, o referido risco de infecção do ativo real de cada um dos referidos ativos identificados, o referido fator de infecção do ativo real de cada um dos referidos ativos identificados, a referida classificação do estado de saúde do site real de cada um dos referidos sites identificados e o referido risco de infecção do site real de cada um dos referidos sites identificados compreende uma pluralidade de valores definidos em instantes de aprendizagem predeterminados no referido intervalo de tempo de aprendizagem predeterminado.
  4. Método para previsão do estado de saúde de uma rede distribuída através de rede neural artificial de acordo com a reivindicação 1, caracterizado pelo fato de que a referida fase de avaliação do estado de saúde real de cada um dos referidos ativos identificados e a referida fase de avaliação do estado de saúde real de cada um dos referidos sites identificados são realizadas por um intervalo de tempo de aprendizagem predeterminado, e
    em que a referida classificação do estado de saúde do ativo real de cada um dos referidos ativos identificados, o referido risco de infecção do ativo real de cada um dos referidos ativos identificados, o referido fator de infecção do ativo real de cada um dos referidos ativos identificados, a referida classificação do estado de saúde do site real de cada um dos referidos sites identificados e o referido risco de infecção de site real de cada um dos referidos sites identificados compreendendo uma pluralidade de valores definidos mediante alterações durante o referido intervalo de tempo de aprendizagem predeterminado.
  5. Método para previsão do estado de saúde de uma rede distribuída através de rede neural artificial de acordo com a reivindicação 1, caracterizado pelo fato de que a referida fase de previsão do estado de saúde subsequente de cada um dos referidos sites identificados é realizada por um intervalo de tempo de previsão predeterminado.
  6. Método para previsão do estado de saúde de uma rede distribuída através de rede neural artificial de acordo com a reivindicação 1, caracterizado pelo fato de que a referida fase de avaliação do estado de saúde real de cada um dos referidos ativos identificados e a referida fase de avaliação do estado de saúde real de cada um dos referidos sites identificados são realizado por um intervalo de tempo de aprendizagem predeterminado,
    em que a referida fase de previsão do estado de saúde subsequente de cada um dos referidos sites identificados é realizada por um intervalo de tempo de previsão predeterminado, e
    em que o referido intervalo de tempo de previsão é igual ao intervalo de tempo de aprendizagem.
  7. Método para previsão do estado de saúde de uma rede distribuída através de rede neural artificial de acordo com a reivindicação 1, caracterizado pelo fato de que a referida rede neural artificial é do tipo de retroalimentação treinada com retropropagação.
  8. Método para previsão do estado de saúde de uma rede distribuída através de rede neural artificial de acordo com a reivindicação 1, caracterizado pelo fato de que a referida rede neural artificial é uma rede de 3 camadas ocultas com pelo menos tantos neurônios na referida camada oculta quanto o número do referido conjunto de previsão valores e
    em que uma rede neural artificial diferente é usada para cada um dos referidos sites identificados.
  9. Método para previsão do estado de saúde de uma rede distribuída através de rede neural artificial de acordo com a reivindicação 1, caracterizado pelo fato de que o referido conjunto de valores de previsão também compreende um valor de frequência de envelhecimento para cada um dos referidos ativos identificados nos referidos sites identificados,
    em que o referido valor de frequência de envelhecimento para a referida próxima iteração é calculado, através da referida unidade de processamento de dados computadorizada, para cada um dos referidos ativos, aplicando um fator de decaimento predeterminado ao referido fator de infecção de ativo real na referida iteração real.
  10. Método para previsão do estado de saúde de uma rede distribuída através de rede neural artificial de acordo com a reivindicação 1, caracterizado pelo fato de que o referido fator de infecção é calculado para cada um dos referidos ativos identificados, através da referida rede neural artificial operada através da referida unidade de processamento de dados computadorizada, como o valor máximo entre o fator de vulnerabilidade do ativo real dos referidos ativos, sendo a probabilidade de uma vulnerabilidade afetar o referido ativo, e o fator de propagação do ativo real do referido ativo, sendo a probabilidade de um outro ativo atacar o referido ativo identificado de acordo com os referidos enlaces identificados.
BR102021012820-8A 2020-06-29 2021-06-28 Método para previsão do estado de saúde de redes distribuídas através de redes neurais artificiais BR102021012820A2 (pt)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/915,326 US11586921B2 (en) 2020-06-29 2020-06-29 Method for forecasting health status of distributed networks by artificial neural networks
US16/915,326 2020-06-29

Publications (1)

Publication Number Publication Date
BR102021012820A2 true BR102021012820A2 (pt) 2022-01-11

Family

ID=76695640

Family Applications (1)

Application Number Title Priority Date Filing Date
BR102021012820-8A BR102021012820A2 (pt) 2020-06-29 2021-06-28 Método para previsão do estado de saúde de redes distribuídas através de redes neurais artificiais

Country Status (9)

Country Link
US (1) US11586921B2 (pt)
EP (1) EP3934202A1 (pt)
JP (1) JP2022013823A (pt)
CN (1) CN113934587A (pt)
AU (1) AU2021204299A1 (pt)
BR (1) BR102021012820A2 (pt)
CA (1) CA3123332A1 (pt)
MX (1) MX2021007883A (pt)
TW (1) TW202201930A (pt)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11281806B2 (en) * 2018-12-03 2022-03-22 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
US11184385B2 (en) 2018-12-03 2021-11-23 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
CN115618353B (zh) * 2022-10-21 2024-01-23 北京珞安科技有限责任公司 一种工业生产安全的识别系统及方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115133A1 (en) * 2001-12-13 2003-06-19 Dun & Bradstreet, Inc. Higher risk score for identifying potential illegality in business-to-business relationships
US8359650B2 (en) * 2002-10-01 2013-01-22 Skybox Secutiry Inc. System, method and computer readable medium for evaluating potential attacks of worms
US8239498B2 (en) * 2005-10-28 2012-08-07 Bank Of America Corporation System and method for facilitating the implementation of changes to the configuration of resources in an enterprise
US20080134046A1 (en) * 2006-12-05 2008-06-05 Microsoft Corporation Aggregated computer health
US8595845B2 (en) * 2012-01-19 2013-11-26 Mcafee, Inc. Calculating quantitative asset risk
US9912683B2 (en) * 2013-04-10 2018-03-06 The United States Of America As Represented By The Secretary Of The Army Method and apparatus for determining a criticality surface of assets to enhance cyber defense
US9940467B2 (en) * 2016-06-10 2018-04-10 Optum, Inc. Systems and apparatuses for architecture assessment and policy enforcement
US11063836B2 (en) * 2017-03-21 2021-07-13 Cisco Technology, Inc. Mixing rule-based and machine learning-based indicators in network assurance systems
US10853739B2 (en) * 2017-06-09 2020-12-01 Sap Se Machine learning models for evaluating entities in a high-volume computer network
US11080639B2 (en) * 2018-05-29 2021-08-03 Visa International Service Association Intelligent diversification tool

Also Published As

Publication number Publication date
JP2022013823A (ja) 2022-01-18
EP3934202A1 (en) 2022-01-05
US20210406675A1 (en) 2021-12-30
AU2021204299A1 (en) 2022-01-20
MX2021007883A (es) 2022-01-18
CN113934587A (zh) 2022-01-14
US11586921B2 (en) 2023-02-21
TW202201930A (zh) 2022-01-01
CA3123332A1 (en) 2021-12-29

Similar Documents

Publication Publication Date Title
BR102021012820A2 (pt) Método para previsão do estado de saúde de redes distribuídas através de redes neurais artificiais
Miehling et al. A POMDP approach to the dynamic defense of large-scale cyber networks
Kaynar A taxonomy for attack graph generation and usage in network security
Kim et al. Long short term memory recurrent neural network classifier for intrusion detection
Munoz-Gonzalez et al. Efficient attack graph analysis through approximate inference
Servin et al. Multi-agent reinforcement learning for intrusion detection
Kagan et al. Generic anomalous vertices detection utilizing a link prediction algorithm
Blowers et al. Machine learning applied to cyber operations
Long et al. A hybrid method of entropy and SSAE-SVM based DDoS detection and mitigation mechanism in SDN
Seth et al. Intrusion detection based on key feature selection using binary GWO
CN114726557A (zh) 一种网络安全防护方法及装置
Seth et al. MIDS: Metaheuristic based intrusion detection system for cloud using k-NN and MGWO
Alohali et al. Swarm intelligence for IoT attack detection in fog-enabled cyber-physical system
Ingale et al. Enhancing multi-step attack prediction using hidden Markov model and Naive Bayes
Gupta et al. Artificial intrusion detection techniques: a survey
Mern et al. Autonomous attack mitigation for industrial control systems
CN115277065A (zh) 一种物联网异常流量检测中的对抗攻击方法及装置
Prasad et al. DEFAD: ensemble classifier for DDOS enabled flood attack defense in distributed network environment
Bhosale et al. Cooperative machine learning for intrusion detection system
Stavrou et al. Keep your friends close: the necessity for updating an anomaly sensor with legitimate environment changes
Ab Ghani et al. A Review of Artificial Neural Network Applications in Variants of Optimization Algorithms
JP7170955B1 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
Girish et al. DadGAN: DDOS Anomaly Detection using Generative Adversarial Network
Takieddine Seddik et al. Detection of Flooding Attack on OBS Network Using Ant Colony Optimization and Machine Learning
Jain et al. An approach to predictively securing critical cloud infrastructures through probabilistic modeling

Legal Events

Date Code Title Description
B03A Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette]