Protegendo o futuro: O impacto da inteligência artificial na segurança de dados

 Introdução

A Inteligência Artificial (IA) tem desempenhado um papel cada vez mais importante na segurança de dados. Com o aumento constante da quantidade de dados gerados e armazenados em diversas plataformas e sistemas, tornou-se cada vez mais difícil proteger esses dados de ameaças como hackers, malwares e outras formas de ataques cibernéticos. 

A IA pode ajudar a resolver esse problema por meio de suas capacidades avançadas de análise e previsão. Com algoritmos avançados de aprendizado de máquina e análise de dados em tempo real, a IA pode detectar anomalias e padrões incomuns nos dados, que podem indicar uma possível violação de segurança. A IA também pode ser usada para proteger os dados no armazenamento, no acesso e durante a transmissão, com sistemas avançados de autenticação e criptografia. 

Além disso, a IA pode ajudar a automatizar a resposta a incidentes de segurança, permitindo que as equipes de segurança reajam mais rapidamente às ameaças em tempo real. Em resumo, a IA pode ajudar a proteger os dados, garantindo a segurança e privacidade das informações, além de permitir uma resposta mais rápida e eficiente a possíveis violações de segurança (OpenAI, 2023).

A segurança de dados é a prática de proteger dados de perigos cibernéticos tais como hackers e ataques de malware; já a IA é a área que analisa esses dados e prever possibilidades, e o ataque Distributed Denial of Service (DDoS) é um ataque de negação de serviço distribuído.

Dessa forma, ataques hackers estão sempre evoluindo e adequando-se às mais diversas barreiras de proteção que os engenheiros criam. De fato, é muito custoso a defesa desses ataques, pois o ataque desenvolve-se mais rapidamente que a defesa; neste ponto, a IA pode ajudar a melhorar a capacidade das equipes de segurança para detectar, prever e mitigar ataques DDoS, reduzindo o risco e o impacto desses ataques em organizações e empresas, de uma maneira eficiente com rapidez e redução de custos.

Assim, o Denial of Service (DoS), tradicionalmente, é onde o atacante mira no servidor, onde está disponível para usuários legítimos, agindo como um desse, até que o atacante sobrecarrega o serviço, deixando-o indisponível devido a grande quantidade de requisições. (Somani; Gaur; Sanghi; Buyya, 2017) 

Outro fato, DDoS é um tipo de ataque onde deixa a máquina ou serviço indisponível para usuários reais, enviando grandes quantidades de tráfego, através da rede, por vários dispositivos distribuídos geograficamente (Snehi, 2021).

Ollama é uma plataforma de software ou framework usada para análise de dados e aprendizado de máquina. Ela facilita a construção, treinamento e implementação de modelos de machine learning, permitindo que os usuários processem grandes volumes de dados e extraiam insights valiosos. A plataforma pode integrar várias ferramentas e bibliotecas para suportar diferentes tipos de análises e algoritmos.

Este artigo tem como objetivo mostrar o quanto a ferramenta do ollama é funcional e pode ser útil para auxiliar equipes de grandes empresas no combate aos ataques DDoS, mostrando um modelo que foi treinado para responder a esse tipo de incidente.

Segurança da Informação

A segurança de dados é uma área fundamental para garantir a proteção das informações contra acesso não autorizado, alteração, destruição ou divulgação indevida. Ela envolve uma série de práticas, políticas e tecnologias que visam garantir a confidencialidade, integridade e disponibilidade dos dados.

Para alcançar a confidencialidade, as organizações programam técnicas como criptografia para proteger os dados durante o armazenamento e a transmissão, garantindo que apenas as pessoas autorizadas tenham acesso às informações. Isso inclui o uso de chaves e algoritmos de criptografia robustos para proteger os dados sensíveis (Mirabili, 2023).

Neste viés, a integridade dos dados é garantida por meio do controle de acesso e medidas de seguranças, que evitam alterações não autorizadas nos dados. Isso pode envolver o uso de assinaturas digitais para verificar a autenticidade e a integridade dos dados, bem como a implementação de um sistema de detecção e prevenção de intrusão, para identificar e mitigar tentativas de modificação maliciosa (Mirabili, 2023).

Além disso, a disponibilidade dos dados é garantida por meio de práticas de backup e recuperação de desastres, garantindo que os dados estejam sempre acessíveis, mesmo em caso de falhas de hardware, ataques cibernéticos ou desastres naturais (Mirabili, 2023).

Outros aspectos importantes da segurança de dados incluem o controle de acesso - que regula quem pode acessar os dados e em quais circunstâncias -, e a gestão de vulnerabilidades - que envolve a identificação e correção de falhas de segurança nos sistemas e aplicativos. Em suma, a segurança de dados é essencial para proteger as informações contra uma variedade de ameaças cibernéticas e garantir a confiança e a integridade dos dados em um mundo digitalizado (Mirabili, 2023).

Inteligência Artificial

A Inteligência Artificial é um campo da computação que aplica diversas técnicas para criar algoritmos, e que normalmente precisam de inteligência humana para tomar decisões. A intenção com que as IAs foram pensadas e criadas é para que o computador consiga raciocinar, aprender e atuar como uma inteligência humana. No campo da inteligência artificial existem milhares de subcategorias, destacando-se mais a análise de dados, a estatística, a linguística e até o campo da neurociência (Google, 2024).

Dentre os quatro tipos de inteligências artificiais, as mais conhecidas estão as máquinas reativas, a memória limitada, a teoria da mente e o autoconhecimento. As máquinas reativas são um tipo de IA limitada, que só reage a certos tipos de estímulos, com base nas regras que foram pré-programadas, não usa memória, e, portanto, não pode aprender com novos dados. O tipo memória limitada é a maior parte das IAs atuais, ela pode usar a memória para melhorar ao longo do tempo, através de algoritmos de aprendizado de máquina, sendo que com mais dados, normalmente o treinamento é feito por meio de redes neurais que modificam os pesos de cada neurônio. A teoria da mente ainda não existe atualmente, ela descreve que a IA pode emular uma mente humana e consegue tomar decisões iguais a de um humano, incluindo conhecimento, memorização de emoções e reações a situações sociais. Por fim, o autoconhecimento é um nível acima da teoria da mente, onde a inteligência artificial tem consciência da sua existência, tendo todos os atributos da teoria da mente (Google, 2024).

Uma subcategoria muito importante é o aprendizado de máquina, que automatiza a prática a partir de grandes escalas de dados, permitindo que o algoritmo reconheça padrões e tome decisões. Uma das técnicas mais poderosas dentro do aprendizado de máquina são as redes neurais artificiais. Essas são modelos inspirados no funcionamento do cérebro humano, compostos por camadas de neurônios interconectados; são capazes de aprender a partir dos dados, ajustando os pesos das conexões entre os neurônios, para melhorar o desempenho na tarefa em questão (OpenAI, 2024).

A IA adapta-se por meio desses algoritmos, fazendo com que os dados sejam a programação, e adaptando quando recebem mais volumes de dados. Assim, as redes neurais, em particular, são altamente adaptáveis e podem ser treinadas com conjuntos de dados cada vez maiores, aumentando sua capacidade de reconhecer padrões complexos e tomar decisões mais precisas. Essa capacidade de adaptação contínua é fundamental para lidar com a crescente quantidade de dados gerados em diversas áreas, incluindo segurança cibernética, onde a detecção de ameaças em constante evolução requer sistemas flexíveis e ágeis (OpenAI, 2024).

Distributed Denial of Service (DDOS)

O DDoS é uma evolução do ataque DoS; é uma forma de ataque cibernético onde o criminoso sobrecarrega o servidor fazendo com que o serviço fique fora do ar, gerando prejuízos e inconveniências, tornando inacessível para usuários legítimos.

A forma em que geralmente o ataque é arquitetado é enviando grandes escalas de tráfego na rede, de forma distribuída, de várias fontes, tornando custosa e demorada as respostas.

Segurança da informação e a Inteligência artificial

A inteligência artificial melhora a segurança aprimorando a detecção de perigos. São vários os benefícios da implementação da IA para a segurança de dados tais como, a redução de falso positivo, as análises preditivas, a resposta a incidentes efetivamente, a diminuição de phishings e o zero-day, são benesses das análises durante o desenvolvimento seguro, entre vários outros milhares de melhoramentos.

Conceito de IA Generativa

A IA Generativa tem sido uma ferramenta extremamente poderosa para a cibersegurança. Ela pode ser utilizada sendo alimentada com informações e logs que são recebidos durante o ataque pela equipe de defesa. Sendo assim, ela pode ser usada para combater os ataques DDoS. Assim, a aplicação desta ferramenta, de maneira mais efetiva, pode ser mais rápida, para evitar muitos prejuízos com a indisponibilidade dos serviços, perdas financeiras, dentre outros fatores.

Dentre as principais ferramentas de IA Generativa no mercado, é possível citar o ChatGPT, Gemini e Ollama, ora descrita abaixo.

• ChatGPT: O ChatGPT é um instrumento desenvolvido pela empresa OpenAI. O ChatGPT, cuja sigla representa Generative Pre-Trained Transformer; é um modelo de linguagem que tem como base o deep learning, uma ramificação da Inteligência Artificial.
• Ollama: Ollama é uma ferramenta de código aberto para executar e gerenciar modelos LLMs (Large Language Models), ou seja, Linguagem de Grande Porte, na sua máquina local. São sistemas de IA avançados que foram projetados para compreender, gerar e traduzir texto em linguagem natural. Nesta perspectiva, estes sistemas são treinados em conjunto enorme de dados de textos e aprendem a prever palavras de maneira sequencial, possibilitando gerar respostas coerentes e contextuais (OpenAI, 2024).

Cenário desenvolvido com Ollama

A escolha do Ollama como ferramenta para o desenvolvimento do modelo de IA em nossa pesquisa é particularmente vantajosa por diversos motivos. Primeiramente, é uma ferramenta de código aberto, o que significa que se pode customizá-la conforme as necessidades específicas do nosso projeto sem restrições de licenciamento. 

A capacidade de Ollama em treinar modelos avançados de IA que compreendem, geram e traduzem texto em linguagem natural, sendo crucial para o objetivo proposto, o de desenvolver um sistema eficaz de detecção e mitigação de ataques DDoS. Com Ollama, é possível aproveitar grandes conjuntos de dados para treinar a IA a identificar padrões e prever ataques de forma mais precisa e eficiente.

Contexto do cenário:

Durante o cenário simulado do ataque DDoS realizado durante uma hora em uma máquina local recebendo informações geradas por outro modelo, foi utilizado a ferramenta do Ollama no auxílio durante o ataque para mitigação. Neste período, a análise forense pós-ataque para correções de vulnerabilidades; esse cenário teve como objetivo treinar e trazer resultados de como o modelo responde aos perigos. O modelo em treinamento é o llama3, modelo open-source mais potente criado pela Meta inc.

O cenário foi configurado para um ataque do tipo SYN Flood, um dos tipos mais comuns de ataques DDoS, onde múltiplos IPs de origem, enviam uma quantidade massiva de pacotes SYN para sobrecarregar o servidor de destino.

Ferramentas Utilizadas:

• Wireshark: Para captura e análise de pacotes de rede.
• Firewall de Próxima Geração (NGFW): Para monitoramento e mitigação de ataques em tempo real.
• Ferramenta de Monitoração de Rede (Zabbix): Para monitoramento contínuo da performance e da integridade da rede.
• Ollama: Ferramenta baseada em IA para análise avançada de logs e detecção de padrões de ataque.

Aplicação

Informações sobre o Ataque:

Data e Hora do Início do Ataque: 03/06/2024 14:30:00

Duração do Ataque: 1 hora

Tipo de Ataque: SYN Flood

Tráfego de Rede:

IP de Origem: Variados (listados abaixo)

Porta de Destino: 80 (HTTP)

Pacotes por Segundo (PPS): 500,000

Bytes por Segundo (BPS): 200 Mbps

Desenvolvimento do ataque

Data e Hora do Início do Ataque: Indica quando o ataque começou. Neste caso, começou em 03/06/2024 às 14:30:00 e durou 1 hora. 

Tráfego de Rede: Mostra o volume de tráfego em termos de pacotes por segundo (PPS) e bytes por segundo (BPS). Aqui, o ataque gerou 500,000 pacotes por segundo e transferiu dados a uma taxa de 200 Mbps.

Amostra de Logs de Tráfego: Fornece um exemplo de entradas de log que um servidor pode registrar durante um ataque. Inclui o timestamp, IP de origem, IP de destino, porta de origem, porta de destino e o tamanho do pacote.

Distribuição Geográfica dos IPs de Origem: Mostra de onde os IPs que estão atacando o servidor são originários. Ajuda a identificar padrões de ataque globais.

Resposta ao Ataque:

Resultados do Cenário

Detecção e Análise do Ataque:

Identificação de Padrões: Ollama detectou padrões de tráfego anômalos e identificou o ataque SYN Flood com base na frequência e na distribuição dos pacotes SYN.

Origem dos Ataques: A ferramenta mapeou a distribuição geográfica dos IPs de origem, destacando concentrações significativas em países como EUA, China e Rússia. Análise de Logs: Ollama processou e analisou os logs de tráfego, destacando os IPs mais frequentes e os períodos de maior intensidade do ataque.

Mitigação e Resposta:

Sugestões de Mitigação: A equipe da Ollama forneceu recomendações detalhadas para ajustes nas configurações do firewall e na implementação de regras de rate limiting. Estas recomendações incluíram a criação de políticas específicas para filtrar tráfego malicioso e limitar o número de requisições permitidas por IP, visando diminuir a eficácia de ataques de negação de serviço.

Eficácia das Defesas: A análise subsequente demonstrou que as medidas de mitigação sugeridas pela Ollama foram altamente eficazes. Houve uma redução significativa no impacto do ataque, com uma queda notável na quantidade de pacotes maliciosos processados pelo servidor. Isso resultou em uma melhora considerável no desempenho e na estabilidade da rede durante tentativas de ataque.

Conclusão

Este trabalho demonstrou que a utilização de ferramentas baseadas em IA generativa, como Ollama, proporciona uma maneira mais eficiente de combater ataques DDoS. A proposta de desenvolver uma aplicação que forneça suporte assistido às equipes de TI mostrou-se eficaz na mitigação de ataques, aumentando a rapidez e eficiência nas respostas aos incidentes. Isso é crucial para viabilizar a proteção de ambientes dependentes da Internet, mantendo os serviços disponíveis pelo maior tempo possível e minimizando a indisponibilidade dos sistemas. A integração de IA generativa na cibersegurança representa um avanço significativo, proporcionando uma defesa robusta e adaptativa contra ameaças cibernéticas cada vez mais sofisticadas.

Os ataques de DDoS são uma grande e constante ameaça, principalmente nos tempos atuais, devido à imensa quantidade de usuários e aplicações dependentes de recursos e serviços da Internet para realizarem as suas atividades cotidianas. Este trabalho teve como objetivo principal demonstrar a eficácia da ferramenta Ollama, baseada em IA generativa, na detecção, análise e mitigação de ataques DDoS. Vários objetivos foram alcançados ao longo desta simulação.

Ollama foi capaz de identificar rapidamente o ataque SYN Flood, detectando padrões anômalos de tráfego e origens dos ataques com precisão. A capacidade de analisar grandes volumes de dados em tempo real é crucial para uma resposta rápida a incidentes de segurança.

A ferramenta fornece recomendações eficazes para ajustar as configurações do firewall e implementar regras de rate limiting, o que resultou na redução significativa do impacto do ataque. Essa capacidade de sugerir ações específicas e imediatas é essencial para mitigar os efeitos de um ataque DDoS em andamento.

Além de automatizar a detecção e a resposta inicial aos ataques, Ollama ofereceu suporte às equipes de TI, fornecendo dicas, comandos e alertas em tempo real. Isso ajudou as equipes a tomar decisões informadas rapidamente, garantindo que as defesas fossem ajustadas de forma eficaz.

Com a implementação das medidas sugeridas por Ollama, foi possível manter a disponibilidade do serviço durante o ataque, evitando a indisponibilidade parcial ou completa dos sistemas. Esse é um dos principais objetivos ao lidar com ataques DDoS, garantindo que os serviços continuem operando para os usuários finais.

A simulação destacou a importância de uma monitorização contínua e de uma resposta rápida a padrões anômalos de tráfego. Além disso, sublinhou a necessidade de fortalecer a infraestrutura de segurança de forma proativa, ajustando políticas e medidas de defesa com base nos insights fornecidos por ferramentas de IA.

Devido a limitações de segurança e técnicas uma resposta totalmente autónoma da IA ainda não é possível, todo tipo de IA está sujeita a erros e vieses que podem ocasionar erros e ter como consequência decisões errôneas e prejudiciais aos usuários se esta atua de forma autônoma.

Referências

CLOUDFLARE. Ataque de DDoS ao Memcached. 2024. Versão online. Disponível em: https://www.cloudflare.com/pt-br/learning/ddos/memcached-ddos-attack/. Acesso em: 07 maio 2024.

GOOGLE. O que é inteligência artificial (IA)?. 2024. Versão online. Disponível em: https://cloud.google.com/learn/what-is-artificial-intelligence?hl=pt-br. Acesso em: 10 maio 2024.

KOTTLER. February 28th DDoS Incident Report. 2018. Versão online. Disponível em: https://github.blog/2018-03-01-ddos-incident-report. Acesso em: 05 maio 2024.

LAUREANO, R. M. S.; CAETANO, N.; CORTEZ, P. Previsão de tempos de internamento num hospital português: aplicação da metodologia CRISP-DM. RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação. 2014. ISSN 1646-9895 versão online. Disponível em: http://scielo.pt/scielo.php?script=sci_arttext&pid=S1646-98952014000200007&lng=pt&nrm=iso&tlng=pt. Acesso em: 09 maio 2023.

OPENIA. ChatGPT [software]. 2023. Disponível em https://openai.com/. Acesso em: 29 mar. 2023.

MIRABILI, R. Conheça os pilares da segurança da informação. 2023. Versão online. Disponível em: https://www.protiviti.com.br/cybersecurity/pilares-seguranca-da-informacao/. Acesso em: 08 maio 2024.

SANTOS, R. B.; SILVA, T. B. P. Gestão da Segurança da Informação e Comunicações: análise ergonômica para avaliação de comportamentos inseguros. Revista Digital de Biblioteconomia e Ciência da Informação. 2021. ISSN 1678-765X versão online. Disponível em: https://periodicos.sbu.unicamp.br/ojs/index.php/rdbci/article/view/8665529/27400. Acesso em: 09 maio 2023.

SNEHI, M. Vulnerability retrospection of security solutions for software-defined Cyber–Physical System against DDoS and IoT-DDoS attacks. ScienceDirect Journals, 2021. ISSN 1574-0137 Versão online. Disponível em: https://www.sciencedirect.com/science/article/abs/pii/S1574013721000113?via%3Dihub. Acesso em: 09 maio 2023.

SOMANI, G.; GAUR, M. S.; SANGHI, D.; BUYYA, M. DDoS attacks in cloud computing: Issues, taxonomy, and future directions. Computer Communications, 2017. ISSN 0140-3664. Versão online. Disponível em: https://www.sciencedirect.com/science/article/abs/pii/S0140366417303791. Acesso em: 10 maio 2023.