A Consensus-Bayesian Framework for Detecting Malicious Activity in Enterprise Directory Access Graphs

Este trabalho apresenta um framework bayesiano de consenso para detectar atividades maliciosas em grafos de acesso a diretórios corporativos, modelando interações de usuários como dinâmicas de opinião e identificando anomalias através de variância escalada e pontuação bayesiana que evolui temporalmente.

O essencial

Imagine que uma grande empresa é como uma cidade gigante e movimentada. Nela, existem muitos bairros (os diretórios de arquivos) e muitos moradores (os usuários).

Normalmente, cada bairro tem suas próprias regras de convivência. Os vizinhos do bairro de TI conversam entre si e compartilham coisas de programação. Os do bairro de RH conversam sobre salários e contratos. Eles formam grupos fechados onde todos se conhecem e confiam uns nos outros.

O problema é: e se alguém começar a agir de forma estranha? E se um morador do bairro de TI começar a entrar no cofre do RH sem motivo, ou se um grupo inteiro mudar de comportamento de repente? É aí que entra o sistema de segurança descrito neste artigo.

Aqui está a explicação do trabalho, traduzida para uma linguagem simples e cheia de analogias:

1. O Grande Mapa de Relacionamentos (O Gráfico)

Os pesquisadores criaram um "mapa mental" da empresa. Eles não olham apenas para quem acessou qual arquivo, mas para como as pessoas se influenciam.

• A Analogia: Pense em um grupo de amigos no WhatsApp. Se todos os amigos de um grupo concordam em ir à praia, e de repente um deles diz "não, vamos para a montanha", o grupo todo pode ficar confuso.
• No Papel: Eles usam matemática (chamada de "Dinâmica de Opinião") para medir o quanto cada pessoa "confia" ou segue a opinião dos outros em cada diretório. Se todos estão "concordando" (convergindo), tudo está normal.

2. O "Termômetro" da Confusão (VARIÂNCIA)

O segredo do sistema é medir o nível de confusão (ou "variância") dentro desses grupos.

• O Cenário Normal: Imagine um time de futebol treinando. Todos correm para o mesmo lado. A "confusão" é baixa.
• O Cenário Malicioso: De repente, um jogador começa a correr para o lado oposto, ou dois jogadores começam a brigar entre si. A "confusão" no campo aumenta drasticamente.
• A Detecção: O sistema vigia esse "termômetro de confusão". Se a opinião dos usuários sobre um diretório começa a oscilar muito (uns dizem "sim", outros "não", ou mudam de ideia bruscamente), o sistema percebe que algo está errado.

3. O Detetive Cético (A Parte Bayesiana)

Aqui entra a parte inteligente: o Bayesiano.

• A Analogia: Imagine um detetive que tem um "ceticismo inicial". Ele não acredita que alguém é culpado só porque bateu o carro uma vez. Ele começa com uma suspeita baixa (ex: 10% de chance de ser um crime).
• Como funciona:
  1. Se o "termômetro de confusão" sobe um pouquinho, o detetive aumenta a suspeita para 15%.
  2. Se a confusão continua e piora, a suspeita sobe para 30%, depois 50%.
  3. O sistema aprende com o tempo. Se a confusão persiste, a certeza de que é um ataque cresce rapidamente. Se a confusão para, a suspeita diminui.
• A Vantagem: Isso evita alarmes falsos. Se um funcionário apenas mudou de departamento (uma mudança legítima), o sistema vê a confusão, mas se ela se estabiliza rápido, ele entende que não é um ataque. Se a confusão continua crescendo, ele soa o alarme.

4. O Que Eles Testaram (Simulações)

Os autores criaram uma "cidade de brinquedo" no computador com milhares de usuários e diretórios.

• Eles deixaram tudo funcionando normalmente até um certo momento.
• Depois, injetaram um "vírus": fizeram com que um grupo de usuários começasse a influenciar outro grupo de forma estranha (como se um hacker estivesse tentando manipular as regras do jogo).
• O Resultado: O sistema detectou a mudança quase imediatamente, muito antes de alguém perceber manualmente. Ele viu que a "opinião" do grupo estava divergindo do padrão e aumentou a pontuação de perigo.

5. Por que isso é importante?

Hoje em dia, os hackers são inteligentes. Eles não apenas quebram senhas; eles se comportam como funcionários normais, mas fazem pequenas coisas erradas para roubar dados.

• Sistemas antigos: Olham apenas para "quem acessou o que" (como uma câmera de segurança que só grava quem entra na porta).
• Este novo sistema: Olha para "como as pessoas se relacionam". Se o comportamento do grupo muda de forma lógica (como um time de futebol mudando a tática), é normal. Se a mudança é ilógica e cria caos, é um ataque.

Resumo Final

Este trabalho propõe um sistema de segurança que pensa como um psicólogo de grupo. Ele não apenas vigia portas, mas observa se o "clima" dentro dos grupos de trabalho está saudável. Se a confiança e a cooperação entre os usuários começam a se desmoronar de forma estranha, o sistema avisa: "Ei, algo não está certo aqui, alguém está tentando manipular o grupo!".

É uma mistura de matemática de redes sociais com detetives que aprendem com o tempo, tudo para proteger as empresas de espionagem e roubo de dados de forma mais rápida e inteligente.

Resumo técnico

Resumo Técnico: Um Framework Consenso-Bayesiano para Detecção de Atividade Maliciosa em Grafos de Acesso a Diretórios Empresariais

1. Problema e Motivação

As ameaças de segurança em infraestruturas on-premise e na nuvem tornaram-se cada vez mais sofisticadas, incluindo ransomware, malware e ameaças internas. Abordagens tradicionais de segurança, como proteção de endpoints e criptografia, muitas vezes impõem sobrecargas de desempenho ou reagem apenas pós-incidente.
A Análise de Comportamento de Usuário e Entidade (UEBA) é promissora, mas os modelos existentes (como detectores de anomalias estáticos ou redes LSTM) frequentemente falham em:

• Aproveitar totalmente a estrutura hierárquica e multinível das relações usuário-recurso.
• Adaptar-se dinamicamente a mudanças de comportamento sem necessidade de retreinamento constante.
• Capturar dependências lógicas complexas entre usuários e diretórios compartilhados.

O objetivo deste trabalho é preencher essa lacuna, integrando a dinâmica de opinião (teoria de redes de influência) com a detecção de anomalias baseada em grafos para criar um modelo UEBA adaptativo e teoricamente fundamentado.

2. Metodologia

O framework proposto modela o ambiente empresarial como um Grafo de Interação Multinível, combinando a topologia de diretórios com a dinâmica de interação entre usuários.

A. Modelagem do Grafo:

• Nós: Usuários ($u$) e Diretórios ($D$).
• Grafo de Similaridade de Diretórios ($G[W]$): Uma matriz estocástica $W$ que captura a similaridade de conteúdo ou comportamento entre diretórios.
• Grafo de Dependência Lógica por Diretório ($G[C_i]$): Para cada diretório $D_i$, uma matriz $C_i$ modela a influência lógica entre usuários. Esta matriz é atualizada dinamicamente com base nas interações de acesso (leitura, escrita, etc.).
• Componentes Fortemente Conectados (SCCs): Os usuários são agrupados em comunidades (SCCs) que podem ser:
  • Fechadas: Influência interna apenas (consenso esperado).
  • Abertas: Recebem influência externa (potencial indicador de anomalia ou mudança de função).

B. Fundamentação Teórica (Dinâmica de Opinião):
O sistema utiliza teoremas da literatura de dinâmica de opinião (baseados em Ye et al. [9]) para prever a convergência de "opiniões" (padrões de acesso) dos agentes:

• Convergência: Em condições normais (SCCs fechados com lógica consistente), as opiniões dos usuários convergem para um estado estacionário.
• Divergência: Anomalias são modeladas como perturbações lógicas que violam as condições de convergência (ex: mudanças abruptas na matriz $C_i$, dependências externas inconsistentes ou violação de simetria dentro de SCCs).

C. Mecanismo de Detecção de Anomalias:
O sistema monitora a evolução das opiniões para identificar desvios:

1. Decomposição em SCCs: O algoritmo decompõe as matrizes de lógica em blocos SCCs e classifica-os como abertos ou fechados.
2. Atribuição de Teoremas: Dependendo da estrutura do SCC, aplica-se o teorema adequado (ex: Teorema 2 para SCCs fechados, Teorema 4 para abertos) para determinar se a convergência é esperada.
3. Variância de Opinião como Sinal: A variância das opiniões entre os agentes é usada como métrica de estabilidade. Um aumento súbito na variância ($\Delta v$) indica ruptura no consenso.
4. Escoring Bayesiano:
   • Utiliza uma função de verossimilhança exponencial baseada na mudança de variância.
   • Aplica uma atualização Bayesiana recursiva para calcular a probabilidade de anomalia ($\pi_t$) ao longo do tempo.
   • Suporta dois modos: Priori Estática (fixo) e Priori Online (atualizada com a posterior do passo anterior), permitindo detecção mais ágil e adaptativa.

3. Principais Contribuições

• Fusão Teórico-Prática: Integra formalmente a teoria de dinâmica de opinião (convergência de agentes) com a segurança cibernética (UEBA), oferecendo garantias teóricas sobre o comportamento esperado do sistema.
• Modelagem Multinível Dinâmica: Propõe uma estrutura que captura tanto a similaridade entre diretórios quanto as dependências lógicas complexas entre usuários, atualizando-se em tempo real.
• Mecanismo de Detecção Híbrido: Combina a detecção estrutural (mudanças na topologia do grafo/SCCs) com detecção estatística (variância de opinião) e inferência probabilística (Bayesiana).
• Validação via Simulação: Implementação e validação de cenários sintéticos que demonstram a sensibilidade do modelo a perturbações lógicas e sua robustez sob dinâmicas variáveis.

4. Resultados e Experimentos

Os autores realizaram simulações em grafos de acesso sintéticos para validar o framework:

• Reprodução de Cenários de Referência: A implementação replicou com sucesso os resultados de convergência e divergência descritos em trabalhos anteriores sobre dinâmica de opinião, validando a base matemática.
• Injeção de Anomalias: Simulou-se um cenário onde usuários de um grupo (SCC fechado) começam a influenciar indevidamente outro grupo (SCC diferente) em $T=5$.
  • Efeito da Peso de Influência ($w_t$): À medida que o peso da influência anômala aumentava, a variância escalada e a probabilidade de anomalia aumentaram proporcionalmente.
  • Comparação de Priors: O método com atualização de priori online detectou as anomalias mais cedo e reagiu com mais agudeza do que o método com priori estática, demonstrando superioridade em ambientes dinâmicos.
• Visualização: Os gráficos de evolução de opinião mostraram claramente a divergência dos agentes quando a lógica interna foi perturbada, confirmando que a variância é um indicador confiável de comportamento malicioso.

5. Significado e Conclusão

Este trabalho representa um avanço significativo na detecção proativa de ameaças em ambientes corporativos complexos.

• Significado: Ao tratar diretórios como "tópicos" e usuários como "agentes" em um sistema de opinião, o framework consegue distinguir entre mudanças legítimas de comportamento e anomalias estruturais sutis que modelos baseados apenas em histórico falham em detectar.
• Desafios Futuros: Os autores identificam a necessidade de otimização de escalabilidade (para milhares de usuários), redução de falsos positivos (diferenciando mudanças de cargo de ataques) e integração com sistemas de resposta a incidentes (SIEM/UEBA).
• Conclusão: A abordagem proposta oferece uma ponte robusta entre a dinâmica de agentes formais e a monitorização de comportamento aplicada, permitindo a detecção de anomalias baseada em desvios de consenso com fundamentação matemática e adaptabilidade temporal.