Neurosymbolic Learning for Advanced Persistent Threat Detection under Extreme Class Imbalance

Este artigo propõe uma arquitetura neurosimbólica que integra um modelo BERT otimizado com redes de tensores lógicos para detectar ameaças persistentes avançadas em redes IoT, superando os desafios de desequilíbrio extremo de classes e falta de explicabilidade, alcançando alta precisão e interpretabilidade no conjunto de dados SCVIC-APT2021.

O essencial

Imagine que você é o segurança de um prédio gigante e moderno, cheio de dispositivos inteligentes (como lâmpadas, câmeras e sensores) que formam uma "Cidade Inteligente". O problema é que os ladrões (os hackers) não batem na porta; eles se disfarçam de moradores, entram devagarinho, exploram cantos escuros e roubam coisas sem fazer barulho. Esses são os APTs (Ameaças Persistentes Avançadas).

Aqui está a explicação do que os autores desse artigo fizeram, usando analogias do dia a dia:

1. O Grande Desafio: A Agulha no Palheiro

O maior problema para o segurança (o sistema de detecção) é que 98% das pessoas que passam pelo portão são inocentes. Apenas 2% são ladrões.

• O problema antigo: Se você treina um guarda apenas para acertar "quem é quem", ele vai ficar preguiçoso e dizer "todo mundo é inocente". Assim, ele acerta 98% das vezes (porque a maioria é inocente), mas perde 100% dos ladrões.
• A solução: O sistema precisa ser super esperto para encontrar essas 2% de ladrões sem gritar "ALERTA!" toda vez que um morador inocente passa.

2. A Solução Mágica: O "Detetive Híbrido" (Neurosymbolic)

Os autores criaram um sistema chamado Neurosymbolic. Pense nele como uma dupla de detetives trabalhando juntos:

• O Detetive Intuitivo (BERT - A Parte Neural):
  Imagine um detetive que leu milhões de livros e tem uma intuição incrível. Ele olha para a multidão e, sem pensar muito, sente que "algo está estranho" naquele grupo. Ele é ótimo em ver padrões complexos e sutis, mas às vezes não consegue explicar por que achou suspeito. Ele é como um gênio que sabe a resposta, mas não sabe explicar a matemática.
• O Detetive Lógico (LTN - A Parte Simbólica):
  Imagine um segundo detetive que é um advogado rigoroso. Ele não confia em "intuição". Ele exige regras claras: "Se a pessoa carregar uma mala muito pesada E estiver olhando para as janelas traseiras, então é suspeito". Ele é lento, mas consegue explicar exatamente o motivo da suspeita.

A Mágica: Eles treinam os dois juntos. O Intuitivo aponta o suspeito, e o Lógico verifica se as regras batem. Juntos, eles são rápidos como o Intuitivo e explicáveis como o Lógico.

3. Como eles lidam com a falta de ladrões (Imbalança de Classe)

Como há tão poucos ladrões nos dados, o sistema usa uma estratégia de dois andares:

• Andar 1 (O Portão Principal): Um sistema leve e rápido que só responde: "É inocente ou é um ladrão?". Ele ignora os detalhes. Se disser "Inocente", o caso é arquivado. Se disser "Ladrão", vai para o próximo andar. Isso evita que o sistema se confunda com a enorme quantidade de gente boa.
• Andar 2 (A Sala de Interrogatório): Só entra aqui quem o Portão Principal já marcou como suspeito. Aqui, um sistema mais complexo tenta descobrir qual tipo de ladrão é: "É o que está apenas espiando?", "É o que está roubando dados?", "É o que está se escondendo?".

Isso é como ter um guarda que só deixa entrar na sala de interrogatório quem já foi flagrado, economizando tempo e energia.

4. O Resultado: Precisão e Transparência

O sistema foi testado em dados reais e os resultados foram impressionantes:

• Precisão: Ele conseguiu identificar 95% dos ataques reais.
• Falsos Alarmes: Ele quase nunca gritou "ladrão" quando era um morador inocente (apenas 0,14% de erro). Isso é crucial para não cansar os segurança reais.
• Explicabilidade: Diferente de outros sistemas que são "caixas pretas" (você vê o resultado, mas não sabe o porquê), este sistema consegue dizer: "Suspeitei porque o dispositivo enviou muitos dados para um lugar estranho à noite".

Resumo em uma frase

Os autores criaram um "sistema de segurança inteligente" que combina a intuição de uma IA moderna com a lógica de regras claras, conseguindo achar os hackers raros e perigosos em meio a milhões de usuários normais, sem dar falsos alarmes e explicando exatamente por que suspeitou de cada um.

Isso é essencial para que, no futuro, possamos ter cidades e indústrias inteiras protegidas por robôs que não apenas detectam crimes, mas que os humanos conseguem entender e confiar.

Resumo técnico

1. Problema e Contexto

O artigo aborda a crescente vulnerabilidade de redes de Internet das Coisas (IoT) em cidades inteligentes e infraestruturas críticas a Ameaças Persistentes Avançadas (APTs). Estas ameaças são caracterizadas por serem furtivas, multiestágio e explorarem comunicações sem fio.

Dois desafios principais dificultam a detecção eficaz:

• Desequilíbrio Extremo de Classes: O tráfego de rede é composto majoritariamente por tráfego benigno (ex: 98,35% no conjunto de dados utilizado), tornando os ataques extremamente raros. Isso limita a eficácia de abordagens tradicionais de Deep Learning, que tendem a otimizar a precisão geral em detrimento da detecção de minorias.
• Falta de Explicabilidade: Sistemas existentes baseados em IA atuam como "caixas pretas". Analistas de segurança não conseguem entender os padrões de ataque ou validar alertas, o que é crítico para a implantação autônoma de sistemas de segurança sem supervisão humana constante.

2. Metodologia Proposta

Os autores propõem uma arquitetura Neurosimbólica que integra um modelo BERT (Rede Neural) com Redes de Tensores Lógicos (LTN) (Componente Simbólico). A solução é estruturada da seguinte forma:

• Pré-processamento e Codificação:

  • Utiliza o conjunto de dados SCVIC-APT2021, que reflete cenários reais de IoT com desequilíbrio severo.
  • Transforma dados de fluxo de rede tabulares em sequências compatíveis com BERT, preservando dependências temporais.
  • Seleção de 12 características discriminativas através de métodos estatísticos consensuais.

• Arquitetura Híbrida (BERT + LTN):

  • Componente Neural (BERT): Adapta um modelo pre-trained (bert-base-uncased) para reconhecer padrões complexos. As características de rede são codificadas como tokens. Os pesos de atenção (attention weights) do BERT fornecem o primeiro mecanismo de explicabilidade, indicando quais características influenciaram a decisão.
  • Componente Simbólico (LTN): Opera em paralelo sobre as mesmas características, utilizando 16 predicados lógicos aprendíveis (ex: "grande transferência de dados", "atividade de porta incomum"). O LTN calcula graus de satisfação de conceitos de domínio, fornecendo raciocínio lógico interpretável.
  • Integração: Os dois componentes são treinados conjuntamente, garantindo que as explicações sejam fundamentadas em assinaturas reais de ataque e não em artefatos de aprendizado.

• Classificação Hierárquica de Duas Estágios:

  • Para mitigar o desequilíbrio extremo, o problema é dividido:
    1. Estágio 1 (Detecção Binária): Classifica tráfego como "Normal" vs. "Ataque". Foca em minimizar falsos negativos usando Focal Loss.
    2. Estágio 2 (Categorização APT): Apenas os fluxos classificados como ataques no Estágio 1 são submetidos a uma rede mais profunda para classificar o estágio do ataque (Comprometimento Inicial, Reconhecimento, Movimento Lateral, Pivoting, Exfiltração de Dados). Isso reduz drasticamente o desequilíbrio dentro da subpopulação de ataques.

• Treinamento:

  • Utiliza uma função de perda multi-objetivo que combina Focal Loss (para o desequilíbrio binário), Cross-Entropy Ponderada (para as classes raras de APT) e uma perda de consistência lógica entre o BERT e o LTN.
  • Emprega amostragem ponderada e early stopping para evitar overfitting.

3. Principais Contribuições

1. Primeira Abordagem Neurosimbólica em IoT: Unificação de BERT e LTN para detecção de APTs explicável em redes IoT desequilibradas, sendo a primeira na literatura baseada em transformers para este fim.
2. Explicabilidade Intrínseca: Diferente de métodos post-hoc (como SHAP/LIME), a explicabilidade é integrada ao treinamento através dos pesos de atenção do BERT e dos predicados lógicos do LTN, garantindo que as explicações reflitam a lógica real do modelo.
3. Validação Estatística Rigorosa: Prova estatisticamente que 75% das características extraídas mostram diferenças significativas entre tráfego de ataque e normal, validando que as explicações são fundamentadas em assinaturas reais.
4. Estratégia Arquitetural para Desequilíbrio: Uma abordagem de dois estágios que evita a geração de amostras sintéticas (como SMOTE), mantendo a integridade dos padrões de ataque reais.

4. Resultados de Desempenho

A avaliação foi realizada no conjunto de dados SCVIC-APT2021 (56.432 amostras de teste):

• Detecção Binária (Normal vs. Ataque):
  • F1-Score: 95,27%.
  • Taxa de Falsos Positivos (FPR): 0,14% (crítico para evitar fadiga de alertas em implantações autônomas).
  • Precisão e Recall: Alta precisão (99,84%) e recall (99,86%) para tráfego normal.
• Categorização de Ataques (Multi-classe):
  • Macro F1-Score: 76,75%.
  • Desempenho variou por classe, sendo mais desafiador para "Exfiltração de Dados" (F1 de 40,86%) devido à sua raridade extrema (0,20%) e padrões furtivos.
• Comparação com o Estado da Arte (SOTA):
  • O modelo superou abordagens puramente neurais (BERT puro, MLP+BERT) e métodos de clustering, que obtiveram F1 macro entre 0,39 e 0,43.
  • Embora modelos não explicáveis (ACM, PKI) tenham obtido F1 macro ligeiramente superior (82,27% e 81,37%), o modelo proposto prioriza a confiabilidade operacional, a baixa taxa de falsos positivos e a explicabilidade, essenciais para sistemas autônomos.

5. Significado e Impacto

Este trabalho demonstra que é possível construir sistemas de detecção de intrusão (IDS) para IoT que sejam simultaneamente de alto desempenho, interpretáveis e viáveis operacionalmente.

• Viabilidade para Implantação Autônoma: A baixa taxa de falsos positivos (0,14%) e a capacidade de explicar por que um alerta foi gerado permitem que sistemas de segurança operem com menos supervisão humana, validando alertas e refinando políticas de segurança automaticamente.
• Confiança na IA: Ao fornecer validação estatística de que as explicações do modelo correspondem a características discriminativas reais, o trabalho resolve a questão da "caixa preta", aumentando a confiança de analistas de segurança em algoritmos de IA.
• Arquitetura Eficiente: A abordagem hierárquica reduz a sobrecarga computacional, tornando-a adequada para gateways de IoT e servidores de monitoramento em tempo real.

Em resumo, o modelo BERT-LTN estabelece um novo padrão para a detecção de ameaças em ambientes IoT complexos e desequilibrados, equilibrando a precisão da detecção com a transparência necessária para a segurança cibernética crítica.