From Threat Intelligence to Firewall Rules: Semantic Relations in Hybrid AI Agent and Expert System Architectures

Este trabalho propõe uma abordagem neuro-simbólica que utiliza relações semânticas hiperônimo-hiperônimo em inteligência de ameaças cibernéticas para que agentes de IA gerem automaticamente regras de firewall confiáveis, demonstrando superioridade na mitigação de ameaças em comparação com métodos convencionais.

O essencial

Imagine que a internet é como uma cidade gigante e muito movimentada. Nela, existem prédios (sites e aplicativos) que todo mundo pode visitar. Os "guardas" dessa cidade (os especialistas em segurança) precisam proteger esses prédios contra ladrões (hackers) que estão cada vez mais espertos, usando robôs e inteligência artificial para tentar entrar.

O problema é que os ladrões mudam de tática o tempo todo. Os guardas recebem relatórios de inteligência (chamados de CTI) descrevendo como os ladrões agem, mas esses relatórios são escritos em uma linguagem técnica, cheia de detalhes e, às vezes, confusos. Traduzir esses relatórios em ordens práticas para os portões da cidade (as regras do firewall) é difícil e demorado.

Este artigo apresenta uma solução inteligente que funciona como uma equipe de detetives robóticos para resolver esse problema. Vamos dividir a explicação em partes simples:

1. O Problema: A Barreira da Linguagem

Os relatórios de ameaça são como livros de contos de terror escritos por especialistas. Eles dizem: "O vilão usou uma técnica de 'injeção de SQL' para roubar dados".
O sistema de segurança da cidade (o Firewall) não entende "injeção de SQL". Ele só entende ordens simples, como: "Bloqueie o endereço IP X" ou "Não deixe a porta 80 abrir".
Antes, os computadores tinham dificuldade em fazer essa tradução porque os relatórios são bagunçados e os dados são desequilibrados (existem muitos relatórios sobre um tipo de ataque e poucos sobre outros).

2. A Solução: O "Detetive Semântico"

Os autores criaram um sistema híbrido (uma mistura de duas tecnologias) que funciona como um tradutor superpoderoso.

• O Agente de IA (O Detetive): É como um detetive muito bem lido que usa uma técnica chamada "relações semânticas". Em vez de apenas procurar palavras-chave, ele entende a hierarquia das coisas.

  • Analogia: Se o relatório diz que o ladrão usou um "canivete suíço", o sistema entende que isso é um tipo de "ferramenta afiada", que é um tipo de "arma", que é um tipo de "perigo".
  • Ele usa relações de Hiperônimo (a categoria geral, ex: "arma") e Hipônimo (o item específico, ex: "canivete"). Isso ajuda o robô a entender o contexto real, mesmo que o relatório esteja mal escrito ou confuso.

• O Sistema Especialista (O Engenheiro de Portões): Depois que o "Detetive" entende a ameaça, ele passa a informação para o "Engenheiro".

  • O Engenheiro é um sistema antigo e confiável (chamado CLIPS) que não alucina. Ele pega a ideia do Detetive e escreve o código exato para fechar o portão.
  • Analogia: O Detetive diz: "Precisamos bloquear ferramentas afiadas". O Engenheiro traduz isso para: "Instale uma grade de metal na janela 3".

3. Como eles testaram?

Eles criaram dois cenários de teste:

1. O Teste de Leitura (Tarefa A): Eles deram vários relatórios antigos para o sistema e pediram para ele identificar qual tipo de ataque era. O sistema deles foi muito melhor do que os métodos antigos, especialmente quando os dados eram raros (como encontrar uma agulha em um palheiro).
2. O Teste de Prática (Tarefa B): Eles pediram para o sistema gerar as regras reais de bloqueio. Especialistas humanos em segurança leram as regras geradas pelo robô e concordaram que elas estavam corretas, seguras e faziam sentido.

4. Por que isso é importante?

• Velocidade: Os ladrões usam IA para atacar rápido. Nós precisamos de defesas que respondam na mesma velocidade.
• Confiança: Sistemas de IA puros às vezes "alucinam" (inventam coisas). Ao misturar a IA criativa (o Detetive) com um sistema lógico e rígido (o Engenheiro), eles garantem que as regras de segurança sejam precisas e seguras.
• Automação: Isso permite que, em vez de um humano ler 100 relatórios e configurar 100 portões manualmente, o robô faça isso em segundos, deixando os humanos para resolver problemas mais complexos.

Resumo da Ópera

Pense nisso como ter um tradutor que entende a alma do texto e um arquiteto que constrói a defesa.
O sistema pega um relatório confuso de um ataque cibernético, entende a "essência" do perigo usando lógica de categorias (como entender que um "canivete" é uma "arma"), e automaticamente escreve o código para fechar as portas da cidade contra aquele tipo de ameaça específica. É um passo gigante para tornar a segurança da internet mais rápida, inteligente e confiável.

Resumo técnico

Aqui está um resumo técnico detalhado do artigo "From Threat Intelligence to Firewall Rules: Semantic Relations in Hybrid AI Agent and Expert System Architectures", apresentado em português:

1. Problema e Contexto

A segurança de aplicações web enfrenta uma assimetria estrutural: os atacantes precisam explorar apenas uma vulnerabilidade, enquanto os defensores devem proteger todo o sistema. Com o aumento do uso de ferramentas assistidas por IA pelos atacantes, a resposta a incidentes tornou-se crítica.

• Desafio Principal: Atrasos na resposta a ameaças e a dificuldade de traduzir relatórios de Inteligência de Ameaças Cibernéticas (CTI) — que são frequentemente ruidosos, verbosos e desbalanceados — em ações defensivas práticas e automatizadas (como regras de firewall).
• Limitação Atual: Abordagens baseadas em IA existentes lutam para categorizar automaticamente dados sensíveis e gerar código de segurança confiável, especialmente devido ao desbalanceamento de dados entre diferentes tipos de ameaças e à falta de "confiabilidade" (trustworthiness) nas respostas geradas.

2. Metodologia

O trabalho propõe uma arquitetura híbrida (neuro-simbólica) que integra Agentes de IA (LLMs) e Sistemas Especialistas. O fluxo de trabalho, denominado Semantic Information Flow (SIF), transforma relatórios CTI em regras de filtragem (ex: iptables/CLIPS).

A metodologia segue três etapas principais:

1. Extração Semântica Iterativa (Agente Neuro-Simbólico):

   • Utiliza um Agente baseado no framework CoALA (Enhanced CoALA).
   • Em vez de mapear texto bruto diretamente para código, o sistema usa uma estratégia de prompting em três estágios:
     1. Extração de entidades específicas do domínio.
     2. Abstração dessas entidades em categorias semânticas usando relações hiperônimo-hipônimo (relações taxonômicas de "é um tipo de").
     3. Geração de operações específicas baseadas nessas representações enriquecidas.
   • O sistema busca ativamente hiperônimos e hipônimos nos textos dos relatórios CTI para melhorar a compreensão semântica dos eventos de segurança.

2. Geração de Código e Verificação (Sistema Especialista):

   • O agente gera modelos (templates) válidos em CLIPS (uma linguagem de programação para sistemas especialistas).
   • Um Sistema Especialista (Expert System) atua como uma camada de verificação sintática para prevenir alucinações do LLM, garantindo que as regras geradas sejam determinísticas e corretas.
   • Um Motor de Refinamento mapeia as capacidades de segurança necessárias para controles existentes e produz as regras de filtragem finais.

3. Garantias de Determinismo:

   • O estudo emprega práticas rigorosas para garantir inferência determinística no LLM (sementes fixas, desativação de benchmarks do CuDNN, decodificação gulosa), essencial para ambientes de segurança onde a reprodutibilidade é crítica.

3. Principais Contribuições

• Nova Metodologia de Extração: Propõe o uso de relações taxonômicas (hiperônimos e hipônimos) para extrair informações semanticamente ricas de relatórios CTI, superando a abordagem de classificação direta.
• Sistema Agente Híbrido: Apresenta um sistema que mapeia informações extraídas para medidas defensivas existentes e gera artefatos de código (CLIPS) configuráveis para firewalls, integrando psicologia cognitiva (memória e redes semânticas) na geração de código.
• Avaliação Empírica Robusta: Realiza uma avaliação profunda da extração de informações e da geração de código, demonstrando superioridade em dados desbalanceados.

4. Resultados Experimentais

Os experimentos foram conduzidos em dois conjuntos de dados (Dataset A: CTI-HAL com anotações humanas; Dataset B: Malware do Centro de Segurança da Internet) e comparados com várias baselines (Word2Vec, SecureBERT, SVM, CoT padrão).

• Tarefa A (Extração Semântica/Classificação):

  • A abordagem proposta (baseada em hiperônimos/hipônimos) superou significativamente os métodos de base.
  • Métrica Chave: Ganho de aproximadamente 7% no F1 Score ponderado em comparação com as melhores baselines.
  • O método demonstrou maior capacidade de selecionar trechos de texto relevantes e melhor desempenho em classes minoritárias (crucial para dados desbalanceados).
  • Métricas de similaridade (BERTScore, ROUGE-L) confirmaram a pertinência da seleção semântica.

• Tarefa B (Geração de Regras de Firewall):

  • A avaliação foi feita por especialistas em cibersegurança.
  • Os resultados mostraram alta concordância entre os avaliadores (Alfa de Krippendorff de +0.5768 para Correção Técnica), indicando que as regras geradas são sintaticamente corretas e fiéis aos relatórios CTI originais.
  • A calibração do escopo das regras também foi consistente.

5. Significado e Conclusão

O artigo demonstra que a combinação de Inteligência Artificial Agêntica com Sistemas Especialistas Simbólicos é uma via promissora para a resposta a incidentes de segurança.

• Superação de Limitações: A abordagem resolve o problema da desordem nos relatórios CTI e do desbalanceamento de dados, oferecendo uma solução mais robusta do que modelos puramente estatísticos ou de Chain-of-Thought padrão.
• Aplicabilidade Prática: A geração de código CLIPS verificável permite a implementação direta em sistemas de prevenção de intrusão (IPS), reduzindo o tempo de resposta a ameaças.
• Futuro: O trabalho aponta para a necessidade de continuar explorando a determinismo em LLMs para domínios sensíveis, estabelecendo um padrão para o uso confiável de IA na cibersegurança.

Em resumo, o estudo valida que o uso de relações semânticas estruturadas (hiperônimos/hipônimos) dentro de uma arquitetura neuro-simbólica melhora drasticamente a precisão na tradução de inteligência de ameaças em ações defensivas automatizadas.