Além da Detecção: Tornando os Algoritmos de Detecção de Ataques Cibernéticos mais Compreensíveis

📑 Resumo#

Com o aumento da complexidade e da escala dos sistemas disponíveis em redes de computadores, modelos de aprendizado de máquina vêm sendo cada vez mais utilizados e desenvolvidos para detectar tráfego malicioso e prevenir vários tipos de ataques cibernéticos. Contudo, muitos desses modelos funcionam como “caixas opacas”, sem oferecer informação suficiente sobre como suas decisões são tomadas. Essa falta de transparência compromete a confiança de administradores da rede, que precisam entender e justificar como um tráfego foi classificado como malicioso e as atitudes tomadas. Além disso, a falta de explicações pode levar à difícil manutenção do modelo e dificuldades em identificar e corrigir erros, desincentivando melhorias. Portanto, é fundamental que os modelos adotados para essa tarefa sejam explicáveis, permitindo que especialistas em redes — ainda que não tenham experiência em aprendizado de máquina — possam interpretar e avaliar as decisões de um sistema automatizado. Para tal finalidade, ferramentas que explicam as possíveis saídas de modelos de Inteligência Artificial possuem papel fundamental em contextos relacionados à detecção de intrusões. Este trabalho, então, investiga o impacto da aplicação de ferramentas de Inteligência Artificial Explicável, como o LIME (Local Interpretable Model-agnostic Explanations) e o SHAP (SHapley Additive exPlanations), na interpretação e validação de modelos de aprendizado de máquina utilizados na detecção de intrusões. O estudo avalia se a adoção de recomendações geradas por essas ferramentas, baseadas na importância das características que levaram a uma determinada classificação, resulta em uma melhoria mensurável no desempenho dos modelos, como a redução de falsos positivos e o aumento da precisão. Por meio de uma análise comparativa, busca-se demonstrar que a explicabilidade não é apenas um requisito de confiança, mas um fator crítico para otimizar a eficácia dos sistemas de segurança cibernética, ao permitir que especialistas atuem de forma mais precisa e informada para aprimorar os modelos e as estratégias de defesa. Por exemplo, foi possível perceber que o tamanho dos modelos finais diminui até em 22% comparado ao tamanho original, mantendo suas métricas de eficiência ótimas. Seguindo as boas práticas de ciência aberta todos os códigos desenvolvidos durante o desenvolvimento desse trabalho estão disponíveis como software livre.

Links#

• Repositório do Projeto
• Trabalho Completo (TCC)