Identificar las amenazas de ciberseguridad a partir de datos sin procesar de Internet puede ser como ubicar una aguja en un pajar. La cantidad de datos de tráfico de Internet generados en un período de 48 horas, por ejemplo, es demasiado masivo para que una o incluso 100 computadoras portátiles lo procesen en algo digerible para los analistas humanos. Es por eso que los analistas confían en el muestreo para buscar amenazas potenciales, seleccionar pequeños segmentos de datos para examinarlos en profundidad, esperando encontrar un comportamiento sospechoso.

Si bien este tipo de muestreo puede funcionar para algunas tareas, como identificar direcciones IP populares, es inadecuado para encontrar tendencias amenazantes más sutiles.

"Si está intentando detectar un comportamiento anómalo, por definición, ese comportamiento es raro e improbable, "dice Vijay Gadepally, miembro del personal senior del Centro de Supercomputación del Laboratorio Lincoln (LLSC). "Si está probando, hace que algo ya raro sea casi imposible de encontrar ".

Gadepally es parte de un equipo de investigación en el laboratorio que cree que la supercomputación puede ofrecer un método mejor, uno que otorga a los analistas acceso a todos los datos pertinentes a la vez, para identificar estas tendencias sutiles. En un artículo publicado recientemente, el equipo condensó con éxito 96 horas de crudo, La red de 1 gigabit enlaza los datos del tráfico de Internet en un paquete listo para consultas. Crearon el paquete ejecutando 30, 000 núcleos de procesamiento (igual a aproximadamente 1, 000 laptops) en el LLSC ubicado en Holyoke, Massachusetts, y se almacena en el MIT SuperCloud, donde cualquier persona que tenga una cuenta puede acceder a él.

"[Nuestra investigación] mostró que podríamos aprovechar los recursos de supercomputación para traer una cantidad masiva de datos y ponerlos en una posición en la que un investigador de ciberseguridad pueda hacer uso de ellos, "Explica Gadepally.

Un ejemplo del tipo de actividad amenazante que requiere que los analistas profundicen en una cantidad tan masiva de datos son las instrucciones de los servidores de comando y control (C&C). Estos servidores emiten comandos a los dispositivos infectados con malware para robar o manipular datos.

Gadepally compara su patrón de comportamiento con el de las personas que llaman por teléfono spam:mientras que una persona que llama normalmente puede hacer y recibir la misma cantidad de llamadas, un spammer haría millones de llamadas más de las que recibe. Es la misma idea para un servidor C&C, y este patrón solo se puede encontrar observando una gran cantidad de datos durante un largo período de tiempo.

"El estándar actual de la industria es utilizar pequeñas ventanas de datos, donde arroja el 99,99 por ciento, "Dice Gadepally." Pudimos conservar el 100 por ciento de los datos para este análisis ".

El equipo planea hacer correr la voz sobre su capacidad para comprimir una cantidad tan grande de datos y esperan que los analistas aprovechen este recurso para dar el siguiente paso en la lucha contra las amenazas que hasta ahora han sido esquivas. También están trabajando en formas de comprender mejor cómo es el comportamiento "normal" en Internet en general, para que las amenazas se puedan identificar más fácilmente.

"La detección de amenazas cibernéticas se puede mejorar enormemente si se tiene un modelo preciso del tráfico de red en segundo plano normal, "dice Jeremy Kepner, un miembro del Laboratorio Lincoln del LLSC que encabeza esta nueva investigación. Los analistas podrían comparar los datos del tráfico de Internet que están investigando con estos modelos para traer comportamientos anómalos a la superficie más fácilmente.

"Con nuestra canalización de procesamiento, somos capaces de desarrollar nuevas técnicas para calcular estos modelos de fondo, " él dice.

Como gobierno, negocio, y los usuarios personales confían cada vez más en Internet para sus operaciones diarias, Mantener la ciberseguridad seguirá siendo una tarea esencial para los investigadores y los investigadores dicen que la supercomputación es un recurso sin explotar que puede ayudar.

Esta historia se vuelve a publicar por cortesía de MIT News (web.mit.edu/newsoffice/), un sitio popular que cubre noticias sobre la investigación del MIT, innovación y docencia.