Clear Sky Science
Explicações baseadas em evidências, com pouco jargão

Clear Sky Science · pt

Modelagem matemática de estratégias adaptativas de segurança da informação usando modelos de comportamento compostos

· Voltar ao índice

Por que uma defesa cibernética mais inteligente importa

De registros hospitalares a redes de energia, nossas vidas hoje dependem de sistemas digitais que estão sob ataque constante. Criminosos e hackers apoiados por Estados não usam mais truques únicos e grosseiros; eles tecem campanhas longas e furtivas que se adaptam conforme os defensores reagem. Este artigo introduz uma nova forma de modelar matematicamente esse jogo de gato e rato, com o objetivo de dar aos defensores ferramentas que se ajustem em tempo real em vez de depender de regras fixas ou de modelos de machine learning pontuais.

Figure 1
Figure 1.

Limites das paredes protetoras atuais

A maioria das ferramentas de segurança existentes procura ou por impressões digitais conhecidas de ataques passados ou por anomalias estatísticas simples no tráfego de rede. Outras usam teoria dos jogos ou machine learning para antecipar ameaças. Cada uma dessas abordagens captura apenas uma fatia da realidade: podem modelar o atacante ou o defensor, mas raramente ambos juntos, e frequentemente assumem comportamentos que não mudam muito ao longo do tempo. Uma ampla revisão de literatura neste estudo, cobrindo 75 artigos de 2018 a 2025, mostrou que menos de um terço dos modelos existentes tenta combinar diferentes padrões de comportamento, e apenas cerca de um quarto suporta adaptação verdadeira em tempo real. Em outras palavras, a maioria dos modelos trata o conflito cibernético como estático e unidimensional, embora intrusões reais se desenrolem em muitos estágios e reajam às movimentações dos defensores.

Uma visão unificada de atacantes e defensores

Os autores propõem um modelo de comportamento composto que entrelaça muitos modelos menores de atacantes e defensores em uma única imagem dinâmica. No lado do atacante, ele representa estágios como escaneamento de rede, invasão, movimento lateral entre sistemas e manutenção de uma posição oculta. No lado do defensor, inclui componentes como detecção de anomalias, ajuste de firewall e realocação de recursos computacionais para onde são mais necessários. Todas essas partes são conectadas por equações matemáticas que descrevem como o estado de todo o sistema muda ao longo do tempo, incluindo incerteza e distúrbios aleatórios. Crucialmente, o defensor não obtém uma visão perfeita do que está acontecendo; em vez disso, vê sinais ruidosos—como alertas e logs imperfeitos—e deve inferir o que o atacante provavelmente está fazendo e responder em conformidade.

Transformando matemática em defesas móveis

Para testar suas ideias, os autores construíram um ambiente de simulação detalhado usando conjuntos de dados comuns de cibersegurança (NSL-KDD e UNSW-NB15) e campanhas de ataque sintéticas realistas, inspiradas nos estágios da "kill chain" usados por intrusos modernos. Os ataques progridem como cadeias probabilísticas de eventos, com temporizações aleatórias e ruído nos sensores adicionados para imitar as condições desordenadas de redes reais. Componentes defensores usam regras de aprendizado e controle por realimentação para ajustar limiares, reconfigurar defesas e reatribuir recursos conforme novas evidências chegam. O modelo roda como um loop fechado: atacantes mudam táticas em resposta às defesas, as defesas então se adaptam novamente, e assim por diante, permitindo aos pesquisadores estudar como todo o sistema se comporta ao longo de muitos milhares de passos temporais.

Figure 2
Figure 2.

O que as simulações revelam

Em uma ampla gama de cenários—de intrusões diretas a campanhas complexas e de andamento lento contra sistemas de controle industrial simulados—o modelo composto superou consistentemente defesas tradicionais não adaptativas e vários parâmetros de referência avançados. Atingiu taxas de detecção próximas ou acima de 90% em ambientes de baixo ruído e manteve-se em cerca de 85% mesmo quando os atacantes se tornaram mais sofisticados ou quando os dados de monitoramento foram fortemente corrompidos por ruído. Em comparação com um modelo estático de referência, detectou mais ataques, reagiu mais rápido a mudanças no comportamento do atacante e usou recursos computacionais de forma mais eficaz, reduzindo falsos positivos enquanto evitava custos descontrolados. Testes estatísticos confirmaram que esses ganhos não se deviam ao acaso, e a dinâmica interna do sistema permaneceu estável em vez de entrar em espiral de caos à medida que atacantes e defensores se ajustavam mutuamente.

O que isso significa para a segurança do dia a dia

Para não especialistas, a mensagem-chave é que a defesa cibernética pode ser modelada mais como um ecossistema em evolução do que como uma parede fixa. Ao descrever matematicamente como muitos comportamentos diferentes de atacantes e defensores interagem ao longo do tempo—e ao levar em conta incerteza e visibilidade parcial—o quadro proposto mostra um caminho para sistemas de segurança que aprendem durante um ataque, não apenas antes dele. Modelos compostos e adaptativos assim podem sustentar ferramentas futuras que redesenham silenciosamente as defesas de uma rede à medida que as ameaças se desenrolam, ajudando serviços críticos a permanecerem online e confiáveis mesmo quando adversários se tornam mais persistentes e inventivos.

Citação: Nuaim, A.A., Nuaim, A.A., Nadeem, M. et al. Mathematical modeling of adaptive information security strategies using composite behavior models. Sci Rep 16, 10755 (2026). https://doi.org/10.1038/s41598-026-45315-5

Palavras-chave: cibersegurança adaptativa, modelagem comportamental de ameaças, dinâmicas ataque–defesa, sistemas de segurança estocásticos, detecção de intrusão