Lincoln Laboratory Supercomputing Center. Kredit: LLSC.

Internet je virtuální moře. Záhadné, vzrušující, temné, plné podivného života, a také bohužel velmi rozlehlé. Když někdo zkouší pátrat po kybernetických hrozbách v internetovém provozu, jako by lovil příslovečnou jehlu v kupce sena. Množství dat, která internet na Zemi vygeneruje za 48 hodin, je tak nezměrné, že ani stovka běžných počítačů zároveň je nedokáže sežvýkat a vytáhnout z nich něco použitelného pro další analýzy.

Proto analytici obvykle spoléhají na štěstí, vybírají si malé útržky internetového provozu a v nich pak pátrají po skrytých hrozbách. Tohle funguje pro některé postupy, například při pátrání po populárních IP adresách, které jsou spojené s kyberútoky. Pro řadu soudobých a často velmi důmyslných kybernetických hrozeb je ale takový přístup poněkud nedokonalý.

Vijay Gadepally. Kredit: Glen Cooper / MIT.

Jak říká Vijay Gadepally ze superpočítačového centra MIT Lincoln Laboratory Supercomputing Center (LLSC), když jdete po nějakém anomálním chování v síti, tak bude jaksi z logiky věci vzácné a nepravděpodobné. Pokud byste si náhodně vybírali kousky internetové komunikace, které pak prohledáte, tak jsou vaše šance nalézt něco anomálního velmi mizivé.

Gadepally s jeho kolegové věří, že by nám s obranou internetu mohly významně pomoci superpočítače. Vyvinuli postup, díky němuž superpočítač sežvýká syrová data provozu internetu a pak vyplivne materiál, se kterým již je v lidských silách dále pracovat. Takto zpracovaný materiál zpřístupňuje analytikům všechna relevantní data najednou a ti pak mohou hledat skryté kyberhrozby.

Gadepally a jeho tým tímto novým postupem nedávno úspěšně zpracovali syrová data 96 hodin provozu 1-gigabitové síťové linky a vytěžili z nich stravitelný materiál pro detailní analýzy. Aby toho dosáhli, tak museli v centru LLSC spustit celkem 30 tisíc výpočetních jader, což podle nich odpovídá asi tisícovce běžných počítačů. Výsledný materiál je uložený v cloudu MIT SuperCloud, kde se k němu dostane každý, kdo má na tomto cloudu účet.

Jedna z možných struktur botnetu. Kredit: Cloudflare.

Badatelé prokázali, že si superpočítače se svojí výpočetní silou mohou ustát nesmírnou záplavu dat z internetového provozu a vytěžit z nich použitelné podklady pro specialisty na kybernetickou bezpečnost, kteří pak mohou hledat rozmanité kybernetické hrozby. Příkladem takové nebezpečné aktivity, jakou mohou superpočítače vydestilovat z internetového moře, jsou instrukce od centrálních uzlů, které proudí k zombifikovaným počítačům v botnetu. C&C server, čili command-and-control server, je centrální počítač, který se podílí na ovládání botnetu. Takové centrální uzly rozesílají botnetu rozkazy od útočníka, a rovněž shromažďují informace od jednotlivých zombií, aby útočník měl o botnetu přehled. Identifikace centrálních počítačů bývá zásadní pro likvidaci celého botnetu.

Gadepally a další odborníci rozeznávají centrální uzly tak, že jejich komunikace připomíná telefonisty z callcenter. Normální telefonující má zhruba stejný počet příchozích i odchozích hovorů. Telefonista nabízející nějaké zboží a stejně tak i centrální uzel botnetu mají miliony odchozích hovorů a nesrovnatelně méně jich přijímají. Tímto způsobem je ale možné vystopovat vládce botnetu jedině ve velkém objemu internetových dat, která zahrnují delší časové období. To je přesně úkol pro šikovný superpočítač.

Tým laboratoří LLSC pokračuje ve výzkumu. Dále ladí svůj postup na vytěžení relevantních dat z ohromné záplavy internetového provozu. Rovněž intenzivně pracují na tom, aby pochopili, jak vlastně vypadá normální, čili neškodný internetový cvrkot. Pokud se jim to povede, tak pak o to snadněji odhalí případné kyberhrozby, které se budou ukrývat pod hladinou. Kybernetických útoků určitě nebude ubývat. Svět se stává kyberneticky horkým místem k životu. Pokud budeme mít v první linii boje výkonné superpočítače, tak se nám bude dýchat o něco snadněji.

Video: Addressing Big Data Challenges - Vijay Gadepally

Literatura
MIT News 26. 2. 2019, IEEE Xplore online 29. 11. 2018.