intelligenza artificiale

I vantaggi del suono per monitorare gli attacchi informatici: due casi concreti

La dimensione sonora sembra avere le carte in regolare per essere usata come interfaccia privilegiata nel rapporto uomo-macchina. Due recenti progetti ne stanno indagando l’utilizzo nel monitoraggio in tempo reale di attacchi informatici attraverso sistemi di intelligenza artificiale. Ecco di che si tratta

23 Set 2019
Sara Lenzi

Consulente cybersecurity


L’utilizzo del suono è stato recentemente presentato nel campo della ricerca come una valida alternativa per il monitoraggio in tempo reale di flussi di dati provenienti da sistemi complessi nonché come una possibile soluzione a problemi specifici che riguardano il contesto in cui questi sistemi iniziano ad essere utilizzati.

Parliamo, nello specifico, degli attacchi informatici attraverso sistemi di intelligenza artificiale e proponiamo di seguito due casi concreti dimostrano come, dietro le quinte dell’AI, imprese e ricerca stiano investendo nel creare un linguaggio di comunicazione uomo-macchina che favorisca l’operatore umano e non l’algoritmo, nella convinzione che spetti agli esseri umani la decisione ultima in materia di sicurezza individuale a collettiva.

La traduzione dei dati in suono

Del resto, alla luce degli incessanti progressi della tecnologia, la necessità di comunicare in maniera efficace con sistemi di intelligenza artificiale, preservando l’autonomia decisionale dell’operatore umano, evitando cioè di dipendere totalmente dalle decisioni prese dall’algoritmo, specie in situazioni critiche, è uno dei problemi a cui il mondo del design dell’informazione sta cercando  soluzioni.

E tra le modalità di interazione uomo-macchina oggi prese in considerazione c’è anche il suono. La sonificazione di dati, una pratica nata nei primi anni ’90 e finora cresciuta principalmente in un ambito accademico legato alle scienze informatiche e alla cosiddetta computer music, consiste nella rappresentazione attraverso dimensioni acustiche (tipicamente non verbali) di dati sia quantitativi che qualitativi. In un processo di sonificazione, le relazioni esistenti tra i dati arrivano all’ascoltatore sotto forma di dimensioni sonore, in modo che la comprensione della relazione tra le dimensioni sonore si rispecchi in una comprensione delle relazioni tra i dati. Poiché il nostro orecchio è estremamente sensibile alla percezione di cambiamenti e all’identificazione di ripetizioni nel continuo sonoro che sempre ci circonda, questa stessa competenza si trasferirebbe, attraverso la sonificazione (o audificazione di dati) nella comprensione di ricorrenze e anomalie nel flusso di dati.

Si tratta, per molti versi, di un processo di traduzione tra il dato e il suono attraverso il quale si cerca di rendere “a scala umana” una dimensione, quella numerica, per cui le capacità cognitive degli esseri umani presentano dei limiti che i processi matematici alla base degli algoritmi di intelligenza artificiale non presentano. Se quindi la comprensione dei “numeri” è sicuramente un valore aggiunto dei sistemi matematici, all’estremo opposto l’essere umano può vantare una conoscenza sensoriale estremamente sofisticata, ottenuta in migliaia di anni di adattamento all’ambiente circostante che poco hanno a che fare con analisi matematica, e molto hanno a che fare con la percezione visiva, uditiva, olfattiva e tattile del mondo in cui ci siamo evoluti. La comprensione di dati attraverso una dimensione sensoriale (tipicamente la vista, ma perché no l’udito, o il tatto e il movimento, o al limite il gusto stesso) facilita la relazione uomo-macchina introducendo una dimensione di comprensione legata all’intuito piuttosto che alla cognizione, soprattutto quando trattiamo di grandi flussi di dati.

Gli ambiti di utilizzo della sonificazione

A partire da queste premesse, la sonificazione è stata introdotta con successo in alcuni campi specifici: la sismologia la utilizza per “tradurre” in onde sonore le onde raccolte dai sismografi riuscendo così ad individuare fenomeni di bassa intensità o molto ravvicinati nel tempo, che si perdono nella rappresentazione visiva; in astronomia è utilizzata per analizzare segnali provenienti dallo spazio, ancora una volta si tratta di onde di altro tipo che, convertite in onde sonore (ovvero onde udibili all’orecchio umano), rivelano dettagli difficilmente riconoscibili alla vista in grafici già troppo densi di informazioni; la medicina la utilizza per l’analisi dei tracciati di EEG e ECG: anche in questo caso siamo in presenza di onde seppure di differente tipologia, che facilmente posso essere convertite in onde sonore udibili facilitando il riconoscimento di pattern e anomalie nel flusso di dati.

In un articolo recente ho introdotto il caso di operatori di centri di sicurezza informatica già sottoposti ad un notevole carico di informazioni visive che si trovano a dover monitorare, in tempo reale, una nuova interfaccia dedicata esclusivamente agli attacchi informatici, con conseguenti fenomeni di information overload. Inoltre, l’attenzione visiva richiede, in maniera molto pratica, che il nostro occhio si muova o si fissi in una direzione ben specifica, con l’informazione che si vuole monitorare sempre al centro del nostro focus, limitando la capacità di svolgere altri compiti contemporaneamente. Ovvero, per vedere una cosa dobbiamo guardarla (il suono, al contrario, ci arriva anche se non stiamo o al limite anche se non vogliamo prestare attenzione).

I vantaggi della dimensione sonora

La nostra capacità di sentire fenomeni sonori anche senza prestare la nostra attenzione (ovvero utilizzando la cosiddetta attenzione periferica) rappresenta un enorme vantaggio nel momento in cui la nostra attenzione centrale è assorbita da altri compiti. Nello stesso tempo, possiamo contare sul cosiddetto cocktail party effect, un fenomeno percettivo ben noto grazie al quale siamo in grado di isolare un suono di nostro interesse (per esempio, la voce del nostro interlocutore), anche nel mezzo di un contesto estremamente rumoroso – come per l’appunto la capacità di portare avanti una conversazione a due nel bel mezzo di un cocktail party.

Se si aggiungono a questi specifici vantaggi contestuali del suono, altri elementi connaturati alla dimensione percettiva acustica come la già citata capacità di riconoscere nel tempo pattern melodici o ritmici ricorrenti, e i loro cambiamenti, con estrema precisione (parliamo di cambiamenti che avvengono nell’arco di millesimi di secondo); la capacità di distinguere numerosi livelli sonori sincronici (per esempio i differenti strumenti di un’orchestra, o le voci in un coro, o più semplicemente la coesistenza di numerose fonti sonore in un paesaggio naturale: dal vento, a diversi tipi di uccelli, all’acqua, agli insetti…); ecco che la dimensione sonora sembra avere le carte in regolare per essere utilizzata come interfaccia privilegiata nel rapporto uomo-macchina quando parliamo di monitoraggio del suono in tempo reale.

WEBINAR
Intelligenza Artificiale, Data Analysis e Image Recognition: i vantaggi concreti per l’azienda
Big Data
Intelligenza Artificiale

Due recenti progetti a cui ho partecipato personalmente stanno indagando l’utilizzo del suono nel monitoraggio in tempo reale di attacchi informatici attraverso sistemi di intelligenza artificiale. In un primo caso si tratta di attacchi a infrastrutture fisico-digitali quali per esempio (è il caso del primo progetto) le reti idriche; nel secondo caso si tratta invece di un algoritmo di anomaly detection applicato alle reti informatiche. Il caso di uso è simile: comunicare in tempo reale la presenza di anomalie nel sistema agli operatori del centro di sicurezza informatica (SOC), interferendo il meno possibile con le operazione routinarie cui gli operatori si trovano a prestare attenzione, e comunicando l’informazione in maniera più precisa possibile per consentire all’operatore umano di prendere decisioni sulla base della sua esperienza e non, come attualmente può accadere, sulla base delle decisioni già prese da un algoritmo che sappiamo commettere (ancora) numerosi errori di giudizio.

Attacchi informatici alle reti idriche

Il primo progetto, nato da una collaborazione tra il Politecnico di Milano – Density Design Lab e la Singapore University of Technology and Design – iTrust, si basa sull’algoritmo di rilevazione di anomalie dovute ad attacchi informatici alle reti idriche. L’algoritmo, sviluppato a Singapore, ha come obiettivo l’individuazione in tempo reale di intrusioni informatiche negli acquedotti, oggi prevalentemente sistemi non più solo fisici bensì fisico/digitali. L’utilizzo di sensori per il costante monitoraggio delle componenti della rete idrica (pompe, depositi d’acqua, valvole e via dicendo) ha sì migliorato sensibilmente la qualità del funzionamento di questi impianti – di estrema rilevanza per la vita organizzata, tanto nelle zone urbane come nelle zone rurali – ma ha anche aperto la porta a scenari prima sconosciuti di possibili attacchi a infrastrutture di rilevanza nazionale, attraverso la stessa rete di sensori. Gli attacchi informatici posso spaziare dall’alterazione dei valori comunicati dalla rete al sistema centrale di monitoraggio (il sistema SCADA) fino alla sostituzione di registrazioni di dati “normali” ad attacco in corso. Questo tipo di intrusioni sono estremamente difficili da riconoscere se non ad attacco compiuto. L’obiettivo dell’algoritmo al centro del progetto è proprio quello di renderli riconoscibili in tempo reale e comunicare il dato relativo alle anomalie in maniera efficacie all’operatore.

Nell’arco di sei mesi, il gruppo di lavoro composto da ingegneri informatici, ingegneri ambientali esperti di infrastruttura idrica e designer del suono ha lavorato alla creazione di un linguaggio di mappatura tra dati e loro rappresentazione acustica alla ricerca di un sistema efficace di comunicazione tra l’algoritmo e l’operatore umano. Diversi scenari sono stati elaborati e successivamente testati in un ambiente di lavoro reale.

I diversi tipi di mappatura si sono basati su strategie di rappresentazione sonora leggermente diverse tra loro ma, in generale, hanno seguito alcuni criteri comuni: in primo luogo, la sonificazione rappresenta in maniera diretta le anomalie rilevate dall’algoritmo. Ovvero, non fornisce all’operatore una risposta di tipo binario (“attacco si/attacco no”) che, come abbiamo visto, rimane esposta agli errori di valutazione commessi dall’algoritmo stesso. Al contrario, il valore dell’anomalia viene rappresentato in maniera direttamente proporzionale al dato creando così una scala 1:1 tra il dato in possesso dell’intelligenza artificiale e il dato in possesso dell’operatore umano. Sarà quest’ultimo ad integrare il dato nella propria conoscenza della rete e a prendere la decisione sul passo successivo. Per esempio, approfondire la valutazione dell’anomalia accedendo ai dati del sistema centrale (rappresentati in forma visiva o testuale e quindi molto più analitici); comparare il dato in arrivo con il dato storico; e infine inviare qualcuno sul posto a controllare.

Il prototipo di sonificazione è stato testato da 6 esperti di reti idriche e di attacchi informatici in un contesto internazionale, che hanno integrato durante due settimane il sistema di sonificazione alla loro giornata lavorativa. Dati quantitativi e qualitativi sono stati raccolti durante e a conclusione dell’esperimento, con risultati estremamente incoraggianti. In generale, il riconoscimento dell’anomalia di sistema da parte dell’operatore si è dimostrato corretto nella larga maggioranza dei casi. Tutti gli operatori si sono dichiarati d’accordo nel giudicare positivamente l’introduzione della dimensione sonora nel monitoraggio, riferendo la sensazione di una comprensione dei dati attraverso il suono più intuitiva e con meno sforzo cognitivo rispetto ad altre modalità. I risultati della ricerca così come i prototipi di sonificazione sono consultabili online qui.

Attacchi informatici alle reti internet aziendali

Il secondo progetto riguarda lo sviluppo di un sistema integrato di rilevamento di attacchi informatici alle reti internet aziendali e di sonificazione delle anomalie per il monitoraggio in tempo reale. Questo sistema è attualmente in corso di sviluppo presso il gruppo i3B Instituto Ibermática de Innovación della società spagnola Ibermática, in collaborazione con il Politecnico di Milano – Density Design Lab. Si tratta in questo caso di un progetto di integrazione più sofisticata in cui i dati provenienti dall’algoritmo sono inviati in tempo reale (e non ad intervalli orari, come nel caso del progetto precedente) nell’ordine di parecchie migliaia in contemporanea.

Dalle anche piccole variazioni del comportamento del sistema nel tempo, l’operatore è chiamato ad individuare le situazioni di allerta in base all’indice di anomalia associato dall’algoritmo ai vari parametri che compongono il sistema stesso. Anche in questo caso, si vuole evitare che l’algoritmo fornisca all’operatore la sola risposta finale “attacco in corso/no attacco”, potenzialmente fuorviante a cause dei numerosi falsi positivi. Piuttosto, l’operatore deve essere in grado di sviluppare una familiarità e sensibilità alle informazioni numeriche provenienti dall’algoritmo, così da poter prendere migliori decisioni.

Per questa ragione, abbiamo scelto di lavorare su un modello sonoro altamente dinamico e tuttavia intuitivamente compreso perché familiare a tutti noi, e legato indissolubilmente, ancora oggi, alla memoria evolutiva scritta nel nostro sistema cognitivo: la foresta.

I dati provenienti dall’intelligenza artificiale comunicano al software di modellazione del suono (sviluppato per l’occasione) i parametri necessari alla creazione in tempo reale del paesaggio sonoro di una foresta in cui le differenti variabili della rete sono rappresentate da suoni di uccelli, insetti, foglie in movimento, pioggia e tuoni (nel caso di anomalie conclamate). Le sonorità di una foresta che si prepara ad un temporale indicano così all’operatore la possibilità di un attacco, mentre una foresta dalle sonorità armoniose e idilliache potrà restare alla periferia dell’attenzione dell’operatore senza tuttavia interferire con gli altri compiti, anzi creando, perché no, un sottofondo rilassante durante le ore di ufficio.

______________________________________

Bibliografia

“The Sonification Handbook”, Edited by Thomas Hermann, Andy Hunt, John G. Neuhoff. Logos Publishing House, Berlin, 2011. ISBN 978-3-8325-2819-5

“Disclosing Cyber Attacks on Water Distribution Systems. An Experimental Approach to the Sonification of Threats and Anomalous Data”, Sara Lenzi, Ginevra Terenghi, Riccardo Taormina, Stefano Galelli, Paolo Ciuccarelli. International Conference on Auditory Display, June 2019.

i3B – Instituto Ibermática de Innovación

Density Design Lab – Politecnico di Milano

WEBINAR
Come ottenere un approccio Agile con Intelligenza Artificiale e Machine Learning?
Big Data
Intelligenza Artificiale

@RIPRODUZIONE RISERVATA

Articoli correlati