Компьютеры и нейросети

Ученые МИФИ создали архитектуру ИИ, анализирующую развитие кибератак во времени

Новая разработка, сочетающая передовые математические модели и большие языковые модели, анализирует развитие сетевых событий во времени и позволяет обнаруживать как известные, так и ранее неизвестные типы кибератак, обеспечивая высокую точность обнаружения угроз в режиме реального времени.

В современной цифровой среде кибератака редко выглядит как один громкий взлом. Если раньше атака могла занимать несколько секунд или минут, то сегодня она может разворачиваться неделями и даже месяцами. Чаще злоумышленники действуют постепенно: сначала изучают систему, затем проверяют слабые места и только потом переходят к активным действиям. Именно поэтому обнаружить атаку вовремя и предпринять необходимые действия становится все труднее.

Аспирант Национального исследовательского ядерного университета «МИФИ» (НИЯУ МИФИ) Роджер-Ник Анаедевха (научный руководитель – доцент кафедры кибернетики, к.т.н., Александр Трофимов) предлагает новый взгляд на решение этой проблемы. Авторы исходят из простой идеи: чтобы вовремя распознать угрозу, недостаточно анализировать только отдельные события в сети. Необходимо понимать, как эти события связаны между собой во времени. Один подозрительный запрос еще ничего не означает, но если подобные запросы появляются в определенной последовательности и с определенными временными интервалами, то вместе они могут свидетельствовать о подготовке серьезной атаки.

Большинство существующих систем обнаружения вторжений работают по принципу периодической проверки. Они словно делают фотографии происходящего через одинаковые промежутки времени. Такой подход хорошо работает, когда события происходят регулярно, однако реальная сетевая активность далека от равномерной. Иногда в сети долго не происходит ничего подозрительного (идет подготовка к атаке), а затем за доли секунды возникают тысячи событий. Чтобы преодолеть это ограничение, исследователи НИЯУ МИФИ создали гибридную архитектуру TA-BN-ODE, объединяющую два мощных математических аппарата:

– нейронные дифференциальные уравнения (Neural Ordinary Differential EquationsNeural ODE), моделирующие развитие сетевых процессов в непрерывном времени и происходящих на различных временных масштабах – от микросекунд до месяцев;

– глубокие пространственно-временные точечные процессы (Deep Spatio-Temporal Point Processes) для анализа последовательности событий во времени и оценивания вероятности появления подозрительных действий в будущем.

При разработке архитектуры авторы обращают внимание на две важные проблемы киберзащиты и предлагают методы их решения.

1. Оценка неопределенности.

Большинство алгоритмов выдают только окончательный ответ: «атака» или «не атака». При этом неизвестно, насколько уверена модель в своем решении. В работе используются байесовские методы, позволяющие оценивать степень уверенности алгоритма. Это особенно важно в реальных центрах мониторинга безопасности, где ежедневно поступают миллионы предупреждений. Если система способна показать, насколько она уверена в каждом обнаруженном инциденте, специалисты могут в первую очередь проверять наиболее опасные случаи и не тратить время на ложные тревоги.

2. Обнаружение новых типов атак.

Для решения этой задачи авторы использовали большую языковую модель, которая анализирует последовательности событий в текстовой форме и выполняет рассуждения, аналогичные действиям эксперта по кибербезопасности. В результате точность обнаружения атак нулевого дня на бенчмарке CIC-IoT-2023 достигла 87,6 %, тогда как традиционные методы, основанные исключительно на поиске известных шаблонов, продемонстрировали лишь около 42 %. Это свидетельствует о переходе от реактивного подхода к защите к проактивному, когда система способна распознавать угрозы, отсутствовавшие в обучающих данных.

Для экспериментальной проверки своей системы исследователи провели масштабные эксперименты на нескольких известных наборах данных, содержащих почти 19 миллионов записей сетевой активности. В экспериментах новая система показала очень высокую точность обнаружения атак – до 99 %. Разработка ученых МИФИ значительно компактнее многих современных аналогов, имея на 80 % меньше параметров, чем модель на основе трансформеров, при этом не уступая по точности. Кроме того, из-за своей легковесности (модель занимает всего 9,2 Мб оперативной памяти) она способна анализировать более 12 миллионов событий в секунду при задержке менее одной десятой секунды, что позволяет использовать ее в системах защиты, работающих в режиме реального времени.

Результаты ученых НИЯУ МИФИ, опубликованные в авторитетном научном журнале Complex & Intelligent Systems, показывают перспективность объединения непрерывных нейронных моделей, пространственно-временных точечных процессов, байесовского вывода и больших языковых моделей в рамках единой архитектуры кибербезопасности. Предложенный подход позволяет не только повысить точность обнаружения атак, но и сделать системы безопасности быстрее, экономичнее, понятнее для специалистов и более устойчивыми к появлению новых угроз.

Ваша реакция?
Показать полностью
Подписаться
Уведомление о
guest
0 Комментарий
Первые
Последние Популярные
Back to top button