Современные кибератаки редко выглядят как один громкий взлом: злоумышленники могут неделями и месяцами изучать систему, проверять слабые места и лишь потом переходить к активным действиям. Большинство существующих систем защиты работают по принципу периодической проверки — делают «снимки» происходящего через равные промежутки времени, что не позволяет уловить длительную подготовку к атаке. Учёные Национального исследовательского ядерного университета «МИФИ» создали гибридную архитектуру ИИ, которая анализирует развитие сетевых событий во времени, учитывая их последовательность и временные интервалы. Как показали эксперименты, новая система обнаруживает атаки с точностью до 99%, при этом занимает всего 9,2 Мб оперативной памяти и анализирует более 12 миллионов событий в секунду, что позволяет использовать её в системах защиты реального времени.
Как пояснил аспирант НИЯУ МИФИ Роджер-Ник Анаедевха, разработавший архитектуру под руководством доцента кафедры кибернетики Александра Трофимова, ключевая идея заключается в том, что один подозрительный запрос ещё ничего не значит. Но если подобные запросы появляются в определённой последовательности и с определёнными временными интервалами, вместе они могут свидетельствовать о подготовке серьёзной атаки.
Созданная архитектура TA-BN-ODE объединяет два мощных математических аппарата. Нейронные дифференциальные уравнения моделируют развитие сетевых процессов в непрерывном времени — от микросекунд до месяцев. А глубокие пространственно-временные точечные процессы анализируют последовательность событий и оценивают вероятность появления подозрительных действий в будущем.
Исследователи решили две ключевые проблемы киберзащиты. Первая — оценка неопределённости. Большинство алгоритмов выдают только ответ «атака» или «не атака», не показывая, насколько модель уверена в своём решении. Авторы использовали байесовские методы, позволяющие оценивать степень уверенности. Это критически важно в центрах мониторинга, где ежедневно поступают миллионы предупреждений: специалисты могут в первую очередь проверять наиболее опасные случаи, не тратя время на ложные тревоги.
Вторая задача — обнаружение новых типов атак. Для этого авторы применили большую языковую модель, которая анализирует последовательности событий в текстовой форме и выполняет рассуждения, аналогичные действиям эксперта по кибербезопасности. В результате точность обнаружения атак нулевого дня на бенчмарке CIC-IoT-2023 достигла 87,6%, тогда как традиционные методы, основанные на поиске известных шаблонов, показали лишь около 42%. Это свидетельствует о переходе от реактивного подхода к защите к проактивному, когда система способна распознавать угрозы, отсутствовавшие в обучающих данных.
Для экспериментальной проверки исследователи провели тесты на наборах данных, содержащих почти 19 миллионов записей сетевой активности. Новая система показала точность обнаружения атак до 99%. Разработка значительно компактнее многих современных аналогов: модель имеет на 80% меньше параметров, чем трансформеры, при этом не уступая по точности. Из-за своей лёгковесности она способна анализировать более 12 миллионов событий в секунду с задержкой менее одной десятой секунды. Результаты опубликованы в авторитетном научном журнале Complex & Intelligent Systems.





















