Сеть под прицелом: как ИИ выявляет скрытые атаки

от

Автор: Денис Аветисян

Новый подход, основанный на графовых моделях и технологиях искусственного интеллекта, позволяет обнаруживать перемещение злоумышленников внутри корпоративной сети.

🐢

Ищешь ракеты? Это не к нам. У нас тут скучный, медленный, но надёжный, как швейцарские часы, фундаментальный анализ.

Бесплатный Телеграм канал
Предлагаемый метод предварительного обучения больших языковых моделей (LLM) следует устоявшемуся принципу маскирования токенов, однако вместо предложений из текстового корпуса используются случайные блуждания по графу, где узлы идентифицируются как токены, а ребра - как их признаки, что позволяет модели оптимизироваться на основе предсказания замаскированных идентификаторов узлов в последовательности блужданий.
Предлагаемый метод предварительного обучения больших языковых моделей (LLM) следует устоявшемуся принципу маскирования токенов, однако вместо предложений из текстового корпуса используются случайные блуждания по графу, где узлы идентифицируются как токены, а ребра — как их признаки, что позволяет модели оптимизироваться на основе предсказания замаскированных идентификаторов узлов в последовательности блужданий.

В статье представлена модель CyberGFM, использующая графовое представление сетевой активности и случайные блуждания для выявления аномалий и обнаружения латерального перемещения в сети.

Обнаружение аномальной сетевой активности, необходимое для защиты от латерального перемещения злоумышленников, часто сталкивается с ограничениями в эффективности и масштабируемости существующих подходов. В данной работе, ‘CyberGFM: Graph Foundation Models for Lateral Movement Detection in Enterprise Networks’, предлагается инновационный метод, использующий модели-основы, обученные на графовом представлении сети и случайных обходах, для выявления подозрительных связей. Предложенная система CyberGFM достигает передовых результатов на стандартных наборах данных, демонстрируя значительное улучшение точности обнаружения аномалий. Сможет ли этот подход, объединяющий преимущества глубокого обучения и анализа графов, стать ключевым элементом в построении более надежных систем защиты корпоративных сетей?

Преодолевая Ограничения Традиционных Подходов: Хрупкость Ручной Разработки Признаков

Традиционные системы кибербезопасности долгое время опирались на ручную разработку признаков и предопределенных правил для выявления угроз. Однако, этот подход обладает существенными ограничениями, поскольку требует от специалистов глубокого понимания всех возможных векторов атак и их модификаций. В условиях постоянно эволюционирующего ландшафта угроз, когда злоумышленники разрабатывают новые методы обхода защиты, ручное создание и поддержание актуальности этих правил становится непосильной задачей. Такая “хрупкость” систем делает их уязвимыми к ранее неизвестным атакам — так называемым “zero-day” уязвимостям — и требует постоянного вмешательства человека для адаптации к меняющимся условиям. В результате, системы, основанные на ручной разработке признаков, часто оказываются неспособными эффективно противостоять современным, изощренным атакам, маскирующимся под легитимный сетевой трафик.

Современные злоумышленники демонстрируют всё более высокую степень адаптивности, активно маскируя свою деятельность под обычный сетевой трафик. Традиционные методы обнаружения вторжений, основанные на заранее определенных сигнатурах и правилах, оказываются неэффективными против таких атак, поскольку они не способны распознать замаскированную активность. Злоумышленники намеренно имитируют легитимное поведение, затрудняя тем самым отделение вредоносной активности от нормальной. Это приводит к тому, что атаки остаются незамеченными, что представляет серьезную угрозу для безопасности информационных систем и требует разработки принципиально новых подходов к обнаружению угроз, способных анализировать поведение сети в целом и выявлять аномалии, даже если они замаскированы под нормальный трафик.

Необходим принципиальный сдвиг в подходах к кибербезопасности: от ручного определения признаков угроз к обучению непосредственно на данных о сетевой активности. Вместо того, чтобы полагаться на заранее заданные правила, современные системы должны самостоятельно выявлять тонкие закономерности, указывающие на злонамеренные действия. Такой подход позволяет обнаруживать атаки, которые ранее оставались незамеченными, поскольку злоумышленники постоянно совершенствуют свои методы, маскируясь под легитимный трафик. Обучение на поведении сети, а не на жестко заданных признаках, позволяет системам адаптироваться к новым угрозам и эффективно противостоять сложным и изощренным атакам, обеспечивая более высокий уровень защиты информации.

Уменьшение объема обучающих данных для предварительного обучения и тонкой настройки приводит к снижению производительности модели.
Уменьшение объема обучающих данных для предварительного обучения и тонкой настройки приводит к снижению производительности модели.

Графовые Фундаментальные Модели: Новый Подход к Пониманию Сетевых Данных

Графовые фундаментальные модели (GFM) представляют собой новый подход к анализу сетевых данных, использующий присущую им реляционную структуру для обучения обогащенным, контекстуализированным векторным представлениям (embeddings). В отличие от традиционных методов, требующих ручной разработки признаков, GFM автоматически извлекают и кодируют информацию о связях между узлами графа, что позволяет создавать более точные и информативные представления данных. Эти векторные представления отражают как атрибуты узлов, так и структуру связей, обеспечивая возможность эффективного решения различных задач, таких как прогнозирование связей, классификация узлов и обнаружение аномалий в графовых данных.

Основой обучения Graph Foundation Models (GFM) является неконтролируемое предварительное обучение, позволяющее моделям извлекать сложные динамики сети без использования размеченных данных. В частности, применяются методы случайных блужданий (random walk), которые позволяют модели исследовать структуру графа, и предсказание замаскированных токенов с использованием расписания (scheduled masked token prediction). В рамках последнего метода, часть узлов или связей в графе временно скрывается, а модель обучается предсказывать их на основе контекста, что способствует формированию представлений, учитывающих взаимосвязи и закономерности в графе. Такой подход позволяет GFM самостоятельно обнаруживать и кодировать релевантную информацию, необходимую для решения различных задач анализа графов.

Модели графовых основ (GFM), использующие архитектуры, такие как BERT и GPT, позволяют автоматизировать процесс обнаружения и представления релевантных паттернов в графовых данных, отказываясь от традиционной ручной разработки признаков. Вместо явного определения и конструирования признаков, GFM самостоятельно извлекают значимые характеристики из структуры графа и взаимосвязей между узлами в процессе обучения. Это достигается за счет использования глубоких нейронных сетей, которые способны выявлять сложные нелинейные зависимости и представления данных, ранее требующие экспертных знаний и трудоемкой настройки. Автоматическое извлечение признаков позволяет значительно сократить время разработки и повысить эффективность анализа графовых данных, особенно в задачах, где ручная разработка признаков затруднена или невозможна.

На графике показана зависимость между временем работы и средней точностью на наборе данных LANL, где точки на линии соответствуют количеству токенов, использованных при предварительном обучении модели CyberGFM.
На графике показана зависимость между временем работы и средней точностью на наборе данных LANL, где точки на линии соответствуют количеству токенов, использованных при предварительном обучении модели CyberGFM.

Совершенствование Графового Обхода и Обучения Представлениям

Эффективные модели графового машинного обучения (GFM) критически зависят от надежных методов исследования и представления структуры графа. Алгоритм случайных блужданий (random walk) является базовым подходом, позволяющим исследовать связи между узлами графа путем последовательного перехода от одного узла к другому согласно вероятностному распределению. Расширения, такие как Node2Vec, улучшают этот процесс путем оптимизации последовательностей блужданий для захвата как локальной, так и глобальной структуры графа. Node2Vec использует параметры, контролирующие вероятность возврата к предыдущему узлу и исследования новых, что позволяет моделировать различные типы связей и эффективно создавать векторные представления узлов, отражающие их положение в графе и связи с другими узлами. Эти представления затем используются для решения различных задач, включая классификацию узлов, предсказание связей и обнаружение аномалий.

Включение временной предвзятости в алгоритмы случайных блужданий позволяет моделям учитывать последовательность событий в сетевом трафике. Традиционные случайные блуждания исследуют граф без учета порядка посещения узлов, что может приводить к потере важной информации о временных зависимостях. Введение временной предвзятости, например, путем увеличения вероятности перехода к узлам, которые были посещены недавно или в определенной последовательности, позволяет модели более точно отражать динамику сетевого трафика. Это особенно важно для задач обнаружения аномалий, поскольку аномальные события часто проявляются в виде необычных последовательностей сетевых взаимодействий. Повышение точности обнаружения аномалий достигается за счет способности модели отличать нормальные последовательности событий от аномальных, основанных на временном контексте.

Сетевые нейронные сети (GNN) значительно улучшают обучение представлений, используя механизм распространения информации по графу. Этот процесс позволяет модели учитывать связи между сетевыми сущностями, выходя за рамки анализа отдельных узлов. В отличие от традиционных методов, GNN агрегируют информацию от соседних узлов, формируя векторное представление каждого узла, которое учитывает его окружение и связи. Это достигается путем итеративного применения функций агрегации и трансформации, позволяющих моделировать сложные зависимости в сетевых данных. В результате, GNN способны выявлять паттерны и аномалии, которые остаются незамеченными при использовании более простых методов анализа графов.

Представление CSR, полученное из необработанных лог-файлов, позволяет извлекать случайные блуждания, при этом игнорирование временных ограничений в выделенной области позволяет получить стандартное случайное блуждание.
Представление CSR, полученное из необработанных лог-файлов, позволяет извлекать случайные блуждания, при этом игнорирование временных ограничений в выделенной области позволяет получить стандартное случайное блуждание.

Подтверждение Эффективности: Обнаружение Латерального Перемещения и Аномалий

Графовые модели формирования (GFM) демонстрируют выдающиеся результаты в обнаружении латерального перемещения, представляющего собой серьезную проблему в сфере кибербезопасности. В основе их эффективности лежит способность выявлять необычные закономерности сетевого взаимодействия, отклоняющиеся от нормального поведения. Вместо анализа отдельных событий, GFM рассматривают сеть как граф, где узлы — это устройства, а связи — коммуникации между ними. Это позволяет модели не только фиксировать факт перемещения злоумышленника внутри сети, но и предсказывать потенциальные направления его движения, основываясь на структуре графа и выявленных аномалиях в паттернах связи. Такой подход значительно повышает эффективность обнаружения угроз, особенно в сложных и динамичных сетевых средах, где традиционные методы часто оказываются неэффективными.

Для подтверждения эффективности предложенного подхода к обнаружению аномальной боковой активности использовались различные наборы данных, включая DARPA OpTC, UNSW-NB15 и LANL. Эти данные, представляющие собой разнородные сетевые окружения с различными характеристиками трафика и моделями атак, позволили оценить способность модели обобщать полученные знания и эффективно работать в реальных условиях. Использование нескольких наборов данных гарантирует, что результаты не зависят от специфических особенностей конкретной сети, и подтверждает надежность и универсальность разработанного решения для обнаружения угроз в широком спектре сетевых инфраструктур.

Графовые модели формирования (GFM) демонстрируют возможности, выходящие за рамки традиционного обнаружения вторжений, активно применяясь для повышения точности обнаружения аномалий. В частности, техники предсказания связей в графах сетевых взаимодействий позволяют выявлять необычные соединения, которые могут свидетельствовать о злонамеренной активности. Анализируя структуру сети и прогнозируя вероятные связи между узлами, GFM способны обнаружить отклонения от нормального поведения, даже если эти отклонения не связаны с известными сигнатурами атак. Это позволяет своевременно реагировать на потенциальные угрозы, которые могли бы остаться незамеченными при использовании традиционных методов, основанных на сигнатурном анализе или статистических аномалиях.

Предложенная система CyberGFM продемонстрировала выдающиеся результаты, достигнув показателя средней точности (Average Precision, AP) в 0.76 на наборе данных LANL. Этот результат более чем вдвое превышает предыдущие лучшие показатели, что свидетельствует о значительном прорыве в обнаружении аномального латерального перемещения в сети. Достигнутая производительность подтверждает, что CyberGFM представляет собой передовое решение в области сетевой безопасности, способное эффективно выявлять сложные и скрытые угрозы, которые ранее оставались незамеченными. Высокая точность системы позволяет минимизировать количество ложных срабатываний и оперативно реагировать на реальные инциденты, обеспечивая повышенную защиту критически важных сетевых ресурсов.

Процесс тонкой настройки моделей привел к впечатляющему увеличению показателя средней точности (Average Precision) на 580%. Данный результат свидетельствует о значительном повышении способности моделей выявлять аномалии и латеральное перемещение в сети. Улучшение производительности достигнуто за счет адаптации моделей к специфическим характеристикам сетевого трафика и паттернам атак, что позволяет более эффективно отличать нормальную активность от злонамеренной. Подобный скачок в точности открывает новые возможности для создания более надежных и эффективных систем обнаружения вторжений, способных оперативно реагировать на возникающие угрозы в динамичной сетевой среде.

Дообучение моделей CyberGFM привело к улучшению показателя AP (Average Precision).
Дообучение моделей CyberGFM привело к улучшению показателя AP (Average Precision).

Представленная работа демонстрирует стремление к математической чистоте в области сетевой безопасности. Разработанная модель CyberGFM, использующая графовые представления и случайные блуждания, стремится не просто обнаружить аномалии, но и предоставить доказуемо корректный механизм выявления бокового перемещения в сети. Как однажды заметил Джон Маккарти: «Всякий интеллект — это способность к доказательству». Этот принцип находит отражение в подходе, где алгоритм выявления атак основывается на строгих математических принципах, а не на эвристических правилах. Доказательство корректности алгоритма, в данном случае, важнее, чем просто его работоспособность на тестовых данных, что соответствует принципам элегантности и надёжности, столь важным в сфере информационной безопасности.

Что дальше?

Без точного определения задачи обнаружения латерального перемещения, любое решение, даже демонстрирующее впечатляющую точность, остается шумом. Представленная работа, используя графовые фундаментальные модели, безусловно, продвигает границу возможного. Однако, фундаментальная проблема — определение «нормального» поведения сети — остаётся нерешённой. Любой алгоритм, основанный на обнаружении аномалий, уязвим к новым, ранее невиданным векторам атак, которые по определению не могут быть классифицированы как отклонения от нормы.

Дальнейшие исследования должны быть сосредоточены не на улучшении точности обнаружения известных атак, а на разработке моделей, способных к самообучению и адаптации к неизвестным угрозам. Использование случайных блужданий и трансформаторных сетей — лишь инструменты. Ключевым является построение математически доказуемой модели поведения сети, а не просто эмпирически работающего алгоритма. Любая «работоспособность на тестовых данных» — иллюзия, если отсутствует строгое доказательство корректности.

В конечном счете, истинный прогресс потребует не просто более сложных моделей, а принципиально нового подхода к определению понятия «аномалии». До тех пор, пока не будет сформулирована четкая, математически обоснованная дефиниция, любая система обнаружения вторжений останется лишь временным решением в бесконечной гонке вооружений.

Оригинал статьи: https://arxiv.org/pdf/2601.05988.pdf

Связаться с автором: https://www.linkedin.com/in/avetisyan/

Смотрите также:

2026-01-13 00:01