Clear Sky Science
הסברים מבוססי ראיות, עם מעט ז'רגון

Clear Sky Science · he

ASTRID-Net: מסגרת למידת עומק משופרת ב-SE עם תשומת לב משולשת לאבטחת IoT ו-IIoT

· חזרה לאינדקס

מדוע חשוב להגן על מכשירים חכמים

בתים, מפעלים, בתי חולים ותחנות כוח מתמלאים במכשירים חכמים שמבחינים, מודדים ומבקרים את העולם שסביבנו. רשת המכשירים הזו — שלרוב מכנים אותה אינטרנט הדברים (IoT) ושלחותה התעשייתית, IIoT — מביאה נוחות ויעילות, אך גם פותחת אינספור דלתות דיגיטליות לתוקפים. חיישן אחד שנפרץ יכול לסייע להשבית ייצור, לגנוב נתונים רפואיים או לשבש שירותים קריטיים. מחקר זה מציג את ASTRID-Net, מערכת בינה מלאכותית חדשה שנועדה לזהות חדירות כאלה בזמן אמת, גם כאשר המתקפות נדירות, עדינות או משתנות ללא הרף.

הבעיה הגדלה של מתקפות נסתרות

כלי אבטחה מסורתיים פועלים כמו מאגרי טביעות אצבע: הם מחפשים דפוסים ידועים של התנהגות מזיקה. גישה זו נכשלת כאשר עבריינים ממציאים טכניקות חדשות, משגעים מכשירים בגלי תעבורה עצומים, או מתחבאים בתוך הרעש הרגיל של רשת עמוסה. מערכות IoT ו-IIoT חשופות במיוחד מפני זאת משום שהן משלבות סוגי מכשירים רבים, פועלות על חומרה חלשה ולעתים תלויות בחוקי תקשורת פשוטים. מגבלות אלו מקשות על התקנת תוכנות אבטחה כבדות ומקלות על תוקפים להשתלב. כתוצאה מכך, ארגונים זקוקים לשומרים חכמים יותר היכולים ללמוד מניסיון, לעקוב אחרי שינויי תעבורה על פני זמן ולהעיר אזעקות כאשר משהו מרגיש לא תקין במקום להסתמך רק על התאמה לחתימה שמאוחסנת.

Figure 1
Figure 1.

שומר בינה מלאכותית חדש לרשתות חכמות

ASTRID-Net (ראשי תיבות של Adaptive Spatiotemporal Residual-Interpretable Detection Network) נבנה כדי לענות על דרישות אלו. במקום להסתמך על חוקים מעשה ידי אדם, הוא לומד ישירות מרשומות רשת אמיתיות שנלקחו מבסיס נתונים מציאותי ונרחב הנקרא Edge-IIoTset. מאגר נתונים זה כולל יותר משני מיליון דגימות המכסות פעילות רגילה ו-15 סוגי מתקפות שונים, החל מניחוש סיסמאות וסריקות פורטים ועד כופרה וצורות שונות של התקפות מניעת שירות מבוזרות. ASTRID-Net ממיר כל רשומה לרצף מספרים ומעבד אותה דרך מספר שלבים החוקים כיצד אנליסט אנושי זהיר עלול לעבוד: סריקה ראשונית לזיהוי צורות מוכרות בנתונים, בחינה כיצד אירועים מתפתחים לאורך זמן ולבסוף ריכוז תשומת הלב בפרטים המכריעים ביותר.

כיצד המערכת מתמקדת במה שחשוב

השלב הראשון של ASTRID-Net משתמש במספר מגלהי דפוסים מקבילים, כאשר כל אחד מביט בנתונים דרך "גודל חלון" שונה. מבט רב-קנה מידה זה מסייע לו לתפוס עדויות זעירות, כגון קפיצה פתאומית בשדה יחיד, וגם מגמות רחבות יותר, כמו צבירה איטית של תעבורה חשודה. חיבור מקוצר מיוחד מאפשר למערכת לשמר אותות נמוכי-רמה שימושיים בזמן שהיא בונה אותות מורכבים יותר, מה שמשפר יציבות ומהירות אימון. בהמשך, מודול רצף דו-כיווני בוחן את סדר האירועים קדימה ואחורה, ותופס כיצד החבילות שלפניו ואחריו מתקשרות זו עם זו — חשוב לזיהוי מתקפות מתואמות או בשלבים שמתפתחות לאורך זמן.

Figure 2
Figure 2.

תשומת לב משולשת: זמן, ערוצים ומרחב

המאפיין המבדיל ביותר של ASTRID-Net הוא מנגנון תשומת הלב המשולשת שלו. חלק אחד לומד אילו רגעים ברצף הם החשובים ביותר, כך שפרץ קצר אך מסגיר של תעבורה מוזרה לא יטבע בתוך מקטעי זמן ארוכים של התנהגות שגרתית. חלק שני, בהשראת רעיונות "סקוויז-ואקסייט" (squeeze-and-excitation), לומד אילו סוגי אותות — כגון ספירות מסוימות או מדדי תזמון — הם המידע ביותר ומגביר אותם תוך השתקת פחות מועילים. החלק השלישי מדגיש מיקומים אינפורמטיביים במפת התכונות המשולבת, ועוזר למודל להתרכז בדפוסים עדינים שמפוזרים במקום מרוכזים. יחד, מודולי התשומת לב הללו פועלים כמו ספוטלייט שנע לאורך הזמן ומרחב התכונות, ומאפשר למערכת לכוון את כח העיבוד לאזורים החשובים ביותר.

מה התוצאות אומרות לאבטחה היומיומית

כאשר נבחן על מאגר הנתונים Edge-IIoTset, ASTRID-Net הבחין נכון בין תעבורה רגילה למתקפות בדיוק של עד 100% במשימות פשוטות של "מתקפה מול אין מתקפה" וכשזהה איזה מתוך 15 סוגי מתקפות היה נוכח השיג דיוק של כ-99.97%. חשוב מכך, הוא הצטיין גם בקטגוריות מתקפה נדירות שהרבה מערכות מפספסות. עבור משתמשים שאינם מומחים, משמעות הדבר היא שהשיטה מציעה דרך מבטיחה לבנות חומות אש וכלי ניטור חכמים יותר שיכולים להגן על בתים חכמים, מפעלים ותשתיות קריטיות עם מעט מאוד התראות חסרות או התרעות שווא. אמנם יש עוד עבודה להתאימו להגדרות שמרניות לפרטיות והפצה מלאה, אך ASTRID-Net מצביע על עתיד שבו אבטחה מונעת בינה מלאכותית משגיחה בשקט על היקום המתרחב של מכשירים מחוברים.

ציטוט: Zannat, A., Ahmmed, M.S., Hossain, M.A. et al. ASTRID-Net: SE-enhanced triple attention deep learning framework for IoT and IIoT security. Sci Rep 16, 5874 (2026). https://doi.org/10.1038/s41598-026-36731-8

מילות מפתח: אבטחת IoT, זיהוי חדירות, למידת עומק, IoT תעשייתי, זיהוי מתקפות סייבר