Clear Sky Science
הסברים מבוססי ראיות, עם מעט ז'רגון

Clear Sky Science · he

שילוב תשומת לב ניתן להסבר בלמידת מספר-דוגמאות ב-LSTM לגילוי תקיפות ברשתות מערכות סייבר-פיזיות לא מאוזנות

· חזרה לאינדקס

מדוע הגנות חכמות חשובות למכונות מחוברות

מרשתות חשמל ומתקני מים ועד רובוטים במפעלים ומכשירי בית חולים, העולם הפיזי שלנו פועל יותר ויותר באמצעות מכונות מקושרות הידועות כמערכות סייבר-פיזיות. חדירה אחת בלתי מורגשת לרשתות אלה עלולה להשבית שירותים, לפגוע בציוד או אף לסכן חיים. למרות זאת, כלים רבים לאבטחה עדיין מפספסים תקיפות נדירות אך מסוכנות או מוצפים באזהרות שקריות שהמפעילים אינם יכולים לפרש. המחקר הזה מציג גישה חדשה לגילוי חדירות, HeXAI-AttentionCPS, שנועדה לזהות גם איומים שכיחים וגם נדירים ברשתות קריטיות אלה, ובנוסף להסביר לאנשי אנוש מדוע נוצרה התרעה.

Figure 1
Figure 1.

סכנות חבויות בתעבורת נתונים דיגיטלית

מערכות סייבר-פיזיות מחליפות כמות עצומה של נתונים באופן רציף, שרובם שגרתי. תעבורת התקיפה היא כמו כמה חוטים בצבע שונה הנשתלים בתוך בד ענק. מערכות מסורתיות לגילוי חדירות נוטות להתמקד בתבניות השכיחות ביותר שהן רואות. כתוצאה מכך, הן נהיות טובות מאוד בזיהוי אירועים תכופים אך מתעלמות מתקיפות נדירות ומתפתחות, כגון סיכיונות מתוחכמים של אדם-באמצע. כאשר חוקרים מנסים לתקן זאת על ידי ריבוי מלאכותי של דוגמאות התקיפה בנתונים, הם לעיתים יוצרים רעש, מה שהופך מודלים לפחות יציבים ואיטיים יותר, ועדיין לא לגמרי מהימנים מול סוגי איומים חדשים.

מערכת למידה שמתמקדת בנדירים ובחשובים

המסגרת המוצעת HeXAI-AttentionCPS מתמודדת עם הבעיות האלה על ידי שינוי גם של דרך הלמידה וגם של מה שמוחש בניתוח תעבורת הרשת. ראשית, היא משתמשת במודל רצפי בשם LSTM כדי לקרוא נתונים לאורך זמן, בדומה לאופן שבו אנו מפיקים משמעות ממשפט במקום ממילים מבודדות. מעליו, מנגנון תשומת לב פועל כזרקור, מדגיש את הרגעים המכריעים ביותר ברצף התעבורה במקום להתייחס לכל נקודת נתונים כשווה חשיבות. המודל מאומן בסגנון "למידת מעט-דוגמאות": במהלך האימון הוא מתרגל שוב ושוב לזהות סוגי תקיפה מתוך מספר מועט של דוגמאות, מה שמשקף מצבים אמיתיים שבהם זמינות רק כמה דוגמאות מסומנות של תקיפה חדשה.

לאזן את המאזניים בלי לזייף את הנתונים

במקום ליצור תקיפות סינתטיות כדי לתקן חוסר איזון, המערכת משתמשת בפונקציית אובדן מיוחדת הנקראת "focal loss" שמדגישה במכוון טעויות על מחלקות נדירות ובו בזמן מפחיתה את המשקל של החלטות קלות על תעבורה שכיחה. זה מניע את הלמידה לכיוון התקיפות שקשה לזהות ללא עיוות של המערך הנתונים עצמו. לפני הלמידה, הנתונים גם מועברים דחיסה באמצעות עדשה מתמטית הנקראת ניתוח רכיבים עיקריים (PCA), השומרת על הדפוסים המידעיים ביותר תוך השלכת חזרתיות מיותרת. השילוב הזה מצמצם את העומס החישובי ועוזר למנגנון התשומת לב להתרכז בשינויים בעלי משמעות אמיתית בתעבורה, ומשפר הן את המהירות והן את הדיוק.

Figure 2
Figure 2.

להפוך התרעות תיבת-שחורה לרמזים מובנים

מחסום מרכזי לאמון בהגנות אוטומטיות הוא שרבות מהן מתנהגות כתיבת-שחורה, מונפקות התרעות ללא הסבר. HeXAI-AttentionCPS משלבת שיטת הסבר ידועה כ-SHAP, המפרקת כל תחזית לתרומות של תכונות בודדות כגון פורטים מקור ויעד, כתובות IP, משך תעבורה ומצב החיבור. עבור מפעיל, משמעות הדבר היא כי כאשר המערכת מסמנת תקיפת אדם-באמצע, היא יכולה גם להראות אילו פורטים, תבניות כתובות IP או דפוסי תזמון הטו את ההחלטה לכיוון "זדוני". לאורך התרעות רבות, התצוגה הזו מגלה אילו היבטים של הרשת מעורבים בעקביות בתקיפות, ומספקת הכוונה לחיזוק המערכת.

מה המשמעות התכליתית של התוצאות

המחברים בדקו את המסגרת שלהם על מערך נתונים ריאלי שמדמה רשתות תעשייתיות מודרנית עם תשעה סוגי תקיפות שונים. בהשוואה לכמה בסיסי-למידה עמוקה, HeXAI-AttentionCPS השיגה דיוק וציוני F1 גבוהים מאוד תוך שמירה על שיעור התרעות שווא נמוך ביותר, גם עבור תקיפות נדירות שמערכות אחרות לעתים קרובות מפספסות. עבור צוותי אבטחה, זה אומר פחות חדירות חמורות שלא זוהו ופחות התרעות מטיפות מפריעות, בתוספת תובנה ברורה מדוע המערכת מגיבה כפי שהיא מגיבה. בפשטות, המחקר מראה שאפשר לבנות שומר ראש לתשתיות קריטיות שהוא לא רק חד-עין לגבי איומים יוצאי דופן, אלא גם מסוגל להסביר את טיעוניו באופן שמאפשר לאנשים לפעול בהתאם.

ציטוט: Abdulganiyu, O.H., Fadi, O., Moukafih, Y. et al. Explainable attention based few shot LSTM for intrusion detection in imbalanced cyber physical system networks. Sci Rep 16, 7217 (2026). https://doi.org/10.1038/s41598-026-38668-4

מילות מפתח: גילוי חדירות, מערכות סייבר-פיזיות, נתונים לא מאוזנים, בינה מלאכותית מונגשת, למידה ממעט דוגמאות