نمذجة מתמטית של אסטרטגיות אבטחת מידע אדפטיביות באמצעות מודלים התנהגותיים מרוכבים

מדוע הגנה סייבר חכמה יותר חשובה

מרשומות בית חולים עד רשתות חשמל — חיינו תלויים כיום במערכות דיגיטליות שנמצאות תחת מתקפה מתמדת. עבריינים וגורמים נתמכי מדינות כבר לא משתמשים בתחבולות בודדות ומחוספסות; הם אורגים מסעות ארוכים ועמומים שמסתגלים ככל שהמגנים מגיבים. מאמר זה מציג דרך חדשה לניסוח מתמטי של משחק החתול והעכבר הזה, במטרה לספק למגינים כלים שמתאימים את עצמם בזמן אמת במקום להישען על חוקים קבועים או על מודלים אחידים של למידת מכונה.

מגבלות החומות המגינות של היום

רוב כלי האבטחה הקיימים מחפשים או טביעות אצבע ידועות של התקפות עבר, או סטיות סטטיסטיות פשוטות בתנועת הרשת. אחרים משתמשים בתורת המשחקים או בלמידת מכונה כדי לצפות איומים. כל אחת מהשיטות הללו לוכדת רק פרוסת מציאות אחת: הן עשויות לממש את התוקף או את המגן, אך נדיר שמשלבות את שניהם יחד, ולעתים מניחות שהתנהגות לא משתנה במידה רבה עם הזמן. סקירה ספרותית רחבה במחקר זה, בכיסוי של 75 מאמרים מ-2018 עד 2025, הראתה שפחות משליש מהמודלים הקיימים מנסים לשלב תבניות התנהגות שונות, וכרבע בלבד תומכים בהתאמה בזמן אמת אמיתי. במילים אחרות, רוב המודלים מתייחסים לסכסוך סייבר כסטטי ובעל ממד יחיד, אף שהחדירות האמיתיות מתפתחות על פני שלבים רבים ומגיבות למהלכי המגנים.

מבט מאוחד על תוקפים ומגינים

המחברים מציעים מודל התנהגות מרוכב אשר טווה יחד מודלים קטנים יותר של תוקפים ושל מגינים לתמונה דינמית אחת. בצד התוקף הוא מייצג שלבים כגון סריקת רשת, חדירה, תנועה צידית בין מערכות והשגת עיגון סמוי. בצד המגן הוא כולל מרכיבים כגון גילוי אנומליות, כוונון חומת אש והזזת משאבי מחשוב למקומות בהם הם נחוצים ביותר. כל הרכיבים הללו נקשרים זה לזה על ידי משוואות מתמטיות שמתארות כיצד מצב המערכת הכוללת משתנה לאורך זמן, כולל אי-ודאות והפרעות אקראיות. קריטי הוא שהמגן אינו רואה את המצב במלואו; במקום זאת הוא מקבל אותות רעשים — כגון התראות ורשומות לא מושלמות — וחייב להסיק מה ככל הנראה עושה התוקף ולהגיב בהתאם.

להפוך מתמטיקה להגנות נעות

כדי לבחון את רעיונותיהם, הבונים יצרו סביבה סימולציה מפורטת באמצעות מערכי נתוני סייבר נפוצים (NSL-KDD ו-UNSW-NB15) ומסעות תקיפה סינתטיים וריאליסטיים בהשראת שלבי "שרשרת ההריגה" שמשתמשים בהם פורצים מודרניים. התקפות מתקיימות כשרשראות אירועים הסתברותיות, עם תזמון אקראי ורעשי חיישנים שמתווספים כדי לחקות את התנאים העמוסים של רשתות אמיתיות. רכיבי המגן משתמשים בחוקי למידה ובבקרת משוב כדי להתאים ספים, להגדיר מחדש הגנות ולהקצות מחדש משאבים ככל שעולים עדויות חדשות. המודל רץ בלולאה סגורה: התוקפים משנים טקטיקות בתגובה להגנות, ההגנות מסתגלות שוב, וכן הלאה — מה שמאפשר לחוקרים לחקור כיצד המערכת כולה מתנהגת לאורך אלפי צעדי זמן.

מה הסימולציות מגישות

במגוון רחב של תרחישים — מהחדירות הישירות ועד מסעות איטיים ומורכבים נגד מערכות בקרה תעשייתיות מדומות — המודל המרוכב הציג ביצועים טובים באופן עקבי בהשוואה להגנות בלתי-מותאמות מסורתיות ולכמה קריטריונים מתקדמים. הוא השיג שיעורי זיהוי קרובים או מעל 90% בסטים בעלי רעש נמוך ונשאר מעל כ-85% גם כאשר התוקפים הפכו למורכבים יותר או כאשר נתוני המעקב היו שקועים ברעש כבד. בהשוואה למודל סטטי בסיסי, זוהו בו יותר תקיפות, היכו בו תגובים מהירות יותר לשינויים בהתנהגות התוקף, והוא ניצל משאבי מחשוב ביעילות רבה יותר — צמצם התרעות שווא תוך הימנעות מעלייה בלתי נשלטת של עלויות. מבחנים סטטיסטיים אישרו שהשיפורים הללו אינם תוצאה של מקריות, והדינמיקה הפנימית של המערכת נשמרה יציבה במקום להסלים לכאוס כאשר תוקפים ומגינים הסתגלו זה לזה.

מה משמעות הדבר לאבטחה היומיומית

עבור לא-מומחים, המסר המרכזי הוא שאפשר לדמות הגנת סייבר יותר כאקוסיסטם מתפתח מאשר כחומה קבועה. על ידי תיאור מתמטי של האופן שבו התנהגויות רבות ושונות של תוקפים ומגינים מתקשרות לאורך זמן — ועל ידי התחשבות באי-ודאות ובראות חלקית — המסגרת המוצעת מראה דרך למערכות אבטחה שלומדות במהלך התקיפה, לא רק לפני.R דגמי מרוכב אדפטיביים כאלה עשויים לתמוך בכלים עתידיים שמשנים בשקט את הגנות הרשת ככל שהאיומים מתגלים, ועוזרים לשירותים קריטיים להישאר מקוונים ואמינים גם כאשר היריבים הופכים לעיקשים ויצירתיים יותר.

ציטוט: Nuaim, A.A., Nuaim, A.A., Nadeem, M. et al. Mathematical modeling of adaptive information security strategies using composite behavior models. Sci Rep 16, 10755 (2026). https://doi.org/10.1038/s41598-026-45315-5

מילות מפתח: אבטחת סייבר אדפטיבית, نمذجة איום התנהגותית, דינמיקת התקפה–הגנה, מערכות אבטחה סטוכסטיות, זיהוי חדירות