Clear Sky Science
Spiegazioni basate sulle evidenze, con poco gergo

Clear Sky Science · it

Modellizzazione matematica di strategie di sicurezza informatica adattive tramite modelli comportamentali compositi

· Torna all'indice

Perché una difesa informatica più intelligente è importante

Dai registri ospedalieri alle reti elettriche, le nostre vite dipendono oggi da sistemi digitali costantemente sotto attacco. Criminali e hacker sponsorizzati dallo Stato non usano più trucchi singoli e grossolani; tessono campagne lunghe e furtive che si adattano alle reazioni dei difensori. Questo articolo introduce un nuovo modo di modellare matematicamente quel gioco del gatto e del topo, con l’obiettivo di fornire ai difensori strumenti che si aggiustino in tempo reale anziché affidarsi a regole fisse o a modelli di apprendimento automatico monolitici.

Figure 1
Figure 1.

Limiti delle mura protettive odierne

La maggior parte degli strumenti di sicurezza esistenti cerca o le impronte note di attacchi passati o semplici anomali statistiche nel traffico di rete. Altri utilizzano la teoria dei giochi o il machine learning per anticipare le minacce. Ognuno di questi approcci cattura però solo una fetta della realtà: possono modellare l’attaccante o il difensore, ma raramente entrambi insieme, e spesso assumono comportamenti che cambiano poco nel tempo. Una vasta rassegna della letteratura in questo studio, che copre 75 articoli di ricerca dal 2018 al 2025, ha mostrato che meno di un terzo dei modelli esistenti tenta di combinare diversi pattern comportamentali, e solo circa un quarto supporta una reale adattività in tempo reale. In altre parole, la maggior parte dei modelli tratta il conflitto informatico come statico e unidimensionale, benché le intrusioni reali si svolgano su molte fasi e reagiscano alle mosse dei difensori.

Una visione unificata di attaccanti e difensori

Gli autori propongono un modello comportamentale composito che intreccia molti modelli più piccoli di attaccanti e difensori in un’unica immagine dinamica. Sul lato dell’attaccante, rappresenta fasi come la scansione di una rete, la penetrazione, il movimento laterale tra sistemi e il mantenimento di una presenza nascosta. Sul lato del difensore include componenti come il rilevamento delle anomalie, la regolazione del firewall e lo spostamento delle risorse di calcolo verso dove servono di più. Tutti questi elementi sono collegati da equazioni matematiche che descrivono come lo stato del sistema complessivo cambia nel tempo, includendo incertezza e disturbi casuali. Crucialmente, il difensore non ottiene una visione perfetta di ciò che avviene; vede invece segnali rumorosi — come allarmi e log imperfetti — e deve inferire cosa probabilmente sta facendo l’attaccante e rispondere di conseguenza.

Trasformare la matematica in difese dinamiche

Per mettere alla prova le loro idee, gli autori hanno costruito un ambiente di simulazione dettagliato usando dataset comuni di cybersecurity (NSL-KDD e UNSW-NB15) e campagne d’attacco sintetiche e realistiche ispirate alle fasi della “kill chain” usata dagli intrusi moderni. Gli attacchi progrediscono come catene probabilistiche di eventi, con tempistiche casuali e rumore dei sensori aggiunto per mimare le condizioni disordinate delle reti reali. I componenti difensivi usano regole di apprendimento e controllo di feedback per aggiustare soglie, riconfigurare le difese e riassegnare risorse man mano che arrivano nuove evidenze. Il modello gira in loop chiuso: gli attaccanti cambiano tattica in risposta alle difese, le difese si adattano a loro volta, e così via, permettendo ai ricercatori di studiare il comportamento dell’intero sistema su molte migliaia di passi temporali.

Figure 2
Figure 2.

Cosa rivelano le simulazioni

In un’ampia gamma di scenari — da intrusioni dirette a campagne complesse e lente contro sistemi di controllo industriale simulati — il modello composito ha costantemente superato le difese tradizionali non adattive e diversi benchmark avanzati. Ha raggiunto tassi di rilevamento vicino o superiori al 90% in contesti a basso rumore e si è mantenuto intorno all’85% anche quando gli attaccanti sono diventati più sofisticati o quando i dati di monitoraggio erano fortemente corrotti dal rumore. Rispetto a un modello statico di base, ha rilevato più attacchi, ha reagito più velocemente ai cambiamenti nel comportamento degli attaccanti e ha usato le risorse di calcolo in modo più efficace, riducendo i falsi allarmi senza causare costi incontrollati. Test statistici hanno confermato che questi guadagni non erano dovuti al caso, e la dinamica interna del sistema è rimasta stabile invece di precipitare nel caos mentre attaccanti e difensori si adattavano l’uno all’altro.

Cosa significa per la sicurezza quotidiana

Per i non specialisti, il messaggio chiave è che la difesa informatica può essere modellata più come un ecosistema in evoluzione che come un muro fisso. Descrivendo matematicamente come molti diversi comportamenti di attaccanti e difensori interagiscono nel tempo — e tenendo conto dell’incertezza e della visibilità parziale — il quadro proposto mostra una via verso sistemi di sicurezza che apprendono durante un attacco, non solo prima. Tali modelli compositi e adattivi potrebbero supportare strumenti futuri che rimodellano silenziosamente le difese di una rete mentre le minacce si sviluppano, aiutando i servizi critici a restare online e affidabili anche quando gli avversari diventano più persistenti e ingegnosi.

Citazione: Nuaim, A.A., Nuaim, A.A., Nadeem, M. et al. Mathematical modeling of adaptive information security strategies using composite behavior models. Sci Rep 16, 10755 (2026). https://doi.org/10.1038/s41598-026-45315-5

Parole chiave: cybersecurity adattiva, modellazione comportamentale delle minacce, dinamiche attacco–difesa, sistemi di sicurezza stocastici, rilevamento delle intrusioni