Clear Sky Science
Объяснения на основе доказательств, минимум жаргона

Clear Sky Science · ru

Математическое моделирование адаптивных стратегий информационной безопасности с использованием композитных моделей поведения

· Назад к списку

Почему важно более умное кибероборона

От медицинских карт до энергосетей — наша жизнь теперь зависит от цифровых систем, которые постоянно подвергаются атакам. Преступники и хакеры, финансируемые государствами, уже не ограничиваются одиночными грубыми приёмами; они плетут длительные, скрытные кампании, которые адаптируются по мере реакции защитников. В этой статье представлен новый способ математического моделирования этой игры в кошки-мышки, цель которого — дать защитникам инструменты, которые подстраиваются в реальном времени вместо опоры на фиксированные правила или разовые модели машинного обучения.

Figure 1
Figure 1.

Ограничения современных защитных барьеров

Большинство существующих средств безопасности либо ищут известные отпечатки прошлых атак, либо простые статистические аномалии в сетевом трафике. Другие используют теорию игр или машинное обучение для прогнозирования угроз. Каждая из этих методик отражает лишь один аспект реальности: они могут моделировать либо атакующего, либо защитника, но редко оба вместе, и часто предполагают поведение, которое мало меняется со временем. Обширный обзор литературы в этом исследовании, охватывающий 75 работ с 2018 по 2025 год, показал, что менее трети существующих моделей пытаются объединить разные паттерны поведения, и лишь около четверти поддерживают истинную адаптацию в реальном времени. Иными словами, большинство моделей рассматривают киберконфликт как статичный и одномерный процесс, хотя реальные вторжения разворачиваются на многих этапах и реагируют на действия защитников.

Единый взгляд на атакующих и защитников

Авторы предлагают композитную модель поведения, которая связывает множество более мелких моделей атакующих и защитников в единую динамическую картину. Со стороны атакующего модель представляет этапы, такие как сканирование сети, взлом, латеральное перемещение между системами и поддержание скрытой «точки опоры». Со стороны защитника включены компоненты вроде обнаружения аномалий, настройки межсетевых экранов и перераспределения вычислительных ресурсов в приоритетные зоны. Все эти элементы связывают математические уравнения, описывающие, как состояние всей системы меняется со временем, включая неопределённость и случайные возмущения. Важный момент в том, что защитник не получает совершенного представления о происходящем; вместо этого он видит зашумлённые сигналы — например, несовершенные оповещения и логи — и должен делать выводы о том, что вероятно делает атакующий, и соответствующим образом реагировать.

Превращение математики в подвижную защиту

Чтобы проверить свои идеи, авторы построили детализированную среду моделирования, используя общие наборы данных кибербезопасности (NSL-KDD и UNSW-NB15) и реалистичные синтетические кампании атак, вдохновлённые этапами «kill chain», применяемыми современными злоумышленниками. Атаки развиваются как вероятностные цепочки событий с случайной синхронизацией и шумом сенсоров, добавленными для имитации неидеальных условий реальных сетей. Компоненты защитника используют правила обучения и регуляторы с обратной связью для корректировки порогов, перенастройки средств защиты и перераспределения ресурсов по мере поступления новых свидетельств. Модель работает в замкнутом цикле: атакующие меняют тактику в ответ на оборону, защитные меры затем снова адаптируются и т. д., что позволяет исследователям изучать поведение всей системы на протяжении многих тысяч временных шагов.

Figure 2
Figure 2.

Что показывают симуляции

В самых разных сценариях — от простых вторжений до сложных медленно развивающихся кампаний против смоделированных систем промышленного управления — композитная модель стабильно превосходила традиционные неадаптивные защиты и несколько продвинутых эталонных методов. В условиях с низким уровнем шума она достигала показателей обнаружения около или выше 90 процентов и удерживала значения примерно выше 85 процентов даже когда атакующие становились более изощрёнными или когда данные мониторинга были сильно искажены шумом. По сравнению с базовой статической моделью она обнаруживала больше атак, быстрее реагировала на изменения в поведении атакующих и эффективнее использовала вычислительные ресурсы, снижая количество ложных срабатываний и избегая неконтролируемого роста затрат. Статистические тесты подтвердили, что эти улучшения не были случайными, а внутренние динамики системы оставались устойчивыми, не скатываясь в хаос по мере того, как атакующие и защитники подстраивались друг под друга.

Что это значит для повседневной безопасности

Для неспециалистов главный вывод в том, что киберзащиту можно моделировать скорее как развивающуюся экосистему, чем как фиксированную стену. Математически описывая, как различные поведения атакующих и защитников взаимодействуют во времени — и учитывая неопределённость и частичную видимость — предложенная рамочная модель показывает путь к системам безопасности, которые учатся в ходе атаки, а не лишь до неё. Такие композитные адаптивные модели могут лечь в основу будущих инструментов, которые незаметно перестраивают защиту сети по мере развития угроз, помогая критическим службам оставаться онлайн и надёжными даже при росте упорства и изобретательности противников.

Цитирование: Nuaim, A.A., Nuaim, A.A., Nadeem, M. et al. Mathematical modeling of adaptive information security strategies using composite behavior models. Sci Rep 16, 10755 (2026). https://doi.org/10.1038/s41598-026-45315-5

Ключевые слова: адаптивная кибербезопасность, моделирование поведенческих угроз, динамика атаки и защиты, стохастические системы безопасности, обнаружение вторжений