Clear Sky Science
Evidensbaserade, jargonsnåla förklaringar

Clear Sky Science · sv

Artificiell intelligensdriven multiagentramverk för adaptiv cyberattackssimulering och automatiserad incidenthantering i cyberrange-miljöer

· Tillbaka till index

Varför smartare cyberövningar spelar roll

Varje dag övar företag och myndigheter för digitala katastrofer med hjälp av ”cyber ranges” – säkra, sandlådeliknande nätverk där angripare och försvarare kan träna. Men många av dessa träningsmiljöer förlitar sig fortfarande på skriptade, förutsägbara angreppsscenarier som sällan liknar dagens smygande, formskiftande hot. Denna artikel introducerar ett nytt sätt att göra övningarna betydligt mer realistiska: att använda artificiella intelligens‑”agenter” som lär sig att angripa och försvara på egen hand, vilket tvingar mänskliga deltagare och verktyg att hantera motståndare som tänker och anpassar sig.

Från statiska scenarier till levande krigsspel

Traditionella cyber ranges fungerar lite som ett förskrivet skådespel: instruktörer väljer ett angreppsskript, trycker på start och ser handlingen utspela sig. Det är användbart för nybörjare, men sviker mot moderna motparter som kedjar ihop många tysta steg, sonderar försvaret och byter taktik när de upptäcks. Studier som citeras i artikeln visar att mer än hälften av simulerade attacker saknar viktiga taktiker som att röra sig från en komprometterad maskin till en annan eller att dölja sig för övervakningsverktyg. Resultatet blir träning som ser bra ut på papper men som inte förbereder analytiker tillräckligt för internets röriga verklighet.

Att lära digitala agenter att anfalla och försvara

För att minska denna lucka bygger författarna ett multiagentssystem – ett litet samhälle av mjukvaruenheter som agerar självständigt men interagerar i ett delat virtuellt nätverk. På ena sidan finns angriparagenter som lär sig planera och justera sina handlingar med hjälp av belönings‑ och straffbaserad återkoppling, ungefär som en spel‑AI som lär sig vinna. På andra sidan finns försvararagenter som övervakar nätverkstrafik efter ovanliga mönster och automatiskt väljer hur de ska svara, exempelvis genom att isolera en misstänkt dator eller blockera en riskfylld anslutning. Båda agentgrupperna tränas på stora, verkliga samlingar av nätverksaktivitet så att deras beteenden speglar genuint skadlig och normal användning snarare än leksaksexempel.

Figure 1
Figure 1.

Att bygga och koppla upp testmiljön

Teamet integrerar dessa agenter i CyDER 2.0, en molnbaserad cyber range som kan skapa olika typer av företagsliknande nätverk, från små installationer med ett par dussin maskiner till stora miljöer med hundratals värdar. Innan träning rengör och balanserar de noggrant underliggande data så att sällsynta attacker inte dränks av vardaglig trafik. Angriparagenten använder djupinlärning för att utforska flerstegssekvenser som att skanna efter svaga maskiner, utnyttja en sårbarhet, eskalera privilegier och sedan sprida sig eller stjäla data – allt medan den försöker förbli oupptäckt. Försvararagenter kombinerar två kompletterande metoder: en traditionell klassificerare som är fintrimad på märkta attacker, och en autoencoder som lär sig vad som är ”normalt” och flaggar avvikelser, inklusive tidigare osedda knep.

Hur den smarta rangen presterar i praktiken

Forskarnas AI‑drivna agenter ställs mot två vanliga alternativ: fasta skript och en regelbaserad multiagentuppsättning vars beteende aldrig egentligen förändras. Över små, medelstora och stora testnätverk upptäcker de lärande agenterna attacker mer träffsäkert och med färre missar. I det mest krävande scenariot med blandade angrepp i det största nätverket upprätthåller det nya systemet en stark balans mellan att fånga hot och att undvika falsklarm, medan statiska tillvägagångssätt försämras kraftigt. Lika viktigt är att dess automatiserade svar utlöses flera sekunder snabbare än baslinjerna, en marginal som kan begränsa skador avsevärt vid snabbrörliga intrång. Angriparagenterna själva blir mer kapabla under träningen och länkar ihop längre, mer invecklade angreppskedjor, samtidigt som resursanvändningen för alla agenter håller sig inom måttliga gränser.

Figure 2
Figure 2.

Vad detta betyder för verklig beredskap

Ur en lekmans perspektiv visar studien att cybersäkerhetsövningar kan uppgraderas från färdiga övningar till levande krigsspel där båda sidor kan tänka själva. Genom att koppla in lärande angripare och försvarare i realistiska övningsnätverk och mata dem med verkliga trafikloggar skapar ramverket scenarier som ser och känns mycket närmare faktiska incidenter. I tester leder detta till skarpare upptäckt, snabbare reaktion och förmågan att skala upp till mer komplexa miljöer utan att överbelasta systemet. Författarna menar att sådana intelligenta ranges bättre kan förbereda säkerhetsteam för framtida attacker och utgöra en grund för mer autonoma digitala försvar, medan framtida arbete kommer att fokusera på att göra dessa kraftfulla agenter mindre så att de också kan köras på mindre, svagare enheter.

Citering: Agrawal, A., Nadeem, M., Al Nuaim, A. et al. Artificial intelligence driven multi agent framework for adaptive cyber attack simulation and automated incident response in cyber range environments. Sci Rep 16, 11673 (2026). https://doi.org/10.1038/s41598-026-45937-9

Nyckelord: cyber range, adaptiva cyberattacker, multiagentsystem, AI-driven försvar, incidenthantering