Введение
В эпоху постоянного развития цифровой среды, угрозы в области кибербезопасности становятся все более сложными и распространенными. Это требует изменения подхода и внедрения новых методов в сферу защиты информации. Ожидается, что темпы роста искусственного интеллекта (ИИ) в период с 2023 по 2030 составят 37 процентов в год [6], и в этом контексте искусственный интеллект, в частности нейронные сети, становятся важным элементом новой парадигмы в обеспечении безопасности в сети. Эти технологии не только меняют традиционные методы защиты, но и предоставляют организациям расширенные возможности в обнаружении угроз, распознавании образов и адаптивном обучении. В настоящее время способность нейронных сетей точно распознавать закономерности становится бесценным инструментом в стратегии противостояния киберпреступности.
Одним из ключевых преимуществ интеграции нейронных сетей в кибербезопасность является улучшение возможностей обнаружения угроз. Традиционные системы безопасности часто полагаются на подходы, основанные на правилах, которые могут с трудом успевать за быстро развивающимися тактиками, используемыми киберпреступниками. Нейронные сети, с другой стороны, превосходно выявляют сложные закономерности и аномалии в наборах данных, позволяя на ранней стадии обнаруживать потенциально вредоносные действия [4].
Цель исследования
Цель статьи заключается в исследовании и обосновании эффективности применения нейронных сетей для прогнозирования инцидентов в области информационной безопасности. В исследовании продемонстрировано, как использование нейросетей, основанных на языке программирования Python, может повысить надежность защиты, предупреждая новые угрозы, и способствовать более точному анализу и адаптации к изменяющимся сценариям кибербезопасности.
Материал и методы исследования
Известно, что нейронные сети являются хорошими функциональными аппроксиматорами, способными по таблично заданному временному ряду в результате обучения запомнить и восстановить вид функциональной зависимости этого ряда [1]. Это свойство легло в основу широкого применения нейронных сетей в системах поддержки принятия решений.
Эффективность нейросетевой аппроксимации сравнима с эффективностью нечеткой и нейро нечеткой аппроксимации экспериментальных данных. Способность нейронных сетей после обучения к обобщению и пролонгации результатов создает возможности и предпосылки для построения на их основе прогностических систем, которые способны обеспечивать возможность долгосрочного прогнозирования и обобщения данных в широком контексте систем поддержки принятия решений [3].
Так, одним из способов использования нейронных сетей в сфере информационной безопасности может стать прогнозирование количества инцидентов на основе статистики инцидентов за последние несколько лет. Пусть дан временной ряд x(t) на промежутке t=1. Тогда задача прогнозирования состоит в том, чтобы найти продолжение временного ряда на неизвестном промежутке. Прогнозирующая нейронная сеть должна иметь один выход и количество входов, определяющее число учитываемых предыдущих значений ряда для прогнозирования, например, четыре последних значения. Для обучения нейронной сети необходимо подготовить обучающую выборку, в которой входными значениями будут количество инцидентов информационной безопасности предприятия за текущий период, а желаемым выходом – известное число инцидентов на следующий за ними год.
Метод ближайшего соседа (k-Nearest Neighbors, k-NN) (рис. 1) — один из самых простых и эффективных алгоритмов обучения с учителем, использующийся для классификации данных в нейронных сетях [2]. Он широко используется для поиска в доступном наборе данных, связывая новые точки данных с аналогичные существующими точками и является наиболее подходящим в контексте данного нейросетевого прогнозирования, так как он позволяет эффективно учитывать временные зависимости и тренды в данных.
Рис.1 - Репрезентация метода ближайшего соседа
При использовании нейросетей в этом контексте, метод ближайшего соседа может быть применен к выходам нейросети. Например, для задачи временного ряда инцидентов, выходы нейросети для предыдущих временных точек могут быть использованы для поиска близких соседей в пространстве признаков и определения вероятности возникновения инцидента в следующий момент времени.
В этом методе для нового инцидента прогнозы строятся на основе близких, предшествующих инцидентов в пространстве признаков. Это означает, что инциденты, которые имеют схожие характеристики, будут использоваться для определения вероятности и характера будущих инцидентов. Этот метод основан на принципе анализа похожести, что особенно важно в предсказании инцидентов, где паттерны могут быть схожими с предыдущими периодами.
Этот подход позволяет комбинировать преимущества нейросетевого моделирования и метода ближайшего соседа для более точного и адаптивного прогнозирования инцидентов в области информационной безопасности.
Результаты исследования и их обсуждение
В ходе исследования и обучения нейросети с помощью языка программирования Python и python-библиотеки для машинного обучения scikit-learn было инициализировано оптимальное число k- ближайших соседей. Результаты влияния выбранного для обучения количества соседей на точность прогноза представлены на рисунке 2. В ситуации с четырьмя столбцами входных данных, самым эффективным является обучение с 3 соседями.
Рис.2 - График нахождения оптимального числа соседей для обучения модели
Входные данные для обучения модели представлены на рисунке 3.
Рис.3 - Входные и выходные данные модели
Используя метод k-NN, модель анализирует ближайших соседей для каждого значения входных данных, определяя их влияние на прогноз для следующего года. Модель обучается на тренировочных данных, а затем оценивается на тестовых данных для проверки ее производительности и точности прогнозирования. В итоге, обученная модель, получая на вход 4 значения количества инцидентов за предыдущий период выдаст предсказание о количестве инцидентов на следующий год.
Прогнозирование количества инцидентов информационной безопасности на основе статистики предыдущих лет обеспечивает организациям предупреждение о возможных угрозах и позволяет преждевременно готовиться к предстоящим вызовам. Это также позволяет оценивать эффективность мер безопасности, оптимизировать распределение ресурсов и планировать стратегии безопасности [7]. Кроме того, статистика предоставляет базу для обучения систем искусственного интеллекта в области кибербезопасности, что способствует более точному прогнозированию и адаптации к изменяющимся угрозам.
Также нейронные сети могут применяться в информационной и кибер безопасности со стороны других перспектив. Например, нейронные сети могут быть использованы для проведения поведенческий анализа для установления базовой линии нормальной деятельности пользователя и системы. Постоянно обучаясь и адаптируясь к изменениям, они могут выявлять аномалии, которые при дальнейшем анализе укажут на угрозы безопасности. Этот подход в кибербезопасности особенно эффективен при обнаружении ранее неизвестных атак или атак нулевого дня [5].
Помимо этого, нейронные сети справляются с распознаванием образов, что делает их идеальными для анализа больших объемов данных сетевого трафика. Благодаря контролируемому обучению нейронные сети можно обучить на помеченных наборах данных, чтобы различать нормальное и вредоносное поведение сети. Они анализируют сетевой трафик, журналы и поведение пользователей для выявления аномалий и угроз, автоматизируют реагирование и улучшают свою производительность с течением времени, обучаясь на обратной связи [9]. В результате они повышают точность и эффективность анализа трафика, обеспечивая более надежную защиту от развивающихся киберугроз.
Проблемы и будущие перспективы:
В ходе исследования были выявлены следующие преимущества использования нейронных сетей в системах информационной безопасности:
● Адаптивность: Системы кибербезопасности на базе нейронных сетей постоянно адаптируются, учась на предыдущих атаках, что затрудняет повторное использование уязвимостей злоумышленниками.
● Точность: способность различать тонкие закономерности приводит к более точной классификации, уменьшая количество ложно положительных и отрицательных результатов.
● Анализ в реальном времени: позволяет быстро выявлять инциденты безопасности и реагировать на них.
● Снижение количества человеческих ошибок: автоматизированная классификация снижает зависимость от ручного анализа, сводя к минимуму риск человеческой ошибки.
Хотя интеграция нейронных сетей в кибербезопасность имеет огромные перспективы, она не лишена проблем. Обеспечение этичного использования ИИ, решение проблем, связанных с предвзятостью в обучающих данных, создание надежных мер безопасности для защиты самих нейронных сетей, а также непрерывный мониторинг и обновление для поддержания эффективности против развивающихся угроз — важные факторы для организаций, которые готовы решиться применять нейронные сети при разработке и обеспечении информационной политики [8].
Помимо этого, обеспечение конфиденциальности в моделях искусственного интеллекта имеет критическое значение, сопоставимое с важностью кибербезопасности. Модели ИИ, случайно раскрывающие личную информацию в процессе анализа угроз, могут сделать системы уязвимыми для будущих неожиданных атак. Ключевая задача заключается в том, чтобы обучить модели ИИ эффективно справляться с различными кибератаками, при этом оптимизируя время реагирования и сохранение конфиденциальности.
Однако надежные наборы данных для обучения с учетом конфиденциальности являются редкостью, так как организации не готовы обмениваться данными, содержащими персональную или конфиденциальную информацию. Для решения этой проблемы применяются методы генеративного моделирования, такие как генеративно-состязательные сети (Generative adversarial network, GAN), которые создают суррогатные модели данных, обеспечивая сохранение конфиденциальности при сохранении их полезности для обучения.
Одним из наиболее безопасных решений в данной ситуации является двойной подход, использующий модели глубокого обучения, сохраняющие конфиденциальность, и сочетающий генеративное моделирование с символическими графами знаний (Knowledge Graph, KG), выражающими предметные знания [8]. Этот подход повышает сохранение конфиденциальности в генерируемых данных для последующих задач машинного обучения.
Заключение
Использование нейронных сетей в кибербезопасности представляет собой крупный шаг вперед, который позволит организациям повысить уровень безопасности в условиях растущего количества утечек данных и атак. Представленный подход к нейросетевосму прогнозированию инцидентов с помощью языка программирования Python обеспечивает сбалансированный и комплексный механизм предсказания инцидентов, способствующий укреплению общей кибербезопасности и эффективному реагированию на динамичные сценарии кибератак. Эксперты по кибербезопасности, применяя нейронные сети, могут эффективнее выявлять угрозы, проводить поведенческий анализ и оперативно реагировать на изменения в безопасности.