bg
Кибербезопасность
08:18, 19 июля 2026
views
7

В России разработали программу для анализа развития кибератак во времени

В Национальном исследовательском ядерном университете (НИЯУ) МИФИ разработали гибридную ИИ-архитектуру TA-BN-ODE для обнаружения сложных кибератак. Она анализирует не отдельные события, а поведение злоумышленников во времени – от микросекунд до месяцев. Архитектура объединяет нейронные дифференциальные уравнения, пространственно-временные точечные процессы, байесовскую оценку неопределенности и большую языковую модель.

В рамках тестов с 19 млн записей сетевой активности точность выявления атак достигла 99%, для ранее неизвестных – 87,6%. У традиционных методов этот показатель составляет 42%. Модель занимает 9,2 Мб памяти, обрабатывает более 12 млн событий в секунду и выдает результат меньше чем за 0,1 секунды.

Разработку можно считать важным научно-технологическим результатом в сфере ИИ и кибербезопасности. Однако пока её нельзя назвать коммерческим продуктом, она не имеет подтвержденных внедрений.

Потенциально технология способна снизить риски утечек данных и сбоев сервисов, а также стать основой российских решений для защиты критической инфраструктуры, промышленности, банков и связи, с возможным применением в распределенных сетях и IoT.

Компактность модели

Перспективным направлением можно считать интеграцию решения в отечественные SIEM-, NDR-, EDR-системы и SOC. Речь, прежде всего, о промышленности и госсекторе – именно на них в 2025 году пришлось по 15% успешных атак. Общее число инцидентов выросло на 37% к 2022 году, а доля атак с нарушением работы – с 31% до 47%. Компактность модели позволяет использовать её не только в дата-центрах, но и на периферии, включая промышленные контроллеры, IoT и изолированные сети.

Перед внедрением нужно будет провести тестирование на реальном отечественном трафике, оценку ложных срабатываний, устойчивости к обходу и объяснимости решений для SOC, а также интеграцию с нашими ИБ-системами и сертификацию с учётом требований к КИИ.

Экспортный потенциал возможен при превращении разработки в продукт. Архитектура может быть интересна в СНГ, на Ближнем Востоке и в Азии. В 2025 году экспорт российского ПО вырос до $5,9–6,2 млрд, из них 30–40% пришлось на СНГ.

В числе преимуществ решения – компактность и возможность локального развертывания, среди ограничений – необходимость локализации, проверки на реальных данных и конкуренция.

Развитие защиты ИИ-систем

В 2024 году в России BI.ZONE внедрила в Secure DNS алгоритмы машинного обучения для выявления сложных DGA-доменов, используемых вредоносным ПО. Это указало на применение ИИ для поиска новых признаков атак на отдельных участках сети. В то же время PositiveTechnologies развивала автономные SOC и решения MaxPatrol BAD и O2. Там ML нужна для поведенческого анализа, снижения числа ложных срабатываний и объединения событий в цепочки действий аферистов.

На глобальном рынке Microsoft запустила Copilot for Security – ИИ-помощника для расследования инцидентов и анализа журналов. Утвердился тренд на применение LLM для автоматизации работы SOC-аналитиков. В России в 2025 году PositiveTechnologies расширила использование ML и LLM в линейке MaxPatrol, включая SIEM, BAD, PT NAD и PT Sandbox. Там алгоритмы применяются для поиска неизвестного ПО и частичной автоматизации реагирования.

Параллельно развивается направление защиты самих ИИ-систем. В 2025 году магистранты университета ИТМО и компания Raft представили Hive Trace. Это решение для мониторинга приложений с генеративным ИИ и защиты от промпт-инъекций, утечек данных и злоупотреблений LLM-агентами.

Ставка на российских разработчиков

Разработка МИФИ отражает переход к анализу поведения и сценариев атак. Главная особенность – объединение непрерывного временного моделирования, оценки неопределенности и возможностей языковой модели в одной компактной архитектуре.

В ближайшие два-три года прогнозируются пилотные проекты с российскими ИБ-разработчиками и крупными инфраструктурными компаниями, прежде всего, в промышленности, энергетике, телекоме и госсекторе.

Коммерческий результат зависит от работы в реальных условиях, снижения ложных срабатываний и интеграции с SOC. При успешной доработке архитектура может стать отдельным модулем или частью российских SIEM- и NDR-систем.

В России уже есть сильные разработчики в области антивирусной защиты, мониторинга инцидентов, защиты устройств, сетевой безопасности и анализа угроз. Но рынок постепенно уходит от логики срочной замены иностранных решений к более зрелому этапу: заказчики начинают оценивать не только сам факт «отечественного происхождения», а практическую эффективность, совместимость, стоимость и реальную способность снижать риски
quote
like
heart
fun
wow
sad
angry
Последние новости
Главное
Рекомендуем
previous
next