Ученые научили ИИ находить хакеров в сетях умных устройств

Ученые из Саудовской Аравии создали гибридную нейросеть, способную выявлять ботнет-атаки в сетях интернета вещей с точностью до 99,77%. Разработка, представленная в журнале Scientific Reports, анализирует трафик в режиме реального времени.

Она позволяет обнаруживать даже сложные распределенные угрозы, которые часто остаются незамеченными традиционными средствами защиты.

Стремительный рост числа подключенных к интернету устройств — от умных колонок и камер до медицинских датчиков и бытовой техники — создает обширное поле для кибератак.

Злоумышленники объединяют взломанные устройства в ботнеты, которые впоследствии применяются для кражи конфиденциальных данных, массированных DDoS-атак на серверы и нарушения работы критической инфраструктуры.

Традиционные методы киберзащиты зачастую не справляются с такими угрозами из-за ограниченной вычислительной мощности самих IoT-устройств и колоссальных объемов передаваемого трафика.

Для решения этой проблемы исследователи из Саудовской Аравии разработали систему, объединяющую два типа нейронных сетей. Сверточная нейронная сеть выделяет пространственные закономерности в потоке данных, а сеть долговременной кратковременной памяти (LSTM) анализирует изменение характеристик трафика во времени.

Такое сочетание позволяет алгоритму не просто фиксировать отдельные признаки атаки, а видеть полную картину, улавливая сложные последовательности вредоносных действий, распределенные во времени.

Обучение модели проводилось на открытом наборе данных BoT-IoT, который содержит миллионы записей реального интернет-трафика с разнообразными сценариями атак.

Однако перед исследователями стояла серьезная проблема: около 99,5% данных в этом наборе относились к вредоносному трафику, и лишь менее 0,5% составляла нормальная активность.

Грубое обучение на столь несбалансированных данных могло привести к ложной точности — алгоритм научился бы просто помечать весь трафик как вредоносный, демонстрируя формально высокие показатели без реальной пользы.

Чтобы избежать этого, ученые применили двухэтапную обработку информации. На первом этапе были отобраны восемь наиболее информативных характеристик сетевых пакетов из 29 исходных, что позволило снизить уровень цифрового шума.

Затем использовался метод SMOTE, который искусственно генерирует дополнительные примеры нормального трафика для балансировки классов. После такой предобработки гибридная модель показала точность 99,77 процента, а также продемонстрировала стопроцентную полноту при обнаружении атак, одинаково хорошо распознавая оба класса трафика.

Практическая ценность разработки подтверждается и скоростью ее работы. Среднее время обработки одного сетевого пакета на обычном процессоре составило 15 миллисекунд, что вполне достаточно для применения в режиме реального времени на большинстве шлюзов и устройств интернета вещей.

Это означает, что подобные системы можно будет внедрять непосредственно на периферии сети, блокируя угрозы мгновенно, не прибегая к отправке данных на облачные серверы для анализа.