Специалисты Санкт-Петербургского Федерального исследовательского центра РАН (СПб ФИЦ РАН) создали систему для автоматического обнаружения различных типов кибератак, которая использует федеративное обучение — метод обучения нейросетей по данным, находящихся на распределённых носителях информации, а не по данным с одного сервера, как это происходит традиционно.

Эксперименты по использованию такой системы показали, что она быстрее других адаптируется к ранее неизвестным типам кибератак при той же эффективности выявления угроз. В перспективе разработка найдет применение в системах безопасности с ограниченным доступом к данным, например, в «умных» домах, и на объектах критической инфраструктуры.

Одним из последних трендов в кибербезопасности является разработка методов выявления кибератак с помощью нейросетевых моделей. Однако ключевой преградой к широкому практическому применению таких подходов является необходимость их адаптации к защищаемой системе. Для разработчика это трудоёмкий и ресурсозатратный процесс, который также требует наличия хорошо структурированных размеченных наборов реальных данных. При этом доступ к таким данным часто ограничен, что также значительно затрудняет процесс тестирования и внедрения компонентов для обнаружения на основе машинного обучения кибератак.

В этом случае альтернативой может служить федеративное обучение — это метод машинного обучения, при котором нейросетевые модели обучаются не на центральном сервере, а на устройствах обычных массовых пользователей, например, на смартфонах, «умных» часах или планшетах. Таким образом, данные остаются на устройствах пользователей, система обновляется на своем сервере путем агрегации обученных моделей с различных устройств. Этот подход позволяет защитить частную информацию пользователей, не требуя передачи данных на единый сервер.

«Наш научный коллектив разработал архитектуру системы выявления кибератак на основе федеративного обучения. Чаще всего федеративное обучение рассматривается как машинное обучение, которое обеспечивает конфиденциальность данных с ограниченным доступом, таким как персональные данные, коммерческая тайна. Однако в кибербезопасности оно может быть рассмотрено как механизм обмена данными об угрозах и атаках на защищаемые системы», — отмечает старший научный сотрудник лаборатории проблем компьютерной безопасности СПб ФИЦ РАН, доцент кафедры информационных систем Санкт-Петербургского государственного электротехнического университета «ЛЭТИ» Евгения Новикова.

Учёные провели многочисленные эксперименты по распознаванию угроз с помощью федеративного обучения. Выяснилось, что эффективность использующих его систем сопоставима и даже превосходит нейросети, обученные традиционно. Модели, использующие федеративное обучение, обладают более высоким уровнем адаптивности к ранее неизвестным для них угрозам, поскольку постоянно привлекают новую информацию из различных источников. В экспериментах были использованы данные из открытых информационных баз, в частности, собранных с систем для «умных» домов, которые исследователи используют в процессе проверки подобных систем.

«Несмотря на то, что еще предстоит решить ряд практических задач, связанных с применением федеративным обучением, мы можем сказать, что его использование дает возможность разрабатывать алгоритмы обнаружения вторжений без необходимости распространения реальных данных, способствуя тем самым развитию новых подходов к реализации и построению эффективных систем обнаружения и противодействия кибератакам», — поясняет Евгения Новикова.

Проект поддержан грантом РНФ (№22-21-00724). Результаты исследования описаны в двух статьях в журнале Algorithms и одной в журнале «Информатика и автоматизация (Труды СПИИРАН)».

Источник: пресс-служба СПб ФИЦ РАН.