Návštěvou našich stránek souhlasíte s našimi zásady ochrany osobních údajů týkající se souborů cookie, statistik sledování atd.

Umělá inteligence v kybernetické obraně

Jak AI mění kybernetickou obranu v celém životním cyklu kybernetických incidentů

Home
Umělá inteligence v kybernetické obraně
Umělá inteligence v kybernetické kriminalitě

Cílem kybernetické obrany je chránit systémy, sítě a data před infiltrací, narušením nebo zničením. Na adrese . životní cyklus kybernetického incidentu poskytuje užitečný způsob, jak porozumět kybernetické obraně, a rozděluje ji do čtyř fází:

  • Prevence: prevence a snižování rizika incidentů a minimalizace jejich možných následků.
  • Připravenost: rozvoj plánů, nástrojů a schopností na podporu účinné reakce.
  • Reakce: zabránit incidentu a zabránit dalším škodám.
  • Zotavení: rychlé obnovení provozu a návrat k normální nebo vyšší úrovni bezpečnosti.

 

Umělá inteligence (AI) se stala důležitou ve všech čtyřech fázích. Na rozdíl od tradičních nástrojů, které přesně zapadají do jedné fáze, se mnoho schopností AI prolíná napříč životním cyklem: stejná technika, která podporuje připravenost, může také umožnit rychlejší reakci nebo pomoci při obnově. Díky této integraci je AI výkonná a zároveň náročná na klasifikaci: její hodnota nespočívá pouze ve zlepšení jednotlivých úkolů, ale v plynulejším propojení jednotlivých fází.

Prevence

Připravenost

Reakce

Zotavení

Mapování povrchu útoku

Skenování kódů

Shrnutí dat

Klasifikace dat

Detekce anomálií

Psaní a analýza

Syntetická data

Správa identit a přístupu

Správa identit a přístupu

Analýza protokolu

Analýza malwaru

Školení a laboratoře

Školení a laboratoře

V následujících kapitolách se budeme zabývat konkrétními aplikacemi umělé inteligence pro kybernetickou obranu a ukážeme, jak se tyto aplikace vztahují k různým fázím životního cyklu incidentu a v mnoha případech zahrnují několik fází najednou.

Mapování povrchu útoku

Mapování povrchu útoku identifikuje všechny prostředky, vstupní body a zranitelnosti, které by mohl protivník využít při útoku. Poskytuje obráncům přehled o jejich vystavení útokům a pomáhá určit priority, které je třeba zabezpečit.

Jak umělá inteligence mění mapování povrchu útoku:

Umělá inteligence mění mapování útočných ploch tím, že automatizuje rozsáhlé skenování sítí a prostředků, čímž výrazně snižuje ruční práci. Díky pokročilému rozpoznávání vzorů dokáže odhalit skryté nebo zapomenuté koncové body, které tradiční metody často přehlédnou. Systémy AI mohou mapy průběžně aktualizovat podle toho, jak se vyvíjí infrastruktura, čímž se omezují slepá místa a obránci si udržují přesný obraz svého prostředí v reálném čase.
Prevence. Snižuje rizika dříve, než je útočníci využijí.
Připravenost. Udržuje aktualizovaný přehled infrastruktury pro plánování incidentů.

Zvýrazněný případ: Využití LLM pro zjišťování aktiv v kritické infrastruktuře

V roce 2025, Luigi Coppolino a další zveřejnila studii, která ukazuje, jak mohou rozsáhlé jazykové modely (LLM) zlepšit odhalování aktiv v kritických infrastrukturách. Tradiční nástroje, jako je Nmap nebo průmyslové bezpečnostní platformy, buď riskují narušení citlivých systémů aktivním skenováním, nebo nedokážou odhalit skrytá zařízení, pokud se spoléhají pouze na pasivní monitorování.

Výzkumníci navrhli rámec "Mixture of Experts" založený na LLM, který kombinuje data z pasivního pozorování dopravy, pečlivě omezeného aktivního sondování a fyzikálních signálů, jako jsou elektromagnetické emise. Specializovaní agenti LLM pak tato data interpretují: jeden se zaměřuje na průmyslové protokoly, jiný na zranitelnosti v IT/OT sítích a další na architekturu a závislosti systémů.

Systém může také využívat externí zpravodajské zdroje (například databáze MITRE ATT&CK nebo CVE) k identifikaci slabých míst a doporučení bezpečnostních opatření. Při testech v simulované průmyslové síti úspěšně klasifikoval prostředky, jako jsou programovatelné logické řadiče, robotické paže a tiskárny, a zároveň upozornil na nezabezpečené postupy, jako je nešifrovaný provoz Modbus.

Takový přístup mění mapování útočné plochy na adaptivní a kontextově orientovaný proces, který poskytuje viditelnost v reálném čase a snižuje rizika tradičního skenování. Snížením technických překážek pro obránce umožňuje komplexnější monitorování a posiluje celkovou bezpečnostní pozici kritické infrastruktury.

Další literatura
  • Vliv umělé inteligence na detekci hrozeb - "AI pro obranu" (Donnie W. Wendt 2024)
    Kapitola ukazuje, jak umělá inteligence zdokonalila detekci a třídění hrozeb, kdy modely strojového učení zpracovávají obrovské množství různorodých dat a identifikují potenciální útoky. Výsledky zdůrazňují, jak se první aplikace v letech 2000-2010 zaměřovaly na detekci malwaru, narušení a spamu, což ukazuje sílu AI při analýze velkých souborů dat a zlepšování stávajících detekčních systémů a zároveň postupné vylepšování dlouhodobých funkcí kybernetické bezpečnosti.
  • Detekce hrozeb nové generace - "Revoluční kybernetická bezpečnost: (Manoharan & Sarker 2022).
    Dokument ukazuje, jak umělá inteligence a strojové učení přinášejí revoluci v odhalování hrozeb a umožňují organizacím odhalovat anomálie, analyzovat vzorce chování a předvídat potenciální útoky. Výsledky ukazují, jak techniky, jako je NLP pro extrakci informací o hrozbách a hluboké učení pro rozpoznávání vzorů, mohou automatizovat detekci a reakci, zatímco případové studie z reálného světa potvrzují jejich účinnost.

Skenování a vyhodnocování kódů

Kontrola kódu prověřuje zdrojový kód a odhaluje zranitelnosti, nezabezpečené knihovny nebo špatné bezpečnostní postupy dříve, než je lze zneužít.

Jak AI mění skenování a vyhodnocování kódů:

Umělá inteligence urychluje odhalování zranitelností tím, že upozorňuje na nezabezpečené funkce a identifikuje rizikové vzorce kódování, které se naučila z minulých zneužití. Nabízí také automatizované návrhy na nápravu, čímž podporuje vývojáře při psaní bezpečnějšího kódu a snižuje příležitost pro útočníky.

Prevence. Opravuje slabá místa dříve, než je objeví útočníci.
Připravenost. Posiluje základní bezpečnostní pozici pro připravenost na incidenty.

Zvýrazněný případ: Použití modulů LLM pro skenování kódu a bezpečný vývoj

V roce 2025, Belozerov a kol. zkoumala, jak mohou velké jazykové modely podpořit bezpečné postupy kódování. Jejich studie testovala ChatGPT na souboru dat DevGPT, který obsahoval skutečný kód vývojářů spolu se známými zranitelnostmi označenými statickými skenery. Z 32 potvrzených zranitelností jich ChatGPT správně odhalil 18 a u 17 z nich dokonce navrhl opravy.

Výsledky ukazují, jak může umělá inteligence snížit ruční práci při revizi kódu, pomoci při třídění rizikových kódovacích vzorů a poskytovat automatické návrhy na nápravu. To má potenciál rozšířit postupy bezpečného kódování a zkrátit dobu, po kterou jsou zranitelnosti zneužitelné.

Studie zároveň zdůraznila důležitá omezení: ChatGPT občas produkoval příliš sebevědomé, ale nesprávné výstupy, při pokusech o opravy zaváděl nové chyby a byl méně spolehlivý než statická analýza nebo odborná lidská kontrola. Klíčovým závěrem této studie je, že umělá inteligence může být mocným pomocníkem při hodnocení kódu, ale pouze v kombinaci s tradičními nástroji a řádným dohledem.

Další literatura
  • Automatizovaná revize kódu - "Přehled využití umělé inteligence pro kybernetickou bezpečnost: (Ndibe & Ufomba 2024).
    Článek ukazuje, jak mohou umělá inteligence a rozsáhlé jazykové modely podpořit automatizované revize kódu a hodnocení zranitelností, a pomoci tak organizacím proaktivně odhalovat slabá místa ve zdrojovém kódu a zkrátit dobu odezvy. Výsledky také upozorňují na rizika, jako je nezabezpečený kód generovaný umělou inteligencí, a zdůrazňují potřebu lidského dohledu a rámce řízení.
  • Interpretovatelné hluboké učení pro detekci zranitelností - "Detekce zranitelností s jemnou interpretací" (Li et al. 2021)
    Tento článek představuje IVDetect, model hlubokého učení, který odhaluje zranitelnosti v kódech a určuje konkrétní příkazy a závislosti, které jsou za ně zodpovědné. IVDetect zvyšuje přesnost oproti nejmodernějším nástrojům a poskytuje jemná vysvětlení. Zjištění ukazují podstatné zvýšení výkonu detekce a přesnější identifikaci zranitelného kódu, což podporuje automatickou analýzu i nápravu ze strany vývojářů.
  • Detekce zranitelností vícejazyčného kódu - "Detekce zranitelnosti kódu v různých programovacích jazycích pomocí modelů AI" (Humran & Sonmez 2025)
    Tento článek zkoumá modely založené na transformátorech, včetně CodeBERT a CodeLlama, pro detekci zranitelností ve více programovacích jazycích. Díky jemnému ladění na různých souborech dat modely zachycují syntaxi i sémantiku a dosahují přesnosti až 97%. Studie také zahrnuje metody ansámblu a vysvětlitelnou umělou inteligenci pro snížení počtu falešně pozitivních výsledků a zvýšení důvěryhodnosti vývojářů. Prokazuje, že modely AI mohou překonat tradiční statické analyzátory v prostředí různých jazyků, ačkoli problémy zůstávají v oblasti robustnosti, přesnosti a připravenosti k nasazení.

Shrnutí dat

Shrnutí dat shrnuje velké objemy technických dat (např. protokoly, zprávy a informace o hrozbách) do přístupných informací.

Jak AI mění shrnutí dat:

Umělá inteligence snižuje kognitivní přetížení tím, že transformuje nezpracované a nestrukturované informace na využitelnou inteligenci. Dokáže identifikovat opakující se vzorce nebo anomálie v roztříštěných souborech dat. Může také vytvářet jednoduché jazykové zprávy pro neodborníky. Umělá inteligence tak usnadňuje konzumaci informací, jejich sdělování a jednání na jejich základě.

Připravenost. Pomáhá zpracovávat informace o hrozbách a efektivněji plánovat.
Reakce. Zjednodušuje přehled o situaci v reálném čase.
Zotavení. Vytváří shrnutí a zprávy o získaných zkušenostech.

Zvýrazněný případ: Umělá inteligence pro shrnutí záznamů a situační povědomí

V roce 2024, Balasubramanian a kol. představila CYGENT, konverzačního agenta využívajícího technologii GPT-3, který dokáže analyzovat a shrnovat systémové protokoly. Namísto toho, aby se analytici museli probírat tisíci nezpracovaných záznamů protokolu, CYGENT je zkondenzuje do krátkých, lidsky čitelných výstupů, které upozorní na klíčové události a anomálie.

Při hodnoceních dosáhl CYGENT lepších výsledků než jiné velké jazykové modely, pokud jde o vytváření jasných a použitelných shrnutí. Systém snížil kognitivní přetížení, podpořil situační povědomí během živých incidentů a umožnil rychlejší rozhodování.

Tento případ ilustruje, jak může umělá inteligence přeměnit nezpracovaná technická data na dostupnou inteligenci. Díky snazší interpretaci protokolů pomáhá obráncům efektivněji se připravit, rychleji reagovat a lépe dokumentovat události.

Další literatura

Klasifikace dat

Klasifikace dat uspořádává informace podle jejich citlivosti nebo požadavků na dodržování předpisů a zajišťuje, že kritická aktiva jsou náležitě chráněna.

Jak AI mění klasifikaci dat:

Umělá inteligence využívá zpracování přirozeného jazyka k automatickému označování citlivého obsahu a odhalování chybně klasifikovaných nebo odhalených dat ve velkém měřítku.

Prevence. Omezuje náhodné odhalení citlivých údajů.
Připravenost. Podporuje dodržování předpisů.

Zvýrazněný případ: Umělá inteligence pro klasifikaci citlivých dat

V roce 2024, De Renzis a kol. zkoumala, jak by bylo možné využít rozsáhlé jazykové modely ke zlepšení klasifikace citlivých informací. Hlavním problémem v této oblasti je, že k tréninku nelze vždy použít skutečné osobní údaje kvůli rizikům ohrožení soukromí. Autoři navrhli generování syntetických trénovacích dat, která by přesto odrážela vzory citlivých kategorií, jako je zdraví, politika nebo náboženství.

Jejich přístup umožnil trénink přesných klasifikátorů, aniž by došlo k odhalení skutečných uživatelských dat, a ukázal, jak může umělá inteligence pomoci organizacím dodržovat předpisy, jako je GDPR, a zároveň zvýšit jejich schopnost odhalovat a chránit citlivé informace. Tento případ ilustruje, jak AI posiluje jak prevenci (snížením náhodného vystavení dat), tak připravenost (podporou rámců pro dodržování předpisů). Současně zdůrazňuje význam správy a validace pro zajištění toho, aby syntetická data a výsledné modely zůstaly reprezentativní a spolehlivé.

Další literatura
  • Označování kategorií GDPR pomocí transformátoru - "Automatická detekce citlivých dat pomocí klasifikátorů založených na transformátorech" (Petrolini et al. 2022)
    Tato studie používá modely umělé inteligence k automatickému označování citlivých textů v rozsáhlých sbírkách dokumentů, které se týkají například politiky, zdraví, náboženství a sexuality. Ukazuje, že přístupy založené na transformátorech mohou spolehlivě klasifikovat taková data, což podporuje dodržování GDPR a umožňuje rozsáhlé a automatizované označování pro klasifikaci dat řízenou dodržováním předpisů.
  • Sémantická analýza pro automatickou detekci citlivých dat - "Automatizovaná identifikace citlivých dat z implicitní specifikace uživatele (S3)" (Yang & Liang 2018)
    Tento článek představuje systém S3, který identifikuje citlivé údaje v mobilních aplikacích na základě analýzy sémantiky, nikoli na základě klíčových slov. Díky učení preferencí uživatelů v oblasti ochrany soukromí dosahuje vyšší přesnosti než tradiční nástroje a ukazuje, jak může umělá inteligence přizpůsobit klasifikaci dat reálnému kontextu. Studie zdůrazňuje, že citlivost informací závisí jak na kontextu aplikace, tak na preferencích uživatele, a že účinná ochrana v éře cloudu vyžaduje, aby bylo nejprve možné takové údaje identifikovat.

Detekce anomálií koncových bodů nebo sítě

Detekce anomálií sleduje koncové body a síťový provoz a hledá neobvyklé chování, které může naznačovat kompromitaci.

Jak umělá inteligence mění detekci anomálií na koncových bodech a v síti:

Umělá inteligence se učí, jak vypadá běžná aktivita, a označuje odchylky, které mohou signalizovat škodlivou aktivitu. Na rozdíl od systémů založených na signaturách dokáže odhalit jemnější narušení, která se vyhýbají tradiční detekci. Umělá inteligence umožňuje rychlejší a efektivnější reakci na incidenty tím, že upřednostňuje výstrahy a snižuje počet falešně pozitivních detekcí.

Připravenost. Stanovuje základní hodnoty běžné činnosti.
Reakce. Detekce anomálií v reálném čase za účelem označení a potlačení útoků.

Zvýrazněný případ: Využití umělé inteligence pro detekci anomálií v kritických systémech

V roce 2024, Nwoye a Nwagwughiagwu zkoumala, jak by detekce anomálií založená na umělé inteligenci mohla zlepšit kybernetickou obranu koncových bodů a sítí. Pomocí modelů strojového učení vyškolených na běžných vzorcích chování systému a síťového provozu jim jejich přístup umožnil identifikovat jemné odchylky, které by tradiční systémy založené na signaturách přehlédly, včetně například včasných příznaků vnitřních hrozeb a narušení dat.

Studie představila případové studie z kritických odvětví, které ukazují, že detekce anomálií pomocí umělé inteligence zkrátila dobu odezvy a pomohla zachovat kontinuitu provozu tím, že podezřelou aktivitu označila dříve, než způsobila vážné škody. Autoři také přiznali problémy, včetně falešně pozitivních výsledků a potřeby transparentnosti komplexních modelů AI. Tento případ ukazuje, jak AI přispívá jak k připravenosti (stanovením výchozích hodnot běžné činnosti), tak k reakci (odhalováním a upřednostňováním anomálií v reálném čase).

Další literatura
  • Detekce anomálií na bázi GAN - "TadGAN: Detekce anomálií v časových řadách pomocí generativních adverzních sítí" (Geiger et al. 2020)
    Tento článek představuje TadGAN, neřízený rámec, který používá cyklicky konzistentní GAN k detekci anomálií v datech časových řad. Kombinací chyb rekonstrukce s kritickými výstupy generuje TadGAN spolehlivé skóre anomálií a snižuje počet falešně pozitivních výsledků. Při testování na 11 referenčních souborech dat z různých oblastí konzistentně překonával nejmodernější metody. Studie ukazuje, jak mohou metody GAN zlepšit detekci jemných časových anomálií v různých systémech reálného světa.
  • Strojové učení pro detekci anomálií v infrastruktuře - "AI Defenders: (Nebebe et al. 2024): "Machine Learning Driven Anomaly Detection in Critical Infrastructures".
    Tento článek porovnává modely strojového učení pro detekci anomálií v kritické infrastruktuře s využitím časových řad dat ze simulátoru hydraulického systému. Rozlišuje bodové anomálie (jednotlivé odlehlé hodnoty) od kontextových anomálií (odchylky patrné pouze v kontextu) a porovnává jednoduché interpretovatelné modely (např. logistickou regresi, rozhodovací stromy) se složitějšími modely typu black-box v konzistentních souborech dat. Cílem je posoudit, které metody jsou nejúčinnější pro reálná průmyslová prostředí. Článek zdůrazňuje, že ačkoli složité modely mohou přinést vyšší míru detekce, jednodušší metody stále nabízejí výhody v interpretovatelnosti a robustnosti v citlivých oblastech infrastruktury.

Obecné úkoly v oblasti psaní a shromažďování/analýzy dat.

Součástí obranných operací je také rozsáhlá písemná práce, výzkum a analýza údajů, které slouží k dokumentaci incidentů, informování o rozhodnutích a školení personálu.

Jak AI mění obecné úkoly psaní a shromažďování nebo analýzy dat:

Umělá inteligence dokáže připravovat zprávy, zásady a informace o incidentech, čímž analytikům ulehčuje administrativní zátěž. Může automatizovat shromažďování otevřených zpravodajských informací pro cvičení, což umožní studentům a profesionálům soustředit se na analýzu a strategii vyšší úrovně namísto opakujících se úkolů.

Reakce. Podporuje rychlé hlášení a situační přehled.
Zotavení. Umožňuje důkladnou dokumentaci po incidentu a získávání zkušeností.

Zvýrazněný případ: Automatizované shromažďování zpravodajských informací a podávání zpráv

V roce 2024, Gao a kol. představila ThreatKG, systém poháněný umělou inteligencí, který automaticky shromažďuje informace o kybernetických hrozbách z otevřených zdrojů, extrahuje klíčové entity, jako jsou aktéři a zranitelnosti, a uspořádává je do strukturovaného znalostního grafu. Místo toho, aby analytici ručně pročítali dlouhé nestrukturované zprávy, poskytuje systém konsolidovaný přehled s možností vyhledávání. To snižuje administrativní zátěž obranných operací, podporuje rychlejší tvorbu informací o incidentech a zlepšuje situační povědomí během aktivních hrozeb. Tím, že ThreatKG transformuje roztříštěné informace do přístupných přehledů, umožňuje pracovníkům věnovat více času interpretaci a rozhodování. Studie ilustruje, jak může umělá inteligence změnit každodenní defenzivní práci tím, že zefektivní shromažďování zpravodajských informací a zefektivní činnost, a zároveň zdůrazňuje potřebu dohledu, který zajistí přesnost a relevanci.

Další literatura
  • Řízení, etické, právní a sociální důsledky umělé inteligence v OSINT - "Open Source Intelligence and AI: A Systematic Review" (Ghioni et al. 2023)
    Článek podává přehled 571 studií o umělé inteligenci v OSINT, o využití umělé inteligence v otevřeném zpravodajství (OSINT) a zkoumá její řízení, etické, právní a sociální důsledky. Přehled konstatuje, že AI rozšířila možnosti OSINT prostřednictvím strojového učení, dolování dat a vizuální forenzní analýzy, ale také vyvolala naléhavé obavy týkající se ochrany soukromí, odpovědnosti, zaujatosti a zneužití. Autoři upozorňují na nedostatky v regulaci, dohledu a transparentnosti a vyzývají k vytvoření silnějších rámců, které by zajistily, že OSINT využívající umělou inteligenci bude podporovat zpravodajské operace, aniž by narušoval práva, důvěru nebo demokratickou odpovědnost.
  • Automatizované generování zpráv - "AGIR: Automatizace zpravodajství o kybernetických hrozbách pomocí generování přirozeného jazyka" (Perrina a kol. 2023)
    Článek představuje AGIR, systém pro generování přirozeného jazyka, který vytváří komplexní zprávy CTI z formálních grafů entit. AGIR zkracuje dobu psaní zpráv o více než 40% při zachování vysoké přesnosti a plynulosti, čímž demonstruje, jak může umělá inteligence automatizovat úkoly tvorby zpráv a analýzy, a uvolnit tak analytikům ruce, aby se mohli soustředit na interpretaci a strategii vyšší úrovně.

Generování syntetických dat

Generování syntetických dat vytváří umělé soubory dat pro školení, testování nebo simulaci, aniž by byly odhaleny citlivé informace z reálného světa.

Jak AI mění generování syntetických dat:

Umělá inteligence může vytvářet realistické vzorky síťového provozu nebo malwaru pro laboratorní použití, vyplnit mezery tam, kde nejsou k dispozici reálná data, a chránit soukromí a zároveň umožnit experimentování. To pomáhá pedagogům a obráncům připravit se na skutečné incidenty, aniž by riskovali odhalení citlivých dat.

Prevence. Umožňuje bezpečné experimentování bez odhalení citlivých informací.
Připravenost. Podporuje trénink a simulaci s realistickými soubory dat.
Zotavení. Znovu vytváří scénáře útoku pro testování a zlepšení po incidentu.

Zvýrazněný případ: Použití GAN pro tvorbu bezpečných a realistických tréninkových dat

V roce 2022, Nukavarapu et al vyvinul MirageNet, framework, který využívá generativní sítě (GAN) k vytváření realistického syntetického síťového provozu. Systém dokáže replikovat vzorce provozu DNS a dalších protokolů způsobem, který se věrně podobá reálným datům, ale bez odhalení citlivých informací z živých sítí.

Tato inovace je důležitá, protože obránci a pedagogové často potřebují realistická data pro výcvik, testování a experimentování, ale z důvodu ochrany soukromí nebo bezpečnosti nemohou vždy používat provozní provoz. MirageNet umožňuje bezpečné simulace, které připravují analytiky na skutečné útoky a zároveň zamezují rizikům prozrazení. Použití umělé inteligence, a v tomto případě GAN, umožňuje bezpečnější a škálovatelnější experimentování. Současně zůstává důležité ověřit, že syntetická data skutečně odrážejí reálné provozní podmínky, a zajistit tak, aby výcvik a testování zůstaly spolehlivé.

Další literatura
  • Hluboké učení pro modelování syntetického síťového provozu - "STAN: Syntetické generování síťového provozu pomocí generativních neuronových modelů" (Xu et al. 2021)
    Článek představuje STAN (Synthetic network Traffic generation with Autoregressive Neural models), neuronovou architekturu, která modeluje časové i atributové závislosti v síťovém provozu a vytváří realistické soubory dat. Výsledky ukazují, že modely detekce anomálií natrénované na syntetickém provozu STAN dosáhly téměř srovnatelné přesnosti s modely natrénovanými na reálných datech, což demonstruje, jak hluboké učení umožňuje vysoce kvalitní syntetické datové soubory pro trénink a simulaci připravenosti při zachování soukromí.
  • Hodnocení metod generování syntetického provozu - "Syntetické generování dat o síťovém provozu: (Ammara et al., 2025).
    Studie hodnotí dvanáct metod generování syntetického provozu, včetně statistických, klasických a generativních přístupů umělé inteligence, s použitím standardních souborů dat. Výsledky ukazují, že modely založené na GAN poskytují vyšší věrnost a užitečnost, zatímco statistické metody zachovávají rovnováhu tříd, ale postrádají strukturální složitost.

Správa identit a přístupu (IAM)

Správa identit a přístupu (IAM) zajišťuje, že k systémům a prostředkům mají odpovídající přístup pouze oprávnění uživatelé.

Jak AI mění správu identit a přístupu:

AI posiluje IAM tím, že detekuje anomální vzory přihlašování, které mohou signalizovat zneužití pověření, doporučuje adaptivní zásady ověřování a automatizuje rutinní kontroly. Během incidentů dokáže rychle označit kompromitované účty a spustit silnější kontroly k omezení hrozeb.

Prevence. Vynucuje silnější ověřování a omezuje neautorizovaný přístup.
Reakce. Přizpůsobuje se v reálném čase při podezření na zneužití pověření.

Zvýrazněný případ: Odhalení neobvyklého a nevhodného přístupu

V roce 2024, Prodej provedla ověřovací studii o použití umělé inteligence v systémech IAM. Integrací modelu detekce anomálií do živé platformy IAM dokázal systém označit neobvyklé přihlašovací chování a nevhodná přístupová oprávnění. Tento přístup umožňuje organizacím rychleji odhalit kompromitované účty nebo zneužití ze strany zasvěcených osob a při zjištění rizik dynamicky přizpůsobit zásady ověřování. Studie zjistila jasné zvýšení efektivity a zároveň zdůraznila trvalou potřebu lidského dohledu, který by interpretoval označené anomálie a zabránil zbytečnému narušení. Umělá inteligence proto umožňuje posílit každodenní řízení přístupu a může z IAM udělat adaptivnější a proaktivnější linii obrany.

Další literatura
  • Audit kritické infrastruktury - "AI-Powered IAM Audit for Anomaly Detection in Critical Infrastructure" (Rodriguez et al. 2025)
    V článku je navržen rámec pro audit IAM s využitím umělé inteligence, který k analýze protokolů IAM kombinuje inženýrství příznaků, detekci anomálií bez dohledu a klasifikaci s dohledem. Na syntetickém souboru dat modelovaném podle kritické infrastruktury dosáhl systém míry detekce 92% s mírou falešně pozitivních výsledků pod 3%. Zjištění ukazují, jak umělá inteligence zlepšuje auditování protokolů IAM a umožňuje proaktivní detekci vnitřních hrozeb a jemných anomálií přístupu, které tradiční metody často přehlížejí.

Analýza protokolu

Analýza protokolů zkoumá systémové a bezpečnostní protokoly za účelem odhalení, prošetření a pochopení incidentů.

Jak AI mění analýzu protokolů:

Umělá inteligence dokáže zpracovávat obrovské objemy protokolů v reálném čase, upozorňovat na neobvyklé sekvence událostí a vytvářet stručné souhrny. To zlepšuje detekci a umožňuje rychlejší výuku a simulaci incidentů.

Připravenost. Stanovuje základní hodnoty a identifikuje potenciální slabá místa.
Reakce. Urychluje vyšetřování a podporuje řešení incidentů v reálném čase.
Zotavení. Informuje o přezkoumání a hlášení po incidentu.

Zvýrazněný případ: Agenti umělé inteligence pro analýzu protokolů a odhalování vzorů hrozeb

V roce 2025, Karaarslan a kol. zkoumal, jak by agenti AI mohli podpořit analýzu rozsáhlých protokolů generovaných honeypotem Cowrie. Honeypoty záměrně napodobují zranitelné systémy, aby přilákaly útočníky, ale výsledkem je ohromný objem nezpracovaných dat, jejichž interpretace je pro lidské analytiky náročná.

Výzkumníci ukázali, že agenti s umělou inteligencí mohou automaticky analyzovat a shrnovat tyto protokoly, extrahovat opakující se vzory útoků a vytvářet stručné zprávy. Tato automatizace snižuje manuální úsilí, zvyšuje situační povědomí a umožňuje obráncům rychleji odhalovat trendy a upravovat bezpečnostní opatření. Studie ilustruje, jak může umělá inteligence přeměnit nezvládnutelné soubory dat na využitelné informace, a zároveň zdůrazňuje potřebu pečlivě ověřovat výstupy, aby nedošlo k chybnému vyhodnocení vyvíjejících se nebo klamavých taktik protivníků.

Další literatura
  • Samostatně řízená analýza protokolů - "Analýza protokolů řízená umělou inteligencí pomocí konstrukcí transformátorů" (Pan 2023)
    Tato studie zkoumá, jak může umělá inteligence podpořit analýzu protokolů pro detekci a vyšetřování incidentů. Tento přístup využívá model Transformer vycvičený na běžných záznamech v deníku, používá rozšíření deníku pro samoučení příznaků a poté model dolaďuje pomocí posilování učení na malém souboru dat se značkami. Výsledky ukazují, že tato metoda dokáže překonat problémy s heterogenními zdroji logů a nedostatečným množstvím označených dat, což je příslibem pro praktické a reálné nasazení v operacích kybernetické bezpečnosti.
  • Analýza logů založená na hlubokém učení pro detekci narušení - "Klasifikace logů událostí kybernetických útoků pomocí hlubokého učení s analýzou sémantických příznaků" (Alzu'bi et al. 2025)
    Tato studie navrhuje rámec založený na hlubokém učení využívající sémantickou vektorizaci a vložení BERT k analýze protokolů událostí pro detekci narušení. Díky kategorizaci logů podle typů událostí a útoků s vysvětlitelnou umělou inteligencí tento přístup zlepšuje přesnost detekce, dosahuje více než 99% odvolání a přesnosti a překonává stávající modely.

Analýza malwaru

Analýza škodlivého softwaru zkoumá škodlivý software s cílem zjistit jeho chování, původ a potenciální dopad.

Jak AI mění analýzu malwaru:

Umělá inteligence urychluje klasifikaci tím, že identifikuje podobnosti kódu napříč rodinami malwaru a generuje vysvětlení spuštění sandboxu. Pomáhá analytikům rychle pochopit, jak malware funguje, což podporuje rychlejší reakci a účinnější zmírňování.

Reakce. Urychluje identifikaci a omezování malwaru.
Zotavení. přispívá k budování znalostí pro budoucí obranu.

Zvýrazněný případ: Demontáž malwaru s pomocí umělé inteligence

V roce 2025, Apvrille a Nakov vyhodnotil R2AI, zásuvný modul umělé inteligence pro disassembler Radare2, na nedávných vzorcích malwaru pro Linux a internet věcí. Systém integruje LLM do procesu reverzního inženýrství a pomáhá analytikům dekompilovat funkce, přejmenovávat proměnné a identifikovat podezřelé chování. Jejich studie ukázala, že asistence umělé inteligence může zkrátit dobu analýzy z několika dnů na zhruba polovinu při zachování stejné nebo lepší kvality než u analýzy prováděné pouze lidmi. Například v případě malwaru Linux/Devura umělá inteligence správně odvodila formáty argumentů, které lidští analytici přehlédli. Přetrvávala však omezení: modely občas produkovaly halucinace, přehánění nebo opomenutí a vyžadovaly neustálé ověřování kvalifikovanými odborníky. Zjištění naznačují, že demontáž s pomocí umělé inteligence je nejúčinnější jako multiplikátor síly, který urychluje třídění a rychleji odhaluje detaily, přičemž se stále spoléhá na lidský dohled, aby zajistil přesnost a zabránil chybné interpretaci.

Další literatura
  • Sémantická segmentace pro klasifikaci - "Deep Learning with Semantic Segmentation for Malware Classification" (Chen et al. 2025)
    Studie ukazuje, že použití umělé inteligence na vybrané části malwarových souborů, nikoli na celé sekvence souborů, může výrazně zlepšit výkon. Zaměřením se na údaje v záhlaví souborů Portable Executable dosáhl jejich model přesnosti 99,54% při klasifikaci rodin malwaru. To naznačuje, že zaměření na nejinformativnější části kódu umožňuje rychlejší a spolehlivější detekci hrozeb.
  • Učení několika snímků pro nový malware - "A few-shot malware classification approach for unknown family recognition using malware feature visualization" (Conti et al. 2022)
    V článku je navrženo použití učení s několika málo příklady ke klasifikaci rodin malwaru s pouhými několika příklady, čímž se zabrání nutnosti znovu trénovat modely, kdykoli se objeví nový malware. Vizualizací binárních malwarů jako tříkanálových obrazů a testováním dvou architektur (CSNN a Shallow-FS) studie ukazuje vysokou přesnost při klasifikaci tradičního i nového malwaru. To ukazuje potenciál přístupů s několika snímky pro zlepšení adaptability a rychlosti při odhalování nových hrozeb.

Školení a laboratoře

Školení a laboratoře poskytují kontrolované prostředí pro praktická cvičení a simulace kybernetické bezpečnosti.

Jak AI mění školení a laboratoře:

Umělá inteligence dokáže vytvářet dynamické laboratorní scénáře přizpůsobené pokroku žáka, vytvářet adaptivní výzvy s různou obtížností a automatizovat zpětnou vazbu a hodnocení. To podporuje realističtější a škálovatelnější školení.

Připravenost. Posiluje připravenost prostřednictvím adaptivních simulací.
Zotavení. Zařazuje do školení poznatky z reálných incidentů.

Zvýrazněný případ: Kybernetické střelnice poháněné umělou inteligencí pro adaptivní výcvik

V roce 2025, Sisodiya et alpředstavila kybernetickou řadu s umělou inteligencí, která má zlepšit realističnost a efektivitu školení v oblasti kybernetické bezpečnosti. Na rozdíl od tradičních statických laboratoří platforma využívá umělou inteligenci k úpravě obtížnosti scénářů podle pokroku žáka, vkládá do nich realistické útočné události a poskytuje automatickou zpětnou vazbu.

Studie zjistila, že studenti vyškolení v tomto prostředí dosáhli vyšší přesnosti detekce a kratší doby zmírnění ve srovnání s běžnými přístupy. Pedagogům systém umožňuje škálovat cvičení, personalizovat úkoly a začlenit do simulací poznatky ze skutečných incidentů.

Z technického hlediska výzkum rovněž prokázal, že hybridní architektury, které kombinují škálovatelnost cloudu s věrností fyzických systémů, poskytují realističtější a přizpůsobivější scénáře. Zjištění zdůrazňují, jak může umělá inteligence transformovat školení z pevně daných cvičení na dynamická výuková prostředí, která lépe připraví studenty a odborníky na skutečné kybernetické hrozby.

Další literatura
  • Metody školení kybernetické bezpečnosti - "Systematický přehled současných metod školení kybernetické bezpečnosti" (Prümmer a kol. 2024)
    Článek ukazuje, že široká škála přístupů ke školení v oblasti kybernetické bezpečnosti, včetně metod založených na hře, zlepšuje chování koncových uživatelů a výsledky v oblasti bezpečnosti organizace. Výsledky zdůrazňují účinnost strukturovaných školicích programů, ale také odhalují problémy, jako jsou malé velikosti vzorků a neexperimentální návrhy. To podtrhuje hodnotu integrace umělé inteligence do školení a laboratoří s cílem škálovat intervence, personalizovat obsah a vytvářet adaptivní cvičení, která překonávají omezení tradičních metod.

Otázky k diskusi

  • Kterou fázi životního cyklu kybernetických incidentů (prevence, připravenost, reakce, zotavení) v budoucnu nejspíše změní umělá inteligence a ve které fázi se umělá inteligence v současnosti nejvíce prosazuje? Kde se zdá být AI nejméně účinná?
  • Posouvá umělá inteligence rovnováhu sil v kyberprostoru směrem k obráncům, nebo pomáhá útočníkům udržet si převahu?
  • Vyrovnají open source a široce dostupné nástroje umělé inteligence podmínky pro malé obránce, nebo budou pokročilé proprietární systémy stále poskytovat velkým organizacím drtivou výhodu?
  • Jak schopnost AI automatizovat detekci, třídění a reakci mění rychlost a povahu obranných operací? Mohly by se tím "tradiční modely SOC" stát zastaralými?
  • Mohli by se obránci stát příliš závislými na umělé inteligenci, což by vedlo ke slepým místům v případě selhání modelů, jejich otrávení nebo oklamání protivníkem?
  • Kdo nese odpovědnost, pokud systémy umělé inteligence přehlédnou kritické hrozby nebo poskytnou chybná doporučení: vývojáři, organizace, které je nasazují, nebo lidští analytici, kteří se na ně spoléhají?
  • Jak by měli tvůrci politik podporovat odpovědné využívání umělé inteligence v obraně, aniž by potlačovali inovace nebo omezovali přístup pedagogů a menších organizací?
  • Přerostou kybernetické konflikty v souboj "autonomní obrana vs. autonomní útok", jakmile si útočníci i obránci osvojí umělou inteligenci?

Bibliografie

Alzu'bi, Ahmad, Omar Darwish, Amjad Albashayreh a Yahya Tashtoush. 'Cyberattack Event Logs Classification Using Deep Learning with Semantic Feature Analysis'. Počítače a zabezpečení 150 (březen 2025): 104222. https://doi.org/10.1016/j.cose.2024.104222. 

Ammara, Dure Adan, Jianguo Ding a Kurt Tutschku. Synthetic Network Traffic Data Generation: A Comparative Study'. arXiv:2410.16326. Verze 2. Preprint, arXiv, 22. února 2025. https://doi.org/10.48550/arXiv.2410.16326. 

Balasubramanian, Prasasthy, Justin Seby a Panos Kostakos. 'CYGENT: A Cybersecurity Conversational Agent with Log Summarization Powered by GPT-3'. arXiv:2403.17160. Preprint, arXiv, 25. března 2024. https://doi.org/10.48550/arXiv.2403.17160. 

Coppolino, Luigi, Antonio Iannaccone, Roberto Nardone a Alfredo Petruolo. "Asset Discovery in Critical Infrastructures: An LLM-Based Approach". Elektronika 14, č. 16 (2025): 3267. https://doi.org/10.3390/electronics14163267. 

Gao, Peng, Xiaoyuan Liu, Edward Choi, Sibo Ma, Xinyu Yang a Dawn Song. 'ThreatKG: An AI-Powered System for Automated Open-Source Cyber Threat Intelligence Gathering and Management'. arXiv:2212.10388. Preprint, arXiv, 30. října 2024. https://doi.org/10.48550/arXiv.2212.10388. 

Geiger, Alexander, Dongyu Liu, Sarah Alnegheimish, Alfredo Cuesta-Infante a Kalyan Veeramachaneni. 'TadGAN: Time Series Anomaly Detection Using Generative Adversarial Networks'. arXiv:2009.07769. Preprint, arXiv, 14. listopadu 2020. https://doi.org/10.48550/arXiv.2009.07769. 

Ghioni, Riccardo, Mariarosaria Taddeo a Luciano Floridi. "Open Source Intelligence and AI: A Systematic Review of the GELSI Literature". Ai & společnost, 28. ledna 2023, 1-16. https://doi.org/10.1007/s00146-023-01628-x. 

Humran, Hael Abdulhakim Ali a Ferdi Sonmez. 'Code Vulnerability Detection Across Different Programming Languages with AI Models'. arXiv:2508.11710. Preprint, arXiv, 14. srpna 2025. https://doi.org/10.48550/arXiv.2508.11710. 

Karaarslan, Enis, Esin Güler, Efe Emir Yüce a Cagatay Coban. "Towards Log Analysis with AI Agents: arXiv:2509.05306. Preprint, arXiv, 22. srpna 2025. https://doi.org/10.48550/arXiv.2509.05306. 

Nebebebe, Betelhem, Pavlina Kröckel, Romarick Yatagha, Natasha Edeh a Karl Waedt. "AI Defenders: B.: Machine Learning Driven Anomaly Detection in Critical Infrastructures (Odhalování anomálií v kritických infrastrukturách řízené strojovým učením). Gesellschaft für Informatik e.V., 2024, 1917-27. https://dl.gi.de/handle/20.500.12116/45143. 

Nukavarapu, Santosh Kumar, Mohammed Ayyat a Tamer Nadeem. 'MirageNet - Towards a GAN-Based Framework for Synthetic Network Traffic Generation'. GLOBECOM 2022 - 2022 IEEE Global Communications Conference, IEEE, 4. prosince 2022, 3089-95. https://doi.org/10.1109/GLOBECOM48099.2022.10001494. 

Nwoye, Chukwujekwu Charles a Stephen Nwagwughiagwu. 'AI-Driven Anomaly Detection for Proactive Cybersecurity and Data Breach Prevention'. International Journal of Engineering Technology Research & Management 8, č. 11 (2024): 339-56. 

Ogundairo, Obaloluwa a Peter Broklyn. Zpracování přirozeného jazyka pro analýzu kybernetických bezpečnostních incidentů. 2024. 

Peng, Wei, Junmei Ding, Wei Wang a další 'CTISum: A New Benchmark Dataset For Cyber Threat Intelligence Summarization'. arXiv:2408.06576. Preprint, arXiv, 30. června 2025. https://doi.org/10.48550/arXiv.2408.06576. 

Perrina, Filippo, Francesco Marchiori, Mauro Conti a Nino Vincenzo Verde. 'AGIR: Automating Cyber Threat Intelligence Reporting with Natural Language Generation'. arXiv:2310.02655. Preprint, arXiv, 4. října 2023. https://doi.org/10.48550/arXiv.2310.02655. 

Petrolini, Michael, Stefano Cagnoni a Monica Mordonini. "Automatická detekce citlivých dat pomocí klasifikátorů založených na transformátorech". Internet budoucnosti 14, č. 8 (2022): 228. https://doi.org/10.3390/fi14080228. 

Rani, Nanda, Bikash Saha, Vikas Maurya a Sandeep Kumar Shukla. "TTPXHunter: (TTP z hotových zpráv o kybernetických hrozbách)". Digitální hrozby: Výzkum a praxe 5, č. 4 (2024): 1–19. https://doi.org/10.1145/3696427. 

Rodriguez, David, Sarah Lee, Joshua Wilson a Sadis Bello. Audit IAM na bázi umělé inteligence pro detekci anomálií v kritické infrastruktuře. 18. dubna 2025. 

Prodej, Felix. 'Advancing Identity and Access Management with Artificial Intelligence for Anomaly Detection': A Proof of Concept Implementation Study". 2024. 

Xu, Shengzhe, Manish Marwah, Martin Arlitt a Naren Ramakrishnan. 'STAN: Synthetic Network Traffic Generation with Generative Neural Models'. arXiv:2009.12740. Preprint, arXiv, 3. srpna 2021. https://doi.org/10.48550/arXiv.2009.12740. 

Yang, Ziqi a Zhenkai Liang. "Automatizovaná identifikace citlivých dat na základě implicitní specifikace uživatele". Kybernetická bezpečnost 1, č. 1 (2018): 13. https://doi.org/10.1186/s42400-018-0011-x.

Děkujeme, že jste se přihlásili k odběru našeho newsletteru!

Děkujeme! Přijatá přihláška na akci AI v kybernetické obraně

Umělá inteligence v kybernetické obraně

Načítání...

Načítání...