Prin vizitarea site-ului nostru, sunteți de acord cu politica de confidențialitate cu privire la cookie-uri, statistici de urmărire etc.

AI în domeniul apărării cibernetice

Cum schimbă AI apărarea cibernetică de-a lungul ciclului de viață al incidentelor cibernetice

Acasă
AI în domeniul apărării cibernetice
AI în Infracțiuni cibernetice

Apărarea cibernetică urmărește să protejeze sistemele, rețelele și datele împotriva infiltrării, perturbării sau distrugerii. Protecția ciclul de viață al incidentelor cibernetice oferă o modalitate utilă de a înțelege apărarea cibernetică, defalcând-o în patru faze:

  • Prevenire: prevenirea și reducerea riscului de incidente și minimizarea efectelor potențiale ale acestora.
  • Pregătire: dezvoltarea de planuri, instrumente și capacități pentru a sprijini un răspuns eficient.
  • Răspuns: oprirea incidentului și prevenirea altor daune.
  • Recuperare: restabilirea rapidă a operațiunilor și revenirea la un nivel de securitate normal sau mai ridicat.

 

Inteligența artificială (AI) a devenit relevantă în toate cele patru etape. Spre deosebire de instrumentele tradiționale care se încadrează perfect într-o singură etapă, multe dintre capacitățile AI acoperă întregul ciclu de viață: aceeași tehnică care sprijină pregătirea poate, de asemenea, să permită un răspuns mai rapid sau să ajute la recuperare. Această integrare face ca AI să fie atât puternică, cât și dificil de clasificat: valoarea sa constă nu numai în îmbunătățirea sarcinilor individuale, ci și în conectarea mai perfectă a fazelor între ele.

Prevenire

Pregătire

Răspuns

Recuperare

Cartografierea suprafeței de atac

Scanarea codurilor

Rezumarea datelor

Clasificarea datelor

Detectarea anomaliilor

Scriere și analiză

Date sintetice

Gestionarea identității și a accesului

Gestionarea identității și a accesului

Analiza jurnalului

Analiza programelor malware

Formare și laboratoare

Formare și laboratoare

În secțiunile care urmează, examinăm aplicațiile concrete AI pentru apărarea cibernetică, arătând cum acestea se potrivesc cu diferite faze ale ciclului de viață al incidentului și, în multe cazuri, acoperă mai multe în același timp.

Cartografierea suprafeței de atac

Cartografierea suprafeței de atac identifică toate activele, punctele de intrare și vulnerabilitățile pe care un adversar le-ar putea exploata în cadrul unui atac. Aceasta oferă apărătorilor vizibilitate asupra expunerii lor și îi ajută să stabilească prioritățile în ceea ce privește elementele care trebuie securizate.

Cum schimbă AI cartografierea suprafeței de atac:

AI transformă cartografierea suprafețelor de atac prin automatizarea scanărilor la scară largă ale rețelelor și activelor, reducând dramatic efortul manual. Cu ajutorul recunoașterii avansate a modelelor, poate detecta puncte finale ascunse sau uitate, pe care metodele tradiționale le ratează adesea. Sistemele AI pot actualiza hărțile în mod continuu pe măsură ce infrastructurile evoluează, reducând punctele moarte și asigurându-se că apărătorii mențin o imagine exactă, în timp real, a mediului lor.
Prevenire. Reduce expunerile înainte ca atacatorii să le exploateze.
Pregătire. Menține o imagine actualizată a infrastructurii pentru planificarea incidentelor.

Caz evidențiat: Utilizarea LLM-urilor pentru descoperirea activelor în infrastructurile critice

În 2025, Luigi Coppolino et al a publicat un studiu care arată modul în care modelele lingvistice mari (LLM) pot îmbunătăți descoperirea activelor din infrastructurile critice. Instrumentele tradiționale, cum ar fi Nmap sau platformele de securitate industrială, fie riscă să perturbe sistemele sensibile prin scanări active, fie nu reușesc să detecteze dispozitivele ascunse atunci când se bazează doar pe monitorizarea pasivă.

Cercetătorii au propus un cadru "Mixture of Experts" bazat pe LLM, care combină date din observarea pasivă a traficului, sondaje active atent limitate și semnale fizice precum emisiile electromagnetice. Agenți LLM specializați interpretează apoi aceste date: unul se concentrează asupra protocoalelor industriale, altul asupra vulnerabilităților din rețelele IT/OT, iar altul asupra arhitecturii și dependențelor sistemului.

De asemenea, sistemul se poate baza pe surse externe de informații (cum ar fi MITRE ATT&CK sau bazele de date CVE) pentru a identifica punctele slabe și a recomanda măsuri de securitate. În testele efectuate pe o rețea industrială simulată, sistemul a clasificat cu succes active precum controlere logice programabile, brațe robotizate și imprimante, semnalând în același timp practici nesigure precum traficul Modbus necriptat.

O astfel de abordare transformă cartografierea suprafeței de atac într-un proces adaptiv și conștient de context care oferă vizibilitate în timp real și reduce riscurile scanării tradiționale. Prin reducerea barierelor tehnice pentru apărători, aceasta permite o monitorizare mai cuprinzătoare și consolidează poziția generală de securitate a infrastructurii critice.

Lecturi suplimentare
  • Impactul AI pentru detectarea amenințărilor - "AI pentru apărare" (Donnie W. Wendt 2024)
    Capitolul arată modul în care AI a avansat în detectarea și triajul amenințărilor, unde modelele de învățare automată prelucrează cantități mari de date eterogene pentru a identifica potențialele atacuri. Rezultatele evidențiază modul în care primele aplicații din anii 2000-2010 s-au axat pe detectarea programelor malware, a intruziunilor și a spam-ului, demonstrând puterea AI de a analiza seturi mari de date și de a îmbunătăți sistemele de detectare existente, îmbunătățind în același timp în mod progresiv funcțiile de securitate cibernetică de lungă durată.
  • Detectarea amenințărilor de ultimă generație - "Revoluționarea securității cibernetice: Dezlănțuirea puterii inteligenței artificiale și a învățării automate" (Manoharan & Sarker 2022)
    Lucrarea arată modul în care AI și învățarea automată revoluționează detectarea amenințărilor, permițând organizațiilor să identifice anomalii, să analizeze modele comportamentale și să prezică potențiale atacuri. Rezultatele evidențiază modul în care tehnici precum NLP pentru extragerea informațiilor despre amenințări și învățarea profundă pentru recunoașterea modelelor pot automatiza detectarea și răspunsul, în timp ce studii de caz din lumea reală confirmă eficacitatea acestora.

Scanarea și evaluarea codurilor

Scanarea codului analizează codul sursă pentru a detecta vulnerabilitățile, bibliotecile nesigure sau practicile de securitate deficitare înainte ca acestea să poată fi exploatate.

Cum schimbă AI scanarea și evaluarea codurilor:

AI accelerează detectarea vulnerabilităților prin evidențierea funcțiilor nesigure și identificarea modelelor de codare riscante învățate din exploatările anterioare. De asemenea, oferă sugestii automate de remediere, sprijinind dezvoltatorii în scrierea unui cod mai sigur și reducând fereastra de oportunitate pentru atacatori.

Prevenire. Repară punctele slabe înainte ca atacatorii să le descopere.
Pregătire. Consolidarea posturii de securitate de bază în vederea pregătirii pentru incidente.

Caz evidențiat: Utilizarea LLM-urilor pentru scanarea codurilor și dezvoltarea sigură

În 2025, Belozerov et al a investigat modul în care modelele lingvistice de mari dimensiuni pot sprijini practicile de codificare sigură. Studiul lor a testat ChatGPT în raport cu setul de date DevGPT, care conținea coduri reale ale dezvoltatorilor, alături de vulnerabilități cunoscute semnalate de scanere statice. Din 32 de vulnerabilități confirmate, ChatGPT a detectat corect 18 și chiar a sugerat soluții pentru 17 dintre acestea.

Rezultatele arată modul în care AI poate reduce efortul manual în revizuirea codului, poate ajuta la triarea modelelor de codare riscante și poate oferi sugestii automate de remediere. Acest lucru are potențialul de a extinde practicile de codare sigură și de a scurta intervalul de timp în care vulnerabilitățile rămân exploatabile.

În același timp, studiul a evidențiat limitări importante: ChatGPT a produs ocazional rezultate prea încrezătoare, dar incorecte, a introdus noi defecte atunci când a încercat remedieri și a fost mai puțin fiabil decât analiza statică sau revizuirea umană de către experți. O concluzie cheie a acestui studiu este că AI poate fi un asistent puternic în evaluarea codului, dar numai atunci când este combinat cu instrumentele tradiționale și cu o supraveghere adecvată.

Lecturi suplimentare
  • Revizuirea automată a codului - "O analiză a aplicării AI pentru securitatea cibernetică: Oportunități, riscuri și strategii de atenuare" (Ndibe & Ufomba 2024)
    Lucrarea arată modul în care AI și modelele lingvistice mari pot sprijini revizuirile automate ale codului și evaluările vulnerabilității, ajutând organizațiile să detecteze proactiv punctele slabe din codul sursă și să reducă timpii de răspuns. Rezultatele evidențiază, de asemenea, riscuri precum codul nesigur generat de AI, subliniind necesitatea supravegherii umane și a cadrelor de guvernanță.
  • Învățare profundă interpretabilă pentru detectarea vulnerabilităților - "Detectarea vulnerabilităților cu interpretări fine" (Li et al. 2021)
    Această lucrare prezintă IVDetect, un model de învățare profundă care detectează vulnerabilități în coduri și identifică declarațiile și dependențele specifice responsabile. IVDetect îmbunătățește precizia față de instrumentele de ultimă generație și oferă explicații detaliate. Rezultatele arată câștiguri substanțiale în performanța de detectare și o identificare mai precisă a codului vulnerabil, sprijinind atât analiza automată, cât și remedierea de către dezvoltatori.
  • Detectarea vulnerabilităților codurilor multilingve - "Detectarea vulnerabilității codului în diferite limbaje de programare cu modele AI" (Humran & Sonmez 2025)
    Această lucrare investighează modele bazate pe transformare, inclusiv CodeBERT și CodeLlama, pentru detectarea vulnerabilităților în mai multe limbaje de programare. Prin reglarea fină pe diverse seturi de date, modelele captează atât sintaxa, cât și semantica, obținând o precizie de până la 97%. Studiul încorporează, de asemenea, metode de ansamblu și AI explicabile pentru a reduce falsurile pozitive și a îmbunătăți încrederea dezvoltatorilor. Studiul demonstrează că modelele AI pot depăși performanțele analizoarelor statice tradiționale în contexte multilingve, deși rămân provocări în ceea ce privește robustețea, precizia și capacitatea de implementare.

Rezumarea datelor

Rezumarea datelor condensează volume mari de date tehnice (de exemplu, jurnale, rapoarte și informații privind amenințările) în informații accesibile.

Cum schimbă AI rezumarea datelor:

AI reduce supraîncărcarea cognitivă prin transformarea informațiilor brute și nestructurate în informații utile. Acesta poate identifica tipare recurente sau anomalii în seturi de date fragmentate. De asemenea, poate genera rapoarte în limbaj simplu pentru nespecialiști. Prin urmare, AI face informațiile mai ușor de consumat, de comunicat și de utilizat.

Pregătire. Ajută la asimilarea informațiilor despre amenințări și la o planificare mai eficientă.
Răspuns. Raționalizează cunoașterea situației în timp real.
Recuperare. Produce rezumate și rapoarte pentru lecțiile învățate.

Caz evidențiat: AI pentru rezumarea jurnalelor și cunoașterea situației

În 2024, Balasubramanian et al a prezentat CYGENT, un agent conversațional bazat pe GPT-3 care poate analiza și rezuma jurnalele de sistem. În loc să le ceară analiștilor să treacă prin mii de intrări brute în jurnal, CYGENT le condensează în rezultate scurte, ușor de citit de către om, care evidențiază evenimentele și anomaliile cheie.

În cadrul evaluărilor, CYGENT a depășit alte modele lingvistice de mari dimensiuni în producerea de rezumate clare și utile. Sistemul a redus suprasolicitarea cognitivă, a sprijinit conștientizarea situației în timpul incidentelor reale și a permis luarea mai rapidă a deciziilor.

Acest caz ilustrează modul în care AI poate transforma datele tehnice brute în informații accesibile. Făcând jurnalele mai ușor de interpretat, ajută apărătorii să se pregătească mai eficient, să răspundă mai rapid și să se recupereze cu o documentație mai bună după incidente.

Lecturi suplimentare

Clasificarea datelor

Clasificarea datelor organizează informațiile în funcție de sensibilitatea acestora sau de cerințele de conformitate, asigurându-se că activele critice beneficiază de protecția adecvată.

Cum schimbă AI clasificarea datelor:

AI utilizează procesarea limbajului natural pentru etichetarea automată a conținutului sensibil și detectarea datelor clasificate greșit sau expuse la scară largă.

Prevenire. Reduce expunerea accidentală a datelor sensibile.
Pregătire. Sprijină conformitatea.

Caz evidențiat: AI pentru clasificarea datelor sensibile

În 2024, De Renzis et al a studiat modul în care modelele lingvistice mari ar putea fi utilizate pentru a îmbunătăți clasificarea informațiilor sensibile. O provocare centrală în acest domeniu este faptul că datele personale reale nu pot fi întotdeauna utilizate pentru instruire din cauza riscurilor legate de confidențialitate. Autorii au propus generarea de date de formare sintetice care reflectă în continuare modelele categoriilor sensibile, cum ar fi sănătatea, politica sau religia.

Abordarea lor a permis instruirea clasificatorilor exacți fără expunerea datelor reale ale utilizatorilor, demonstrând modul în care AI poate ajuta organizațiile să respecte reglementări precum GDPR, sporindu-și în același timp capacitatea de a detecta și proteja informațiile sensibile. Acest caz ilustrează modul în care AI consolidează atât prevenirea (prin reducerea expunerii accidentale a datelor), cât și pregătirea (prin sprijinirea cadrelor de conformitate). În același timp, acesta subliniază importanța guvernanței și a validării pentru a garanta că datele sintetice și modelele rezultate rămân reprezentative și fiabile.

Lecturi suplimentare
  • Etichetarea pe bază de transformator a categoriilor GDPR - "Detectarea automată a datelor sensibile utilizând clasificatoare bazate pe transformatoare" (Petrolini et al. 2022)
    Acest studiu aplică modelele AI pentru marcarea automată a textului sensibil, care acoperă domenii precum politica, sănătatea, religia și sexualitatea, în cadrul colecțiilor mari de documente. Acesta demonstrează că abordările bazate pe transformatoare pot clasifica în mod fiabil astfel de date, susținând conformitatea cu GDPR și permițând etichetarea automată la scară largă pentru clasificarea datelor bazată pe conformitate.
  • Analiza semantică pentru detectarea automată a datelor sensibile - "Identificarea automată a datelor sensibile din specificațiile implicite ale utilizatorului (S3)" (Yang & Liang 2018)
    Această lucrare prezintă S3, un sistem care identifică datele sensibile din aplicațiile mobile prin analiza semanticii, mai degrabă decât bazându-se pe cuvinte cheie. Prin învățarea preferințelor utilizatorilor în materie de confidențialitate, sistemul obține o precizie mai mare decât instrumentele tradiționale, ilustrând modul în care AI poate adapta clasificarea datelor la contextele din lumea reală. Studiul subliniază faptul că sensibilitatea informațiilor depinde atât de contextul aplicației, cât și de preferințele utilizatorului și că o protecție eficientă în era cloud necesită mai întâi capacitatea de a identifica astfel de date.

Detectarea anomaliilor la nivelul punctelor finale sau al rețelei

Detectarea anomaliilor monitorizează punctele finale și traficul de rețea pentru comportamente neobișnuite care pot indica compromiterea.

Cum schimbă AI detectarea anomaliilor la nivelul punctelor finale și al rețelelor:

AI învață cum arată activitatea normală și semnalează abaterile care ar putea semnala o activitate rău intenționată. Spre deosebire de sistemele bazate pe semnături, acesta poate detecta intruziuni mai subtile care scapă detecției tradiționale. AI permite un răspuns mai rapid și mai eficient la incidente prin prioritizarea alertelor și reducerea falselor alerte pozitive.

Pregătire. Stabilește liniile de bază ale activității normale.
Răspuns. Detectează anomaliile în timp real pentru a semnala și limita atacurile.

Caz evidențiat: Utilizarea AI pentru detectarea anomaliilor în sistemele critice

În 2024, Nwoye și Nwagwughiagwu a examinat modul în care detectarea anomaliilor bazată pe AI ar putea îmbunătăți apărarea cibernetică a punctelor finale și a rețelelor. Folosind modele de învățare automată formate pe modele normale de comportament al sistemului și de trafic de rețea, abordarea lor le-a permis să identifice abateri subtile pe care sistemele tradiționale bazate pe semnături le-ar rata, inclusiv, de exemplu, semnele timpurii ale amenințărilor din interior și ale încălcării securității datelor.

Studiul a prezentat exemple de caz din sectoare critice, arătând că detectarea anomaliilor cu ajutorul AI a redus timpii de răspuns și a contribuit la menținerea continuității activității prin semnalarea activităților suspecte înainte ca acestea să provoace daune grave. Autorii au recunoscut, de asemenea, provocările, inclusiv falsurile pozitive și nevoia de transparență în modelele complexe AI. Acest caz demonstrează modul în care AI contribuie atât la pregătire (prin stabilirea unor linii de bază ale activității normale), cât și la reacție (prin detectarea și prioritizarea anomaliilor în timp real).

Lecturi suplimentare
  • Detectarea anomaliilor bazată pe GAN - "TadGAN: detectarea anomaliilor în seriile de timp cu ajutorul rețelelor generatoare adverșiale" (Geiger et al. 2020)
    Această lucrare prezintă TadGAN, un cadru nesupravegheat care aplică GAN-uri consecvente ciclului pentru a detecta anomalii în datele seriilor de timp. Prin combinarea erorilor de reconstrucție cu ieșirile critice, TadGAN generează scoruri fiabile de anomalii și reduce falsurile pozitive. Testat pe 11 seturi de date de referință din domenii, acesta a depășit în mod constant metodele de ultimă oră. Studiul arată cum GAN-urile pot îmbunătăți detectarea anomaliilor temporale subtile în diverse sisteme din lumea reală.
  • Învățarea automată pentru detectarea anomaliilor în infrastructură - "AI Defenders: Machine Learning Driven Anomaly Detection in Critical Infrastructures" (Nebebe et al. 2024)
    Această lucrare compară modelele de învățare automată pentru detectarea anomaliilor în infrastructurile critice, utilizând date în serii temporale de la un simulator de sistem hidraulic. Se face distincția între anomaliile punctuale (anomalii izolate) și anomaliile contextuale (abateri evidente doar în context) și se compară modele interpretabile simple (de exemplu, regresie logistică, arbori de decizie) cu modele mai complexe de tip black-box în seturi de date coerente. Scopul este de a evalua care metode sunt cele mai eficiente în contexte industriale din lumea reală. Lucrarea subliniază faptul că, deși modelele complexe pot produce rate de detecție mai ridicate, metodele mai simple oferă în continuare avantaje în ceea ce privește interpretabilitatea și robustețea în domeniile sensibile ale infrastructurii.

Sarcini generale de redactare și de colectare/analiză a datelor

Operațiunile defensive implică, de asemenea, redactarea, cercetarea și analiza extensivă a datelor pentru documentarea incidentelor, fundamentarea deciziilor și formarea personalului.

Modul în care AI modifică sarcinile generale de scriere și de colectare sau analiză a datelor:

AI poate redacta rapoarte, politici și informări privind incidentele, ușurând sarcina administrativă a analiștilor. Poate automatiza colectarea de informații din surse deschise pentru exerciții, permițând studenților și profesioniștilor să se concentreze pe analize și strategii de nivel superior, în locul sarcinilor repetitive.

Răspuns. Sprijină raportarea rapidă și cunoașterea situației.
Recuperare. Permite documentarea completă post incident și lecțiile învățate.

Caz evidențiat: Colectarea și raportarea automatizată a informațiilor

În 2024, Gao et al a prezentat ThreatKG, un sistem alimentat de AI care colectează automat informații despre amenințările cibernetice din surse deschise, extrage entitățile cheie, cum ar fi actorii și vulnerabilitățile, și le organizează într-un graf de cunoștințe structurat. În loc ca analiștii să citească manual rapoarte lungi și nestructurate, sistemul oferă o imagine de ansamblu consolidată și care poate fi căutată. Acest lucru reduce sarcina administrativă a operațiunilor defensive, permite producerea mai rapidă a rapoartelor privind incidentele și îmbunătățește cunoașterea situației în timpul amenințărilor active. Prin transformarea informațiilor fragmentate în informații accesibile, ThreatKG permite personalului să petreacă mai mult timp cu interpretarea și luarea deciziilor. Studiul ilustrează modul în care AI poate remodela activitatea defensivă de zi cu zi, făcând colectarea de informații mai eficientă și mai utilă, subliniind în același timp nevoia de supraveghere pentru a asigura acuratețea și relevanța.

Lecturi suplimentare
  • Implicațiile guvernanței, etice, juridice și sociale ale AI în OSINT - "Open Source Intelligence și AI: o analiză sistematică" (Ghioni et al. 2023)
    Articolul trece în revistă 571 de studii privind AI în OSINT, privind utilizarea AI în informațiile din surse deschise (OSINT), examinând guvernanța, implicațiile etice, juridice și sociale ale acesteia. Analiza constată că AI a extins capacitățile OSINT prin învățarea automată, extragerea de date și criminalistica vizuală, dar a ridicat, de asemenea, preocupări presante cu privire la confidențialitate, responsabilitate, părtinire și utilizare abuzivă. Autorii evidențiază lacunele în materie de reglementare, supraveghere și transparență, solicitând cadre mai solide pentru a se asigura că OSINT bazat pe AI sprijină operațiunile de informații fără a submina drepturile, încrederea sau responsabilitatea democratică.
  • Generarea automată a rapoartelor - "AGIR: Automatizarea raportării informațiilor privind amenințările cibernetice cu ajutorul generării de limbaj natural" (Perrina et al. 2023)
    Lucrarea prezintă AGIR, un sistem de generare a limbajului natural care creează rapoarte CTI cuprinzătoare din grafice formale de entități. AGIR reduce timpul de redactare a rapoartelor cu mai mult de 40%, menținând în același timp o acuratețe și o fluență ridicate, demonstrând modul în care AI poate automatiza sarcinile de redactare și analiză a rapoartelor, eliberând analiștii pentru a se concentra asupra interpretării și strategiei de nivel superior.

Generarea de date sintetice

Generarea de date sintetice creează seturi de date artificiale pentru instruire, testare sau simulare fără a expune informații sensibile din lumea reală.

Cum schimbă AI generarea datelor sintetice:

AI poate produce trafic de rețea realist sau eșantioane de programe malware pentru utilizare în laborator, poate umple golurile în cazul în care datele din lumea reală nu sunt disponibile și poate proteja confidențialitatea în timp ce permite experimentarea. Acest lucru ajută educatorii și apărătorii să se pregătească pentru incidente reale fără a risca expunerea datelor sensibile.

Prevenire. Permite experimentarea în siguranță fără a expune informații sensibile.
Pregătire. Sprijină instruirea și simularea cu seturi de date realiste.
Recuperare. Recreează scenarii de atac pentru testarea și îmbunătățirea post-incident.

Caz evidențiat: Utilizarea GAN-urilor pentru producerea de date de formare sigure și realiste

În 2022, Nukavarapu et al a dezvoltat MirageNet, un cadru care utilizează rețele adversariale generative (GAN) pentru a crea un trafic de rețea sintetic realist. Sistemul poate reproduce modele de trafic DNS și alte protocoale într-un mod care seamănă foarte mult cu datele din lumea reală, dar fără a expune informații sensibile din rețelele active.

Această inovație este importantă deoarece apărătorii și educatorii au adesea nevoie de date realiste pentru instruire, testare și experimentare, dar nu pot utiliza întotdeauna traficul operațional din motive de confidențialitate sau securitate. MirageNet permite simulări sigure care pregătesc analiștii pentru atacuri reale, evitând în același timp riscurile de divulgare. Utilizarea AI și, în acest caz, a GAN-urilor, permite o experimentare mai sigură și mai scalabilă. În același timp, rămâne important să se valideze faptul că datele sintetice reflectă cu adevărat condițiile operaționale reale, asigurându-se că instruirea și testarea rămân fiabile.

Lecturi suplimentare
  • Învățare profundă pentru modelarea sintetică a traficului de rețea - "STAN: Generarea sintetică a traficului de rețea cu modele neuronale generative" (Xu et al. 2021)
    Lucrarea prezintă STAN (Synthetic network Traffic generation with Autoregressive Neural models), o arhitectură neuronală care modelează atât dependențele temporale, cât și cele de atribut în traficul de rețea pentru a genera seturi de date realiste. Rezultatele arată că modelele de detectare a anomaliilor antrenate pe traficul sintetic al STAN au obținut o precizie aproape comparabilă cu cele antrenate pe date reale, demonstrând modul în care învățarea profundă permite seturi de date sintetice de înaltă calitate pentru formarea și simularea pregătirii, păstrând în același timp confidențialitatea.
  • Evaluarea metodelor sintetice de generare a traficului - "Generarea datelor sintetice privind traficul în rețea: A Comparative Study" (Ammara et al., 2025)
    Studiul evaluează douăsprezece metode de generare a traficului sintetic, inclusiv abordări statistice, clasice AI și generative AI, utilizând seturi de date standard. Rezultatele arată că modelele bazate pe GAN oferă o fidelitate și o utilitate superioare, în timp ce metodele statistice mențin echilibrul claselor, dar pierd complexitatea structurală.

Gestionarea identității și a accesului (IAM)

Gestionarea identității și a accesului (IAM) garantează că numai utilizatorii autorizați au acces corespunzător la sisteme și resurse.

Cum schimbă AI gestionarea identității și a accesului:

AI consolidează IAM prin detectarea tiparelor de autentificare anormale care pot semnala utilizarea abuzivă a acreditărilor, recomandând politici de autentificare adaptive și automatizând verificările de rutină. În timpul incidentelor, acesta poate semnala rapid conturile compromise și poate declanșa controale mai puternice pentru a limita amenințările.

Prevenire. Aplică o autentificare mai puternică și reduce accesul neautorizat.
Răspuns. Se adaptează în timp real în cazul unei suspiciuni de utilizare necorespunzătoare a acreditării.

Caz evidențiat: Detectarea accesului neobișnuit și necorespunzător

În 2024, Vânzare a efectuat un studiu de probă de concept privind aplicarea AI la sistemele IAM. Prin integrarea unui model de detectare a anomaliilor într-o platformă IAM activă, sistemul a fost capabil să semnaleze comportamentul neobișnuit de conectare și privilegiile de acces nepotrivite. Această abordare permite organizațiilor să detecteze mai rapid conturile compromise sau utilizarea abuzivă din interior și să adapteze dinamic politicile de autentificare atunci când sunt detectate riscuri. Studiul a constatat câștiguri clare de eficiență, subliniind în același timp nevoia permanentă de supraveghere umană pentru a interpreta anomaliile semnalate și a evita perturbările inutile. Prin urmare, AI permite consolidarea controlului zilnic al accesului și poate transforma IAM într-o linie de apărare mai adaptivă și mai proactivă.

Lecturi suplimentare
  • Auditul infrastructurilor critice - "AI-Powered IAM Audit for Anomaly Detection in Critical Infrastructure" (Rodriguez et al. 2025)
    Lucrarea propune un cadru de audit IAM bazat pe AI care combină ingineria caracteristicilor, detectarea nesupravegheată a anomaliilor și clasificarea supravegheată pentru a analiza jurnalele IAM. Pe un set de date sintetic modelat după infrastructura critică, sistemul a obținut o rată de detecție de 92%, cu o rată de fals pozitive sub 3%. Rezultatele demonstrează modul în care AI îmbunătățește auditarea jurnalelor IAM, permițând detectarea proactivă a amenințărilor din interior și a anomaliilor subtile de acces pe care metodele tradiționale le ratează adesea.

Analiza jurnalului

Analiza jurnalelor examinează jurnalele de sistem și de securitate pentru a detecta, investiga și înțelege incidentele.

Cum schimbă AI analiza jurnalelor:

AI poate procesa volume masive de jurnale în timp real, evidenția secvențe neobișnuite de evenimente și genera rezumate concise. Acest lucru îmbunătățește detectarea și permite predarea mai rapidă și simularea incidentelor.

Pregătire. Stabilește liniile de bază și identifică potențialele puncte slabe.
Răspuns. Accelerează investigațiile și sprijină gestionarea incidentelor în timp real.
Recuperare. Informează revizuirile și rapoartele post-incident.

Caz evidențiat: Agenți AI pentru analizarea jurnalelor și descoperirea modelelor de amenințări

În 2025, Karaarslan et al a examinat modul în care agenții AI ar putea sprijini analiza jurnalelor extinse generate de honeypots Cowrie. Honeypots-urile imită în mod deliberat sistemele vulnerabile pentru a atrage atacatorii, dar rezultatul este un volum copleșitor de date brute care reprezintă o provocare pentru analiștii umani.

Cercetătorii au arătat că agenții AI pot analiza și rezuma în mod automat aceste jurnale, extrăgând modele de atac recurente și generând rapoarte concise. Această automatizare reduce efortul manual, îmbunătățește cunoașterea situației și permite apărătorilor să detecteze tendințele și să ajusteze măsurile de securitate mai rapid. Studiul ilustrează modul în care AI poate transforma seturile de date greu de gestionat în informații utile, subliniind în același timp necesitatea de a valida cu atenție rezultatele, astfel încât tacticile evolutive sau înșelătoare ale adversarilor să nu fie interpretate greșit.

Lecturi suplimentare
  • Analiza auto-supravegheată a jurnalelor - "AI-Driven Log Analysis Using Transformer Constructs" (Pan 2023)
    Acest studiu explorează modul în care AI poate sprijini analiza jurnalelor pentru detectarea și investigarea incidentelor. Folosind un model Transformer antrenat pe intrările normale din jurnal, abordarea aplică augmentarea jurnalului pentru învățarea autosupravegheată a caracteristicilor și apoi ajustează modelul cu ajutorul învățării prin consolidare pe un mic set de date etichetate. Rezultatele indică faptul că această metodă poate depăși provocările legate de sursele eterogene de jurnale și de datele rare etichetate, fiind promițătoare pentru implementarea practică și reală în operațiunile de securitate cibernetică.
  • Analiza jurnalelor bazată pe învățarea profundă pentru detectarea intruziunilor - "Clasificarea jurnalelor de evenimente de atacuri cibernetice utilizând învățarea profundă cu analiza semantică a caracteristicilor" (Alzu'bi et al. 2025)
    Acest studiu propune un cadru bazat pe învățarea profundă care utilizează vectorizarea semantică și încorporările BERT pentru a analiza jurnalele de evenimente pentru detectarea intruziunilor. Prin clasificarea jurnalelor pe tipuri de evenimente și atacuri cu AI explicabile, abordarea îmbunătățește acuratețea detectării, obținând peste 99% recall și precizie, și depășește modelele existente.

Analiza programelor malware

Analiza programelor malware investighează programele malware pentru a înțelege comportamentul, originea și impactul lor potențial.

Cum schimbă AI analiza malware:

AI accelerează clasificarea prin identificarea similitudinilor de cod între familiile de programe malware și prin generarea de explicații ale execuției în sandbox. Aceasta îi ajută pe analiști să înțeleagă rapid modul în care funcționează programele malware, sprijinind un răspuns mai rapid și atenuări mai eficiente.

Răspuns. Accelerează identificarea și izolarea programelor malware.
Recuperare. Contribuie la acumularea de cunoștințe pentru viitoarele apărări.

Caz evidențiat: Dezasamblare malware asistată de AI

În 2025, Apvrille și Nakov a evaluat R2AI, un plugin AI pentru dezasamblatorul Radare2, pe mostre recente de malware Linux și IoT. Sistemul integrează LLM-urile în procesul de inginerie inversă, ajutând analiștii să descompună funcții, să redenumească variabile și să identifice comportamente suspecte. Studiul lor a arătat că asistența AI ar putea reduce timpul de analiză de la câteva zile la aproximativ jumătate, menținând în același timp o calitate egală sau mai bună decât cea a analizelor efectuate exclusiv de oameni. De exemplu, în cazul malware-ului Linux/Devura, AI a dedus corect formate de argumente pe care analiștii umani nu le-au observat. Cu toate acestea, au rămas limitări: modelele au produs ocazional halucinații, exagerări sau omisiuni și au necesitat validarea constantă de către experți calificați. Constatările sugerează că dezasamblarea asistată de AI este mai eficientă ca multiplicator de forță, accelerând triajul și descoperind detaliile mai rapid, în timp ce se bazează în continuare pe supravegherea umană pentru a asigura acuratețea și a evita interpretările eronate.

Lecturi suplimentare
  • Segmentarea semantică pentru clasificare - "Deep Learning cu segmentare semantică pentru clasificarea programelor malware" (Chen et al. 2025)
    Studiul demonstrează că aplicarea AI la părți selectate din fișierele malware, mai degrabă decât la secvențe întregi de fișiere, poate îmbunătăți semnificativ performanța. Prin concentrarea asupra datelor de antet ale fișierelor executabile portabile, modelul lor a obținut o precizie de 99,54% în clasificarea familiilor de programe malware. Acest lucru sugerează că țintirea celor mai informative secțiuni de cod permite detectarea mai rapidă și mai fiabilă a amenințărilor.
  • Învățarea cu câteva fotografii pentru malware nou - "A few-shot malware classification approach for unknown family recognition using malware feature visualization" (Conti et al. 2022)
    Lucrarea propune utilizarea învățării în câteva momente pentru a clasifica familiile de programe malware cu doar câteva exemple, evitând necesitatea de a reantrena modelele ori de câte ori apar programe malware noi. Prin vizualizarea binarelor malware ca imagini cu 3 canale și testarea a două arhitecturi (CSNN și Shallow-FS), studiul arată o acuratețe ridicată atât în clasificarea malware tradițională, cât și în cea nouă. Acest lucru demonstrează potențialul abordărilor cu câteva focare de a îmbunătăți adaptabilitatea și viteza în detectarea amenințărilor emergente.

Formare și laboratoare

Laboratoarele și cursurile de formare oferă medii controlate pentru exerciții și simulări practice privind securitatea cibernetică.

Cum schimbă AI instruirea și laboratoarele:

AI poate genera scenarii de laborator dinamice adaptate progresului cursantului, poate crea provocări adaptive de dificultate variabilă și poate automatiza feedback-ul și evaluarea. Acest lucru permite o instruire mai realistă și scalabilă.

Pregătire. Consolidarea pregătirii prin simulări adaptive.
Recuperare. Încorporează lecții de incidente reale în instruire.

Caz evidențiat: Poligoane cibernetice alimentate cu AI pentru instruire adaptivă

În 2025, Sisodiya et ala prezentat un poligon cibernetic alimentat cu AI, conceput pentru a îmbunătăți realismul și eficiența formării în domeniul securității cibernetice. Spre deosebire de laboratoarele statice tradiționale, platforma utilizează AI pentru a ajusta dificultatea scenariilor în funcție de progresul cursanților, pentru a injecta evenimente de atac realiste și pentru a oferi feedback automat.

Studiul a arătat că studenții instruiți în acest mediu au obținut o precizie mai mare de detectare și au redus timpii de atenuare în comparație cu abordările convenționale. Pentru cadrele didactice, sistemul face posibilă extinderea exercițiilor, personalizarea provocărilor și încorporarea în simulări a lecțiilor din incidente reale.

Din punct de vedere tehnic, cercetarea a demonstrat, de asemenea, că arhitecturile hibride, care combină scalabilitatea cloud-ului cu fidelitatea sistemelor fizice, oferă scenarii mai realiste și mai adaptabile. Concluziile evidențiază modul în care AI poate transforma formarea din exerciții fixe în medii de învățare dinamice care pregătesc mai bine studenții și profesioniștii pentru amenințările cibernetice reale.

Lecturi suplimentare
  • Metode de formare în domeniul securității cibernetice - "O revizuire sistematică a metodelor actuale de formare în domeniul securității cibernetice" (Prümmer et al. 2024)
    Lucrarea arată că o gamă largă de abordări de formare în domeniul securității cibernetice, inclusiv metodele bazate pe jocuri, îmbunătățesc comportamentul utilizatorului final și rezultatele privind securitatea organizațională. Rezultatele evidențiază eficacitatea programelor de formare structurate, dar dezvăluie, de asemenea, provocări cum ar fi dimensiunile mici ale eșantioanelor și modelele neexperimentale. Acest lucru subliniază valoarea integrării AI în formare și în laboratoare pentru a scala intervențiile, a personaliza conținutul și a genera exerciții adaptive care depășesc limitele metodelor tradiționale.

Întrebări pentru discuții

  • Care fază a ciclului de viață al incidentelor cibernetice (prevenire, pregătire, răspuns, recuperare) este cel mai probabil să fie transformată de AI în viitor și care este faza în care AI face cea mai mare diferență în prezent? Unde AI pare cel mai puțin eficientă?
  • Schimbă AI balanța puterii în spațiul cibernetic în favoarea apărătorilor sau îi ajută mai ales pe atacatori să păstreze avantajul?
  • Instrumentele AI cu sursă deschisă și disponibile pe scară largă vor echilibra terenul de joc pentru micii apărători sau sistemele brevetate avansate vor oferi în continuare organizațiilor mari un avantaj covârșitor?
  • Cum schimbă capacitatea AI de a automatiza detecția, triajul și răspunsul viteza și natura operațiunilor defensive? Ar putea acest lucru să facă ca "modelele SOC tradiționale" să devină caduce?
  • Ar putea apărătorii să devină prea dependenți de AI, ceea ce ar putea duce la apariția unor puncte oarbe în cazul în care modelele eșuează, sunt otrăvite sau sunt înșelate de intrările adversarilor?
  • Cine poartă răspunderea dacă sistemele AI trec cu vederea amenințări critice sau fac recomandări eronate: dezvoltatorii, organizațiile de implementare sau analiștii umani care se bazează pe ele?
  • Cum ar trebui factorii de decizie politică să încurajeze utilizarea responsabilă a AI în domeniul apărării fără a sufoca inovarea sau a limita accesul educatorilor și al organizațiilor mai mici?
  • Pe măsură ce atât atacatorii, cât și apărătorii adoptă AI, va evolua conflictul cibernetic într-un concurs de "apărare autonomă vs. ofensivă autonomă"?

Bibliografie

Alzu'bi, Ahmad, Omar Darwish, Amjad Albashayreh și Yahya Tashtoush. "Cyberattack Event Logs Classification Using Deep Learning with Semantic Feature Analysis". Calculatoare și securitate 150 (martie 2025): 104222. https://doi.org/10.1016/j.cose.2024.104222. 

Ammara, Dure Adan, Jianguo Ding și Kurt Tutschku. 'Synthetic Network Traffic Data Generation: A Comparative Study". arXiv:2410.16326. Versiunea 2. Preprint, arXiv, 22 februarie 2025. https://doi.org/10.48550/arXiv.2410.16326. 

Balasubramanian, Prasasthy, Justin Seby și Panos Kostakos. 'CYGENT: A Cybersecurity Conversational Agent with Log Summarization Powered by GPT-3'. arXiv:2403.17160. Preprint, arXiv, 25 martie 2024. https://doi.org/10.48550/arXiv.2403.17160. 

Coppolino, Luigi, Antonio Iannaccone, Roberto Nardone și Alfredo Petruolo. "Descoperirea activelor în infrastructurile critice: An LLM-Based Approach". Electronică 14, nr. 16 (2025): 3267. https://doi.org/10.3390/electronics14163267. 

Gao, Peng, Xiaoyuan Liu, Edward Choi, Sibo Ma, Xinyu Yang și Dawn Song. ThreatKG: An AI-Powered System for Automated Open-Source Cyber Threat Intelligence Gathering and Management". arXiv:2212.10388. Preprint, arXiv, 30 octombrie 2024. https://doi.org/10.48550/arXiv.2212.10388. 

Geiger, Alexander, Dongyu Liu, Sarah Alnegheimish, Alfredo Cuesta-Infante și Kalyan Veeramachaneni. "TadGAN: Time Series Anomaly Detection Using Generative Adversarial Networks". arXiv:2009.07769. Preprint, arXiv, 14 noiembrie 2020. https://doi.org/10.48550/arXiv.2009.07769. 

Ghioni, Riccardo, Mariarosaria Taddeo și Luciano Floridi. "Open Source Intelligence and AI: A Systematic Review of the GELSI Literature". Ai și societatea, 28 ianuarie 2023, 1-16. https://doi.org/10.1007/s00146-023-01628-x. 

Humran, Hael Abdulhakim Ali și Ferdi Sonmez. "Code Vulnerability Detection Across Different Programming Languages with AI Models". arXiv:2508.11710. Preprint, arXiv, 14 august 2025. https://doi.org/10.48550/arXiv.2508.11710. 

Karaarslan, Enis, Esin Güler, Efe Emir Yüce și Cagatay Coban. 'Towards Log Analysis with AI Agents: Cowrie Case Study'. arXiv:2509.05306. Preprint, arXiv, 22 august 2025. https://doi.org/10.48550/arXiv.2509.05306. 

Nebebe, Betelhem, Pavlina Kröckel, Romarick Yatagha, Natasha Edeh și Karl Waedt. "AI Defenders: Machine Learning Driven Anomaly Detection in Critical Infrastructures". Gesellschaft für Informatik e.V., 2024, 1917-27. https://dl.gi.de/handle/20.500.12116/45143. 

Nukavarapu, Santosh Kumar, Mohammed Ayyat și Tamer Nadeem. "MirageNet - Către un cadru bazat pe GAN pentru generarea sintetică a traficului de rețea". GLOBECOM 2022 - Conferința globală de comunicații IEEE 2022, IEEE, 4 decembrie 2022, 3089-95. https://doi.org/10.1109/GLOBECOM48099.2022.10001494. 

Nwoye, Chukwujekwu Charles și Stephen Nwagwughiagwu. "AI-Driven Anomaly Detection for Proactive Cybersecurity and Data Breach Prevention". Revista internațională de cercetare și management în domeniul tehnologiei inginerești 8, nr. 11 (2024): 339-56. 

Ogundairo, Obaloluwa și Peter Broklyn. Procesarea limbajului natural pentru analiza incidentelor de securitate cibernetică. 2024. 

Peng, Wei, Junmei Ding, Wei Wang, et al. "CTISum: A New Benchmark Dataset For Cyber Threat Intelligence Summarization". arXiv:2408.06576. Preprint, arXiv, 30 iunie 2025. https://doi.org/10.48550/arXiv.2408.06576. 

Perrina, Filippo, Francesco Marchiori, Mauro Conti și Nino Vincenzo Verde. AGIR: Automatizarea raportării informațiilor privind amenințările cibernetice cu ajutorul generării de limbaj natural". arXiv:2310.02655. Preprint, arXiv, 4 octombrie 2023. https://doi.org/10.48550/arXiv.2310.02655. 

Petrolini, Michael, Stefano Cagnoni și Monica Mordonini. "Detectarea automată a datelor sensibile cu ajutorul clasificatorilor pe bază de transformatoare" (Automatic Detection of Sensitive Data Using Transformer- Based Classifiers). Internetul viitorului 14, nr. 8 (2022): 228. https://doi.org/10.3390/fi14080228. 

Rani, Nanda, Bikash Saha, Vikas Maurya și Sandeep Kumar Shukla. "TTPXHunter: Actionable Threat Intelligence Extraction as TTPs from Finished Cyber Threat Reports". Amenințări digitale: Cercetare și practică 5, nr. 4 (2024): 1–19. https://doi.org/10.1145/3696427. 

Rodriguez, David, Sarah Lee, Joshua Wilson și Sadis Bello. AI-Powered IAM Audit pentru detectarea anomaliilor în infrastructurile critice. 18 aprilie 2025. 

Selling, Felix. "Avansarea gestionării identității și accesului cu ajutorul inteligenței artificiale pentru detectarea anomaliilor: A Proof of Concept Implementation Study". 2024. 

Xu, Shengzhe, Manish Marwah, Martin Arlitt și Naren Ramakrishnan. "STAN: Synthetic Network Traffic Generation with Generative Neural Models". arXiv:2009.12740. Preprint, arXiv, 3 august 2021. https://doi.org/10.48550/arXiv.2009.12740. 

Yang, Ziqi și Zhenkai Liang. "Automated Identification of Sensitive Data from Implicit User Specification". Securitatea cibernetică 1, nr. 1 (2018): 13. https://doi.org/10.1186/s42400-018-0011-x.

Vă mulțumim pentru că v-ați abonat la newsletter-ul nostru!

Vă mulțumim! RSVP primit pentru AI în domeniul apărării cibernetice

AI în apărarea cibernetică

Încărcare...

Încărcare...