💡 APT-LLM: защита от продвинутых киберугроз с помощью ИИ 🤖 🚀 Одна из самых сложных задач  ИБ — обнаружение Advanced Persistent Threats (APT) — скрытых атак, которые могут годами незаметно находиться в системах компаний. Исследователи из Нью-Йоркского университета, Университета Монреаля и Эдинбургского университета представили APT-LLM -  систему, которая использует большие языковые модели для обнаружения аномалий, указывающих на APT-атаки. ⚠️ Почему APT-атаки так опасны? 💀 APT (Advanced Persistent Threat) — это целевые атаки, при которых злоумышленники долго и незаметно проникают в систему, крадут данные или наносят ущерб. Они маскируются под легитимные процессы, из-за чего традиционные методы обнаружения их пропускают. 🌐 В реальных условиях такие атаки часто составляют менее 0,004% от всего трафика, что делает их крайне сложными для выявления стандартными системами безопасности. 🧠 Что такое APT-LLM и как оно работает? APT-LLM — это комплексная система обнаружения аномалий, которая сочетает: 🧩 Большие языковые модели (LLM): BERT, ALBERT, DistilBERT, RoBERTa, MiniLM. 🧬 Автоэнкодеры: Baseline AE, Variational VAE и Denoising DAE. 👨‍💻 Как это работает: 📊 1. Сбор данных: Система собирает журналы активности процессов (открытие файлов, сетевые подключения и т.д.). 📜 2. Превращение в текст: Каждое событие описывается короткими текстовыми фразами. Например: “Процесс 123 открыл файл, записал данные и отправил по сети”. 💡 3. Создание эмбеддингов: LLM превращают текст в числовые векторы (эмбеддинги), которые описывают поведение процессов. 🧠 4. Поиск аномалий с помощью автоэнкодеров: Автоэнкодеры обучаются на нормальном поведении и выявляют отклонения — признаки атак. 💎 Какие LLM использовались и чем они отличаются? 🟡 BERT: Отлично выявляет контекст, но тяжел в вычислениях. 🟠 DistilBERT: Лёгкая версия BERT, быстрее, но чуть менее точна. 🟢 ALBERT: Уменьшенная модель с высокой точностью за счёт повторного использования параметров. 🔵 RoBERTa: Оптимизированная версия BERT с расширенной тренировкой. 🟣 MiniLM: Миниатюрная модель, подходящая для быстрых вычислений в реальном времени. 🛡️ Как работают автоэнкодеры для поиска угроз: 📌 Baseline AE (Стандартный автоэнкодер): Сжимает данные и восстанавливает их. Если восстановление слишком отличается от оригинала, значит, это аномалия. 📌 VAE (Вариационный автоэнкодер): Использует вероятностные модели для выявления даже скрытых аномалий. 📌 DAE (Денойзинг автоэнкодер): Устойчив к шуму и может находить аномалии в "зашумленных" данных. 📊 Результаты экспериментов: 🧪 Тестирование проводилось на реальных данных из программы DARPA Transparent Computing, включая атаки на ОС Android, Linux, BSD и Windows. В выборках атаки составляли менее 0,004% от всех событий — это крайне сложный случай для обнаружения. 🔥 Ключевые результаты: ✅ Лучший результат показала комбинация ALBERT + VAE — AUC 0.95, что значительно превосходит традиционные методы. ✅ APT-LLM превзошла классические методы: OC-SVM, DBSCAN, Isolation Forest, особенно на Windows и Linux. 🔗Подробнее про APT-LLM можно прочитать тут. Stay secure and read SecureTechTalks 📚 #Кибербезопасность #APT #LLM #AI #Autoencoder #MachineLearning #SecureTechTalks #AnomalyDetection #ThreatIntelligence #CyberSecurity