Успейте опубликовать статью: прием статей до 20 апреля , публикация выпуска 30 апреля
Теория и практика науки и образования №4 (4) июнь 2026 г.
Технические науки
Препринт
09.06.2026
Искусственный интеллект для мониторинга сетевой безопасности
Авторы
Серпенинов Олег Витальевич
Камилов Глеб Тимурович
Библиографическое описание
Серпенинов О.В., Камилов Г. Т. Искусственный интеллект для мониторинга сетевой безопасности // Теория и практика науки и образования. — 2026. — № 4 (4). — URL: https://smart-science.net/arhiv/4/24/
Теория и практика науки и образования №4 (4) июнь 2026 г.
⏳ Препринт · Файл будет доступен после публикации выпуска
Аннотация
Статья посвящена применению искусственного интеллекта (ИИ) в мониторинге сетевой безопасности. В материале рассмотрены ключевые преимущества ИИ подходов: обнаружение неизвестных угроз, снижение ложных срабатываний, автоматизация анализа логов и прогнозирование атак. Также описаны основные технологии (unsupervised/supervised learning, глубокое обучение, reinforcement learning), вызовы (качество данных, объяснимость решений, ресурсоёмкость) и лучшие практики внедрения ИИ в системы мониторинга. Сделан вывод, что успех зависит не только от технологий, но и от интеграции качественных данных, продуманной архитектуры и подготовки команды.
Ключевые слова
искусственный интеллект (ИИ)
сетевая безопасность
мониторинг сети
машинное обучение (ML)
обнаружение угроз
боты и ботнеты
Abstract
The article explores the application of artificial intelligence (AI) in network security monitoring. It outlines key advantages of AI approaches: detecting unknown threats, reducing false positives, automating log analysis, and predicting attacks. The paper also covers core technologies (unsupervised/supervised learning, deep learning, reinforcement learning), challenges (data quality, explainability, resource intensity), and best practices for AI integration into monitoring systems. The conclusion emphasises that success depends not only on technology but also on the integration of high quality data, thoughtful architecture, and team training.
Keywords
artificial intelligence (AI)
network security
network monitoring
machine learning (ML)
threat detection
bots and botnets
Современные сети сталкиваются с беспрецедентным объёмом и сложностью угроз традиционные методы мониторинга — сигнатурные системы, ручные правила, статические фильтры — всё чаще оказываются недостаточными на помощь приходят решения на базе искусственного интеллекта способные анализировать терабайты данных в реальном времени и выявлять неочевидные аномалии.
Ключевые преимущества ИИ‑подходов заключаются в обнаружении неизвестных угроз алгоритмами машинного обучения (ML), которые выявляют аномалии без заранее заданных сигнатур — это критично для защиты от zero‑day‑атак снижение ложных срабатываний благодаря фильтрации шума нейросетями, фокусирующимися на действительно подозрительных событиях автоматизация анализа за счёт обработки ИИ логов из десятков источников (firewall, IDS/IPS, DNS, прокси), что существенно сокращает нагрузку на аналитиков прогнозирование атак с помощью моделей на основе временных рядов, предсказывающих всплески активности или попытки сканирования.
Один из наиболее показательных примеров — исследование лаборатории Deutsche Telekom, где ИИ использовался для борьбы с ботнетами специалисты развернули сотни приманок (honeypots), имитирующих веб‑серверы с конфиденциальными данными (номера кредитных карт, медицинские записи) за год каждая ловушка подверглась тысячам атак собранные данные — геолокация, IP‑адреса, методы взаимодействия — анализировались с помощью 17 уникальных алгоритмов машинного обучения система научилась классифицировать атаки по типам, группировать ботов в сети на основе поведенческих паттернов и идентифицировать инфраструктуру ботнетов результатом стало выявление и нейтрализация крупных ботнет‑сетей, которые оставались незамеченными при использовании традиционных методов мониторинга.
В корпоративном сегменте ИИ‑система успешно обнаружила сложную атаку, связанную с боковым перемещением (lateral movement) внутри сети система зафиксировала совокупность аномалий: на более чем 500 компьютерах одновременно запустились процессы с высокой активностью дискового ввода‑вывода, процессы обращались к файлам с нечеловеческой скоростью, заражённые хосты начали сканировать соседние узлы по портам SMB (445), пытаясь распространиться ИИ распознал паттерн «Coordinated Encryption Attack» (координированная атака с шифрованием) после чего сработал автоматический playbook — сегменты сети с подозрительной активностью изолировали с помощью VLAN, заблокировали учётные записи, от имени которых запущен процесс, и отправили алерт команде SOC инцидент был локализован за 4 часа, тогда как в классическом сценарии на восстановление ушло бы от 3 дней до нескольких недель для обнаружения lateral movement также применяются методы анализа логов с использованием кластеризации и LSTM‑сетей: система предварительно обрабатывает логи разных типов, кодирует события в цифровые векторы признаков, а LSTM‑сеть анализирует векторы, выявляя аномальные паттерны, указывающие на боковое перемещение.
ИИ эффективно отличает реальные всплески посещаемости от DDoS‑атак нейросети анализируют параметры трафика — IP‑адреса, протоколы, порты, частоту и объём пакетов в одном из кейсов система на базе ИИ фильтровала вредоносные запросы с точностью до 99,9 %, что позволило существенно снизить нагрузку на инфраструктуру кроме того, ИИ помогает прогнозировать DDoS‑атаки: системы анализируют исторические данные о сетевых нагрузках, выявляют циклические паттерны, предсказывают потенциальные всплески трафика и заранее масштабируют ресурсы или активируют защитные меры.
Unsupervised learning использует кластеризацию (-means, DBSCAN) для группировки схожих событий и автоэнкодеры для выявления отклонений от «нормального» трафика Supervised learning применяет Random Forest и XGBoost для классификации угроз, а также SVM для разделения легитимного и вредоносного трафика. Глубокое обучение задействует LSTM‑сети для анализа временных последовательностей и GNN (Graph Neural Networks) для моделирования взаимодействий узлов сети Reinforcement learning обеспечивает адаптивное управление политиками безопасности на основе обратной связи.
Качество данных остаётся критическим фактором — принцип «мусор на входе — мусор на выходе» означает, что шумные или неполные логи снижают точность моделей. Объяснимость решений (XAI) также представляет сложность из‑за «чёрных ящиков» нейросетей, затрудняющих аудит, поэтому важно внедрять методы интерпретации (SHAP, LIME). Адаптация к изменениям необходима, поскольку сети постоянно эволюционируют и требуют регулярного переобучения моделей. Ресурсоёмкость глубокого обучения предполагает наличие мощных GPU и больших датасетов. Уязвимости ИИ проявляются в возможности adversarial‑атак, способных «обманывать» модели, например, маскировать вредоносный трафик под легитимный.
Гибридный подход рекомендует сочетать ИИ с традиционными методами (например, ML + сигнатурный анализ). Поэтапное развёртывание предполагает начало с мониторинга одного сегмента сети (например, DMZ). Контроль качества данных требует очистки логов, нормализации форматов и удаления дубликатов. Тестирование на синтетических атаках необходимо для проверки моделей на смоделированных угрозах перед внедрением в продакшен. Обучение персонала важно для понимания аналитиками того, как интерпретировать выводы ИИ.
Приведённые кейсы наглядно демонстрируют, как ИИ трансформирует кибербезопасность: обнаруживает сложные и скрытые угрозы, недоступные традиционным методам, сокращает время реагирования на инциденты с дней до часов, переводит защиту из реактивного режима в проактивный однако успех зависит не от технологий самих по себе, а от грамотной интеграции — качественных данных, продуманной архитектуры и подготовки команды в ближайшие годы ключевым трендом станет симбиоз человеческого опыта и машинной аналитики именно он обеспечит устойчивость к самым изощрённым угрозам.
Ключевые преимущества ИИ‑подходов заключаются в обнаружении неизвестных угроз алгоритмами машинного обучения (ML), которые выявляют аномалии без заранее заданных сигнатур — это критично для защиты от zero‑day‑атак снижение ложных срабатываний благодаря фильтрации шума нейросетями, фокусирующимися на действительно подозрительных событиях автоматизация анализа за счёт обработки ИИ логов из десятков источников (firewall, IDS/IPS, DNS, прокси), что существенно сокращает нагрузку на аналитиков прогнозирование атак с помощью моделей на основе временных рядов, предсказывающих всплески активности или попытки сканирования.
Один из наиболее показательных примеров — исследование лаборатории Deutsche Telekom, где ИИ использовался для борьбы с ботнетами специалисты развернули сотни приманок (honeypots), имитирующих веб‑серверы с конфиденциальными данными (номера кредитных карт, медицинские записи) за год каждая ловушка подверглась тысячам атак собранные данные — геолокация, IP‑адреса, методы взаимодействия — анализировались с помощью 17 уникальных алгоритмов машинного обучения система научилась классифицировать атаки по типам, группировать ботов в сети на основе поведенческих паттернов и идентифицировать инфраструктуру ботнетов результатом стало выявление и нейтрализация крупных ботнет‑сетей, которые оставались незамеченными при использовании традиционных методов мониторинга.
В корпоративном сегменте ИИ‑система успешно обнаружила сложную атаку, связанную с боковым перемещением (lateral movement) внутри сети система зафиксировала совокупность аномалий: на более чем 500 компьютерах одновременно запустились процессы с высокой активностью дискового ввода‑вывода, процессы обращались к файлам с нечеловеческой скоростью, заражённые хосты начали сканировать соседние узлы по портам SMB (445), пытаясь распространиться ИИ распознал паттерн «Coordinated Encryption Attack» (координированная атака с шифрованием) после чего сработал автоматический playbook — сегменты сети с подозрительной активностью изолировали с помощью VLAN, заблокировали учётные записи, от имени которых запущен процесс, и отправили алерт команде SOC инцидент был локализован за 4 часа, тогда как в классическом сценарии на восстановление ушло бы от 3 дней до нескольких недель для обнаружения lateral movement также применяются методы анализа логов с использованием кластеризации и LSTM‑сетей: система предварительно обрабатывает логи разных типов, кодирует события в цифровые векторы признаков, а LSTM‑сеть анализирует векторы, выявляя аномальные паттерны, указывающие на боковое перемещение.
ИИ эффективно отличает реальные всплески посещаемости от DDoS‑атак нейросети анализируют параметры трафика — IP‑адреса, протоколы, порты, частоту и объём пакетов в одном из кейсов система на базе ИИ фильтровала вредоносные запросы с точностью до 99,9 %, что позволило существенно снизить нагрузку на инфраструктуру кроме того, ИИ помогает прогнозировать DDoS‑атаки: системы анализируют исторические данные о сетевых нагрузках, выявляют циклические паттерны, предсказывают потенциальные всплески трафика и заранее масштабируют ресурсы или активируют защитные меры.
Unsupervised learning использует кластеризацию (-means, DBSCAN) для группировки схожих событий и автоэнкодеры для выявления отклонений от «нормального» трафика Supervised learning применяет Random Forest и XGBoost для классификации угроз, а также SVM для разделения легитимного и вредоносного трафика. Глубокое обучение задействует LSTM‑сети для анализа временных последовательностей и GNN (Graph Neural Networks) для моделирования взаимодействий узлов сети Reinforcement learning обеспечивает адаптивное управление политиками безопасности на основе обратной связи.
Качество данных остаётся критическим фактором — принцип «мусор на входе — мусор на выходе» означает, что шумные или неполные логи снижают точность моделей. Объяснимость решений (XAI) также представляет сложность из‑за «чёрных ящиков» нейросетей, затрудняющих аудит, поэтому важно внедрять методы интерпретации (SHAP, LIME). Адаптация к изменениям необходима, поскольку сети постоянно эволюционируют и требуют регулярного переобучения моделей. Ресурсоёмкость глубокого обучения предполагает наличие мощных GPU и больших датасетов. Уязвимости ИИ проявляются в возможности adversarial‑атак, способных «обманывать» модели, например, маскировать вредоносный трафик под легитимный.
Гибридный подход рекомендует сочетать ИИ с традиционными методами (например, ML + сигнатурный анализ). Поэтапное развёртывание предполагает начало с мониторинга одного сегмента сети (например, DMZ). Контроль качества данных требует очистки логов, нормализации форматов и удаления дубликатов. Тестирование на синтетических атаках необходимо для проверки моделей на смоделированных угрозах перед внедрением в продакшен. Обучение персонала важно для понимания аналитиками того, как интерпретировать выводы ИИ.
Приведённые кейсы наглядно демонстрируют, как ИИ трансформирует кибербезопасность: обнаруживает сложные и скрытые угрозы, недоступные традиционным методам, сокращает время реагирования на инциденты с дней до часов, переводит защиту из реактивного режима в проактивный однако успех зависит не от технологий самих по себе, а от грамотной интеграции — качественных данных, продуманной архитектуры и подготовки команды в ближайшие годы ключевым трендом станет симбиоз человеческого опыта и машинной аналитики именно он обеспечит устойчивость к самым изощрённым угрозам.
***
- Дударев К. С., Ерофеев О. Н., Иванов Н. А., Вертешев А. С. Искусственный интеллект в сфере кибербезопасности // Международный журнал прикладных наук и технологий «Integral». — 2024. — № 1. — С. 100–112.
- Чугунов В. В., Найденкова К. В. Концепция средств защиты на основе применения искусственного интеллекта для обеспечения кибербезопасности государства // Российский экономический интернет-журнал. — 2023. — № 1.
- Байгутлина И. А., Замятин П. А. Геоинформационные технологии, киберспорт и кибербезопасность // Славянский форум. — 2021. — № 2 (32). — С. 316–326.
- Шайтура С. В., Минитаева А. М., Сумзина Л. В., Максимов А. В. Site security system with 3D imaging // CEUR Workshop Proceedings. — 2021. — Vol. 3035. — P. 176–182.
- Buczak A. L., Guven E. A survey of data mining and machine learning methods for cyber security intrusion detection // IEEE Communications Surveys & Tutorials. — 2016. — Vol. 18, № 2. — P. 1153–1176.
- Liao Q., Yang F., Wang H. A survey of deep learning techniques in cyber security // Computers, Materials & Continua. — 2019. — Vol. 60, № 3. — P. 1019–1042.
📝
Опубликуйте свою статью
Препринт в течение 3-5 рабочих дней после оплаты.
Справка о публикации и электронная версия журнала включены.