ИИ для классификации инцидентов ИБ: автоматическое определение типа, критичности и маршрутизация на нужную линию SOC

Применение искусственного интеллекта (ИИ) в сфере информационной безопасности (ИБ) как и в других сферах жизнедеятельности человека достаточно быстро развивается и становится всё популярнее. Используется ИИ в разных доменах сферы ИБ, в том числе и в центрах мониторинга инцидентов (они же центры мониторинга и реагирования на инциденты ИБ, SOC (Security Operations Center)). В большей степени, конечно, суть применения ИИ заключается в автоматизации определения типа, классификации, оценки критичности инцидентов ИБ, а также автоматизации как минимум первой линии SOC — это один из главных трендов в кибербезопасности. ИИ автоматизирует часть работы аналитиков SOC, обрабатывает события ИБ, определяет ложные срабатывания и решает вопрос с нехваткой кадров.

Рассмотрим детальнее использование ИИ в SOC.

При обработке событий ИБ.

Традиционные системы управления событиями и инцидентами ИБ (Security Information and Event Management — SIEM-системы) генерируют огромное количество оповещений в день, часть из которых — ложноположительные (по некоторым статистикам — до 90%). Внедрение ИИ позволяет: автоматически определять такие события, т. е. фильтровать «шум»; выполнять приоритизацию инцидентов ИБ, т. е. ранжировать; выполнять контекстную кластеризацию, т. е. группировать события и (или) инциденты ИБ в связанные атаки.

При исследовании инцидентов ИБ.

Классические системы оркестрации, автоматизации и реагирования на инциденты ИБ (Security Orchestration, Automation and Response, SOAR-системы) работают в соответствии с плейбуками и решают задачи, связанные со сбором событий из разных источников (межсетевые экраны, системы обнаружения и предотвращения вторжений (IDS/IPS)), автоматизацией обогащения контекста инцидентов ИБ, проверкой правил ложных срабатываний, принятием решений, формированием отчетов и т. д. Интеграция ИИ (ML-моделей, LLM) позволит дедуплицировать данные — сгруппировать сотни похожих событий (например, атаки brute-force с 100 IP-адресов) в один инцидент ИБ. Приоритизировать (Triage): ML-модель ранжирует критичность, например: критично (RDP с Tor), низкий приоритет (сканирование портов). Выявлять ложные срабатывания — ИИ обучается на действиях аналитика SOC и автоматически закрывает до 70% «шумных» событий. ИИ позволит автоматически обогащать данные, например, с помощью NLP-парсинга Threat Intelligence, отчетов и чатов (Jira/Slack) для извлечения IOC — хэшей, доменов, IP. Графовые модели строят связи (IP → хост → пользователь → файл) за секунды, выявляя скрытые паттерны. При использовании LLM-агентов можно анализировать текст (например, комментарии) и автоматически принимать решение — блокировать или нет. ИИ применяется и в задачах кластеризации неизвестных атак (атак «нулевого дня») и подбора наилучшего плейбука по схожести с прошлыми инцидентами ИБ. LLM автоматически генерирует обоснование блокировки, список индикаторов компрометации (IOC) и хронологию на понятном языке, а также формирует обоснование своего решения (Explainable AI) — почему то или иное событие определено как инцидент с таким-то уровнем критичности.

Пример: Определение фишинга с LLM.

На почту пришло письмо с вложением, которое проходит OCR-распознавание текста на скриншотах. Далее LLM переводит подозрительные фразы («срочно смените пароль», «перейдите по ссылке для…») и сравнивает их с базой легитимных коммуникаций. Агент суммирует и выдает результат с определенной вероятностью, что это BEC-атака, а далее формирует запрос в «песочницу», анализирует ответ и сам решает, изолировать хост или запросить подтверждение у аналитика SOC.

Риски и ограничения.

Риски в целом такие же, как и для всех сфер применения ИИ. Галлюцинации LLM — модель может придумать несуществующие IOC. Нужна валидация (например, проверка хэша через VirusTotal). Отправка журналов событий во внешние ИИ-сервисы (решение — on-premise LLM, например Llama 3 или Mistral). Если модель обучали на устаревших данных об атаках, то она пропустит новые тренды в ИБ. Адаптивность атакующих — со временем они научатся подделывать активность под «безопасную» для ML.

ИИ помогает определить инцидент ИБ в силу перехода от примитивных сигнатур к контекстному обнаружению аномального поведения в ИТ-инфраструктуре и признаков атак.

На практике это происходит следующим образом. Обрабатываются исходные данные (журналы событий ОС, NetFlow, DNS, облачные audit trails и др.), нормализуются, одновременно прогоняются через модели: LightGBM выявляет резкие всплески (например, brute-force), Isolation Forest находит единичные глубокие аномалии, autoencoder ищет редкие паттерны во входящем трафике. Далее автоматически присваивается значение и выполняются шаги, например автоматическая проверка через LLM, или инцидент ИБ отправляется в triage-аналитику с готовым вердиктом.

Главные критерии эффективности измеряются не через «accuracy», а через практические метрики SOC, например TTD (Time To Detect) — сокращается с часов/дней до минут, процент инцидентов, обнаруженных только ИИ (не сигнатурами).

Чтобы определить тип инцидента с помощью ИИ, нужно последовательно выполнить несколько шагов:

1. Сбор и структурирование данных.
2. Выбор модели или подхода.
3. Предобработка.
4. Классификация по заданной таксономии.
5. Валидация модели.

ИИ определяет тип инцидента ИБ путём извлечения признаков из описания и сопоставления с обученными категориями. Для реальных задач нужна качественная размеченная выборка и регулярное дообучение.

Маршрутизация инцидентов ИБ на нужную линию SOC с помощью ИИ может строиться на классификации и назначении ответственной группы. Линии SOC:

L1 (Triage) — сортировка событий, определение срабатываний, выполнение типовых плейбуков.
L2 (Response) — углубленный анализ: компрометация учетных записей, утечка данных, активная атака.
L3 (Forensics) — сложные и критичные инциденты ИБ, требующие глубокого анализа, например APT.

Модель ИИ анализирует источник события (SIEM, EDR, email gateway, DLP), тип обнаружения (Malware, Phishing, Anomaly, IOC match), степень критичности (например, critical/high/medium/low), какие активы под ударом (сервер ЦОД, ноутбук топ-менеджера), текстовое описание (например, комментарии аналитиков). ИИ также может использовать систему весов и пороги уверенности.

Преимущества автоматической маршрутизации:

1. Сокращение времени передачи до 80% (аналитик L1 не читает каждое событие).
2. Уменьшение ошибок передачи.
3. Автоматическое дообучение: обратная связь по инциденту от аналитиков SOC.

Что нужно для реализации:

1. Размеченная история инцидентов (1–5 тысяч записей с правильной линией SOC).
2. Выделенный дескриптор инцидента ИБ — краткое нормализованное описание.
3. Pipeline инференса — например, микросервис на FastAPI, вызываемый из SOAR/SIEM.
4. Механизм обратной связи для постоянного улучшения модели.

Интеграция ИИ в маршрутизацию SOC позволяет автоматически обрабатывать до 40% рутины, сокращая MTTD (время обнаружения) и MTTR (время реагирования).

В качестве вывода можно отметить, что ИИ не заменит аналитика SOC, но автоматизирует его рутинную работу. Аналитику необходимо будет управлять тысячами правил и моделей. В настоящий момент мы проходим стадию «гибридного интеллекта», когда аналитик SOC — человек — принимает решения, а ИИ берет на себя рутинные задачи и масштабирование экспертизы.

Автор: Миняев Андрей, к.т.н., руководитель Центра информационной безопасности Digital Design