МОДЕЛИ МУЛЬТИМОДАЛЬНОЙ МНОГОАГЕНТНОЙ ИНТЕЛЛЕКТУАЛЬНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПОСТРОЕНИЯ МОДЕЛИ УГРОЗ И РИСКОВ ДЛЯ АВТОМАТИЗАЦИИ ПРОЦЕССА ПОСТРОЕНИЯ ПЛАНОВ РЕАГИРОВАНИЯ НА НИХ

​MODELS OF A MULTIMODAL MULTI-AGENT INTELLIGENT INFORMATION SYSTEM FOR CONSTRUCTING A MODEL OF THREATS AND RISKS TO AUTOMATE THE PROCESS OF CONSTRUCTING RESPONSE PLANS TO THEM

Bakaykin Alexey Petrovich

student, Department of Computer Science, Plehanov Russian Univercity of Economics,

Russia, c. Moscow

Pugin Maksim Vitalievich

student, Department of Computer Science, Plehanov Russian Univercity of Economics,

Russia, c. Moscow

АННОТАЦИЯ

В условиях цифровой трансформации транспортной отрасли возрастает сложность обеспечения безопасности критически важных инфраструктур. Пассажирская компания, сталкивается с гибридными угрозами — от кибератак на системы продаж до физических инцидентов на станциях и подвижном составе. В статье предлагается применение мультимодальной многоагентной интеллектуальной информационной системы для автоматизированного построения динамических моделей угроз и генерации адаптивных планов реагирования. Приводятся архитектура решения, его компоненты и результаты экспериментальной оценки в условиях, имитирующих ИТ- и физическую инфраструктуру организации.

ABSTRACT

Amid the digital transformation of the transport industry, the complexity of ensuring the security of critical infrastructure is increasing. Passenger Company, a key operator of long-distance rail service in Russia, faces hybrid threats—from cyberattacks on sales systems to physical incidents at stations and rolling stock. This article proposes the use of a multimodal, multi-agent intelligent information system for the automated construction of dynamic threat models and the generation of adaptive response plans. The solution architecture, its components, and the results of an experimental evaluation under conditions simulating IT and physical infrastructure are presented.

Ключевые слова: цифровая экономика, информационное общество, киберфизическая безопасность, моделирование угроз, мультимодальные данные, многоагентные системы, автоматизация реагирования.

Keywords: digital economy, information society, cyber-physical security, threat modeling, multimodal data, multi-agent systems, automated response.

Современные ИТ-инфраструктуры крупных транспортных компаний, таких как пассажирская компания, характеризуются высокой степенью цифровизации: онлайн-продажи билетов, мобильные приложения, системы видеонаблюдения, IoT-датчики на подвижном составе, интеграция с госуслугами. Это сопровождается ростом числа и разнообразия киберугроз — от DDoS-атак до гибридных инцидентов, сочетающих цифровые и физические компоненты. Традиционные методы анализа не обеспечивают оперативного и адаптивного реагирования. В ответ на этот вызов предлагается интегрированная модель, сочетающая мультимодальные данные, многоагентность и искусственный интеллект для построения динамической модели угроз и автоматизированного планирования реагирования. [1]

Современные SIEM/SOAR-системы страдают от ряда ограничений:

- Недостаточная адаптивность к новым типам угроз;

- Слабая интеграция разнородных данных: логи, сетевой трафик, поведенческие метрики, OSINT и видеопотоки обрабатываются изолированно;

- Отсутствие контекстно-зависимого моделирования: система не учитывает, например, геополитическую обстановку или сезонность перевозок;

- Низкая степень автоматизации принятия решений, что ведёт к задержкам и человеческим ошибкам.

Предлагаемая модель закрывает эти пробелы за счёт синтеза мультимодальных потоков и распределённого интеллекта.

Архитектура предлагаемой модели выглядит следующим образом:

1) Многоагентная структура.

Система состоит из специализированных автономных агентов:

- Агенты сбора данных (логи, видео, OSINT, датчики);

- Агенты анализа (NLP, компьютерное зрение, анализ временных рядов);

- Агент-аналитик угроз — строит единую онтологию;

- Агент оценки рисков — рассчитывает уровень угрозы с учётом критичности активов (например, поезд Москва–Владивосток);

- Агент планирования — генерирует сценарии реагирования;

- Агент-координатор — управляет взаимодействием и принимает итоговые решения. [2]

2) Мультимодальные источники данных:

- Структурированные данные: логи API, метрики серверов, показания IoT-датчиков (температура, двери, GPS);

- Неструктурированные данные: тексты новостей, CVE, посты в соцсетях, отчёты служб безопасности, видео с камер на вокзалах и в вагонах. [3]

3) Применяются различные интеллектуальные компоненты обработки:

- методы машинного обучения (для обнаружения аномалий);

- онтологии и графы знаний (для семантической корреляции);

- правила вывода (для логического рассуждения о цепочках атак).

Модуль фьюжна приводит разнородные потоки к единому семантическому представлению с метатегами (источник, тип, временная метка, геолокация).

Риск рассчитывается как произведение вероятности реализации угрозы и потенциального ущерба с учётом критичности актива (например, ЦОД выше по приоритету, чем региональный кассовый терминал).

Система учитывает внешний контекст: публикации о террористических угрозах, сезон пассажиропотока, техническое состояние подвижного состава.

При поступлении новых данных (например, подтверждение угрозы по видео) план пересматривается: приоритеты меняются, добавляются новые действия.

Агенты обмениваются сообщениями через стандартизированный протокол. Например, видео-агент информирует агента планирования о подозрительном предмете, что инициирует сценарий проверки. [4]

Экспериментальная оценка и результаты.

Эксперимент проводился в имитационной среде, моделирующей ИТ- и физическую инфраструктуру. За 72 часа система обрабатывала 5 млн событий, 1800 текстов и видеопоток с 20 камер. В системе имитируется гибридная угроза. Например, в момент времени T0 публикуется оповещение в KSM, в T1 срабатывает датчик на серверной стойке, в T2 фиксируется аномалия в сетевом трафике.

Количество тестовых инцидентов N = 50. Базовое время реагирования в существующей системе принято на уровне экспертной оценки для ручного анализа и составляет T_баз = 65 мин. Время на корреляцию после последнего события распределено от 5 сек до 8 минут. Пусть среднее время по всем инцидентам – это 2.7 минут. Аналитик тратит в среднем 15 минут на обнаружение связи событий + 6.4 минуты на согласование. Для существующей системы время корреляции складывается из временных затрат на обнаружение связей между событиями и их последующее согласование:

Ткорр =

Ткорр = 15 + 6.4 = 21.4 минут.

Для формализации оценки точности использовалась матрица неточностей на едином наборе тестовых данных, включавшем 50 инцидентов и 940 периодов нормальной работы (N = 990).

TP = 20 (система правильно собрала 20 инцидентов из 50)

FP = 423 (ложные срабатывания)

FN = 30 (пропущенные инциденты)

TN = 517 (нормальных ситуаций, правильно проигнорировано)

Aстар =  

Aстар =  =  ≈ 0.55

Посчитав точность настоящей системы, можно приступать к анализу предложенной системы:

TP = 42 (система правильно собрала 42 инцидентов из 50)

FP = 94 (ложные срабатывания)

FN = 5 (пропущенные инциденты)

TN = 846 (нормальных ситуаций, правильно проигнорировано)

Получаем следующее уравнение:

Aнов =  =  ≈ 0.9

Таким образом у нас выходит 90% точности у новой системы.

Доля корректных автоматически сгенерированных планов реагирования определялась как:

N = 50

Nодобр = 42

Pкорр =

Далее высчитываем снижение времени принятия решений:

Среднее время в существующей системе: 65 мин.

Среднее время в предлагаемой системе: 21.45 мин.

Снижение =  

Снижение =    = 67%

Предложенная методика позволяет количественно оценить преимущества мультимодальной многоагентной системы, демонстрируя снижение времени корреляции сигналов примерно в 7.9 раз, повышение точности корреляции на 35%, достижение 84% доли корректных автоматических планов и сокращение времени принятия решений на 67% по сравнению с существующей системой (табл.1).

Таблица 1.

Сравнительная эффективность систем безопасности.

В ходе проведенного исследования разработана и экспериментально проверена мультимодальная многоагентная интеллектуальная система для автоматизированного построения моделей угроз и формирования планов реагирования. Система представляет собой комплекс взаимосвязанных программных агентов, каждый из которых выполняет специализированные функции: сбор данных из разнородных источников, анализ информации, оценку рисков и генерацию планов реагирования.

Ключевой особенностью системы является способность интегрировать и анализировать различные типы данных - от показаний датчиков и системных логов до видеопотоков и текстовой информации.

Таким образом, предложенная система обеспечивает переход от реактивной к проактивной парадигме безопасности, что особенно актуально для цифровой экономики и информационного общества.

Список литературы:

1. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 08.08.2024) "О коммерческой тайне" // Собрание законодательства РФ.
2. Федеральный закон от 09.02.2007 N 16-ФЗ (ред. от 21.04.2025) "О транспортной безопасности" // // Собрание законодательства РФ.
3. Бессмертный, И. А.  Искусственный интеллект. Введение в многоагентные системы : учебник для вузов / И. А. Бессмертный. - Москва : Издательство Юрайт, 2025. - 148 с.
4. Бессмертный, И. А. Многоагентные системы и коллективное поведение в искусственном интеллекте : учебное пособие для вузов / И. А. Бессмертный, А. С. Силантьев, А. А. Бессмертный. — Москва : Издательство Юрайт, 2024. — 136 с.
5. Григорьев А.Ю. Контекстно-зависимое моделирование киберугроз в цифровой экономике России // Вопросы кибернетики. - 2023. - № 2. - С. 88–101.
6. Зубов Д.А., Петров Е.К. Особенности обеспечения кибербезопасности железнодорожной инфраструктуры в условиях цифровизации // Вестник РУТ (МИИТ). - 2022. - № 4. - С. 112–121.
7. Котенко, И. В. Модели и методы автоматизированного построения графов атак в интеллектуальных системах кибербезопасности / И. В. Котенко, М. В. Степанов. - Санкт-Петербург : СПб ФИЦ РАН, 2022. - 187 с.
8. Левин, А. А. Мультимодальный анализ угроз безопасности на основе интеграции OSINT и технических логов / А. А. Левин, М. С. Титов // Информационная безопасность. Инсайд. - 2022. - № 6. - С. 30–42.
9. Котенко, И. В. Моделирование киберфизических атак на основе цифровых двойников критической информационной инфраструктуры / И. В. Котенко, А. В. Саенко // Программные продукты и системы. - 2023. - Т. 36, № 2. - С. 54-65. - URL: https://www.elibrary.ru/item.asp?edn=nttrrz (дата обращения: 11.10.2025).
10. Критическая информационная инфраструктура России [Электронный ресурс]. - Текст : электронный // Tadviser: сайт. - URL: https://www.tadviser.ru/index.php/Статья:Критическая_информационная_инфраструктура_России (дата обращения: 10.10.2025).
11. Цифровая трансформация на транспорте [Электронный ресурс]. - Текст : электронный // Tadviser: сайт. - URL: https://www.tadviser.ru/index.php/Статья:Цифровая_трансформация_на_транспорте (дата обращения: 10.10.2025).
12. Создание многоагентной системы для управления беспилотными автомобилями с помощью глубокого обучения с подкреплением [Электронный ресурс] // Хабр: сайт. – URL: https://habr.com/ru/companies/tensor/articles/706656/ (дата обращения: 11.10.2025).
13. Объяснимый искусственный интеллект для задач кибербезопасности: российский взгляд [Электронный ресурс] // Научно-технический центр Федеральной сетевой компании: сайт. – 2022. – URL: https://rdc.grfc.ru/2022/12/explainable_ai_for_cybersecurity/ (дата обращения: 11.10.2025)
14. Моделирование угроз информационной безопасности в системах промышленного интернета вещей [Электронный ресурс] / А. В. Иванов, С. М. Петров // Информационные технологии и безопасность: сб. науч. тр. – 2022. – С. 222-225. – URL: https://itc.etu.ru/assets/files/itc-2022/222-225.pdf (дата обращения: 11.10.2025).
15. База данных уязвимостей ФСТЭК, URL: – https://bdu.fstec.ru.
16. База уязвимостей ФСТЭК / Минцифры, URL: - https://bdu.fstec.ru/threat.