ПРИМЕНЕНИЕ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА В ИНФОРМАЦИОННО-АНАЛИТИЧЕСКИХ СИСТЕМАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

APPLICATION OF ARTIFICIAL INTELLIGENCE IN INFORMATION AND ANALYTICAL SYSTEMS OF INFORMATION SECURITY

Romanov Ivan Andreevich

Student, Department of Information Security and Technologies, Siberian State University of Telecommunications and Informatics,

Russia, Novosibirsk

Popkov Gleb Vladimirovich

Scientific supervisor, Candidate of Technical Sciences, Associate Professor, Department of Information Security and Technology, Siberian State University of Telecommunications and Informatics,

Russia, Novosibirsk

АННОТАЦИЯ

Традиционные подходы к анализу событий информационной безопасности, основанные на жестких правилах корреляции, исчерпали свой потенциал. На фоне экспоненциального роста объема данных и усложнения киберугроз они демонстрируют снижение эффективности. В этих условиях информационно – аналитические системы информационной безопасности эволюционируют в сторону когнитивной безопасности, где ключевая роль отводится искусственному интеллекту, выступающему не вспомогательным средством, а основой для принятия решений.

ABSTRACT

Traditional approaches to information security event analysis based on strict correlation rules have exhausted their potential. Against the backdrop of exponential data growth and the increasing sophistication of cyberthreats, they are declining in effectiveness. Under these conditions, information security analytics systems are evolving toward cognitive security, where artificial intelligence plays a key role, serving not as an auxiliary tool, but as the foundation for decision-making.

Ключевые слова: искусственный интеллект, информационно-аналитические системы, когнитивная безопасность, машинное обучение, обнаружение аномалий, киберустойчивость.

Keywords: artificial intelligence, information analytics systems, cognitive security, machine learning, anomaly detection, cyber resilience.

Современные информационно-аналитические системы информационной безопасности всё чаще строятся на интеграции методов искусственного интеллекта. Основные направления включают автоматическую корреляцию событий, поведенческий анализ пользователей и устройств, а также предиктивное выявление угроз [3, 4]. В отличие от сигнатурных подходов, машинное обучение позволяет обнаруживать аномалии в сетевом трафике без предварительного знания сигнатуры атаки, что критически важно для противодействия атакам нулевого дня [3].

Способы внедрения различаются по глубине интеграции. Наиболее распространён подход с обучением моделей на исторических данных SIEM-решений, где применяются как контролируемая классификация известных атак, так и неконтролируемая кластеризация для выявления скрытых закономерностей [4, 5]. В платформах SOAR внедряются ИИ-ассистенты на основе больших языковых моделей, автоматизирующие нормализацию инцидентов, что сокращает время реагирования с часов до минут [1].

Отдельным способом является поведенческая аналитика (UEBA): алгоритмы формируют индивидуальные профили пользователей и фиксируют отклонения (нетипичное время доступа, аномальный объём передаваемых данных), эффективно выявляя внутренних нарушителей [5]. Внедрение требует потоковой обработки событий в реальном времени и специализированных хранилищ векторов поведения.

Ключевое условие успеха — наличие качественных размеченных данных и интерпретируемости решений. Без этого высок процент ложных срабатываний или пропущенных атак. Поэтому необходимы модули объяснимого искусственного интеллекта, сохраняющие человеческий контроль над критичными решениями [2, 3].

В информационно-аналитических системах информационной безопасности применяется несколько базовых групп методов искусственного интеллекта. Методы контролируемого обучения, такие как случайный лес и градиентный бустинг, используются для классификации известных типов атак на основе исторических данных с размеченными инцидентами [4]. Неконтролируемые алгоритмы, включая кластеризацию и автоэнкодеры, позволяют выявлять аномалии в сетевом трафике и поведении пользователей без предварительного обучения на примерах атак, что особенно ценно для обнаружения ранее неизвестных угроз [4, 5]. Рекуррентные нейронные сети, в частности архитектуры LSTM, эффективны при анализе временных рядов событий безопасности, так как способны запоминать долгосрочные зависимости в последовательностях логов [3]. Методы обработки естественного языка применяются для извлечения индикаторов компрометации из текстов угроз, отчётов об уязвимостях и фишинговых писем [3]. Объяснимый искусственный интеллект, хотя и находится на стадии активного развития, уже рассматривается как обязательный компонент для доверия оператора к решениям модели [2, 3].

Примером практического внедрения интеллектуальных методов в российскую платформу класса SOAR служит система Security Vision, в которой появились ИИ-ассистент и ML-отчёты [1]. В данном решении алгоритмы машинного обучения выполняют автоматический скоринг инцидентов, ранжируя их по критичности, а также генерируют рекомендации по реагированию на основе анализа предыдущих инцидентов [1]. Это позволяет сократить долю ложных срабатываний и разгрузить аналитиков центра мониторинга безопасности. Вместе с тем внедрение ИИ сталкивается с рядом вызовов. Во-первых, сами модели машинного обучения уязвимы для состязательных атак, когда злоумышленник целенаправленно модифицирует входные данные, чтобы добиться ошибочной классификации [3]. Во-вторых, проблема «чёрного ящика» снижает доверие к автоматизированным решениям: аналитик не может проверить логику вывода модели, что критично при принятии решений о блокировке доступа или изоляции сегмента сети [2, 3]. В-третьих, эффективность ИИ напрямую зависит от полноты и качества обучающих данных; дефицит размеченных инцидентов реальных атак ограничивает применимость контролируемых методов [4].

Таким образом, интеграция искусственного интеллекта в информационно-аналитические системы информационной безопасности повышает скорость и точность обнаружения угроз, но требует обязательного решения проблем интерпретируемости и устойчивости моделей к атакам.

Список литературы:

1. Быстрова Е.В. В Security Vision SOAR появились ИИ-ассистент и ML-отчёты. — 15.12.2025. [электронный ресурс] — Режим доступа. — URL: https://www.anti-malware.ru/news/2025-12-15-111332/48420 (дата обращения 19.04.2026)
2. Вишняков Н.В. Анализ перспектив развития систем защиты данных на основе нейросетей // Развитие теории и механизмов повышения устойчивости, инновационности и конкурентоспособности пространственного развития экономики регионов : сб. материалов Междунар. науч.-практ. конф., г. Самара, 24 марта 2025 г. — Самара, 2025. — С. 50-57. [электронный ресурс] — Режим доступа. — URL: http://repo.ssau.ru/jspui/handle/123456789/36835 (дата обращения 19.04.2026)
3. Макаров И.С., Райков А.В., Казанцев А.А., Нехаев М.В., Романов М.А. Применение нейросетей для анализа больших данных в реальном времени // Программные системы и вычислительные методы. — 2025. — № 2. — С. 132-147. [электронный ресурс] — Режим доступа. — URL: https://e-notabene.ru/itmag/article_73651.html (дата обращения 19.04.2026)
4. Рыспаев Р.С. Применение искусственного интеллекта в прогнозировании киберугроз: сравнительный анализ методов предиктивной аналитики // Молодой ученый. — 2025. — № 43 (594). — С. 22-25. [электронный ресурс] — Режим доступа. — URL: https://moluch.ru/archive/594/129477/ (дата обращения 19.04.2026)
5. Севастей Е.А. Интеллектуальные методы анализа поведения пользователей как инструмент раннего предсказания кибератак // Молодой ученый. — 2025. — № 45 (596). — С. 12-14. [электронный ресурс] — Режим доступа. — URL: https://moluch.ru/archive/596/129707/ (дата обращения 19.04.2026)