3 июля 2025 года команда учёных из Университета Калабрии опубликовала исследование «CyberRAG: агентная RAG-система для классификации и анализа кибератак (https://arxiv.org/abs/2507.02424)» .

Они решили критическую проблему центров кибербезопасности: как обрабатывать сотни тысяч предупреждений в час, не утопая в ложных срабатываниях?

Проблема: информационная перегрузка
Современные системы защиты генерируют огромные потоки предупреждений, где 90% — ложные срабатывания. Аналитики не успевают разбирать все сигналы, а традиционные ML-детекторы работают как "чёрный ящик" без объяснений.

Решение: команда ИИ-специалистов
Вместо одной универсальной модели они создали CyberRAG — систему специализированных ИИ-агентов!

Архитектура системы:
Центральный координатор (LLaMA3.1:8B, Qwen2.5:7B, Mistral:7B) — управляет процессом и принимает решения

Команда экспертов — узкоспециализированные классификаторы:
— BERT-base-uncased для SQL-инъекций
— ALBERT-base-v2 для SSTI-атак
— RoBERTa-base для XSS-атак
RAG-модуль (Sentence-BERT + Faiss) — итеративно ищет контекст, пока не получит полную картину
Генератор отчётов — создаёт понятные объяснения для аналитиков

Принцип работы

Узкая специализация: каждый классификатор — эксперт в одном типе атак, как врач-кардиолог знает сердце лучше терапевта.

Итеративный поиск: в отличие от обычных систем, CyberRAG продолжает запрашивать базу знаний, пока не получит исчерпывающую информацию.

Впечатляющие результаты
94.92% общая точность (vs 84.75% без RAG и 73.4% у монолитной модели)
45% сокращение времени анализа инцидентов
>94% точность каждого специализированного классификатора
93% аналитиков назвали отчёты понятными и действенными
94% устойчивость к состязательным атакам

Лидеры по задачам:
— LLaMA3.1:8B — лучший общий результат
— GPT-4 экспертная оценка: 4.9/5 баллов качества объяснений

Практическое применение
Центры кибербезопасности: автоматическая сортировка событий и готовые отчёты об инцидентах
DevSecOps: интеграция в конвейеры разработки для анализа безопасности
Средний бизнес: доступная альтернатива дорогим корпоративным решениям

Научные прорывы
Доказанное превосходство специализации над универсальными моделями.

Объяснимый ИИ — система не просто классифицирует, а объясняет логику решений.

Модульность — новые типы атак добавляются без переобучения всей системы.

Ограничения
— Пока только 3 типа веб-атак (планируется расширение)
— Требует качественную базу знаний для каждой области
— Вычислительные затраты на множественные обращения к языковым моделям

CyberRAG открывает путь к полуавтономной киберзащите. Планируется open source релиз и интеграция с SIEM-платформами.

Какие типы кибератак стоило бы добавить первыми? Напишите ваше мнение в комментариях

#AIWiz #КиберБезопасность #ИИ