Threat Hunting

исследования
petproject
ВКР
Автор

i2z1@ddslab.ru

Дата

06.09.2025

Аналитика на службе киберфронта

ИИ-ассистент для решения задач инфобеза

Построение интеллектуального AI-ассистента в сфере информационной безопасности

TipИдея

Построение AI-ассистента на базе RAG системы и открытых LLM моделей – например, Gigachat, YandexGPT – способного консультировать в сфере информационной безопасности (наступательной (redteam) или оборронительной (blueteam)).

WarningОписание

Разработка AI-ассистента на базе cуществующей большой языковой модели предполагает несколько этапов:

  1. Формирования корпуса русcкоязычных текстов (источников знаний) в сфере ИБ по материалам профильных онлайн-изданий, публичных источников в Интернете и т.д.
  2. Подготовка инфраструктуры, развертывание предобученной LLM модели
  3. Подготовка данных, фрагментация данных на чанки, организация их хранения и вычисление эмбеддингов для них.
  4. Определение критериев составления промпта для LLM, добавления релевантных подготовленных данных ы промпт.
  5. Создание обвязки для модели в виде чат-бота (например, Telegram чат-бота) и/или MCP сервера.
ImportantКлючевые навыки

MLOps, R, Web-scraping, ML Engineering, разработка Telegram-ботов

Погружение в проблематику:

  1. Как мы внедрили LLM в рабочие процессы аналитиков на R — и сделали это бесплатно
  2. RAG пайплайн на R
  3. https://huggingface.co/ai-sage/GigaChat-20B-A3B-base – главная страница LLM модели от Сбера 1. Демо
  4. Демо на HuggingFace
  5. Ссылки на бесплатные развернутые Google Colab ноутбуки для малой ruGPT-3 и ruGPT-3 XL
  6. Описание и обсуждение на Хабре - https://habr.com/ru/company/sberbank/blog/528966/

Прогнозирование хакерских атак на основе анализа статистики IoC

TipИдея

Анализ исторических данных об индикаторах компрометации (Indicators of Compromise – IoC) из различных платформ сбора информации об угрозах (Threat Intelligence Platform – TIP) – IP пулы провайдеров, регистраторы доменных имен и т д. – и прогнозирование вероятных источников атак.

WarningОписание

Конкретизация области поиска источников сетевых атак по историческим данным исходя из статистических закономерностей типовых IoC.

В исследовании придется обратить внимание на:

  1. Развертывание платформ TIP – например MISP, OpenCTI.
  2. Взаимодействие с поставщиками информации об угрозах – онлайн-фиды и сервисы.
  3. Сбор исторических данных о найденных в прошлом индикаторах компрометации.
  4. Применение статистических моделей и моделей машинного обучения для выделения наиболее значимых кластеров угроз.
  5. Прогнозирование индикаторов систем, которые могут быть использованы для осуществления компьютерных атак.
ImportantКлючевые навыки

R, Python, ML Engineering, OSINT, Разведочный анализ данных (EDA), ML, Администрирование Linux

Погружение в проблематику:

  1. Threat Intelligence Platforms – https://www.anti-malware.ru/practice/methods/threat-intelligence-platform
  2. Коммерческий проект со схожим назначением – https://www.greynoise.io/
  3. https://otx.alienvault.com/ – источники IoC