Журнал "Information Security/ Информационная безопасность" #2, 2026

При этом устойчивость формируется сразу против нескольких типов атак с отравлением – например, подмены меток или бэкдор-паттернов. Важно, что MambaShield не пытается классифицировать данные как нормаль- ные или вредоносные. Здесь нет отдель- ного детектора атак. Меняется сама логика формирования внутренних пред- ставлений: отравленные данные должны как можно слабее влиять на состояние модели и итоговые решения. Еще один механизм MambaShield – Progressive Adversarial Robustness Distil- lation (PARD). Его задача – объединить устойчивость к разным типам отравле- ний в одной модели без резкого роста вычислительной нагрузки. Проблема в том, что разные атаки воздействуют на модель по-разному: одни подменяют метки, другие внедряют бэкдор-паттерны, третьи пытаются сме- стить границы классификации. Поэтому вместо одной универсальной защиты в MambaShield используется несколько специализированных моделей, каждая из которых обучается против конкрет- ного типа атак. Затем их знания посте- пенно переносятся в одну итоговую модель. За счет этого удается сохранить баланс между устойчивостью и каче- ством на чистых данных – типичной проблемы устойчивых моделей, где защита часто достигается ценой падения точности. И еще один компонент архитектуры – иерархическое обучение с подкрепле- нием (HRL). Оно нужно для того, чтобы модель могла адаптироваться к изме- нению входных данных. В обычных моде- лях логика обработки фиксируется на этапе обучения. В MambaShield стратегия обработки может меняться в зависимо- сти от структуры потока и характера возмущений. При этом речь не идет о полном самообучении в продакшене. Скорее HRL позволяет модели меньше зависеть от исходного распределения данных и устойчивее реагировать на постепенное смещение поведения, характерное для отравления. Особенность MambaShield – попытка не просто показать устойчивость на тестах, а формально оценить ее границы. Для этого используется PAC-Bayes под- ход – математический аппарат, который позволяет оценивать риск ошибок моде- ли при изменении данных. Обычно устойчивость ML-моделей оце- нивают эмпирически: запускают атаки, измеряют падение точности и сравни- вают результаты. Проблема в том, что такие оценки всегда привязаны к кон- кретному набору экспериментов. Они показывают, что произошло в тесте, но плохо отвечают на вопрос, насколько модель предсказуемо поведет себя в других условиях. PAC-Bayes позволяет подойти к зада- че иначе. Вместо единичной метрики задается верхняя граница риска при определенном уровне отравления дан- ных. В работе для MambaShield пока- зано, что при доле отравленных при- меров до 30% модель сохраняет точ- ность порядка 97,3% в рамках этой оценки. Практический смысл здесь не столько в самой цифре, сколько в появлении фор- мализованной предсказуемости. Атаки на данные редко выглядят как резкий отказ модели. Чаще происходит постепенное смещение распределения, и задача состоит в том, чтобы понимать пределы деградации заранее, а не постфактум. При этом PAC-Bayes не дает гарантию неуязвимости. Такие оценки всегда зави- сят от допущений о данных, типе атак и условиях обучения. Скорее это способ математически ограничить риск и сде- лать поведение модели менее непро- зрачным. Экспериментальные результаты MambaShield тестировалась на трех крупных наборах данных для анализа сетевого трафика: CIC-IoT-2023, CSE- CICIDS2018 и UNSW-NB15. Это типовые бенчмарки для оценки систем обнару- жения атак, включающие миллионы образцов трафика и различные сценарии сетевых угроз. На чистых данных модель показывает точность около 99,1%. При добавлении атак с долей отравленных данных до 30% точность снижается примерно до 97,3%. Для сравнения, у обычных моде- лей деградация в аналогичных условиях может достигать 18–20%. Но здесь важна не только итоговая точность. В работе отдельно анализиру- ется сохранение взаимной информации между признаками и метками – то есть насколько модель продолжает удержи- вать реальные зависимости в данных после атаки. Для MambaShield этот показатель составляет 94,7%, тогда как у тради- ционных рекуррентных моделей он пада- ет примерно до 61%. Это важный момент: отравление разрушает не только качество классификации, но и внутрен- нюю структуру зависимостей, на которых обучается модель. Судя по результатам, Selective SSM лучше удерживают эти зависимости даже при искажении вход- ных данных. Еще один результат касается про- изводительности. За счет линейной сложности MambaShield выполняет инференс примерно в 4,2 раза быстрее трансформеров при сопоставимой длине последовательности. Для задач анализа трафика или телеметрии это критично, потому что устойчивость модели не должна достигаться ценой резкого роста вычислительных затрат. Применение MambaShield в ИБ Такие модели особенно интересны для задач, где атака развивается посте- пенно – например, при анализе сетевого трафика или в антифроде. В обоих случаях проблема не в разо- вой ошибке классификации, а в том, что модель со временем начинает счи- тать вредоносные паттерны нормаль- ными. Она продолжает работать, но постепенно деградирует. Архитектуры вроде MambaShield пытаются ограничить влияние таких искажений еще на этапе формирования внутренних зависимостей модели, а не после появления ошибки. Несмотря на сильные результаты, MambaShield пока нельзя считать уни- версальной защитой от отравления. При очень длинных последовательно- стях (более 5 тыс. шагов) точность начи- нает снижаться из-за накопления ошибок во внутреннем состоянии модели. Кроме того, при высоком уровне отравления данных деградация становится неизбеж- ной – как и у любых других ML-моделей. Еще одна важная оговорка: все резуль- таты получены на бенчмарках. Для при- менения в реальных инфраструктурах такие модели требуют отдельной про- верки на реальных потоках данных. В заключение Появление моделей Selective State Space показывает, что для задач ИБ уже недостаточно просто повышать точность ML-моделей. Если данные могут быть искажены или намеренно отравлены, сама архитектура должна учитывать воз- можность враждебного входного потока. В этом смысле переход от трансфор- меров к Selective SSM – это не только вопрос производительности или работы с длинными последовательностями. Меняется сама логика построения моде- ли, появляется задача контролировать, каким данным позволено влиять на внут- реннее состояние модели. MambaShield интересен именно как при- мер такого подхода. Устойчивость здесь не вынесена во внешние фильтры или в предобработку, а становится частью архи- тектуры. Модель изначально проектиру- ется так, чтобы быть менее чувствитель- ной к постепенному смещению данных и попыткам повлиять на обучение. Пока такие системы остаются скорее исследовательским направлением, чем готовым промышленным стандартом. Но сам вектор выглядит показательным: в задачах ИБ вопрос доверия к данным постепенно становится таким же важ- ным, как точность или производитель- ность модели. Работа, посвященная MambaShield, опубликована в престижном журнале Expert Systems with Applications 1 и уже получила грант от Министерства эконо- мического развития РФ в рамках про- граммы развития центров искусствен- ного интеллекта. l • 59 БЕЗОПАСНОЕ ИСПОЛЬЗОВАНИЕ ИИ www.itsec.ru 1 https://www.sciencedirect.com/science/article/pii/S0957417426000898