Прогнозирование многостадийных атак в Kubernetes по оповещениям Falco на основе State-Space-моделей

Рассматривается задача проактивного обнаружения и прогнозирования развития многостадийных кибератак в кластерах Kubernetes на основе анализа потока событий безопасности. В качестве математического аппарата предложено использование селективных моделей пространства состояний (Selective State-Space Models — SSM), позволяющих эффективно обрабатывать длинные последовательности оповещений системы Falco с учетом контекста системных вызовов и метаданных оркестратора. Продемонстрировано, что разработанная архитектура превосходит базовые рекуррентные нейронные сети (LSTM/GRU) в задаче бинарной классификации инцидентов, достигая оказателя ROC-AUC0,93 и F1-меры 0,84 на тестовой выборке, сформированной с использованием сценариев MITRE ATT&CK. Установлено, что предложенный метод обеспечивает раннее выявление угроз (в среднем на 57% длины эпизода атаки), что позволяет применять механизмы проактивного реагирования, такие как миграция контейнеров, до наступления критических последствий.