Автоматизированные DDoS-атаки: как ИИ меняет киберугрозы?

По нашим данным, в 2025 году количество DDoS-атак в мире увеличилось в 3 раза — с 6,6 млн до 19,4 млн инцидентов. Также активно росла их мощность: пара месяцев — и очередной рекорд уже побит. 

Но дело не только в масштабах. Организации столкнулись с развитием такой киберугрозы, как автоматизированные атаки. Раньше при запуске DDoS на сервис-жертву обрушивался поток однотипных пакетов. Сегодня использование искусственного интеллекта заметно усложняет картину и создаёт новые вызовы. Как отражать атаки, которые учатся на средствах защиты быстрее, чем обновляются политики безопасности? Как направить ИИ против киберпреступников? И кто в итоге победит в этой «гонке вооружений»?   

DDoS с AI: шахматист вместо боксёра

Классическая DDoS-атака — это распределённый отказ в обслуживании, когда сервис перегружается вредоносным трафиком. Злоумышленники стремятся вывести сервис из строя или замедлить его работу для конечных пользователей.

Как это может выглядеть:

Уровни модели OSI	Виды и механизмы атак
L3-L4	SYN-флуды, ICMP/UDP-пакеты создают ложную нагрузку на сетевую инфраструктуру.
L7	HTTP-запросы имитируют действия настоящих пользователей.

Искусственный интеллект в кибератаках делает удары более изощрёнными. Злоумышленники используют машинное обучение, чтобы проанализировать поведение систем защиты и выявить слабые места. Например, алгоритмы Reinforcement Learning позволяют обучать ИИ-агентов с помощью обратной связи. Они атакуют инфраструктуру, фиксируют реакцию защиты на разные параметры трафика и подбирают оптимальное время, частоту и интенсивность воздействия. Если фильтры сработали слишком рано или пропустили нагрузку, ИИ-модель злоумышленника автоматически изменит тактику и векторы атаки.

Сравните: в 2016 году ботнет Mirai управлял сотнями тысяч заражённых IoT-устройств, которые при DDoS-атаках совершали только примитивные действия. В 2025-м хактивисты используют ИИ для маскировки трафика под мобильных пользователей или браузеры. 

Если раньше отражение DDoS-атаки походило на поединок по боксу, то искусственный интеллект превратил этот процесс в шахматный турнир: противник не только бьёт, но и просчитывает несколько ходов вперёд.

Как ИИ помогает атакующим

Автоматизация с применением ИИ даёт злоумышленникам несколько возможностей:

1. Имитация легитимных пользователей. Генеративные модели создают трафик с уникальными данными User-Agent, cookies и последовательностями запросов, чтобы имитировать поведение реальных клиентов.
2. Интеллектуальное планирование. Злоумышленники используют открытые базы данных для поиска потенциальных целей. Алгоритмы машинного обучения анализируют информацию и выбирают наиболее уязвимые сервисы. ИИ выявляет временные периоды, в которые удобнее и проще атаковать: например, ночью, в выходные или при смене дежурных в центрах мониторинга.
3. Адаптация тактик в реальном времени. Если вредоносный трафик на уровне протокола UDP блокируется защитой, то ИИ оперативно смещает фокус на уровень приложений и начинает генерировать HTTP-флуд. По некоторым оценкам, за счёт автоматизации число многоуровневых инцидентов выросло на 30%, что усложняет отражение атак.
4. Масштабирование ботнетов. Алгоритмы машинного обучения сканируют IoT-устройства, выявляют уязвимые точки входа и подключают гаджеты к ботнету без участия человека. Так злоумышленники быстро наращивают мощность и управляют миллионами узлов одновременно. В том числе ботнеты всё чаще используются при «ковровых бомбардировках». Серия таких DDoS-атак на DNS-серверы с распределённой нагрузкой прошла в Европе в 2025 году.
5. Генерация новых нагрузок. С помощью NLP атакующие создают скрипты, которые динамически меняются и обходят сигнатурные фильтры. Также используют алгоритмы Q-learning — обучение с подкреплением, которое позволяет вредоносному агенту оценивать эффективность своих действий и менять стратегию. Таким образом ИИ анализирует блокировки, обновляет группы IP-адресов и подстраивает размер пакетов под профиль легитимного трафика. 

Как ИИ помогает в защите от DDoS

В то же время искусственный интеллект в кибербезопасности даёт ИБ-специалистам мощный набор инструментов для защиты от DDoS-атак. Он может применяться для:

• выявления нелегитимного трафика. ML-модели анализируют поведенческие отклонения и находят аномалии, которые невозможно описать с помощью простых правил: например, высокую степень хаотичности и изменчивости HTTP-запросов. По некоторым данным, в 2025 году такие механизмы помогли заблокировать DDoS-атаки до 5 миллионов запросов в секунду;
• предиктивной аналитики. Модели временных рядов, включая LSTM, прогнозируют всплески активности. ИБ-специалисты могут сопоставить эту информацию с данными Threat Intelligence, предугадать возможные атаки и выиграть время на подготовку к ним;
• автоматической адаптации защитных политик. Системы на базе ИИ динамически меняют пороги и правила фильтрации в зависимости от текущего поведения трафика. В результате среднее время восстановления после DDoS-атаки сокращается примерно вдвое. Защита подстраивается под конкретную ситуацию, а не действует по шаблону;
• масштабирования обороны. Облачные antiDDoS-платформы анализируют обезличенные данные об инцидентах и постоянно обновляют правила  фильтрации. То есть атака на одного клиента способна повысить устойчивость всей системы;
• обучения и тестирования защитных сценариев. ИБ-специалисты имитируют действия злоумышленников при сложной атаке и проверяют устойчивость инфраструктуры, чтобы подготовиться к реальным инцидентам.

«Самая важная роль искусственного интеллекта в кибербезопасности сейчас — анализ больших потоков данных в реальном времени. В сфере защиты от DDoS это прежде всего умение максимально быстро и эффективно отделять вредоносный трафик от легитимного. Кроме того, ИИ-агенты помогают выявлять целевые нападения на бизнес-логику приложения — например, медленные атаки или высокоинтеллектуальный HTTP-флуд, которые не всегда обнаруживаются традиционными сигнатурными методами. Именно здесь машинное обучение и анализ поведенческих паттернов снижают нагрузку на аналитиков и многократно повышают точность детектирования угроз», — отмечает Артём Артамонов, ведущий инженер StormWall.  

Кто выиграет в гонке ИИ-атак и защиты?

Искусственный интеллект в DDoS — инструмент, который одновременно усиливает обе стороны. Злоумышленники усложняют атаки и делают их менее предсказуемыми. ИБ-специалисты применяют те же технологии, чтобы прогнозировать инциденты, выявлять аномалии трафика и эффективнее его фильтровать. Преимущество в этой гонке получит тот, кто быстрее адаптирует инфраструктуру и процессы под новые условия.

Полагаться на прежние модели защиты, включая изолированные on-premise решения, становится рискованно. Нужны масштабируемые платформы, способные анализировать трафик в реальном времени и автоматически менять правила защиты. Облачные antiDDoS-сервисы с поддержкой ИИ лучше соответствуют этим требованиям и быстрее реагируют на изменение тактики атакующих.

С чего можно начать внедрение AI-технологий в вашу систему безопасности:

1. Проанализируйте особенности трафика и требования к доступности сервисов.
2. Протестируйте AI-механизмы защиты в реальных или моделируемых сценариях.
3. Настройте процессы мониторинга в соответствии с собранными данными о киберугрозах.

«Полностью полагаться на искусственный интеллект всё же не стоит. AI-модели тоже могут иметь уязвимости, которыми воспользуются злоумышленники. К тому же бесконтрольное использование ИИ способно вызвать ложные срабатывания систем защиты. Тогда ваши сервисы станут недоступны и для легитимных пользователей. Каким бы ни был умным ИИ-агент, в вопросах безопасности лучше сохранить за ним роль помощника, а валидацию основных решений оставить на стороне человека», — дополняет Артём Артамонов, ведущий инженер StormWall.