il concetto di base è quello di generare rapidamente degli agenti che si adattano ai nuovi tipi di attacchi. Poniamoci la domanda: cosa vogliamo consentire? e non cosa vogliamo fermare. Le azioni deterministiche per fermare gli attacchi non generalizzano e, viceversa, le generalizzazioni tendono a generare tanti falsi positivi. Come avviene per le auto a guida autonoma, non esiste un singolo modello di riconoscimento, ma un insieme di decine di reti neurali che si occupano singolarmente di un solo aspetto o di un tipo di ostacolo.
La metodologia adottata è piuttosto semplice: all’arrivo di un nuovo problema (in questo caso un’anomalia o un reale attacco informatico), ricerca se c’è un agente in grado di risolverlo, altrimenti attiva una procedura ad-hoc.
Il sistema può essere progettato ad-hoc in base all’infrastruttura che si vuole difendere, sia essa una centrale elettrica, un centro di distribuzione di un impianto idrico, oleodotto, un elemento di infrastruttura dati oppure un macchinario industriale.
