Документ обсуждает применение нейронных сетей для улучшения кибербезопасности в промышленности, подчеркивая необходимость анализа и трудности в сборе данных. Рассматриваются различные методы машинного обучения, их преимущества и недостатки, а также важные метрики для оценки эффективности. Документ также упоминает важные исследования и практические примеры в области обнаружения аномалий и прогнозирования временных рядов.

1. Нейронные сети на
страже индустриальной
кибербезопасности
Павел Филонов

4. digitalsubstation.ru

5. http://taneco.tatneft.ru/

6. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные

10. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные

11. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные
Натурная
модель
Упрощенная Реальные Мало «плохих»
примеров
Долго
добывать
данные

14. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные
Натурная
модель
Упрощенная Реальные Мало «плохих»
примеров
Долго
добывать
данные

15. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные
Натурная
модель
Упрощенная Реальные Мало «плохих»
примеров
Долго
добывать
данные
Компьютерная
модель
Модельная Модельные Много
различных
примеров
Легко
добывать
данные

16. Многомерный временной ряд

17. Подходы к снаряду
Rules Based Systems
• Прозрачные
• Нужен эксперт
• Ловят только то, что знают
• Сложны в реализации
• Долгое внедрение
• Ложные срабатывания
Machine Learning
• Непрозрачные
• Нужны данные
• Могут поймать новые атаки
• Просты в реализации
• Быстрое внедрение*
• Ложные срабатывания*

18. Machine learning за 5 минут

19. Machine learning за 5 минут

20. Machine learning за 5 минут

21. Machine learning за 5 минут

22. Start
Segmen
tation
PCA
Feed
forward
networks
LSTM
Finish

23. Сигнал
ССегментация
Извлечение
признаков
𝑥11 ⋯ 𝑥1𝑚
⋮ ⋱ ⋮
𝑥 𝑛1 ⋯ 𝑥 𝑛𝑚
Сегменты
Матрица признаков
Кластеризация
Кластеры
Кодирование
цепочек
Последовательности
меток

24. Сегментация
• Достоинства
• Удобно визуализировать
• Можно легко трактовать
• Можно применять символьные методы
• Недостаки
• Трудоемкие онлайн-алгоритмы
• Сложно обобщить на многомерный случай
• Необходимо подбирать много параметров
• Неизвестное заранее число кластеров

25. Start
Segmen
tation
PCA
Feed
forward
networks
LSTM
Finish

26. Метод главных компонент (PCA)

27. Метод главных компонент
• Достоинства
• Быстрые алгоритмы обучения
• Эффективные онлайн-алгоритмы
• Хорошо укладывается в многомерный случай
• Недостатки
• Плохо подходит для случая нелинейных зависимостей
• Работает без памяти
• Непрозрачный

28. Start
Segmen
tation
PCA
Feed
forward
networks
LSTM
Finish

29. Заглянем в будущее

30. Заглянем в будущее
Input
Hidden
Output

31. Сети прямого распространения
• Достоинства
• Быстрые онлайн-алгоритмы вывода
• Хорошо справляются с многомерными данными
• Хорошо описывают нелинейные зависимости
• Недостатки
• Долгое время обучения
• Непрозрачность
• Необходимо подбирать размеры временного окна

32. Start
Segmen
tation
PCA
Feed
forward
networks
LSTM
Finish

33. Рекуррентные нейронные сети
Изображение: colah.github.io

34. Рекуррентные нейронные сети
Изображение : colah.github.io

35. Stacked LSTM

36. Реккурентные сети
• Достоинства
• «Бесконечная» память
• Эффективные онлайн-алгоритмы вывода
• Недостатки
• «Холодный» старт
• Очень доглое время обучения
• Непрозрачность

37. Die Hard X
черновик сценария

38. Заводик работает в штатном режиме

39. Заводик работает в штатном режиме

40. В системе завелся зловред

41. Что-то пошло не так!

42. Есть сигнал!

45. Оценка качества
Шеф, у нас проблемы В городе все спокойно
Осуществляется атака True Positive (TP) False Negative (FN)
Штатный режим False Positive (FP) True Negative (TN)
Точность (precision) 𝑃 =
𝑇𝑃
𝑇𝑃+𝐹𝑃
Полнота (recall) 𝑅 =
𝑇𝑃
𝑇𝑃+𝐹𝑁

46. Кручу-верчу
𝐹 = 2
𝑃 ∙ 𝑅
𝑃 + 𝑅
𝐹-мера:

47. Источники
1. Stuxnet: первые жертвы – blogpost
2. Будни немецких сталеваров – blogpost
3. E. Keogh, S. Chu, D. Hart, and M. Pazzani. Segmenting Time Series:
A Survey and Novel Approach – paper
4. L.H. Chiang, E.L. Russel, and R.D. Bratz. Fault Detection and
Diagnosis in Industrial Systems – eBook
5. E. Keogh, J. Lin, and A. Fu. HOT SAX: Finding the Most Unusual Time
Series Subsequence: Algorithms and Applications – paper
6. K. Koutroumbas, S. Theodoridis. Pattern Recognition - eBook

48. Источники
7. L. Huang, X. Ngueyn, M. Garofalakis, M. Jordan, A. Joseph, and N.
Taft. In-Network PCA and Anomaly Detection – paper
8. A. Lebedevich. Statistics for Monitoring: Anomaly Detection –
blogpost
9. К. В. Воронцов. Прогнозироваие временных рядов – slides, video
10. Neural Networks for Time Series Prediction – slides
11. P. Malhotra, A. Ramakrishnan, G. Anand, and L. Vig. LSTM-based
Encoder-Decoder for Multi-sensor Anomaly Detection – paper
12. P. Malhotra, L. Vig, G. Shroff, P. Agarwal. Long Short Term Memory
Networks for Anomaly Detection in Time Series - paper

49. Источники
13. A. Nanduri, L. Sherry. Anomaly detection in aircraft data using
recurrent neural networks (RNN) – paper
14. A. Karpathy. The unreasonable effectiveness of rcurrent neural
networks – blogpost
15. C. Olah. Understanding LSTM Networks – blogpost
16. J. Brownlee. Time Series Prediction with LSTM Recurrent Neural
Networks in Python with Keras – blogpost
17. S. Hochreiter, J. Schmidhuber. Long Short-Term Memory - paper
18. Y. Bengio, P. Simard, and P. Frasconi. Learning Long-Term
Dependencies with Gradient Descent is Difficult - paper

50. Спасибо за внимание!
email: Pavel.Filonov@Kaspersky.com
github: github.com/sdukshis
twitter: @filonovpv

51. А нам нужно GPU?
• Горизонт прогноза – 5 минут
• Количество каналов ~ 600
• Keras 1.1.0
• Theano 0.8.2
• CUDA 8RC
Спасибо команде Nvidia!