Новые угрозы, которые появляются в области ICS, требуют новых подходов к обеспечению безопасности объектов критической инфраструктуры. В докладе будет рассмотрена задача автоматического обнаружения сбоев в работе технологических процессов на основе анализа динамики показаний сенсоров и управляющих сигналов. Модель обнаружения сбоев работает на основе прогнозирования значений множества связанных временных рядов с помощью многослойной нейронной сети с рекуррентными слоями. В докладе будет рассказано про выбор архитектуры сети и настройку ее гиперпараметров. Отдельно будут обсуждены проблемы добычи данных, в частности, как можно моделировать физически реализуемые сбои в работе системы для последующей оценки характеристик точности и полноты модели.

1. Нейронные сети на
страже индустриальной
кибербезопасности
Павел Филонов

4. digitalsubstation.ru

5. http://taneco.tatneft.ru/

6. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные

10. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные

11. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные
Натурная
модель
Упрощенная Реальные Мало «плохих»
примеров
Долго
добывать
данные

14. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные
Натурная
модель
Упрощенная Реальные Мало «плохих»
примеров
Долго
добывать
данные

15. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные
Натурная
модель
Упрощенная Реальные Мало «плохих»
примеров
Долго
добывать
данные
Компьютерная
модель
Модельная Модельные Много
различных
примеров
Легко
добывать
данные

16. Многомерный временной ряд

17. Подходы к снаряду
Rules Based Systems
• Прозрачные
• Нужен эксперт
• Ловят только то, что знают
• Сложны в реализации
• Долгое внедрение
• Ложные срабатывания
Machine Learning
• Непрозрачные
• Нужны данные
• Могут поймать новые атаки
• Просты в реализации
• Быстрое внедрение*
• Ложные срабатывания*

18. Machine learning за 5 минут

19. Machine learning за 5 минут

20. Machine learning за 5 минут

21. Machine learning за 5 минут

22. Start
Segmen
tation
PCA
Feed
forward
networks
LSTM
Finish

23. Сигнал
ССегментация
Извлечение
признаков
𝑥11 ⋯ 𝑥1𝑚
⋮ ⋱ ⋮
𝑥 𝑛1 ⋯ 𝑥 𝑛𝑚
Сегменты
Матрица признаков
Кластеризация
Кластеры
Кодирование
цепочек
Последовательности
меток

24. Сегментация
• Достоинства
• Удобно визуализировать
• Можно легко трактовать
• Можно применять символьные методы
• Недостаки
• Трудоемкие онлайн-алгоритмы
• Сложно обобщить на многомерный случай
• Необходимо подбирать много параметров
• Неизвестное заранее число кластеров

25. Start
Segmen
tation
PCA
Feed
forward
networks
LSTM
Finish

26. Метод главных компонент (PCA)

27. Метод главных компонент
• Достоинства
• Быстрые алгоритмы обучения
• Эффективные онлайн-алгоритмы
• Хорошо укладывается в многомерный случай
• Недостатки
• Плохо подходит для случая нелинейных зависимостей
• Работает без памяти
• Непрозрачный

28. Start
Segmen
tation
PCA
Feed
forward
networks
LSTM
Finish

29. Заглянем в будущее

30. Заглянем в будущее
Input
Hidden
Output

31. Сети прямого распространения
• Достоинства
• Быстрые онлайн-алгоритмы вывода
• Хорошо справляются с многомерными данными
• Хорошо описывают нелинейные зависимости
• Недостатки
• Долгое время обучения
• Непрозрачность
• Необходимо подбирать размеры временного окна

32. Start
Segmen
tation
PCA
Feed
forward
networks
LSTM
Finish

33. Рекуррентные нейронные сети
Изображение: colah.github.io

34. Рекуррентные нейронные сети
Изображение : colah.github.io

35. Stacked LSTM

36. Реккурентные сети
• Достоинства
• «Бесконечная» память
• Эффективные онлайн-алгоритмы вывода
• Недостатки
• «Холодный» старт
• Очень доглое время обучения
• Непрозрачность

37. Die Hard X
черновик сценария

38. Заводик работает в штатном режиме

39. Заводик работает в штатном режиме

40. В системе завелся зловред

41. Что-то пошло не так!

42. Есть сигнал!

45. Оценка качества
Шеф, у нас проблемы В городе все спокойно
Осуществляется атака True Positive (TP) False Negative (FN)
Штатный режим False Positive (FP) True Negative (TN)
Точность (precision) 𝑃 =
𝑇𝑃
𝑇𝑃+𝐹𝑃
Полнота (recall) 𝑅 =
𝑇𝑃
𝑇𝑃+𝐹𝑁

46. Кручу-верчу
𝐹 = 2
𝑃 ∙ 𝑅
𝑃 + 𝑅
𝐹-мера:

47. Источники
1. Stuxnet: первые жертвы – blogpost
2. Будни немецких сталеваров – blogpost
3. E. Keogh, S. Chu, D. Hart, and M. Pazzani. Segmenting Time Series:
A Survey and Novel Approach – paper
4. L.H. Chiang, E.L. Russel, and R.D. Bratz. Fault Detection and
Diagnosis in Industrial Systems – eBook
5. E. Keogh, J. Lin, and A. Fu. HOT SAX: Finding the Most Unusual Time
Series Subsequence: Algorithms and Applications – paper
6. K. Koutroumbas, S. Theodoridis. Pattern Recognition - eBook

48. Источники
7. L. Huang, X. Ngueyn, M. Garofalakis, M. Jordan, A. Joseph, and N.
Taft. In-Network PCA and Anomaly Detection – paper
8. A. Lebedevich. Statistics for Monitoring: Anomaly Detection –
blogpost
9. К. В. Воронцов. Прогнозироваие временных рядов – slides, video
10. Neural Networks for Time Series Prediction – slides
11. P. Malhotra, A. Ramakrishnan, G. Anand, and L. Vig. LSTM-based
Encoder-Decoder for Multi-sensor Anomaly Detection – paper
12. P. Malhotra, L. Vig, G. Shroff, P. Agarwal. Long Short Term Memory
Networks for Anomaly Detection in Time Series - paper

49. Источники
13. A. Nanduri, L. Sherry. Anomaly detection in aircraft data using
recurrent neural networks (RNN) – paper
14. A. Karpathy. The unreasonable effectiveness of rcurrent neural
networks – blogpost
15. C. Olah. Understanding LSTM Networks – blogpost
16. J. Brownlee. Time Series Prediction with LSTM Recurrent Neural
Networks in Python with Keras – blogpost
17. S. Hochreiter, J. Schmidhuber. Long Short-Term Memory - paper
18. Y. Bengio, P. Simard, and P. Frasconi. Learning Long-Term
Dependencies with Gradient Descent is Difficult - paper

50. Спасибо за внимание!
email: Pavel.Filonov@Kaspersky.com
github: github.com/sdukshis
twitter: @filonovpv

51. А нам нужно GPU?
• Горизонт прогноза – 5 минут
• Количество каналов ~ 600
• Keras 1.1.0
• Theano 0.8.2
• CUDA 8RC
Спасибо команде Nvidia!