Новые угрозы, которые появляются в области ICS, требуют новых подходов к обеспечению безопасности объектов критической инфраструктуры. В докладе будет рассмотрена задача автоматического обнаружения сбоев в работе технологических процессов на основе анализа динамики показаний сенсоров и управляющих сигналов.
Модель обнаружения сбоев работает на основе прогнозирования значений множества связанных временных рядов с помощью многослойной нейронной сети с рекуррентными слоями. В докладе будет рассказано про выбор архитектуры сети и настройку ее гиперпараметров.
Отдельно будут обсуждены проблемы добычи данных, в частности, как можно моделировать физически реализуемые сбои в работе системы для последующей оценки характеристик точности и полноты модели.
6. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные
7.
8.
9.
10. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные
11. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные
Натурная
модель
Упрощенная Реальные Мало «плохих»
примеров
Долго
добывать
данные
12.
13.
14. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные
Натурная
модель
Упрощенная Реальные Мало «плохих»
примеров
Долго
добывать
данные
15. Физика ПЛК Полнота Данные
Реальный
объект
Реальная Реальные Только
«хорошие»
примеры
Трудно
добывать
данные
Натурная
модель
Упрощенная Реальные Мало «плохих»
примеров
Долго
добывать
данные
Компьютерная
модель
Модельная Модельные Много
различных
примеров
Легко
добывать
данные
17. Подходы к снаряду
Rules Based Systems
• Прозрачные
• Нужен эксперт
• Ловят только то, что знают
• Сложны в реализации
• Долгое внедрение
• Ложные срабатывания
Machine Learning
• Непрозрачные
• Нужны данные
• Могут поймать новые атаки
• Просты в реализации
• Быстрое внедрение*
• Ложные срабатывания*
24. Сегментация
• Достоинства
• Удобно визуализировать
• Можно легко трактовать
• Можно применять символьные методы
• Недостаки
• Трудоемкие онлайн-алгоритмы
• Сложно обобщить на многомерный случай
• Необходимо подбирать много параметров
• Неизвестное заранее число кластеров
27. Метод главных компонент
• Достоинства
• Быстрые алгоритмы обучения
• Эффективные онлайн-алгоритмы
• Хорошо укладывается в многомерный случай
• Недостатки
• Плохо подходит для случая нелинейных зависимостей
• Работает без памяти
• Непрозрачный
31. Сети прямого распространения
• Достоинства
• Быстрые онлайн-алгоритмы вывода
• Хорошо справляются с многомерными данными
• Хорошо описывают нелинейные зависимости
• Недостатки
• Долгое время обучения
• Непрозрачность
• Необходимо подбирать размеры временного окна
36. Реккурентные сети
• Достоинства
• «Бесконечная» память
• Эффективные онлайн-алгоритмы вывода
• Недостатки
• «Холодный» старт
• Очень доглое время обучения
• Непрозрачность
45. Оценка качества
Шеф, у нас проблемы В городе все спокойно
Осуществляется атака True Positive (TP) False Negative (FN)
Штатный режим False Positive (FP) True Negative (TN)
Точность (precision) 𝑃 =
𝑇𝑃
𝑇𝑃+𝐹𝑃
Полнота (recall) 𝑅 =
𝑇𝑃
𝑇𝑃+𝐹𝑁
47. Источники
1. Stuxnet: первые жертвы – blogpost
2. Будни немецких сталеваров – blogpost
3. E. Keogh, S. Chu, D. Hart, and M. Pazzani. Segmenting Time Series:
A Survey and Novel Approach – paper
4. L.H. Chiang, E.L. Russel, and R.D. Bratz. Fault Detection and
Diagnosis in Industrial Systems – eBook
5. E. Keogh, J. Lin, and A. Fu. HOT SAX: Finding the Most Unusual Time
Series Subsequence: Algorithms and Applications – paper
6. K. Koutroumbas, S. Theodoridis. Pattern Recognition - eBook
48. Источники
7. L. Huang, X. Ngueyn, M. Garofalakis, M. Jordan, A. Joseph, and N.
Taft. In-Network PCA and Anomaly Detection – paper
8. A. Lebedevich. Statistics for Monitoring: Anomaly Detection –
blogpost
9. К. В. Воронцов. Прогнозироваие временных рядов – slides, video
10. Neural Networks for Time Series Prediction – slides
11. P. Malhotra, A. Ramakrishnan, G. Anand, and L. Vig. LSTM-based
Encoder-Decoder for Multi-sensor Anomaly Detection – paper
12. P. Malhotra, L. Vig, G. Shroff, P. Agarwal. Long Short Term Memory
Networks for Anomaly Detection in Time Series - paper
49. Источники
13. A. Nanduri, L. Sherry. Anomaly detection in aircraft data using
recurrent neural networks (RNN) – paper
14. A. Karpathy. The unreasonable effectiveness of rcurrent neural
networks – blogpost
15. C. Olah. Understanding LSTM Networks – blogpost
16. J. Brownlee. Time Series Prediction with LSTM Recurrent Neural
Networks in Python with Keras – blogpost
17. S. Hochreiter, J. Schmidhuber. Long Short-Term Memory - paper
18. Y. Bengio, P. Simard, and P. Frasconi. Learning Long-Term
Dependencies with Gradient Descent is Difficult - paper