Безопасность информационных технологий

Статья посвящена сравнению и рекомендациям по выбору алгоритмов машинного обучения без учителя по критерию возможности выявления аномалий в телеметрии узлов промышленных киберфизических систем, в том числе промышленных интернет вещей. Рассматривается ситуация, когда разметка датасетов кибератак и нарушений ограничена, поэтому модели обучаются на нормальном поведении, а отклонения выявляются по аномальному баллу. В работе предложено формировать набор телеметрических признаков операционной системы, таких как: нагрузка процессора, использование памяти и диска, сетевые метрики, состояние процессов и сервисов, при этом набор дополняется искусственно внедрёнными аномалиями, имитирующими резкие всплески потребления ресурсов, утечки памяти и нарушения работы сервисов. Обоснован выбор ряда методов машинного обучения без учителя: лес изолирующих деревьев, полносвязный автоэнкодер, вариационный автоэнкодер и LSTM-автоэнкодер. Выполнен анализ и синтез предложенных методов на базе классических показателей: Precision, Recall и F1. Сделан вывод, что детальные результаты демонстрирует LSTM-автоэнкодер, что интерпретируется как преимущество моделей, способных учитывать временные зависимости. Подчеркивается прикладная значимость мониторинга аномалий для повышения устойчивости промышленных инфраструктур. Отмечены ограничения рассматриваемых решений и направления развития исследования, включая гибридные модели и методы объяснимости.

1. Марков А.С., Тимофеев Ю.А. Стандарты кибербезопасности Четвертой промышленной революции и Индустрии 4.0. Защита информации. Инсайд. 2021, № 3(99), с. 54-60. EDN: VIHYCM.
Markov A.S., Timofeev Yu.A. Cybersecurity standards of the fourth industrial revolution and industry 4.0. Information Security. Inside. 2021, no. 3(99). pp. 54-60. EDN: VIHYCM (in Russian).

2. Petrenko S. Cyber resilient platform for internet of things (IIoT/IoT)ed systems: survey of architecture patterns. Voprosy Kiberbezopasnosti. 2021, no. 2(42), pp. 81-91. DOI: http://dx.doi.org/10.21681/2311-3456-2021-2-81-91. EDN: DAHPSE.

3. Elsaid S.A., Binbusayyis A. An optimized solation forest based intrusion detection system for heterogeneous and streaming data in the industrial Internet of Things (IIoT) networks. Discover Applied Sciences, 2024, 6:483. DOI: http://dx.doi.org/10.1007/s42452-024-06165-w. EDN: HKKYEF.

4. Зегжда Д.П., Александрова Е.Б., Калинин М.О. и др. Кибербезопасность цифровой индустрии. Теория и практика функциональной устойчивости к кибератакам. Москва: Горячая линия-Телеком, 2021. 560 с. ISBN: 978-5-9912-0827-7. EDN: BLBTDA.
Zegzhda D.P., Alexandrova E.B., Kalinin M.O. et al. Cybersecurity of the digital industry. Theory and practice of functional resilience to cyberattacks. Moscow: Hot Line-Telecom, 2021. 560 p. ISBN: 978-5-9912-0827-7. EDN: BLBTDA (in Russian).

5. Васильев В.И., Вульфин А.М., Гвоздев В.Е. и др. Обеспечение информационной безопасности киберфизических объектов на основе прогнозирования и обнаружения аномалий их состояния. Системы управления, связи и безопасности. 2021, № 6, c. 90-119. DOI: http://dx.doi.org/10.24412/2410-9916-2021-6-90-119.
Vasiliev V.I., Vulfin A.M., Gvozdev V.E. et al. Ensuring information security of cyber-physical objects based on predicting and detecting anomalies in their state. Control, Communications and Security Systems. 2021, no. 6, pp. 90-119. DOI: http://dx.doi.org/10.24412/2410-9916-2021-6-90-119 (in Russian).

6. Котенко И.В., Федорченко Е.В., Новикова Е.С. и др. Методология сбора данных для анализа безопасности промышленных киберфизических систем. Вопросы кибербезопасности. 2023, № 5(57), c. 69-79. DOI: http://dx.doi.org/10.21681/2311-3456-2023-5-69-79. EDN: QYAZXX.
Kotenko I.V., Fedorchenko E.V., Novikova E.S. et al Data collection methodology for security analysis of industrial cyber-physical systems. Voprosy kiberbezopasnosti [Cybersecurity issues]. 2023, no. 5(57), pp. 69-79. DOI: http://dx.doi.org/10.21681/2311-3456-2023-5-69-79. EDN: QYAZXX (in Russian).

7. Марков Г.А. Эксперимент по прогнозированию отказов устройства промышленного Интернета вещей на базе методов машинного обучения. Вопросы кибербезопасности. 2025, № 6(70), c. 166-173. DOI http://dx.doi.org/10.21681/2311-3456-2025-6-166-173.
Markov G.A. Experiment on predicting IIOT device failures based on machine learning methods. Voprosy kiberbezopasnosti [Cybersecurity issues]. 2025, no. 6(70), pр. 166-173. DOI: http://dx.doi.org/10.21681/2311-3456-2025-6-166-173 (in Russian).

8. Choi W.-H., Kim J. Unsupervised Learning Approach for Anomaly Detection in Industrial Control Systems. Applied System Innovation, 2024, 7(2):18. DOI: http://dx.doi.org/10.3390/asi7020018.

9. Лавров, Б., Иванов, М. (2025). Интеллектуальное обнаружение аномалий в контейнеризованных приложениях: методы, архитектура и инструменты. Безопасность информационных технологий, 32(4),
149-164. DOI: http://dx.doi.org/10.26583/bit.2025.4.11.
Lavrov, B., Ivanov, M. (2025). Intelligent anomaly detection in containerized applications: methods, architecture and tools. IT Security (Russia), 32(4), 149-164. DOI: http://dx.doi.org/10.26583/bit.2025.4.11 (in Russian).

10. Новикова Е.С., Бухтияров М.А., Котенко И.В. и др. Подход к объяснимому обнаружению аномалий в потоке данных от технологических процессов. Вопросы кибербезопасности. 2025, № 4(68), c. 142-151. DOI: http://dx.doi.org/10.21681/2311-3456-2025-4-142-151.
Novikova E.S., Bukhtiyarov M.A, Kotenko I.V. et al. An approach to explainable anomaly detection in data streams from technological systems. Voprosy kiberbezopasnosti [Cybersecurity issues]. 2025, no. 4(68),
pp. 142-151. DOI: http://dx.doi.org/10.21681/2311-3456-2025-4-142-151 (in Russian).

11. Mirsky Y., Doitshman T., Elovici Y., Shabtai A. Kitsune: An Ensemble of Autoencoders for Online Network Intrusion Detection. NDSS Symposium 2018, DOI: http://dx.doi.org/10.14722/ndss.2018.23129. (preprint: arXiv:1802.09089).

12. Goh J., Adepu S., Tan M., Lee Z.S. Anomaly Detection in Cyber-Physical Systems Using Recurrent Neural Networks. Proc. 2017 IEEE Int. Symp. on High Assurance Systems Engineering (HASE), 2017, pp. 140-145. DOI: http://dx.doi.org/10.1109/HASE.2017.36.

13. Марков Г.А. Применение модели неокортекса для выявления контекстуальных аномалий в сетевом трафике промышленного Интернета вещей. Проблемы информационной безопасности. Компьютерные системы. 2023, № 2(54), c. 140-149. DOI: http://dx.doi.org/10.48612/jisp/b5fk-dug5-3g37.
Markov G.A. Application of the neocortex model to detect contextual anomalies in network traffic of the industrial internet of things. Problems of information security. Computer systems. 2023, no. 2(54), pp. 140-149. DOI: http://dx.doi.org/10.48612/jisp/b5fk-dug5-3g37 (in Russian).

14. Гурина Л.А., Томин Н.В. Обеспечение функциональности цифровых устройств релейной защиты при кибератаках на микросети с распределенными энергетическими ресурсами. Вопросы кибербезопасности. 2025, № 4(68), c. 55-64. DOI: http://dx.doi.org/10.21681/2311-3456-2025-4-55-64.
Gurina L.A., Tomin N.V. Ensuring the functionality of digital protection devices in the event of cyber-attacks on microgrids with distributed energy resources. Issues of cybersecurity. 2025, no. 4(68), pp. 55-64. DOI: http://dx.doi.org/10.21681/2311-3456-2025-4-55-64 (in Russian).

15. Калинкин, А., Голуб, С., Коркин, И., Пятовский, Д. (2022). Обнаружение программ-шифровальщиков на основе данных механизма трассировки событий и применения метода машинного обучения. Безопасность информационных технологий, 29(3), 82-93. DOI: http://dx.doi.org/10.26583/bit.2022.3.07.
Kalinkin, A., Golub, S., Korkin, I., & Pyatovskiy, D. (2022). Ransomware detection based on machine learning models and Event Tracing for Windows. IT Security (Russia), 29(3), 82-93. DOI: http://dx.doi.org/10.26583/bit.2022.3.07 (in Russian).

16. Андрюхин, Е., Ридли, М. (2018). Анализ сетевого трафика для выявления критических состояний систем автоматизации в условиях индустриальных промышленных сетей. Безопасность информационных технологий, 25(3), 79-87. DOI: http://dx.doi.org/10.26583/bit.2018.3.08. EDN: YODVSH.
Andryukhin, E., Ridli, M. (2018). A network traffic analysis for critical automation system state detection in industrial networks. IT Security (Russia), 25(3), 79-87. DOI: http://dx.doi.org/10.26583/bit.2018.3.08. EDN: YODVSH (in Russian).

17. Kim B., Alawami M.A., Kim E., Oh S., Park J., Kim H. A Comparative Study of Time Series Anomaly Detection Models for Industrial Control Systems. Sensors, 2023, 23(3):1310. DOI: http://dx.doi.org/10.3390/s23031310.

18. Fährmann D., Damer N., Kirchbuchner F., Kuijper A. Lightweight Long Short-Term Memory Variational Auto-Encoder for Multivariate Time Series Anomaly Detection in Industrial Control Systems. Sensors, 2022, 22(8):2886. DOI: http://dx.doi.org/10.3390/s22082886.