Kaspersky Machine Learning
for Anomaly Detection

Сбои в работе операционных технологий (ОТ) современных промышленных предприятий и объектов инфраструктуры могут повлечь за собой серьезные последствия

Например, на химическом производстве сбой в работе ОТ может привести к большим финансовым потерям из-за снижения качества продукции или даже к повреждению оборудования и остановке технологического процесса. К основным угрозам для ОТ можно отнести непреднамеренные ошибки или злонамеренные действия в операционном управлении, износ и отказ оборудования и агрегатов, физический вывод их из строя и хакерские атаки на системы управления.

Своевременное обнаружение сбоев в работе операционных технологий — очень важная, но при этом очень сложная задача

Обнаруживать отклонения в технологических процессах становится еще сложнее, если они спровоцированы диверсией или скрытой хакерской атакой. Традиционная защита технологических процессов от сбоев и вмешательств в основном строится на основе экспертных систем с наборами правил, контролирующих выход некоторого подмножества показателей технологического процесса за пределы допустимого диапазона. Количество правил в такой экспертной системе может быть очень большим, особенно если учесть, что промышленный объект может функционировать в разных режимах. Большое количество правил сложно поддерживать в актуальном состоянии, поэтому на практике в правила часто закладываются большие допуски. Все это ведет к тому, что сбои в технологических процессах обнаруживаются на поздних этапах их развития.

Мы разработали, запатентовали и продолжаем развивать технологию обнаружения аномалий при помощи машинного обучения (MLAD)

Под аномалией мы понимаем существенное отклонение показателей технологического процесса от их ожидаемых значений.

Наша технология работает с телеметрией систем управления технологическими процессами и не требует установки дополнительных датчиков.

Телеметрия технологического процесса — это десятки тысяч взаимосвязанных сигналов от датчиков и команд управления. Связи между сигналами закладываются при проектировании логики контроля АСУ ТП, обуславливаются физическими особенностями техпроцесса, условиями эксплуатации, параметрами подаваемой на вход продукции и другими факторами. Таких связей на большом промышленном объекте огромное количество. Даже опытный технолог может не знать некоторые из них. Изменения в одних сигналах неизбежно повлекут за собой изменение других. Эта особенность телеметрии техпроцессов является ключевой для успеха нашей технологии.

Строго говоря, наша технология позволяет находить аномалии в любых данных, обладающих следующими характеристиками:

• данные должны быть многомерными временными рядами
• временной ряд должен содержать значения нескольких (от 10 до 10 000) параметров
• периодичность измерений должна быть в пределах от 100 миллисекунд до 24 часов
• значения различных параметров должны быть взаимосвязаны (физическими законами, логикой управления, логикой процессов и т.д.)
• среди параметров должны быть такие, которые определяют суть процесса, а также такие, которые косвенно на них влияют

Наша технология позволяет построить модель работы технологического объекта (ML-модель)

ML-модель строится на основе данных о технологическом процессе и обучается на исторических данных работы предприятия. После обучения ML-модель может прогнозировать значения технологических параметров в будущем на основе их текущих значений. Отклонения фактических значений параметров от прогнозируемых суммируются, и это суммарное отклонение всех технологических параметров быстро растет.

• За основу прогноза берется совокупность уже поступивших значений технологических параметров за определенное время — окно входных данных
• На основе окна входных данных нейронная сеть из состава ML-модели прогнозирует, какие значения должны принять технологические параметры на некотором определенном отрезке времени (окно прогноза) в определенном недалеком будущем (горизонт прогноза)
• По разнице между прогнозируемыми и реально наблюдаемыми значениями технологических параметров Kaspersky MLAD высчитывает ошибки прогноза для каждого технологического параметра
• По совокупности ошибок прогноза Anomaly Detector высчитывает среднеквадратическую ошибку (MSE). Каждому технологическому параметру сопоставлен вес, с учетом которого рассчитывается ошибка. Например, для АСУ ТП химического производства показания датчика давления внутри химического реактора важнее, чем показания датчика атмосферного давления в цеху, поэтому отклонение от нормы показаний датчика давления в реакторе будет сильнее влиять на общую ошибку
• Аномалия регистрируется в том случае, если среднеквадратическая ошибка превышает порог, заданный на этапе подготовки ML-модели

Больше информации о наших исследованиях доступно в наших статьях и докладах:

• D. Shalyga, P. Filonov and A. Lavrentyev, «Anomaly Detection for Water Treatment System based on Neural Network with Automatic Architecture Optimization», arXiv.org, 2018. [Online]. Available: https://arxiv.org/abs/1807.07282. [Accessed: 28- Feb- 2020].
• P. Filonov, F. Kitashov and A. Lavrentyev, «RNN-based Early Cyber-Attack Detection for the Tennessee Eastman Process», arXiv.org, 2017. [Online]. Available: https://arxiv.org/abs/1709.02232. [Accessed: 28- Feb- 2020].
• P. Filonov, A. Lavrentyev and A. Vorontsov, «Multivariate Industrial Time Series with Cyber-Attack Simulation: Fault Detection Using an LSTM-based Predictive Data Model», arXiv.org, 2016. [Online]. Available: http://arxiv.org/abs/1612.06676. [Accessed: 28- Feb- 2020].