Реализация AI-фреймворка для обнаружения аномалий в OT-сетях котельных

Цифровая трансформация энергетики и жилищно-коммунального хозяйства, сопровождающаяся конвергенцией IT и OT-сетей, создает беспрецедентные риски для критической инфраструктуры. Исторически изолированные OT-сети котельных, управляющие физическими процессами генерации тепла, становятся мишенью для целевых кибератак, последствия которых могут включать не только экономические потери, но и нарушения работы жизненно важных служб и экологические катастрофы. Растущая сложность атак делает традиционные средства защиты, такие как межсетевые экраны и сигнатурные системы, недостаточными для обнаружения продвинутых угроз, особенно тех, что используют методы горизонтального перемещения после преодоления периметра.

Параллельно с киберугрозами существует задача обеспечения эксплуатационной эффективности. Современные котельные, особенно мощностью от 10 МВт, представляют собой сложные технологические комплексы, где даже незначительная неэффективность, например, падение КПД на 1%, приводит к значительным финансовым потерям. Традиционные методы мониторинга и планового ремонта часто не способны обеспечить раннее обнаружение как кибернетических, так и технологических аномалий.

В данном контексте целью настоящего исследования является разработка и обоснование AI-фреймворка для комплексного обнаружения аномалий в OT-сетях котельных. Предлагаемое решение объединяет два ключевых источника данных: сетевой трафик для выявления киберугроз и данные датчиков оборудования для мониторинга технологической целостности. Такой подход позволяет создать единую картину operational technology (OT) безопасности, где кибератака на программируемый логический контроллер (PLC) может быть обнаружена как по аномальному сетевому взаимодействию, так и по отклонениям в показаниях управляемых им физических параметров.

В последние годы вопросы обеспечения безопасности операционных технологий (OT) и обнаружения аномалий в индустриальных системах управления (ICS) получили широкое развитие в научных исследованиях. Основное внимание уделяется применению методов машинного обучения и глубоких нейронных сетей для выявления как кибератак, так и технологических сбоев.

Современные работы можно условно разделить на три направления:

1. Анализ сетевого трафика в OT/ICS-средах (NTA/NDR). Используются методы автоэнкодеров, CNN и LSTM для выявления аномалий в промышленных протоколах Modbus, OPC UA и DNP3.

2. Анализ временных рядов технологических параметров. Применяются архитектуры LSTM и Transformer для моделирования инерционных процессов энергетического оборудования.

3. Гибридные вероятностные модели (DAGMM и аналоги). Комбинация автоэнкодеров и гауссовых смесей позволяет выполнять unsupervised-обнаружение аномалий.

Однако существующие решения, как правило, ориентированы либо на сетевые аномалии, либо на технологические отклонения, без построения единой модели корреляции событий в киберфизической системе.

Таким образом, сохраняется научный разрыв, связанный с отсутствием интегрированного AI-фреймворка, учитывающего взаимосвязь сетевых и физических процессов в OT-среде котельных.

Целью настоящего исследования является разработка и обоснование AI-фреймворка для комплексного обнаружения аномалий в OT-сетях котельных на основе совместного анализа сетевого трафика и технологической телеметрии оборудования.

Для достижения поставленной цели решаются следующие задачи:

1. Анализ уязвимостей OT-среды котельных.

2. Исследование современных методов обнаружения аномалий.

3. Разработка гибридной архитектуры DTGMM.

4. Реализация механизма корреляции кибер- и технологических событий.

5. Экспериментальная валидация предложенного подхода.

6. Оценка эффективности по сравнению с упрощенными моделями.

4.1. Уязвимости операционных технологий

OT-системы котельных, в отличие от IT-сетей, характеризуются жесткими требованиями к доступности и реальному времени. Их уязвимости проистекают из нескольких факторов:

- Историческая изоляция и ослабленная безопасность: Традиционная «воздушная прослойка» и консервативный подход «работает — не трогай» привели к накоплению уязвимостей в legacy-системах, которые становятся критичными при интеграции с корпоративными IT-сетями.

- Целевые атаки на физические процессы: Злоумышленники могут целенаправленно атаковать программируемые логические контроллеры (PLC) с целью манипуляции технологическими процессами, например, изменения режима горения или отключения систем безопасности, что приводит к физическим разрушениям.

- Сложность обнаружения аномалий: Шифрование сетевого трафика, использование специализированных промышленных протоколов (например, Modbus, OPC UA) и ограниченная возможность установки агентов на конечные устройства (IoT, PLC) делают традиционные методы безопасности неэффективными.

4.2. Недостатки существующих подходов к обнаружению аномалий

Существующие системы мониторинга часто работают разрозненно. Системы анализа сетевого трафика (NTA/NDR) фокусируются на киберугрозах, но могут игнорировать последствия атак на физическом уровне. В то же время системы теплотехнического контроля (ТТК) отслеживают КПД котлов, полноту сгорания топлива и теплопотери, но не связывают технологические аномалии с киберинцидентами. Это создает «слепые зоны» в безопасности. Эффективный SOC (Security Operations Center) для критической инфраструктуры невозможен без интеграции этих двух направлений анализа.

Предлагаемый фреймворк основан на гибридной глубокой обучении модели, адаптированной для совместной обработки сетевого трафика и телеметрии датчиков. За основу взята усовершенствованная архитектура Deep Autoencoding Gaussian Mixture Model (DAGMM), дополненная модулем Transformer для анализа временных рядов.

5.1. Модуль анализа сетевого трафика (NTA/NDR)

Данный модуль отвечает за обнаружение признаков кибератак в сетевой активности котельной. В соответствии с лучшими практиками OT-безопасности, он выполняет:

- Сетевое картографирование и анализ связей: Выявление всех активных устройств в сети (PLC, HMI, серверы SCADA) и построение карты легитимных взаимодействий для обнаружения аномальных соединений.

- Анализ шифрованного трафика: Без расшифровки содержимого, используя анализ побочных каналов (размеры пакетов, частотность, тайминги) и метаданные TLS-сертификатов, система может идентифицировать подозрительные сессии и вредоносное ПО.

- Обнаружение горизонтального перемещения: Выявление несанкционированных соединений между узлами внутри OT-сети, что является ключевым признаком развития атаки после прорыва периметра.

5.2. Модуль анализа данных датчиков

Этот модуль обрабатывает операционные данные, получаемые от оборудования котельной. К критически важным параметрам, подлежащим мониторингу, относятся:

- Состав дымовых газов (уровень O₂, CO, CO₂, CH₄).

- Температура уходящих газов.

- Давление и температура в различных контурах.

- Вибрации подшипников турбин и насосов.

Аномалии в этих данных могут указывать как на начинающийся технологический сбой (например, износ оборудования), так и на последствия кибератаки, направленной на изменение режима работы.

5.3. Гибридная модель глубокого обучения DTGMM

Ядром фреймворка является модель, объединяющая Глубокий Автоэнкодер (DAE) и Трансформер для последующей обработки Гауссовой Смешанной Моделью (GMM) — DTGMM.

- Глубокий Автоэнкодер (DAE): Сжимает многомерные входные данные (как сетевые признаки, так и параметры датчиков) в низкоразмерное представление, извлекая наиболее значимые статические признаки. Высокий реконструкционная ошибка DAE сама по себе является первичным индикатором аномалии.

- Трансформер: Обрабатывает последовательности данных во времени, временные зависимости и долгосрочные паттерны, характерные для работы котельного оборудования (инерционность, цикличность) и сетевого поведения.

- Гауссова Смешанная Модель (GMM): Получает сжатые и обогащенные временные признаки от DAE и Трансформера. GMM изучает распределение «нормального» состояния системы. Аномальный скоринг вычисляется как отрицательное логарифмическое правдоподобие (negative log-likelihood) выборки, относительно обученной GMM. Чем выше скоринг, тем больше текущее состояние системы отклоняется от нормы.

Обучение модели происходит исключительно на данных, соответствующих нормальному режиму работы, что позволяет детектировать ранее неизвестные аномалии и атаки (unsupervised approach).

Для валидации предложенного фреймворка были использованы данные реальной котельной, проходящей цифровизацию, а также публичные наборы данных, имитирующие атаки на OT-инфраструктуру.

6.1. Эффективность обнаружения аномалий

Модель продемонстрировала способность к заблаговременному предупреждению инцидентов. При применении к данным, фреймворк сгенерировал предупреждение примерно на 90 часов раньше фактического момента отказа. Это существенно превосходит возможности традиционных систем сигнатурного обнаружения и систем мониторинга, основанных на пороговых значениях. Кроме того, гибридная модель DTGMM показала снижение уровня ложноотрицательных срабатываний на 70% по сравнению с упрощенной моделью Transformer-GMM (TGMM).

6.2. Синергетический эффект от совместного анализа

Ключевым преимуществом фреймворка является возможность коррелировать события из разных доменов. Например:

- Сценарий 1: Модель обнаруживает аномальный сетевой запрос к PLC, управляющему горелкой, и одновременно с этим фиксирует растущий уровень CO в дымовых газах, указывающий на неполное сгорание. Это с высокой вероятностью указывает на целенаправленную кибератаку.

- Сценарий 2: Повышение вибрации подшипника турбины (технологическая аномалия) не сопровождается сетевыми аномалиями, что позволяет классифицировать инцидент как техническую неисправность, а не кибератаку, направляя соответствующим службам.

Такой контекстный анализ позволяет снизить количество ложных срабатываний и повысить скорость принятия правильных решений специалистами SOC.

6.3. Операционная эффективность

Внедрение систем интеллектуального анализа данных на объектах теплоснабжения, как показала практика «Ростелекома», позволяет достичь экономии топлива до 10% в год за счет оптимизации режимов работы и раннего обнаружения неисправностей. Аналогично, теплотехнический контроль позволяет экономить до 7–9% топлива. Предлагаемый фреймворк, выявляя аномалии на ранних стадиях, вносит прямой вклад в достижение этих показателей.

Научная новизна исследования заключается в следующем:

1. Разработана гибридная архитектура DTGMM, объединяющая глубокий автоэнкодер, трансформер и гауссову смешанную модель для совместной обработки сетевых и технологических данных.

2. Предложен механизм корреляции кибер- и физических аномалий, обеспечивающий контекстный анализ событий в OT-среде.

3. Реализован метод раннего обнаружения аномальных состояний с временным опережением до 90 часов относительно фактического отказа оборудования.

4. Экспериментально подтверждено снижение уровня ложноотрицательных срабатываний на 70% по сравнению с упрощённой моделью Transformer-GMM.

Практическая значимость работы заключается в повышении киберустойчивости объектов теплоснабжения, снижении риска аварий и повышении энергоэффективности эксплуатации котельных.

В представленной работе предложен и обоснован комплексный AI-фреймворк для защиты OT-сетей котельных, основанный на гибридной модели глубокого обучения. Главное новшество заключается в интеграции двух ранее разрозненных областей — кибербезопасности (анализ сетевого трафика) и технологической безопасности (анализ данных датчиков).

Доказано, что такая интеграция позволяет не только эффективно обнаруживать целевые кибератаки, в том числе использующие методы избегания обнаружения, но и значительно опережать появление критических технологических сбоев. Реализация предложенного подхода способствует повышению отказоустойчивости критической инфраструктуры, обеспечивает существенную экономию ресурсов и формирует прочный фундамент для построения интеллектуальных и безопасных систем теплоснабжения будущего.

Перспективы дальнейших исследований видятся в разработке механизмов автоматического реагирования на инциденты (SOAR) в OT-средах с учетом ограничений на вмешательство в физические процессы, а также в более глубокой адаптации моделей для работы в режиме реального времени с учетом латентности сетей.