Конкурсы
Экспертиза
Государственные премии
Классификатор
Поиск проектов
Вопросы и ответы
Как стать экспертом РНФ
О Фонде
Общие сведения
Фонд сегодня
Органы управления
Попечительский совет
Генеральный директор
Правление
Экспертные советы
Международное сотрудничество
Хозяйственная деятельность
Закупки
Инвестиции
Аудит
Результаты за 2025 год
Десятилетие Фонда
Эмблема
Новости
Новости Фонда
СМИ о Фонде
Интервью
Пресс-релизы
Дайджесты
Всероссийский лекторий РНФ
Популяризация науки
Расскажите о своем исследовании
Документы
Контакты
Для СМИ
ИАС
ENG

КАРТОЧКА ПРОЕКТА ФУНДАМЕНТАЛЬНЫХ И ПОИСКОВЫХ НАУЧНЫХ ИССЛЕДОВАНИЙ,
ПОДДЕРЖАННОГО РОССИЙСКИМ НАУЧНЫМ ФОНДОМ

Информация подготовлена на основании данных из Информационно-аналитической системы РНФ, содержательная часть представлена в авторской редакции. Все права принадлежат авторам, использование или перепечатка материалов допустима только с предварительного согласия авторов.

 

ОБЩИЕ СВЕДЕНИЯ

Номер проекта 23-11-20024

НазваниеОбеспечение информационной безопасности и киберустойчивости систем комплексных очистных сооружений с использованием методов объяснимого искусственного интеллекта

Руководитель Саенко Игорь Борисович, Доктор технических наук

Организация финансирования, регион Федеральное государственное бюджетное учреждение науки "Санкт-Петербургский Федеральный исследовательский центр Российской академии наук" , г Санкт-Петербург

Конкурс №77 - Конкурс 2023 года «Проведение фундаментальных научных исследований и поисковых научных исследований отдельными научными группами» (региональный конкурс)

Область знания, основной код классификатора 01 - Математика, информатика и науки о системах; 01-216 - Математические модели и методы защиты, преобразования и передачи информации

Ключевые слова информационная безопасность, киберустойчивость, киберфизические системы, системы комплексных очистных сооружений, машинное обучение, искусственный интеллект, объяснимый искусственный интеллект, набор данных, анализ данных, экологический мониторинг, риски кибербезопасности, прогнозирование

Код ГРНТИ81.96.00

 

ИНФОРМАЦИЯ ИЗ ЗАЯВКИ

Аннотация
Объединение информационных и промышленных технологий расширяет поверхность кибератак для объектов критической инфраструктуры. Реализация таких атак может привести к непоправимым последствиям для здоровья населения и экономики Санкт-Петербурга, особенно это актуально для промышленных систем очистки питьевой воды. В условиях повышенной активности киберпреступников, а также угроз со стороны кибервойск, задача обеспечения защищенности таких систем как никогда актуальна. Целью проекта является повышение защищенности систем критической инфраструктуры города Санкт-Петербурга, а именно, систем очистки питьевой воды. Для ее достижения планируется объединить опыт научных исследований в области кибербезопасности, экологического мониторинга и анализа данных и решить научную проблему анализа и повышения защищенности систем очистки воды. Новизна предлагаемого исследования обеспечивается: Формированием уникального, приближенного к реальным данным, набора данных, описывающего нормальное и аномальное (в результате реализации успешных кибератак) функционирование процессов, связанных с очисткой воды, за счет использования стендов, аналогичных используемым в реальности промышленным системам очистки воды, а также реализации кибератак с целью сбора и/или искажения данных с сенсоров мониторинга процессов очистки. Хотя такие наборы существуют, они представлены зарубежными коллегами и содержат ограниченный набор данных, характеризующих нормальное поведение, а также данных мониторинга, собранных при проведении ограниченного набора атак. Разработка методики сбора данных позволит при необходимости его расширять, а также в динамике верифицировать результаты анализа защищенности и внедрения мер защиты. Разработкой новых моделей и методик выявления аномалий и кибератак, с использованием методов машинного обучения и объяснимого машинного обучения. Наличие собственного стенда позволит верифицировать результаты применения методов объяснимого машинного обучения. Разработкой новых моделей и методик атрибуции атакующих для выявления исполнителей кибератаки. Разработкой новых моделей и методик анализа потерь и оценки рисков кибербезопасности на основе объединения методов, применяемых в кибербезопасности и в экологическом мониторинге. Разработкой новых моделей и методик проактивного и реактивного реагирования на выявленные кибератаки. Для решения выявленной научной проблемы планируется решить задачи: разработка методики сбора данных системы комплексной очистки питьевой воды, а также сетевого трафика инфокоммуникационной инфраструктуры в условиях выполнения различных сценариев кибератак; разработка модели атак, актуальной для используемых в г. Санкт-Петербурге систем водоочистки; разработка сценариев атак и их проведение; формирование набора данных мониторинга поведения процессов, связанных с очисткой воды; разработка методик выявления аномалий и кибератак, с использованием методов объяснимого машинного обучения, позволяющих выявлять возможный источник аномалии, объяснить сделанные решения, а также выявлять новые виды атак; разработка методик атрибуции атакующих для выявления исполнителей/источников атаки; разработка методик анализа рисков кибербезопасности для систем очистки воды, учитывающих ущерб для экологии в случае успешных кибератак; разработка методик проактивного и реактивного реагирования на выявленные атаки для систем водоочистки. В такой постановке задача ставится впервые. Решение поставленной задачи позволит повысить защищенность комплексных очистных сооружений за счет применения методов объяснимого анализа данных, своевременного выявления и прогнозирования кибератак и аномалий и их последствий для экологии, выявления их причин и применения методов проактивного и реактивного реагирования. Внедрение разрабатываемой системы позволит сократить риски успешных кибератак на системы очистки воды и негативных последствий их реализации для жизни населения Санкт-Петербурга, что соответствует направлению из Стратегии НТР РФ Н1.

 

ОТЧЁТНЫЕ МАТЕРИАЛЫ

 

Публикации

1. Новикова Е.С., Федорченко Е.В., Саенко И.Б. Methodology for Dataset Generation for Research in Security of Industrial Water Treatment Facilities 2023 International Russian Automation Conference (RusAutoCon), International Russian Automation Conference (RusAutoCon), Sochi, Russian Federation, 2023, pp. 953-958 (год публикации - 2023)
10.1109/RusAutoCon58002.2023.10272930

2. Котенко И.В., Федорченко Е.В., Новикова Е.С., Саенко И.Б., Данилов А.С. Методология сбора данных для анализа безопасности промышленных киберфизических систем Вопросы кибербезопасности, №5(57), с. 69-79 (год публикации - 2023)
10.21681/2311-3456-2023-5-69-79

3. Саенко И.Б.,Лаута О.С.,Васильев Н.А., Садовников Е.В. Подход к эффективной обработке информации с датчиков системы умного дома при помощи методов машинного обучения Всероссийская научная конференция по проблемам управления в технических системах (ПУТС-2023), Т. 1, С. 229-233 (год публикации - 2023)

4. Федорченко Е.В., Новикова Е.С., Саенко И.Б. Построение модели атак для промышленных очистных сооружений Всероссийская научная конференция по проблемам управления в технических системах (ПУТС-2023), Т.1, С.253-257 (год публикации - 2023)

5. Десницкий В.А. Simulation Modeling of a Flotation Water Treatment System for Attack Evaluation 2023 International Ural Conference on Electrical Power Engineering (UralCon), Magnitogorsk, Russian Federation, pp. 493-498 (год публикации - 2023)
10.1109/UralCon59258.2023.10291158

6. Федорченко Е.В., Новикова Е.С., Саенко И.Б. Attack Model for the Industrial Water Treatment Systems 2023 V International Conference on Control in Technical Systems (CTS), Saint Petersburg, Russian Federation, pp. 209-212 (год публикации - 2023)
10.1109/CTS59431.2023.10288930

7. Саенко И.Б., Лаута О.С., Васильев Н.А., Садовников В.Е. An approach to effective processing of information from smart home sensors using machine learning methods 2023 V International Conference on Control in Technical Systems (CTS), Saint Petersburg, Russian Federation, pp. 189-192 (год публикации - 2023)
10.1109/CTS59431.2023.10288887

8. Федорченко Е.В., Новикова Е.С., Данилов А.С. Разработка киберфизического стенда для анализа защищенности промышленных систем очистки воды Материалы конференции "ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ РЕГИОНОВ РОССИИ (ИБРР-2023)", СПОИСУ. – СПб., 2023. – С.108-109 (год публикации - 2023)

9. Саенко И.Б., Бортникер П.В., Лаута О.С., Жданова И.М., Васильев Н.А. An Approach to Early Computer Network Intrusion Detection Based on the Wavelet Transform Energy Spectra Analysis Proceedings of the Seventh International Scientific Conference “Intelligent Information Technologies for Industry” (IITI’23). IITI 2023. Lecture Notes in Networks and Systems, vol 777. Springer, Cham., pp. 71–80 (год публикации - 2023)
10.1007/978-3-031-43792-2_7

Аннотация результатов, полученных в 2024 году
За отчетный период разработан комплекс моделей и методик обнаружения атак и аномалий, полученных с использованием методов машинного обучения и объяснимого машинного обучения, для выявления потенциального источника аномалии, выявления новых типов атак и учета различных конфигураций датчиков интегрированных систем очистных сооружений. Кроме того, была разработана методология атрибуции злоумышленников для выявления виновников/источников кибератак. Отличительной особенностью разработанного комплекса методик является преобразования вектора входных данных в двумерную матрицу, которую можно интерпретировать как изображение. Последнее позволило применить сети свёрточные нейронные сети для извлечения зависимостей между значениями анализируемых признаков, а также предложить новые анализируемые признаки, вычисляемые на основе анализа сформированных изображений. Таким образом, получены следующие научные результаты. 1. Модели и методика для обнаружения аномалий и атак на киберфизические системы, разработанных с использованием методов машинного обучения и объяснимого машинного обучения, отличительной особенностью которых является преобразование вектора входных данных в двумерную матрицу на основе алгоритма прямой разметки пикселей и алгоритма на основе нелинейного преобразования DeepInsight, зависящего от сходства атрибутов. Для обнаружения аномалий использовалась сеть CNN, состоящая из двух сверточных слоев и двух полносвязных слоев. Эксперименты показали, что предложенная модель обладает высокой эффективностью и низкой вычислительной сложностью и может использоваться в системах с ограниченными вычислительными ресурсами. Для обнаружения аномалий исследовались методы SHAP, LIME, GradCam и Guided GradCam. Эффективность выбранных методов генерации объяснений оценивалась с использованием адаптированной метрики AHR, которая отражает долю релевантных объяснений. По результатам экспериментов был выбран метод генерации объяснений SHAP. 2. Методика обнаружения атак и аномалий, обладающая способностью к выявлению новых видов атак, которая является развитием методики обнаружения атак и аномалий, позволяющей идентифицировать возможный источник аномалии и отличается от выше представленной методики типом входных данных и алгоритмами предварительной обработки входных данных и формирования новых анализируемых признаков. В частности, впервые предложено использовать дополнительные признаки, вычисляемые из сформированных изображений, в целях повышения эффективности обнаружения вредоносной активности в сети. Разработана архитектура нейронной сети, на вход которой подаются многомодальные признаки, а именно изображение (двумерная матрица) и признаки Харалика. Проведенные эксперименты показали, что обученная на необработанных данных сетевых потоков сеть CNN обладает более высокой обобщающей способностью за счет анализа содержимого сетевых потоков, а не только их статистических характеристик. В связи с тем, что исследуемые входные данные для анализа формируются путем преобразования двоичного вектора в числовую матрицу, данную методику можно считать независимой от используемого сетевого протокола и применять для анализа сетевого трафика, передаваемого любым сетевым протоколом на базе TCP/IP, в частности, например, промышленным протоколом Modbus TCP. 3. Методика обнаружения атак и аномалий, учитывающая различные конфигурации сенсоров систем комплексных очистных сооружений, характеризующаяся построением рекуррентных графиков изменения состояния системы с течением времени. Применение рекуррентных графиков позволяет анализировать эволюцию и рекурсию временных рядов путем изучения шаблонов и текстурных характеристик сгенерированной матрицы. Разработана архитектура нейронной сети на основе CNN+AE с рекуррентными графами в качестве входных данных. Эта нейронная сеть состоит из сверточного компонента, представленного двумя сверточными слоями, и автоэнкодера. Обнаружение аномалий выполняется путем оценки ошибки реконструкции, рассчитываемой как стандартное отклонение выходного вектора декодера. Для оценки чувствительности данной модели к используемой конфигурации датчиков в киберфизической системе был разработан экспериментальный сценарий, имитирующий ситуацию планового исключения датчиков из анализа, например, на время ремонта. Проведенные эксперименты позволили сделать вывод, что разработанная методология позволяет обучать модели обнаружения аномалий для временных рядов, способные извлекать сложные временные закономерности, не требуя указания конкретных параметров для конкретного набора данных, не делая статистических предположений об исходных данных и не переобучая модель при изменении состава атрибутов. 4. Модели и методики атрибуции злоумышленника, позволяющая установить связь между высокоуровневыми атрибутами злоумышленника, такими как приемы атак, тактики, и низкоуровневыми атрибутами, сформированными на основе наблюдаемых событий безопасности. Модель состоит из следующих компонентов: Атакующий = {I, ASG, P, Mapping}, где P — множество наблюдаемых событий безопасности; ASG — граф атак, который определяется в зависимости от типа атакуемого системного объекта Cm; Mapping: P → ASG — функция, которая выполняет отображение событий безопасности и инцидентов в граф атак ASG, используемый для построения профиля злоумышленника. В качестве описаний злоумышленника используются тактики, приемы и процедуры матрицы MITRE ATT&CK. В методику атрибуции злоумышленника включена методика отображения последовательности событий в объект матрицы MITRE ATT&CK. Она позволяет осуществлять «семантический подъем» событий безопасности и переход от низкоуровневых событий к высокоуровневому описанию профиля поведения злоумышленника. На данном этапе также был проведен ряд экспериментов по оценке возможности дифференциации поведения злоумышленников на уровне анализа низкоуровневых атрибутов, таких как статистические параметры сетевых потоков и события системных утилит на примере команд интерпретатора Bash. Результаты показали, что данные параметры позволяют дифференцировать поведение злоумышленников, их можно использовать для оценки уровня мастерства злоумышленников, но необходимо учитывать их изменение в динамике.

 

Публикации

1. Новикова Е., Федорченко Е., Данилов А., Саенко И. Dataset Generation Methodology: Towards Application of Machine Learning in Industrial Water Treatment Security SN Computer Science , Vol. 5, No. 4. – P. 373 (год публикации - 2024)
10.1007/s42979-024-02704-9

2. Авраменко В., Саенко И., Котенко И. Forecasting Information Security in Information and Communication Systems Based on Recurrent Neural Networks 2024 International Russian Automation Conference (RusAutoCon), Sochi, Russian Federation, pp. 313-318 (год публикации - 2024)
10.1109/RusAutoCon61949.2024.10694599

3. Новикова Е.С., Кузнецова Е.О., Голубев С.А. Выявление сетевых вторжений в промышленных киберфизических системах на основе сверточных нейронных сетей Информационно-управляющие системы , Номер. 5. С. 57-67 (год публикации - 2024)
10.31799/1684-8853-2024-5-57-67

4. Федорченко Е., Новикова Е., Данилов А., Саенко И. Towards the Testbed and Dataset for Analysis of Water Treatment Systems Security Lecture Notes in Networks and Systems. Springer, Singapore, vol 821. Pp. 475–484 (год публикации - 2024)
10.1007/978-981-99-7814-4_37

5. Новикова Е.С., Федорченко Е.В., Бухтияров М.А., Саенко И.Б. Выявление аномалий в технологическом процессе очистки сточных вод для оценки рисков киберустойчивости Записки Горного института , Т. 267. С. 488-500 (год публикации - 2024)

6. Синещук Ю., Саенко И. Technosphere and Information Security in the Concept of the National Security System International multidisciplinary conference on industrial engineering and modern technologies (FarEastCon 2024) (год публикации - 2024)

7. Котенко И., Саенко И., Садовников В. Countering Adversarial Zeroth Order Optimization Attacks Based on Neural-Cleanse, Gaussian and Poisson Noise Adding 2024 International Conference on Industrial Engineering, Applications and Manufacturing (ICIEAM), pp. 1135-1140 (год публикации - 2024)
10.1109/ICIEAM60818.2024.10554064

8. Новикова Е., Бухтияров М., Котенко И., Федорченко Е., Саенко И. Towards Application of the Tabular Data Transformation to Images in the Intrusion Detection Tasks Using Deep Learning Techniques Intelligent Distributed Computing XVI. IDC 2023. Studies in Computational Intelligence. Springer, Cham, vol 1138. pp 85–100 (год публикации - 2024)
10.1007/978-3-031-60023-4_12

Аннотация результатов, полученных в 2025 году
В ходе выполнения проекта были получены следующие конкретные результаты: 1. Разработана методика анализа рисков кибербезопасности, учитывающая риски экологической безопасности и уязвимости системы очистки сточных вод и ПО. Итогом является интегральный показатель, основанный на оценках критичности компонентов системы и программного обеспечения, а также оценке экологического ущерба. Для формализации предметной области создана онтология SecWat-O, связывающая компоненты системы водоочистных сооружений, базы уязвимостей (CVE), атакующие воздействия, механизмы их обнаружения и защиты. Моделирование атак основано на базе MITRE ATT&CK. Последствия атак связаны с ресурсами системы, при этом учитывается косвенное влияние через взаимосвязи компонентов. Метод оценки риска формализован цепочкой: атаки и критичность → уязвимость → последствия → риск с указанием мер защиты. Анализ уязвимостей проводится двумя способами: через базы CVE/NVD, а также на основе генетического представления программы для программного обеспечения, для которых исходный код недоступен. Расчет максимального убытка проводится по формуле F=BЭ+УТ+УП, где ВЭ — суммарный экологический вред, УТ — ущерб третьим лицам, УП — убытки простоя системы; а риск рассчитывается как R = P×Q где P — вероятность реализации угрозы по шкале CVSS, а Q — серьёзность последствий. 2. Разработана методика проактивного и реактивного реагирования на кибератаки, основанная на модели марковской игры с двумя игроками и нулевым выигрышем. Она учитывает стратегическое поведение атакующего, оптимизируя взаимодействие между защитой и атакой в условиях неопределённости. Формальная модель задаётся множеством (S, AA, AD, T, R), где S — состояния системы из графа атак, извлекаемого из онтологии SecWat-O, связывающей ресурсы и физические связи; AA и AD — действия атакующего и защитника, соответственно; переходы T=(s,Aa,Ad,s′) зависят от их действий. Вознаграждение R для атакующего учитывает влияние атаки (оцениваемое CVSS и экологическим ущербом) и стоимость защитных мер. При отсутствии активности вознаграждения нулевые; защитник несёт затраты при бездействии атакующего; при успешной защите вознаграждение — разница между предотвращённым ущербом и затратами на защиту; при неэффективной — сумма ущерба и затрат. Игра с нулевой суммой, вознаграждение защитника — отрицательное вознаграждение атакующего. Для оценки стратегий использованы критерии Байеса (при известных вероятностях), Лапласа (при отсутствии информации), и Гурвица (субъективная оценка риска). Подход проверен на выборе контрмер против DDOS, VPN и атак на телекоммуникационное оборудование. Эксперименты с матрицами потерь подтвердили эффективность моделей теории игр для обеспечения уровня информационной безопасности. 3. Архитектура и прототипы системы анализа и повышения защищённости водоочистных систем включают компоненты для выявления аномалий, атак, оценки рисков и выбора контрмер. Использована технология контейнеризации для стабильности, модульности и масштабируемости. Система — кластер микросервисов с API (FastAPI) для администрирования и оркестрации (Kubernetes). Образы создаются с помощью Kaniko и размещаются в реестре. Хранилище — база данных PostgreSQL с метаданными, состоянием сборок, конфигурацией и телеметрией. Конфигурация описана JSON-манифестом, формирующим граф обработки данных. Контейнеры взаимодействуют через брокер сообщений Apache Kafka, обеспечивая передачу данных для моделей и методик обнаружения атак и аномалий, а также формирование объяснений и атрибуцию атакующих. Эти результаты комплексно обеспечивают формальные и прикладные решения по оценке и управлению рисками кибербезопасности систем очистки воды с учётом экологии и динамики угроз.

 

Публикации

1. Израилов К.Е., Котенко И.В. Investigating the Proximity Metric of Program Assembler Code for Genetic Reverse Engineering IEEE, 2025 33rd Euromicro International Conference on Parallel, Distributed, and Network-Based Processing (PDP), pp. 600-607 (год публикации - 2025)
10.1109/PDP66500.2025.00090

2. Котенко И.В., Саенко И.Б., Лаута О.С., Васильев Н.А., Садовников В.Е. A Noise-Based Approach Augmented with Neural Cleanse and JPEG Compression to Counter Adversarial Attacks on Image Classification Systems IEEE, 2025 33rd Euromicro International Conference on Parallel, Distributed, and Network-Based Processing (PDP), pp. 576-583 (год публикации - 2025)
10.1109/PDP66500.2025.00087

3. Митяков Е.С., Саенко И.Б., Котенко И.В. The Model of Information Security Threats to Critical Information Infrastructure Objects IEEE, 2025 International Ural Conference on Electrical Power Engineering (UralCon), pp. 206-211 (год публикации - 2025)
10.1109/UralCon67204.2025.11206661

4. Саенко И.Б., Синещук Ю.И., Саратов Д.Н. Information Security Management by Optimizing the Security Toolkit with Game Theory IEEE, 2025 International Russian Smart Industry Conference (SmartIndustryCon), pp. 258-262 (год публикации - 2025)
10.1109/SmartIndustryCon65166.2025.10986002

5. Иванцов Д.С., Саенко И.Б. A Genetic Approach to Ensuring the Reliability and Operational Efficiency of Distributed Data Storage in the Digital Industry IEEE, 2025 International Russian Smart Industry Conference (SmartIndustryCon), pp. 354-358 (год публикации - 2025)
10.1109/SmartIndustryCon65166.2025.10986002

6. Авраменко В.С., Котенко И.В., Козленко А.В., Саенко И.Б. A Graph-Based Approach to Quantitative Assessment Information Security in Distributed Computing Systems IEEE, 2025 IEEE Ural-Siberian Conference on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT), pp. 245-248 (год публикации - 2025)
10.1109/USBEREIT65494.2025.11054113

7. Котенко И.В., Саенко И.Б., Садовников В.Е. Combining Methods to Protect Image Recognition Systems from Adversarial FGSM Attacks Springer (год публикации - 2025)

8. Котенко И.В., Саенко И.Б., Бортникер П.В. Detecting Attacks against Industrial Internet of Things by Integrating Wavelet and Statistical Analysis IEEE, 2025 International Conference on Industrial Engineering, Applications and Manufacturing (ICIEAM), pp. 896-901 (год публикации - 2025)
10.1109/ICIEAM65163.2025.11028572

9. Новикова Е.С., Бухтияров М.А., Котенко И.В., Саенко И.Б., Федорченко Е.В. Подход к объяснимому обнаружению аномалий в потоке данных от технологических процессов АО «Научно-производственное объединение «Эшелон», Подход к объяснимому обнаружению аномалий в потоке данных от технологических процессов // Вопросы кибербезопасности, 2025, №4, С. 142-151 (год публикации - 2025)
10.21681/2311-3456-2025-4-142-151

Возможность практического использования результатов
Разработанные в рамках работы над проектом методики могут быть использованы для обеспечения кибербезопасности систем комплексной очистки питьевой воды Санкт-Петербурга и, как следствие, повышению надежности данной системы. Разработанные методики сбора данных системы комплексной очистки питьевой воды, а также сетевого трафика инфокоммуникационной инфраструктуры позволяют проводить сбор актуальных данных, которые необходимы для обнаружения кибератак и аномалий. Методики обнаружения атак и аномалий позволяют выявлять возможный источник аномалии, а также обладают способностью к выявлению новых видов атак, что положительно сказывается на безопасности систем очистки питьевой воды в условиях постоянного роста вариаций кибератак. Разработанная онтология предметной области очистки воды позволяет проводить атрибуцию атакующих для выявления исполнителей/источников кибератаки. Кроме того, связь онтологии с известными базами уязвимостей и угроз позволяет своевременно определить наиболее незащищенные место в системе и подобрать контрмеры для их защиты, что позволяет повысить общий уровень безопасности комплексных очистных сооружений