Корреляция событий безопасности в промышленных киберфизических системах на основе методов глубокого обучения тема диссертации и автореферата по ВАК РФ 00.00.00, кандидат наук Левшун Диана Альбертовна

ВВЕДЕНИЕ

Актуальность темы диссертации. Промышленные (индустриальные) киберфизические системы (ПКФС) представляют собой интеграцию вычислительных и физических процессов в промышленной среде. Эти системы объединяют в себе такие технологии, как Интернет вещей (англ. Internet of Things, IoT), облачные вычисления, аналитику данных, искусственный интеллект, с физическими процессами, такими как производственное оборудование, роботы, автоматизированные системы управления и датчики. Примеры применения ПКФС включают умные заводы (англ. Smart Factory), автоматизированные производственные линии, системы мониторинга и управления энергопотреблением, а также роботизированные системы сборки.

Любое происшествие или изменение в среде или поведении промышленной системы и отдельных ее устройств, которые можно обнаружить и отслеживать, является системным событием. Примерами являются показания датчиков, действия пользователя, системные ошибки или другие типы данных. Если такое событие может быть связано с нарушением безопасности системы или ее элементов, например, кибератакой, несанкционированным доступом или утечкой данных, то оно является событием безопасности.

В современном мире чем сложнее становятся промышленные киберфизические системы, тем сложнее становятся как способы реализации кибератак на подобные системы, так и способы защиты. В свою очередь инструменты безопасности, такие как системы обнаружения вторжений (СОВ), антивирусы, сканеры уязвимостей и другие, должны оперативно обрабатывать входящий поток информации, отслеживать состояние безопасности целевой системы или сети и предупреждать о наличии потенциальных угроз. При этом они генерируют большое количество событий безопасности, которые, в свою очередь, анализируются системами управления информацией и событиями безопасности (Security Information and Event Management, SIEM), что облегчает изучение характерных особенностей событий.

Главной целью анализа событий при обнаружении угроз безопасности является определение причинно-следственных взаимосвязей между событиями, что в свою очередь позволяет как обнаружить текущую проблему безопасности, так и спрогнозировать возможные нарушения. Основополагающую роль при этом играет корреляция событий безопасности. В широком смысле под этим процессом понимается определение причинно-следственных взаимосвязей между событиями безопасности, которое позволяет как идентифицировать текущее состояние безопасности, так и прогнозировать вероятностные состояния.

Если злоумышленник использует поэтапный подход в своих попытках скомпрометировать систему, то речь идет о многошаговой атаке: при этом атакующий получает информацию о целевой системе на каждом этапе, чтобы подготовиться к следующему. Анализ последовательностей событий, в свою очередь, способствует лучшему пониманию развития

атаки, определению ее источника и цели и выявлению наиболее значимых событий. Также корреляция событий безопасности и обнаружение аномалий тесно связаны, поскольку оба включают анализ данных для выявления закономерностей и тенденций.

Помимо необходимости обработки возрастающего объема данных, для аналитиков безопасности проблемой остается сопоставление событий из различных источников. Методы искусственного интеллекта (ИИ), в целом, и глубокого обучения, в частности, являются одними из наиболее перспективных методов для анализа большого объема событий безопасности.

Таким образом, актуальной научно-практической задачей является корреляция событий безопасности для промышленных киберфизических систем на основе методов глубокого обучения. Мониторинг безопасности предполагает постоянное наблюдение и анализ событий для выявления угроз и предсказания возможных атакующих действий, что определяет важность и значимость решаемой научной задачи. При этом наиболее перспективным направлением является использование интеллектуального анализа данных, который позволяет автоматизировано отслеживать большое количество событий безопасности и определять потенциальную угрозу.

Степень разработанности темы. Вопросы информационной безопасности и методы выявления атак рассматривались в работах многих исследователей, включая таких, как Р.М. Юсупов, В.Ю. Осипов, В.В. Бухарин, Ю.Ю. Чернышов, П.Д. Зегжда, M. Elnour, M. Husák, J. Komárková, K. Bezas, F. Filippidou и др. Корреляцию событий безопасности и, в частности, обнаружение многошаговых атак рассматривали И.В. Котенко, И.Б. Саенко, Д.П. Зегжда, Н.А. Гайдамакин, Р.В. Гибилинда, В.И. Васильев, A.A. Gómez, A.L.P. Ramaki, S. Salah, J. Navarro, M. Khosravi, T. Limmer, F. Dressler и др. При этом авторы научных трудов все чаще отдают предпочтение использованию машинного обучения, в том числе глубоких нейронных сетей, для анализа данных безопасности для сокращения временных затрат и работы экспертов.

Исследователи разработали множество моделей, методов и инструментов для корреляции событий безопасности, однако имеется ряд вопросов, которые остаются недостаточно исследованными. Так открытыми остаются проблемы поддержки обработки большого объема данных, распределенной корреляции, нормализации и унификации событий безопасности. При этом интеллектуальные модели, обучающиеся с учителем, требуют большого количества маркированных данных, получение которых может являться весьма трудоемкой задачей. Также существует проблема в обнаружении скрытых атак, которые сложно выявить без установления неявных паттернов в данных. Требуется разработка подходов, устойчивых к полиморфизму и изменению многошаговых атак. Помимо этого, имеется сложность в интерпретации результатов идентификации состояний безопасности. По этим причинам требуется улучшение научно-методической базы.

Целью диссертационной работы является повышение защищенности промышленных киберфизических систем путем повышения эффективности определения причинно-следственных связей потока событий безопасности, идентификации текущего состояния безопасности и прогнозирования будущих состояний безопасности.

Решаемая научная задача: разработка комплекса моделей, алгоритмов и методики корреляции событий безопасности в промышленных киберфизических системах на основе методов глубокого обучения.

Цель работы достигается решением следующих частных задач.

1. Анализ существующих подходов к корреляции событий безопасности.

2. Разработка моделей представления событий безопасности и их последовательностей в информационных объектах.

3. Разработка моделей корреляции событий безопасности.

4. Разработка алгоритмов корреляции событий безопасности на основе глубокого обучения.

5. Разработка методики корреляции событий безопасности в ПКФС.

6. Разработка архитектуры и реализация программного прототипа системы корреляции событий безопасности.

7. Экспериментальная оценка предложенных моделей, алгоритмов и методики.

Объектом исследования являются события безопасности в промышленных

киберфизических системах. Предметом исследования являются модели, методики и алгоритмы корреляций событий безопасности на основе методов глубокого обучения в ПКФС.

Научную новизну диссертационной работы составляют:

1. Модели представления и корреляции событий безопасности в ПКФС, отличающиеся от известных введением понятия репрезентативного события безопасности и способом комбинирования интеллектуальных моделей корреляции, и обеспечивающие реализацию корреляции событий безопасности на основе сходства, причинно-следственных связей и интеллектуального поиска паттернов.

2. Алгоритмы корреляции событий безопасности в ПКФС, отличающиеся от аналогов методом кластеризации с оптимизацией основного параметра, введением графовой модели репрезентативных состояний безопасности и применением сверточных рекуррентных нейронных сетей, и позволяющие как анализировать структуру событий и их последовательностей, так и прогнозировать состояния безопасности в виде графовых моделей, соответствующих определенным последовательностям событий.

3. Методика корреляции событий безопасности, отличающаяся от аналогов объединением методов корреляции на основе сходства, причинно-следственных связей и интеллектуального

поиска паттернов, а также оригинальным методом идентификации состояний безопасности ПКФС на основе интегральной оценки пороговых значений меры репрезентативности событий и ошибки прогнозирования интеллектуальной моделью, позволяющим определять аномальные состояния безопасности без заранее известных категорий злонамеренного поведения.

4. Архитектура и программная реализация системы корреляции событий безопасности в промышленных киберфизических системах, отличающиеся от аналогов расширенной функциональностью в задачах анализа событий безопасности ПКФС и идентификации состояний безопасности, масштабируемостью и гибкостью модулей корреляции, а также обеспечивающие комбинированное применение технологий традиционного и глубокого обучения без учителя с возможностью встраивания в существующие системы как полностью, так и модульно.

Теоретическая и практическая значимость работы. Теоретическая значимость включает совершенствование модельно-методического аппарата в области корреляции событий безопасности на основе методов глубокого обучения. Разработанные модели и алгоритмы являются вкладом в научный базис области корреляции событий безопасности. Практическая значимость алгоритмов и методики корреляции событий безопасности состоит в использовании в качестве самостоятельных решений для внедрения в различные системы ПКФС для задач предобработки и анализа данных. Между компонентами системы корреляции отсутствуют жесткие связи, что дает возможность совершенствовать каждый модуль в отдельности и обуславливает гибкость в добавлении новых модулей в существующую систему. Предложенная методика может быть применена как для задач обнаружения сценариев атак и их элементов, так и для формирования сценария нормального поведения ПКФС и ее пользователей.

Методология и методы исследования. В ходе выполнения диссертационной работы соискателем применялась количественная методология с выявлением закономерностей, моделированием, статистическим анализом данных и интеллектуальной обработкой информации, включая экспериментальные исследования.

На защиту выносятся следующие положения:

1. Модели представления и корреляции событий безопасности в промышленных киберфизических системах, обеспечивающие поддержку нормализации данных событий безопасности и комбинированное применение методов корреляции событий безопасности.

2. Алгоритмы корреляции событий безопасности в ПКФС на основе глубокого обучения, обеспечивающие как модульный, так и комплексный анализ событий безопасности и их последовательностей с использованием предложенных моделей.

3. Методика корреляции событий безопасности в ПКФС, обеспечивающая повышение показателей защищенности промышленных киберфизических систем по сравнению с аналогами.

4. Архитектура и программная реализация системы корреляции событий безопасности в промышленных киберфизических системах, обеспечивающие предоставление информации о ситуационной осведомленности и повышение защищенности системы.

Соответствие диссертации паспорту научной специальности. Представленные результаты соответствуют паспорту специальности 2.3.6 - «Методы и системы защиты информации, информационная безопасность» по следующим пунктам.

2. Методы, аппаратно-программные и организационные меры защиты систем (объектов) формирования и предоставления пользователям информационных ресурсов различного вида.

3. Методы, модели и средства выявления, идентификации, классификации и анализа угроз нарушения информационной безопасности объектов различного вида и класса».

15. Принципы и решения (технические, математические, организационные и др.) по созданию новых и совершенствованию существующих средств защиты информации и обеспечения информационной безопасности.

16. Модели, методы и средства обеспечения аудита и мониторинга состояния объекта, находящегося под воздействием угроз нарушения его информационной безопасности, и расследования инцидентов информационной безопасности в автоматизированных информационных системах.

Высокая степень достоверности научных положений обеспечена анализом текущего уровня исследований в данной области, корректным использованием апробированного математического аппарата, согласованностью теоретических выводов с результатами вычислительных экспериментов, сравнением предложенных решений с известными аналогами и одобрением основных положений диссертационной работы на международных и всероссийских научных конференциях.

Апробация и реализация результатов. Ключевые положения диссертационной работы были представлены на следующих международных конференциях:

1. International Conference on COMmunication Systems & NETworkS (India, Bangaluru, 2024);

2. International Symposium on Intelligent Distributed Computing (Germany, Bremen, 2022 и U.K, University of Brighton, 2024);

3. International Scientific Conference «Intelligent Information Technologies for Industry» (Сочи, 2021; Санкт-Петербург, 2023);

4. Euromicro International Conference on Parallel, Distributed and Network-Based Processing (Spain, Valladolid, 2021);

5. International Russian Automation Conference (Сочи, 2023);

6. Национальная конференция по искусственному интеллекту с международным участием (Москва, 2022);

7. Ежегодная международная научно-практическая конференция «РусКрипто'2022» (Москва, 2022);

8. Международная научно-техническая и научно-методическая конференция «Актуальные проблемы инфотелекоммуникаций в науке и образовании» (Санкт-Петербург, 2020, 2021, 2022, 2023 и 2024);

9. Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России» (Санкт-Петербург, 2019 и 2021);

10. Санкт-Петербургская международная конференция «Региональная информатика» (Санкт-Петербург, 2020 и 2022);

11. Перспективные направления развития отечественных информационных технологий (Севастополь, 2020).

Полученные в ходе исследования результаты применялись в следующих проектах:

1. РНФ № 21-71-20078 «Аналитическая обработка больших массивов гетерогенных данных о событиях кибербезопасности в интересах оценки состояния, поддержки принятия решений и расследования компьютерных инцидентов в критически важных инфраструктурах», руководитель Котенко И.В., 2021-2024;

2. Договор № 61/321320 с Университетом ИТМО «Сильный искусственный интеллект в промышленности», руководитель Котенко И.В., 2021-2024;

3. РФФИ № 19-07-01246 А «Методики оценки защищенности и противодействия кибератакам в системах индустриального Интернета вещей на основе онтологии метрик безопасности и методов интеллектуального анализа больших данных», руководитель Федорченко Е.В., 2019-2021;

4. РФФИ № 19-17-50205 Экспансия «Аспекты безопасности киберфизических систем» руководитель Чечулин А.А., 2019-2020.

Публикации. По научным результатам диссертационного исследования опубликовано 34 работ, в том числе 10 статей в рецензируемых научных изданиях, входящих в перечень рецензируемых научных изданий, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученой степени кандидата наук, 12 публикаций в изданиях, индексируемых в Scopus/WoS (в том числе 1 публикация WoS Q1, 1 публикация Scopus Q1) и одна единоличная публикация. Получено 4 свидетельства о государственной регистрации программы для ЭВМ и 1 патент. Полный перечень публикаций представлен в Приложении А. Копии свидетельств о регистрации программы для ЭВМ и патента представлены в Приложении Г. Копии актов о внедрении полученных результатов представлены в Приложении Д.

Личный вклад соискателя. В опубликованных работах вклад соискателя отражают содержание диссертации и основные положения, выносимые на защиту. Публикация полученных результатов проводилась совместно с научным руководителем и членами лаборатории проблем компьютерной безопасности СПб ФИЦ РАН. Модели представления и корреляции событий безопасности в промышленных киберфизических системах разработаны в соавторстве с научным руководителем, при этом соискатель внес существенный вклад в совместные публикации. Алгоритмы и методика корреляции событий безопасности в промышленных киберфизических системах на основе глубокого обучения, а также архитектура и программная реализация системы разработаны автором лично. В частности, автором лично был разработан алгоритм корреляции на основе графо-ориентированного подхода, представленный в качестве одного из результатов диссертационного исследования, и его программный прототип, который был использован в качестве модуля программ «Обнаружение атак на основе анализа аномальных состояний и переходов графовой модели киберфизической системы» и «Программный компонент обнаружения атак на основе графо-ориентированного моделирования», разработанных совместно с соавторами (Приложение Г).

Структура и объем диссертации. Структура работы включает в себя следующие основные разделы: введение; основная часть, включающая четыре главы; заключение; список сокращений и условных обозначений; список литературы, содержащий 151 наименование; 5 приложений, содержащие список публикаций соискателя по теме диссертации, копии свидетельств о государственной регистрации программ, а также дополнительные материалы. Общий объем диссертационной работы составляет 136 страниц. Работа включает в себя 31 рисунок и 23 таблицы.

Краткое содержание работы.

В первой главе проведен системный анализ задачи корреляции событий безопасности в ПКФС, даны основные понятия и определения в исследуемой области, рассмотрены место и роль корреляции событий. Предложена классификация существующих подходов, основное внимание в которой уделяется разделению подходов по способу извлечения и представления знаний, методу анализа событий безопасности и решаемой задаче безопасности. Проведено сравнение технологий обнаружения многошаговых атак по предложенным признакам классификации. Приведены основные достоинства и недостатки существующих подходов к корреляции событий безопасности, а также возможные направления исследований в данной области. Выдвинуты требования к системам корреляции событий безопасности в ПКФС. Поставлены научная задача и целевая функция разработки комплекса моделей, алгоритмов и методики корреляции событий безопасности.

Во второй главе описываются модели и алгоритмы корреляции событий безопасности. Разработаны модели представления событий безопасности и их последовательностей в информационных объектах: модель на основе правил, семантическая модель, графовая модель и фреймовая модель. Дано определение репрезентативного события безопасности. Разработана модель представления знаний в виде графовой модели репрезентативных событий безопасности. Предложена модель комбинированного применения интеллектуальных методов корреляции, включающая модели корреляции событий безопасности на основе сходства, причинно-следственной корреляции событий безопасности на основе графо-ориентированного подхода; корреляции на основе интеллектуального поиска паттернов при помощи рекуррентной нейронной сети. Представлены алгоритмы, использующие предложенные модели корреляции. Корреляция событий на основе сходства преобразует входную последовательность событий в последовательность репрезентативных событий безопасности на основе кластеризации. Для определения оптимального порога кластеризации предлагается использовать интегральную оценку, основанную на структуре кластеров.

В третьей главе предложены методика корреляции событий безопасности, архитектура и программная реализация системы, реализующие разработанные модели и алгоритмы корреляции событий безопасности. Описаны этапы и режимы применения методики, а также показатели оценки ее качества и способы их вычисления. Представлена архитектура системы корреляции событий безопасности, отражающая взаимосвязь компонентов, разработанных на основе предложенных моделей и алгоритмов. Описывается программный прототип архитектуры, разработанный на языке программирования Python. Представлены диаграмма классов и диаграмма последовательности программного прототипа. Установлены требования и ограничения на применение разработанного программного прототипа.

В четвертой главе приводятся результаты экспериментальной оценки работоспособности предложенной методики и программной архитектуры с использованием набора данных ПКФС. Результаты экспериментов доказывают, что путем применения методики корреляции событий безопасности достигаются высокие показатели качества решения поставленных задач и выполняется целевая функция. Даются научно-технические предложения по применению методики корреляции событий безопасности на основе методов глубокого обучения.

В заключении представлены выводы и итоги, достигнутые в процессе выполнения работы, даны рекомендации по использованию разработанных моделей, алгоритмов и методики, а также обозначены направления для дальнейшего развития.

ГЛАВА 1 Системный анализ задачи корреляции событий безопасности в промышленных киберфизических системах

1.1 Место и роль корреляции событий безопасности в промышленных киберфизических системах

В настоящее время большой практической важностью обладает анализ защищенности промышленных киберфизических систем, входящих в состав критически важных инфраструктур (КВИ). Подобные инфраструктуры характеризуются тем, что их функционирование затрагивает такие значимые сферы как государственное управление, промышленность, здравоохранения, энергетика, транспортное обеспечение и другие. В составе таких инфраструктур находятся информационно-технические системы, отказ которых может привести к нарушению в работе всей инфраструктуры, возникновению аварийных ситуаций и большим материальным потерям. В свою очередь отслеживание состояния безопасности объектов в КВИ требует непрерывного контроля с целью предсказания вероятности возможного отказа, снижения уровня надежности, а также атакующих действий.

Для «интеллектуализации» производства применяются различные стратегии, относящиеся к тенденции Индустрии 4.0 и 5.0, которая привносит информационно-коммуникационные технологии в производственные системы [1, 2, 3]. Результатом становятся промышленные киберфизические системы, также называемые иногда промышленным Интернетом вещей (англ. Industrial Internet of Thigs, IIoT). Промышленные КФС представляют собой набор самостоятельных и взаимосвязанных элементов, объединенных для достижения общей цели на всех стадиях производственного процесса и обладающих способностью оперативно принимать решения. Предполагается, что объекты промышленной КФС могут находиться в конечном числе заранее известных состояний в процессе своего штатного функционирования. Таким образом, данные системы хорошо подходят для формирования сценариев поведения.

Аналитика безопасности в современных информационных системах напрямую связана с возможностями своевременной и эффективной обработки больших объемов данных. Информация о состоянии промышленной КФС передается в виде текущих значений измерительной информации в соответствующую систему управления. Наблюдаемые значения такой информации в определенный момент времени, характеризуются как событие [4, 5, 6]. Примерами событий могут быть обновление списков управления доступом маршрутизатора, получение сервером запроса или изменение политики брандмауэра. Системная активность записывается как события на основе предопределенных политик конфигурации, включая политики безопасности. Каждое событие содержит ряд характеристик, определяющих конкретное состояние. Информация об изменении состояния обычно включает в себя отметку

времени и топологическую метку, идентифицирующую местоположение события. Также событие может иметь уникальный идентификатор и указывать на конкретного пользователя или выполняемый процесс.

Под событием безопасности при этом понимается зафиксированное состояние, которое может свидетельствовать о возможном нарушении политики обеспечения безопасности, сбое в работе средств защиты или о наличии ранее неизвестной ситуации, которая может иметь отношение к вопросам безопасности [7]. Событие, которое с высокой степенью вероятности может создать угрозы безопасности, также называется инцидентом ИБ [8].

Таким образом, можно сказать, что событие безопасности описывает изменение состояния безопасности системы или нарушение политики безопасности, которое имеет потенциальные последствия для безопасности системы. Такая информация, представленная в виде сообщения, называется предупреждением и включает в себя данные о производительности устройства, сбоях программного и аппаратного обеспечения, неудачных попытках входа в систему, передаче данных по сети, доказательстве наличия вредоносного кода, известных атаках или подозрительных действиях. Примеры изменений в состояниях безопасности системы включают изменения в элементах управления доступом, уровне безопасности субъекта и пароле пользователя. Примерами нарушений политики безопасности являются увеличение количества попыток входа в систему или попытки нарушить обязательный контроль доступа.

СПИСОК ЛИТЕРАТУРЫ

1. Толкачев С.А. Киберфизические компоненты повышения конкурентоспособности обрабатывающих отраслей промышленности // Экономическое возрождение России. 2019. Т. 3. № 61. С. 127-145.

2. Лола И.С., Бакеев М.Б. Цифровая трансформация в отраслях обрабатывающей промышленности России: результаты конъюнктурных обследований // Вестник Санкт-Петербургского университета. Экономика. 2019. Т. 35. № 4. С. 628-657.

3. Гладилина И.П., Литвенко И.Ю., Кирюхина Е.О. Современные управленческие технологии и индустрия 4.0 // Финансовые рынки и банки. 2021. No. 12. pp. 21-23.

4. Cichonski P., Millar T., Granee T., Scarfone K. Computer securityincident handling guide: Special publication 800-61. NIST: National Institute of Standards and Technology, 2012. 70 pp.

5. Stouffer K., Stouffer K., Zimmerman T., Tang C., Lubell J., Cichonski J., McCarthy J. Cybersecurity framework manufacturing profile. NISTIR 8183 Rev. 1. US Department of Commerce, National Institute of Standards and Technology, Gaithersburg, 2017. 57 pp.

6. Force J.T. Risk management framework for information systems and organizations Special publication 800-37 rev. 2. NIST Spec Publ 800:1-37. NIST: National Institute of Standards and Technology, 2018. 183 pp.

7. ГОСТ Р 59548-2022 Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации. Оформление. ФГБУ «РСТ», 2022. 70 с.

8. ГОСТ Р ИСО/МЭК 27000-2021 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология. 2021. 28 с.

9. ISO/IEC 27039:2015. Information technology - Security techniques - Selection, deployment and operations of intrusion detection systems (IDPS). ISO/IEC International Standards Organization. 2015. 48 pp.

10. Vlahakis G., Apostolou D., Kopanaki E. Enabling situation awareness with supply chain event management // Expert Systems with Applications. 2018. Vol. 93. pp. 86-103.

11. Kent K.A., Souppaya M. Guide to Computer Security Log Management: Recommendations of the National Institute of Standards and Technology. Special Publication 800-92. NIST special publication, 2006. 72 pp.

12. Kromkowski P., Li S., Zhao W., Abraham B., Osborne A., Brown D.E. Evaluating statistical models for network traffic anomaly detection // Proceedings of the 2019 Systems and Information Engineering Design Symposium (SIEDS). 2019. pp. 1-6.

13. Limmer T., Dressier F. Survey of event correlation techniques for attack detection in early warning systems. // University of Erlangen, Dept. of Computer Science, Technical Report. 2008. 37 pp.

14. Dwivedi N., Tripathi A. Event correlation for intrusion detection systems // 2015 IEEE International Conference on Computational Intelligence & Communication Technology. 2015. pp. 133-139.

15. Cinque M., Della Corte R., Pecchia A. Contextual filtering and prioritization of computer application logs for security situational awareness // Future Generation Computer Systems. 2020. Vol. 111. pp. 668-680.

16. Kushwah D., Singh R.R., Tomar D.S. An approach to meta-alert generation for anomalous TCP traffic // Security and Privacy: Second ISEA International Conference, ISEA-ISAP 2018, Springer Singapore. 2018. pp. 193-216.

17. Nasir M., Muhammad K., Bellavista P., Lee M.Y., Sajjad M. Prioritization and alert fusion in distributed IoT sensors using kademlia based distributed hash tables // IEEE Access. 2020. Vol. 8. pp.175194-175204.

18. Navarro J., Deruyver A., Parrend P. A systematic survey on multi-step attack detection // Computers & Security. 2018. Vol. 76. pp. 214-249.

19. Котенко И.В., Хмыров С.С. Анализ моделей и методик, используемых для атрибуции нарушителей кибербезопасности при реализации целевых атак // Вопросы кибербезопасности. 2022. Т. 4. № 50. С. 52-79.

20. Li G., Nguyen T.H., Jung J.J. Traffic incident detection based on dynamic graph embedding in vehicular edge computing // Applied Sciences. 2021. Vol. 11. No. 13. P. 5861.

21. Albasheer H., Md Siraj M., Mubarakali A., Elsier Tayfour O., Salih S., Hamdan M., Kamarudeen S. Cyber-Attack Prediction Based on Network Intrusion Detection Systems for Alert Correlation Techniques: A Survey // Sensors. 2022. Vol. 22. No. 4. P. 1494.

22. Kovacevic I., Gros S., Slovenec K. Systematic review and quantitative comparison of cyb erattack scenario detection and projection // Electronics. 2020. Vol. 9. No. 10. P. 1722.

23. Husak M., Komarkova J., Bou-Harb E., Celeda P. Survey of attack proj ection, prediction, and forecasting in cyber security // IEEE Communications Surveys & Tutorials. 2018. Vol. 21. No. 1. pp. 640-660.

24. Гаврилова Т.А., Хорошевский В.Ф. Базы знаний интеллектуальных систем. СПб:Питер, 2000. 383 с.

25. Vaarandi R., Blumb ergs B., £ali§kan E. Simple event correlator-best practices for creating scalable configurations. // Proceedings of the 2015 IEEE International Multi-Disciplinary

Conference on Cognitive Methods in Situation Awareness and Decision. San Diego, CA, USA. 2015. pp. 96-100.

26. Waidyarathna D., Nayantha W., Wijesinghe W., Abeywardena K.Y. Intrusion detection system with correlation engine and vulnerability assessment // International Journal of Advanced Computer Science and Applications. 2018. No. 9. pp. 365-370.

27. Teixeira D., Assun9ao L., Pereira T., Malta S., Pinto P. OSSEC IDS extension to improve log analysis and override false positive or negative detections // Journal of Sensor and Actuator Networks. 2019. Vol. 8. No. 3. P. 46.

28. Bezas K., Filippidou F. Comparative analysis of open source security information & event management systems (SIEMs) // The Indonesian Journal of Computer Science. 2023. Vol. 12. No. 2. pp. 443-468.

29. Wen Q. Drools Rules Engine Used in Management Accounting System Design Research // Proceedings of the 2023 4th International Conference on Management Science and Engineering Management (ICMSEM 2023). Nanchang, China. 2023. pp. 1604-1610.

30. Baj tos T., Sokol P., Mézesová T. Multi-stage cyber-attacks detection in the industrial control systems // Recent Developments on Industrial Control Systems Resilience. 2020. pp. 151-173.

31. Федорченко А.В., Котенко И.В. Корреляция информации в SIEM-системах на основе графа связей типов событий // Информационно-управляющие системы. 2018. Т. 1. № 92. С. 5867.

32. Wu M., Moon Y. Alert correlation for cyber-manufacturing intrusion detection // Procedia Manufacturing. 2019. Vol. 34. pp. 820-831.

33. Sheeraz M., Durad M.H., Paracha M.A., Mohsin S.M., Kazmi S.N., Maple C. Revolutionizing SIEM Security: An Innovative Correlation Engine Design for Multi-Layered Attack Detection // Sensors. 2024. Vol. 24. No. 15. P. 4901.

34. Khosravi M., Ladani B.T. Alerts correlation and causal analysis for APT based cyber attack detection // IEEE Access. 2020. Vol. 8. pp. 162642-162656.

35. Гайдамакин Н.А., Р.В. Г., Н.И. С. Метод экспресс-анализа событий, связанных с воздействиями на файлы, предназначенный для расследования инцидентов информационной безопасности // Вестник СибГУТИ. 2020. Т. 4. № 52. С. 3-10.

36. Mahdavi E., Fanian A., Amini F. A real-time alert correlation method based on code-books for intrusion detection systems // Computers & Security. 2020. Vol. 89. P. 101661.

37. Siddiqui A.J., Boukerche A. TempoCode-IoT: temporal codebook-based encoding of flow features for intrusion detection in Internet of Things // Cluster Computing. 2021. Vol. 24. No. 1. pp. 17-35.

38. Подтопельный В.В., Ветров И.А. Определение пригодности правил обнаружения сетевых вторжений и их математическая оценка // Вестник Балтийского федерального университета им. И. Канта. Серия: Физико-математические и технические науки. 2021. Т. 2. С. 11-18.

39. Методика формирования значимого множества правил корреляции для выявления распределенных событий информационной безопасности // Современная наука: актуальные проблемы теории и практики. Серия: Естественные и технические науки. 2017. Т. 4. С. 5361.

40. Eckmann S.T.,. Vigna G., Kemmerer R.A. STATL: An attack language for state-based intrusion detection // Journal of computer security. 2002. Vol. 10. No. 1. pp. 71-103.

41. Tidjon L.N. Frappier M. M.A. Intrusion detection using ASTDs // International Conference on Advanced Information Networking and Applications. 2020. pp. 1397-1411.

42. Meier M., Bischof N., Holz T. SHEDEL - A Simple Hierarchical Event Description Language for Specifying Attack Signatures // Security in the Information Society. 2002. pp. 559-571.

43. Almseidin M., Piller I., Al-Kasassbeh M., Kovacs S. Fuzzy automaton as a detection mechanism for the multi-step attack // International Journal on Advanced Science, Engineering and Information Technology. 2019. Vol. 9. No. 2. pp. 575-586.

44. Kaya E., Oz9elik i., Can O. An Ontology Based Approach for Data Leakage Prevention Against Advanced Persistent Threats // Research Conference on Metadata and Semantics Research. 2019. pp. 115-125.

45. Королев И.Д., Литвинов Е.С., Костров С.О. Построение ER-диаграммы взаимосвязи данных о событиях и инцидентах информационной безопасности в инфраструктуре центров информационной защиты // Дневник науки. 2020. № 10. С. 14.

46. Дойникова Е.В., Котенко И.В. Совершенствование графов атак для мониторинга кибербезопасности: оперирование неточностями, обработка циклов, отображение инцидентов и автоматический выбор защитных мер // Информатика и автоматизация. 2018. Т. 2. № 57. С. 211-240.

47. Milajerdi S.M., Gjomemo R., Eshete B., Sekar R., Venkatakrishnan V.N. Holmes: real-time apt detection through correlation of suspicious information flows // 2019 IEEE Symposium on Security and Privacy (SP). 2019. pp. 1137-1152.

48. Васильев В.И., Кириллова А.Д., Вульфин А.М. Когнитивное моделирование вектора кибератак на основе меташаблонов CAPEC // Вопросы кибербезопасности. 2021. Т. 2. № 42. С. 2-16.

49. Sadlek L., Celeda P., Tovamák D. Identification of Attack Paths Using Kill Chain and Attack Graphs // NOMS 2022-2022 IEEE/IFIP Network Operations and Management Symposium. 2022. pp. 1-6.

50. Sen O., van der Velde D., Wehrmeister K.A., Hacker I., Henze M., Andres M. On using contextual correlation to detect multi-stage cyber attacks in smart grids // Sustainable Energy, Grids and Networks. 2022. Vol. 32. P. 100821.

51. Qi Y., Gu Z., Li A., Zhang X., Shafiq M., Mei Y., Lin K. Cybersecurity knowledge graph enabled attack chain detection for cyber-physical systems // Computers and Electrical Engineering. 2023. Vol. 108. P. 108660.

52. Зегжда Д.П., Калинин М.О., Крундышев В.М., Лаврова Д.С., Москвин Д.А., Павленко Е.Ю. Применение алгоритмов биоинформатики для обнаружения мутирующих кибератак // Информатика и автоматизация. 2021. Т. 20. № 4. С. 820-844.

53. Ghafir I., Hammoudeh M., Prenosil V., Han L., Hegarty R., Rabie K., Aparicio-Navarro F.J. Detection of advanced persistent threat using machine-learning correlation analysis // Future Generation Computer Systems. 2018. Vol. 89. pp. 349-359.

54. Joloudari J. H. Haderbadi M. Mashmool A., Ghasemigol M., Band S. S., Mosavi A. Early detection of the advanced persistent threat attack using performance analysis of deep learning // IEEE Access. 2020. Vol. 8. pp. 186125-186137.

55. Павлычев А.В., Стародубов М.И., Галимов А.Д. Использование алгоритма машинного обучения Random Forest для выявления сложных компьютерных инцидентов // Вопросы кибербезопасности. 2022. Т. 5. С. 74-81.

56. Multani P. Intrusion Detection System for Industrial Control Systems using Classification Techniques. Diss. Dublin, National College of Ireland, 2022. 23 pp.

57. Gómez Á.L.P., Maimó L.F., Celdrán A.H., Clemente F.J.G., Cleary F. Crafting adversarial samples for anomaly detectors in industrial control systems // Procedia Computer Science. 2019. Vol. 184. pp. 573-580.

58. Imran, Zuhairi M.F.A., Ali S.M., Shahid Z., Alam M.M., Su'ud MM. Improving Reliab ility for Detecting Anomalies in the MQTT Network by Applying Correlation Analysis for Feature Selection Using Machine Learning Techniques // Applied Sciences. 2023. Vol. 13. No. 11. P. 6753.

59. Chen H., Xiao R., Jin S. 2020 IEEE Intl Conf on Parallel & Distributed Processing with Applications, Big Data & Cloud Computing, Sustainable Computing & Communications, Social Computing & Networking (ISPA/BDCloud/SocialCom/SustainCom) // 2020 IEEE Intl Conf on Parallel & Distributed Processing with Applications, Big Data & Cloud Computing, Sustainable Computing & Communications, Social Computing. 2020. pp. 998-1005.

60. Do Xuan C., Dao M.H. A novel approach for APT attack detection based on combined deep learning model // Neural Computing and Applications. 2021. Vol. 33. No. 20. pp. 13251-13264.

61. Mao B., Liu J., Lai Y., Sun M. MIF: A multi-step attack scenario reconstruction and attack chains extraction method based on multi-information fusion // Computer Networks. 2021. Vol. 198. P. 108340.

62. Nedeljkovic D., Jakovljevic Z. CNN based method for the development of cyber-attacks detection algorithms in industrial control systems // Computers & Security. 2022. Vol. 114. P. 102585.

63. Lai Y., Zhang J., Liu Z. Industrial anomaly detection and attack classification method based on convolutional neural network // Security and Communication Networks. 2019. Vol. 2019. pp. 111.

64. Niu W., Zhou J., Zhao Y., Zhang X., Peng Y., Huang C. Uncovering APT malware traffic using deep learning combined with time sequence and association analysis // Computers & Security. 2022. Vol. 120. P. 102809.

65. Du M., Li F., Zheng G., Srikumar V. Deeplog: Anomaly detection and diagnosis from system logs through deep learning // Proceedings of the 2017 ACM SIGSAC conference on computer and communications security. 2017. pp. 1285-1298.

66. Gopali S., Siami Namin A. Deep learning-based time-series analysis for detecting anomalies in internet of things // Electronics. 2022. Vol. 11. No. 19. P. 3205.

67. Ansari M.S., Bartos V., Lee B. GRU-based deep learning approach for network intrusion alert prediction // Future Generation Computer Systems. 2022. Vol. 128. pp. 235-247.

68. Lavrova D., Zegzhda D., Yarmak A. Using GRU neural network for cyber-attack detection in automated process control systems // 2019 IEEE International Black Sea Conference on Communications and Networking (BlackSeaCom). 2019. pp. 1-3.

69. Shen Y., Mariconti E., Vervier P.A., Stringhini G. Tiresias: Predicting security events through deep learning // Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security. 2018. pp. 592-605.

70. Yuan Y., Adhatarao S.S., Lin M., Yuan Y., Liu Z., Fu X. Ada: Adaptive deep log anomaly detector // IEEE INFOCOM 2020-IEEE Conference on Computer Communications. 2020. pp. 2449-2458.

71. Wang Z., Chen Z., Ni J., Liu H., Chen H., Tang J. Multi-scale one-class recurrent neural networks for discrete event sequence anomaly detection // Proceedings of the 27th ACM SIGKDD conference on knowledge discovery & data mining. 2021. pp. 3726-3734.

72. Gómez Á.L.P., Maimó L.F., Celdrán A.H., Clemente F.J.G. SUSAN: A Deep Learning b ased anomaly detection framework for sustainable industry // Sustainable Computing: Informatics and Systems. 2023. Vol. 37. P. 100842.

73. Amirthayogam G., Kumaran N., Gopalakrishnan S., Brito K.A., RaviChand S., Choubey S.B. Integrating Behavioral Analytics and Intrusion Detection Systems to Protect Critical Infrastructure and Smart Cities // Babylonian Journal of Networking. 2024.Vol. 2024. pp. 88-97.

74. Wang Z., Tian J., Fang H., Chen L., Qin J. LightLog: A lightweight temporal convolutional network for log anomaly detection on the edge // Computer Networks. 2022. Vol. 203. P. 108616.

75. Kravchik M., Shabtai A. Detecting cyber attacks in industrial control systems using convolutional neural networks // Proceedings of the 2018 workshop on cyber-physical systems security and privacy. 2018. pp. 72-83.

76. Xie X., Wang B., Wan T., Tang W. Multivariate abnormal detection for industrial control systems using 1D CNN and GRU // IEEE Access. 2020. Vol. 8. pp. 88348-88359.

77. Isah A., Shin H., Oh S., Oh S., Aliyu I., Um T.W., Kim J. Digital Twins Temporal Dependencies-Based on Time Series Using Multivariate Long Short-Term Memory // Electronics. 2023. Vol. 12. No. 19. P. 4187.

78. Wang W., Yi P., Jiang J., Zhang P., Chen X. Transformer-based framework for alert aggregation and attack prediction in a multi-stage attack // Computers & Security. 2024. Vol. 136. P. 103533.

79. Atkinson O., Bhardwaj A., Englert C., Ngairangbam V.S., Spannowsky M. Anomaly detection with convolutional graph neural networks // Journal of High Energy Physics. 2021. Vol. 2021. No. 8. pp. 1-19.

80. Deng A., Hooi B. Graph neural network-based anomaly detection in multivariate time series // Proceedings of the AAAI conference on artificial intelligence. 2021. Vol. 35. No. 5. pp. 40274035.

81. Tian Z., Zhuo M., Liu L., Chen J., Zhou S. Anomaly detection using spatial and temporal information in multivariate time series // Scientific Reports. 2023. Vol. 13. No. 1. P. 4400.

82. Wu Y., Dai H.N., Tang H. Graph neural networks for anomaly detection in industrial internet of things // /IEEE Internet of Things Journal. 2021. Vol. 9. No. 12. pp. 9214-9231.

83. Liao N., Wang J., Guan J., Fan H. A multi-step attack identification and correlation method based on multi-information fusion // Computers and Electrical Engineering. 2024. No. 117. P. 109249.

84. Gadal S.,. Mokhtar R., Abdelhaq M., Alsaqour R., Ali E.S., Saeed R. Machine Learning-Based Anomaly Detection Using K-Mean Array and Sequential Minimal Optimization // Electronics. 2022. Vol. 11. No. 14. P. 2158.

85. Liu C., Gu Z., Wang J. A hybrid intrusion detection system based on scalable K-means+ random forest and deep learning // IEEE Access. 2021. Vol. 9. pp. 75729-75740.

86. Meryem A., Ouahidi B.E.L. Hybrid intrusion detection system using machine learning // Network Security. 2020. Vol. 2020. No. 5. pp. 8-19.

87. Alfoudi A.S., Aziz M.R., Alyasseri Z.A.A., Alsaeedi A.H., Nuiaa R.R., Mohammed M.A., Jaber M.M. Hyper clustering model for dynamic network intrusion detection // IET Communications. 2022. pp. 1-13.

88. Wang D., Nie M., Chen D. BAE: Anomaly Detection Algorithm Based on Clustering and Autoencoder // Mathematics. 2023. Vol. 11. No. 15. P. 3398.

89. Yin Y., Jang-Jaccard J., Sabrina F., Kwak J. Improving Multilayer-Perceptron (MLP)-based Network Anomaly Detection with Birch Clustering on CICIDS-2017 Dataset // 2023 26th International Conference on Computer Supported Cooperative Work in Design (CSCWD). pp. 423-431.

90. Tao XL., Shi L., Zhao F.L.S., Peng Y.A. Hybrid Alarm Association Method Based on AP Clustering and Causality // Wireless Communications and Mobile Computing. 2021. pp. 1-15.

91. Deng L., Wan L., Guo J. Research on Security Anomaly Detection for Big Data Platforms Based on Quantum Optimization Clustering // Mathematical Problems in Engineering. 2022. Vol. 2022. P.4805035.

92. Liu C., Gu Z., Wang J. A hybrid intrusion detection system based on scalable K-means+ random forest and deep learning // IEEE Access. 2021. Vol. 9. pp. 75729-75740.

93. Meryem A., Ouahidi B.E.L. Hybrid intrusion detection system using machine learning // Network Security. 2020. Vol. 2020. No. 5. pp. 8-19.

94. Абрамов Е.С., Тарасов Я.В. Применение комбинированного нейросетевого метода для обнаружения низкоинтенсивных DDoS-атак на web-сервисы // Инженерный вестник Дона. 2017. Т. 46. № 3. С. 59-77.

95. Hormann R., Bokelmann D., Ortmeier F. Analysis of Security Events in Industrial Networks Using Self-Organizing Maps by the Example of Log4j // Proceedings of the 8th International Conference on Internet of Things, Big Data and Security (IoTBDS 2023). 2023. pp. 51-60.

96. Haas S., Fischer M. On the alert correlation process for the detection of multi-step attacks and a graph-based realization // ACM SIGAPP Applied Computing Review. 2019. Vol. 19. No. 1. pp. 519.

97. Studiawan H., Payne C., Sohel F. Automatic graph-based clustering for security logs // Advanced Information Networking and Applications: Proceedings of the 33rd International Conference on Advanced Information Networking and Applications (AINA-2019). 2019. pp. 914-926.

98. Dhaou A., Bertoncello A., Gourvénec S., Garnier J., Le Pennec E. Causal and Interpretab le Rules for Time Series Analysis // Proceedings of the 27th ACM SIGKDD Conference on Knowledge Discovery & Data Mining. 2021. pp. 2764-2772.

99. Xie T., Zheng Q., Zhang W. Mining temporal characteristics of behaviors from interval events in e-learning // Information Sciences. 2018. Vol. 447. pp. 169-185.

100. Maosa H., Ouazzane K., Ghanem M.C. A hierarchical security event correlation model for realtime threat detection and response // Network. 2024. Vol. 4. No. 1. pp. 68-90.

101. Васильев В.И., Вульфин А.М., Гвоздев В.Е., Картак В.М., Атарская Е.А. Обеспечение информационной безопасности киберфизических объектов на основе прогнозирования и обнаружения аномалий их состояния // Системы управления, связи и безопасности. 2021. № 6. С. 90-119.

102. Fu Y., Xue F. MAD: Self-supervised masked anomaly detection task for multivariate time series // 2022 International Joint Conference on Neural Networks (IJCNN). 2022. pp. 1-8.

103. Catillo M., Pecchia A., Villano U. AutoLog: Anomaly detection by deep autoencoding of system logs // Expert Systems with Applications. 2022. Vol. 191. P. 116263.

104. Aslam M.M., Tufail A., De Silva L.C., Haji Mohd Apong R.A.A., Namoun A. An improved autoencoder-based approach for anomaly detection in industrial control systems // Systems Science & Control Engineering. 2024. Vol. 12. No. 1. P. 2334303.

105. Min B., Yoo J., Kim S., Shin D., Shin D. Network anomaly detection using memory-augmented deep autoencoder // IEEE Access. 2021. Vol. 9. pp. 104695-104706.

106. Li Z., Zhao Y., Han J., Su Y., Jiao R., Wen X., D. P. Multivariate time series anomaly detection and interpretation using hierarchical inter-metric and temporal embedding // Proceedings of the 27th ACM SIGKDD conference on knowledge discovery & data mining. 2021. pp. 3320-3330.

107. Kravchik M., Shabtai,A. Efficient cyber attack detection in industrial control systems using lightweight neural networks and PCA // IEEE transactions on dependable and secure computing. 2021. Vol. 19. No. 4. pp. 2179-2197.

108. Pivarnikovâ M., Sokol P., Baj tos T. Early-stage detection of cyber-attacks // Information. 2020. Vol. 11. No. 12. P. 560.

109. Zimba A., Chen H., Wang Z. Bayesian network based weighted APT attack paths modeling in cloud computing. // Future Generation Computer Systems. 2019. Vol. 96. pp. 525-537.

110. Zhang Y., Zhao S., Zhang J. RTMA: Real time mining algorithm for multi-step attack scenarios reconstruction // 2019 IEEE Intl Conf on High Performance Computing and Communications; Smart City; Data Science and Systems (HPCC/SmartCity/DSS). 2019. P. 210.

111. Hossain M., Xie J. Third eye: Context-aware detection for hidden terminal emulation attacks in cognitive radio-enabled IoT networks // IEEE Transactions on Cognitive Communications and Networking. 2020. Vol. 6. No. 1. pp. 214-228.

112. Holgado P., Villagrâ V.A., Vazquez L. Real-time multistep attack prediction based on hidden markov models // IEEE Transactions on Dependable and Secure Computing. 2017. Vol. 17. No. 1. pp. 134-147.

113. Zegeye W.K., Dean R.A., Moazzami F. Multi-layer hidden markov model based intrusion detection system // Machine Learning and Knowledge Extraction. 2018. Vol. 1. No. 1. pp. 265286.

114. Shawly T., Elghariani A., Kobes J., Ghafoor A. Architectures for detecting interleaved multi-stage network attacks using hidden Markov models // IEEE Transactions on Dependable and Secure Computing. 2019. Vol. 18. No. 5. pp. 2316-2330.

115. Wang Q., Wang W., Wang Y., Ren J., Zhang B. Multi-Stage Network Attack Detection Algorithm Based on Gaussian Mixture Hidden Markov Model and Transfer Learning // IEEE Transactions on Automation Science and Engineering. 2024. pp. 1-15.

116. Kalaria R., Kayes A.S.M., Rahayu W., Pardede E., Salehi A. IoTPredictor: A security framework for predicting IoT device behaviours and detecting malicious devices against cyber attacks// Computers & Security. 2024. Vol. 146. P. 104037.

117. Jiang W., Hong Y., Zhou B., He X., Cheng C. A GAN-based anomaly detection approach for imbalanced industrial time series // IEEE Access. 2019. Vol. 7. pp. 143608-143619.

118. Ma W., Hou Y., Jin M., Jian P. Anomaly based multi-stage attack detection method // Plos one. 2024. Vol. 19. No. 3. P. e0300821.

119. Diakhame M.L., Diallo C., Mejri M. MCM-CASR: Novel Alert Correlation Framework for Cyber Attack Scenario Reconstruction Based on NLP, NER, and Semantic Similarity // 2023 7th Cyber Security in Networking Conference (CSNet). 2023. pp. 27-31.

120. Lee Y., Kim J., Kang P. Lanobert: System log anomaly detection based on bert masked language model // Applied Soft Computing. 2023. Vol. 146. P. 110689.

121. Zhan Y., Haddadi H. Towards automating smart homes: Contextual and temporal dynamics of activity prediction // Adjunct proceedings of the 2019 ACM international joint conference on pervasive and ubiquitous computing and Proceedings of the 2019 ACM international symposium on wearable computers. 2019. pp. 413-417.

122. Oliner A., Stearley J. What supercomputers say: A study of five system logs // 37th annual IEEE/IFIP international conference on dependable systems and networks (DSN'07). 2007. pp. 575-584.

123. Xu W., Huang L., Fox A., Patterson D., Jordan M. Online system problem detection by mining patterns of console logs // 2009 ninth IEEE international conference on data mining. 2009. pp. 588-597.

124. Amza C., Chanda A., Alan Cox L., Elnikety S., Gil R., Rajamani K., Zwaenepoel W., Cecchet E., Marguerite J. Specification and implementation of dynamic web site benchmarks // 2002 IEEE international workshop on workload characterization. 2002. pp. 3-13.

125. Glasser J., Lindauer B. Bridging the gap: A pragmatic approach to generating insider threat data // 2013 IEEE Security and Privacy Workshops. 2013. pp. 98-104.

126. Kent A.D. Cyber security data sources for dynamic network research // Dynamic Networks and Cyber-Security. 2016. pp. 37-65.

127. Goh J., Adepu S., Junejo K.N., Mathur A. A dataset to support research in the design of secure water treatment systems // Critical Information Infrastructures Security: 11th International Conference (CRITIS-2016). 2016. pp. 88-99.

128. Ahmed C.M., Palleti V.R., Mathur A.P. WADI: a water distribution testbed for research in the design of secure cyber physical systems // Proceedings of the 3rd international workshop on cyber-physical systems for smart water networks. 2017. pp. 25-28.

129. Li E.W. Dissolved gas data in transformer oil-fault diagnosis of power transformers with membership degree [Электронный ресурс] // IEEEDataPort: [сайт]. [2019]. URL: https://eee-dataport.org/documents/dissolved-gas-data-transformer-oil-fault-diagnosis-power-transformers-membership-degree (дата обращения: 12.05.2025).

130. Shin H.K., Lee W., Yun J.H., Kim H. HAI 1.0: HIL-based Augmented ICS Security Dataset // 13th USENIX Workshop on Cyb er Security Experimentation and Test (CSET'20). 2020. pp. 1-5.

131. Tapia E.M., Marmasse N., Intille S.S., Larson K. MITes: Wireless portable sensors for studying behavior // Proceedings of Extended Abstracts Ubicomp 2004: Ubiquitous Computing. 2004. pp. 1-2.

132. 2000 DARPA Intrusion Detection Scenario Specific Datasets [Электронный ресурс] // MIT Lincoln Laboratory: [сайт]. [2000]. URL: https://www.ll.mit.edu/r-d/datasets/2000-darpa-intrusion-detection-scenario-specific-datasets (дата обращения: 12.5.2025).

133. Sharafaldin I., Lashkari A.H., Ghorbani A.A. Toward generating a new intrusion detection dataset and intrusion traffic characterization // Proceedings of the 4th International Conference on Information Systems Security and Privacy (ICISSP 2018). 2018. Vol. 1. pp. 108-116.

134. Shiravi A., Shiravi H., Tavallaee M., Ghorbani A.A. Toward developing a systematic approach to generate benchmark datasets for intrusion detection // Computers & Security. 2012. Vol. 31. No. 3. pp. 357-374.

135. Garcia S., Grill M., Stiborek J., Zunino A. An empirical comparison of botnet detection methods // Computers & Security. 2014. Vol. 45. pp. 100-123.

136. Capture files from Mid-Atlantic CCDC [Электронный ресурс] // NETRESEC. 2000. URL: https://www.netresec.com/?page=MACCDC (дата обращения: 14.05.2025).

137. Creech G., Hu J. A semantic approach to host-based intrusion detection systems using contiguousand discontiguous system call patterns. // IEEE Transactions on Computers. 2013. Vol. 63. No. 4. pp. 807-819.

138. Tavallaee M., Bagheri E., Lu W., Ghorbani A.A. A detailed analysis of the KDD CUP 99 data set. // 2009 IEEE symposium on computational intelligence for security and defense applications. 2009. pp. 1-6.

139. Moustafa N., Slay J. UNSW-NB15: a comprehensive data set for network intrusion detection systems (UNSW-NB15 network data set) // 2015 military communications and information systems conference (MilCIS). 2015. pp. 1-6.

140. Gómez Á.L.P., Maimó L.F., Celdrán A.H., Clemente F.J.G., Sarmiento C.C., Masa C.J.D.C., Nistal R.M. On the generation of anomaly detection datasets in industrial control systems // IEEE Access. 2019. Vol. 7. pp. 177460-177473.

141. Vaccari I., Chiola G., Aiello M., Mongelli M., Cambiaso E. MQTTset, a new dataset for machine learning techniques on MQTT // Sensors. 2020. Vol. 20. No. 22. P. 6578.

142. Contagio Malware Dump [Электронный ресурс] // Contagio. 2013. URL: https:// contagiodump.blogspot.com/2013/03/16800-clean-and-11960-malicious-files.html (дата обращения: 13.05.2025).

143. Dhakal C.P., Shahi H.B. Naive Forecasting: A Tool to Compare Forecast Models // Nepal Journal of Mathematical Sciences. 2023. Vol. 4. No. 1. pp. 47-50.

144. Park J., Lee J., Cho Y., Shin W., Kim D., Choo J., Choi E. Joint European Conference on Machine Learning and Knowledge Discovery in Databases // Deep imbalanced time-series forecasting via local discrepancy density. 2023. pp. 139-155.

145. Huong T.T., Bac T.P., Ha K.N., Hoang N.V., Hoang N.X., Hung N.T., Tran K.P. Federated learning-based explainable anomaly detection for industrial control systems // IEEE Access. 2022. No. 10. pp. 53854-53872.

146. Truong H.T., Ta B.P., Le Q.A., Nguyen D.M., Le C.T., Nguyen H.X., Tran K.P. Light-weight federated learning-based anomaly detection for time-series data in industrial control systems // Computers in Industry. 2022. No. 140. P. 103692.

147. Huong T.T., Bac T.P., Long D.M., Luong T.D., Dan N.M., Thang B.D., Tran K.P. Detecting cyberattacks using anomaly detection in industrial control systems: A federated learning approach. // Computers in Industry. 2021. No. 132. P. 103509.

148. Dittakavi R.S.S. Deep Learning-Based Prediction of CPU and Memory Consumption for Cost-Efficient Cloud Resource Allocation // Sage Science Review of Applied Machine Learning. 2021. Vol. 4. No. 1. pp. 45-58.

149. Working with anomaly detection at scale [Электронный ресурс] // Elastic Docs. 2024. URL: https://www.elastic.co/guide/en/machine-learning/current/anomaly-detection-scale.html (дата обращения: 12.05.2025).

150. Shi X., Chen Z., Wang H., Yeung D.Y., Wong W.K., Woo W.C. Convolutional LSTM network: A machine learning approach for precipitation nowcasting // Advances in neural information processing systems. 2015. Vol. 28. pp. 1-9.

151. Nayyar A., Puri V. Comprehensive analysis & performance comparison of clustering algorithms for big data // Review of Computer Engineering Research. 2017. Vol. 4. No. 2. pp. 54-80.

ПРИЛОЖЕНИЕ А. Список публикаций автора по теме диссертации

Публикации в ведущих рецензируемых научных журналах и изданиях из перечня рецензируемых научных изданий, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученой степени кандидата наук, на соискание ученой степени доктора наук:

1. Kotenko I., Levshun D. Methods of Intelligent System Event Analysis for Multistep Cyberattack Detection Using Knowledge Bases // Scientific and Technical Information Processing. 2024. Vol. 51. No. 5. pp. 363-371. DOI: 10.3103/S0147688224700187 (WoS Q4, Scopus Q4, ВАК, УБС3, ядро РИНЦ)

2. Kotenko I., Levshun D. Machine Learning Methods of Intelligent System Event Analysis for Multistep Cyberattack Detection // Scientific and Technical Information Processing. 2024. Vol. 51. No. 5. pp. 372-381. DOI: 10.3103/S0147688224700254 (WoS Q4, Scopus Q4, ВАК, УБС3, ядро РИНЦ)

3. Levshun D., Kotenko I. Application of Intelligent Methods of Correlation of System Events in Predictive Analysis of Security States of Objects of Critical Infrastructure // Pattern Recognition and Image Analysis. 2023. Vol. 33. №. 3. pp. 389-397. DOI: 10.1134/S1054661823030264 (WoS Q4, Scopus Q3, RSCI, ВАК, УБС2, ядро РИНЦ)

4. Левшун Д. А. Модель комбинированного применения интеллектуальных методов корреляции событий информационной безопасности // Изв. вузов. Приборостроение. 2022. Т. 65. № 11. С. 833-841. DOI: 10.17586/0021-3454-2022-65-11-833-172 (RSCI, ВАК, УБС4, ядро РИНЦ)

5. Федорченко Е.В., Новикова Е.С., Котенко И.В., Гайфулина Д.А., Тушканова О.Н., Левшун Д.С., Мелешко А.В., Муренин И.Н., Коломеец М.В. Система измерения защищенности информации и персональных данных для устройств Интернета вещей // Вопросы кибербезопасности. 2022. Т. 5. № 51. С. 28-46. DOI: 10.681/2311-3456-2022-5-28-46 (RSCI, ВАК, УБС3, ядро РИНЦ)

6. Левшун Д.С., Гайфулина Д.А., Чечулин А.А., Котенко И.В. Проблемные вопросы информационной безопасности киберфизических систем // Информатика и автоматизация. 2021. № 19(5). С. 1050-1088. DOI:10.15622/ia.2020.19.5.6 (Scopus Q4, RSCI, ВАК, УБС2, ядро РИНЦ)

7. Гайфулина Д.А., Котенко И.В. Анализ моделей глубокого обучения для задач обнаружения сетевых аномалий интернета вещей // Информационно-управляющие системы. 2021. №.1. С. 28-37. DOI: 10.31799/1684-8853-2021-1-28-37 (Scopus Q4, ВАК, УБС3, ядро РИНЦ)

8. Федорченко Е.В., Новикова Е.С., Гайфулина Д.А., Котенко И.В. Построение профиля атакующего на основе анализа сетевого трафика в критических инфраструктурах // Системы

управления, связи и безопасности. 2021. № 6. С. 76-89. DOI: 10.24412/2410-9916-2021-6-76-89 (ВАК, РИНЦ)

9. Гайфулина Д.А., Котенко И.В. Применение методов глубокого обучения в задачах кибербезопасности. Часть 1 // Вопросы кибербезопасности. 2020. №3(37). C 76-86. DOI: 10.21681/2311-3456-2020-03-76-86 (RSCI, ВАК, УБС3, ядро РИНЦ)

10. Гайфулина Д.А., Котенко И.В. Применение методов глубокого обучения в задачах кибербезопасности. Часть 2 // Вопросы кибербезопасности. 2020. Т. 4. № 38. C 11-21. DOI: 10.21681/2311-3456-2020-04-11-21 (RSCI, ВАК, УБС3, ядро РИНЦ)

11. Гайфулина Д.А., Федорченко А.В., Котенко И.В. Лексическая разметка данных сетевого трафика для оценки защищенности // Защита информации. Инсайд. 2019. № 6. С. 56-60. (ВАК, РИНЦ)

Публикации в российских и иностранных научных изданиях, входящих в перечни WoS/Scopus:

12. Kotenko I., Levshun D. Anomaly Detection in IoT Networks Based on Intelligent Security Event Correlation // 2024 16th International Conference on COMmunication Systems & NETworkS (COMSNETS). IEEE, 2024. pp. 816-824. DOI: 10.1109/COMSNETS59351.2024.10426939 (WoS, Scopus)

13. Levshun D., Kotenko I. Intelligent Graph-Based Correlation of Security Events in Cyber-Physical Systems // Proceedings of the Seventh International Scientific Conference on Intelligent Information Technologies for Industry (IITI'23). Lecture Notes in Networks and Systems. 2023. pp. 115-124 DOI: 10.1007/978-3-031-43792-2_12 (WoS, Scopus)

14. Levshun D., Kotenko I. A survey on artificial intelligence techniques for security event correlation: models, challenges, and opportunities // Artificial Intelligence Review. 2023. Vol. 56. No. 8. pp. 8547-8590. DOI: 10.1007/s10462-022-10381-4 (WoS Q1, Scopus Q1, УБС1, ядро РИНЦ)

15. Tushkanova O., Levshun D., Branitskiy A., Fedorchenko E., Novikova E., Kotenko I. Detection of Cyberattacks and Anomalies in Cyber-Physical Systems: Approaches, Data Sources, Evaluation // Algorithms. 2023. Vol. 16. No 2. P. 85. DOI: 10.3390/a16020085 (WoS Q3, Scopus Q2, УБС2, ядро РИНЦ)

16. Kotenko I., Gaifulina D., Zelichenok I., Systematic Literature Review of Security Event Correlation Methods // IEEE Access. 2022. Vol. 10. pp. 43387-43420. DOI: 10.1109/ACCESS.2022.3168976 (WoS Q2, Scopus Q1, УБС1, ядро РИНЦ)

17. Gaifulina D., Kotenko I. Selection of Deep Neural Network Models for IoT Anomaly Detection Experiments // 29th Euromicro International Conference on Parallel, Distributed and

Network-Based Processing (PDP). 2021. pp. 260-265. DOI: 10.1109/PDP52278.2021.00049 (WoS, Scopus, ядро РИНЦ)

18. Gaifulina D., Chechulin A. Development of the Complex Algorithm for Web Pages Classification to Detection Inappropriate Information on the Internet // Proceedings of the 13th International Symposium on Intelligent Distributed Computing (IDC 2019). Studies in Computational Intelligence. 2020. Vol. 868. pp. 278-284. DOI: 10.1007/978-3-030-32258-8_33 (WoS, Scopus)

Публикации в иных рецензируемых изданиях:

19. Левшун Д.А., Левшун Д.С., Котенко И.В. Обнаружение и объяснение аномалий в индустриальных системах интернета вещей на основе автокодировщика // Онтология проектирования. 2025. Т. 15. № 1 (55). С. 96-113. DOI: 10.14357/20718594250101 (RSCI, ВАК, УБС4, ядро РИНЦ)

20. Котенко И.В., Левшун Д.А. Методы интеллектуального анализа системных событий для обнаружения многошаговых кибератак: использование баз знаний // Искусственный интеллект и принятие решений. 2023. № 2. C. 3-14. DOI: 10.14357/20718594230201. (RSCI, ВАК, УБС3, ядро РИНЦ)

21. Котенко И. В., Левшун Д.А. Методы интеллектуального анализа системных событий для обнаружения многошаговых кибератак: использование методов машинного обучения // Искусственный интеллект и принятие решений. 2023. № 3. C. 3-16. DOI: 10.14357/20718594230301. (RSCI, ВАК, УБС3, ядро РИНЦ)

22. Котенко И.В., Левшун Д.А. Применение интеллектуальных методов корреляции системных событий в прогнозной аналитике состояний безопасности объектов критически важных инфраструктур // Двадцатая Национальная конференция по искусственному интеллекту с международным участием (КИИ-2022). Т. 2. С 152-167. (РИНЦ)

23. Левшун Д.А. Котенко И.В. Архитектура системы корреляции событий безопасности на основе интеллектуального анализа данных // XVIII Санкт-Петербургская международная конференция «Региональная информатика» (РИ-2022). 2022. С. 171-172 (РИНЦ)

24. Гайфулина Д.А., Котенко И.В. Федорченко Е.В. Оценка тональности текстовых публикаций для выявления деструктивных воздействий в социальных сетях // I Международная научно-техническая и научно-методическая конференция «Актуальные проблемы инфотелекоммуникаций в науке и образовании» (АПИНО-2022). 2022. Т 1. С. 324-328. (РИНЦ)

25. Гайфулина Д.А., Котенко И.В. Модели обработки событий информационной безопасности в интеллектуальных системах мониторинга и оценки защищённости критически важных инфраструктур // I Международная научно-техническая и научно-методическая

конференция «Актуальные проблемы инфотелекоммуникаций в науке и образовании» (АПИНО-2022). 2022. Т. 1. С. 319-324. (РИНЦ)

26. Гайфулина Д.А. Основные критерии систематизации подходов к корреляции событий безопасности // XII Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России» (ИБРР-2021). Т. 1. 2021. С. 73-75. (РИНЦ)

27. Гайфулина Д.А., Котенко И.В. Анализ критериев классификации подходов к корреляции событий безопасности // X Международная научно-техническая и научно-методическая конференция «Актуальные проблемы инфотелекоммуникаций в науке и образовании» (АПИНО-2021). Т. 1. 2021. С. 206-210. (РИНЦ)

28. Гайфулина Д.А. Анализ уязвимостей киберфизических систем // Перспективные направления развития отечественных информационных технологий: материалы VI межрегиональной научно-практической конференции. 2020. С. 225-226. (РИНЦ)

29. Гайфулина Д.А. Анализ методов защиты киберфизических систем // Перспективные направления развития отечественных информационных технологий: материалы VI межрегиональной научно-практической конференции. 2020. С. 223-224. (РИНЦ)

30. Гайфулина Д.А. Котенко И.В. Место и роль корреляции событий безопасности в облачных системах на основе методов глубокого обучения // XVII Санкт-Петербургская международная конференция «Региональная информатика» (РИ-2020). 2020. С. 120-122. (РИНЦ)

31. Гайфулина Д.А. Выбор критериев классификации киберфизических систем для выявления векторов атак // XVII Санкт-Петербургская международная конференция «Региональная информатика (РИ-2020)». С. 118-120. (РИНЦ)

32. Гайфулина Д.А. Анализ структурно неопределенной полезной нагрузки сетевого трафика промышленных киберфизических систем // IX Международная научно-техническая и научно-методическая конференция «Актуальные проблемы инфотелекоммуникаций в науке и образовании» (АПИН0-2020). 2020. С. 302-307. (РИНЦ)

33. Гайфулина Д.А., Котенко И.В. Анализ методов глубокого обучения для задач обнаружения вторжений // // IX Международная научно-техническая и научно-методическая конференция «Актуальные проблемы инфотелекоммуникаций в науке и образовании» (АПИНО-2020). 2020. С. 308-312. (РИНЦ)

34. Гайфулина Д.А. Применение методики анализа бинарных данных сетевого трафика для выявления аномалий в условиях неопределенных спецификаций протоколов передачи данных // Санкт-Петербургская Межрегиональная Конференция «Информационная безопасность регионов России-2019 (ИБРР-2019)». С. 108-110. (РИНЦ)

Сведения о выдаче патента:

1. Котенко И.В., Паращук И.Б., Федорченко Е.В., Новикова Е.С., Левшун Д.А. Устройство для прогнозирования случайных событий. Патент № 2828686 С1 Российская Федерация, МПК G06F 17/10. Зарегистрировано в Государственном реестре изобретений Российской Федерации 16.10.2024.

Сведения о государственной регистрации программ для ЭВМ:

1. Десницкий В. А., Израилов К. Е., Левшун Д. А., Мелешко А. В. Обнаружение атак на основе анализа аномальных состояний и переходов графовой модели киберфизической системы // Свидетельство № 2024668525. Зарегистрировано в Реестре программ для ЭВМ 07.08.2024.

2. Десницкий В. А., Израилов К.Е., Котенко И.В., Левшун Д.А., Мелешко А.В. Программный компонент обнаружения атак на основе графо-ориентированного моделирования // Свидетельство о регистрации программы для ЭВМ № 2023684009. Зарегистрировано в Реестре программ для ЭВМ 13.11.2023.

3. Левшун Д.А., Котенко И.В., Мелешко А.В., Десницкий В.А. Компонент генерации графов переходов состояний системы на основе статистического анализа данных // Свидетельство о регистрации программы для ЭВМ № 2022681561. Зарегистрировано в Реестре программ для ЭВМ 15.11.2022

4. Тушканова О. Н., Левшун Д.А., Новикова Е.С. Компонент обнаружения аномалий и расчёт метрик качества обнаружения аномалий во временных рядах // Свидетельство о регистрации программы для ЭВМ № 2022681599. Зарегистрировано в Реестре программ для ЭВМ 15.11.2022

ПРИЛОЖЕНИЕ Б. Анализ состояния научных исследований в области корреляции

событий безопасности

Сокращения:

- область: ФС - файловые системы, СТ - сетевые технологии, ОВ - облачные вычисления, КФС - киберфизические системы, ПКФС - промышленные КФС;

- метод анализа: СХ - метод на основе сходства, ПС - метод на основе причинно-следственных связей, ПП - поиск паттернов;

- знания: ИЗ - извлечение знаний, ЭП - экспертные правила, СЦ -сценарии событий, ОУ - обучение с учителем, ОБУ - обучение без учителя, ОЧ - частичное обучение; ПЗ - представление знаний, П - правила, Л - логическое представление, С - семантические сети, Ф - фреймы;

- задача: ОЗ - обнаружение злоупотреблений, ОА - обнаружение аномалий, ПЗ -прогнозирование злоупотреблений.

Таблица В.1 - Сравнительная характеристика рассмотренных подходов к корреляции событий безопасности

№ а Ы Я CR Год л н о Метод анализа Знания Зада Механизм База/Набор данных

Ч S ю а И Ч ю О схП пп ИЗ П З ча

1 [65] 2017 ФС ✓ ОУ Ф ОА Bi-LSTM HDFS, BG/L

2 [112] 2017 СТ ✓ ОЧ С ОЗ HMM DARPA 2000

3 [94] 2017 СТ ✓ ✓ ОБУ С ОЗ SOM, MLP Собств.

4 [39] 2017 ФС ✓ ЭП П ОЗ, ПЗ База данных предпосылок и последствий Собств.

5 [53] 2018 СТ ✓ ОУ Ф ОЗ SVM, kNN, DT Собств.

6 [75] 2018 ПКФС ✓ ✓ ОУ Ф ОЗ, ОА CNN-LSTM SWaT

7 [69] 2018 ФС ✓ ОУ Ф ПЗ LSTM Собств.

8 [99] 2018 ФС ✓ ОБУ П ПЗ TAT Собств.

9 [113] 2018 СТ ✓ ОЧ С ОЗ HMM DARPA 2000

10 [31] 2018 ФС ✓ ЭП П ОЗ Правила корреляции Собств.

11 [43] 2019 СТ ✓ СЦ Л ОЗ Нечеткая логика DARPA 2000

12 [140] 2019 ПКФС ✓ ОУ Ф ОЗ IF, DT, SVM, ANN Electra

13 [96] 2019 СТ ✓ ✓ ОБУ С ОЗ CPM Собств.

14 [117] 2019 ПКФС ✓ ОУ Ф ОА GAN Собств.

15 [44] 2019 ФС ✓ СЦ Л ОЗ Онтология MITRE ATT&CK

16 [63] 2019 ПКФС ✓ ОУ Ф ОЗ, ОА CNN NSL-KDD

17 [47] 2019 ФС ✓ СЦ С ОЗ Графовые сигнатуры Собств.

18 [62] 2019 ОВ ✓ ОУ Ф ОА LSTM Собств.

19 [114] 2019 СТ ✓ ОЧ С ОА HMM CERT Insider Threat

20 [32] 2019 ПКФС ✓ ЭП П ОЗ Функция расстояния SNORT

21 [110] 2019 КФС ✓ ✓ ОЧ Ф ПЗ ELMo, LSTM MITes

22 [110] 2019 СТ ✓ ОЧ С ОЗ, ПЗ MM DARPA 2000

23 [109] 2019 ОВ ✓ ОЧ С ПЗ BN co6ctb.

24 [68] 2019 ПКФС ✓ ОБУ Ф ПЗ GRU SWaT

25 [30] 2020 ПКФС ✓ ЭП П ОЗ Правила корреляции SNORT

26 [59] 2020 ОВ ✓ ОУ Ф ОА CNN ADFA-LD

27 [111] 2020 СТ ✓ ОЧ С ОЗ HMM CIC-IDS2017

28 [54] 2020 СТ ✓ ОУ Ф ОЗ BN, DT, MLP NLS-KDD

29 [34] 2020 СТ ✓ ЭП П ОЗ, ПЗ База данных предпосылок/ последствий Ravin SIEM

30 [36] 2020 СТ ✓ ЭП П ОЗ Кодовая книга SNORT, RealSecure

31 [93] 2020 СТ ✓ ✓ ОУ, ОБУ Ф ОЗ k-средних, kNN, NB, SVM, LR NSL-KDD

32 [108] 2020 СТ ✓ ОЧ С ПЗ BN CIC-IDS2017

33 [97] 2020 ФС ✓ ✓ ОБУ С ОЗ CPM MACCDC

34 [76] 2020 ПКФС ✓ ✓ ОУ Ф ОА CNN-GRU SWaT

35 [70] 2020 СТ ✓ ОУ Ф ОА LSTM LANL Cyber Security Dataset

36 [35] 2020 ФС ✓ ЭП П ОЗ База данных предпосылок/ последствий Co6ctb.

37 [45] 2020 ФС ✓ СЦ Л ОЗ Онтологии событий Co6ctb.

38 [79] 2021 ПКФС ✓ ОУ С ОА GNN Co6ctb.

39 [80] 2021 КФС ✓ ОУ С ОА GAT SWaT, WADI

40 [98] 2021 КФС ✓ ОБУ П ПЗ FRM Co6ctb.

41 [60] 2021 СТ ✓ ✓ ОУ Ф ОЗ CNN-LSTM CTU-13

42 [107] 2021 ПКФС ✓ ✓ ОБУ Ф ОА CNN, UAE, VAE, PCA SWaT, BATADAL, WADI

43 [20] 2021 КФС ✓ ОУ Ф ОЗ SMOTE-RF Co6ctb.

44 [106] 2021 КФС ✓ ОБУ Ф ОА VAE SWaT, WADI

45 [92] 2021 СТ ✓ ✓ ОУ, ОБУ Ф ОЗ k-средних, RF CIC-IDS2017, NSL-KDD

46 [61] 2021 СТ ✓ ОУ Ф ОЗ CNN, DT DARPA 2000

47 [105] 2021 СТ ✓ ОБУ Ф ОА MemAE UNSW-NB15, CIC-IDS2017

48 [37] 2021 КФС ✓ ЭП П ОЗ Кодовая книга Co6ctb.

49 [90] 2021 КФС ✓ ОБУ C ОА AP Co6ctb.

50 [71] 2021 ФС ✓ ОУ Ф ОА RNN RUBiS, HDFS, BG/L

51 [82] 2021 ПКФС ✓ ОУ С ОА GNN DGT

52 [48] 2021 ПКФС ✓ СЦ С ОЗ Нечеткие графы CAPEC

53 [101] 2021 ПКФС ✓ ✓ ОБУ Ф ОА AE HAI

54 [52] 2021 СТ ✓ СЦ С ОЗ Генетический алгоритм Co6ctb.

55 [87] 2022 СТ ✓ ОБУ Ф ОЗ DBSCAN NSL-KDD, UNSW-NB15

56 [67] 2022 СТ ✓ ОБУ Ф ПЗ GRU Собств.

57 [66] 2022 ПКФС ✓ ОБУ Ф Bi-LSTM SWaT

58 [103] 2022 КФС ✓ ОБУ Ф ОА AE BG/L, HDFS

59 [91] 2022 КФС ✓ ОБУ Ф ОЗ AP Собств.

60 [102] 2022 ПКФС ✓ ✓ ОБУ Ф ОА AE HAI

61 [84] 2022 СТ ✓ ✓ ОБУ Ф ОЗ k-средних, SMO ISCXIDS 2012, DARPA 2000

62 [56] 2022 ПКФС ✓ ОУ Ф ОЗ DT, SVM, ANN N-BaIoT

63 [62] 2022 ПКФС ✓ ОУ Ф ОЗ CNN SWaT

64 [64] 2022 СТ ✓ ОУ С ОЗ, ПЗ LSTM ContagioDump

65 [49] 2022 СТ ✓ СЦ С ОЗ Графовые сигнатуры MITRE ATT&CK

66 [50] 2022 СТ ✓ СЦ С ОЗ Графовые сигнатуры MITRE ATT&CK

67 [74] 2022 КФС ✓ ✓ ОУ Ф ОА TCN HDFS, BG/L

68 [55] 2022 ФС ✓ ОУ Ф ОЗ RF Собств.

69 [119] 2023 СТ ✓ ОЧ Ф ОЗ BERT UNSW-NB15

70 [72] 2023 ПКФС ✓ ОЧ Ф ОА LSTM SWaT

71 [77] 2023 ПКФС ✓ ОБУ Ф ПЗ LSTM SWaT, BATADAL

72 [95] 2023 ПКФС ✓ ✓ ОБУ С ОЗ SOM Собств.

73 [58] 2023 КФС ✓ ОУ Ф ОЗ RF, DT, NB, LR, GB MQTTset

74 [120] 2023 ФС ✓ ОЧ Ф ОА BERT HDFS, BG/L

75 [81] 2023 ПКФС ✓ ✓ ОБУ Ф ОА GAT SWaT, WADI

76 [51] 2023 КФС ✓ ✓ СЦ С ОЗ Онтология, графовые сигнатуры CWE, CAPEC

77 [88] 2023 СТ ✓ ✓ ОБУ Ф ОА BIRCH, AE UNSW-NB15, CIC-IDS2017, NSL-KDD

78 [89] 2023 СТ ✓ ✓ ОБУ Ф ОА BIRCH, MLP CIC-IDS2017

79 [104] 2024 ПКФС ✓ ОБУ Ф ОА AE SWaT

80 [100] 2024 СТ ✓ ✓ ОБУ С ОЗ Правила корреляции, ARM CIC-IDS2017

81 [33] 2024 КФС ✓ ЭП П ОЗ Правила корреляции Собств.

82 [73] 2024 СТ ✓ ✓ ОБУ Ф ОА LSTM, CNN NSL-KDD

83 [83] 2024 СТ ✓ ОБУ С ОЗ GAT, LSTM CIC-IDS2017, UNSW-NB15

84 [78] 2024 СТ ✓ ✓ ОБУ С ОЗ Transformer Собств.

85 [115] 2024 СТ ✓ ОЧ С ОЗ HMM DARPA 2000, CIC-IDS2018

86 [116] 2024 КФС ✓ ОЧ С ОЗ, ПЗ HMM Собств.

87 [118] 2024 СТ ✓ ОЧ С ОЗ Doc2Vec, HMM DARPA2000, ISCXIDS 2012, CIC-IDS2017

ПРИЛОЖЕНИЕ В. Определение оптимальных параметров кластеризации событий безопасности

Таблица С.1 - Показатели качества кластеризация событий безопасности для всех

процессов набора данных SWaT

Модель Параметр K CHI* DBI* Tt Tc X

BIRCH X = 0.1 17154 0.096 0.818 77.924 61.613 0.139

X = 0.2 1861 0.222 0.740 20.422 8.261 0.241

X = 0.3 716 0.292 0.781 13.854 2.691 0.256

X = 0.4 373 0.326 0.739 12.483 1.513 0.293

X = 0.5 173 0.374 0.760 11.616 0.721 0.307

X = 0.6 103 0.501 0.619 9.966 0.445 0.441

X = 0.7 44 0.590 0.781 8.780 0.341 0.560

X = 0.8 39 0.839 0.819 6.197 0.224 0.510

X = 0.9 24 1.000 0.880 5.855 0.153 0.509

X = 1.0 16 0.971 1.000 5.813 0.128 0.485

DBSCAN е = 0.1 2472 0.000 0.683 9214.223 8457.350 0.159

е = 0.2 369 0.000 0.415 8721.239 1238.504 0.293

е = 0.3 273 0.001 0.362 8770.226 874.562 0.319

е = 0.4 179 0.001 0.309 9106.038 610.421 0.346

е = 0.5 144 0.002 0.356 8570.934 453.218 0.323

е = 0.6 44 0.008 0.432 8516.898 136.895 0.288

е = 0.7 31 0.012 0.447 8907.935 99.090 0.283

е = 0.8 31 0.017 0.501 8836.619 98.348 0.258

е = 0.9 27 0.023 0.528 9038.525 77.013 0.247

е = 1.0 25 0.035 0.552 9149.999 68.207 0.241

Mean-Shift bs = 0.1 26992 0.023 0.000 7272.378 102.884 0.512

bs = 0.2 2389 0.032 0.411 29200.955 10.859 0.311

bs = 0.3 869 0.044 0.246 39792.119 4.316 0.399

bs =0.4 441 0.046 0.322 51646.118 1.863 0.362

bs =0.5 300 0.050 0.381 65552.238 1.359 0.335

bs =0.6 154 0.076 0.345 44415.644 0.720 0.366

bs = 0.7 97 0.065 0.408 42225.912 0.473 0.328

bs = 0.8 67 0.090 0.481 25870.365 0.297 0.304

bs = 0.9 46 0.124 0.495 26500.739 0.212 0.314

Таблица С.2 - Показатели качества кластеризация событий безопасности для процесса Р1

набора данных SWaT

Модель Параметр K CHI* DBI* Tt Tc X

BIRCH X = 0.1 23 0.903 0.093 1.152 0.036 0.905

X = 0.2 13 1.000 0.060 1.139 0.018 0.970

X = 0.3 9 0.696 0.057 1.107 0.018 0.820

X = 0.4 8 0.808 0.041 1.089 0.018 0.884

X = 0.5 7 0.187 0.077 1.103 0.009 0.555

X = 0.6 5 0.180 0.048 1.089 0.014 0.566

X = 0.7 4 0.113 0.192 1.103 0.014 0.461

X = 0.8 3 0.113 0.192 1.103 0.009 0.461

DBSCAN е = 0.1 7 0.029 0.365 292.311 3.479 0.332

е = 0.2 7 0.041 0.332 283.271 3.312 0.354

е = 0.3 7 0.057 0.262 293.391 3.258 0.397

е = 0.4 7 0.092 0.140 302.949 3.006 0.476

е = 0.5 6 0.103 0.182 263.984 2.619 0.460

е = 0.6 3 0.052 0.258 261.945 1.400 0.397

е = 0.7 2 0.000 0.476 257.022 1.157 0.262

е = 0.8 2 0.005 1.000 257.072 1.152 0.002

е = 0.9 2 0.083 0.297 287.159 1.211 0.393

Mean-Shift bs = 0.1 24 0.983 0.095 309.042 0.036 0.944

bs = 0.2 12 0.835 0.033 322.313 0.023 0.901

bs = 0.3 9 0.477 0.030 286.403 0.018 0.724

bs =0.4 6 0.409 0.023 161.789 0.014 0.693

bs =0.5 6 0.409 0.024 185.261 0.018 0.692

bs =0.6 7 0.355 0.027 178.529 0.014 0.664

bs = 0.7 8 0.326 0.083 280.373 0.018 0.621

bs = 0.8 4 0.229 0.000 250.740 0.014 0.614

bs = 0.9 3 0.113 0.216 180.743 0.009 0.448

Таблица С.3 - Показатели качества кластеризация событий безопасности для процесса P2

набора данных SWaT

Модель Параметр K CHI DBI T, Tc X

X = 0.1 47 0.045 0.279 1.256 0.023 0.977

X = 0.2 20 0.524 0.282 1.269 0.027 0.658

X = 0.3 11 0.000 0.272 1.224 0.014 0.995

X = 0.4 9 0.389 0.291 1.310 0.014 0.615

BIRCH X = 0.5 7 0.607 0.279 1.256 0.023 0.435

X = 0.6 6 0.037 0.291 1.310 0.018 0.829

X = 0.7 5 0.071 0.302 1.359 0.018 0.811

X = 0.8 4 0.633 0.271 1.220 0.018 0.521

X = 0.9 3 0.556 0.322 1.449 0.063 0.697

е = 0.1 24 0.000 0.443 336.708 14.661 0.279

е = 0.2 15 0.002 0.489 350.730 8.960 0.257

е = 0.3 9 0.005 0.592 322.529 5.310 0.206

е = 0.4 8 0.010 0.648 355.473 8.474 0.181

DBSCAN е = 0.5 7 0.013 0.787 486.612 6.989 0.113

е = 0.6 4 0.030 1.000 355.977 2.439 0.015

е = 0.7 4 0.056 0.955 321.791 2.376 0.050

е = 0.8 4 0.630 0.273 312.476 2.426 0.679

е = 0.9 3 0.963 0.042 321.071 1.571 0.961

£ = 1.0 3 0.993 0.040 321.408 1.580 0.977

bs = 0.1 99 0.454 0.085 532.580 0.117 0.685

bs = 0.2 35 0.496 0.322 423.783 0.050 0.587

bs = 0.3 21 0.215 0.351 1032.278 0.027 0.432

Mean-Shift bs =0.4 13 0.276 0.440 739.503 0.027 0.418

bs =0.5 9 0.393 0.458 710.420 0.023 0.467

bs =0.6 5 0.769 0.199 589.856 0.014 0.785

bs = 0.7 5 0.769 0.199 444.267 0.014 0.785

Таблица С.4 - Показатели качества кластеризация событий безопасности для процесса Р3

набора данных SWaT

Модель Параметр K CHI DBI T, Tc X

X = 0.1 79 0.764 0.310 1.143 0.036 0.7268

X = 0.2 49 0.686 0.119 1.188 0.063 0.7833

X = 0.3 28 1.000 0.208 2.102 0.095 0.8962

BIRCH X = 0.4 22 0.219 0.376 1.166 0.027 0.4215

X = 0.5 13 0.402 0.675 1.116 0.023 0.3633

X = 0.6 12 0.447 0.598 1.139 0.018 0.4247

X = 0.7 10 0.447 0.598 1.112 0.018 0.4247

X = 0.8 7 0.522 0.913 1.121 0.018 0.3047