Preview

Труды учебных заведений связи

Расширенный поиск

Представление промышленного трафика и кодирование протокольной семантики для трансформерных моделей в малых сетях Industrial Ethernet

https://doi.org/10.31854/1813-324X-2026-12-2-74-91

EDN: GEUZWL

Аннотация

В современных индустриальных сетях Industrial Ethernet обнаружение аномалий и кибератак требует учета протокольной семантики трафика. Актуальность исследования обусловлена ростом числа атак на промышленные системы управления, усилением интеграции производственных и корпоративных сетей, а также широким использованием промышленных протоколов, часть которых изначально не ориентировалась на современные требования к кибербезопасности. Традиционные сигнатурные средства обнаружения ограниченно выявляют ранее неизвестные и скрытные атаки, тогда как подходы, основанные только на статистических характеристиках потоков, нередко теряют важную информацию о логике обмена, ролях сообщений и особенностях прикладного уровня промышленных протоколов. Дополнительную сложность создает дефицит размеченных данных, характерный для реальных промышленных объектов, что затрудняет обучение устойчивых моделей обнаружения атак.

Цель: разработать способ представления промышленного трафика в виде токенизированных последовательностей, пригодных для применения трансформерных моделей в малых сетях Industrial Ethernet.

Методы. Использованы потоково-сессионное агрегирование пакетов, семантическая токенизация полей протоколов Modbus/TCP и OPC UA, эмбеддинги с позиционным кодированием, предварительное обучение в self-supervised режиме и последующее дообучение модели на задаче классификации сессий. Оценка подхода выполнена на наборе данных Malware in Smart Factory.

Результаты. Разработано протокольно-ориентированное представление сетевых сессий, сохраняющее контекст обмена и особенности промышленных протоколов. На наборе данных Malware in Smart Factory трансформерная модель достигла F1-меры 99,3 % при обнаружении атак и превзошла модели LSTM и CNN; предварительное обучение дополнительно повысило качество классификации.

Теоретическая и практическая значимость. Предложенный подход формирует единый входной формат для анализа трафика Modbus/TCP и OPC UA и может использоваться при построении систем обнаружения аномалий и вторжений в малых промышленных сетях.

Об авторах

Н. Ч. Буи
Московский физико-технический институт (национальный исследовательский университет)
Россия

аспирант кафедры инфокоммуникационных систем и сетей Московского физико-технического института (национального исследовательского университета)  



Ф. Ф. Пащенко
Московский физико-технический институт (национальный исследовательский университет); Институт проблем управления РАН им. академика В.А. Трапезникова
Россия

доктор технических наук, профессор, главный научный сотрудник Лаборатории № 40 «Интеллектуальных систем управления и моделирования» Института
проблем управления им. В.А. Трапезникова РАН, профессор кафедры инфокоммуникационных систем и сетей Московского физико-технического института
(национального исследовательского университета)



Ф. Т. То
Московский физико-технический институт (национальный исследовательский университет)
Россия

аспирант кафедры инфокоммуникационных систем и сетей Московского физико-технического института (национального исследовательского университета) 



Список литературы

1. Dehlaghi-Ghadim A., Moghadam H.M., Balador A., Hansson H. Anomaly Detection Dataset for Industrial Control Systems // IEEE Access. 2023. Vol. 11. PP. 107982–107996. DOI:10.1109/ACCESS.2023.3320928. EDN:ZMFCCE

2. Shi Z., Luktarhan N., Song Y., Yin H. TSFN: A Novel Malicious Traffic Classification Method Using BERT and LSTM // Entropy. 2023. Vol. 25. Iss. 5. P. 821. DOI:10.3390/e25050821. EDN:HNRTUY

3. Afifi F., Zaki F., Hanif H., Aqil N., Anuar N.B. Transformer-based tokenization for IoT traffic classification across diverse network environments // PeerJ Computer Science. 2025. Vol. 11. P. e3126. DOI:10.7717/peerj-cs.3126. EDN:LFNGZM

4. Marino D.L., Wickramasinghe C.S., Rieger C., Manic M. Self-Supervised and Interpretable Anomaly Detection Using Network Transformers // IEEE Transactions on Industrial Informatics. 2025. Vol. 21. Iss. 5. PP. 4252–4261. DOI:10.1109/TII.2025.3534443. EDN:GDCTHE

5. Buczak A.L., Guven E. A Survey of Data Mining and Machine Learning Methods for Cyber Security Intrusion Detection // IEEE Communications Surveys & Tutorials. 2016. Vol. 18. Iss. 2. PP. 1153–1176. DOI:10.1109/COMST.2015.2494502

6. Mitchell R., Chen I.-R. A survey of intrusion detection techniques for cyber-physical systems // ACM Computing Surveys. 2014. Vol. 46. Iss. 4. P. 55. DOI:10.1145/2542049. EDN:OQKUJE

7. Mathur A.P., Tippenhauer N.O. SWaT: a water treatment testbed for research and training on ICS security // Proceedings of the International Workshop on Cyber-Physical Systems for Smart Water Networks (CySWater, Vienna, Austria, 11 April 2016). IEEE, 2016. PP. 31–36. DOI:10.1109/CySWater.2016.7469060

8. Ahmed C.M., Palleti V.R., Mathur A.P. WADI: a water distribution testbed for research in the design of secure cyber physical systems // Proceedings of the 3rd International Workshop on Cyber-Physical Systems for Smart Water Networks (CySWater, Pittsburgh, USA, 21 April 2017). New York: ACM, 2017. PP. 25–28. DOI:10.1145/3055366.3055375

9. Anthi E., Williams L., Burnap P., Jones K. A three-tiered intrusion detection system for industrial control systems // Journal of Cybersecurity. 2021. Vol. 7. Iss. 1. P. tyab006. DOI:10.1093/cybsec/tyab006. EDN:PZNPOU

10. Stouffer K., Pease M., Tang C., Zimmerman T., Pillitteri V., Lightman S., et al. NIST SP 800-82 Rev. 3. Guide to Operational Technology (OT) Security. 2023. DOI:10.6028/NIST.SP.800-82r3

11. Goldenberg I., Wool A. Accurate modeling of Modbus/TCP for intrusion detection in SCADA systems // International Journal of Critical Infrastructure Protection. 2013. Vol. 6. Iss. 2. PP. 63–75. DOI:10.1016/j.ijcip.2013.05.001

12. Azab A., Khasawneh M., Alrabaee S., Choo K.K.R., Sarsour M. Network traffic classification: Techniques, datasets, and challenges // Digital Communications and Networks. 2024. Vol. 10. Iss. 3. PP. 676–692. DOI:10.1016/j.dcan.2022.09.009. EDN:BWGLKV

13. Mirsky Y., Doitshman T., Elovici Y., Shabtai A. Kitsune: An Ensemble of Autoencoders for Online Network Intrusion Detection // Network and Distributed System Security Symposium (NDSS, San Diego, USA, 18–21 February 2018). 2018. DOI:10.14722/ndss.2018.23204

14. Lotfollahi M., Siavoshani M.J., Zade R.S.H., Saberian M. Deep packet: a novel approach for encrypted traffic classification using deep learning // Soft Computing. 2020. Vol. 24. P. 1999–2012. DOI:10.1007/s00500-019-04030-2. EDN:XWSLQV

15. Vaswani A., Shazeer N., Parmar N., Uszkoreit J., Jones L., Gomez A.N., et al. Attention Is All You Need // Advances in Neural Information Processing Systems. 2017. DOI:10.48550/arXiv.1706.03762

16. Devlin J., Chang M.-W., Lee K., Toutanova K. BERT: Pre-training of Deep Bidirectional Transformers for Language Understanding // Proceedings of the Conference of the North American Chapter of the Association for Computational Linguistics (NAACL, Minneapolis, USA, 2 – 7 June 2019). 2019. DOI:10.48550/arXiv.1810.04805

17. Lin X., Xiong G., Gou G., Li Z., Shi J., Yu J. ET-BERT: A Contextualized Datagram Representation with Pre-training Transformers for Encrypted Traffic Classification // arXiv2202.06335. 2022. DOI:10.48550/arXiv.2202.06335

18. Meng X., Lin C., Wang Y., Zhang Y. NetGPT: Generative Pretrained Transformer for Network Traffic // arXiv:2304.09513. 2023. DOI:10.48550/arXiv.2304.09513

19. Brenner P., Fabini J., Offermanns M., Semper S., Zseby T. Malware communication in smart factories: A network traffic data set // Computer Networks. 2024. Vol. 255. P. 110804. DOI:10.1016/j.comnet.2024.110804. EDN:FZKJWH

20. Malware in Smart Factory // TU Wien Research Data Repository. 2024. DOI:10.48436/2sv8c-ykc69

21. Paxson V. Bro: a system for detecting network intruders in real-time // Computer Networks. 1999. Vol. 31. Iss. 23–24. PP. 2435–2463. DOI:10.1016/S1389-1286(99)00112-7

22. Dietmüller A., Ray S., Jacob R., Vanbever L. A new hope for network model generalization // Proceedings of the 21st ACM Workshop on Hot Topics in Networks (HotNets ’22, Austin, USA, 14–15 November 2022). New York: Association for Computing Machinery, 2022. PP. 152–159. DOI:10.1145/3563766.3564104

23. Teixeira A.M.H., Shames I., Sandberg H., Johansson K.H. Revealing stealthy attacks in control systems // Proceedings of the 50th Annual Allerton Conference on Communication, Control, and Computing (Monticello, USA, 01–05 October 2012). IEEE, 2012. PP. 1806–1813. DOI:10.1109/Allerton.2012.6483441

24. Teixeira A., Shames I., Sandberg H., Johansson K.H. A secure control framework for resource-limited adversaries // Automatica. 2015. Vol. 51. PP. 135–148. DOI:10.1016/j.automatica.2014.10.067

25. Kim J., Back J., Park G., Lee C., Shim H., Voulgaris P.G. Neutralizing zero dynamics attack on sampled-data systems via generalized holds // Automatica. 2020. Vol. 113. P. 108778. DOI:10.1016/j.automatica.2019.108778. EDN:GKLFBB

26. Tuli S., Casale G., Jennings N.R. TranAD: Deep Transformer Networks for Anomaly Detection in Multivariate Time Series Data // Proceedings of the VLDB Endowment. 2022. Vol. 15. Iss. 6. PP. 1201–1214. DOI:10.14778/3514061.3514067. EDN:LPTVUQ


Рецензия

Для цитирования:


Буи Н.Ч., Пащенко Ф.Ф., То Ф.Т. Представление промышленного трафика и кодирование протокольной семантики для трансформерных моделей в малых сетях Industrial Ethernet. Труды учебных заведений связи. 2026;12(2):74-91. https://doi.org/10.31854/1813-324X-2026-12-2-74-91. EDN: GEUZWL

For citation:


Bui N.T., Pashchenko F.F., To P.T. Representation of Industrial Traffic and Encoding of Protocol Semantics for Transformer Models in Small Industrial Ethernet Networks. Proceedings of Telecommunication Universities. 2026;12(2):74-91. (In Russ.) https://doi.org/10.31854/1813-324X-2026-12-2-74-91. EDN: GEUZWL

Просмотров: 132

JATS XML


Creative Commons License
Контент доступен под лицензией Creative Commons Attribution 4.0 License.


ISSN 1813-324X (Print)
ISSN 2712-8830 (Online)