Обнаружение и объяснение аномалий в индустриальных системах интернета вещей на основе автокодировщика

Левшун Д.А.; Левшун Д.С.; Котенко И.В.; Levshun D.A.; Levshun D.S.; Kotenko I.V.

doi:10.18287/2223-9537-2025-15-1-96-113

Обнаружение и объяснение аномалий в индустриальных системах интернета вещей на основе автокодировщика

Автор: Левшун Д.А., Левшун Д.С., Котенко И.В.

Журнал: Онтология проектирования @ontology-of-designing

Рубрика: Инжиниринг онтологий

Статья в выпуске: 1 (55) т.15, 2025 года.

Бесплатный доступ

В индустриальных системах Интернета вещей объяснение аномалий может помочь выявить узкие места и способствовать оптимизации процессов. В статье предлагается подход к обнаружению аномалий при помощи автокодировщика и их объяснению на основе метода аддитивных объяснений Шепли. Результатом объяснения аномалий является предоставление набора признаков данных в индустриальных системах Интернета вещей, более всего повлиявших на обнаружение аномальных случаев. Новизна предложенного подхода заключается в способности определять вклад отдельных признаков для выбранных образцов данных и вычислять средний вклад для всей выборки в виде рейтинга признаков. Оценка предлагаемого подхода проводится на наборах данных индустриального Интернета вещей с различным количеством признаков и объёмом данных. Итоговая F -мера обнаружения аномалий достигает 88-93%, что превосходит рассмотренные в статье аналоги. Показано, как объяснимый искусственный интеллект может помочь раскрыть причины аномалий в отдельных образцах и в выборке данных. В качестве теоретической значимости предложенного подхода можно выделить то, что анализ аномалий помогает разобраться в работе интеллектуальных моделей обнаружения, позволяя выявлять факторы, влияющие на их выводы, и открывая ранее незамеченные закономерности. На практике предложенный метод может улучшить понимание текущих процессов для операторов систем безопасности, способствуя выявлению угроз и обнаружению ошибок в данных.

Еще

Информационная безопасность, обнаружение аномалий, индустриальные системы интернета вещей, автокодировщик, объяснимый искусственный интеллект

Короткий адрес: https://sciup.org/170208821

IDR: 170208821 | УДК: 004.056 | DOI: 10.18287/2223-9537-2025-15-1-96-113

Detecting and explaining anomalies in industrial internet of things systems using an autoencoder

In industrial Internet of Things (IoT) systems, explaining anomalies plays a crucial role in identifying bottlenecks and optimizing processes. This paper proposes an approach to anomaly detection using an autoencoder and its explanation based on the SHAP method. The purpose of the anomaly explanation is to provide a set of data features in industrial IoT systems that most significantly influence anomaly detection. The novelty of this approach lies in its ability to quantify the contribution of individual features for specific data samples and to calculate an average contribution across the dataset, providing a feature importance ranking. The proposed approach is tested on Industrial IoT datasets with varying feature counts and data volumes. The anomaly detection achieves an F-measure of 88-93%, outperforming the comparable methods discussed. The study demonstrates how explainable artificial intelligence can identify the causes of anomalies in both individual samples and datasets as a whole. The theoretical importance of the proposed approach lies in its ability to shed light on the workings of intelligent detection models, enabling the identification of factors influencing their outcomes and uncovering previously unnoticed patterns. In practice, this method enhances security system operators' understanding of ongoing processes, aiding in threat identification and error detection within data.

Еще

Список литературы Обнаружение и объяснение аномалий в индустриальных системах интернета вещей на основе автокодировщика

Levshun D., Chevalier Y., Kotenko I., Chechulin A. Design and verification of a mobile robot based on the integrated model of cyber-Physical systems. Simulation Modelling Practice and Theory. 2020. Vol.105. P.102151. DOI: 10.1016/j.simpat.2020.102151.
Федорченко Е.В., Новикова Е.С., Котенко И.В., Гайфулина Д.А., Тушканова О.Н., Левшун Д.С., Мелешко А.В., Муренин И.Н., Коломеец М.В. Система измерения защищенности информации и персональных данных для устройств интернета вещей. Вопросы кибербезопасности. 2022. №5. С.28-46. DOI: 10.681/2311-3456-2022-5-28-46.
Levshun D., Kotenko I. A survey on artificial intelligence techniques for security event correlation: models, challenges, and opportunities. Artificial Intelligence Review. 2023. Vol.56(8). P.8547-8590. DOI: 10.1007/s10462-022-10381-4.
Котенко И.В., Левшун Д.А. Методы интеллектуального анализа системных событий для обнаружения многошаговых кибератак: использование методов машинного обучения. Искусственный интеллект и принятие решений. 2023. №3. С. 3-15. DOI: 10.14357/20718594230301.
Nwakanma C.I., Ahakonye L.A.C., Njoku J.N., Odirichukwu J.C., Okolie S.A., Uzondu C., Kim D.S. Explainable Artificial Intelligence (XAI) for Intrusion Detection and Mitigation in Intelligent Connected Vehicles: A Review. Applied Sciences. 2023. Vol.13(3). P.1252. DOI: 10.3390/app13031252.
Lundberg S.M., Lee S.I. A unified approach to interpreting model predictions. Advances in neural information processing systems. 2017. Vol.30. P.1-10. DOI: 10.48550/arXiv.1705.07874.
Yang H., Liang S., Ni J., Li H., Shen X.S. Secure and efficient k NN classification for industrial Internet of Things. IEEE Internet of Things Journal. 2020. Vol.7(11). P.10945-10954. DOI: 10.1109/JIOT.2020.2992349.
Hosseinzadeh M., Rahmani A.M., Vo B., Bidaki M., Masdari M., Zangakani M. Improving security using SVMbased anomaly detection: issues and challenges. Soft Computing. 2021. Vol.25(4). P.3195-3223. DOI: 10.1007/s00500-020-05373-x.
Khan M.A., Abuhasel K.A. An evolutionary multi-hidden Markov model for intelligent threat sensing in industrial internet of things. The Journal of Supercomputing. 2021. Vol.77(6). P.6236-6250. DOI:10.1007/s11227-020-03513-6.
Illy P., Kaddoum G., de Araujo-Filho P.F., Kaur K., Garg S. A hybrid multistage DNN-based collaborative IDPS for high-risk smart factory networks. IEEE Transactions on Network and Service Management. 2022. Vol.19(4). P.4273-4283. DOI: 10.1109/TNSM.2022.3202801.
Nandanwar H., Katarya R. Deep learning enabled intrusion detection system for Industrial IOT environment. Expert Systems with Applications.2024. Vol. 249. P.123808. DOI: 10.1016/j.eswa.2024.123808.
Setitra M.A., Fan M., Agbley B.L.Y., Bensalem Z.E.A. Optimized MLP-CNN model to enhance detecting DDoS attacks in SDN environment. Network. 2023. Vol.3(4). P.538-562. DOI: 10.3390/network3040024.
Hasan T., Malik J., Bibi I., Khan W.U., Al-Wesabi F.N., Dev K., Huang G. Securing industrial internet of things against botnet attacks using hybrid deep learning approach. IEEE Transactions on Network Science and Engineering. 2022. Vol.10(5). P.2952-2963. DOI: 10.1109/TNSE.2022.3168533.
Pang G., Shen C., Cao L., Hengel A.V.D. Deep learning for anomaly detection: A review. ACM computing surveys (CSUR). 2021. Vol.54(2). P.1-38. DOI: 10.1145/3439950.
Abdulaal A., Liu Z., Lancewicki T. Practical Approach to Asynchronous Multivariate Time Series Anomaly Detection and Localization. In:. Proc. of the 27th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining. 2021. P.2485-2494. DOI: 10.1145/3447548.3467174.
Li Z., Zhao Y., Han J., Su Y., Jiao R., Wen X., Pei D. Multivariate Time Series Anomaly Detection and Interpretation using Hierarchical Inter-Metric and Temporal Embedding. In.: Proc. of the 27th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining. 2021. P.3220-3230. DOI: 10.1145/3447548.3467075.
Kravchik M., Shabtai A. Efficient cyber attack detection in industrial control systems using lightweight neural networks and PCA. IEEE transactions on dependable and secure computing. 2021. Vol.19(4). P.2179-2197. DOI: 10.1109/TDSC.2021.3050101.
Liu Y., Xu L., Yang, S., Zhao D., Li X. Adversarial sample attacks and defenses based on LSTM-ED in industrial control systems // Computers & Security. 2024. Vol. 140. P.103750. DOI: 10.1016/j.cose.2024.103750.
Audibert J., Michiardi P., Guyard F., Marti S, Zuluaga M.A. USAD: Unsupervised Anomaly Detection on Multivariate Time Series. In.: Proc. of the 26th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining. 2020. P. 3395-3404. DOI: 10.1145/3394486.3403392.
Han S., Woo S.S. Learning sparse latent graph representations for anomaly detection in multivariate time series. In.: Proc. of the 28th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining. 2022. P.2977-2986. DOI: 10.1145/3534678.3539117.
Utkin L., Konstantinov A. An Extension of the Neural Additive Model for Uncertainty Explanation of Machine Learning Survival Models // Cyber-Physical Systems: Intelligent Models and Algorithms. Cham: Springer International Publishing, 2022. P.3-13. DOI: 10.1007/978-3-030-95116-0_1.
Chen Q., Pan G., Chen W., Wu P. A novel explainable deep belief network framework and its application for feature importance analysis. IEEE Sensors Journal. 2021. Vol. 21(22). P.25001-25009. DOI: 10.1109/JSEN.2021.3084846.
Zolanvari M., Yang Z., Khan K., Jain R., Meskin N. TRUST XAI: Model-agnostic explanations for ai with a case study on iiot security. IEEE Internet of Things Journal. 2023. Vol.10(4). P.2967-2978. DOI: 10.1109/JIOT.2021.3122019.
Ribeiro M.T., Singh S., Guestrin C. "Why should i trust you?" Explaining the predictions of any classifier. In.: Proc. of the 22nd ACM SIGKDD International Conference on Knowledge Discovery & Data Mining. 2016. P.1135-1144. DOI: 10.1145/2939672.2939778.
Liu M., Shi J., Cao K., Zhu J., Liu S. Analyzing the training processes of deep generative models. IEEE transactions on visualization and computer graphics. 2017. Vol.24(1). P.77-87. DOI: 10.1109/TVCG.2017.2744938.
Wang P.Y., Galhotra S., Pradhan R., Salimi B. Demonstration of generating explanations for black-box algorithms using Lewis. In.: Proc. of the VLDB Endowment. 2021. Vol.14(12). P.2787-2790. DOI: 10.14778/3476311.3476345.
Moradi M., Samwald M. Post-hoc explanation of black-box classifiers using confident item sets. Expert Systems with Applications. 2021. Vol.165. P.113941. DOI: 10.1016/j.eswa.2020.113941.
Nourani M., Roy C., Block J. E., Honeycutt D. R., Rahman T., Ragan E., Gogate V. Anchoring bias affects mental model formation and user reliance in explainable ai systems. In.: Proc. of the 26th International Conference on Intelligent User Interfaces. 2021. P.340-350. DOI: 10.1145/3397481.3450639.
Abou El Houda Z., Brik B., Senouci S.M. A novel iot-based explainable deep learning framework for intrusion detection systems. IEEE Internet of Things Magazine. 2022. Vol.5(2). P.20-23. DOI: 10.1109/IOTM.005.2200028.
Kopp M., Pevný T., Holeňa M. Anomaly explanation with random forests. Expert Systems with Applications. 2020. Vol.149. P.113187. DOI: 10.1016/j.eswa.2020.113187.
Antwarg L., Miller R.M., Shapira B., Rokach L. Explaining anomalies detected by autoencoders using Shapley Additive Explanations // Expert systems with applications. 2021. Vol. 186. P.115736. DOI: 10.1016/j.eswa.2020.113187.
Nguyen Q.P., Lim K.W., Divakaran D.M., Low K.H., Chan M.C. Gee: A gradient-based explainable variational autoencoder for network anomaly detection. In.: Proc of the 2019 IEEE Conference on Communications and Network Security (CNS). 2019. P.91-99. DOI: 10.1109/CNS.2019.8802833.
Takeishi N. Shapley values of reconstruction errors of PCA for explaining anomaly detection. In.: Proc of the 2019 international conference on data mining workshops (ICDMW). 2019. P.793-798. DOI: 10.1109/ICDMW.2019.00117.
Roshan K., Zafar A. Utilizing XAI technique to improve autoencoder based model for computer network anomaly detection with shapley additive explanation (SHAP). International Journal of Computer Networks & Communications (IJCNC). 2021. Vol.13(6). P.1-20. DOI: 10.5121/ijcnc.2021.13607.
Huong T.T., Bac T.P., Ha K.N., Hoang N.V., Hoang N.X., Hung N.T., Tran K.P. Federated learning-based explainable anomaly detection for industrial control systems. IEEE Access. 2022. Vol.10. P.53854-53872. DOI: 10.1109/ACCESS.2022.3173288.
Mathuros K., Venugopalan S., Adepu S. WaXAI: Explainable Anomaly Detection in Industrial Control Systems and Water Systems. In.: Proceedings of the 10th ACM Cyber-Physical System Security Workshop. 2024. P.3-15. DOI: 10.1145/3626205.3659147.
Snoek J., Larochelle H., Adams R. P. Practical bayesian optimization of machine learning algorithms. Advances in neural information processing systems. 2012. Vol.25. P.1-9. DOI: 10.48550/arXiv.1206.2944.
Taormina R., Galelli S., Tippenhauer N. O., Salomons E., Ostfeld A., Eliades D. G. Battle of the attack detection algorithms: Disclosing cyber attacks on water distribution networks. Journal of Water Resources Planning and Management. 2018. Vol.144(8). P.04018048. DOI: 10.1061/(ASCE)WR.1943-5452.0000969.
Shin H.K., Lee W., Yun J.H., Min B.G. Two ICS security datasets and anomaly detection contest on the HILbased augmented ICS testbed. In.: Proceedings of the 14th Cyber Security Experimentation and Test Workshop. 2021. P.36-40. DOI: 10.1145/3474718.3474719.
Kim B., Alawami M.A., Kim E., Oh S., Park J., Kim H. A comparative study of time series anomaly detection models for industrial control systems. Sensors. 2023. Vol.23(3). P.1310. DOI: 10.3390/s23031310.

Еще