Узнайте, кто. Сообщите в SOC/нкцки. Сообщите провайдеру.

Вам необходимо расследовать? или просто надо блокировать источник ? или до конца просканировать?)

Kaspersky запатентовала технологию на базе машинного обучения для MLAD
https://www.anti-malware.ru/news/2020-09-03-111332/33579

И на чем она обучаться будет?

На дровах, угле, нефти и газе.... Простите, вырвалось)

так можно пройти по ссылочкам и внимательно прочитать
https://mlad.kaspersky.ru/

Я имел ввиду кто будет заниматься разметкой датасетов)

В нейросети не надо размечать ничего

Вопрос в другом - зачем тут нейросеть и почему нельзя обойтись обычным поиском аномалий на базе статистики?

https://mlad.kaspersky.ru/technologies/

За основу прогноза берется совокупность уже поступивших значений технологических параметров за определенное время — окно входных данных.
На основе окна входных данных нейронная сеть из состава ML-модели дает прогноз, какие значения должны принять технологические параметры на некотором определенном отрезке времени (окно прогноза) в определенном недалеком будущем (горизонт прогноза).
По разнице между прогнозируемыми и реально наблюдаемыми значениями технологических параметров Kaspersky MLAD высчитывает ошибки прогноза для каждого технологического параметра.
По совокупности ошибок прогноза Kaspersky MLAD высчитывает среднеквадратическую ошибку (MSE). Каждому технологическому параметру сопоставлен вес, с учетом которого рассчитывается ошибка. Например, для АСУ ТП химического производства показания датчика давления внутри химического реактора важнее, чем показания датчика атмосферного давления в цеху, поэтому отклонение от нормы показаний датчика давления в реакторе будет сильнее влиять на общую ошибку.
Аномалия регистрируется в том случае, если среднеквадратическая ошибка превышает порог, заданный на этапе подготовки ML-модели.

В обычной офисной сети я еще могу понять применение ML для обнаружения аномалий. Но в технологическом процессе? Там настолько много отклонений в совершенно различных диапазонах, что для них нельзя задать дельту или прописать комбинацию отслеживаемых параметров?

Возможно, сделано для новых датчиков, чтобы нейронка умела подстраиваться под новые железки

Основываясь на предыдущем опыте

Да пофиг вроде, какая там железка. У процесса же есть определенные параметры, включая отклонения от нормы и совсем уж запороговые значения. Их можно описать. Порты, протоколы, приложения известны. Число пользователей ограничено. Информационные потоки тоже. Зачем там ML?

А, вдруг, можно вывести из строя, не выходя за границы значений

То есть, при определенной комбинации значений, что-то пойдет не так

И нейронка сумеет это понять

Вот это как раз и хотелось бы понять. Насколько это реальная, а не выдуманная ситуация, и есть ли уже примеры, хотя бы на стенде, сработки MLAD там, где не срабатывают другие механизмы защиты

SCADA же сама и делается для контроля техпроцессов, в ней уже есть уставки и сигнализация о выходе за пределы допустимых значений и тд. В чем разница тогда и каковы сценарии использования MLAD? Насколько помню, уже несколько похожих систем было, но так и не прижились.

Хотят люди, чтобы у них аварийные сигналы блокировались - пусть делают 😊