Formation of recommendations for critical infrastructure objects based on streaming data, machine learning and artificial intelligence approaches

The article addresses the problem of generating recommendations for critical infrastructure objects under conditions of increasing cyber threats, large volumes of streaming data, and the need for rapid decision-making. The relevance of the study is determined by the necessity to enhance the resilien...

Повний опис

Збережено в:
Бібліографічні деталі
Дата:2026
Автори: Huskova, V.G., Shkolnikov, V.I., Lysov, B.S., Khalygov, A.A.
Формат: Стаття
Мова:Українська
Опубліковано: PROBLEMS IN PROGRAMMING 2026
Теми:
Онлайн доступ:https://pp.isofts.kiev.ua/index.php/ojs1/article/view/1022
Теги: Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
Назва журналу:Problems in programming
Завантажити файл: Pdf

Репозитарії

Problems in programming
_version_ 1869381591062544384
author Huskova, V.G.
Shkolnikov, V.I.
Lysov, B.S.
Khalygov, A.A.
author_facet Huskova, V.G.
Shkolnikov, V.I.
Lysov, B.S.
Khalygov, A.A.
author_institution_txt_mv [ { "author": "V.G. Huskova", "institution": "NTUU \"KPI\"" }, { "author": "V.I. Shkolnikov", "institution": "National Academy of Internal Affairs" }, { "author": "B.S. Lysov", "institution": "NTUU \"KPI\"" }, { "author": "A.A. Khalygov", "institution": "Institute of Telecommunications and Global \nInformation Environment of the NAS of Ukraine" } ]
author_sort Huskova, V.G.
baseUrl_str https://pp.isofts.kiev.ua/index.php/ojs1/oai
collection OJS
datestamp_date 2026-06-29T10:43:50Z
description The article addresses the problem of generating recommendations for critical infrastructure objects under conditions of increasing cyber threats, large volumes of streaming data, and the need for rapid decision-making. The relevance of the study is determined by the necessity to enhance the resilience of critical infrastructure through the use of intelligent decision support systems. The purpose of the research is to develop an integrated approach to recommendation generation based on streaming data, machine learning methods, Bayesian ranking, and explainable artificial intelligence. The study employs methods of anomaly detection, threat classification, risk forecasting, rule-based filtering, and XAI approaches for explaining generated recommendations. The proposed architecture provides real-time data processing and takes into account risks, security policies, and the operational context of the infrastructure object. Experimental validation on datasets demonstrated high system efficiency: F1 = 0.90, AUROC = 0.96, while processing latency did not exceed 0.8 s under a load of up to 10,000 messages per second. It was established that the adaptive self-updating mechanism reduces the number of false alarms by 43% and increases operators’ trust in the recommendation system. The obtained results confirm the prospects for the practical application of the proposed approach in supporting decision-making processes at critical infrastructure facilities.Problems in programming 2026; 2: 16-27
first_indexed 2026-06-30T01:00:10Z
format Article
fulltext Штучний інтелект 16 © В.Г. Гуськова, В.І. Школьніков, Б.С. Лисов, А.А. Халигов, 2026 ISSN 1727-4907. Проблеми програмування. 2026. №2 https://pp.isofts.kiev.ua CC BY 4.0 УДК 004.8+004.9 https://doi.org/10.15407/pp2026.02.016 В.Г. Гуськова, В.І. Школьніков, Б.С. Лисов, А.А. Халигов ФОРМУВАННЯ РЕКОМЕНДАЦІЙ ДЛЯ ОБ’ЄКТІВ КРИТИЧНОЇ ІНФРАСТРУКТУРИ НА ОСНОВІ ПОТОКОВИХ ДАНИХ, МАШИННОГО НАВЧАННЯ ТА ПІДХОДІВ ШТУЧНОГО ІНТЕЛЕКТУ У статті розглянуто проблему формування рекомендацій для об’єктів критичної інфраструктури в умо- вах зростання кіберзагроз, великого обсягу потокових даних та необхідності оперативного ухвалення рішень. Актуальність дослідження зумовлена потребою підвищення стійкості критичної інфраструктури шляхом використання інтелектуальних систем підтримки ухвалення рішень. Метою роботи є розроб- лення інтегрованого підходу до формування рекомендацій на основі потокових даних, методів машин- ного навчання, байєсівського ранжування та пояснюваного штучного інтелекту. У дослідженні викори- стано методи виявлення аномалій, класифікації загроз, прогнозування ризиків, rule-based фільтрації та XAI-підходи для пояснення сформованих рекомендацій. Запропонована архітектура забезпечує обробку даних у режимі реального часу, враховує ризики, політики безпеки та контекст функціонування об’єкта. Експериментальна перевірка на наборах даних показала високу ефективність системи: F1 = 0,90, AUROC = 0,96, затримка обробки не перевищує 0,8 с при навантаженні до 10 000 повідомлень за секунду. Вста- новлено, що механізм адаптивного самооновлення дозволяє зменшити кількість хибних тривог на 43 % та підвищити рівень довіри операторів до рекомендаційної системи. Отримані результати підтверджують перспективність практичного використання запропонованого підходу для підтримки ухвалення рішень на об’єктах критичної інфраструктури. Ключові слова: об’єкти критичної інфраструктури, рекомендаційна система, потокові дані, машинне на- вчання, пояснюваний штучний інтелект, оцінювання ризиків, виявлення аномалій, байєсівське ранжу- вання, підтримка ухвалення рішень V.G. Huskova, V.I. Shkolnikov, B.S. Lysov, A.A. Khalygov FORMATION OF RECOMMENDATIONS FOR CRITICAL INFRASTRUCTURE OBJECTS BASED ON STREAMING DATA, MACHINE LEARNING, AND ARTIFICIAL INTELLIGENCE APPROACHES The article addresses the problem of generating recommendations for critical infrastructure objects under conditions of increasing cyber threats, large volumes of streaming data, and the need for rapid decision-making. The relevance of the study is determined by the necessity to enhance the resilience of critical infrastructure through the use of intelligent decision support systems. The purpose of the research is to develop an integrated approach to recommendation generation based on streaming data, machine learning methods, Bayesian ranking, and explainable artificial intelligence. The study employs methods of anomaly detection, threat classification, risk forecasting, rule-based filtering, and XAI approaches for explaining generated recommendations. The proposed architecture provides real-time data processing and takes into account risks, security policies, and the operational context of the infrastructure object. Experimental validation on datasets demonstrated high system efficiency: F1 = 0.90, AUROC = 0.96, while processing latency did not exceed 0.8 s under a load of up to 10,000 messages per second. It was established that the adaptive self-updating mechanism reduces the number of false alarms by 43% and increases operators’ trust in the recommendation system. The obtained results confirm the prospects for the practical application of the proposed approach in supporting decision-making processes at critical infrastructure facilities. Keywords: critical infrastructure objects, recommendation system, streaming data, machine learning, explainable artificial intelligence, risk assessment, anomaly detection, Bayesian ranking, decision support Штучний інтелект 17 Вступ Сучасне суспільство значною мірою залежить від стабільного та безперебійного функціонування об’єктів критичної інфра- структури (ОКІ), до яких належать енерге- тичні системи, транспортні вузли, водопо- стачання, зв’язок, охорона здоров’я та інші життєво важливі сфери. Згідно з Директи- вою ЄС 2008/114/EC [1], критична інфра- структура — це об’єкти, системи або їх ча- стини, які мають надзвичайно важливе зна- чення для забезпечення життєдіяльності населення, охорони здоров’я, безпеки, еко- номічного або соціального добробуту. На- ціональна система захисту критичної ін- фраструктури України, визначена у Законі України «Про основні засади забезпечення кібербезпеки України» [2], також відносить до КІ об’єкти, порушення функціонування яких може мати серйозні наслідки для дер- жави, суспільства або громадян. У світлі нових викликів, зокрема зростання кіберзагроз, гібридних атак та те- хногенних ризиків, зростає актуальність зміни підходів до захисту КІ. Відомі кейси атак на енергетичну інфраструктуру Укра- їни (наприклад, атака BlackEnergy) підтвер- джують необхідність переходу до більш адаптивних систем управління безпекою [3], [4]. Традиційні методи оцінювання за- гроз і планування заходів безпеки посту- пово втрачають ефективність через експо- ненційне зростання обсягів даних, що гене- руються сенсорами, телеметрією та логами подій. Це вимагає впровадження інтелекту- альних систем аналізу великих потоків да- них у реальному часі — зокрема, з викори- станням технологій машинного навчання (ML) та потокової аналітики [5], [6]. Однією з ключових проблем у цьому контексті є ухвалення рішень у динамічних умовах, де повнота інформації відсутня, а час на реакцію обмежений. У таких умовах особливої ваги набувають автоматизовані рекомендаційні системи, які можуть одно- часно виявляти аномалії, оцінювати ризики та пропонувати оптимальні дії [7]. Постановка задачі Задача дослідження полягає у розро- бленні підходу до автоматизованого фор- мування рекомендацій для об’єктів критич- ної інфраструктури на основі аналізу пото- кових даних, що характеризують поточний стан об’єкта, зовнішнє середовище, рівень ризику, технічні параметри та історію попе- редніх подій. Необхідно побудувати таку мо- дель, яка здатна в режимі реального часу приймати на вхід багатовимірний набір даних, виявляти потенційно небезпечні стани, оцінювати рівень ризику та форму- вати набір обґрунтованих дій для опера- тора або системи підтримки ухвалення рі- шень. Водночас рекомендації мають вра- ховувати не лише технічні показники, а й контекст функціонування об’єкта, обме- ження часу реагування, політики безпеки та ефективність попередніх управлінсь- ких дій. Таким чином, постановка задачі зво- диться до визначення функціональної зале- жності між вхідними характеристиками об’єкта критичної інфраструктури та мно- жиною можливих рекомендацій, які мають мінімізувати ризики, підвищити стійкість системи та забезпечити своєчасне реагу- вання на потенційні загрози. Формально вхідний вектор можна подати як: 𝑋𝑋 = {𝑂𝑂, 𝐸𝐸, 𝑅𝑅, 𝑆𝑆, 𝐻𝐻} (1) де O — опис об’єкта; E — характе- ристики зовнішнього середовища; R — по- казники ризику; S — поточний стан сис- теми; H — історія подій. Тоді задача формування рекоменда- цій може бути подана як побудова функції: 𝑅𝑅𝑅𝑅𝑅𝑅 = 𝑓𝑓(𝑋𝑋, 𝐶𝐶) (2) де 𝑅𝑅𝑅𝑅𝑅𝑅 — множина рекомендованих дій; 𝑋𝑋 — вхідний вектор даних; 𝐶𝐶 — мно- жина контекстних та нормативних обме- жень, зокрема політики безпеки, часові об- меження, ресурсні та організаційні умови. На виході система повинна сформувати таку рекомендацію або набір рекомендацій, які є релевантними до поточного стану об’єкта, відповідають встановленим обме- женням і забезпечують зниження очікува- ного рівня ризику. Штучний інтелект 18 Аналіз останніх досліджень У сучасних дослідженнях дедалі бі- льше уваги приділяється застосуванню ма- шинного навчання, рекомендаційних сис- тем і пояснюваного штучного інтелекту для підтримки ухвалення рішень у сфері кібер- безпеки об’єктів критичної інфраструк- тури. Особливо актуальними ці підходи є для SCADA/ICS-середовищ, де необхідно не лише виявляти аномалії, а й оперативно формувати обґрунтовані рекомендації для оператора. Одним із базових напрямів є rule- based підходи, які використовують експер- тні правила та моделі допустимої поведінки системи. У роботі Yang et al. запропоновано rule-based систему виявлення вторгнень для SCADA-мереж із використанням Deep Packet Inspection, сигнатурного та model- based аналізу [1]. Такі системи мають ви- соку прозорість, однак обмежено адапту- ються до нових або комбінованих сценаріїв атак. Подальші дослідження пов’язані із застосуванням машинного навчання для виявлення вторгнень та аномалій у промис- лових системах керування. Umer et al. пока- зують, що ML-методи в КІ системах засто- совуються як для аналізу мережевого тра- фіку, так і для виявлення аномалій у фізич- них процесах [2]. Водночас автори підкрес- люють наявність практичних викликів, пов’язаних із впровадженням таких моде- лей в операційних середовищах. Окрему групу становлять підходи глибокого навчання для аналізу часових ря- дів промислових об’єктів. Зокрема, Zhao et al. розглядають метод виявлення аномалій в Industrial Control Systems на основі вимі- рювальних даних із використанням 1D- CNN, BiLSTM та оптимізації роя частинок [3]. Такі моделі демонструють високу ефе- ктивність, проте часто залишаються склад- ними для інтерпретації. Важливим напрямом є також засто- сування рекомендаційних систем у кібер- безпеці. Pawlicka et al. систематизують типи рекомендаційних систем та їх мож- ливі застосування для підтримки фахівців із кібербезпеки, зокрема для зменшення інфо- рмаційного перевантаження та вибору пріоритетних дій [4]. Ferreira et al. розгляда- ють рекомендаційні системи як інструме- нти підтримки ухвалення рішень, що мо- жуть інтегруватися із SIEM/SOAR-систе- мами та використовуватися для прогнозу- вання атак і навігаційної підтримки аналі- тиків [5]. Оскільки критична інфраструктура потребує не лише точності, а й довіри до рі- шень, окрему роль відіграють методи explainable AI. Capuano et al. зазначають, що XAI-підходи підвищують прозорість AI-рішень у кібербезпеці, зокрема в задачах виявлення вторгнень, шкідливого програм- ного забезпечення та в цифровій криміналі- стиці [6]. Водночас NIST формалізує клю- чові принципи пояснюваного ШІ: надання пояснення, його зрозумілість, точність і врахування меж знань системи [7]. Наявні підходи переважно розв’язують окремі за- дачі — виявлення аномалій, класифікацію загроз, прогнозування ризиків або пояс- нення рішень. Водночас актуальною зали- шається потреба в інтегрованому підході, який поєднує ці компоненти в єдиний реко- мендаційний контур для роботи з потоко- вими даними ОКІ в режимі реального часу. Мета дослідження Метою дослідження є розроблення науково обґрунтованого підходу до форму- вання рекомендацій для об’єктів критичної інфраструктури на основі аналізу потоко- вих даних, оцінювання ризиків та враху- вання контекстних обмежень функціону- вання таких об’єктів. У межах дослідження передбачається формалізувати структуру вхідних даних, контекстуальних парамет- рів і обмежень, що впливають на процес ге- нерування рекомендацій; розробити архіте- ктуру рекомендаційного механізму, який інтегрує виявлення аномалій, класифікацію загроз, прогнозування ризиків і ранжування управлінських дій. А також здійснити екс- периментальну перевірку запропонованого підходу на публічних і симульованих набо- рах даних, що репрезентують різні домени критичної інфраструктури, зокрема енерге- тику, водопостачання та хімічне виробниц- тво; оцінити ефективність окремих підсис- тем, зокрема XAI-компонента, байєсівсь- кого ранжування та RL-модуля, в умовах Штучний інтелект 19 реального часу; а також визначити практи- чну придатність запропонованої системи до впровадження в SCADA-середовищах з урахуванням вимог до швидкодії, прозоро- сті, надійності та підтримки відновлення пі- сля інцидентів. Методологія. Формування рекомен- дацій для об’єктів критичної інфраструк- тури розглядається як задача вибору опти- мальної дії з множини допустимих альтер- натив на основі поточного стану об’єкта, контексту функціонування, рівня ризику та наявних обмежень. На відміну від суто опи- сових підходів, запропонована методологія передбачає формалізацію вхідних парамет- рів, обмежень, типів рекомендацій і крите- рію вибору управлінської дії. Залежно від функціонального призначення рекоменда- ції поділяються на три основні класи: 𝑅𝑅𝑅𝑅𝑅𝑅 = {𝑅𝑅𝑅𝑅𝑐𝑐𝑝𝑝𝑝𝑝𝑝𝑝𝑝𝑝, 𝑅𝑅𝑅𝑅𝑐𝑐𝑟𝑟𝑟𝑟𝑟𝑟𝑟𝑟, 𝑅𝑅𝑅𝑅𝑐𝑐𝑜𝑜𝑜𝑜𝑜𝑜} (3) де 𝑅𝑅𝑅𝑅𝑐𝑐𝑝𝑝𝑝𝑝𝑝𝑝𝑝𝑝 — превентивні рекомен- дації, спрямовані на запобігання загроз; 𝑅𝑅𝑅𝑅𝑐𝑐𝑟𝑟𝑟𝑟𝑟𝑟𝑟𝑟 — рекомендації оператив- ного реагування, що активуються після ви- явлення інциденту або перевищення поро- гових значень ризику; 𝑅𝑅𝑅𝑅𝑐𝑐𝑜𝑜𝑜𝑜𝑜𝑜 — оптимізаційні рекоменда- ції, орієнтовані на підвищення ефективно- сті функціонування об’єкта. Для кожної можливої рекомендації 𝑟𝑟𝑖𝑖 ∈ 𝑅𝑅𝑅𝑅𝑅𝑅 визначається інтегральна оцінка корисності: 𝑈𝑈(𝑟𝑟𝑖𝑖|𝑋𝑋, 𝐶𝐶) = 𝛼𝛼 ⋅ 𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅(𝑟𝑟𝑖𝑖) + +𝛽𝛽 ⋅ 𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇+(𝑟𝑟𝑖𝑖)+𝛾𝛾 ⋅ 𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶(𝑟𝑟𝑖𝑖) + +𝛿𝛿 ⋅ 𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶(𝑟𝑟𝑖𝑖) (4) де - 𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅(𝑟𝑟𝑖𝑖) — очікуване зниження ризику після виконання рекомен- дації; - 𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇(𝑟𝑟𝑖𝑖) — своєчасність реалізації дії; - 𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶(𝑟𝑟𝑖𝑖) — економічна доцільність виконання рекомендації; - 𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶(𝑟𝑟𝑖𝑖) — відповід- ність політикам безпеки та нормативним вимогам; - α,β,γ,δ — вагові коефіцієнти важливості критеріїв, для яких виконується умова, що 𝛼𝛼 + 𝛽𝛽+ 𝛾𝛾 + 𝛿𝛿 = 1. Оптимальна рекомендація визнача- ється як дія з максимальною інтегральною корисністю за умови дотримання обме- жень: 𝑟𝑟∗ = 𝑎𝑎𝑎𝑎𝑎𝑎𝑎𝑎𝑎𝑎𝑎𝑎𝑎𝑎(𝑟𝑟𝑖𝑖|𝑋𝑋, 𝐶𝐶) (5) за умов: 𝑟𝑟𝑖𝑖 ∈ 𝐴𝐴𝑎𝑎𝑎𝑎𝑎𝑎𝑎𝑎𝑎𝑎 𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅(𝑟𝑟𝑖𝑖) ≤ 𝑅𝑅𝑚𝑚𝑚𝑚𝑚𝑚 𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇(𝑟𝑟𝑖𝑖) ≤ 𝑇𝑇𝑚𝑚𝑚𝑚𝑚𝑚 𝐶𝐶𝐶𝐶𝐶𝐶𝐶𝐶(𝑟𝑟𝑖𝑖) ≤ 𝐵𝐵𝑚𝑚𝑚𝑚𝑚𝑚 (6) де - 𝐴𝐴𝑎𝑎𝑎𝑎𝑎𝑎𝑎𝑎𝑎𝑎 — множина допусти- мих дій відповідно до політик безпеки; - 𝑅𝑅𝑚𝑚𝑚𝑚𝑚𝑚 — максимально допус- тимий рівень залишкового ризику; - 𝑇𝑇𝑚𝑚𝑚𝑚𝑚𝑚 — гранично допусти- мий час реагування; - 𝐵𝐵𝑚𝑚𝑚𝑚𝑚𝑚 — максимально допус- тимі витрати на реалізацію дії. Запропонована методологія дозво- ляє формалізувати процес формування ре- комендацій як багатокритеріальну задачу вибору дії в умовах обмежень. Її викорис- тання забезпечує узгодження рекомендацій із поточним станом об’єкта критичної ін- фраструктури, рівнем ризику, часовими й ресурсними обмеженнями, а також вимо- гами безпеки. Це створює основу для побу- дови адаптивного рекомендаційного меха- нізму, здатного підтримувати ухвалення рі- шень у режимі реального часу. Запропонована формалізація визна- чає загальну логіку вибору рекомендації, однак практична реалізація функції 𝑈𝑈(𝑟𝑟𝑖𝑖|𝑋𝑋, 𝐶𝐶) та механізму вибору 𝑟𝑟∗може здійснюватися різними модельними підхо- дами. У цьому контексті основні підходи до формування рекомендацій розглядаються як інструменти реалізації запропонованої методології: одні з них забезпечують пере- вірку дій на відповідність політикам без- пеки, інші — добір рекомендацій за подіб- ністю станів або використання досвіду ана- логічних об’єктів. Їх поєднання дозволяє перейти від загальної математичної поста- новки до практичного рекомендаційного Штучний інтелект 20 механізму для об’єктів критичної інфра- структури. Після формалізації задачі форму- вання рекомендацій доцільно розглянути основні класи моделей, які можуть бути ви- користані для реалізації функції: 𝑅𝑅𝑅𝑅𝑅𝑅(𝑡𝑡) = 𝑓𝑓(𝑥𝑥(𝑡𝑡), 𝐶𝐶) (7) До таких підходів належать rule- based системи, content-based filtering, collaborative filtering та hybrid approaches. Вони відрізняються джерелом знань, спосо- бом обробки даних і механізмом ранжу- вання можливих дій. Rule-based systems (на основі правил) — використовують експертні знання у ви- гляді логічних правил типу «якщо–то» для формування рішень [8]. Перевагою є зрозу- мілість, однак ефективність обмежується складністю оновлення правил та адаптації до нових умов. На рівні критеріїв пріорите- тне правило обирається за максимумом ваги або відповідності політиці безпеки. Content-based filtering — формує ре- комендації, аналізуючи характеристики об’єкта (наприклад, технічні параметри енергетичного вузла, профіль ризиків тощо) [9]. Такі системи менш залежні від зовнішніх джерел, але можуть втратити ефективність у разі недостатньої кількості даних. Collaborative filtering — спирається на схожість між об'єктами чи користува- чами (наприклад, інші об'єкти КІ з подіб- ною поведінкою) [10]. У контексті КІ це може бути використано для генерації сце- наріїв реагування, базуючись на досвіді аналогічних об'єктів. Hybrid approaches — поєднують кі- лька описаних вище підходів для підви- щення точності, стабільності та адаптивно- сті системи [11]. Щоб об’єднати переваги різних методів, вводимо агреговану оцінку 𝑠𝑠(ℎ𝑦𝑦𝑦𝑦)(𝑢𝑢, 𝑖𝑖) = 𝛼𝛼 ∙ 𝑠𝑠(𝑖𝑖) + 𝛽𝛽 ∙ 𝑟̂𝑟{𝑢𝑢, 𝑖𝑖} + +𝛾𝛾 ∙ 𝑟𝑟𝑟𝑟𝑟𝑟𝑟𝑟(𝑖𝑖) (8) де 𝑠𝑠(𝑖𝑖) — контентна схожість , 𝑟̂𝑟{𝑢𝑢, 𝑖𝑖} — прогнозована корисність з колаборативного шару, 𝑟𝑟𝑟𝑟𝑟𝑟𝑟𝑟(𝑖𝑖) — бінарний індикатор, що дія i проходить rule-based перевірку без- пеки, α + β + γ = 1 — вагові коефіцієнти, які формують баланс між пояснюваністю, персоналізацією та суворими правилами. Оптимізація (наприклад, байєсова або grid-пошук) добирає (α, β, γ) для макси- мізації обраної метрики — Precision@k, F1 чи мінімізації очікуваного ризику. У середовищі критичної інфраструк- тури дані 𝑥𝑥𝑖𝑖, 𝑝𝑝, а також матриця 𝑅𝑅 можуть змінюватися в часі t і залежать від контек- сту (середовище E(t), стан S(t)). Тому всі викладені формули реалізують у потоковій формі з обмеженнями на час реакції T_resp та бюджет B. Rule-based шар часто виконує роль «запобіжника», тоді як контентний і колаборативний шари забезпечують гнучке ранжування, а гібридна функція 𝑠𝑠(ℎ𝑦𝑦𝑦𝑦) ін- тегрує все в єдиний показник, на основі якого оператор отримує остаточні рекомен- дації. Використання ML/AI у рекомен- даціях. У сучасних об’єктах критичної ін- фраструктури щосекунди генеруються гіга- байти гетерогенних даних — від телеметрії IoT-сенсорів і SCADA-логів до мережевих пакетів та зовнішніх факторів, як погодні умови чи тарифне навантаження. Класичні аналітичні методи вже не встигають оброб- ляти цей потік у реальному часі, а ручний моніторинг стає як економічно, так і техні- чно неможливим. Саме тому останнім ча- сом значна увага приділяється впрова- дженню машинного навчання й штучного інтелекту як ядра систем ситуаційної обіз- наності. ML/AI-підхід дозволяє автомати- чно і зі збіжними часовими обмеженнями виявляти аномалії у поведінці обладнання, класифікувати типи загроз, прогнозувати розвиток подій та формувати пріоритетні дії для оператора. Завдяки цьому ОКІ пере- ходять від реактивної до проактивної мо- делі захисту: система не лише сигналізує про інцидент, а й заздалегідь оцінює його ймовірність, пропонуючи економічно об- ґрунтовані кроки для мінімізації ризику [12]. Таким чином, ML/AI інтегрується як критично важливий шар між сирим пото- ком даних і кінцевими управлінськими рі- шеннями, забезпечуючи безперервну, адап- Штучний інтелект 21 тивну та пояснювану підтримку операто- рам критичної інфраструктури. Рис. 1. Інтеграція ML/AI у процес роботи критичної інфраструктури Класичні рекомендаційні підходи (rule-based, контентні та колаборативні фільтри) залишаються важливою складо- вою систем ухвалення рішень, однак су- часні умови потребують їх доповнення ме- тодами машинного навчання та штучного інтелекту. Завдяки ML/AI досягається авто- матичне виявлення аномалій, класифікація загроз і прогнозування ризиків у реальному часі, що істотно підвищує рівень ситуацій- ної обізнаності та дозволяє переходити від реактивної до проактивної моделі управ- ління. Загальний опис задачі. Система си- туаційної обізнаності для об’єкта критичної інфраструктури (ОКІ) безперервно спосте- рігає потік мультидоменних даних 𝑋𝑋(𝑡𝑡) = [𝑥𝑥1(𝑡𝑡), 𝑥𝑥2(𝑡𝑡), … , 𝑥𝑥𝑑𝑑(𝑡𝑡)] 𝑇𝑇 𝑡𝑡 ∈ 𝑅𝑅 ≥ 0 (9) де 𝑥𝑥𝑗𝑗(𝑡𝑡) — сенсорні показники, логи, мережеві лічильники, зовнішні фактори (погода, тарифне навантаження тощо). Ме- тою є навчити функцію 𝑓𝑓: (𝑋𝑋(𝑡𝑡 − 𝜏𝜏: 𝑡𝑡), 𝐶𝐶) → {аномалія, клас загрози, прогноз стану, рекмендація} (10) де 𝜏𝜏 — вікно аналізу, 𝐶𝐶 — контекст / обмеження (політики безпеки, бюджет часу реакції). Щоб оператор критичної інфрастру- ктури міг реагувати на інциденти за лічені секунди, система має виконувати одразу кі- лька завдань: побачити відхилення, зрозу- міти їхню природу, спрогнозувати можливі наслідки й одразу запропонувати найкращу дію. Запропонована інтегрована ML-архі- тектура працює як єдиний потік-обробник даних та поєднує кілька спеціалізованих моделей у єдиний потоковий конвеєр, щоб перетворювати необроблені сенсорні дані на конкретні рекомендації для оператора. Стримінговий препроцесор готує дані, LSTM-автокодер миттєво виявляє аномалії, класифікатор визначає тип загрози, а LSTM-прогноз оцінює майбутній ризик [13]. Модуль ухвалення рішення зважує ці сигнали і через рівень правил безпеки, ви- дає дію, яка максимізує надійність і дотри- мується регламенту. Таке поєднання дозво- ляє одночасно реагувати на поточні анома- лії, пояснювати їхню природу й прогнозу- вати подальший розвиток подій. Рис. 2. Архітектура інтегрованого ML- конвеєра для формування рекомендацій на основі потокових даних Спершу стримінговий препроцесор безперервно приймає сенсорні дані, вико- нує їхню нормалізацію та розбиває на ков- зні вікна фіксованої довжини. Далі LSTM- автокодер порівнює отримане вікно з влас- ною реконструкцією: якщо помилка пере- вищує наперед заданий поріг, формується біт «аномалія». Розгорнутий вектор ознак того самого вікна передається у класифіка- тор — це може бути SVM або дерево рі- шень, яке присвоює події конкретний клас загрози (наприклад, «перегрів», «кібера- така» тощо). Паралельно інший LSTM-мо- дуль прогнозує еволюцію ключових показ- ників і оцінює майбутній ризик у нормова- ній шкалі від 0 до 1. На основі трьох сигналів — ознаки аномалії, ймовірності належності до кож- Штучний інтелект 22 ного класу та прогнозованого ризику — Decision Module обчислює підсумковий бал кожної потенційної дії. Бал визначається лі- нійною комбінацією: частка впевненості в нормальності ситуації зважується коефіціє- нтом α, правдоподібність конкретної за- грози — коефіцієнтом β, а очікуваний ри- зик — коефіцієнтом γ. Значення α, β та γ пі- дбираються за рахунок оптимізації Байєса, щоб максимізувати Precision@3 на історич- ному наборі інцидентів. Дія з найвищим пі- дсумковим балом потрапляє до рівня пра- вил безпеки, який відкидає варіанти, що по- рушують регламент або бюджет. У резуль- таті оператор отримує фінальну рекоменда- цію, підкріплену поясненням усіх трьох компонентів оцінки. Проблема довіри до рекомендацій. Для критичної інфраструктури рекоменда- ції ML-систем мають бути прозорими: без пояснень оператори або ігнорують поради, або виконують їх «всліпу», що загрожує безпеці й суперечить нормам (EU AI Act, NIS2), що може бути досягнено за рахунок застосування ХАІ методів. XAI методи або методи пояснюваного штучного інтелекту — це підходи, які дозволяють зрозуміти, як саме модель штучного інтелекту ухвалює рішення. Вони пояснюють вплив ознак на результат, дозволяють побачити логіку ро- боти моделі та обґрунтувати рекомендації. Мета XAI — забезпечити прозорість, до- віру та контроль при використанні ML/AI у критичних сферах, зокрема в інфраструк- турі, медицині, фінансах тощо, де оператор має розуміти, чому система пропонує саме таке рішення. Найпоширеніші XAI-інструменти — SHAP/LIME, сурогатні дерева, теплові attention-карти та причинні графи — пока- зують, які ознаки та події привели до рі- шення. Практичний компроміс: точність за- безпечує складна модель, а окремий XAI- шар дає зрозуміле пояснення; rule-based фільтр додає жорсткі обмеження безпеки. Основні виклики — обмежений доступ до даних, динаміка середовища та необхід- ність перевіряти, що пояснення справді ві- дображають причини, а не кореляції. Без та- кого рівня прозорості навіть точні алгори- тми позбавлені повної довіри. Рис. 3. Типові ХАІ методи Практичний принцип. У практич- ному впровадженні систем рекомендацій для об’єктів критичної інфраструктури за- стосовується поетапний підхід, який поєд- нує складну модель машинного навчання, шар пояснюваного штучного інтелекту (XAI) та rule-based фільтр безпеки. Споча- тку ML-модель формує рішення на основі потокових даних, далі XAI-шар генерує по- яснення щодо того, чому саме було обрано ті чи інші дії. На завершальному етапі rule- фільтр перевіряє ці дії на відповідність но- рмативним обмеженням та політикам без- пеки. За результатом оператор бачить топ- k дій та їхні 𝜙𝜙𝑗𝑗, ухвалює рішення менш ніж за 𝑇𝑇𝑟𝑟𝑟𝑟𝑟𝑟𝑟𝑟 = 30𝑐𝑐. Алгоритм роботи рекомендаційної системи для об'єктів критичної інфра- структури. Наведений нижче алгоритм описує повний робочий цикл системи підт- римки рішень для об’єктів критичної інфра- структури. Він починається зі збору й син- хронізації різнорідних потокових та істори- чних даних, проходить через етапи очи- щення, оцінки ризику, класифікації загроз і формування кандидатних дій, а завершу- ється байєсівським ранжуванням, пояснен- ням рекомендації та збором зворотного зв’язку для самооновлення моделей. Input: D_stream, H // real-time and historical data P // security policies C // operational context Output: a_best // final recommendation E_best // explanation Штучний інтелект 23 1. D ← collect_and_sync(D_stream, H) // Collect and synchronize data 2. D ← preprocess(D) // Remove duplicates, outliers, missing values; normalize data 3. W ← create_windows(D) // Form sliding windows for analysis 4. anomaly ← detect_anomaly(W) // Estimate deviation from normal behavior 5. risk ← forecast_risk(W) // Predict future risk level 6. threat ← classify_threat(W) // Define threat type 7. A ← generate_actions(P, C, threat) // Generate allowed candidate actions 8. for each action a in A do score[a] ← rank_bayesian(a, anomaly, risk, threat) // Rank actions by risk, anomaly, and threat level if violates_constraints(a, P, C) then remove a from A end if end for 9. a_best ← argmax(score[a]) // Select the best action 10. E_best ← explain(a_best) // Generate XAI explanation 11. send_to_operator(a_best, E_best) // Present recommendation to operator 12. feedback ← collect_feedback() // Save operator response and actual result 13. update_models(feedback) // Improve models using feedback return a_best, E_best Запропонований алгоритм формує цілісний, модульний підхід до ухвалення рішень для об’єктів критичної інфрастру- ктури. Він поєднує сучасні ML-методи, XAI-пояснення та rule-фільтрацію для за- безпечення точності, прозорості й відпо- відності вимогам безпеки. Завдяки зворо- тному зв’язку та адаптивному донав- чанню система постійно вдосконалю- ється, що робить її придатною для реаль- ного промислового застосування в умовах динамічних загроз. Результати експериментів Для перевірки ефективності запро- понованої системи формування рекоменда- цій було проведено серію цілеспрямованих експериментів, які охоплюють різні аспе- кти її роботи — від класифікаційної точно- сті до пропускної здатності в потоковому режимі. Основна увага приділялася реаліс- тичності сценаріїв, тому було обрано три різнотипні датасети, що охоплюють водний сектор, хімічне виробництво та енергети- чну мережу. Крім того, для оцінки стійкості до рідкісних інцидентів розроблено генера- тор синтетичних відмов. Кожен датасет має чіткі позначки інцидентів або можливість генерувати відмови, що дозволяє адекватно оцінити точність детекції, якість прогнозу та швидкість реакції рекомендаційної сис- теми. SWaT-H (Secure Water Treatment — Hybrid) - це реальний телеметричний трек із водоочисної установки SWaT-2015 Сін- гапурського університету [16]. Дані охоп- люють 11 днів безперервного виробничого циклу з частотою 1 с і містять вручну поз- начені кібер-атаки на рівні PLC. У сумі бли- зько 946 тис. рядків забезпечують ґрунтов- ний бенчмарк для детекції аномалій і пере- вірки реакційних дій у водопідготовці. SWaT-H: пристрій FIT101 — витратомір, LIT101 — рівнемір, P101 — стан насоса, AIT201 — температура; attack_flag=1 поз- начає PLC-атаку. TEP-S (Tennessee Eastman Process — Synthetic) - Генерований Python-симулято- ром хімічного виробництва Tennessee Eastman. Набір поєднує 72 год «нормаль- ної» роботи та ще 72 год із 15 типами збоїв, записаних кожні 3 с по 52 сенсорах [17]. Приблизно 86 тис. рядків на кожен сенсор дають досліднику повний контроль над сценаріями відмов і дозволяють тестувати алгоритми під різні режими роботи. TEP-S: XMEAS — вимірювані змінні, XMV — ке- рувальні, IDV — зовнішні збурення; fault_code позначає один із 15 типів збоїв Tennessee Eastman. PWR-Grid - Потік із синтетично-реа- льної енергосистеми, змодельований PNNL GridSTAGE та доповнений SCADA-логами Міністерства енергетики США. Дані пок- Штучний інтелект 24 ривають 30 днів із кроком 15 с (≈ 170 тис. записів) і збагачені погодними показни- ками NOAA, що відкриває можливість спі- льного аналізу технологічних і зовнішніх факторів ризику у мережі живлення [18]. PWR-Grid: у записі поєднано SCADA-теле- метрію (напруги, струми, стан вимикача) та довкільні фактори NOAA; anomaly=1 ста- виться, коли сценарій Fault-Injector вмикає відмову. Генератор синтетичних інциден- тів. Щоб оцінити стійкість rule-based і XAI- шару до рідкісних, але критичних подій, «чисті» потоки з датасетів SWaT-H, TEP-S і PWR-Grid доповнюються штучно згенеро- ваними інцидентами. Інжектор працює як окремий мікросервіс, що підписується на Kafka-топік raw_stream і публікує модифі- кований потік у faulty_stream. За замовчуванням Fault-Injector пра- цює з фіксованим seed = 42, щоб експери- менти можна було точно відтворити. Новий інцидент генерується приблизно раз на 48 год і триває від 1 до 6 год (рівномірний роз- поділ тривалості). До набору активних по- дій входять чотири типи: стрибок темпера- тури, падіння напруги, затримка телеметрії та DDoS на OPC-сервер; за потреби їх мо- жна вимкнути або додати інші. Таблиця 1. Параметри генератора синтетичних інци- дентів (Fault-Injector) Пара- метр Значення за замовчуван- ням Призначення seed 42 гарантована від- творюваність сценаріїв density_ho urs 48 h середній інтер- вал між інциден- тами duration_r ange 1–6 h тривалість інци- денту (рівномір- ний розподіл) types_ena bled [temp_spike, voltage_drop, lag, opc_ddos] увімкнені події Сценарії експериментів. Для переві- рки рекомендаційної системи було викори- стано Fault-Injector v0.2, який додає до «чи- стих» потоків даних типові сценарії інциде- нтів, зокрема перегрів, падіння напруги, за- тримку телеметрії та DDoS-атаку на проми- словий протокол. Експериментальне оці- нювання охоплює чотири сценарії, що до- зволяють перевірити точність моделей, продуктивність у потоковому режимі, вне- сок окремих модулів та ефективність само- оновлення системи на основі зворотного зв’язку. Таблиця 2. Опис експериментальних сценаріїв оцінювання рекомендаційної системи Сценарій 1. E-offline – точ- ність без обме- жень затримки Перевіряється якість ро- боти системи на наборі SWaT-H без урахування за- тримки. Оцінюються Precision@3, Recall@3, F1 та AUROC. Сценарій 2. E-stream – про- дуктивність у реальному часі Перевіряється здатність си- стеми обробляти потокові дані PWR-Grid після дода- вання інцидентів. Оціню- ються затримка обробки та відсоток втрачених повідо- млень. Сценарій 3. E-ablation – роль окремих модулів На наборі TEP-S порівню- ється повна система з варіа- нтами без XAI-шару та без Bayesian-ранжування. Оці- нюється вплив цих модулів на точність, час віднов- лення та пояснюваність. Сценарій 4. E-online A/B – вплив самоо- новлення Порівнюються rule-based логіка та повна система з Q- learning. Оцінюються хибні тривоги, економія витрат і рівень схвалення рекомен- дацій оператором. Отримані результати з чотирьох сце- наріїв дозволяють всебічно оцінити якість, продуктивність та пояснюваність системи в умовах, наближених до реального виробни- цтва. Результати застосування. Щоб оці- нити ефективність запропонованого реко- Штучний інтелект 25 мендаційного двигуна, було проведено чо- тири експериментальні сценарії, описані вище. Вони охоплюють різні аспекти ро- боти системи: базову класифікаційну точ- ність, пропускну здатність у потоковому режимі, внесок окремих модулів та користь самооновлення в онлайн-циклі. Таке бага- товимірне тестування на трьох спеціалізо- ваних датасетах дає змогу одночасно пере- вірити алгоритмічну якість, технологічні обмеження й прикладну цінність для опера- торів критичної інфраструктури. Таблиця 3. Результати експериментальних сценаріїв оцінювання якості, продуктивності та по- яснюваності системи Сценарій Ключові мет- рики Результат E-offline (SWaT-H) Precision@3 / Recall@3 / F1 0.92 / 0.88 / 0.90 AUROC 0.962 ± 0.004 E-stream (PWR-Grid, 10 k msg/s) 95-й перцентиль e2e-затримки 0.78 с Dropped Msgs 0.12 % E-ablation (TEP-S) ΔPrecision / ΔMTTR (відно- сно повної) - без XAI +0.0 % / −0.1 хв(по- яснюваність = 0) без Bayesian- ranker −7 % / +3.4 хв E-online A/B (SWaT-H циклічний) False Alarms ↓ −43 % (8.1 % проти 14.2 %) Cost Savings 11.5 % еконо- мії експлуа- таційних ви- трат Operator Approval 79 % (B) проти 62 % (A) Усі сценарії підтвердили життєздат- ність підходу: система досягає F1≈0,90 й AUROC≈0,96 на реальних атаках SWaT, ви- тримує навантаження 10 000 повідомлень/с із затримкою < 0,8 с, а самонавчальний ре- жим зменшує хибні тривоги на 43 % і під- вищує довіру операторів до 79 %. Абляцій- ний аналіз показав, що Bayesian-ранжува- льник критично впливає на якість рішень, тоді як XAI-шар практично не змінює точ- ність, але забезпечує необхідну прозорість. Отже, запропонований двигун не лише пе- ревершує традиційні rule-based підходи за точністю, а й відповідає промисловим ви- могам щодо швидкодії та пояснюваності, що робить його перспективним для практи- чного розгортання на об’єктах критичної інфраструктури. Обговорення Запропонований рекомендаційний механізм продемонстрував поєднання ви- сокої точності, швидкодії та прозорості, що є важливим для систем підтримки ухва- лення рішень на об’єктах критичної інфра- структури. Одним із ключових аспектів є забезпечення балансу між продуктивністю системи та пояснюваністю сформованих рекомендацій. Використання байєсівського ранжування дій дозволило зменшити кіль- кість хибних рішень і покращити якість ви- бору рекомендацій. Зокрема, вилучення цього модуля призводило до зниження точ- ності на 7 % та збільшення середнього часу відновлення на 3,4 хв, що підтверджує до- цільність застосування статистично обґру- нтованих методів ранжування. У потоковому режимі система забез- печила обробку даних із навантаженням 10 000 повідомлень за секунду та 95-м перце- нтилем затримки 0,78 с, що відповідає ви- могам типових SCADA-середовищ. Досяг- нення таких показників стало можливим за- вдяки використанню компактних LSTM- модулів і потокової обробки даних. Водно- час масштабування системи для багатьох об’єктів потребує додаткового ресурсного планування. Механізм адаптивного самоо- новлення на основі навчання з підкріплен- ням дозволив зменшити кількість хибних тривог на 43 % та підвищити рівень схва- Штучний інтелект 26 лення рекомендацій операторами до 79 %. Це свідчить про те, що навіть обмежене ви- користання адаптивного навчання у вироб- ничому циклі може суттєво підвищити ефе- ктивність системи без втрати контролю з боку людини. Висновки У статті запропоновано інтегрова- ний підхід до формування рекомендацій для об’єктів критичної інфраструктури, що поєднує виявлення аномалій, класифіка- цію загроз, прогнозування ризиків і ранжу- вання дій із використанням пояснюваного штучного інтелекту та правил безпеки. Експериментальні результати засвідчили високу точність (F1 = 0,90; AUROC = 0,96), стабільну роботу в потоковому режимі (до 10 000 повідомлень/с при затримці менше 0,8 с) та ефективність адаптивного нав- чання, що дозволило зменшити кількість хибних тривог на 43 % і скоротити експлу- атаційні витрати на 11,5 %. Використання байєсівського ранжування підвищує якість ухвалення рішень, а залучення механізмів пояснюваності забезпечує прозорість без втрати точності. Подальший розвиток підходу перед- бачає розширення джерел даних за рахунок кібер-телеметрії та неструктурованої інфо- рмації, впровадження генеративних симу- ляторів складних атак і створення полегше- них версій системи для розгортання на пе- риферійних вузлах. Перспективним є також розвиток інтерактивних інтерфейсів пояс- нюваності з можливістю налаштування па- раметрів ризику, формальна валідація пояс- нень, а також пілотне тестування в реаль- них умовах. Реалізація зазначених напрямів сприятиме підвищенню масштабованості, довіри до системи та її практичному впро- вадженню. References 1. Yang Y., McLaughlin K., Littler T., Sezer S., Wang H. Rule-Based Intrusion Detection System for SCADA Networks. URL: https://pure.qub.ac.uk/en/publications/rule- based-intrusion-detection-system-for-scada- networks/ 2. Umer M. A., Mathur A. P., Junejo K. N. Machine learning for intrusion detection in industrial control systems: Applications, challenges, and recommendations. URL: https://www.sciencedirect.com/science/article /abs/pii/S1874548222000087 3. Zhao X. та ін. Anomaly Detection Approach in Industrial Control Systems Based on Measurement Data. URL: https://www.mdpi.com/2078-2489/13/10/450 4. Pawlicka A., Pawlicki M., Kozik R., Choraś R. S. A Systematic Review of Recommender Systems and Their Applications in Cybersecurity. URL: https://www.mdpi.com/1424- 8220/21/15/5248 5. Ferreira L. та ін. Recommender Systems in Cybersecurity. URL: https://link.springer.com/article/10.1007/s101 15-023-01906-6 6. Capuano N., Fenza G., Loia V., Stanzione C. Explainable Artificial Intelligence in CyberSecurity: A Survey. URL: https://www.researchgate.net/publication/363 314499_Explainable_Artificial_Intelligence_i n_Cybersecurity_A_Survey 7. Phillips P. J., Hahn C. A., Fontana P. C., Yates A. N., Greene K. K., Broniatowski D. A., Przybocki M. A. Four Principles of Explainable Artificial Intelligence. URL: https://www.nist.gov/publications/four- principles-explainable-artificial-intelligence 8. Yang Y., McLaughlin K., Littler T., Sezer S., Wang H. Rule-Based Intrusion Detection System for SCADA Networks. URL: https://pure.qub.ac.uk/en/publications/rule- based-intrusion-detection-system-for-scada- networks 9. Lops P., de Gemmis M., Semeraro G. Content- based Recommender Systems: State of the Art and Trends // Recommender Systems Handbook. Springer, 2011. P. 73–105. DOI: 10.1007/978-0-387-85820-3_3. URL: https://doi.org/10.1007/978-0-387-85820-3_3 10. Su X., Khoshgoftaar T. M. A Survey of Collaborative Filtering Techniques // Advances in Artificial Intelligence. 2009. Vol. 2009. Article ID 421425. DOI: 10.1155/2009/421425. URL: https://doi.org/10.1155/2009/421425 11. Burke R. Hybrid Recommender Systems: Survey and Experiments // User Modeling and User-Adapted Interaction. 2002. Vol. 12. P. 331–370. DOI: 10.1023/A:1021240730564. URL: https://doi.org/10.1023/A:1021240730564 12. Zhao X., Li Y., Chen H., Yu R. Anomaly Detection Approach in Industrial Control Штучний інтелект 27 Systems Based on Measurement Data // Information. 2022. Vol. 13. No. 10. Article 450. DOI: 10.3390/info13100450. URL: https://doi.org/10.3390/info13100450 13. Müller M., Sommer R., Kargl F. Using Reinforcement Learning and LSTM for Adaptive Anomaly Detection in Cyber- Physical Systems // Computers & Security. 2020. Vol. 95. Article 101827. DOI: 10.1016/j.cose.2020.101827. URL: https://doi.org/10.1016/j.cose.2020.101827 Дата першого надходження до видання: 19.04.2026 Внутрішня рецензія отримана: 02.05.2026 Зовнішня рецензія отримана: 10.05.2026 Дата прийняття статті до друку: 05.06.2026 Дата публікації: 29.06.2026 Про авторів: 1Гуськова Віра Геннадіївна, доктор філософії, доцент, кафедра штучного інтелекту 1Huskova Vira, PhD, Associate Professor, Department of Artificial Intelligence http://orcid.org/0000-0001-7637-201X 2Школьніков Владислав Ігорович, доктор філософії (право), доцент 2Shkolnikov Vladyslav, Ph.D. (law), Associate Professor http://orcid.org/0000-0003-2041-9450 1Лисов Богдан Сергійович, аспірант 2-го року навчання 1Lysov Bohdan, post-graduate student http://orcid.org/0009-0007-7963-6958 3Халигов Артем Азимович, аспірант 3-го року навчання 3Khalygov Artem, post-graduate student http://orcid.org/0009-0006-5465-4650 Місце роботи авторів: 1Київський політехнічний інститут імені Ігоря Сікорського 1Igor Sikorsky Kyiv Polytechnic Institute тел. +38-095-626-65-80 E-mail: guskovavera2009@gmail.com Сайт: https://kpi.ua/ 2Національна академія внутрішніх справ 2National Academy of Internal Affairs тел. +38-044-254-94-31 E-mail: shkolnikov.v.i@navs.edu.ua Сайт: https://www.naiau.kiev.ua/ 3Інститут телекомунікацій і глобального інформаційного простору НАН України 3Institute of Telecommunications and Global Information Environment of the National Academy of Sciences of Ukraine тел. +38-050-049-29-03 E-mail: khalygovartem@gmail.com Сайт: http://itgip.org/
id pp_isofts_kiev_ua-article-1022
institution Problems in programming
keywords_txt_mv keywords
language Ukrainian
last_indexed 2026-06-30T01:00:10Z
publishDate 2026
publisher PROBLEMS IN PROGRAMMING
record_format ojs
resource_txt_mv ppisoftskievua/02/e1ebfcdf1f3d130a645af05c8266db02.pdf
spelling pp_isofts_kiev_ua-article-10222026-06-29T10:43:50Z Formation of recommendations for critical infrastructure objects based on streaming data, machine learning and artificial intelligence approaches Формування рекомендацій для об’єктів критичної інфраструктури на основі потокових даних, машинного навчання та підходів штучного інтелекту Huskova, V.G. Shkolnikov, V.I. Lysov, B.S. Khalygov, A.A. critical infrastructure objects; recommendation system; streaming data; machine learning; explainable artificial intelligence; risk assessment; anomaly detection; Bayesian ranking; decision support UDC 004.8+004.9 об’єкти критичної інфраструктури; рекомендаційна система; потокові дані; машинне на вчання; пояснюваний штучний інтелект; оцінювання ризиків; виявлення аномалій; байєсівське ранжу вання; підтримка ухвалення рішень УДК 004.8+004.9 The article addresses the problem of generating recommendations for critical infrastructure objects under conditions of increasing cyber threats, large volumes of streaming data, and the need for rapid decision-making. The relevance of the study is determined by the necessity to enhance the resilience of critical infrastructure through the use of intelligent decision support systems. The purpose of the research is to develop an integrated approach to recommendation generation based on streaming data, machine learning methods, Bayesian ranking, and explainable artificial intelligence. The study employs methods of anomaly detection, threat classification, risk forecasting, rule-based filtering, and XAI approaches for explaining generated recommendations. The proposed architecture provides real-time data processing and takes into account risks, security policies, and the operational context of the infrastructure object. Experimental validation on datasets demonstrated high system efficiency: F1 = 0.90, AUROC = 0.96, while processing latency did not exceed 0.8 s under a load of up to 10,000 messages per second. It was established that the adaptive self-updating mechanism reduces the number of false alarms by 43% and increases operators’ trust in the recommendation system. The obtained results confirm the prospects for the practical application of the proposed approach in supporting decision-making processes at critical infrastructure facilities.Problems in programming 2026; 2: 16-27 У статті розглянуто проблему формування рекомендацій для об’єктів критичної інфраструктури в умо вах зростання кіберзагроз, великого обсягу потокових даних та необхідності оперативного ухвалення рішень. Актуальність дослідження зумовлена потребою підвищення стійкості критичної інфраструктури шляхом використання інтелектуальних систем підтримки ухвалення рішень. Метою роботи є розроб лення інтегрованого підходу до формування рекомендацій на основі потокових даних, методів машин ного навчання, байєсівського ранжування та пояснюваного штучного інтелекту. У дослідженні викори стано методи виявлення аномалій, класифікації загроз, прогнозування ризиків, rule-based фільтрації та XAI-підходи для пояснення сформованих рекомендацій. Запропонована архітектура забезпечує обробку даних у режимі реального часу, враховує ризики, політики безпеки та контекст функціонування об’єкта. Експериментальна перевірка на наборах даних показала високу ефективність системи: F1 = 0,90, AUROC = 0,96, затримка обробки не перевищує 0,8 с при навантаженні до 10 000 повідомлень за секунду. Вста новлено, що механізм адаптивного самооновлення дозволяє зменшити кількість хибних тривог на 43 % та підвищити рівень довіри операторів до рекомендаційної системи. Отримані результати підтверджують перспективність практичного використання запропонованого підходу для підтримки ухвалення рішень на об’єктах критичної інфраструктури.Problems in programming 2026; 2: 16-27 PROBLEMS IN PROGRAMMING ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ ПРОБЛЕМИ ПРОГРАМУВАННЯ 2026-06-29 Article Article application/pdf https://pp.isofts.kiev.ua/index.php/ojs1/article/view/1022 PROBLEMS IN PROGRAMMING; No 2 (2026); 16-27 ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ; No 2 (2026); 16-27 ПРОБЛЕМИ ПРОГРАМУВАННЯ; No 2 (2026); 16-27 1727-4907 uk https://pp.isofts.kiev.ua/index.php/ojs1/article/view/1022/1090 Copyright (c) 2026 PROBLEMS IN PROGRAMMING
spellingShingle critical infrastructure objects
recommendation system
streaming data
machine learning
explainable artificial intelligence
risk assessment
anomaly detection
Bayesian ranking
decision support
UDC 004.8+004.9
Huskova, V.G.
Shkolnikov, V.I.
Lysov, B.S.
Khalygov, A.A.
Formation of recommendations for critical infrastructure objects based on streaming data, machine learning and artificial intelligence approaches
title Formation of recommendations for critical infrastructure objects based on streaming data, machine learning and artificial intelligence approaches
title_alt Формування рекомендацій для об’єктів критичної інфраструктури на основі потокових даних, машинного навчання та підходів штучного інтелекту
title_full Formation of recommendations for critical infrastructure objects based on streaming data, machine learning and artificial intelligence approaches
title_fullStr Formation of recommendations for critical infrastructure objects based on streaming data, machine learning and artificial intelligence approaches
title_full_unstemmed Formation of recommendations for critical infrastructure objects based on streaming data, machine learning and artificial intelligence approaches
title_short Formation of recommendations for critical infrastructure objects based on streaming data, machine learning and artificial intelligence approaches
title_sort formation of recommendations for critical infrastructure objects based on streaming data, machine learning and artificial intelligence approaches
topic critical infrastructure objects
recommendation system
streaming data
machine learning
explainable artificial intelligence
risk assessment
anomaly detection
Bayesian ranking
decision support
UDC 004.8+004.9
topic_facet critical infrastructure objects
recommendation system
streaming data
machine learning
explainable artificial intelligence
risk assessment
anomaly detection
Bayesian ranking
decision support
UDC 004.8+004.9
об’єкти критичної інфраструктури
рекомендаційна система
потокові дані
машинне на вчання
пояснюваний штучний інтелект
оцінювання ризиків
виявлення аномалій
байєсівське ранжу вання
підтримка ухвалення рішень
УДК 004.8+004.9
url https://pp.isofts.kiev.ua/index.php/ojs1/article/view/1022
work_keys_str_mv AT huskovavg formationofrecommendationsforcriticalinfrastructureobjectsbasedonstreamingdatamachinelearningandartificialintelligenceapproaches
AT shkolnikovvi formationofrecommendationsforcriticalinfrastructureobjectsbasedonstreamingdatamachinelearningandartificialintelligenceapproaches
AT lysovbs formationofrecommendationsforcriticalinfrastructureobjectsbasedonstreamingdatamachinelearningandartificialintelligenceapproaches
AT khalygovaa formationofrecommendationsforcriticalinfrastructureobjectsbasedonstreamingdatamachinelearningandartificialintelligenceapproaches
AT huskovavg formuvannârekomendacíjdlâobêktívkritičnoíínfrastrukturinaosnovípotokovihdanihmašinnogonavčannâtapídhodívštučnogoíntelektu
AT shkolnikovvi formuvannârekomendacíjdlâobêktívkritičnoíínfrastrukturinaosnovípotokovihdanihmašinnogonavčannâtapídhodívštučnogoíntelektu
AT lysovbs formuvannârekomendacíjdlâobêktívkritičnoíínfrastrukturinaosnovípotokovihdanihmašinnogonavčannâtapídhodívštučnogoíntelektu
AT khalygovaa formuvannârekomendacíjdlâobêktívkritičnoíínfrastrukturinaosnovípotokovihdanihmašinnogonavčannâtapídhodívštučnogoíntelektu