Machine-Learning-Verfahren erlauben anhand von Beispieldaten Muster zu erkennen und diese zu klassifizieren: beispielsweise in die Menge von zulässigen und in die Menge von unzulässigen Werten. Selten auftretende Grenzbereiche sind dabei schwierig mit Beispieldaten abzudecken.

Während im Energiesystem die Anzahl der Geräte, die an das Internet angeschlossen sind, steigt, konfrontiert es mit einer stärkeren Welle von Cyberangriffen. Die Verwendung von maschinellem Lernen zur Automatisierung der Erkennung und Reaktion von Bedrohungen kann potenziell dazu beitragen, Bedrohungen effizienter zu identifizieren als andere softwaregesteuerte Ansätze. Die Kommunikation zwischen automatisierungstechnischen Komponenten kann mit Hilfe von Machine-Learning-Verfahren in die Menge der zulässigen und in die Menge der unzulässigen Werte klassifiziert werden. Diese Klassifikation wird anhand markierter Daten mit verschiedenen Merkmalen gelernt. Die Idee besteht darin, regelmäßig Netzwerkdatenverkehr auf standardisierte Weise zu sammeln, bearbeiten und dann Klassifizierungsalgorithmen auf diese Daten anzuwenden, um bestehende Angriffsmuster und Netzwerkanomalien zu erkennen. Die auf bestehende Angriffsmuster basierte Angriffserkennung gilt allerdings nur für die bisher schon aufgetauchten Angriffe. Um neuartige Angriffe zu erkennen, wird hingegen Anomalieerkennung eingesetzt. Eine Schwierigkeit bei Angriffserkennung mittels Anomalieerkennung ist, dass Systemzustände in Grenzbereichen, die zulässig sind, aber selten auftreten, nur schwierig korrekt gelernt werden. Das könnte zur Erhöhung der Rate von false positive führen. Außerdem sind auch Angriffe nicht immer korrekt erkennbar (false negative).