Введение: совершенствование сетевых средств защиты информации неразрывно связано с развитием инструментов интеллектуального мониторинга состояния и сетевого взаимодействия, повышающих наблюдаемость корпоративных информационных систем. Актуальной проблемой является оценка применимости предварительно обученных моделей машинного обучения к новым наборам данных сетевого трафика (с применением переноса обучения) и возможности их эксплуатации в реальных инфраструктурах для обнаружения узкого класса сетевых атак на примере взаимодействия скомпрометированных хостов с серверами управления ботнетов. Цель: совершенствование моделей и алгоритмов обнаружения сетевого трафика инфраструктур управления и контроля ботнетов в корпоративных информационных системах на основе технологий машинного обучения (в том числе глубокого обучения). Результаты: разработан прототип интеллектуальной системы обнаружения сетевых атак, позволяющей решать задачи сбора и предобработки данных сетевых сессий, обеспечивать взаимодействие с центром оперативного управления и мониторинга информационной безопасности, готовить данные для обучения локальных моделей анализа и управлять их жизненным циклом. Предложен алгоритм подготовки, предобработки трафика и оптимизации гиперпараметров бинарных классификаторов. Результаты экспериментов (F1-мера=0,71) подтверждают, что предлагаемые модели, обученные на одном наборе данных, могут успешно применяться на другом наборе узкоспециализированного домена трафика управления ботнетами. Отличительной особенностью является применение переноса обучения для глубоких нейросетевых моделей, что позволяет повысить эффективность обнаружения (величину F1-меры) специализированных сетевых атак на 16–21 %. Практическая значимость: применение переноса обучения обеспечивает возможность аккумулировать знания о проводимых атаках на различные информационные инфраструктуры в рамках единой нейросетевой модели, что позволяет повысить оперативность и достоверность обнаружения трафика управления ботнетами, тем самым усилить защищенность клиентских корпоративных информационных систем. Обсуждение: дальнейший подъем эффективности обнаружения специализированных сетевых атак возможен за счет применения более сложных нейросетевых моделей при использовании технологий федеративного трансферного обучения.