Введение: одной из наиболее сложных проблем в области обнаружения вторжений является детектирование новых, ранее неизвестных атак. В последнее время для решения этой задачи активно исследуются и применяются методики на основе глубокого обучения, поскольку они способны эффективно извлекать пространственные и временные закономерности в данных. Цель: разработать методику выявления сетевых атак на основе сверточных нейронных сетей для повышения сетевой безопасности промышленных киберфизических систем. Результаты: исследованы и систематизированы подходы к выявлению сетевых атак, основанные на представлении сетевых данных в виде двумерной матрицы анализируемых атрибутов, т. е. в виде изображения. Предложена методика выявления сетевых атак на основе сверточной нейронной сети, отличительной особенностью которой является преобразование «сырых» сетевых потоков в двумерную матрицу с последующим формированием дополнительных атрибутов, представленных текстурными признаками Харалика. Разработана архитектура нейронной сети, выполняющей анализ матричного представления сетевого трафика и вектора признаков Харалика. Для демонстрации эффективности разработанной методики выполнена серия экспериментов с использованием набора данных SWaT, описывающего функционирование системы водоочистных сооружений. В ходе экспериментов исследовалось влияние каждого компонента методики на точность обнаружения сетевых атак. Кроме того, выполнен сравнительный анализ ее эффективности с эффективностью методики обнаружения вторжений, использующей алгоритм Random Forest и описательные статистики сетевых потоков в качестве анализируемых атрибутов. Полученные результаты показали, что предложенная методика имеет высокую точность обнаружения сетевых атак, связанных с извлечением (data exfiltration) и (или) подменой передаваемых данных (data manipulation), в частности, точность повысилась на 25 % по сравнению с методикой на основе Random Forest и составила 86,3 % на исследуемом наборе SWaT. Практическая значимость: разработанная методика может быть использована для выявления атак, связанных с подменой передаваемых данных и (или) их извлечением.