Skip to main content
QUICK REVIEW

[論文レビュー] Anomaly detection; Industrial control systems; convolutional neural networks

Moshe Kravchik, Asaf Shabtai|arXiv (Cornell University)|Jun 21, 2018
Smart Grid Security and Resilience被引用数 1
ひとこと要約

本論文では、1次元畳み込みニューラルネットワークを用いて予測値と観測値の統計的乖離を測定することで、サイバー攻撃を検出する、産業制御システム向けの教師なし異常検出手法を提案する。この手法は、低誤検出率で高い攻撃検出率を達成しており、再帰型ネットワークよりも高速かつモデルサイズが小さい。SWaTテストベッドデータセット(36件の攻撃シナリオを含む)を用いて評価された。

ABSTRACT

This paper presents a study on detecting cyberattacks on industrial control systems (ICS) using unsupervised deep neural networks, specifically, convolutional neural networks. The study was performed on a SecureWater Treatment testbed (SWaT) dataset, which represents a scaled-down version of a real-world industrial water treatment plant. e suggest a method for anomaly detection based on measuring the statistical deviation of the predicted value from the observed value.We applied the proposed method by using a variety of deep neural networks architectures including different variants of convolutional and recurrent networks. The test dataset from SWaT included 36 different cyberattacks. The proposed method successfully detects the vast majority of the attacks with a low false positive rate thus improving on previous works based on this data set. The results of the study show that 1D convolutional networks can be successfully applied to anomaly detection in industrial control systems and outperform more complex recurrent networks while being much smaller and faster to train.

研究の動機と目的

  • ラベル付き攻撃データが乏しい産業制御システムにおいて、微細なサイバー攻撃を検出する課題に対処すること。
  • 攻撃パターンの事前知識が不要な教師なしディープラーニング手法を構築すること。
  • 畳み込みニューラルネットワークと再帰型ネットワークの両者を、ICSにおける攻撃検出の観点から比較・評価すること。
  • 実世界の産業用テストベッドデータにおいて、最小限の誤検出で高い検出率を達成すること。

提案手法

  • 本手法は、SWaTテストベッドのセンサー情報から時間的パターンを学習する1次元畳み込みニューラルネットワークを用いる。
  • 異常は、ネットワークの予測出力と実際の観測値との間の統計的乖離を測定することで検出する。
  • 本手法は教師なしであり、訓練に正常な運用データのみに依存する。
  • 性能と効率性を評価するために、さまざまなアーキテクチャ(異なる種類の畳み込み型および再帰型ネットワーク)が検討された。
  • モデルは将来のセンサー値の再構築または予測を学習させ、大きな予測誤差が発生した場合に異常とみなす。
  • 本手法は、時系列ICSデータにおける時間的依存性を捉えるために、1次元畳み込みの局所的パターン抽出能力を活用する。

実験結果

リサーチクエスチョン

  • RQ11次元畳み込みニューラルネットワークは、ラベル付き攻撃例が存在しない状況でも、産業制御システムデータにおける異常検出を効果的に行えるか?
  • RQ2ICSデータにおいて、1次元CNNの検出精度と訓練効率は、再帰型ネットワークと比較してどの程度異なるか?
  • RQ3複数の既知の攻撃が存在する実世界のICSテストベッドに本手法を適用した場合、誤検出率はどの程度か?
  • RQ4予測値と観測値の間の統計的乖離が、ICSにおける信頼できる異常指標としてどの程度有効か?

主な発見

  • 提案された1次元CNNベースの手法は、SWaTデータセットに含まれる36件の既知のサイバー攻撃の大部分を正常に検出できた。
  • 本手法は、同データセットを用いた既存手法よりも誤検出率が低く、性能向上を達成した。
  • 1次元畳み込みネットワークは、検出性能と訓練速度の両面で、より複雑な再帰型ネットワークを上回った。
  • 1次元CNNは、再帰アーキテクチャに比べてはるかに小さく、かつ高速に訓練可能であり、リアルタイム展開に適している。
  • 予測値と観測値の間の統計的乖離は、ICSにおける異常検出の強固な指標として機能した。
  • 本手法は、SWaTテストベッド環境内での未学習の攻撃シナリオに対しても、優れた一般化性能を示した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。