[論文レビュー] Anomaly Detection with Generative Adversarial Networks for Multivariate Time Series
この論文は、LSTMベースの生成器と識別器を用いて正規動作をモデル化し、残差および識別損失を用いて異常を検出する、サイバー・物理システムの多変量時系列に対する教師なし異常検出法GAN-ADを提案する。
Today's Cyber-Physical Systems (CPSs) are large, complex, and affixed with networked sensors and actuators that are targets for cyber-attacks. Conventional detection techniques are unable to deal with the increasingly dynamic and complex nature of the CPSs. On the other hand, the networked sensors and actuators generate large amounts of data streams that can be continuously monitored for intrusion events. Unsupervised machine learning techniques can be used to model the system behaviour and classify deviant behaviours as possible attacks. In this work, we proposed a novel Generative Adversarial Networks-based Anomaly Detection (GAN-AD) method for such complex networked CPSs. We used LSTM-RNN in our GAN to capture the distribution of the multivariate time series of the sensors and actuators under normal working conditions of a CPS. Instead of treating each sensor's and actuator's time series independently, we model the time series of multiple sensors and actuators in the CPS concurrently to take into account of potential latent interactions between them. To exploit both the generator and the discriminator of our GAN, we deployed the GAN-trained discriminator together with the residuals between generator-reconstructed data and the actual samples to detect possible anomalies in the complex CPS. We used our GAN-AD to distinguish abnormal attacked situations from normal working conditions for a complex six-stage Secure Water Treatment (SWaT) system. Experimental results showed that the proposed strategy is effective in identifying anomalies caused by various attacks with high detection rate and low false positive rate as compared to existing methods.
研究の動機と目的
- 高次元で動的に相互作用するセンサ/アクチュエータストリームを持つ複雑なCPSにおける堅牢な異常検出を動機づける。
- LSTM-RNNを用いて正規の多変量時系列を共同モデリングするGANベースの枠組みを開発する。
- 生成器ベースの残差と識別子ベースの識別の両方を異常スコアリングに活用する。
- さまざまなサイバー攻撃下のSWaT水処理実験環境でGAN-ADを評価し、検出性能の改善と偽陽性の低減を示す。
提案手法
- 生成器と識別器の両方がLSTM-RNNであり、多変量時系列の非線形な時系列相関を捉えるGANを用いる。
- Gを現実的な正常系列を生成するように学習させ、Dを実データと生成データを識別するように学習させる。
- 異常スコアを、潜在空間における real testing data と generator reconstruction との距離である残差損失と、 testing data に対する D の出力である識別損失を組み合わせて算出する。
- 高次元のテストデータを潜在空間に写像して対応する G(Z) と残差を取得する。
- 計算負荷を管理するため、GAN-AD に入力する前にPCAを適用して次元削減を行うこともある。
- その後、異常スコア S_t = lambda * Residual(X_t) + (1 - lambda) * D(X_t) を適用する。
- ネットワークの学習にはAdam/勾配法ベースの最適化を用い、テストデータを最もよく再構成する Z^k を特定する潜在空間写像ステップを追加する。
実験結果
リサーチクエスチョン
- RQ1LSTM-RNN コンポーネントを含む GAN は正規の多変量 CPS 時系列の分布をモデル化して教師なし異常検出を可能にするか。
- RQ2再構成残差を介した GAN 生成器と GAN 識別器の両方を活用することは、従来の CPS データ手法より異常検出性能を改善するか。
- RQ3提案する GAN-AD は現実の多段階 CPS テストベッドをサイバー攻撃下で、PCAベースまたは SPC 法と比べてどう性能が出るか。
- RQ4多変量モデリング(単変量ではなく)を行うことは CPS データの異常検出効果にどのような影響を与えるか。
主な発見
| Points | 手法 | Accu | Pre | Rec | F1 | FPR |
|---|---|---|---|---|---|---|
| LIT-101 | GAN-AD | 87.63 | 50.00 | 1.75 | 0.03 | 9.32 |
| LIT-301 | GAN-AD | 86.85 | 22.22 | 1.04 | 0.02 | 0.52 |
| LIT-401 | GAN-AD | 80.35 | 11.68 | 9.94 | 0.10 | 10.14 |
| All | GAN-AD 1 | 90.57 | 85.71 | 7.20 | 0.13 | 0.13 |
| All | GAN-AD 5 | 94.80 | 93.33 | 63.64 | 0.75 | 0.46 |
- GAN-AD は SWaT データセットに対して、複数の対象で CUSUM および SPE ベースの PCA 法と比較して異常検出性能が競合または上回る。
- 単変量検出は一般に弱く、偽陽性が多く、精度/再現率が多変量 GAN-AD に比べて低い。
- 選択されたポイントでは、GAN-AD は精度/再現率の取引を大幅に改善(例:LIT-101 で GAN-AD Precision 50.00%、Recall 1.75%、CUSUM に対し; 全体 All: GAN-AD 1 は Accu 90.57%、Pre 85.71%、Rec 7.20%、F1 0.13、FPR 0.13)。
- 多変量 GAN-AD(複数のストリームを使用する場合)は、訓練中に現実的なデータ分布へ収束しやすく、MMD が低下することを示し、結合ダイナミクスの効果的な学習を示唆する。
- PCA ベースの射影の最初の5つの主成分でも GAN-AD は効果的に動作し続け、複数のセンサ/アクチュエータにまたがる攻撃が発生した場合に高い異常スコアが観測される。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。