Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] RNN-based Early Cyber-Attack Detection for the Tennessee Eastman Process

Pavel Filonov, Fedor Kitashov|arXiv (Cornell University)|Sep 7, 2017
Fault Detection and Control Systems参考文献 9被引用数 56
ひとこと要約

この論文は、GRUセルを用いたRNNベースの予測アプローチを開発し、Tennessee Eastman Processデータセットのサイバー攻撃を検出する。NAB指標で評価し、DPCAと比較。手法は多様なモードと攻撃タイプに対して早期検出を目指す。

ABSTRACT

An RNN-based forecasting approach is used to early detect anomalies in industrial multivariate time series data from a simulated Tennessee Eastman Process (TEP) with many cyber-attacks. This work continues a previously proposed LSTM-based approach to the fault detection in simpler data. It is considered necessary to adapt the RNN network to deal with data containing stochastic, stationary, transitive and a rich variety of anomalous behaviours. There is particular focus on early detection with special NAB-metric. A comparison with the DPCA approach is provided. The generated data set is made publicly available.

研究の動機と目的

  • 現実的なプロセスモデルからの産業用多変量時系列データに対する堅牢な異常検知の動機づけ。
  • RNN予測を適応させ、TEPにおける確率的・定常・瞬時・多様な異常挙動を扱えるようにする。
  • NAB指標を用いた早期異常検知を実現し、実用的な性能を評価する。
  • 研究用の正規・攻撃シナリオがラベル付けされたTEPの公開データセットを提供する。

提案手法

  • TEPデータセットからの多変量時系列を予測するために、2層のスタック型GRU RNNを用いる(各層64セル)。
  • RMSPropを用いたMSE損失で学習;入力ウィンドウは予測ウィンドウと等しい;隠れ層はReLU活性化、出力は線形活性化。
  • 入力を正規化し、MSEで予測誤差を計算、指数移動平均で平滑化し、訓練データから閾値で異常を検出。
  • NABベースの評価フレームワークを採用して早期検知品質と異常認識のウィンドウ化を評価。
  • RNNアプローチをDPCAと比較し、単一モードの制限とDPCAの瞬時モードでの偽陽性を強調。

実験結果

リサーチクエスチョン

  • RQ1GRUベースの予測モデルは、テネシー東部プロセスデータセットの幅広いサイバー攻撃を信頼性高く検出できるか。
  • RQ2NAB指標は、さまざまな攻撃タイプ下の連続した産業時系列に対する早期異常検知性能をどのように捉えるか。
  • RQ3RNNベースの手法は、精度、偽陽性、複数のプラントモードの扱いの点でDPCAとどのように比較されるか。
  • RQ4実際の攻撃間隔と整合する異常ウィンドウ設定はどれが最適で、NABスコアを最大化するか。

主な発見

Method (attacks series)NAB-score
Ideal detector1.000
RNN (all)0.373
DPCA (all)0.086
RNN (except #23)0.803
DPCA (except #23)0.649
  • 統計的に独立したGRUセルとドロップアウトなしのRNNは、TEPデータセットの確率性・定常性・瞬時挙動および異常を効果的に処理する。
  • NABベースの評価では、RNNがMEASおよびSP攻撃でDPCAより高いスコアを達成し、早期検出の改善を示す。
  • DPCAは瞬時モードに苦戦し、多くの偽陽性を生み出す;モードごとに個別モデルが必要となり、実用性を制限する。
  • MV攻撃では、RNN検知が遅延する。これはプラントダイナミクスにおける長い攻撃後の異常継続が原因。
  • 著者は研究用の正規・攻撃シナリオを含む公開TEPデータセットを提供する。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。