[论文解读] Anomaly Detection with Generative Adversarial Networks for Multivariate Time Series
本论文提出 GAN-AD,一种用于来自赛博-物理系统的多变量时间序列的无监督异常检测方法,使用基于 LSTM 的生成器和判别器来建模正常行为,并通过残差损失和判别损失来检测异常。
Today's Cyber-Physical Systems (CPSs) are large, complex, and affixed with networked sensors and actuators that are targets for cyber-attacks. Conventional detection techniques are unable to deal with the increasingly dynamic and complex nature of the CPSs. On the other hand, the networked sensors and actuators generate large amounts of data streams that can be continuously monitored for intrusion events. Unsupervised machine learning techniques can be used to model the system behaviour and classify deviant behaviours as possible attacks. In this work, we proposed a novel Generative Adversarial Networks-based Anomaly Detection (GAN-AD) method for such complex networked CPSs. We used LSTM-RNN in our GAN to capture the distribution of the multivariate time series of the sensors and actuators under normal working conditions of a CPS. Instead of treating each sensor's and actuator's time series independently, we model the time series of multiple sensors and actuators in the CPS concurrently to take into account of potential latent interactions between them. To exploit both the generator and the discriminator of our GAN, we deployed the GAN-trained discriminator together with the residuals between generator-reconstructed data and the actual samples to detect possible anomalies in the complex CPS. We used our GAN-AD to distinguish abnormal attacked situations from normal working conditions for a complex six-stage Secure Water Treatment (SWaT) system. Experimental results showed that the proposed strategy is effective in identifying anomalies caused by various attacks with high detection rate and low false positive rate as compared to existing methods.
研究动机与目标
- 在高维、动态交互的传感器/执行器流中,推动在复杂 CPS 中实现鲁棒异常检测。
- 开发一个基于 GAN 的框架,使用 LSTM-RNN 同时建模正常的多变量时间序列。
- 结合生成器残差和判别器判别来进行异常评分。
- 在 SWaT 水处理测试床上对各种网络攻击下的 GAN-AD 进行评估,以显示检测提升和误报降低。
提出的方法
- 使用一个 GAN,其生成器和判别器都是 LSTM-RNN,以捕捉多变量时间序列中的非线性时间相关性。
- 训练 G 以生成真实的正常序列,D 以区分真实序列与生成序列。
- 计算异常分数,将残差损失(测试数据在潜在空间中与生成器重构之间的距离)和判别损失(D 对测试数据的输出)结合起来。
- 将高维测试数据映射到潜在空间,以获得相应的 G(Z) 和残差。
- 在将数据输入 GAN-AD 之前可选应用 PCA 以降低维度,以应对计算负载。
- 随后按 S_t = lambda * Residual(X_t) + (1 - lambda) * D(X_t) 进行异常打分。
- 使用 Adam/基于梯度的优化对网络进行训练,并添加一个潜在空间映射步骤以确定最能重构测试数据的 Z^k。
实验结果
研究问题
- RQ1一个具有 LSTM-RNN 组件的 GAN 是否能够对正常多变量 CPS 时间序列的分布进行建模,从而实现无监督的异常检测?
- RQ2在重构残差方面利用生成器(通过重构)以及在判别方面利用判别器,是否能够提升 CPS 数据上的异常检测性能,相较于传统方法?
- RQ3在真实的多阶段 CPS 测试床上,面对网络攻击时,所提出的 GAN-AD 相较于基于 PCA 的或 SPC 方法的表现如何?
- RQ4相比单变量建模,多变量建模对 CPS 数据的异常检测有效性有何影响?
主要发现
| 点 | 方法 | 准确率 | 精确度 | 召回率 | F1 | 假阳性率 |
|---|---|---|---|---|---|---|
| LIT-101 | GAN-AD | 87.63 | 50.00 | 1.75 | 0.03 | 9.32 |
| LIT-301 | GAN-AD | 86.85 | 22.22 | 1.04 | 0.02 | 0.52 |
| LIT-401 | GAN-AD | 80.35 | 11.68 | 9.94 | 0.10 | 10.14 |
| All | GAN-AD 1 | 90.57 | 85.71 | 7.20 | 0.13 | 0.13 |
| All | GAN-AD 5 | 94.80 | 93.33 | 63.64 | 0.75 | 0.46 |
- GAN-AD 在 SWaT 数据集上相对于 CUSUM 和基于 SPE 的 PCA 方法,在若干目标上实现了有竞争力甚至更优的异常检测表现。
- 单变量检测通常较弱,误报较高,精确/召回率低于多变量 GAN-AD。
- 在选定点上,GAN-AD 显著改善了精确/召回权衡(例如 LIT-101:GAN-AD 精确度 50.00%、召回 1.75%,相比 CUSUM;整体 All:GAN-AD 1 的 Accu 90.57%、Pre 85.71%、Rec 7.20%、F1 0.13、FPR 0.13)。
- 多变量 GAN-AD(使用多条数据流时)更快速地收敛到真实数据分布,在训练过程中显示更低的 MMD,表明对联合动力学的有效学习。
- 使用 PCA 投影的前五个主成分仍然使 GAN-AD 能有效工作,在攻击发生于多传感器/执行器时观察到较高的异常分数。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。