Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Real-time Evasion Attacks with Physical Constraints on Deep Learning-based Anomaly Detectors in Industrial Control Systems

Alessandro Erba, Riccardo Taormina|arXiv (Cornell University)|Jul 17, 2019
Adversarial Robustness in Machine Learning参考文献 32被引用数 16
ひとこと要約

本稿では、物理的制約を尊重しながらセンサ読み取り値を操作することにより、産業制御システムにおけるディープラーニングベースの異常検出器に対するリアルタイムの回避攻撃を提案する。ホワイトボックス最適化とブラックボックスオートエンコーダーを用いて、BATADALデータセットにおける検出精度を0.6から0.14に低下させ、現実的なシステム動作を模倣することで検出を回避する有効な回避攻撃を実証した。

ABSTRACT

Recently, a number of deep learning-based anomaly detection algorithms were proposed to detect attacks in dynamic industrial control systems. The detectors operate on measured sensor data, leveraging physical process models learned a priori. Evading detection by such systems is challenging, as an attacker needs to manipulate a constrained number of sensor readings in real-time with realistic perturbations according to the current state of the system. In this work, we propose a number of evasion attacks (with different assumptions on the attacker's knowledge), and compare the attacks' cost and efficiency against replay attacks. In particular, we show that a replay attack on a subset of sensor values can be detected easily as it violates physical constraints. In contrast, our proposed attacks leverage manipulated sensor readings that observe learned physical constraints of the system. Our proposed white box attacker uses an optimization approach with a detection oracle, while our black box attacker uses an autoencoder (or a convolutional neural network) to translate anomalous data into normal data. Our proposed approaches are implemented and evaluated on two different datasets pertaining to the domain of water distribution networks. We then demonstrated the efficacy of the real-time attack on a realistic testbed. Results show that the accuracy of the detection algorithms can be significantly reduced through real-time adversarial actions: for the BATADAL dataset, the attacker can reduce the detection accuracy from 0.6 to 0.14. In addition, we discuss and implement an Availability attack, in which the attacker introduces detection events with minimal changes of the reported data, in order to reduce confidence in the detector.

研究の動機と目的

  • リアルタイムで物理的に妥当なセンサ操作を用いて、産業制御システムにおけるディープラーニングベースの異常検出器を回避する挑戦に取り組む。
  • 物理的制約に違反しやすく、容易に検出可能なリプレイ攻撃の限界を克服する。
  • 完全なモデルアクセスがなくても、異常なセンサ入力を通常のシステム動作に類似した入力に変換できるホワイトボックスおよびブラックボックスの攻撃戦略を開発する。
  • 実世界のデータセットおよび物理的テストベッドを用いて、これらの攻撃の実現可能性と有効性を実証する。
  • 最小限のデータ変更で多数の誤検出を引き起こす可用性攻撃を構築し、検出器の信頼性を損なう。

提案手法

  • 検出オラクルに従って最適化フレームワークを駆動するホワイトボックス攻撃を提案し、学習済みの物理的制約内に収まる悪意あるセンサ入力を生成する。
  • オートエンコーダーまたは畳み込みニューラルネットワークを用いて、異常なセンサデータを通常のデータ分布にマッピングするブラックボックス攻撃を設計する。
  • 事前に学習された物理プロセスモデルを統合し、操作されたセンサ読み取り値がシステムのダイナミクスと整合することを保証する。
  • 水道ネットワークからの2つの実世界データセットを用いて攻撃の一般化性を検証する。
  • リアルなテストベッドに攻撃を実装・テストし、リアルタイムでの実現可能性と不審さのなさを実証する。
  • 最小限のデータ摂動で頻繁な検出イベントを引き起こす可用性攻撃を導入し、システムが検出器の信頼性を損なうようにする。

実験結果

リサーチクエスチョン

  • RQ1物理的制約を尊重しながら、産業制御システムにおいてリアルタイムに悪意あるセンサ操作を設計することは可能か?
  • RQ2リプレイ攻撃は制約違反により容易に検出可能であるが、本稿で提案する攻撃は、従来のリプレイ攻撃と比較して、効率性および不審さの観点でどの程度優れているか?
  • RQ3ホワイトボックスおよびブラックボックスの攻撃戦略は、ディープラーニングベースの異常検出器の検出精度をどの程度低下させることができるか?
  • RQ4最小限のデータ変更で多数の誤検出を引き起こす可用性攻撃を構築することは可能か?これにより検出器の信頼性が損なわれるか?
  • RQ5リアルな運用条件下の実世界のテストベッド環境において、提案された攻撃はどの程度有効か?

主な発見

  • 提案されたホワイトボックス攻撃は、物理的制約を尊重する悪意ある入力を生成することで、BATADALデータセットにおける検出精度を0.6から0.14に顕著に低下させた。
  • 一部のセンサに対して実施されたリプレイ攻撃は、物理的制約に違反するため容易に検出可能であるが、本稿の攻撃は物理的妥当性を維持しているため、検出されにくい。
  • オートエンコーダーを用いたブラックボックス攻撃は、異常データを通常の見た目のデータに効果的に変換でき、完全なモデルアクセスなしで回避が可能であることを示した。
  • 攻撃は物理的テストベッドでもリアルタイムに有効であり、シミュレーションを超えた実用的実現可能性を実証した。
  • 可用性攻撃は正常に実装され、最小限のデータ変更で頻繁な誤検出を引き起こし、異常検出器に対する信頼を低下させた。
  • 結果から、最新のディープラーニングベースの異常検出器ですら、微細で物理的に妥当な悪意ある操作に対して脆弱であることが示された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。