Skip to main content
QUICK REVIEW

[论文解读] Anomaly detection; Industrial control systems; convolutional neural networks

Moshe Kravchik, Asaf Shabtai|arXiv (Cornell University)|Jun 21, 2018
Smart Grid Security and Resilience被引用 1
一句话总结

本文提出了一种基于一维卷积神经网络的工业控制系统无监督异常检测方法,通过测量预测值与观测值之间的统计偏差来检测网络攻击。该方法在低误报率下实现了高攻击检测率,在速度和模型大小方面优于循环网络,使用SWaT测试平台数据集中的36种攻击场景。

ABSTRACT

This paper presents a study on detecting cyberattacks on industrial control systems (ICS) using unsupervised deep neural networks, specifically, convolutional neural networks. The study was performed on a SecureWater Treatment testbed (SWaT) dataset, which represents a scaled-down version of a real-world industrial water treatment plant. e suggest a method for anomaly detection based on measuring the statistical deviation of the predicted value from the observed value.We applied the proposed method by using a variety of deep neural networks architectures including different variants of convolutional and recurrent networks. The test dataset from SWaT included 36 different cyberattacks. The proposed method successfully detects the vast majority of the attacks with a low false positive rate thus improving on previous works based on this data set. The results of the study show that 1D convolutional networks can be successfully applied to anomaly detection in industrial control systems and outperform more complex recurrent networks while being much smaller and faster to train.

研究动机与目标

  • 解决在缺乏标注攻击数据的情况下检测工业控制系统中细微网络攻击的挑战。
  • 开发一种无监督深度学习方法,无需事先了解攻击模式即可检测异常。
  • 评估卷积神经网络与循环网络在检测工业控制系统攻击方面的有效性。
  • 在真实工业测试平台数据中实现高检测率且误报率最低。

提出的方法

  • 该方法使用一维卷积神经网络从SWaT测试平台的传感器数据中学习时间模式。
  • 通过测量网络预测输出与实际观测值之间的统计偏差来检测异常。
  • 该方法为无监督学习,仅依赖正常运行数据进行训练。
  • 对多种架构(包括不同变体的卷积网络和循环网络)进行了性能与效率评估。
  • 模型被训练为重建或预测未来的传感器值,较大的预测误差表明可能存在异常。
  • 该方法利用一维卷积的局部模式提取能力,捕捉时间序列工业控制系统数据中的时间依赖性。

实验结果

研究问题

  • RQ1一维卷积神经网络是否能在无标注攻击样本的情况下有效检测工业控制系统数据中的异常?
  • RQ2在工业控制系统数据上,一维CNN的检测准确率和训练效率与循环网络相比如何?
  • RQ3当应用于包含多种已知攻击的真实工业控制系统测试平台时,所提出方法的误报率是多少?
  • RQ4预测值与观测值之间的统计偏差在多大程度上可作为工业控制系统中异常检测的可靠指标?

主要发现

  • 所提出的基于一维CNN的方法成功检测了SWaT数据集中36种已知网络攻击中的绝大多数。
  • 该方法实现了较低的误报率,优于使用同一数据集的先前方法。
  • 一维卷积网络在检测性能和训练速度方面均优于更复杂的循环网络。
  • 一维CNN相比循环网络架构在模型大小和训练速度上显著更小更快,更适合实时部署。
  • 预测值与观测值之间的统计偏差在工业控制系统中可作为异常检测的稳健指标。
  • 该方法在SWaT测试平台环境内的未见攻击场景中表现出强大的泛化能力。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。