Nothing Special   »   [go: up one dir, main page]

CN116304959A - 一种用于工业控制系统的对抗样本攻击防御方法及系统 - Google Patents

一种用于工业控制系统的对抗样本攻击防御方法及系统 Download PDF

Info

Publication number
CN116304959A
CN116304959A CN202310586407.6A CN202310586407A CN116304959A CN 116304959 A CN116304959 A CN 116304959A CN 202310586407 A CN202310586407 A CN 202310586407A CN 116304959 A CN116304959 A CN 116304959A
Authority
CN
China
Prior art keywords
sample
model
attack
disturbance
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310586407.6A
Other languages
English (en)
Other versions
CN116304959B (zh
Inventor
杨淑棉
刘亚茹
徐丽娟
赵大伟
韩梓昱
姚志昂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qilu University of Technology
Shandong Computer Science Center National Super Computing Center in Jinan
Original Assignee
Qilu University of Technology
Shandong Computer Science Center National Super Computing Center in Jinan
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qilu University of Technology, Shandong Computer Science Center National Super Computing Center in Jinan filed Critical Qilu University of Technology
Priority to CN202310586407.6A priority Critical patent/CN116304959B/zh
Publication of CN116304959A publication Critical patent/CN116304959A/zh
Application granted granted Critical
Publication of CN116304959B publication Critical patent/CN116304959B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/049Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了一种用于工业控制系统的对抗样本攻击防御方法及系统,涉及对抗样本攻击防御技术领域,对工业控制系统训练集和测试集进行数据预处理,并用预处理后的训练集训练异常检测模型;对测试集进行对抗样本攻击,为测试集中的传感器和执行器添加不同特征约束的扰动,生成对抗样本;基于对抗样本,通过特征加权的方式,对训练后的异常检测模型进行对抗样本防御,得到特征加权防御模型;利用特征加权防御模型对工业控制系统的行为数据进行异常检测,输出检测结果;本发明有效实现对工业控制系统异常检测模型的对抗样本攻击,提高生成对抗样本的效率,提高模型的性能,使模型在对抗样本攻击影响下具有一定的鲁棒性。

Description

一种用于工业控制系统的对抗样本攻击防御方法及系统
技术领域
本发明属于对抗样本攻击防御技术领域,尤其涉及一种用于工业控制系统的对抗样本攻击防御方法及系统。
背景技术
本部分的陈述仅仅是提供了与本发明相关的背景技术信息,不必然构成在先技术。
工业控制系统(ICS)是电力、交通、水利等传统关键基础设施的核心,它是由计算机与工业过程控制部件组成的自动控制系统,ICS与互联网的连接使其面临各种网络攻击的威胁,造成了严重的经济社会损失。
通过异常检测方法对网络攻击进行识别,异常检测方法可分为基于规则的方法、基于机器学习的方法和基于深度学习的方法。基于深度学习的异常检测方法在 ICS中取得了重大进展,然而,随着对抗样本攻击概念的提出,深度学习异常检测模型容易受到对抗样本的攻击。对抗样本攻击发生在模型检测阶段,指攻击者向输入样本添加一些不干扰人类认知的扰动,导致模型给出一个具有高置信度的错误输出。对抗样本攻击算法已应用于很多领域,包括图像分类、文本识别、音频和恶意软件等,这些算法在生成速度和计算复杂度上差异很大,包括快速梯度符号法(FGSM)、基本迭代法(BIM)、Carlini&Wagner(CW)和投影梯度下降(PGD)等。以图像分类为例,攻击者对猫图像进行轻微扰动,此时人类仍然观察到的是猫,但系统会将其识别为狗。
ICS异常检测模型的性能可以通过计算真实值和预测值之间的偏差来评估,攻击者通过向正常或异常样本添加小的扰动来减少或扩大这种差异,从而增加异常检测模型的假阳性率和假阴性率。如果异常检测模型能够成功地检测到对抗性样本并向管理服务器发送警报,那么依赖该检测模型的ICS处于安全状态;否则,该系统可能会面临严重的网络安全风险。与计算机视觉领域相比,在ICS的背景下,对抗样本攻击的实现更为复杂。假设攻击者通过添加随机扰动直接实现攻击目标,在这种情况下,异常检测模型可以很容易地检测到生成的对抗性样本,这在实际应用中意义不大。基于此,一些研究人员设计了一种遵循协议的对抗性样本攻击方法,并提高了攻击的有效性,尽管如此,生成对抗性样本的效率还是很低;虽然已经提出了多种对抗样本攻击方法,但ICS的对抗性样本攻击在实际应用中仍然存在一些挑战:
(1)对抗样本攻击方法没有考虑合理的特征类型约束,导致对抗样本不符合协议规范和实际的物理意义;一些对抗样本攻击方法在生成对抗样本之前没有将连续和离散变量分开考虑,使得对抗样本的特征类型与初始样本不一致,不具有较好的恶意攻击效果,这可能不会使异常检测模型的性能发生任何变化,从而导致该攻击方法对模型无效。
(2)一些对抗样本攻击方法虽然考虑了合理的特征类型约束,但是生成对抗性样本的效率低下;原则上,攻击生成的对抗样本应该具有高效性和快速性,攻击者应该尽可能地缩短对抗样本的生成时间,从而达到对抗样本的快速性,从而降低模型的性能和在对抗样本攻击影响下的鲁棒性。
对抗性样本防御方法在图像领域的研究较多,大多数防御模型是基于机器学习模型与对抗性样本信息设计的。基于编码解码器的算法在ICS领域取得了很大的进展,但大部分算法存在脆弱性;其中,长短期记忆网络编码解码器(LSTM-ED)是一种针对多维时间序列数据的重构算法,可以取得良好的检测效果;对抗性训练方法是一种广泛用于图像和ICS领域的防御方法,它使用对抗性模型生成具有完整标签的对抗性样本和正常样本混合来训练原始模型,以提高模型的鲁棒性。研究人员正在使用该防御方法来提高LSTM-ED模型的性能,然而,他们很少考虑LSTM-ED模型在对抗性样本攻击下的脆弱性;虽然可以通过提高模型本身的性能和添加一个辅助对抗样本检测器这两种方法来提高异常检测模型的性能和鲁棒性,但ICS的对抗性样本防御依然存在两方面的挑战:
(1)一些基于LSTM-ED模型的研究只提高模型本身的性能,缺少对对抗样本影响的考虑,不能证明模型在对抗样本攻击影响下具有鲁棒性。
(2)另一个是大多数防御方法的设计都是基于对抗性样本的信息设计的,导致没有任何对抗样本信息的情况下,很难设计一种防御方法。
发明内容
为克服上述现有技术的不足,本发明提供了一种用于工业控制系统的对抗样本攻击防御方法及系统,有效实现对工业控制系统异常检测模型的对抗样本攻击,提高生成对抗样本的时间效率,提高模型的性能,使模型在对抗样本攻击影响下具有一定的鲁棒性。
为实现上述目的,本发明的一个或多个实施例提供了如下技术方案:
本发明第一方面提供了一种用于工业控制系统的对抗样本攻击防御方法;
一种用于工业控制系统的对抗样本攻击防御方法,包括:
对工业控制系统的训练集和测试集进行数据预处理,并用预处理后的训练集训练异常检测模型;
对测试集进行对抗样本攻击,为测试集中的传感器和执行器添加不同特征约束的扰动,生成对抗样本;
基于对抗样本,通过特征加权的方式,对训练后的异常检测模型进行对抗样本防御,得到特征加权防御模型;
利用特征加权防御模型对工业控制系统的行为数据进行异常检测,输出检测结果。
进一步的,所述异常检测模型,采用长短期记忆网络编码解码器LSTM-ED,对输入的样本进行数据重构,输出重构结果与输入样本之间的重构误差。
进一步的,所述得到对抗样本,具体步骤为:
采用白盒威胁模型,完全获取异常检测模型的参数和配置信息,利用模型的完整信息获得异常检测模型的梯度信息;
基于梯度信息,考虑两种攻击场景,对测试集中的传感器和执行器添加不同特征约束的扰动,直到测试集的重构误差满足预设条件,得到对抗样本。
进一步的,所述两种攻击场景,具体为:
第一种攻击场景,掩盖异常样本,使其被判别为正常样本,攻击者沿着梯度相反的方向添加扰动,找到一个扰动,减少输入样本的真实值和预测值之间的差异,使模型将异常样本识别为正常;
第二种攻击场景,掩盖正常样本,使其被判别为异常样本,攻击者沿着梯度的同一方向添加扰动,找到一个扰动,扩大输入样本的真实值和预测值之间的差异,使模型将正常样本识别为异常。
进一步的,所述对测试集中的传感器和执行器添加不同特征约束的扰动,具体为:
传感器的特征值为连续变量,添加扰动
Figure SMS_1
,/>
Figure SMS_2
为传感器扰动值;
执行器包括电动阀和电动泵,特征值为离散变量,电动阀的扰动设置为0.5,电动泵的扰动设置为1。
进一步的,所述测试集的重构误差满足预设条件,具体为:
用重构误差计算性能评估指标,基于添加扰动前后的指标值变化,评估对抗性样本攻击下的模型性能是否下降,如果模型性能下降,则攻击者添加的扰动可以成功攻击模型,将攻击生成的样本作为对抗样本。
进一步的,所述特征加权,具体为:
计算对抗样本或训练集的重构误差中不同特征的权重,得到权重矩阵;
利用权重矩阵对异常检测模型输出的重构误差进行特征加权,得到最终的重建误差。
本发明第二方面提供了一种用于工业控制系统的对抗样本攻击防御系统。
一种用于工业控制系统的对抗样本攻击防御系统,包括数据预处理模块、对抗样本攻击模块、特征加权防御模块和异常检测模块:
数据预处理模块,被配置为:对工业控制系统的训练集和测试集进行数据预处理,并用预处理后的训练集训练异常检测模型;
对抗样本攻击模块,被配置为:对测试集进行对抗样本攻击,为测试集中的传感器和执行器添加不同特征约束的扰动,生成对抗样本;
特征加权防御模块,被配置为:基于对抗样本,通过特征加权的方式,对训练后的异常检测模型进行对抗样本防御,得到特征加权防御模型;
异常检测模块,被配置为:利用特征加权防御模型对工业控制系统的行为数据进行异常检测,输出检测结果。
以上一个或多个技术方案存在以下有益效果:
现有的工业控制系统中对抗样本攻击和防御方法存在对抗样本不符合特征约束,对抗样本符合特征约束但生成效率较低,LSTM-ED在对抗样本攻击下的性能研究相对较少,没有对抗样本信息情况下很难设计防御方法的缺陷。与现有的工业控制系统中对抗样本攻击和防御方法相比,本发明的有益效果有以下几点:
1、本发明通过在传感器和执行器上添加不同的扰动值,然后将最终生成的对抗性样本裁剪在(0,1)范围内,解决对抗性样本不符合协议规范和实际物理意义的问题。
2、 本发明使用基于梯度的攻击原理设计对抗样本攻击方法,解决对抗性样本的生成效率低的问题。
3、 本发明通过对不同特征的重构误差进行特征加权,不管类别如何,避免异常结果被预测结果最差的特征所主导,得到鲁棒性好的防御模型,解决没有对抗样本信息时防御模型设计困难的问题。
本发明附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1为第一个实施例的方法流程图。
图2为第一个实施例生成对抗样本的原理图。
具体实施方式
应该指出,以下详细说明都是例示性的,旨在对本申请提供进一步的说明。除非另有指明,本发明使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
术语解释:
对抗样本攻击:攻击者通过对输入样本添加不可察觉的扰动来产生对抗性样本,导致模型给出一个具有高置信度的错误输出。
对抗样本防御模型:异常检测模型容易受到对抗样本的攻击,导致模型的性能下降,使用一种防御技术与该异常检测模型结合,得到一个可以抵御对抗样本攻击的模型,该模型称为防御模型。
威胁模型:模型可能遭受的攻击方式,例如白盒攻击或黑盒攻击。
白盒攻击:假设攻击者可以完全获取目标模型的参数和配置,如结构、网络权重和激活函数等信息,在攻击过程中,攻击者可以利用模型的完整信息来获得目标模型的梯度信息,以生成有效的对抗性样本。
LSTM-ED:长短期记忆网络编码解码器,以自编码器为框架,其编码器和解码器的每层都由LSTM(长短期记忆网络)构成。
特征:表示属性,样本数据有多个特征组成,例如,传感器A采集的数据作为一个特征,传感器B采集的数据作为一个特征;在生成对抗样本时,根据特征是离散变量还是连续变量,添加不同特征约束的扰动值;在改进异常检测模型时,计算不同特征的权重,对模型的重构误差进行特征加权。
本发明旨在解决工业控制系统中对抗样本攻击方法的两个挑战和对抗样本防御方法的两个挑战:
(1)对抗样本攻击方面,一个是攻击方法没有考虑合理的特征约束,导致对抗样本不符合协议规范和实际的物理意义,另一个是攻击方法考虑了合理的特征约束,但对抗样本的生成效率较低;目的是使对抗样本符合协议规范,并且具有较高的生成效率。
(2)对抗样本防御方面,一个是防御方法缺少对LSTM-ED模型在对抗样本攻击影响下的鲁棒性研究,另一个是在不知道任何对抗样本信息情况下很难设计防御方法的问题;目的是保证异常检测模型在对抗样本攻击环境下具有鲁棒性。
实施例一
在一个或多个实施方式中,公开了一种用于工业控制系统的对抗样本攻击防御方法,如图1所示,包括如下步骤:
步骤S1:对工业控制系统的训练集和测试集进行数据预处理,并用预处理后的训练集训练异常检测模型。
获取工业控制系统的初始训练集和测试集,训练集中只包含正常数据,测试集中包含正常和异常的两类标签,首先,为了保证数据集的数据标准是一致的,使用最小-最大归一化方法进行预处理,然后,用预处理之后的训练集训练异常检测模型LSTM-ED,并保存训练集的重构误差,最后,用训练后的异常检测模型对测试集进行数据重构,得到测试集的重构误差。
异常检测模型,采用长短期记忆网络编码解码器LSTM-ED,LSTM-ED是一个自编码器,其结构分为编码器和解码器两部分,编码器和解码器的每层都由LSTM(长短期记忆网络)构成,编码器将输入数据编码为一个低维度的表示,然后通过解码器将其重构回原始空间,在此过程中,重构误差被用作度量模型性能的指标,所以,重构误差是输入数据与编码解码器输出的重构结果之间的差异,使用损失函数作为重构误差的度量,比如均方误差或交叉熵。
为了提高异常检测模型的重构性能,用训练集对其进行训练,得到训练后的异常检测模型,并保存训练集的重构误差;用训练后的异常检测模型对测试集进行数据重构,得到测试集的重构误差;其中,测试集的重构误差用于步骤S2中构建对抗样本,训练集的重构误差用于步骤S3的特征加权。
步骤S2:对测试集进行对抗样本攻击,为测试集中的传感器和执行器添加不同特征约束的扰动,生成对抗样本。
图2是生成对抗样本的原理图,如图2所示,原理是:在输入样本的基础上,添加扰动,得到对抗样本,输入到异常检测模型中进行异常行为检测,将输入的对抗样本错分类为正常样本,导致模型给出一个具有高置信度的错误输出;在本原理的基础上,生成对抗样本的具体步骤为:
步骤S201:为攻击者定义一个白盒威胁模型,攻击者可以完全获取异常检测模型LSTM-ED的参数和配置信息,利用模型的完整信息来获得模型的梯度信息。
为工业控制系统中的攻击者定义一个威胁模型,用于生成对抗样本;根据攻击者对目标模型的了解,对抗样本攻击可以分为白盒攻击和黑盒攻击;白盒攻击假设攻击者可以完全获取目标模型的参数和配置信息,例如体系结构、网络权重和激活函数,攻击者可以利用模型的完整信息获取目标模型的梯度信息,生成有效的对抗样本;本实施例中的对抗性威胁模型采用白盒设置,攻击者生成对抗样本,进行对抗样本攻击。
步骤S202:基于梯度信息,考虑两种攻击场景,对测试集中的传感器和执行器添加不同特征约束的扰动,得到符合协议规范和实际物理意义的对抗样本,具体步骤为:
(1)构建不同特征约束的扰动矩阵
真实的工业控制系统ICS很复杂,由多个连续的传感器和离散的执行器组成,每个传感器、每个执行器都对应一个特征,即属性,每个样本数据由多个特征对应的特征值组成;通过考虑合理的特征约束,在传感器和执行器对应的特征上,按每个特征值类型的不同分别添加不同特征约束的扰动值,并将最终生成的对抗样本裁剪在(0,1)范围内,解决对抗性样本不符合协议规范和实际物理意义的问题。
具体的,工业控制系统ICS中传感器和执行器的特征值类型不同,传感器的特征值是连续变量,执行器的特征值是离散变量,而且执行器包括电动阀和电动泵,电动阀和电动泵的特征值也不同,所以工业控制系统ICS中涉及三种不同类型的特征值,分别为传感器、电动阀和电动泵。
对于传感器,添加扰动
Figure SMS_3
后,传感器的特征值类型保持不变。对于电动阀,包括三种特征值:0表示转换(打开/关闭)、0.5表示关闭和1表示打开。对于电动泵,包括两种特征值:0表示关闭,1表示打开。
为了使对抗样本符合协议规范和实际的物理意义,为连续变量和离散变量分别设置不同的扰动(
Figure SMS_4
)值,传感器的/>
Figure SMS_5
设置为/>
Figure SMS_6
,电动阀的/>
Figure SMS_7
设置为0.5,电动泵的/>
Figure SMS_8
设置为1。
设置
Figure SMS_9
为工业控制系统ICS中所有特征的集合,使用对角矩阵/>
Figure SMS_10
表示对特征集合
Figure SMS_11
采取的扰动,具体公式为:
Figure SMS_12
(1)
其中,
Figure SMS_13
表示特征集合/>
Figure SMS_14
中的特征个数,/>
Figure SMS_15
表示对特征/>
Figure SMS_16
采取的扰动值,/>
Figure SMS_17
的公式可表示为:
Figure SMS_18
(2)
其中,
Figure SMS_19
表示特征集合/>
Figure SMS_20
中的第/>
Figure SMS_21
个特征,/>
Figure SMS_22
表示所有传感器的集合,/>
Figure SMS_23
是所有电动阀的集合,/>
Figure SMS_24
表示所有电动泵的集合。
(2)基于扰动矩阵,生成对抗样本
在数据中加入一个轻微的扰动,获得一个对抗性样本,将其发送给异常检测模型,并评估在对抗性样本攻击下模型性能下降的可能性,将性能下降作为添加扰动的停止条件。
对于扰动矩阵
Figure SMS_25
,其中电动阀和电动泵的扰动值是确定的,而传感器的扰动值是未知变量/>
Figure SMS_26
,白盒攻击者的目标是找到一个合适的扰动来使异常检测模型分类错误,为此,考虑两种不同的攻击场景,包括攻击者掩盖异常样本使其被判别为正常样本和掩盖正常样本使其被判别为异常样本。
第一种攻击场景,掩盖异常样本,使其被判别为正常样本,在这种情况下,攻击者沿着梯度相反的方向添加扰动;找到一个扰动,减少输入样本的真实值和预测值之间的差异,使模型将异常样本识别为正常;对抗性样本的生成表示为:
Figure SMS_27
(3)
第二种攻击场景,掩盖正常样本,使其被判别为异常样本,在这种情况下,攻击者沿着梯度的同一方向添加扰动,找到一个扰动,扩大输入样本的真实值和预测值之间的差异,使模型将正常样本识别为异常;对抗性样本的生成表示为:
Figure SMS_28
(4)
公式(3)(4)中,
Figure SMS_30
表示攻击生成的对抗样本,/>
Figure SMS_37
表示模型的输入样本,/>
Figure SMS_38
表示/>
Figure SMS_31
对应的真实标签值,即正常/异常,/>
Figure SMS_33
表示传感器和执行器不同扰动程度的扰动矩阵,
Figure SMS_34
是符号函数,/>
Figure SMS_35
表示用于训练异常检测模型的损失函数,/>
Figure SMS_29
表示损失函数
Figure SMS_32
相对于/>
Figure SMS_36
的梯度。
两种攻击场景相结合,最终生成的对抗性样本用以下公式表示:
Figure SMS_39
(5)
Figure SMS_40
(6)
其中,
Figure SMS_41
表示是输入样本的状态,即样本对应的标签,当输入样本是异常状态,则沿着梯度的相反方向添加扰动,当输入样本是正常状态,则沿着梯度的同一方向添加扰动。
将攻击生成的对抗样本输入到训练好的异常检测模型中进行数据重构,得到对抗样本的重构误差,用测试集的重构误差和对抗样本的重构误差分别计算性能评估指标,基于添加扰动前后的指标值变化,评估对抗性样本攻击下的模型性能是否下降,如果模型性能下降,则攻击成功,将攻击成功的样本作为最终的对抗样本。
以Accuracy、Precision、Recall、F1分数和AUC值作为性能评估指标,具体定义如下:
Figure SMS_42
(7)
其中,真阳性(TP)是正确分类的异常样本的数量。真阴性(TN)是正确分类的正常样本的数量。假阳性(FP)是指被误判为异常的正常样本数量。假阴性(FN)是指被误判为正常的异常样本的数量。
当根据对抗样本的重构误差计算得到的五个指标值,有多个低于测试集的重构误差对应的五个指标值,就认定模型性能下降,攻击成功。
需要特别说明的是,在得到对抗样本后,会出现不满足离散变量的约束规范的情况,例如,预处理后电动泵的特征值为1,而加入扰动后得到的特征值是2,因此,最后,使用clip函数将最终生成的对抗性样本裁剪到(0,1)范围内。
步骤S203:利用训练后的异常检测模型,对对抗样本进行数据重构,得到对抗样本的重构误差,用于步骤S3的特征加权。
步骤S3:基于对抗样本,通过特征加权的方式,对训练后的异常检测模型进行对抗样本防御,得到特征加权防御模型。
异常检测模型在检测时,应该能够应对对抗样本的攻击,使模型性能不受影响,为了这个目的,本实施例在异常检测模型LSTM-ED基础上,构建了一种考虑两种不同防御场景的特征加权防御模型(LSTM-FWED),两种不同防御场景分别为:适用于批量访问数据的场景
Figure SMS_43
和逐点接收数据的场景/>
Figure SMS_44
,/>
Figure SMS_45
根据对抗样本的重构误差计算权重矩阵,
Figure SMS_46
Figure SMS_47
根据训练集的重构误差计算权重矩阵,两种场景的权重矩阵计算方法类似,以
Figure SMS_48
为例,具体方法为:
(1)根据对抗样本的重构误差
Figure SMS_49
,沿纵轴计算各个特征的中值,得到特征中值重构误差/>
Figure SMS_50
(2)根据上一步计算得到的特征中值重构误差,计算权重矩阵,表示为:
Figure SMS_51
(8)
其中,
Figure SMS_52
是权重矩阵,/>
Figure SMS_53
是特征中值重构误差,作用是提高模型对异常值的鲁棒性,/>
Figure SMS_54
根据数据集的不同取最优值,进一步优选的,取值范围为/>
Figure SMS_55
(3)选择不同的防御场景,将对抗样本的重构误差与对应的权重矩阵相乘,得到最终的重构误差。
步骤S4:利用特征加权防御模型对工业控制系统的行为数据进行异常检测,输出检测结果。
采集工业控制系统的行为数据,输入到特征加权防御模型中,输出重构误差,基于重构误差,按行方向求平均,得到每行数据的平均值,作为异常分数,通过异常分数与异常阈值的比较,确定异常行为,以此来得到预测标签,即异常分数大于异常阈值,则判定为异常行为,否则正常行为。
实施例二
在一个或多个实施例中,公开了一种用于工业控制系统的对抗样本攻击防御系统,包括数据预处理模块、对抗样本攻击模块、特征加权防御模块和异常检测模块:
数据预处理模块,被配置为:对工业控制系统的训练集和测试集进行数据预处理,并用预处理后的训练集训练异常检测模型;
对抗样本攻击模块,被配置为:对测试集进行对抗样本攻击,为测试集中的传感器和执行器添加不同特征约束的扰动,生成对抗样本;
特征加权防御模块,被配置为:基于对抗样本,通过特征加权的方式,对训练后的异常检测模型进行对抗样本防御,得到特征加权防御模型;
异常检测模块,被配置为:利用特征加权防御模型对工业控制系统的行为数据进行异常检测,输出检测结果。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种用于工业控制系统的对抗样本攻击防御方法,其特征在于,包括:
对工业控制系统的训练集和测试集进行数据预处理,并用预处理后的训练集训练异常检测模型;
对测试集进行对抗样本攻击,为测试集中的传感器和执行器添加不同特征约束的扰动,生成对抗样本;
基于对抗样本,通过特征加权的方式,对训练后的异常检测模型进行对抗样本防御,得到特征加权防御模型;
利用特征加权防御模型对工业控制系统的行为数据进行异常检测,输出检测结果。
2.如权利要求1所述的一种用于工业控制系统的对抗样本攻击防御方法,其特征在于,所述异常检测模型,采用长短期记忆网络编码解码器LSTM-ED,对输入的样本进行数据重构,输出重构结果与输入样本之间的重构误差。
3.如权利要求1所述的一种用于工业控制系统的对抗样本攻击防御方法,其特征在于,所述生成对抗样本,具体步骤为:
采用白盒威胁模型,完全获取异常检测模型的参数和配置信息,利用模型的完整信息获得异常检测模型的梯度信息;
基于梯度信息,考虑两种攻击场景,对测试集中的传感器和执行器添加不同特征约束的扰动,直到测试集的重构误差满足预设条件,得到对抗样本。
4.如权利要求3所述的一种用于工业控制系统的对抗样本攻击防御方法,其特征在于,所述两种攻击场景,具体为:
第一种攻击场景,掩盖异常样本,使其被判别为正常样本,攻击者沿着梯度相反的方向添加扰动,找到一个扰动,减少输入样本的真实值和预测值之间的差异,使模型将异常样本识别为正常;
第二种攻击场景,掩盖正常样本,使其被判别为异常样本,攻击者沿着梯度的同一方向添加扰动,找到一个扰动,扩大输入样本的真实值和预测值之间的差异,使模型将正常样本识别为异常。
5.如权利要求3所述的一种用于工业控制系统的对抗样本攻击防御方法,其特征在于,所述对测试集中的传感器和执行器添加不同特征约束的扰动,具体为:
传感器的特征值为连续变量,添加扰动
Figure QLYQS_1
,/>
Figure QLYQS_2
为传感器扰动值;
执行器包括电动阀和电动泵,特征值为离散变量,电动阀的扰动设置为0.5,电动泵的扰动设置为1。
6.如权利要求3所述的一种用于工业控制系统的对抗样本攻击防御方法,其特征在于,所述测试集的重构误差满足预设条件,具体为:
用重构误差计算性能评估指标,基于添加扰动前后的指标值变化,评估对抗性样本攻击下的模型性能是否下降,如果模型性能下降,则攻击成功,将攻击成功的样本作为最终的对抗样本。
7.如权利要求1所述的一种用于工业控制系统的对抗样本攻击防御方法,其特征在于,所述特征加权,具体为:
计算训练集或对抗样本的重构误差中不同特征的权重,得到权重矩阵;
利用权重矩阵对异常检测模型输出的重构误差进行特征加权,得到最终的重建误差。
8.一种用于工业控制系统的对抗样本攻击防御系统,其特征在于,包括数据预处理模块、对抗样本攻击模块、特征加权防御模块和异常检测模块:
数据预处理模块,被配置为:对工业控制系统的训练集和测试集进行数据预处理,并用预处理后的训练集训练异常检测模型;
对抗样本攻击模块,被配置为:对测试集进行对抗样本攻击,为测试集中的传感器和执行器添加不同特征约束的扰动,生成对抗样本;
特征加权防御模块,被配置为:基于对抗样本,通过特征加权的方式,对训练后的异常检测模型进行对抗样本防御,得到特征加权防御模型;
异常检测模块,被配置为:利用特征加权防御模型对工业控制系统的行为数据进行异常检测,输出检测结果。
CN202310586407.6A 2023-05-24 2023-05-24 一种用于工业控制系统的对抗样本攻击防御方法及系统 Active CN116304959B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310586407.6A CN116304959B (zh) 2023-05-24 2023-05-24 一种用于工业控制系统的对抗样本攻击防御方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310586407.6A CN116304959B (zh) 2023-05-24 2023-05-24 一种用于工业控制系统的对抗样本攻击防御方法及系统

Publications (2)

Publication Number Publication Date
CN116304959A true CN116304959A (zh) 2023-06-23
CN116304959B CN116304959B (zh) 2023-08-15

Family

ID=86785456

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310586407.6A Active CN116304959B (zh) 2023-05-24 2023-05-24 一种用于工业控制系统的对抗样本攻击防御方法及系统

Country Status (1)

Country Link
CN (1) CN116304959B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117669651A (zh) * 2024-01-31 2024-03-08 山东省计算中心(国家超级计算济南中心) 基于arma模型的对抗样本黑盒攻击防御方法及系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108322349A (zh) * 2018-02-11 2018-07-24 浙江工业大学 基于对抗式生成网络的深度学习对抗性攻击防御方法
CN108388795A (zh) * 2018-02-11 2018-08-10 浙江工业大学 一种基于lstm检测器的对抗攻击防御方法
CN108446765A (zh) * 2018-02-11 2018-08-24 浙江工业大学 面向深度学习对抗性攻击的多模型协同防御方法
CN109902709A (zh) * 2019-01-07 2019-06-18 浙江大学 一种基于对抗学习的工业控制系统恶意样本生成方法
CN112202736A (zh) * 2020-09-15 2021-01-08 浙江大学 基于统计学习和深度学习的工业控制系统通信网络异常分类方法
US20210306356A1 (en) * 2018-07-10 2021-09-30 Siemens Aktiengesellschaft Hybrid unsupervised machine learning framework for industrial control system intrusion detection
CN114721264A (zh) * 2022-03-21 2022-07-08 浙江工业大学 一种基于两阶段自编码器的工业信息物理系统攻击检测方法
CN114757351A (zh) * 2022-04-24 2022-07-15 北京理工大学 一种深度强化学习模型对抗攻击的防御方法
US20230022943A1 (en) * 2021-07-22 2023-01-26 Xidian University Method and system for defending against adversarial sample in image classification, and data processing terminal

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108322349A (zh) * 2018-02-11 2018-07-24 浙江工业大学 基于对抗式生成网络的深度学习对抗性攻击防御方法
CN108388795A (zh) * 2018-02-11 2018-08-10 浙江工业大学 一种基于lstm检测器的对抗攻击防御方法
CN108446765A (zh) * 2018-02-11 2018-08-24 浙江工业大学 面向深度学习对抗性攻击的多模型协同防御方法
US20210306356A1 (en) * 2018-07-10 2021-09-30 Siemens Aktiengesellschaft Hybrid unsupervised machine learning framework for industrial control system intrusion detection
CN109902709A (zh) * 2019-01-07 2019-06-18 浙江大学 一种基于对抗学习的工业控制系统恶意样本生成方法
US20210319113A1 (en) * 2019-01-07 2021-10-14 Zhejiang University Method for generating malicious samples against industrial control system based on adversarial learning
CN112202736A (zh) * 2020-09-15 2021-01-08 浙江大学 基于统计学习和深度学习的工业控制系统通信网络异常分类方法
US20230022943A1 (en) * 2021-07-22 2023-01-26 Xidian University Method and system for defending against adversarial sample in image classification, and data processing terminal
CN114721264A (zh) * 2022-03-21 2022-07-08 浙江工业大学 一种基于两阶段自编码器的工业信息物理系统攻击检测方法
CN114757351A (zh) * 2022-04-24 2022-07-15 北京理工大学 一种深度强化学习模型对抗攻击的防御方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
FAN XINGJIE; WAN GUOGENP; ZHANG SHIBIN; CHENHAO: "Industrial Control System Intrusion Detection Model based on LSTM & Attack Tree", 2020 17TH INTERNATIONAL COMPUTER CONFERENCE ON WAVELET ACTIVE MEDIA TECHNOLOGY AND INFORMATION PROCESSING (ICCWAMTIP) *
单?;姚羽;: "基于机器学习的工业互联网安全及动态防御方法研究", 保密科学技术, no. 05 *
周文;张世琨;丁勇;陈曦;: "面向低维工控网数据集的对抗样本攻击分析", 计算机研究与发展, no. 04 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117669651A (zh) * 2024-01-31 2024-03-08 山东省计算中心(国家超级计算济南中心) 基于arma模型的对抗样本黑盒攻击防御方法及系统
CN117669651B (zh) * 2024-01-31 2024-05-14 山东省计算中心(国家超级计算济南中心) 基于arma模型的对抗样本黑盒攻击防御方法及系统

Also Published As

Publication number Publication date
CN116304959B (zh) 2023-08-15

Similar Documents

Publication Publication Date Title
CN108718310B (zh) 基于深度学习的多层次攻击特征提取及恶意行为识别方法
CN110647918A (zh) 面向深度学习模型对抗攻击的拟态防御方法
CN111598179B (zh) 电力监控系统用户异常行为分析方法、存储介质和设备
CN116760742A (zh) 基于多阶段混合时空融合的网络流量异常检测方法及系统
CN111652290A (zh) 一种对抗样本的检测方法及装置
CN116304959B (zh) 一种用于工业控制系统的对抗样本攻击防御方法及系统
CN113723564B (zh) 一种对抗样本防御模型训练方法、系统及其应用
CN112926661A (zh) 一种增强图像分类鲁棒性的方法
CN109977118A (zh) 一种基于词嵌入技术和lstm的异常域名检测方法
CN114721264A (zh) 一种基于两阶段自编码器的工业信息物理系统攻击检测方法
CN115913643A (zh) 一种基于对抗自编码器的网络入侵检测方法、系统及介质
CN117596011A (zh) 基于对抗卷积神经网络的电力网流量异常检测方法及系统
CN117669651B (zh) 基于arma模型的对抗样本黑盒攻击防御方法及系统
Hegazy Tag Eldien, AS; Tantawy, MM; Fouda, MM; TagElDien, HA Real-time locational detection of stealthy false data injection attack in smart grid: Using multivariate-based multi-label classification approach
CN115221511A (zh) 一种配电物联网威胁狩猎方法
CN112162515B (zh) 一种针对过程监控系统的对抗攻击方法
CN114547608A (zh) 一种基于降噪自编码核密度估计的网络安全态势评估方法
CN115984667A (zh) 一种基于Fisher信息的对抗训练泛化能力提升方法
CN113378985B (zh) 一种基于逐层相关性传播的对抗样本检测方法和装置
Pan et al. Early detection of network fault using improved Gray Wolf Optimization and wavelet neural network
Su et al. Generating adversarial examples for white-box attacks based on GAN
CN117610002B (zh) 基于多模态特征对齐的轻量化恶意软件威胁检测方法
CN117792794B (zh) 一种网络威胁情报分析方法、设备及系统
CN117473438A (zh) 基于改进变分自动编码器的水下传感器节点信任识别方法
Sun et al. Industrial Control System Attack Detection Model Based on Bayesian Network and Timed Automata

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant