工控网络异常检测中基于灵敏度的动态迁移算法

摘要/Abstract

摘要： 随着工控网络信息化程度的不断提高，工控网络逐渐变得更加开放，一方面给工业生产提供了便捷，但另一方面也带来了安全隐患。工控网络作为重要的基础设施，一旦受到攻击将产生严重损害。近年来不少学者使用网络异常检测技术来发现工控网络中潜在的安全隐患，取得不错的成果。然而工控网络中的数据往往缺少标注，这限制了传统监督学习类算法在工控网络安全领域的应用。基于非监督学习的算法可以在缺少标注的场景下实现异常检测，但是往往存在算法性能较差的问题，而迁移学习类算法可以通过在源域上学习后迁移到只有少量标注的目标域实现在少标注情况下的较高性能。为了进一步提高在缺少标注的工控网络中进行异常检测的性能，本文提出一种工控网络异常检测中基于灵敏度的动态迁移算法。首先该算法基于迁移学习的思想，在有标注的源域中进行训练后迁移到缺乏标注的目标域，可以在缺少标注的工控网络环境下进行异常检测。其次得益于门控循环单元的记忆效应，该算法可以有效利用工控网络数据内在的时序关联性，进一步提高算法异常检测的能力。同时该算法中的基于参数灵敏度因子对参数进行动态迁移的方法，改进了传统迁移学习微调方法对源域和目标域数据底层特征学习不均衡的不足。在KDD99数据集和Kyoto2016数据集上的对比实验表明，该算法采用的基于灵敏度的动态迁移学习方法对比传统微调方法具有更好的效果。在与最新一系列无监督与迁移学习算法的对比中，该算法在精确率、召回率和综合性的F1分数上均优于对比方法，取得了0.97、0.95、0.96的优秀性能。

关键词: 工业控制系统, 网络安全, 迁移学习, 门控循环单元, 异常检测

Abstract: With the continuous improvement of the informatization of industrial control networks， industrial control networks have gradually become more open， which on the one hand provides convenience for industrial production， but also brings security risks on the other hand. As an important infrastructure， the industrial control network will cause serious damage once it is attacked. In recent years， scholars have used network anomaly detection technology to discover potential security risks in industrial control networks， and have achieved great results. However， the data in the industrial control network often lack labels， which limits the application of traditional supervised learning algorithms in the field of industrial control network security. Algorithms based on unsupervised learning can detect anomalies in scenarios of lacking labels， but there is often a problem of poor algorithm performance， while transfer learning algorithms can get a better result by migrating to the target domain with only a few labels after learning on the source domain. In order to further improve the performance of anomaly detection in industrial control networks with few labels， this paper proposes a dynamic transfer method based on sensitivity in industrial control network anomaly detection. First of all， the algorithm is based on the idea of transfer learning， which is trained in the labeled source domain and then migrated to the target domain with a small number of labels， which can detect anomalies in the industrial control network environment with only a few labels. Secondly， benefits from the memory effect of the GRU structure， the algorithm can effectively utilize the inherent time-series correlation of industrial control network data， which further improves the ability of algorithm anomaly detection. At the same time， the method of dynamic transfer of parameters based on parameter sensitivity factor in the algorithm improves the insufficiency of the traditional transfer learning fine-tuning method for the unbalanced learning of the underlying features of the source domain and target domain data. The comparative experiments on the KDD99 dataset and the Kyoto2016 dataset show that the dynamic transfer learning method based on the sensitivity factor adopted by the algorithm has a better effect than the traditional fine-tuning method. In comparison with the latest series of unsupervised and transfer learning algorithms， the algorithm outperforms the comparison methods in precision， recall， and comprehensive F1 score， achieving excellent performances of 0.97， 0.95， and 0.96.

Key words: industrial control system, network security, transfer learning, gated recurrent unit, anomaly detection

杨骏, 王劲林, 倪宏, 盛益强, . 工控网络异常检测中基于灵敏度的动态迁移算法[J]. 计算机与现代化, 2023, 0(05): 46-51.

YANG Jun, WANG Jin-lin, NI Hong, SHENG Yi-qiang, . Dynamic Transfer Method Based on Sensitivity in Industrial Control Network Anomaly Detection[J]. Computer and Modernization, 2023, 0(05): 46-51.

参考文献［33］

［1］	KIM S， HEO G， ZIO E， et al. Cyber attack taxonomy for digital environment in nuclear power plants［J］. Nuclear Engineering and Technology， 2020，52（5）:995-1001.
［2］	卢光明. 我国工控安全现状及面临的挑战［J］. 网络空间安全， 2018，9（3）:1-7.
［3］	WILSON C. Cyber Threats to Critical Information Infrastructure［M］. Springer， 2014:123-136.
［4］	张晓明，王丽宏，何跃鹰，等. 工业控制系统信息安全风险分析及漏洞检测［J］. 物联网学报， 2017，1（1）:34-39.
［5］	杨佳宁，陈柯宇，曹凯，等. 工业互联网安全态势感知核心技术分析［J］. 网络空间安全， 2019，10（4）:61-66.
［6］	BASS T. Intrusion detection systems and multisensor data fusion:Creating cyberspace situational awareness［J］. Communications of the ACM， 2000，43（4）:99-105.
［7］	岳巍. 工控系统安全态势感知关键技术研究［D］. 杭州:浙江理工大学， 2018.
［8］	尚文利，敖建松，赵剑明，等. 基于DAE的工控系统态势理解算法［J］. 小型微型计算机系统， 2020，41（6）:1231-1236.
［9］	杜蛟. 工业控制系统信息安全态势感知技术研究［D］. 重庆：重庆邮电大学， 2019.
［10］	郭宾，雷濛，王得奕. 工控网络态势感知数据采集的设计［J］. 自动化博览， 2019，36（S2）:110-113.
［11］	闫芮铵，张立臣.基于Focal Loss和卷积神经网络的入侵检测［J］. 计算机与现代化，2021（1）:65-69.
［12］	郝怡然，盛益强，王劲林，等. 基于递归神经网络的网络安全事件预测［J］. 网络新媒体技术， 2017，6（5）:54-58.
［13］	FENG C， LI T T， CHANA D. Multi-level anomaly detection in industrial control systems via package signatures and LSTM networks［C］// Proceedings of the 2017 47th Annual IEEE/IFIP International Conference on Dependable Systems and Networks（DSN）. 2017:261-272.
［14］	KARANAM L， PATTANAIK K K， ALDMOUR R. Intrusion detection mechanism for large scale networks using CNN-LSTM［C］// 2020 13th International Conference on Developments in eSystems Engineering（DeSE）. 2020:323-328.
［15］	CHEN D Q， ZHANG P H， WANG H Z. Intrusion detection for industrial control systems based on an improved SVM method［J］. Journal of Tsinghua University （Science and Technology）， 2018，58（4）:380-386.
［16］	孙磊. 基于随机森林的工控网络安全态势要素提取方法研究［D］. 长春：长春工业大学， 2021.
［17］	TONG W M， LIU B B， LI Z W， et al. Intrusion detection method of industrial control network based on lightGBM［C］// Proceedings of the 2021 International Conference on Communications， Information System and Computer Engineering（CISCE）. 2021:631-635.
［18］	钟志琛. 基于网络流量异常检测的电网工控系统安全监测技术［J］. 电力信息与通信技术， 2017，15（1）:98-102.
［19］	汪媛，陈晓. 基于t-SNE的网络攻击流量无监督聚类方法［J］. 网络新媒体技术， 2020，9（6）:26-30.
［20］	郝怡然，盛益强，王劲林. 基于t-SNE降维预处理的网络流量异常检测［J］. 计算机与现代化， 2021（2）:109-116.
［21］	LIU L M， HU M D， KANG C Q， et al. Unsupervised anomaly detection for network data streams in industrial control systems［J］. Information， 2020，11（2）:105-105.
［22］	邓斌涛，徐胜超. 基于动态双子种群的差分进化K中心点聚类算法［J］. 计算机与现代化， 2021（7）:54-59.
［23］	李建伏，巴建军. 基于 MCMC 的 DBSCAN 改进算法［J］. 计算机工程与设计， 2020，41（1）:122-127.
［24］	黄仲英，杨印根，雷震春. VAE过采样与迁移学习在网络入侵检测中的应用［J］. 计算机时代， 2021 （7）:50-54.
［25］	MASUM M， SHAHRIAR H. TL-NID:Deep neural network with transfer learning for network intrusion detection［C］// Proceedings of the 2020 15th International Conference for Internet Technology and Secured Transactions（ICITST）. 2020:1-7.
［26］	肖峻，刘纯，莫易敏. 基于信息管理的工业自动化控制系统［J］. 控制工程， 2004，11（3）:232-234.
［27］	黄杰. 工控网络安全浅析［J］. 网络安全技术与应用， 2021（2）:104-105.
［28］	CHO K， VAN MERRI[E]NBOER B， GULCEHRE C， et al. Learning phrase representations using RNN encoder-decoder for statistical machine translation［J］. arXiv preprint arXiv:1406.1078， 2014.
［29］	ELMAN J L. Finding structure in time［J］. Cognitive Science， 1990，14（2）:179-211.
［30］	HOCHREITER S， SCHMIDHUBER J. Long short-term memory［J］. Neural Computation， 1997，9（8）:1735-80.
［31］	DIMOPOULOS Y， BOURRET P， LEK S. Use of some sensitivity criteria for choosing networks with good generalization ability［J］. Neural Processing Letters， 1995，2（6）:1-4.
［32］	STOLFO S. KDD Cup 1999 Dataset［EB/OL］.（2005-09-09）［2022-06-28］. http://kdd.ics.uci.edu.
［33］	SONG J， TAKAKURA H， OKABE Y. Description of Kyoto University Benchmark Data［EB/OL］. （2016-03-15）［2022-
	06-28］. http://www.takakura.com/Kyoto_data/ Benchmark
	Data-Description-v5.pdf.

[1]	胡崇佳, 刘金洲, 方立. 基于无监督域适应的室外点云语义分割[J]. 计算机与现代化, 2024, 0(01): 74-79.
[2]	韩冬松, 沙乐天, 赵创业. 基于蠕虫和代理的工控系统攻击建模[J]. 计算机与现代化, 2023, 0(10): 107-114.
[3]	农皓程, 任德均, 任秋霖, 刘澎笠, 黄德成. 基于改进ConvNeXt的软塑包装表面异常检测算法[J]. 计算机与现代化, 2023, 0(08): 12-17.
[4]	张志霞, 谢宝强. 基于FCGA-LSTM与迁移学习的天然气负荷预测[J]. 计算机与现代化, 2023, 0(07): 7-12.
[5]	苏金库, 桂智明. 基于时空特征的短时出租车流量预测[J]. 计算机与现代化, 2023, 0(05): 32-38.
[6]	陈晓雯, 石慧. 基于DWT-SVD与迁移学习的水印检测模型[J]. 计算机与现代化, 2023, 0(04): 111-117.
[7]	毛明扬, 徐胜超. 一种新的复杂网络安全主动防御模型[J]. 计算机与现代化, 2023, 0(04): 118-122.
[8]	潘裕庆, 张苏宁, 冯仁君, 景栋盛. 结合粒子群优化和LightGBM的入侵检测方法[J]. 计算机与现代化, 2023, 0(04): 123-126.
[9]	白开峰, 赵宏斌, 张芸, 李妍, 崔静安, 刘千金, 杨华, 倪娜. 电网异常业务数据检测方法综述[J]. 计算机与现代化, 2023, 0(03): 79-83.
[10]	蒋星宇, 徐锐, 张若愚, 张志勇, . 工业控制系统网络资产探测技术研究[J]. 计算机与现代化, 2023, 0(02): 89-95.
[11]	白旭光, 刘成忠, 韩俊英, 高嘉蒙, 陈俊康. 基于SE-ResNeXt的苹果叶片分类方法[J]. 计算机与现代化, 2023, 0(01): 18-23.
[12]	王诗愉, 肖利东, 严心淳, 应文豪. 基于模拟退火的扩展孤立森林异常检测算法[J]. 计算机与现代化, 2023, 0(01): 88-94.
[13]	宋晓丽, 张勇波, 张培颖. 基于半监督学习的学生消费数据异常检测[J]. 计算机与现代化, 2022, 0(12): 13-17.
[14]	栗伟松, 汤敏芳, 何征岭, 王鹏, 杜利东, 方震, 陈贤祥. 基于自注意力机制和单导联心电信号的自动睡眠分期算法#br#[J]. 计算机与现代化, 2022, 0(12): 50-59.
[15]	储苏红, 刘磊, . POF协议解析器[J]. 计算机与现代化, 2022, 0(09): 93-98.