《Real-Time Identification of Cyber-Physical Attacks on Water Distribution Systems via Machine Learning Based Anomaly Detection Techniques》

这篇文章由Ahmed A. Abokifa、Kelsey Haddad、Cynthia Lo以及Pratim Biswas四位作者完成，隶属于Washington University in St. Louis，发表于《Journal of Water Resources Planning and Management》期刊，具体刊载时间为2018年7月。文章的DOI为10.1061/(ASCE)WR.1943-5452.0001023。

研究背景

在过去的十年中，饮用水分配系统逐步采用智能技术，目的是提升运行效率、性能以及可靠性。然而，这些技术的实施也导致了网络-物理系统（Cyber-Physical Systems，CPS）面临更多的安全威胁，特别是来自于网络空间的新型攻击风险。作者指出，智能水分配系统依赖SCADA系统（Supervisory Control and Data Acquisition，监督控制与数据采集）及远程传感器和控制器，这些新型技术尽管带来了方便，但也暴露出了一些全新的安全漏洞，比如可能导致物理设备的损坏或水质的潜在污染问题。

这些网络攻击不仅会扰乱系统运行，还可能获取敏感信息甚至造成水质问题，从而严重威胁公共安全。近年来，网络安全事件在水分配系统中的数量增长显著，例如，美国国土安全部的ICS-CERT团队曾在2015年报告处理了针对水和废水系统的25起网络攻击案例，是关键制造业和能源行业之后受攻击最多的领域之一。因此，本研究着眼于开发一种实时检测算法，用以识别水分配系统中的网络-物理攻击（Cyber-Physical Attacks，CPAs）。

研究目的

本研究旨在通过机器学习中的异常检测方法，实时识别智能饮用水分配系统中的CPAs。具体目标包括： 1. 发现攻击的存在，并尽可能快速且可靠地作出响应。 2. 避免发出错误报警，并识别何时系统恢复正常。 3. 确定攻击中被破坏的具体网络-物理基础设施组件。 4. 区分网络攻击引发的异常和测量噪声。

研究方法与流程

研究核心在于使用机器学习技术开发了一个由多模块组成的算法，结合历史数据和模拟数据检测特定类型的异常信号。以下是详细研究流程和方法：

1. 数据集与案例研究

研究使用了一个中型的水分配网络“C-Town Network”作为算法开发的基准。该网络包括388个节点和429个连接，配备7个水箱、11个泵、以及1个控制阀用于水的储存与分配。数据分为训练集、验证集和测试集三个部分： - 训练集：包含一年的SCADA历史观测数据，无攻击，用于训练算法识别系统正常行为。 - 验证集：包含6个月的观测数据，涉及7种模拟攻击场景，验证算法效率并调整算法参数。 - 测试集：包含3个月的观测数据，涉及7种模拟攻击，用于测试算法在未见过的数据下的表现。

模拟攻击通过MATLAB工具箱EPANETCPA生成，涉及水箱水位、泵流量和传感器通信等方面的破坏。

2. 算法模块设计

算法由四个独立模块组成，每个模块承担不同类别的异常检测任务： - 模块1：验证执行器规则（Actuator Rules）。检查SCADA记录的设备操作状态是否符合正常运行控制规则。例如，水泵启动或关闭是否与控制水箱水位高度相符。 - 模块2：简单异常检测（Simple Outliers）。通过统计边界（如均值和标准差或四分位间距）寻找异常数据点。 - 模块3：上下文异常检测（Contextual Anomalies）。使用人工神经网络（ANNs）预测未来的观测值与真实值对比，用以识别偏离正常操作模式的数据。 - 模块4：全局异常检测（Global Anomalies）。通过主成分分析（Principal Component Analysis，PCA）合并多维监测数据，揭示攻击隐藏造成的异常。

各模块分别处理并标记异常，然后通过“警报窗口”（Alarm Watch Window）系统综合集成异常点，判断是否发生攻击并持续观测异常行为的时间段。

3. 数据分析与模型优化

• 数据平滑：原始数据包含高频短时波动，研究利用频域滤波进行了平滑处理，以降低计算复杂度并提升ANN训练精度。
• 参数调整：对ANN的隐含层神经元和输入层输入数目、PCA的主成分等参数进行了灵敏度分析和优化，确定ANN每个模型的输入为前40小时的观测数据，选择前14个主成分表示正常子空间。

研究结果

1. 验证集结果

算法在验证集中成功检测到所有7种模拟攻击，显示其高敏感性与准确性。值得注意的是，第七个攻击场景的特点是攻击者隐瞒了关键监测点的数据异常。这类隐匿攻击无法通过前三个模块单独检测，但PCA模块得益于多维数据的协同分析，成功识别了全局异常。

验证集中算法的总体性能指标（S）达到了0.968，显示了对真实攻击的有效响应。然而，算法对攻击结束时间的识别稍显滞后，并有少量错误报警，主要原因是高背景噪声影响。

2. 测试集结果

在测试集上，算法再次成功检测全部7种攻击，尽管受噪声影响，其性能指标（S=0.955）略低于验证集。同时发现，共享多个部分的模块（如ANN和PCA）的整合，提高了整体检测效率。

3. 噪声影响

研究进一步测试了算法处理背景噪声的能力。低噪声背景下（噪声/信号标准差比值<0.2），算法表现良好。然而在高噪声水平下（噪声/信号标准差比值接近0.5），算法难以区分由攻击或噪声引发的异常，并误将连续噪声模式标为攻击，显示出对信号干扰高度敏感。

结论

本研究成功开发了一套基于多模块集成的机器学习算法，用于实时检测水分配系统中的网络-物理攻击。研究表明，尤其是在复杂的隐匿性攻击下，使用结合PCA和ANN的多维数据分析技术是有效的。此外，算法对小幅度测量噪声具有良好鲁棒性，但难以应对严重噪声。因此，结合实际应用的信号处理模块或去噪机制将是未来优化方向。

研究亮点

1. 方法上的创新性：采用了多模块集成的算法框架，将规则验证、统计学检测、人工神经网络及主成分分析结合，兼顾了检测的范围和特定性。
2. 应用领域的时效性：数字化水务系统面临的网络安全威胁不断上升，研究填补了针对水分配系统网络攻击实时检测的技术空白。
3. 结论的广泛适应性：尽管研究使用了特定的C-Town网络，但其算法框架对其他智能水网和基础设施网络同样具有参考意义。

应用价值

本研究为智能水分配及其他关键基础设施的网络安全管理提供了新的分析工具，具有潜在的普遍应用价值。同时，其开创的多模块异常检测系统，特别是整合ANN和PCA的方法，可推广应用于其他行业中。