研究报告：针对工业控制系统的多变量异常检测研究

第一部分：研究作者及发表信息

本文主要作者包括 Xin Xie, Bin Wang, Tiancheng Wan 和 Wenliang Tang，他们隶属于中国华东交通大学信息工程学院（School of Information Engineering, East China Jiaotong University, Nanchang, China）。通讯作者为 Bin Wang（wangbin199702@163.com）。此项研究发表于IEEE Access期刊，接收时间为2020年4月15日，接受时间为2020年5月5日，最终发表时间为2020年5月8日，DOI为10.1109/access.2020.2993335。

第二部分：研究背景及研究目标

本研究领域属于工业控制系统（Industrial Control Systems, ICS）异常检测。ICS广泛应用于工业、能源、交通、水利以及城市基础设施等领域，是国家关键基础设施的核心组成部分。然而，随着工业与信息化的融合，工业设备与互联网的互联数量急剧增加，这造成了工业控制系统面临越来越多的网络安全威胁，网络攻击事件逐年增长，例如2010年的Stuxnet蠕虫病毒、2015年乌克兰电网攻击等高危事件。因此，提升ICS网络攻击检测能力成为学术界和工业界迫切需要解决的问题。

目前传统的工业控制系统异常检测方法主要依赖网络事件日志构建模型，但它们通常忽略了系统中多个变量（传感器/执行器）间的时空相关性和依赖性。因此，这些方法对未知攻击和新型攻击的检测率较低。为了解决这些不足，本文提出了一种基于一维卷积神经网络（1D Convolutional Neural Network, 1D_CNN）和门控循环单元（Gated Recurrent Unit, GRU）的网络模型，通过学习传感器和控制器参数的时空相关性，实现更高效的异常检测能力。

第三部分：研究流程及具体工作

研究流程概述

为完成研究目标，本文设计了具体步骤，包括以下几个核心阶段：
1. 数据预处理与特征提取：包括数据归一化和通过自编码器（AutoEncoder）降维。
2. 模型构建：结合1D_CNN与GRU的深度学习网络进行异常状态预测。
3. 异常检测方法设计：基于统计偏差计算的异常检测方法。
4. 实验验证与性能评估：采用SWaT（Secure Water Treatment）数据集，验证模型的精度、召回率和F1分数。

数据预处理

本文使用SWaT数据集，包含复杂的传感器与执行器数据。通过归一化处理方式，将数据标准化到介于0和1之间的范围。此外，使用自编码器（AutoEncoder）减少特征维度，同时采用堆叠去噪自编码器（Stacked Denoising AutoEncoder, SDA）进一步优化特征提取，提升模型对异常或攻击的抗干扰能力。

模型构建

1. 特征处理与扩展：通过全连接层扩展特征间的潜在信息，实现从低层到高层的特征提取。
2. 卷积神经网络（1D_CNN）：1D_CNN用于提取时序数据的层次化特征，使用残差模块提升网络深度的同时避免梯度消失问题，增强模型的特征表达能力。
3. 门控循环单元（GRU）：GRU相较于长短期记忆网络（LSTM），具有更简洁的结构且更新速度更快，适用于预测时间序列中的特征依赖关系。网络通过GRU预测下一时刻特征点，输出预测特征矢量。

异常检测方法

研究提出了一种基于统计偏差计算的方法，通过计算预测值与实际值之间的偏差，判断系统是否处于异常状态。具体步骤包括：
1. 用模型预测下一时刻的流量特征值。 2. 对偏差进行正则化处理，计算均值和标准差。 3. 设置阈值并比较最大偏差值以判断是否存在异常。

实验设计与验证

实验使用SWaT数据集进行验证，对比经常用于ICS异常检测的支持向量机（SVM），深度神经网络（DNN）以及基于序列到序列（Sequence-to-Sequence）的神经网络模型。模型采用精度、召回率及F1分数等指标评估性能。同时分析了单层与多层1D_CNN以及GRU或LSTM等不同网络结构对性能的影响，最终选择4层1D_CNN与3层GRU的组合模型作为最佳方案。

第四部分：研究结果

性能评估

实验结果表明，提出的基于SDA、1D_CNN和GRU的模型在SWaT数据集上的精度达到了99.6%，召回率为85.3%，平均F1分数为91%，显著优于传统模型。具体对比分析如下：
1. 与SVM对比：相比传统支持向量机方法，提出模型的F1分数提升了11.7%。
2. 与DNN对比：相比深度神经网络方法，F1分数提升接近11%。
3. 与LSTM对比：GRU相比LSTM在相近精度和召回率的前提下，具有更高的训练效率。

各阶段检测效果

在水处理过程的五个子阶段（P1-P5）中，结合GRU的4层1D_CNN模型在P2、P3、P4及P5阶段的F1分数均显著优于单纯的多层卷积模型。尤其是在一些复杂条件下（例如水位传感器的异常检测），该模型能够更精准地识别攻击。

攻击检测概况

本文还分别对36种攻击类型的检测效果进行了详细测试。对于无法产生效果的攻击（如编号4、10、11及24），模型得不到检测信号，这是由于测试环境设置的问题。其余攻击均实现了较高的检测率，尤其对于一些影响水位传感器的攻击，具有显著优势。

第五部分：研究结论

本文提出的基于SDA、1D_CNN和GRU的异常检测模型在工业控制系统的异常状态检测中体现出高效性与可靠性。研究通过结合多变量时空相关特性，以创新算法显著提升了检测的精度和广泛性。其科学价值体现在对ICS安全威胁的有效判断和防御能力，而应用价值则在于为实时监控系统提供了一种高效可行的解决方案。

第六部分：研究亮点

1. 创新性地结合了SDA、1D_CNN与GRU，从理论上突破了现有模型对多变量时空特性的局限。
   
2. 使用残差模块优化了深度卷积网络的处理能力。
   
3. 大幅提升了传统方法在未知攻击检测中的性能表现。
   

第七部分：未来方向

本文提到未来需进一步研究抵抗反攻击的ICS异常检测系统，同时探索更高效的特征学习方法和更合理的模型描述结构。这将为未来的工业控制安全研究提供更多可能。