面向工控系统未知攻击的域迁移入侵检测方法

doi:10.11772/j.issn.1001-9081.2023050566

《计算机应用》唯一官方网站 ›› 2024, Vol. 44 ›› Issue (4): 1158-1165.DOI: 10.11772/j.issn.1001-9081.2023050566

• 网络空间安全 • 上一篇

面向工控系统未知攻击的域迁移入侵检测方法

王昊冉, 于丹, 杨玉丽, 马垚, 陈永乐()

太原理工大学计算机科学与技术学院（大数据学院），太原 030000

收稿日期:2023-05-09 修回日期:2023-07-28 接受日期:2023-07-31 发布日期:2023-08-03 出版日期:2024-04-10
通讯作者: 陈永乐
作者简介:王昊冉（1998—），男，山西临汾人，硕士研究生，CCF会员，主要研究方向：物联网安全
于丹（1983—），女，山西太原人，讲师，博士，CCF会员，主要研究方向：物联网安全
杨玉丽（1979—），女，山西临汾人，讲师，博士，CCF会员，主要研究方向：云安全、区块链
马垚（1982—），男，山西太原人，讲师，博士，CCF会员，主要研究方向：物联网安全
陈永乐（1983—），男，山东潍坊人，教授，博士，CCF会员，主要研究方向：物联网安全。chenyongle@tyut.edu.cn
基金资助:
山西省基础研究计划项目(20210302123131)

Domain transfer intrusion detection method for unknown attacks on industrial control systems

Haoran WANG, Dan YU, Yuli YANG, Yao MA, Yongle CHEN()

College of Computer Science and Technology （College of Data Science），Taiyuan University of Technology，Taiyuan Shanxi 030000，China

Received:2023-05-09 Revised:2023-07-28 Accepted:2023-07-31 Online:2023-08-03 Published:2024-04-10
Contact: Yongle CHEN
About author:WANG Haoran， born in 1998， M. S. candidate. His research interests include IoT security.
YU Dan， born in 1983， Ph. D.， lecturer. Her research interests include IoT security.
YANG Yuli， born in 1979， Ph. D.， lecturer. Her research interests include cloud security， blockchain.
MA Yao， born in 1982， Ph. D.， lecturer. His research interests include IoT security.
CHEN Yongle， born in 1983， Ph. D.， professor. His research interests include IoT security.
Supported by:
Basic Research Program of Shanxi Province(20210302123131)

摘要/Abstract

摘要：

针对工业控制系统（ICS）数据匮乏、工控入侵检测系统对未知攻击检测效果差的问题，提出一种基于生成对抗迁移学习网络的工控系统未知攻击入侵检测方法（GATL）。首先，引入因果推理和跨域特征映射关系对数据进行重构，提高数据的可理解性和可靠性；其次，由于源域和目标域数据不平衡，采用基于域混淆的条件生成对抗网络（GAN）增加目标域数据集的规模和多样性；最后，通过域对抗迁移学习融合数据的差异性、共性，提高工控入侵检测模型对目标域未知攻击的检测和泛化能力。实验结果表明，在工控网络标准数据集上，GATL在保持已知攻击高检测率的情况下，对目标域的未知攻击检测的F1-score平均为81.59%，相较于动态对抗适应网络（DAAN）和信息增强的对抗域自适应（IADA）方法分别提升了63.21和64.04个百分点。

关键词: 迁移学习, 工业控制系统, 未知攻击, 生成对抗网络, 混合注意力

Abstract:

Aiming at the problems of lack of Industrial Control System （ICS） data and poor detection of unknown attacks by industrial control intrusion detection systems， an unknown attack intrusion detection method for industrial control systems based on Generative Adversarial Transfer Learning network （GATL） was proposed. Firstly， causal inference and cross-domain feature mapping relations were introduced to reconstruct the data to improve its understandability and reliability. Secondly， due to the data imbalance between source domain and target domain， domain confusion-based conditional Generative Adversarial Network （GAN） was used to increase the size and diversity of the target domain dataset. Finally， the differences and commonalities of the data were fused through domain adversarial transfer learning to improve the detection and generalization capabilities of the industrial control intrusion detection model for unknown attacks in the target domain. The experimental results show that on the standard dataset of industrial control network， GATL has an average F1-score of 81.59% in detecting unknown attacks in the target domain while maintaining a high detection rate of known attacks， which is 63.21 and 64.04 percentage points higher than the average F1-score of Dynamic Adversarial Adaptation Network （DAAN） and Information-enhanced Adversarial Domain Adaptation （IADA） method， respectively.

Key words: transfer learning, Industrial Control System (ICS), unknown attack, Generative Adversarial Network (GAN), hybrid attention

中图分类号:

TP389.1

王昊冉, 于丹, 杨玉丽, 马垚, 陈永乐. 面向工控系统未知攻击的域迁移入侵检测方法[J]. 计算机应用, 2024, 44(4): 1158-1165.

Haoran WANG, Dan YU, Yuli YANG, Yao MA, Yongle CHEN. Domain transfer intrusion detection method for unknown attacks on industrial control systems[J]. Journal of Computer Applications, 2024, 44(4): 1158-1165.

图/表 9

图1 GATL框架

Fig. 1 GATL framework

图2 跨域特征映射集

Fig. 2 Cross-domain feature mapping set

图3 数据特征的树结构

Fig. 3 Tree structure of data features

图4 基于域混淆的条件生成对抗网络结构

Fig. 4 Structure of domain confusion-based conditional generative adversarial network

图5 基于混合注意力的迁移学习网络

Fig. 5 Transfer learning network based on mixed attention

表1 攻击类型分类与详细描述

Tab. 1 Attack type classification and detailed description

流量类型	描述
Normal	正常流量
NMRI	朴素的恶意响应注入攻击
CMRI	复杂的恶意响应注入攻击
MSCI	恶意状态指令注入攻击
MPCI	恶意参数指令注入攻击
MFCI	恶意函数指令注入攻击
DoS	拒绝服务攻击
Recon	侦察攻击

图6 多种方法针对跨域未知攻击和已知攻击的检测结果

Fig. 6 Detection results of cross-domain unknown attacks and known attacks by multiple methods

图7 数据重构对照实验结果

Fig. 7 Contrast experiment results for data reconstruction

图8 生成样本数与F1-score的关系

Fig. 8 Relationship between generative sample number and F1-score

参考文献 29

1	刘奇旭，陈艳辉，尼杰硕，等. 基于机器学习的工业互联网入侵检测综述［J］. 计算机研究与发展， 2022， 59（ 5）： 994- 1014. 10.7544/issn1000-1239.20211147
	LIU Q X， CHEN Y H， NI J S， et al. Survey on machine learning-based anomaly detection for industrial internet ［J］. Journal of Computer Research and Development， 2022， 59（ 5）： 994- 1014. 10.7544/issn1000-1239.20211147
2	SINIOSOGLOU I， RADOGLOU-GRAMMATIKIS P， EFSTATHOPOULOS G， et al. A unified deep learning anomaly detection and classification approach for smart grid environments［J］. IEEE Transactions on Network and Service Management， 2021， 18（ 2）： 1137- 1151. 10.1109/tnsm.2021.3078381
3	BAJIC B， RIKALOVIC A， SUZIC N， et al. Industry 4.0 implementation challenges and opportunities： a managerial perspective［J］. IEEE Systems Journal， 2021， 15（ 1）： 546- 559. 10.1109/jsyst.2020.3023041
4	BÉCUE A， PRAÇA I， GAMA J. Artificial intelligence， cyber-threats and Industry 4.0： challenges and opportunities［J］. Artificial Intelligence Review， 2021， 54： 3849- 3886. 10.1007/s10462-020-09942-2
5	徐震，周晓军，王利明，等. PLC攻防关键技术研究进展［J］. 信息安全学报， 2019， 4（ 3）： 48- 69.
	XU Z， ZHOU X J， WANG L M， et al. Recent advances in PLC attack and protection technology［J］. Journal of Cyber Security， 2019， 4（ 3）： 48- 69.
6	傅扬. 国内外工业互联网安全态势和风险分析［J］. 信息安全研究， 2019， 5（ 8）： 728- 733. 10.3969/j.issn.2096-1057.2019.08.014
	FU Y. Security situation and threats analysis of industrial internet in China and abroad［J］. Journal of Information Security Research， 2019， 5（ 8）： 728- 733. 10.3969/j.issn.2096-1057.2019.08.014
7	房岭峰，黄丽，赵琪，等. 从委内瑞拉大停电看特大型城市电网安全问题［J］. 电力与能源， 2019， 40（ 6）： 674- 677.
	FANG L F， HUANG L， ZHAO Q， et al. Discussion on megalopolis power grid safety from the perspective of Venezuelan blackout［J］. Power and Energy， 2019， 40（ 6）： 674- 677.
8	MISHRA P， VARADHARAJAN V， TUPAKULA U， et al. A detailed investigation and analysis of using machine learning techniques for intrusion detection［J］. IEEE Communications Surveys & Tutorials， 2019， 21（ 1）： 686- 728. 10.1109/comst.2018.2847722
9	ALANI M M. Big data in cybersecurity： a survey of applications and future trends［J］. Journal of Reliable Intelligent Environments， 2021， 7： 85- 114. 10.1007/s40860-020-00120-3
10	张子迎，潘思辰，王宇华. 基于单类支持向量机的工业控制系统入侵检测［J］. 哈尔滨工程大学学报， 2022， 43（ 7）： 1043- 1050. 10.11990/jheu.202106073
	ZHANG Z Y， PAN S C， WANG Y H. Research on ICS intrusion detection methods based on one class support vector machine ［J］. Journal of Harbin Engineering University， 2022， 43（ 7）： 1043- 1050. 10.11990/jheu.202106073
11	LI Y， LI Y， ZHANG S. Intrusion detection algorithm based on deep learning for industrial control networks［C］// Proceedings of the 2019 2nd International Conference on Robotics， Control and Automation Engineering. New York： ACM， 2019： 40- 44. 10.1145/3372047.3372092
12	LIANG W， LI K-C， LONG J， et al. An industrial network intrusion detection algorithm based on multifeature data clustering optimization model［J］. IEEE Transactions on Industrial Informatics， 2020， 16（ 3）： 2063- 2071. 10.1109/tii.2019.2946791
13	石乐义，侯会文，徐兴华，等. 基于特征选择和时间卷积网络的工业控制系统入侵检测［J］. 工程科学与技术， 2022， 54（ 6）： 238- 247.
	SHI L Y， HOU H W， XU X H， et al. Industrial control system intrusion detection based on feature selection and temporal convolutional network ［J］. Engineering Science and Technology， 2022， 54（ 6）： 238- 247.
14	GANIN Y， USTINOVA E， AJAKAN H， et al. Domain-adversarial training of neural networks［J］. The Journal of Machine Learning Research， 2016， 17（ 1）： 2096- 2130.
15	CAI Z， XIONG Z， XU H， et al. Generative adversarial networks： a survey toward private and secure applications［J］. ACM Computing Surveys， 2021， 54（ 6）： No. 132. 10.1145/3459992
16	SINGLA A， BERTINO E， VERMA D. Preparing network intrusion detection deep learning models with minimal data using adversarial domain adaptation［C］// Proceedings of the 15th ACM Asia Conference on Computer and Communications Security. New York： ACM， 2020： 127- 140. 10.1145/3320269.3384718
17	CHEN Y， SU S， YU D， et al. Cross-domain industrial intrusion detection deep model trained with imbalanced data［J］. IEEE Internet of Things Journal， 2022， 10（ 1）： 584- 596. 10.1109/jiot.2022.3201888
18	CHEUNG S， DUTERTRE B， FONG M， et al. Using model-based intrusion detection for SCADA networks［C/OL］// Proceedings of the 2007 SCADA Security Scientific Symposium ［2023-05-01］. .
19	MORRIS T， VAUGHN R， DANDASS Y. A retrofit network intrusion detection system for MODBUS RTU and ASCII industrial control systems［C］// Proceedings of the 2012 45th Hawaii International Conference on System Sciences. Washington， DC： IEEE Computer Society， 2012： 2338- 2345. 10.1109/hicss.2012.78
20	DEVAN P， KHARE N. An efficient XGBoost-DNN-based classification model for network intrusion detection system［J］. Neural Computing and Applications， 2020， 32（ 16）： 12499- 12514. 10.1007/s00521-020-04708-x
21	SUN P， LIU P， LI Q， et al. DL-IDS： extracting features using CNN-LSTM hybrid network for intrusion detection system［J］. Security and Communication Networks， 2020， 2020： 8890306. 10.1155/2020/8890306
22	TIAN Q， HAN D， LI K-C， et al. An intrusion detection approach based on improved deep belief network［J］. Applied Intelligence， 2020， 50： 3162- 3178. 10.1007/s10489-020-01694-4
23	ALEM S， ESPES D， NANA L， et al. A novel bi-anomaly-based intrusion detection system approach for industry 4.0［J］. Future Generation Computer Systems， 2023， 145： 267- 283. 10.1016/j.future.2023.03.024
24	SIVAMOHAN S， SRIDHAR S S. An optimized model for network intrusion detection systems in industry 4.0 using XAI based Bi-LSTM framework［J］. Neural Computing and Applications， 2023， 35（ 15）： 11459- 11475. 10.1007/s00521-023-08319-0
25	WANG W， WANG C， WANG Z， et al. Abnormal detection technology of industrial control system based on transfer learning［J］. Applied Mathematics and Computation， 2022， 412： 126539. 10.1016/j.amc.2021.126539
26	VOWELS M J， CAMGOZ N C， BOWDEN R. D’ya like DAGs？ A survey on structure learning and causal discovery［J］. ACM Computing Surveys， 2022， 55（ 4）： No. 82. 10.1145/3527154
27	HE K， ZHANG X， REN S， et al. Deep residual learning for image recognition［C］// Proceedings of the 2016 IEEE Conference on Computer Vision and Pattern Recognition. Piscataway： IEEE， 2016： 770- 778. 10.1109/cvpr.2016.90
28	MORRIS T， GAO W. Industrial control system traffic data sets for intrusion detection research［C］// Proceedings of the 2014 International Conference on Critical Infrastructure Protection. Berlin： Springer， 2014： 65- 78. 10.1007/978-3-662-45355-1_5
29	YU C， WANG J， CHEN Y， et al. Transfer learning with dynamic adversarial adaptation network［C］// Proceedings of the 2019 IEEE International Conference on Data Mining. Piscataway： IEEE， 2019： 778- 786. 10.1109/icdm.2019.00088

[1]	郑毅, 廖存燚, 张天倩, 王骥, 刘守印. 面向城区的基于图去噪的小区级RSRP估计方法[J]. 《计算机应用》唯一官方网站, 2024, 44(3): 855-862.
[2]	周辉, 陈玉玲, 王学伟, 张洋文, 何建江. 基于生成对抗网络的联邦学习深度影子防御方案[J]. 《计算机应用》唯一官方网站, 2024, 44(1): 223-232.
[3]	刘秋杰, 万源, 吴杰. 深度双模态源域对称迁移学习的跨模态检索[J]. 《计算机应用》唯一官方网站, 2024, 44(1): 24-31.
[4]	陈克正, 郭晓然, 钟勇, 李振平. 基于负训练和迁移学习的关系抽取方法[J]. 《计算机应用》唯一官方网站, 2023, 43(8): 2426-2430.
[5]	金泽熙, 李磊, 刘继. 基于改进领域分离网络的迁移学习模型[J]. 《计算机应用》唯一官方网站, 2023, 43(8): 2382-2389.
[6]	刘安阳, 赵怀慈, 蔡文龙, 许泽超, 解瑞灯. 基于主动判别机制的自适应生成对抗网络图像去模糊算法[J]. 《计算机应用》唯一官方网站, 2023, 43(7): 2288-2294.
[7]	轩勃娜, 李进, 宋亚飞, 马泽煊. 基于改进MobileNetV2的恶意代码分类方法[J]. 《计算机应用》唯一官方网站, 2023, 43(7): 2217-2225.
[8]	陈少权, 蔡剑平, 孙岚. 动态梯度阈值裁剪的差分隐私生成对抗网络算法[J]. 《计算机应用》唯一官方网站, 2023, 43(7): 2065-2072.
[9]	张慧斌, 冯丽萍, 郝耀军, 王一宁. 基于注意力机制和迁移学习的古壁画朝代识别[J]. 《计算机应用》唯一官方网站, 2023, 43(6): 1826-1832.
[10]	靳鑫, 刘仰川, 朱叶晨, 张子健, 高欣. 基于残差编解码-生成对抗网络的正弦图修复的稀疏角度锥束CT图像重建[J]. 《计算机应用》唯一官方网站, 2023, 43(6): 1950-1957.
[11]	吴家皋, 章仕稳, 蒋宇栋, 刘林峰. 基于状态精细化长短期记忆和注意力机制的社交生成对抗网络用于行人轨迹预测[J]. 《计算机应用》唯一官方网站, 2023, 43(5): 1565-1570.
[12]	郭劲文, 马兴华, 骆功宁, 王玮, 曹阳, 王宽全. 基于Transformer的结构强化IVOCT导丝伪影去除方法[J]. 《计算机应用》唯一官方网站, 2023, 43(5): 1596-1605.
[13]	王昊, 王子成, 张超, 马韵升. 基于生成对抗网络的数据不确定性量化方法[J]. 《计算机应用》唯一官方网站, 2023, 43(4): 1094-1101.
[14]	樊小宇, 蔺素珍, 王彦博, 刘峰, 李大威. 基于残差图卷积神经网络的高倍欠采样核磁共振图像重建算法[J]. 《计算机应用》唯一官方网站, 2023, 43(4): 1261-1268.
[15]	尹春勇, 周立文. 基于再编码的无监督时间序列异常检测模型[J]. 《计算机应用》唯一官方网站, 2023, 43(3): 804-811.

面向工控系统未知攻击的域迁移入侵检测方法

Domain transfer intrusion detection method for unknown attacks on industrial control systems

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 9

参考文献 29

相关文章 15

编辑推荐

Metrics