针对工业控制系统(ICS)数据匮乏、工控入侵检测系统对未知攻击检测效果差的问题,提出一种基于生成对抗迁移学习网络的工控系统未知攻击入侵检测方法(GATL)。首先,引入因果推理和跨域特征映射关系对数据进行重构,提高数据的可理解性和可靠性;其次,由于源域和目标域数据不平衡,采用基于域混淆的条件生成对抗网络(GAN)增加目标域数据集的规模和多样性;最后,通过域对抗迁移学习融合数据的差异性、共性,提高工控入侵检测模型对目标域未知攻击的检测和泛化能力。实验结果表明,在工控网络标准数据集上,GATL在保持已知攻击高检测率的情况下,对目标域的未知攻击检测的F1-score平均为81.59%,相较于动态对抗适应网络(DAAN)和信息增强的对抗域自适应(IADA)方法分别提升了63.21和64.04个百分点。
