本发明专利技术提出了一种用于工业控制系统的对抗样本攻击防御方法及系统,涉及对抗样本攻击防御技术领域,对工业控制系统训练集和测试集进行数据预处理,并用预处理后的训练集训练异常检测模型;对测试集进行对抗样本攻击,为测试集中的传感器和执行器添加不同特征约束的扰动,生成对抗样本;基于对抗样本,通过特征加权的方式,对训练后的异常检测模型进行对抗样本防御,得到特征加权防御模型;利用特征加权防御模型对工业控制系统的行为数据进行异常检测,输出检测结果;本发明专利技术有效实现对工业控制系统异常检测模型的对抗样本攻击,提高生成对抗样本的效率,提高模型的性能,使模型在对抗样本攻击影响下具有一定的鲁棒性。抗样本攻击影响下具有一定的鲁棒性。抗样本攻击影响下具有一定的鲁棒性。
【技术实现步骤摘要】
一种用于工业控制系统的对抗样本攻击防御方法及系统
[0001]本专利技术属于对抗样本攻击防御
,尤其涉及一种用于工业控制系统的对抗样本攻击防御方法及系统。
技术介绍
[0002]本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息,不必然构成在先技术。
[0003]工业控制系统(ICS)是电力、交通、水利等传统关键基础设施的核心,它是由计算机与工业过程控制部件组成的自动控制系统,ICS与互联网的连接使其面临各种网络攻击的威胁,造成了严重的经济社会损失。
[0004]通过异常检测方法对网络攻击进行识别,异常检测方法可分为基于规则的方法、基于机器学习的方法和基于深度学习的方法。基于深度学习的异常检测方法在 ICS中取得了重大进展,然而,随着对抗样本攻击概念的提出,深度学习异常检测模型容易受到对抗样本的攻击。对抗样本攻击发生在模型检测阶段,指攻击者向输入样本添加一些不干扰人类认知的扰动,导致模型给出一个具有高置信度的错误输出。对抗样本攻击算法已应用于很多领域,包括图像分类、文本识别、音频和恶意软件等,这些算法在生成速度和计算复杂度上差异很大,包括快速梯度符号法(FGSM)、基本迭代法(BIM)、Carlini&Wagner(CW)和投影梯度下降(PGD)等。以图像分类为例,攻击者对猫图像进行轻微扰动,此时人类仍然观察到的是猫,但系统会将其识别为狗。
[0005]ICS异常检测模型的性能可以通过计算真实值和预测值之间的偏差来评估,攻击者通过向正常或异常样本添加小的扰动来减少或扩大这种差异,从而增加异常检测模型的假阳性率和假阴性率。如果异常检测模型能够成功地检测到对抗性样本并向管理服务器发送警报,那么依赖该检测模型的ICS处于安全状态;否则,该系统可能会面临严重的网络安全风险。与计算机视觉领域相比,在ICS的背景下,对抗样本攻击的实现更为复杂。假设攻击者通过添加随机扰动直接实现攻击目标,在这种情况下,异常检测模型可以很容易地检测到生成的对抗性样本,这在实际应用中意义不大。基于此,一些研究人员设计了一种遵循协议的对抗性样本攻击方法,并提高了攻击的有效性,尽管如此,生成对抗性样本的效率还是很低;虽然已经提出了多种对抗样本攻击方法,但ICS的对抗性样本攻击在实际应用中仍然存在一些挑战:(1)对抗样本攻击方法没有考虑合理的特征类型约束,导致对抗样本不符合协议规范和实际的物理意义;一些对抗样本攻击方法在生成对抗样本之前没有将连续和离散变量分开考虑,使得对抗样本的特征类型与初始样本不一致,不具有较好的恶意攻击效果,这可能不会使异常检测模型的性能发生任何变化,从而导致该攻击方法对模型无效。
[0006](2)一些对抗样本攻击方法虽然考虑了合理的特征类型约束,但是生成对抗性样本的效率低下;原则上,攻击生成的对抗样本应该具有高效性和快速性,攻击者应该尽可能地缩短对抗样本的生成时间,从而达到对抗样本的快速性,从而降低模型的性能和在对抗
样本攻击影响下的鲁棒性。
[0007]对抗性样本防御方法在图像领域的研究较多,大多数防御模型是基于机器学习模型与对抗性样本信息设计的。基于编码解码器的算法在ICS领域取得了很大的进展,但大部分算法存在脆弱性;其中,长短期记忆网络编码解码器(LSTM
‑
ED)是一种针对多维时间序列数据的重构算法,可以取得良好的检测效果;对抗性训练方法是一种广泛用于图像和ICS领域的防御方法,它使用对抗性模型生成具有完整标签的对抗性样本和正常样本混合来训练原始模型,以提高模型的鲁棒性。研究人员正在使用该防御方法来提高LSTM
‑
ED模型的性能,然而,他们很少考虑LSTM
‑
ED模型在对抗性样本攻击下的脆弱性;虽然可以通过提高模型本身的性能和添加一个辅助对抗样本检测器这两种方法来提高异常检测模型的性能和鲁棒性,但ICS的对抗性样本防御依然存在两方面的挑战:(1)一些基于LSTM
‑
ED模型的研究只提高模型本身的性能,缺少对对抗样本影响的考虑,不能证明模型在对抗样本攻击影响下具有鲁棒性。
[0008](2)另一个是大多数防御方法的设计都是基于对抗性样本的信息设计的,导致没有任何对抗样本信息的情况下,很难设计一种防御方法。
技术实现思路
[0009]为克服上述现有技术的不足,本专利技术提供了一种用于工业控制系统的对抗样本攻击防御方法及系统,有效实现对工业控制系统异常检测模型的对抗样本攻击,提高生成对抗样本的时间效率,提高模型的性能,使模型在对抗样本攻击影响下具有一定的鲁棒性。
[0010]为实现上述目的,本专利技术的一个或多个实施例提供了如下技术方案:本专利技术第一方面提供了一种用于工业控制系统的对抗样本攻击防御方法;一种用于工业控制系统的对抗样本攻击防御方法,包括:对工业控制系统的训练集和测试集进行数据预处理,并用预处理后的训练集训练异常检测模型;对测试集进行对抗样本攻击,为测试集中的传感器和执行器添加不同特征约束的扰动,生成对抗样本;基于对抗样本,通过特征加权的方式,对训练后的异常检测模型进行对抗样本防御,得到特征加权防御模型;利用特征加权防御模型对工业控制系统的行为数据进行异常检测,输出检测结果。
[0011]进一步的,所述异常检测模型,采用长短期记忆网络编码解码器LSTM
‑
ED,对输入的样本进行数据重构,输出重构结果与输入样本之间的重构误差。
[0012]进一步的,所述得到对抗样本,具体步骤为:采用白盒威胁模型,完全获取异常检测模型的参数和配置信息,利用模型的完整信息获得异常检测模型的梯度信息;基于梯度信息,考虑两种攻击场景,对测试集中的传感器和执行器添加不同特征约束的扰动,直到测试集的重构误差满足预设条件,得到对抗样本。
[0013]进一步的,所述两种攻击场景,具体为:第一种攻击场景,掩盖异常样本,使其被判别为正常样本,攻击者沿着梯度相反的
方向添加扰动,找到一个扰动,减少输入样本的真实值和预测值之间的差异,使模型将异常样本识别为正常;第二种攻击场景,掩盖正常样本,使其被判别为异常样本,攻击者沿着梯度的同一方向添加扰动,找到一个扰动,扩大输入样本的真实值和预测值之间的差异,使模型将正常样本识别为异常。
[0014]进一步的,所述对测试集中的传感器和执行器添加不同特征约束的扰动,具体为:传感器的特征值为连续变量,添加扰动,为传感器扰动值;执行器包括电动阀和电动泵,特征值为离散变量,电动阀的扰动设置为0.5,电动泵的扰动设置为1。
[0015]进一步的,所述测试集的重构误差满足预设条件,具体为:用重构误差计算性能评估指标,基于添加扰动前后的指标值变化,评估对抗性样本攻击下的模型性能是否下降,如果模型性能下降,则攻击者添加的扰动可以成功攻击模型,将攻击生成的样本作为对抗样本。
[0016]进一步的,所述特征加权,具体为:计算对抗样本或训练集的重构误差中不同特征的权重,得到权重矩阵;利用权重矩阵对异常检测模型输出的重构误差进行特征加权,得到最本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于工业控制系统的对抗样本攻击防御方法,其特征在于,包括:对工业控制系统的训练集和测试集进行数据预处理,并用预处理后的训练集训练异常检测模型;对测试集进行对抗样本攻击,为测试集中的传感器和执行器添加不同特征约束的扰动,生成对抗样本;基于对抗样本,通过特征加权的方式,对训练后的异常检测模型进行对抗样本防御,得到特征加权防御模型;利用特征加权防御模型对工业控制系统的行为数据进行异常检测,输出检测结果。2.如权利要求1所述的一种用于工业控制系统的对抗样本攻击防御方法,其特征在于,所述异常检测模型,采用长短期记忆网络编码解码器LSTM
‑
ED,对输入的样本进行数据重构,输出重构结果与输入样本之间的重构误差。3.如权利要求1所述的一种用于工业控制系统的对抗样本攻击防御方法,其特征在于,所述生成对抗样本,具体步骤为:采用白盒威胁模型,完全获取异常检测模型的参数和配置信息,利用模型的完整信息获得异常检测模型的梯度信息;基于梯度信息,考虑两种攻击场景,对测试集中的传感器和执行器添加不同特征约束的扰动,直到测试集的重构误差满足预设条件,得到对抗样本。4.如权利要求3所述的一种用于工业控制系统的对抗样本攻击防御方法,其特征在于,所述两种攻击场景,具体为:第一种攻击场景,掩盖异常样本,使其被判别为正常样本,攻击者沿着梯度相反的方向添加扰动,找到一个扰动,减少输入样本的真实值和预测值之间的差异,使模型将异常样本识别为正常;第二种攻击场景,掩盖正常样本,使其被判别为异常样本,攻击者沿着梯度的同一方向添加扰动,找到一个扰动,扩大输入样本的真实值和预测值之间的差异,使模型将正常样本识别为...
【专利技术属性】
技术研发人员:杨淑棉,刘亚茹,徐丽娟,赵大伟,韩梓昱,姚志昂,
申请(专利权)人:齐鲁工业大学山东省科学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。