CN112087443A

CN112087443A - 一种大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法

Info

Publication number: CN112087443A
Application number: CN202010922289.8A
Authority: CN
Inventors: 杨强; 杨涛; 郝唯杰; 王文海
Original assignee: Zhejiang University ZJU
Current assignee: Zhejiang University ZJU
Priority date: 2020-09-04
Filing date: 2020-09-04
Publication date: 2020-12-15
Anticipated expiration: 2040-09-04
Also published as: CN112087443B

Abstract

本发明公开了一种大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法，属于传感器数据异常检测领域。该方法通过对传感器数据标准化；引入假想传感器，对标准化后的数据进行数据扩充；将一维传感器数据转变为二维数据格式；将二维数据直接生成灰度图；利用卷积神经网络(CNN)分类算法将转换成的图片分类；将传感器数目扩充至千级别、万级别，检验异常检测模型的可拓展性以及在大规模工业传感网络中的应用。多次模拟试验，采用多种评价指标来比较基于不同算法的异常检测模型。本发明的方法能解决工业传感网络传感数据具有复杂关系的问题，且满足工业网络实时性、准确性需求，具有良好的可拓展性。

Description

一种大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法

技术领域

本发明涉及传感器数据异常检测领域，尤其涉及一种大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法。

背景技术

随着国家工业控制系统的规模化，信息化，智能化建设，工控系统安全问题日益突出。如何掌握工业控制系统行为性质，协议特征以及数据特性无疑成为我国工业控制系统研究中的关键问题。当前中国正在全力建设智能化，信息化的工业控制系统，大量的智能传感器，执行器接入以及实时的数据更新需求，扩充了工业传感网络规模，造成了工控系统中数据流的大量增加，数据之间的耦合关系复杂，增大了数据分析难度。如何规划传感器的配置，路由的选择，带宽的分配，如何规划工业传感网络，如何减少突发状况下的损失，如何提高网络信息传输的利用率和速度，这些都是工业控制系统建设中的关键问题。

工业传感网络是工业控制系统的重要组成部分。工业传感网络由信息网和物理网高度耦合构成，攻击者能通过网络攻击入侵工业传感网络的信息网，在信息网中篡改关键传感器数据，发布错误指令，从而大规模破坏工控系统的物理设备，扰乱民生，引发社会动荡。因此，精准的工业传感网络传感数据异常检测模型对保障工业控制系统安全稳定运行具有重要意义。

在大规模工业传感网络中，传感器类型非常复杂，比如：压力传感器，PH值传感器，温度传感器，湿度传感器等。在工业传感网络中，传感器数据之间存在非常强烈的耦合关系，这叫做横向耦合关系。由于横向耦合关系的存在，在同一时刻，一个传感器数据出了问题，所有的传感器数据都会受到或多或少的影响。传感器数据是时序数据，因此T+1时刻的数据值必然会受到T时刻数据值的影响，这叫做纵向耦合关系。工业传感网络传感器数据之间存在横向耦合和纵向耦合关系，这就增大了对传感器数据分析建模的难度。

并且，工业网络不同于传统的互联网，工业网络与民生，社会稳定强相关，因此工业传感网络对实时性，准确性的要求极高。面对攻击者的入侵，需要第一时间准确地检测出异常状态，以便及时的作出反制手段。

同时，在当今社会，随着工业控制系统的智能化、信息化发展，传感器数量越来越多，因此工业传感网络传感器异常检测模型需要具备良好的可拓展性，才能适应工业传感网络的扩展。因为工业传感网络具备这些独特的特点，所以很难找到一种既能分析工业网络传感器数据的复杂横向、纵向耦合关系，又能满足工业网络要求的实行性和准确性，同时又具备良好的可扩展性的传感器异常检测模型。

发明内容

本发明的目的在于解决突发性的工业传感网络传感数据异常检测的建模问题，针对现有工业传感网络传感数据异常检测研究的不足提出了一种大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法，对工业控制系统的传感器配置规划以及异常检测具有指导意义。

本发明的目的可以通过以下技术方案来实现：

一种大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法，包括以下步骤：

(1)将工业传感网络的历史传感数据作为训练集，标记正常或攻击类型标签，并对传感器数据进行数据预处理，所述预处理包括数据标准化和数据扩充；

(2)将经步骤(1)预处理后得到的一维的传感器数据切分为p段，且每一段均包含p个传感器数据，将后一段数据放置在前一段数据的下一行构成二维格式的传感器数据矩阵，将二维格式的传感器数据矩阵转变成灰度图；

(3)利用灰度图及相应的标签，对卷积神经网络分类器进行训练，获得训练好的分类器；

(4)实时获取工业传感网络的传感器数据，根据步骤(1)和步骤(2)将传感器数据处理得到灰度图，将灰度图作为训练好的分类器的输入，输出正常或正在遭受攻击的类型。

进一步的，步骤(1)所述的对传感器数据进行数据预处理，包括：

(a)对传感器数据进行标准化，其公式如下：

式中，x_i是第i个传感器数值，Max_i是第i个传感器数值的最大值，Min_i是第i个传感器数值的最小值，x'_i是标准化后的第i个传感器数值；

(b)引入数值为0的假想传感器，对一维传感器数据进行扩充，假设传感器数目为m，需要找到一个最小的正整数n，使得m+n能分解为q*q，q为正整数。

进一步的，所述步骤(2)具体为：

(a)将一个具有m+n个数的一维数据切分为q段，且每一段均包含q个传感器数据，将后一段数据放置在前一段数据的下一行构成二维格式的传感器数据矩阵[m_ij]_{i、j＝1,2,...,q}，其中m_ij为切分后的第i段第j个传感器数据，在矩阵中位于第i行第j列；所述二维矩阵中的数据值全都在[0,1]内；

(b)将所述二维矩阵中的每个数值乘以255，然后生成灰度图。

进一步的，所述步骤(3)采用的卷积神经网络分类器包括三层卷积层，卷积核大小为3*3，步长为1。

进一步的，在每一层所述卷积层之后连接一层池化层，前两层池化层大小相同，最后一层池化层大于或等于第一层池化层。

进一步的，所述卷积神经网络分类器采用ReLU激活函数。

与现有技术相比，本发明的优势在于：

大规模工业传感网络不同于普通的互联网、普通传感网络，大规模工业传感网络具有独特的横向、纵向耦合关系，对实时性、准确性要求极高、对异常检测模型可扩展性要求极高，普通异常检测建模方法难以满足如此多的需求。

本发明通过将标准化后的一维传感器数据进行扩充后转化为二维格式，进一步将二维格式的数据乘以255后转为图片，即将具备横向、纵向耦合关系的一维数据采用独特的二维图片，从而不用考虑数据之间的横向、纵向耦合关系，解决了大规模工业传感网络传感数据的智能化异常检测的建模问题；

本发明提出的工业传感网络传感数据异常检测方法能实时检测传感器异常数据，通过快速扫描全网并为日常网络维护提供实时、精准的检测结果信息，其检测精度和速度均满足该领域的高要求，能够为制定针对攻击者行为的防御反制措施提供决策支持的数据依据。

同时，在实际的工业控制系统中，传感器数量会随着现场的变化而改变，特别是当今社会，工业控制系统朝着信息化和智能化发展，传感器数量剧增，工业传感网络规模逐渐扩大。本发明采用的检测方法能够有效满足工业传感网络的扩展性需求，当传感器数量上升至千级别，万级别时，均能够保证检测模型的大小和准确度，这体现了本发明提出的大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法更贴合实际的工控系统状况。

附图说明

图1是本发明的方法流程图；

图2是由WADI数据转换成的图片示意图；

图3是本发明采用的卷积神经网络结构图；

图4是基于不同算法的异常检测模型进行十五分类的对比结果图；

图5(a)是基于不同算法的异常检测模型在WADI-3690数据集下的分类结果；

图5(b)是基于不同算法的异常检测模型在WADI-12300数据集下的分类结果；

图5(c)是基于不同算法的异常检测模型在WADI-18450数据集下的分类结果；

图6是基于不同算法的异常检测模型在不同扩展数据集下的训练时间比较图；

图7是基于不同算法的异常检测模型在不同扩展数据集下的测试时间比较图；

图8是基于不同算法的异常检测模型在不同扩展数据集下的大小比较图。

具体实施方式

下面根据附图和实施例详细说明本发明，本发明的目的和效果将变得更加明显。

(2)将步骤(1)得到的一维的传感器数据转变为二维格式，将二维格式的传感器数据转变成灰度图；

在本发明的一项具体实施中，所述步骤(1)具体为：

(a)在工业传感网络中，传感器类型非常复杂，比如：压力传感器，PH值传感器，温度传感器，湿度传感器等，历史传感数据中由于不同传感器的数值波动范围不同，比如有的传感器数值波动范围为[0,8791]，而有的传感器数值波动范围为[0.09,0.44]。因此，需要对传感器数据进行标准化，其公式如下：

式中，x_i是第i个传感器数值，Max_i是第i个传感器数值的最大值，Min_i是第i个传感器数值的最小值，x'_i是标准化后的第i个传感器数值。

(b)为了将一维传感器数据转变为图片，引入数值为0的传感器数据进行扩充。在本实施例中，历史传感器数据里只有123个传感器，在此可以引入最小数量为11的假想传感器，假设其值都为0，得到一个含有144个传感器数据值的一维数据。

在本发明的一项具体实施中，所述步骤(2)具体为：

(a)将一个具有144个数据的一维数据转变为12*12的矩阵；

(b)因为12*12的矩阵中的数据值全都在[0,1]内，因此首先将矩阵里面的每个数值乘以255，再利用这个矩阵生成灰度图。

在本发明的一项具体实施中，所述步骤(3)具体为：

采用卷积神经网络作为分类器。卷积神经网络由输入层，隐藏层，输出层组成。其中隐藏层又包括卷积层，池化层，激活函数，全连接层。图片经过卷积神经网络的输入层，隐藏层，输出层，最后被分类。具体过程如下：

(a)卷积过程的公式如下：

式中，j表示第j层隐藏层，包含第j层卷积层，第j层激活函数，第j层池化层。X_j表示第j层卷积层的输出，M_j-1表示第j层卷积层的输入，W_j表示第j层卷积层的权重，b_j表示第j层卷积层的偏置。在本实施例中，采用3-5层卷积层，卷积核大小为3*3，步长为1。

(b)利用激活函数，对数据进行非线性处理，加快收敛速度。激活函数的公式如下：

Z_j＝f(X_j)

式中，Z_j是第j层激活函数的输出，f(x)是激活函数，X_j是第j层激活函数的输入。在本实施例中，采用ReLU激活函数。

(c)池化层用于压缩数据量，减小过拟合。在本实施例中，在每一层所述卷积层之后连接一层池化层，前两层池化层大小相同，最后一层池化层大于或等于第一层池化层。池化过程的公式如下：

M_j＝subsapmling(Z_j)

式中，Z_j是第j层池化层的输入，M_j是第j层池化层的输出。Subsampling(x)表示池化算法，分为最大池化法和平均池化法。

在本发明的一项具体实施中，所述步骤(4)具体为：

实时获得工业传感网络传感器数据，根据上述步骤将其转化为灰度图，再利用已经训练好的分类器对这些图片进行分类。利用以下评价指标评价分类效果。

(a)利用训练时间，检测时间，准确率的95％置信区间这三个指标评估本发明所提出的大规模工业传感网络信息物理攻击下传感数据异常智能化检测模型。准确率的计算公式如下：

式中，TC是正确分类的数据个数，TM是数据总数；

采用t分布函数，准确率的95％置信区间计算公式如下：

式中，

表示准确率率的平均值，S表述准确率的标准差，n是实验次数，α的值为0.05；t_α/2的值为2.145。

(b)利用检测准确率，训练时间，测试时间三个指标，与基于长短期记忆网络(LSTM)和前馈神经网络(FNN)的异常检测模型进行比较。

实施例

将本实施例中采用的历史数据训练集称为WADI数据集。

通过WADI数据集，建立具有适当参数的大规模工业传感网络信息物理攻击下传感数据异常智能化检测模型。图1说明了本发明的流程框架图。先将原始数据归一化，再进行数据扩展，接着将一维数据转换成图片；再将数据集划分为训练集和测试集。训练集用来训练检测模型，测试集用来测试检测模型的分类效果。

在WADI数据集中，数据被分为15类，包括14种攻击状态和1种正常状态。WADI数据集的具体信息如下表所示：

表1 WADI数据集的具体信息

本发明中，WADI数据集的训练集和测试集的数目具体如下表：

表2 WADI数据集的数据数量

将WADI数据集划分为训练集和测试集，为了便于验证，此处的训练集和测试集中的样本数量进行了取整处理。图2是将WADI数据集中的十五类数据转换为图片的示意图。

在工业传感网络中，传感器数据之间存在非常强烈的耦合关系，这叫做横向耦合关系。由于横向耦合关系的存在，在同一时刻，一个传感器数据出了问题，所有的传感器数据都会受到或多或少的影响。传感器数据是时序数据，因此T+1时刻的数据值必然会受到T时刻数据值的影响，这叫做纵向耦合关系。工业传感网络传感器数据之间存在横向耦合和纵向耦合关系，这就增大了对传感器数据分析建模的难度。

本发明利用卷积神经网络对图2所示的肉眼无法区分的十五类图片进行分类，这样就能将时序数据分类问题转变为图像分类问题，从而不用考虑数据之间的横向、纵向耦合关系。

图3是本发明采用的CNN结构参数示意图，具体结构参数如下表：

表3 CNN结构参数示意图

本发明的实验环境如下表所示：

表4本实施例的实验环境参数

利用WADI数据集，进行基于CNN，LSTM，FNN的异常数据检测模型的对比实验。在实验中，学习率设置为0.0001，train_batch_size为256，test_batch_size为16。进行15次实验，利用准确率的95％置信区间作为指标来评价比较这三个模型。

工业网络不同于传统的互联网，工业网络与民生，社会稳定强相关，因此工业传感网络对实时性，准确性的要求极高。面对攻击者的入侵，需要第一时间准确地检测出异常状态，以便及时的作出反制手段。图4是基于不同算法的异常检测模型的十五分类检测结果对比。图4表明，本发明提出的大规模工业传感网络信息物理攻击下传感数据异常智能化检测模型的检测准确率始终高于另外两个模型。并且，本发明提出的基于CNN的异常检测模型的检测准确率区间长度最小，说明它表现地比LSTM和FNN更加稳定。

在实际的工业控制系统，传感器数量会随着现场的变化而改变，特别是当今社会，工业控制系统朝着信息化和智能化发展，传感器数量剧增，工业传感网络规模逐渐扩大。因此，对于工业传感网络传感数据异常检测模型来说，其可扩展性十分重要。原始的WADI数据集里，有123个传感器，在此，为了研究本发明提出的大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法可扩展性，将WADI数据集分别复制30,100,150次得到扩充版本的WADI数据集：WADI-3690,WADI-12300,WADI-18450。这三个数据集分别表示有3690,12300,18450个传感器；这样的数据增广方式，不会破坏原数据的完整性和有效性。

这三个扩充版本的WADI数据集分别对应的CNN异常检测模型为：CNN-3690，CNN-12300，CNN-18450；同理，三个扩充版本的WADI数据集分别对应的LSTM异常检测模型为：LSTM-3690，LSTM-12300，LSTM-18450；同理，三个扩充版本的WADI数据集分别对应的FNN异常检测模型为：FNN-3690，FNN-12300，FNN-18450；将学习率设置为0.0001，train_batch_size为256，test_batch_size为16；再分别利用这三个数据集，比较CNN,LSTM,FNN三种异常检测模型的可扩展性。

表5 CNN-3690的模型参数

表6 CNN-12300的模型参数

表7 CNN-18450的模型参数

图5(a)—图5(c)显示出，在WADI-3690，WADI-12300，WADI-18450数据集下，本发明所提出的异常检测模型的检测准确率始终高于基于LSTM和FNN的异常检测模型。这表明了，本发明提出的大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法的可扩展性更强，即便传感器数量扩充到万级别，其检测准确率也不会下降，每一种攻击的分类准确率都在98％以上，因此能较好的适应于大规模工业传感网络的场景。

图6，图7表示随着传感器数量增多，基于CNN，LSTM，FNN的三种异常检测模型的训练时间，测试时间的变化情况。从图6来看，随着传感器数量增多，三种模型的训练时间，测试时间都有所增加，但是CNN模型的训练时间，测试时间始终低于LSTM和FNN。

在实际工控系统中，对异常检测模型大小(所占内存)具有极高的要求。因此，需要讨论随着工控系统中传感器数量剧增的情况下，异常检测模型大小的变化情况。图8表明了随着传感器数量增加，三种模型的大小都增加，其中FNN模型的大小增加最快，LSTM次之，CNN最慢；并且，当传感器数量上升至千级别，万级别时，CNN模型的大小始终都小于LSTM和FNN。这体现了本发明提出的大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法更贴合实际的工控系统状况。

以上列举的仅是本发明的具体实施例。显然，本发明不限于以上实施例，还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形，均应认为是本发明的保护范围。

Claims

1.一种大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法，其特征在于，步骤(1)所述的对传感器数据进行数据预处理，包括：

(a)对传感器数据进行标准化，其公式如下：

(b)引入数值为0的假想传感器，对一维传感器数据进行扩充，假设传感器数目为m，需要找到一个最小的正整数n，使得m+n能分解为q*q，q为正整数，m+n＝q*q。

3.根据权利要求2所述的一种大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法，其特征在于，所述步骤(2)具体为：

(b)将所述二维矩阵中的每个数值乘以255，然后生成灰度图。

4.根据权利要求1所述的一种大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法，其特征在于，所述步骤(3)采用的卷积神经网络分类器包括三层卷积层，卷积核大小为3*3，步长为1。

5.根据权利要求4所述的一种大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法，其特征在于，在每一层所述卷积层之后连接一层池化层，前两层池化层大小相同，最后一层池化层大于或等于第一层池化层。

6.根据权利要求4所述的一种大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法，其特征在于，所述卷积神经网络分类器采用ReLU激活函数。