CN117669651B - 基于arma模型的对抗样本黑盒攻击防御方法及系统 - Google Patents

Abstract

本发明涉及基于ARMA模型的对抗样本黑盒攻击防御方法及系统，属于对抗样本攻击防御技术领域，数据预处理，训练异常检测模型，独立训练代理模型；对测试集进行对抗样本攻击，包括：对离散类型特征添加扰动；评估对抗样本的可迁移性；误差优化混合再训练的防御；使用训练误差对对抗样本误差进行优化；评估对抗样本防御方法的性能；利用USAD优化模型对工业控制系统的行为数据进行异常检测，输出检测结果。本发明有效解决了对抗样本不符合特征约束、对抗样本符合特征约束但忽略了不同特征之间的复杂依赖性、不易在现实环境中执行的白盒攻击、部分防御方法无法使模型有效对对抗样本进行准确分类和单独使用误差优化方法无法提高模型性能的问题。

Description

基于ARMA模型的对抗样本黑盒攻击防御方法及系统

技术领域

本发明属于对抗样本攻击防御技术领域，尤其涉及基于ARMA模型的对抗样本黑盒攻击防御方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

工业控制系统（ICS）是电力、交通、水利等传统关键基础设施的核心，它是由计算机与工业过程控制部件组成的自动控制系统。在ICS中，安全性和可靠性对于维持生产环境的正常运行至关重要。

通过异常检测方法对网络攻击进行识别，异常检测方法可分为基于规则的方法、基于深度学习的方法。深度学习异常检测模型以其强大的学习能力和自适应性，在处理大规模、高维度数据方面取得了显著的突破。这些模型通过学习数据的内在特征，能够在无需手动设计规则的情况下，高效地识别异常行为。在工业控制系统、网络安全监控等关键领域，深度学习异常检测模型被广泛应用，为实时监测和快速响应提供了有力支持。

然而，最近的研究揭示了基于深度学习的异常检测模型容易受到对抗样本攻击的威胁。对抗样本攻击发生在模型检测阶段，指攻击者通过微小而精心设计的扰动，使得模型对正常输入数据产生错误的异常判断，甚至将异常数据误分类为正常。这为工业控制系统和其他关键基础设施的安全性引入了新的不确定性因素。

对抗样本攻击算法已应用于很多领域，包括图像分类、文本识别、音频和恶意软件等，这些算法在生成速度和计算复杂度上差异很大，包括快速梯度符号法（FGSM）、基本迭代法（BIM）、Carlini&Wagner（CW）和投影梯度下降(PGD)等。以图像分类为例，攻击者对猫图像进行轻微扰动，此时人类仍然观察到的是猫，但系统会将其识别为狗。

ICS异常检测模型的性能评估可通过比较实际值和预测值之间的差异来完成。攻击者通过向异常样本添加微小扰动，试图减小差异，以提高异常检测模型的假阴性率。当异常检测模型能够成功检测到对抗性样本并发送报警时，ICS系统可被认为处于安全状态；反之，系统可能面临网络安全风险。与计算机视觉领域相比，ICS中的对抗样本攻击更为复杂。攻击者不能简单地通过添加随机扰动来实现攻击目标，因为在这种情况下，异常检测模型很容易检测到生成的对抗性样本，这在实际应用中并不实际。因此，一些研究人员设计了一种符合协议的对抗性样本攻击方法，提高了攻击的有效性。然而，大多数攻击仍然是通过手动设置不同类型特征的固定扰动值。尽管已经提出了多种对抗样本攻击方法，但在ICS的实际应用中，仍然存在一些挑战：

（1）一些对抗样本攻击方法在生成对抗样本之前没有将连续和离散变量分开考虑，使得对抗样本的特征类型与初始样本不一致，不具有较好的恶意攻击效果，这可能不会使异常检测模型的性能发生任何变化，从而导致该攻击方法对模型无效；

（2）一些对抗样本攻击方法虽然考虑了合理的特征类型约束，但是攻击者在生成对抗样本时通常忽略了连续特征和离散特征之间的复杂依赖性，导致生成的对抗样本难以在真实场景中得到合理的解释和应用；

（3）一些对抗样本攻击方法是白盒攻击，攻击者需要了解目标系统的内部架构，这使得攻击生成的对抗样本在不同模型上的可迁移性较差，降低了攻击在现实环境中执行的可能性和对抗样本的威胁程度；

基于编码解码器的算法在ICS领域取得了很大的进展，但大部分算法存在脆弱性；其中，基于编码解码器架构的多变量时间序列无监督异常检测 (USAD)，称为无监督异常检测，它的编码解码器架构使其能够以无监督的方式学习，对抗性训练及其架构的使用使其能够在提供快速训练的同时隔离异常，从而具有高鲁棒性、训练速度和异常检测性能。对抗性训练方法是一种广泛用于图像和ICS领域的防御方法，它使用代理模型生成的对抗性样本和正常样本混合来训练原始目标模型，以提高目标检测模型的鲁棒性。尽管USAD模型本身就具有对抗性训练，但该模型在对抗样本攻击下仍然具有一定的脆弱性；虽然已经提出了多种对抗样本防御方法，但ICS的对抗性样本防御依然存在三方面的挑战：

（1）一些基于USAD模型的研究只提高模型本身的性能，缺少对对抗样本影响的考虑，不能证明模型在对抗样本攻击影响下具有鲁棒性；

（2）一些防御方法是设置一个辅助对抗样本检测器来进行检测的防御方法，但对抗样本通常被设计为绕过模型的检测机制，而辅助检测器可能仍然面临对抗样本的欺骗，使得模型无法有效地对对抗样本进行准确分类；

（3）单独使用误差优化方法无法提高异常检测模型的性能。

发明内容

为克服上述现有技术的不足，本发明提供了一种基于ARMA模型预测的对抗样本黑盒攻击防御方法及系统，有效实现对工业控制系统异常检测模型的对抗样本攻击，满足离散特征和连续特征之间的相关性，使得生成的对抗样本更加符合实际场景中特征之间的依赖关系；对训练之后的模型引入Dropout正则化，称为USAD优化模型；将部分对抗样本与USAD优化模型的训练集混合，组成一个新的训练集，使用这个新的训练集对该USAD优化模型进行再训练，得到训练误差，使用该误差对对抗样本重构误差进行优化，使USAD优化模型在对抗样本上的误差最小化，得到优化后的对抗样本重构误差，提高USAD异常检测模型在对抗样本下的性能。

术语解释：

1、对抗样本攻击：攻击者通过对输入样本添加不可察觉的扰动来产生对抗性样本，导致模型给出一个具有高置信度的错误输出。

2、对抗样本防御：异常检测模型容易受到对抗样本的攻击，导致模型的性能下降，将一种防御技术用于优化对抗样本，使模型在对抗样本上的误差最小化，提高异常检测模型在对抗样本下的性能。

3、威胁模型：模型可能遭受的攻击方式，包括白盒攻击和黑盒攻击。

4、黑盒攻击：与白盒攻击不同，黑盒攻击假设攻击者既无法得知目标模型采用训练数据和模型结构，也无法获取模型的具体参数，仅拥有模型的有限知识。在这种情况下，目标检测模型对于攻击者而言犹如一个黑箱，攻击者只能通过操纵模型的输入和利用最终决策结果来探测目标模型的敏感性或对模型的梯度信息进行数值估计，以进而指导对抗样本的构造过程。因而，相较于白盒攻击，黑盒攻击所能利用的信息更少，攻击的难度更大。

5、对抗样本的可迁移性：对抗样本在其生成模型之外的有效性。

6、USAD：基于编码解码器架构的多变量时间序列无监督异常检测，称为无监督异常检测。它的编码解码器架构使其能够以无监督的方式学习，对抗性训练及其架构的使用使其能够在提供快速训练的同时隔离异常，从而具有高鲁棒性、训练速度和异常检测性能。

7、ARMA：自回归滑动平均模型，它结合了自回归模型（AR）和滑动平均模型（MA）的特性，用于时间序列数据的建模和预测。ARMA(p,q)模型中包含了p个自回归项和q个移动平均项，p和q是模型的自回归阶数和移动平均阶数。

8、特征：表示属性，样本数据有多个特征组成，例如，传感器A采集的数据作为一个特征，传感器B采集的数据作为一个特征；在生成对抗样本时，对离散变量的特征添加扰动值，得到离散对抗样本，然后使用ARMA模型根据离散对抗样本预测对应的连续变量的特征值；在改进异常检测模型时，通过引入Dropout再训练，并使用训练误差计算权重矩阵，对对抗样本的重构误差进行优化。

9、clip函数：是一个截断函数，将其输入限制在一个特定的范围内，可以确保一个值不超过上限或不低于下限，有助于防止数据溢出或不在期望的范围内。

10、LSTM_AD：使用长短期记忆（LSTM）网络进行异常检测的模型。LSTM是一种循环神经网络（RNN）的变种，专门设计用来处理序列数据中的长期依赖关系。

11、Autoencoder：一种无监督的神经网络模型，其目标是学习输入数据的隐含特征，称为编码(coding)，然后使用学习到的新特征重构出原始输入数据，称为解码(decoding)，在异常检测中，异常模式往往难以被很好地还原，导致高重建误差。

12、LSTM_ED：长短期记忆网络编码解码器，以自编码器为框架，其编码器和解码器的每层都由LSTM（长短期记忆网络）构成。LSTM用于处理多维时间序列数据的长期依赖关系，自编码器用于学习数据的压缩表示，同时尽量保留重要的信息。

本发明的技术方案为：

基于ARMA模型的对抗样本黑盒攻击防御方法，运行于工业控制系统，包括：

对工业控制系统的训练集和测试集进行数据预处理，将数据预处理后的训练集划分成两个子训练集；第一个子训练集用于训练异常检测模型；第二个子训练集由攻击者用来独立训练代理模型；

对测试集进行对抗样本攻击，包括：对离散类型特征添加扰动；使用ARMA模型学习设备组件之间的相关性，生成使异常检测模型性能下降的对抗样本；

评估对抗样本的可迁移性，将生成的对抗样本输入到其他深度学习异常检测模型中，并观察其在其他深度学习异常检测模型上的效果；

误差优化混合再训练的防御：对训练好的异常检测模型引入Dropout正则化，得到USAD优化模型，基于对抗样本，得到一个新的训练集，使用该训练集对USAD优化模型进行再训练，得到训练误差；使用训练误差对对抗样本误差进行优化，使USAD优化模型在对抗样本上的误差最小化，得到优化后的重构误差；

评估对抗样本防御方法是否提高USAD优化模型在对抗样本下的性能，判断该防御方法是否有效；

利用USAD优化模型对工业控制系统的行为数据进行异常检测，输出检测结果。

根据本发明优选的，对工业控制系统的训练集和测试集进行数据预处理，将数据预处理后的训练集划分成两个子训练集；第一个子训练集用于训练异常检测模型；第二个子训练集由攻击者用来独立训练代理模型；包括：

将工业控制系统在正常运行状态下收集到的数据作为训练集，训练集中仅包括正常数据；将工业控制系统在受攻击状态下收集到的数据作为测试集，测试集包括正常数据和异常数据；

使用最大最小归一化方法对初始训练集和测试集进行预处理；

将预处理后的训练集按照1:1的比例划分成两个具有相同大小和分布的子训练集，采用第一个子训练集训练异常检测模型USAD，采用第二个子训练集由攻击者用来独立训练代理模型；

将经过最大最小归一化方法处理之后的测试集数据输入训练好的异常检测模型（USAD），生成异常检测模型对测试集中每个样本的重构输出；对于测试集中每个样本，计算其原始数据与异常检测模型重构输出之间的差异，即重构误差。

根据本发明优选的，对测试集进行对抗样本攻击，包括：

设置一种黑盒攻击，攻击者不知道目标模型即异常检测模型的体系结构和使用的数据集，设置攻击场景，基于代理模型的梯度信息，对测试集中的执行器添加不同特征约束的扰动，得到离散对抗样本；

通过ARMA模型预测连续和离散特征之间的相关性，通过离散对抗样本预测连续对抗样本，生成重构误差满足预设条件的对抗样本。

进一步的，设置攻击场景，包括：

掩盖异常样本，使其被判别为正常样本，攻击者沿着梯度相反的方向添加扰动，找到一个扰动，减少输入样本的真实值和预测值之间的差异，使异常检测模型将异常样本识别为正常；对抗性样本的生成表示为：

（1）

（2）

公式（1）、（2）中，表示第n次迭代攻击后生成的对抗样本，/>表示异常检测模型的输入样本，/>表示/>对应的真实标签值，即正常或异常，n表示攻击的迭代次数，/>表示传感器和执行器不同扰动程度的扰动矩阵，/>是符号函数，/>表示用于训练异常检测模型的损失函数， />表示损失函数/>相对于/>的梯度，/>是扰动的范围，/>是一个截断函数，对n次迭代之后的对抗样本 />进行截断，使其保持在附近的范围内。

进一步的，对测试集中的执行器添加不同特征约束的扰动，包括：

工业控制系统ICS包括多个连续的传感器和离散的执行器；每个传感器、每个执行器都对应一个特征，即属性，每个样本数据由多个特征对应的特征值组成；传感器的特征值是连续变量，执行器的特征值是离散变量，执行器包括电动阀和电动泵，电动阀和电动泵的特征值也不同，将电动阀的扰动设置为0.5，电动泵的扰动设置为1，通过多次迭代添加扰动值，得到离散类型对抗样本即离散对抗样本，并裁剪在（0,1）范围内；电动阀包括三种特征值：0表示转换（打开/关闭），0.5表示关闭，1表示打开；对于电动泵，包括两种特征值：0表示关闭，1表示打开。

进一步的，通过ARMA模型预测连续和离散特征之间的相关性，包括：

ARMA模型的全称是自回归滑动平均模型，它结合了自回归模型（AR）和滑动平均模型（MA）的特性，用于时间序列数据的建模和预测；使用ARMA模型对得到的离散类型对抗样本预测出连续类型对抗样本，得到最终的对抗样本；

ARMA模型的数学表达式表示为：

（3）

其中，是一个包含多个变量的向量, />和/>是相关的系数矩阵，/>是白噪声，是常数项。将数据中的连续和离散特征分别考虑为不同的维度，将连续特征的维度放在的一部分，而将离散特征的维度放在另一部分。

进一步的，生成使异常检测模型性能下降的对抗样本，包括：

首先，使用测试集（包括正常和异常样本）对训练好的异常检测模型进行评估，得到测试集的每个样本的重构输出，计算每个样本的重构误差，即原始输入与重构输出之间的差异；

然后，使用生成的对抗样本（包括正常和异常样本）对训练好的异常检测模型进行评估，得到对抗样本的每个样本的重构误差；计算两者的重构误差得到每行数据的异常分数；

再次，通过在异常分数的范围内以均匀间隔生成多个可能的阈值，计算在不同阈值下的性能指标；

最后，选择使 F1 分数最大化的阈值作为异常阈值，通过异常分数与异常阈值的比较，确定异常行为，以此来得到预测标签，即异常分数大于异常阈值，则判定预测标签为异常，否则为正常；通过预测标签和真实标签根据内置函数计算得到对抗样本的性能指标（包括准确率、精确率、召回率、F1 分数）；根据上述性能指标计算方式，分别得到测试集和对抗样本的各项指标值，比较两者的各项指标值；如果对抗样本有多个低于测试集的重构误差对应的指标值，就认定异常检测模型性能下降，攻击成功。

进一步的，使用clip函数将离散对抗样本裁剪到（0,1）范围内。

进一步的，评估对抗样本的可迁移性，包括：

评估对抗样本的迁移性，即在跨模型迁移中的稳定性和一般性，将生成的对抗样本输入到其他深度学习异常检测模型中进行模型评估，包括LSTM_AD、Autoencoder或LSTM_ED，针对每个深度学习异常检测模型，如果对抗样本有多个低于测试集的重构误差对应的指标值，则判定对抗样本具有可迁移性。

进一步的，误差优化混合再训练的防御，包括：

对训练好的异常检测模型引入Dropout正则化，得到USAD优化模型；

将第一个子训练集与50%的对抗样本混合，组成一个新的训练集，使用该训练集对USAD优化模型进行再训练，得到训练误差；

使用训练误差计算不同特征的权重，得到权重矩阵；根据训练集的重构误差，沿纵轴计算各个特征的中值，得到特征中值重构误差/>，计算权重矩阵/>，表示为：；其中，/>是权重矩阵，/>是特征中值重构误差，作用是提高异常检测模型USAD对异常值的鲁棒性，/>根据数据集的不同取最优值；

将对抗样本的重构误差与对应的权重矩阵相乘，优化对抗样本的误差，使USAD优化模型在对抗样本上的误差最小化，得到优化后的重构误差。

进一步优选的，的取值范围为/>。

进一步优选的，评估对抗样本防御方法是否提高USAD优化模型在对抗样本下的性能，判断该防御方法是否有效；包括：

通过优化后的重构误差得到优化后的对抗样本的每行数据的异常分数；

根据性能指标计算方式，得到优化后对抗样本的性能指标（包括准确率、精确率、召回率、F1 分数）；如果优化后的对抗样本有多项高于原对抗样本的重构误差对应的指标值，则认定USAD优化模型性能提高。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现基于ARMA模型预测的对抗样本黑盒攻击防御方法的步骤。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现基于ARMA模型预测的对抗样本黑盒攻击防御方法的步骤。

基于ARMA模型的对抗样本黑盒攻击防御系统，运行于工业控制系统，包括：

数据预处理模块，被配置为：对工业控制系统的训练集和测试集进行数据预处理；

模型训练模块，被配置为：将预处理后的训练集划分成两个子训练集；第一个子训练集用于训练异常检测模型；第二个子训练集由攻击者用来独立训练代理模型；

测试集对抗样本攻击模块，被配置为：对测试集进行对抗样本攻击，包括：对离散类型特征添加扰动；使用ARMA模型学习设备组件之间的相关性，生成重构误差满足预设条件的对抗样本；

对抗样本可迁移性评估模块，被配置为：评估对抗样本的可迁移性，将生成的对抗样本输入到其他深度学习异常检测模型中，并观察其在深度学习异常检测模型上的效果；

误差优化混合再训练的防御模块，被配置为：对训练好的异常检测模型引入Dropout正则化，得到USAD优化模型，基于对抗样本，得到一个新的训练集，使用该训练集对USAD优化模型进行再训练，得到训练误差；使用训练误差对对抗样本误差进行优化，使USAD优化模型在对抗样本上的误差最小化，得到优化后的重构误差；

评估防御方法效果的模块，被配置为：评估对抗样本防御方法是否提高USAD优化模型在对抗样本下的性能，判断该防御方法是否有效；

异常检测模块，被配置为：利用USAD优化模型对工业控制系统的行为数据进行异常检测，输出检测结果。

以上一个或多个技术方案存在以下有益效果：

现有的工业控制系统中对抗样本攻击和防御方法存在对抗样本不符合特征约束，对抗样本符合特征约束但忽略了不同特征之间的复杂依赖性，对抗攻击方法大部分是不易在现实环境中执行的白盒攻击，USAD在对抗样本攻击下的性能研究相对较少，部分防御方法无法使模型有效地对对抗样本进行准确分类，单独使用误差优化无法提高模型性能的缺陷。与现有的工业控制系统中对抗样本攻击和防御方法相比，本发明的有益效果有以下几点：

1、本发明提出一种黑盒攻击，在执行器上添加不同的扰动值，将生成的离散类型对抗性样本裁剪在（0,1）范围内，使用ARMA模型预测连续特征和离散特征之间的相关性，通过离散类型对抗样本预测连续类型对抗样本，解决对抗性样本不符合特征约束和未考虑特征之间复杂依赖性的问题。

2、本发明基于对抗样本的可迁移性，使用基于代理模型梯度的多次迭代攻击原理设计对抗样本攻击方法，解决对抗样本攻击在现实环境中难以执行的问题。

3、本发明通过使用对抗样本和训练集混合再训练引入Dropout正则化的目标异常检测模型，并使用训练误差计算权重矩阵，通过该矩阵优化对抗样本的重构误差，使模型在对抗样本上的误差最小化，解决单独使用误差优化无法提高模型性能和辅助对抗样本检测防御方法无法使模型有效地对对抗样本进行准确分类的问题。

本发明附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1为本发明基于ARMA模型的对抗样本黑盒攻击防御方法流程示意图。

图2为生成对抗样本的原理示意图。

图3为ARMA模型的训练和预测流程示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

实施例1

基于ARMA模型的对抗样本黑盒攻击防御方法，运行于工业控制系统，如图1所示，包括：

对工业控制系统的训练集和测试集进行数据预处理，将数据预处理后的训练集划分成两个子训练集；第一个子训练集用于训练异常检测模型；第二个子训练集由攻击者用来独立训练代理模型；

对测试集进行对抗样本攻击，包括：对离散类型特征添加扰动；使用ARMA模型学习设备组件之间的相关性，生成使异常检测模型性能下降的对抗样本；

评估对抗样本的可迁移性，将生成的对抗样本输入到其他深度学习异常检测模型中，并观察其在其他深度学习异常检测模型上的效果；

误差优化混合再训练的防御：对训练好的异常检测模型引入Dropout正则化，得到USAD优化模型，基于对抗样本，得到一个新的训练集，使用该训练集对USAD优化模型进行再训练，得到训练误差；使用训练误差对对抗样本误差进行优化，使USAD优化模型在对抗样本上的误差最小化，得到优化后的重构误差；

评估对抗样本防御方法是否提高USAD优化模型在对抗样本下的性能，判断该防御方法是否有效；

利用USAD优化模型对工业控制系统的行为数据进行异常检测，输出检测结果。

实施例2

根据实施例1所述的基于ARMA模型的对抗样本黑盒攻击防御方法，其区别在于：

对工业控制系统的训练集和测试集进行数据预处理，将数据预处理后的训练集划分成两个子训练集；第一个子训练集用于训练异常检测模型；第二个子训练集由攻击者用来独立训练代理模型；包括：

将工业控制系统在正常运行状态下收集到的数据作为训练集，训练集中仅包括正常数据；将工业控制系统在受攻击状态下收集到的数据作为测试集，测试集包括正常数据和异常数据；SWaT的特征维度为51，包括传感器和执行器。初始训练集的长度为47519；测试集的长度为44991，包括正常数据和异常数据，其中，异常数据占12.12%。

为了保证数据集的数据标准是一致的，使用最大最小归一化方法对初始训练集和测试集进行预处理；

将预处理后的训练集按照1:1的比例划分成两个具有相同大小和分布的子训练集，采用第一个子训练集训练异常检测模型USAD，采用第二个子训练集由攻击者用来独立训练代理模型；

异常检测模型采用基于编码解码器架构的多变量时间序列无监督异常检测方法USAD，USAD是两阶段对抗训练框架内的编码解码器架构，能够学习如何放大包含异常的输入的重构误差，通过对输入的样本进行数据重构，输出重构样本与输入样本之间的重构误差，即，输入数据与编码解码器输出的重构结果之间的差异，在此过程中，重构误差被用作度量模型性能的指标，使用损失函数作为重构误差的度量，比如均方误差或交叉熵。采用重构误差作为异常评分，得分高的被认为是异常情况。

代理模型，对抗样本具有可迁移性属性，即，欺骗代理模型的对抗样本可以以很高的概率欺骗目标模型，而无需具有相同的架构或在相同的数据集上进行训练。利用对抗样本的可迁移属性，攻击者创建自己的模型(即代理模型)，具有与目标模型相似的功能；

将经过最大最小归一化方法处理之后的测试集数据输入训练好的异常检测模型（USAD），生成异常检测模型对测试集中每个样本的重构输出；对于测试集中每个样本，计算其原始数据与异常检测模型重构输出之间的差异，即重构误差。

对测试集进行对抗样本攻击，包括：

设置一种黑盒攻击，攻击者不知道目标模型即异常检测模型的体系结构和使用的数据集，对目标模型知之甚少或一无所知；设置攻击场景，基于代理模型的梯度信息，对测试集中的执行器添加不同特征约束的扰动，得到离散对抗样本；

通过ARMA模型预测连续和离散特征之间的相关性，通过离散对抗样本预测连续对抗样本，生成重构误差满足预设条件的对抗样本。使对抗样本在不了解目标模型的情况下逃避异常检测，并且在真实场景中得到合理解释和应用。

如图2所示，在输入异常样本的基础上，添加扰动，得到对抗样本，输入到异常检测模型中进行异常行为检测，将输入的对抗样本错分类为正常样本，导致模型给出一个具有高置信度的错误输出。

设置攻击场景，包括：

掩盖异常样本，使其被判别为正常样本，攻击者沿着梯度相反的方向添加扰动，找到一个扰动，减少输入样本的真实值和预测值之间的差异，使异常检测模型将异常样本识别为正常；对抗性样本的生成表示为：

（1）

（2）

公式（1）、（2）中，表示第n次迭代攻击后生成的对抗样本，/>表示异常检测模型的输入样本，/>表示/>对应的真实标签值，即正常或异常，n表示攻击的迭代次数，/>表示传感器和执行器不同扰动程度的扰动矩阵，/>是符号函数，/>表示用于训练异常检测模型的损失函数， />表示损失函数/>相对于/>的梯度，是扰动的范围，/>是一个截断函数，对n次迭代之后的对抗样本 />进行截断，使其保持在附近的范围内。

对测试集中的执行器添加不同特征约束的扰动，包括：

工业控制系统ICS包括多个连续的传感器和离散的执行器；每个传感器、每个执行器都对应一个特征，即属性，每个样本数据由多个特征对应的特征值组成；通过考虑合理的特征约束，使用一种差异化的处理方式，更好地适应不同类型的特征，传感器的特征值是连续变量，执行器的特征值是离散变量，执行器包括电动阀和电动泵，电动阀和电动泵的特征值也不同，将电动阀的扰动设置为0.5，电动泵的扰动设置为1，通过多次迭代添加扰动值，得到离散类型对抗样本即离散对抗样本，并裁剪在（0,1）范围内；电动阀包括三种特征值：0表示转换（打开/关闭），0.5表示关闭，1表示打开；对于电动泵，包括两种特征值：0表示关闭，1表示打开。

通过ARMA模型预测连续和离散特征之间的相关性，包括：

ARMA模型的全称是自回归滑动平均模型，它结合了自回归模型（AR）和滑动平均模型（MA）的特性，用于时间序列数据的建模和预测；使用ARMA模型对得到的离散类型对抗样本预测出连续类型对抗样本，得到最终的对抗样本；

在多维时序数据中，使用 ARMA 模型通过学习数据中多个特征之间的动态关系来进行预测。主要用于时间序列数据的建模，通常用于描述时间序列中的趋势和季节性变化。ARMA 模型通过自回归（AR）和移动平均（MA）的组合来捕捉序列中的模式。

ARMA模型的数学表达式表示为：

（3）

其中，是一个包含多个变量的向量, />和/>是相关的系数矩阵，/>是白噪声，/>是常数项。将数据中的连续和离散特征分别考虑为不同的维度，将连续特征的维度放在/>的一部分，而将离散特征的维度放在另一部分。对于离散特征，使用独热编码等方式进行处理，使其成为模型能够理解的输入。

ARMA 模型是一个传统的时间序列模型，没有显式的神经网络层结构，因此不像深度学习模型那样有层之间的连接关系。ARMA 模型更侧重于通过 AR 和 MA 系数对时间序列进行建模，其网络结构相对简单，主要由线性组合和参数的学习构成。

自回归（AR）部分：输入层接收时间序列数据作为输入。ARMA 模型的自回归部分包含一个或多个自回归阶数（p），表示当前时刻的观测值与前 p 个时刻的观测值之间的关系。对应的自回归系数（AR系数）用可训练的参数表示，通过梯度下降等优化算法进行学习。在前向传播中，通过对前 p 个时刻的观测值与对应的 AR 系数的乘积求和，计算出自回归部分的贡献。

移动平均（MA）部分：MA 部分包含一个或多个移动平均阶数（q），表示当前时刻的观测值与前q 个时刻的噪声（移动平均项）之间的关系。对应的移动平均系数（MA系数）用可训练的参数表示，同样通过优化算法进行学习。在前向传播中，通过对前 q 个时刻的噪声与对应的 MA 系数的乘积求和，计算出移动平均部分的贡献。

整体结构：ARMA 模型的输出是自回归部分和移动平均部分的总和。在每个时间步，ARMA 模型利用过去时刻的观测值以及随机噪声来生成当前时刻的预测值。这样，整体上，ARMA 模型可以表示为一个包含自回归和移动平均部分的线性组合，其中系数通过训练学习得到。

ARMA预测模型的训练和预测流程如图3所示：包括：

模型定阶数和估计模型参数：确定ARMA模型的阶数，即AR（自回归）和MA（滑动平均）的阶数；使用训练数据，估计ARMA模型的参数。这可能涉及到使用最大似然估计或其他方法来找到最合适的模型参数。

初始ARMA预测模型：基于估计的模型参数，构建初始的ARMA预测模型。

模型检验：对构建的ARMA模型进行模型检验，以确保其符合时间序列数据的性质；检验通常包括检查残差序列的平稳性、自相关性、偏自相关性等。

通过模型检验：如果模型检验通过，说明模型在某种程度上能够很好地拟合训练数据，继续下一步。

将训练集送入ARMA预测模型进行训练：使用训练数据集，将数据输入到ARMA预测模型中进行训练，得到训练好的ARMA模型。

将离散对抗样本送入训练好的ARMA模型中：使用训练好的ARMA模型，将离散对抗样本输入模型，以获取模型对这些特征的理解。

预测得连续对抗样本：基于模型对离散对抗样本的理解，进行预测，得到相应的连续对抗样本的值。

使用均方误差(MSE) 损失函数计算ARMA 模型输出与真实数据之间的误差，采用随机梯度下降(SGD)优化器对模型参数进行更新，以减小损失。训练的目标是通过最小化均方误差损失函数，调整模型的参数以更好地拟合训练数据。在训练过程中，ARMA 模型学习捕捉输入序列中的自回归和移动平均关系。训练完成后，使用ARMA 模型对新的离散特征序列进行前向传播，生成连续特征的预测值。

生成使异常检测模型性能下降的对抗样本，包括：

首先，使用测试集（包括正常和异常样本）对训练好的异常检测模型进行评估，得到测试集的每个样本的重构输出，计算每个样本的重构误差，即原始输入与重构输出之间的差异；

然后，使用生成的对抗样本（包括正常和异常样本）对训练好的异常检测模型进行评估，得到对抗样本的每个样本的重构误差；计算两者的重构误差得到每行数据的异常分数；

再次，通过在异常分数的范围内以均匀间隔生成多个可能的阈值，计算在不同阈值下的性能指标；

最后，选择使 F1 分数最大化的阈值作为异常阈值，通过异常分数与异常阈值的比较，确定异常行为，以此来得到预测标签，即异常分数大于异常阈值，则判定预测标签为异常，否则为正常；通过预测标签和真实标签根据内置函数计算得到对抗样本的性能指标（包括准确率、精确率、召回率、F1 分数）；根据上述性能指标计算方式，分别得到测试集和对抗样本的各项指标值，比较两者的各项指标值；如果对抗样本有多个低于测试集的重构误差对应的指标值，就认定异常检测模型性能下降，攻击成功。

需要特别说明的是，在得到离散类型对抗样本后，会出现不满足离散变量的约束规范的情况，例如，预处理后电动泵的特征值为1，而加入扰动后得到的特征值是2，因此，最后，使用clip函数将离散对抗样本裁剪到（0,1）范围内。

评估对抗样本的可迁移性，包括：

评估对抗样本的迁移性，即在跨模型迁移中的稳定性和一般性，将生成的对抗样本输入到其他深度学习异常检测模型中进行模型评估，包括LSTM_AD、Autoencoder或LSTM_ED，按照上一步描述的指标值对比方法，针对每个深度学习异常检测模型，如果对抗样本有多个低于测试集的重构误差对应的指标值，则判定对抗样本具有可迁移性。

误差优化混合再训练的防御，包括：

对训练好的异常检测模型引入Dropout正则化，得到USAD优化模型；Dropout正则化通过在异常检测模型的损失函数中添加一些额外的项，惩罚复杂性，从而使得模型更加简单，更能够泛化到未见过的数据；模型正则化是利用正则化项对模型参数和训练方式进行规范化，进而提升模型泛化能力的过程，Dropout正则化是模型正则化的一种，它通过在训练期间随机丢弃一些神经元的输出，以防止模型过拟合；过拟合是指模型在训练数据上表现良好，但在未见过的测试数据上表现不佳的情况。

将第一个子训练集与50%的对抗样本混合，组成一个新的训练集，使用该训练集对USAD优化模型进行再训练，得到训练误差；

使用训练误差计算不同特征的权重，得到权重矩阵；更好地适应实际数据分布，从而提高了对抗样本防御的鲁棒性和效果。根据训练集的重构误差，沿纵轴计算各个特征的中值，得到特征中值重构误差/>，计算权重矩阵/>，表示为：/>；其中，/>是权重矩阵，/>是特征中值重构误差，作用是提高异常检测模型USAD对异常值的鲁棒性，/>根据数据集的不同取最优值；

将对抗样本的重构误差与对应的权重矩阵相乘，优化对抗样本的误差，使USAD优化模型在对抗样本上的误差最小化，得到优化后的重构误差。

的取值范围为/>。

评估对抗样本防御方法是否提高USAD优化模型在对抗样本下的性能，判断该防御方法是否有效；包括：

通过优化后的重构误差得到优化后的对抗样本的每行数据的异常分数；

根据上述描述的性能指标计算方式，得到优化后对抗样本的性能指标（包括准确率、精确率、召回率、F1 分数）；如果优化后的对抗样本有多项高于原对抗样本的重构误差对应的指标值，则认定USAD优化模型性能提高。防御方法可以提高USAD优化模型在对抗样本下的性能。

本实施例选择三个由新加坡科技与设计大学网络安全研究中心提供的安全水处理（SWaT）数据集。

本实施例的实验条件如下：

Windows10 64位系统，Python编译环境，Pytorch框架。

以准确率（Accuracy）、精确度（Precision）、召回率（Recall）、F1分数（F1-score）和AUC值作为模型性能的评估指标，具体定义如下：

（4）

其中，真阳性（TP）是正确分类的异常样本的数量。真阴性（TN）是正确分类的正常样本的数量。假阳性（FP）是指被误判为异常的正常样本数量。假阴性（FN）是指被误判为正常的异常样本的数量。

当根据对抗样本的重构误差计算得到的五个指标值，有多个指标值低于测试集的重构误差，就认定模型性能下降，攻击成功。

本实施例中，为离散变量分别设置不同的扰动值，电动阀设置为0.5，电动泵设置为1。

表1为本实施例中黑盒攻击目标模型USAD和代理模型的元参数表。

表1

USAD模型在SWaT数据集的训练采用Adam优化方案，设置隐藏层数量为3，大小100，设置批次处理大小为500，并设置窗口大小为12；代理模型的训练采用SGD优化方案，设置隐藏层数量为2，大小 120，设置批次处理大小为400；

表2为本实施例在SWaT数据集上的攻击和防御效果表。

表2

表3为本实施例中对抗样本在LSTM-AD模型中的攻击效果表。

表3

表4为本实施例中对抗样本在Autoencoder模型中的攻击效果表。

表4

表5为本实施例中对抗样本在LSTM-ED模型中的攻击效果表。

表5

实施例3

一种计算机设备，包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现实施例1或2所述的基于ARMA模型预测的对抗样本黑盒攻击防御方法的步骤。

实施例4

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现实施例1或2所述的基于ARMA模型预测的对抗样本黑盒攻击防御方法的步骤。

实施例5

基于ARMA模型的对抗样本黑盒攻击防御系统，运行于工业控制系统，包括：

数据预处理模块，被配置为：对工业控制系统的训练集和测试集进行数据预处理；

模型训练模块，被配置为：将预处理后的训练集划分成两个子训练集；第一个子训练集用于训练异常检测模型；第二个子训练集由攻击者用来独立训练代理模型；

测试集对抗样本攻击模块，被配置为：对测试集进行对抗样本攻击，包括：对离散类型特征添加扰动；使用ARMA模型学习设备组件之间的相关性，生成重构误差满足预设条件的对抗样本；

对抗样本可迁移性评估模块，被配置为：评估对抗样本的可迁移性，将生成的对抗样本输入到其他深度学习异常检测模型中，并观察其在深度学习异常检测模型上的效果；

误差优化混合再训练的防御模块，被配置为：对训练好的异常检测模型引入Dropout正则化，得到USAD优化模型，基于对抗样本，得到一个新的训练集，使用该训练集对USAD优化模型进行再训练，得到训练误差；使用训练误差对对抗样本误差进行优化，使USAD优化模型在对抗样本上的误差最小化，得到优化后的重构误差；

评估防御方法效果的模块，被配置为：评估对抗样本防御方法是否提高USAD优化模型在对抗样本下的性能，判断该防御方法是否有效；

异常检测模块，被配置为：利用USAD优化模型对工业控制系统的行为数据进行异常检测，输出检测结果。

Claims (7)

1.基于ARMA模型的对抗样本黑盒攻击防御方法，运行于工业控制系统，其特征在于，包括：

对工业控制系统的训练集和测试集进行数据预处理，将数据预处理后的训练集划分成两个子训练集；第一个子训练集用于训练异常检测模型；第二个子训练集由攻击者用来独立训练代理模型；

对测试集进行对抗样本攻击，包括：对离散类型特征添加扰动；使用ARMA模型学习设备组件之间的相关性，生成使异常检测模型性能下降的对抗样本；

评估对抗样本的可迁移性，将生成的对抗样本输入到其他深度学习异常检测模型中，并观察其在其他深度学习异常检测模型上的效果；

误差优化混合再训练的防御：对训练好的异常检测模型引入Dropout正则化，得到USAD优化模型，基于对抗样本，得到一个新的训练集，使用该训练集对USAD优化模型进行再训练，得到训练误差；使用训练误差对对抗样本误差进行优化，使USAD优化模型在对抗样本上的误差最小化，得到优化后的重构误差；

评估对抗样本防御方法是否提高USAD优化模型在对抗样本下的性能，判断该防御方法是否有效；

利用USAD优化模型对工业控制系统的行为数据进行异常检测，输出检测结果；

对测试集进行对抗样本攻击，包括：

设置一种黑盒攻击，攻击者不知道目标模型即异常检测模型的体系结构和使用的数据集，设置攻击场景，基于代理模型的梯度信息，对测试集中的执行器添加不同特征约束的扰动，得到离散对抗样本；

通过ARMA模型预测连续和离散特征之间的相关性，通过离散对抗样本预测连续对抗样本，生成重构误差满足预设条件的对抗样本；

设置攻击场景，包括：

掩盖异常样本，使其被判别为正常样本，攻击者沿着梯度相反的方向添加扰动，找到一个扰动，减少输入样本的真实值和预测值之间的差异，使异常检测模型将异常样本识别为正常；对抗性样本的生成表示为：

公式(1)、(2)中，表示第n次迭代攻击后生成的对抗样本，x表示异常检测模型的输入样本，y_true表示/>对应的真实标签值，即正常或异常，n表示攻击的迭代次数，∈表示传感器和执行器不同扰动程度的扰动矩阵，sign()是符号函数，/>表示用于训练异常检测模型的损失函数，/>表示损失函数/>相对于x的梯度，α是扰动的范围，Clip_x,α{}是一个截断函数，对n次迭代之后的对抗样本/>进行截断，使其保持在x附近的α范围内；

对测试集中的执行器添加不同特征约束的扰动，包括：

工业控制系统ICS包括多个连续的传感器和离散的执行器；每个传感器、每个执行器都对应一个特征，即属性，每个样本数据由多个特征对应的特征值组成；传感器的特征值是连续变量，执行器的特征值是离散变量，执行器包括电动阀和电动泵，电动阀和电动泵的特征值也不同，将电动阀的扰动设置为0.5，电动泵的扰动设置为1，通过多次迭代添加扰动值，得到离散类型对抗样本即离散对抗样本，并裁剪在(0,1)范围内；电动阀包括三种特征值：0表示转换，0.5表示关闭，1表示打开；对于电动泵，包括两种特征值：0表示关闭，1表示打开。

2.根据权利要求1所述的基于ARMA模型的对抗样本黑盒攻击防御方法，其特征在于，对工业控制系统的训练集和测试集进行数据预处理，将数据预处理后的训练集划分成两个子训练集；第一个子训练集用于训练异常检测模型；第二个子训练集由攻击者用来独立训练代理模型；包括：

将工业控制系统在正常运行状态下收集到的数据作为训练集，训练集中仅包括正常数据；将工业控制系统在受攻击状态下收集到的数据作为测试集，测试集包括正常数据和异常数据；

使用最大最小归一化方法对初始训练集和测试集进行预处理；

将预处理后的训练集按照1:1的比例划分成两个具有相同大小和分布的子训练集，采用第一个子训练集训练异常检测模型USAD，采用第二个子训练集由攻击者用来独立训练代理模型；

将经过最大最小归一化方法处理之后的测试集数据输入训练好的异常检测模型，生成异常检测模型对测试集中每个样本的重构输出；对于测试集中每个样本，计算其原始数据与异常检测模型重构输出之间的差异，即重构误差。

3.根据权利要求1所述的基于ARMA模型的对抗样本黑盒攻击防御方法，其特征在于，通过ARMA模型预测连续和离散特征之间的相关性，包括：

ARMA模型的全称是自回归滑动平均模型，它结合了自回归模型和滑动平均模型的特性，用于时间序列数据的建模和预测；使用ARMA模型对得到的离散类型对抗样本预测出连续类型对抗样本，得到最终的对抗样本；

ARMA模型的数学表达式表示为：

其中，X_t是一个包含多个变量的向量,和θ_j是相关的系数矩阵，ε_t是白噪声，c是常数项，将数据中的连续和离散特征分别考虑为不同的维度，将连续特征的维度放在Xt的一部分，而将离散特征的维度放在另一部分。

4.根据权利要求1所述的基于ARMA模型的对抗样本黑盒攻击防御方法，其特征在于，生成使异常检测模型性能下降的对抗样本，包括：

首先，使用测试集对训练好的异常检测模型进行评估，得到测试集的每个样本的重构输出，计算每个样本的重构误差，即原始输入与重构输出之间的差异；

然后，使用生成的对抗样本对训练好的异常检测模型进行评估，得到对抗样本的每个样本的重构误差；计算两者的重构误差得到每行数据的异常分数；

再次，通过在异常分数的范围内以均匀间隔生成多个可能的阈值，计算在不同阈值下的性能指标；

最后，选择使F1分数最大化的阈值作为异常阈值，通过异常分数与异常阈值的比较，确定异常行为，以此来得到预测标签，即异常分数大于异常阈值，则判定预测标签为异常，否则为正常；通过预测标签和真实标签根据内置函数计算得到对抗样本的性能指标；根据上述性能指标计算方式，分别得到测试集和对抗样本的各项指标值，比较两者的各项指标值；如果对抗样本有多个低于测试集的重构误差对应的指标值，就认定异常检测模型性能下降，攻击成功；

使用clip函数将离散对抗样本裁剪到(0,1)范围内。

5.根据权利要求1所述的基于ARMA模型的对抗样本黑盒攻击防御方法，其特征在于，评估对抗样本的可迁移性，包括：

评估对抗样本的迁移性，即在跨模型迁移中的稳定性和一般性，将生成的对抗样本输入到其他深度学习异常检测模型中进行模型评估，包括LSTM_AD、Autoencoder或LSTM_ED，针对每个深度学习异常检测模型，如果对抗样本有多个低于测试集的重构误差对应的指标值，则判定对抗样本具有可迁移性；

误差优化混合再训练的防御，包括：

对训练好的异常检测模型引入Dropout正则化，得到USAD优化模型；

将第一个子训练集与50％的对抗样本混合，组成一个新的训练集，使用该训练集对USAD优化模型进行再训练，得到训练误差；

使用训练误差计算不同特征的权重，得到权重矩阵；根据训练集的重构误差e，沿纵轴计算各个特征的中值，得到特征中值重构误差计算权重矩阵W，表示为：

其中，W是权重矩阵，是特征中值重构误差，作用是提高异常检测模型USAD对异常值的鲁棒性，ξ根据数据集的不同取最优值；

将对抗样本的重构误差与对应的权重矩阵相乘，优化对抗样本的误差，使USAD优化模型在对抗样本上的误差最小化，得到优化后的重构误差；

ξ的取值范围为10^-4～10^-6。

6.根据权利要求1-5任一所述的基于ARMA模型的对抗样本黑盒攻击防御方法，其特征在于，评估对抗样本防御方法是否提高USAD优化模型在对抗样本下的性能，判断该防御方法是否有效；包括：

通过优化后的重构误差得到优化后的对抗样本的每行数据的异常分数；

根据性能指标计算方式，得到优化后对抗样本的性能指标；如果优化后的对抗样本有多项高于原对抗样本的重构误差对应的指标值，则认定USAD优化模型性能提高。

7.基于ARMA模型的对抗样本黑盒攻击防御系统，其特征在于，包括：

数据预处理模块，被配置为：对工业控制系统的训练集和测试集进行数据预处理；

模型训练模块，被配置为：将预处理后的训练集划分成两个子训练集；第一个子训练集用于训练异常检测模型；第二个子训练集由攻击者用来独立训练代理模型；

测试集对抗样本攻击模块，被配置为：对测试集进行对抗样本攻击，包括：对离散类型特征添加扰动；使用ARMA模型学习设备组件之间的相关性，生成重构误差满足预设条件的对抗样本；

对抗样本可迁移性评估模块，被配置为：评估对抗样本的可迁移性，将生成的对抗样本输入到其他深度学习异常检测模型中，并观察其在深度学习异常检测模型上的效果；

误差优化混合再训练的防御模块，被配置为：对训练好的异常检测模型引入Dropout正则化，得到USAD优化模型，基于对抗样本，得到一个新的训练集，使用该训练集对USAD优化模型进行再训练，得到训练误差；使用训练误差对对抗样本误差进行优化，使USAD优化模型在对抗样本上的误差最小化，得到优化后的重构误差；

评估防御方法效果的模块，被配置为：评估对抗样本防御方法是否提高USAD优化模型在对抗样本下的性能，判断该防御方法是否有效；

异常检测模块，被配置为：利用USAD优化模型对工业控制系统的行为数据进行异常检测，输出检测结果；

对测试集进行对抗样本攻击，包括：

设置一种黑盒攻击，攻击者不知道目标模型即异常检测模型的体系结构和使用的数据集，设置攻击场景，基于代理模型的梯度信息，对测试集中的执行器添加不同特征约束的扰动，得到离散对抗样本；

通过ARMA模型预测连续和离散特征之间的相关性，通过离散对抗样本预测连续对抗样本，生成重构误差满足预设条件的对抗样本；

设置攻击场景，包括：

掩盖异常样本，使其被判别为正常样本，攻击者沿着梯度相反的方向添加扰动，找到一个扰动，减少输入样本的真实值和预测值之间的差异，使异常检测模型将异常样本识别为正常；对抗性样本的生成表示为：

公式(1)、(2)中，表示第n次迭代攻击后生成的对抗样本，x表示异常检测模型的输入样本，y_true表示/>对应的真实标签值，即正常或异常，n表示攻击的迭代次数，∈表示传感器和执行器不同扰动程度的扰动矩阵，sign()是符号函数，/>表示用于训练异常检测模型的损失函数，/>表示损失函数/>相对于x的梯度，α是扰动的范围，Clip_x,α{}是一个截断函数，对n次迭代之后的对抗样本/>进行截断，使其保持在x附近的α范围内；

对测试集中的执行器添加不同特征约束的扰动，包括：

工业控制系统ICS包括多个连续的传感器和离散的执行器；每个传感器、每个执行器都对应一个特征，即属性，每个样本数据由多个特征对应的特征值组成；传感器的特征值是连续变量，执行器的特征值是离散变量，执行器包括电动阀和电动泵，电动阀和电动泵的特征值也不同，将电动阀的扰动设置为0.5，电动泵的扰动设置为1，通过多次迭代添加扰动值，得到离散类型对抗样本即离散对抗样本，并裁剪在(0,1)范围内；电动阀包括三种特征值：0表示转换，0.5表示关闭，1表示打开；对于电动泵，包括两种特征值：0表示关闭，1表示打开。