没有合适的资源?快使用搜索试试~ 我知道了~
一种ICS异常检测的优化GAN模型.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 45 浏览量
2022-11-28
20:27:20
上传
评论
收藏 574KB DOCX 举报
温馨提示
试读
12页
一种ICS异常检测的优化GAN模型.docx
资源推荐
资源详情
资源评论
工业控制系统(Industrial Control System,ICS)是国家关键基础设施的核心
[1]
,物理安全和网络安全是其平稳运行的必要条件
[2]
。然而随着工业控制系统逐
渐接入互联网,其网络安全问题愈加凸显
[3-4]
。工业控制系统网络安全保障体系
包括防护、检测、响应和恢复 4 个层面
[5]
,检测是其中重要环节,负责识别违反
安全策略的行为或被攻击的迹象
[6-7]
,为告警和响应提供必要信息。
检测从技术角度可分为误用检测和异常检测
[8]
。异常检测由于对未知攻击
的高效识别,受到研究人员的广泛关注,基于统计分析、基于数据挖掘、基于特
征匹配和基于机器学习等方面的异常检测研究成果颇为丰富。近年,基于深度
神 经 网 络 的 异 常 检 测 技 术 逐 渐 成 为 研 究 热 点
[9 ⇓ -11]
。 自 动 编 码 器 网 络
(AutoEncoder,AE)
[12]
、循环神经网络(Rerrent Neural Network,RNN)
[13]
、长短
时记忆网络(Long-Short Term Memory,LSTM)
[14]
、卷积神经网络(Convolutional
Neural Networks,CNN)
[15]
和深 度自 动编 码高 斯混 合网 络(Deep Autoencoding
Gaussian Mixture Model,DAGMM)
[16]
等深度 神经 网络 在应 用中 都取 得了良好
的效果。然而,工业控制系统的高实时性要求检测方法准确率更高,误报率更低;
同时,工业控制系统中的类不平衡问题现象使分类器易于牺牲异常类来提高模
型拟合能力,从而导致其准确率下降,泛化能力变差。
文献[17]提出的生成式对抗网络(Generative Adversarial Network,GAN)为
工业控制系统异常检测提供了全新视角。该模型通过生成器与鉴别器博弈,使
生成器能够不断学习从隐空间到真实数据的映射,从而使生成数据更符合真实
数据分布。但是传统的生成式对抗网络模型无法处理高维特征的图像检测问题,
因此文献[18]提出深度卷积生成式对抗网络(AnoGAN),设计了从图像到隐空间
映射的异常评分方法,实现了医疗图像异常识别,并成功分割出了图像中的异常
区域。针对时间序列多元异常检测问题,文献[19]将 GAN 与 LSTM-RNN 相结合,
提出了一种新的 MAD-GAN 模型。该模型同时考虑整个变量集特性以捕获变量
之间的隐空间交互,在异常评分中也同时考虑鉴别损失和重构损失,在多个数据
集上的实验结果表明该模型不仅具有优异的检测性能,在维数缩减、迭代稳定
性等方面也具有独特优势。文献[20]的实验研究也得到了类似的结论。然而,上
述模型均为基于“单向”生成式对抗网络模型的异常检测方法,生成器需要学习真
实数据对应的隐空间特征,即其先验分布,从而导致检测算法的时间复杂度很高,
计算成本偏大。
为了提高隐空间特征的学习效果和学习效率,文献[21]通过引入编码器设
计了双向生成式对抗网络(BiGAN),使模型具备学习真实数据到隐空 间逆映射
功能,为数据添加了隐空间特征“标签”,从而使模型具备了分类能力,尤其是在图
像分类和识别方面具有突出优势。以双向生成式对抗网络模型为基础,结合网
络 入 侵 行 为 特 征 , 文 献 [22] 率 先 提 出 高 效 异 常 检 测 生 成 式 对 抗 网 络 方 法
(EGBAD),并实验证明了该方法不仅 适用于图像数据,在网络入侵数据检测中,
尤其在时间复杂度方面具有优异性能。进一步针对入侵检测中的离散数据,文
献[23]在 BiGAN 基础上采用 Dropout 全连接网络,并使用 Wasserstein 距离替
代了交叉熵和 JS 散度,并提出一种由剩余损失加权求和计算鉴别损失的模型,
使检测准确率、召回率和 F1 得分都得到明显提升。BiGAN 模型虽然通过引入
编码器提高了真实数据得到对应的隐空间特征映射的学习能力,但处理数据类
不平衡数据时,模型容易陷入局部最优。
因此,文献[24]提出了一种采用“编码-解码-编码”三层子网结构作为生成器
的生成式对抗网络模型——GANomaly。该模型通过使原始数据和二次编码后
数据的隐空间向量之间距离最小化,来学习正常数据分布;并通过被检测数据与
该分 布 之间 的 距离 评 断是 否 异常 ,从 而进 一 步提 升 了算 法 的学 习 能力 。 基于
GANomaly 思想,针对类不平衡数据,文献[25]提出异常分数由表观损失和潜在
损失共同构成,并利用该方法通过对滚动轴承基准数据分析,实现了对物理机构
的故障诊断。
上述已有研究成 果充分说明基 于生成式对抗网 络的异常检测 模型在处理
类不平衡数据时具有独特优势。笔者提出了一种用于工业控制系统异常检测的
隐 空 间 特 征 重 构 生 成 式 对 抗 网 络 模 型 ——Latent Feature Reconstruction
GAN(LFR-GAN)。在训练阶段,通过引入新的编码器,学习生成数据到隐空间的
映 射 , 实 现 生 成 数 据 的 隐 空 间 特 征 重 构 , 并 嵌 入 SE Block(Sequeze and
Excitation Block)模块
[26]
提升有效特征权重,提高隐空间特征重构能力;鉴别器则
同时鉴别两个编码器和一个生成器产生的 3 个数据对,加快模型收敛,提高模型
精度和泛化能力。在检测阶段,综合考虑重构和鉴别损失,借鉴 WGAN-GP
[27]
研
究思路,采用 L2 范数优化异常评分公式,克服模式崩塌
[28]
问题。最后,在公开数
据 集 SWaT
[29]
和 WADI
[30]
上 对 LFR-GAN 模 型 进 行 了 验 证 , 并 与 AnoGAN 、
BiGAN 和 WGAN-GP 等方法进 行了 对比 。结 果表明 ,从学 习能 力、 检测能力、
稳定性等方面,LFR-GAN 模型都具有明显的优势。
1 LFR-GAN 模型
模型分为训练和检测两个阶段。在训练阶段,模型通过编码器 E
1
、E
2
和生
成器 G 与鉴别器 D 不断对抗,学习正常样本的数据分布和隐空间特征。模型训
练完成之后,基于训练模型对未知状态的测试样本进行异常检测。通过特殊设
计的异常评分公式,计算待测数据样本的异常得分并排序,根据经验比例筛选出
异常数据,从而判断待测数据是否异常。模型算法流程如图 1 所示。
图 1
图 1 LFR-GAN 异常检测模型算法流程
1.1 训练阶段
训练阶段如图 2 所示,数据空间输入样本 x 经过编码器 E
1
编码,得到其在隐
空间的特征 E
1
(x);同时隐空间随机噪声 z 经过生成器 G 解码,在数据空间得到
生成样本 G(z);然后生成样本 G(z)进一步经过编码器 E
2
编码,得到生成数据在
隐空间的重构特征 E
2
(G(z))。从而,得到了 3 对由数据空间样本和其隐空间特征
组成的数据对——(x,E
1
(x)),(G(z),z)和(G(z),E
2
(G(z)))。鉴别器 D 通过鉴别这 3
个数据对得到鉴别损失,并根据鉴别损失逐步递归求解模型梯度,实现权重更新,
反向优化编码器 E
1
、E
2
和生成器 G。
图 2
剩余11页未读,继续阅读
资源评论
罗伯特之技术屋
- 粉丝: 3591
- 资源: 1万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功