工业物联网异常检测技术综述
摘要:
工业物联网(IIoT)异常检测是保障系统安全的关键技术,涉及多种检测方法,包括基于系统原理、机器学习、深度学习、联邦学习、边缘计算等。现有研究主要聚焦于基于系统原理的检测方法,如基于物理状态建模、统计学习、特征选择、机器学习、深度学习、联邦学习、边缘计算、图模型、指纹识别和生物免疫等。这些方法在不同工业场景中展现出独特优势,但存在数据集多样性不足、特征工程复杂、计算资源限制等问题。未来研究方向包括可视化结果、混合架构、深度学习扩展、异常行为预测和预防性解决方案等。摘要需包含关键词:工业物联网、异常检测、系统原理、机器学习、深度学习、联邦学习、边缘计算。
要点速览
摘要:
**关键词:**工业物联网 ; 异常检测 ; 网络入侵 ; 网络攻击
0 引言
随着5G通信技术的快速发展,以及传感器和处理器等嵌入式设备的计算与存储能力不断提升,这些网络通信和嵌入式设备在工业系统中的应用越来越广泛。工业物联网(IIoT, industrial Internet of things)由应用程序、软件系统和物理设备三者构成的大型网络,这些组成部分与外部环境以及人类之间进行通信和资源共享。据埃森哲预测,到2030年,美国的工业物联网价值将达到7.1 trillion美元,而欧洲的预测值将超过1.2 trillion美元。
在这波工业智能化浪潮中,物联网安全已成为制约工业物联网广泛应用的关键因素之一。事实上,物联网设备的安全性普遍较低,因此容易成为攻击者的靶心。攻击者可借助这些设备发起具有破坏性的网络攻击,例如分布式拒绝服务(DDoS)攻击。传统工业环境长期遭受攻击,有时导致灾难性后果,例如震网病毒或工业破坏者事件。因此,缺乏安全性将使工业物联网无法充分发挥潜力。此外,工业系统对稳定性和可用性要求严格,即使遭受网络攻击,也必须优先确保系统持续运行和安全稳定。
异常检测技术在防御网络恶意活动方面发挥着关键作用。近年来,随着网络攻击活动的增多,工业物联网领域异常检测研究呈现快速增长趋势,相关研究方法不断涌现。然而,在这一领域,研究者已就技术手段、应用场景等方面进行了一定程度的探讨,如文献[2]等,但这些研究大多未深入分析工业物联网的特性及其适用性。近 couple of years,尽管综述性文章有所增加,但其内容仍显不够全面。例如,文献[2]仅局限于基于系统规则和系统物理状态建模的检测方法,而文献[4]则主要聚焦于基于统计和机器学习的检测方法。值得注意的是,除了文献[2,4]中提到的检测方法外,工业物联网领域仍存在许多具有创新性的检测技术。
综上所述,本文从技术原理出发,系统梳理了基于系统不变性和物理状态的建模方法、统计学习、特征选择、机器学习、图论、边缘/雾计算、指纹识别以及生物免疫等领域的异常检测技术。在详细分析各类技术优缺点的同时,本文还对工业异常检测研究中涉及的数据集进行了深入归纳,明确了常用数据集的特点及其适用频率,为读者提供了便捷的选择依据。此外,本文通过对工业物联网典型场景的网络威胁进行系统调研,深入探讨了异常检测方法的应用场景,并在方法论上进行了扩展,增加了2021年最新研究的调研内容,全面分析了不同检测方法的特点、适用场景及其潜在局限性。
1 工业物联网面临的安全威胁
工业4.0整合了信息通信技术,将其应用于工业制造和自动化领域,显著提升了生产效率和系统效能。然而,这一技术的推广也带来了新的安全挑战。在工业物联网领域,针对攻击手段的分类主要包括被动攻击和主动攻击。被动攻击通常以隐蔽的方式进行,如窃听和流量分析。主动攻击则更加直接,包括丢包、回注、干扰网络正常运行等行为。其中,恶意软件感染、拒绝服务攻击、未授权访问以及虚假数据注入等主动攻击通常具备可检测性,这使得相关防护措施的开发更具挑战性。以上内容对各类主动攻击的特征和目标进行了简要归纳。
恶意包注入攻击。系统管理员可能通过捕获并回放网络流量,生成或篡改报文内容,以干扰或破坏系统操作为目标。
DoS攻击。消耗系统或网络资源,导致资源不可用。
未授权访问攻击(UAA)是一种网络攻击方式,其特征是通过扫描网络或访问计算机来识别潜在漏洞。该攻击手段通常通过捕获和分析网络流量或拦截关键数据包来获取敏感信息。
除此之外,还涌现出了一些针对工业物联网典型场景的威胁。
物理攻击行为。具体而言,针对交通运输物联网的物理攻击行为,对交通设备节点进行物理破坏,如断开电源、移动节点位置等,导致信息缺失、信息泄露等。
感知数据遭受破坏。在非授权 manner进行增删、修改或破坏感知数据,例如,针对新能源发电厂的电力物联网生产数据,实施了篡改行为。
通过伪造控制命令进行攻击。通过发送伪造的控制命令,达到破坏系统或恶意利用系统的目的,例如,针对数控机床设备物联网的控制命令伪造。
为了保护工业系统免受网络攻击,出现了多种安全措施,例如加密通信数据、实施数据完整性校验以及实施访问控制等方法,从而有效抵御多种攻击手段。然而,即便这些安全措施已达到预期效果,攻击者仍可通过恶意软件注入或发起DDoS攻击等方式对系统造成威胁。因此,建立网络异常检测机制显得尤为重要,以进一步强化工业系统的安全防护。
2 工业物联网异常检测
本节接着介绍了工业物联网中可能出现的各种异常类型,进一步深入分析现有的异常检测方法,针对不同异常类别和不同应用场景进行了详细梳理和系统性研究。
2.1 异常种类
网络攻击的目标是损害系统信息的机密性、完整性和资源的可用性,往往表现为网络运行偏离正常状态并呈现异常行为。通过分析数据中的不符合预期行为的模式,可以有效识别异常现象。当前阶段,工业物联网(IIoT)中主要存在3种类型的异常行为。
个别数据实例存在偏离常规的情况,即个别数据实例相对于其余数据存在异常。例如,假设水温传感器值的预定义范围是30℃~40℃,那么超出这个范围的值将被视为异常点。
在特定的背景下出现的异常数据实例被称为contextual anomalies。这类contextual anomalies通常出现在空间数据或时序数据中。
集合外点。当相关数据实例的集合相对于整个数据集表现出异常特征时,我们称其为集合异常。值得注意的是,尽管单个数据实例在个体分析中可能不被视为异常,但它们以集合形式出现时,整体上即被视为异常行为。具体而言,一个单独的TCP连接请求在系统中是正常的,但当同一源端连续发送多个此类请求时,就可能触发DoS攻击,即被视为异常行为。
网络异常检测主要涉及对网络流量数据中异常行为的识别,通过设备或软件应用程序对网络流量进行实时监控和分析,旨在发现并应对恶意活动。在工业物联网领域,现有的异常检测方法主要包含基于系统不变性、物理状态建模、统计学习、特征选择、机器学习、边缘/雾计算、图结构、指纹识别以及生物免疫系统等算法的检测方法。下面将系统地介绍每种检测方法的技术原理、现有研究成果、优缺点及适用应用场景。
2.2 基于系统不变性的检测方法
系统不变性是指系统运行过程中的一个物理或化学特性,当系统处于特定状态时,必须满足这一条件。通过分析物理不变性来检测异常,这一方法已广泛应用于许多网络信息物理系统(CPS, cyber-physical system)。文献将所有组件的稳定性和正确性以逻辑不变性的形式加以约束,只有在系统行为不违反这些不变性时,相关操作才能执行。针对CPS的各个模块,文献提出了统一不变性,并构建了跨越系统各个层面的公共语义。然而,现有研究主要通过人工方式生成物理不变性,其计算开销较大且易出错。为此,文献提出采用关联规则挖掘算法自动识别系统不变性,该算法的优势在于能够发现设计布局中隐藏的不变性,但仅适用于成对出现的传感器和执行器。在实际应用中,CPS中的传感器和执行器通常需要跨多个过程协同工作。此外,已有研究尝试利用机器学习算法挖掘CPS的物理不变性。例如,Momtazpour等采用了预先发现潜在变量的外源性输入自动回归模型,以识别多个时间步内无线传感器数据之间的不变性。Chen等则利用代码变异程序生成异常数据轨迹,并结合支持向量机(SVM)分类器和统计模型检验方法,发现安全水处理实验台中传感器数据之间的不变性。文献[16]则综合运用多种机器学习和数据挖掘技术,从工业控制系统(ICS)的操作日志中提取执行器状态信息,系统性地生成不变性。
2.3 基于物理状态建模的检测方法
CPS的底层过程主要由其工作原理控制,这表明其过程状态具有可预测性。基于物理模型的异常检测方法通过对物理状态建模来描述正常的物理操作,从而能够识别偏离物理操作模型的异常状态,进而检测网络攻击。
该文献构建了一个CPS攻击弹性框架。该框架基于已知物理领域的数学描述,结合预测值和历史数据信息,评估预测值与测量值的相关性。文献探讨了如何利用流体动力学模型来识别供水网络中的物理故障和网络攻击,并通过状态和测量方程以及未知输入来建模水系统。该模型能够反映传感器、执行器故障或漏水等异常事件对系统的影响,但仅依赖物理模型检测网络攻击存在局限性,尤其是在传感器测量值被破坏时难以识别攻击。为了识别攻击者利用系统漏洞的行为,文献提出结合电网物理基础设施知识和网络信息来检测攻击。该方法通过协议规范对数据包进行检测,提取关键控制命令,并利用电力系统运行方程进行仿真,以估计执行控制命令后的系统状态并进行可信度评估,从而识别攻击行为。文献提出了一种基于模型的异常检测算法。该算法验证了接收到的测量数据与控制物理系统运行方程预测数据的一致性。文献介绍了一种基于模型的方法来保护智能电网。该方法基于系统状态动力学方程评估系统状态,并与测量值进行比较,识别受损测量值。文献在水基础设施实验台上测试了基于控制理论建模的故障检测方法和基于网络安全的异常检测方法。实验结果表明,这两种方法均能有效识别故障和攻击,但存在局限性。在同时存在物理故障和网络攻击的实验中,攻击者可规避基于控制理论建模的检测。因此,将物理动态建模中的状态估计与网络安全中的数据分析相结合,是提高工业控制系统(ICS)网络安全的关键。
2.4 基于统计学习的检测方法
基于统计分析的异常检测方法为数据集建立一个概率分布模型,并与目标数据进行匹配分析。假设正常数据点位于高概率区域,而异常数据点则位于低概率区域,通过分析目标数据集中的数据分布情况,判断数据点是否异常。Rajasegarar等提出了两种主要的异常检测模型:统计检测模型和非参数检测模型。其中,统计检测模型适用于数据类型和采样周期预先确定的场景;而非参数检测模型则在缺乏先验知识的情况下,通过比较当前数据与相邻数据的行为特征来识别异常。费欢等提出了一种多源数据异常检测方法,该方法主要应用于平台空间的分析,通过分析节点在二维空间中的位置关系来识别异常。类似地,文献中提出了一种基于密度的异常检测模型,通过分析电数据特征,识别太阳能发电系统的异常行为。
另外,传感器数据的时间域和频率域特征为构建时频分析框架提供了有价值的信息。时域信号(均值、标准差或方差等统计量)能够描述系统行为的关键特征。基于频率的信号特性(如傅里叶变换、小波变换等)既可以独立分析,也可以结合时域特征共同理解系统行为。工业系统复杂且广泛,大量传感器被部署用于监控空间和物体,以提供全面、多维度的运行数据,从而辅助异常行为的预测。经过相关性分析方法的应用,可以更高效地识别异常现象。该方法能够真实反映系统运行状态,因为相关性分析能够揭示系统的运行机制和条件。表1总结了基于统计学习技术的异常检测方法在工业物联网领域的实际应用。
2.5 基于特征选择的检测方法
异常检测所用的数据是人工从复杂网络系统中提取的。这些数据通常具有高维、高度冗余且低相关性的特点。仅使用原始数据,检测算法的效果通常不佳。而特征选择的作用是从原始数据中筛选出具有更高相关性、更少冗余和更低噪声的特征。这些特征能够显著提升相关算法在区分、检测和分类不同目标方面的效率和速度。因此,许多研究者将其应用于入侵检测系统(IDS,Intrusion Detection System)的设计中,以提高检测精度并缩短检测时间。
这些研究主要可分为两类。第一类是特征有效提取方法,其中主成分分析(PCA, principal component analysis)是一种具有代表性的技术。针对异常检测系统运行时间过长、检测性能下降等问题,文献提出了一种结合主成分分析与神经网络的混合算法。该算法通过PCA变换将特征空间降维,从而显著减少了训练和测试时间,分别降低约40%和70%,同时提升了检测精度。此外,文献还基于核主成分分析(KPCA, kernel principal component analysis)和极限学习机(ELM, extreme learning machine)设计了一种增量式IDS。其中,核主成分分析被用于特征矩阵的降维处理。实验结果表明,该方法相比传统基于ELM或支持向量机(SVM)的IDS系统,具有更高的效率和更快的响应速度。然而,尽管这些方法在检测效率上有所提升,但其计算复杂度仍然较高。另一种有效特征选择方法则主要基于遗传算法和最大相关最小冗余算法(CMR, maximal relevance minimal redundancy)。文献将特征选择问题建模为组合优化问题,并提出了一种基于局部搜索最优解算法,用于从特征集中选择最优的子集,以实现对“正常”和“DoS”攻击数据的高效检测。尽管所选特征子集在检测率和准确率方面表现优异,但同时也带来了较高的误报率。为了优化特征选择过程,文献提出了一种改进型遗传算法,通过单点交叉操作替代传统的两点交叉方法来优化算法参数。总体而言,该方法在检测性能上表现更为出色,但在某些特定场景下可能会导致分类率的下降。最后,文献还提出了一种基于K近邻算法和树种子算法的特征选择方法,通过减少特征冗余来提升检测效率,但其在检测精度上的提升效果并不显著。
上述方法存在一个共同的缺点,即所选特征具有一定的随机性和不确定性,无法用于下次选择。为了克服这一问题以及明确不同特征对异常检测的影响,文献通过最大相关最小冗余特征选择算法和SVM分类方法进行了系列实验。此外,为了进一步选取有效的特征,文献结合群体智能算法和强化学习方法,提出了一个名为QBSO-FS的特征选择模型。实验结果表明,该模型确实优于传统特征选择算法。工业系统中基于特征选择的异常检测方法如表2所示。
2.6 基于机器学习的检测方法
在工业系统领域,机器学习技术(包括贝叶斯网络、k-means聚类、极端学习机、支持向量机以及回归分析等)已被成功应用于工业物联网异常行为的识别与检测。此外,聚类分析、随机森林模型、孤立森林方法以及隐马尔可夫模型等算法也取得了显著的效果。表3系统地总结了工业系统中基于机器学习技术的异常检测方法。
单分类支持向量机(OCSVM, one-class support vector machine)是一种非常著名的异常检测算法,广泛应用于多个领域。该方法通过学习数据分布的边界区域,能够有效识别位于边界外的事件或数据点作为异常行为。文献中采用云灰狼优化算法对OCSVM的参数进行优化以提升性能。实验结果表明,该算法在一定程度上显著提升了检测精度。与现有研究不同,文献提出了两种扩展OCSVM至张量空间的异常检测方法,分别为单分类支持塔克机和基于张量塔克分解与遗传算法的遗传单分类支持塔克机。这些方法均旨在处理传感器大数据的无监督异常检测问题,同时保留了数据结构信息并显著提高了检测的准确率和效率。
该聚类方法采用无监督学习策略,将具有相似特征的对象划分为同一组。通过这种自动生成的分组方式,当新的数据点无法被归入预定义的集群(组)时,系统将识别为异常情况并发出警报。梯度提升树作为一种集成学习分类模型,文献中将其应用于风力机螺栓断裂的早期异常检测。该算法通过构建多棵决策树并综合其结果,从而实现最终决策。尽管梯度提升树具有显著的优越性,但其无法处理海量数据的问题不容忽视。为了解决这一挑战,文献提出结合轻量级梯度提升机和贝叶斯优化方法,以实现工业网络流量异常检测。该方法在提升检测效率和准确率的同时,显著降低了对模型训练过程的人工干预程度。
然而,机器学习方法存在以下3个局限性:1) 其性能在很大程度上受所采用的特征工程技术的稳健性影响,从而影响了方法的稳定性;2) 当处理大规模高维数据时,其性能会出现显著下降;3) 方法的学习能力较为有限,难以有效应对工业物联网环境下因数据安全问题(如网络攻击)而产生的动态性。
2.6.1 深度学习方法
深度学习(DL, deep learning)作为机器学习的核心技术之一,具备自主学习能力,属于人工智能领域的重要组成部分。由于其对特征工程的独立性、适应动态环境的能力以及强大的学习能力(尤其是处理高维数据),其迅速成为解决现有局限性问题的新范式。这些方法已在多个领域得到广泛应用,包括但不限于卷积神经网络(CNN, convolutional neural network)、循环神经网络(RNN, recurrent neural network)以及深度神经网络(DNN, deep neural network)等。研究者Ferrag等对卷积神经网络(CNN)、循环神经网络(RNN)以及深度神经网络(DNN)进行了入侵检测研究,并对不同配置下的性能进行了详细对比分析。在物联网领域,Bhuvaneswari等通过引入向量卷积的方法构建了入侵检测系统。然而,CNN在处理物联网流量的长时依赖特征方面存在不足,而LSTM则表现出色。为此,研究者Saharkhizan等提出采用LSTM模型来分析时序数据间的依赖关系。他们设计了一个由多个LSTM网络组成的集合,作为检测器,并将各检测器的输出结果整合为决策树,最终实现分类任务。
然而,现有模型的计算开销较大,导致在医疗物联网环境中的应用存在一定的性能瓶颈。针对这一挑战,Liaqat团队开发了一种创新性解决方案,将卷积神经网络(CNN)、CUDA并行计算框架和长短期记忆网络(LSTM)有机结合,成功实现了对复杂恶意僵尸网络的高效识别和快速响应。
文献提出了一种压缩卷积变分自动编码器,用于IIoT中时间序列数据的异常检测。该方法减少了模型的大小和推理的时间,但是分类性能基本上没有提升。研究了卷积神经网络在工业控制系统异常检测的应用后,文献提出了一种基于测量预测值与观测值的统计偏差的异常检测方法,并指出一维卷积网络在工业控制系统的异常检测方面优于循环神经网络。从网络包内容分析的角度出发,文献提出了签名+LSTM的多层异常检测方法。其首先开发了一个数据包的基准签名数据库,并用布鲁姆过滤器存储该签名数据库同时检测包异常,然后将该签名数据库作为数据源输入LSTM中,来进行时间序列的异常检测。为了保护集成电路免受网络攻击,文献采用 2 种异常检测算法来做异常检测,一个是传统机器学习算法k-means,另一个是卷积自编码算法,并取2种算法结果的逻辑与来作为最终的检测结果。但是该方法在特征选择时,没有采用专有的特征选择算法,仅仅通过人工过滤掉了不产生影响的属性。另外,为了保护IIoT系统免受勒索软件攻击,文献提出了一种基于堆叠变分自编码的检测模型,该模型具有一个全连接神经网络,能够学习系统活动的潜在结构,并揭示勒索软件的行为。为了提高检测的准确率和降低出错率,文献利用深度学习自编码器结合编码层的系数惩罚和重构损失来提取高维数据特征,然后使用极限学习机(ELM, extreme learning machine)对提取的特征进行快速有效的分类。文献提出一种基于双向生成对抗网络(BiGAN, bidirectional-GAN)的ICS入侵检测策略。为了提高BiGAN模型在ICS入侵检测中的适应性,该研究通过单变量原理和交叉验证得到了最优模型。针对循环DL模型不能并行化且难以处理长流量序列的问题,文献设计了基于取证的深度学习模型,该模型使用局部门控制循环单元学习局部特征,并引入多头注意力机制来捕获和学习全局表示(即长期依赖)。文献设计了一个双向多特征层的长短时记忆网络。文献基于深度随机神经网络设计了入侵检测方案,在训练过程中,其选择了数据集的41个最显著的特征。文献提出了基于孪生卷积神经网络的少样本学习模型,以缓解ICPS中的过拟合问题,同时提高了智能异常检测的准确率。表4展示了工业系统中的基于深度学习的异常检测研究成果。
2.6.2 联邦学习方法
联邦学习是一种机器学习框架,能够有效帮助多个机构在确保用户隐私保护和数据安全等要求下,实现数据使用和机器学习建模。近年来,为了在异常检测中保护用户隐私,联邦学习在工业物联网中的应用受到了学术界和产业界的广泛关注。
在保护用户隐私数据方面,Liu 等人将联邦学习与深度异常检测相结合,构建了一个包含 LSTM 的卷积神经网络模型。在联邦学习过程中,他们采用了基于 Top-k 选择的梯度压缩机制,有效降低了通信开销并提升了通信质量。2021 年,Liu 等人在原有研究基础上引入注意力机制,进一步优化了异常检测的准确率。Li 等人基于卷积神经网络和门控递归单元开发了一种联邦深度学习方案。该方案允许多个工业 CPS 以隐私保护的方式协作构建一个综合性的入侵检测模型,并通过 Paillier 加密机制确保了模型参数的安全性和隐私性。值得注意的是,该模型仅适用于同域工业 CPS。文献中提出了一种联邦深度强化学习异常检测算法,该方法通过构建一个通用的异常检测模型并在联邦学习框架下进行训练,从而实现了对每个局部模型的优化。由于联邦学习过程中无需依赖本地数据集,因此有效降低了隐私泄露的风险。此外,通过在异常检测设计中引入隐私泄露程度和动作关系指标,进一步提升了检测精度。表 5 对联邦学习在工业异常检测领域的研究成果进行了总结。
2.7 基于边缘/雾计算的检测方法
深度神经网络的发展为实现异常物联网数据的即时检测提供了有力支撑。然而,受限于计算资源和能源供应,物联网设备难以支撑复杂的深度神经网络模型。尽管可以通过将异常检测任务转移至云端来缓解这一问题,但当成千上万的物联网设备同时向云端发送数据时,将导致延迟和网络拥塞。
一种新兴技术——雾(边缘)计算的出现,有效缓解了上述问题。该技术旨在通过将计算、通信、存储和分析等资源密集型功能转移至终端用户,从而减轻云和核心网络的负载压力。雾计算系统本身能够处理对时间要求严格的物联网应用,如工厂的火灾报警系统、地下采矿环境等,这些系统都需要快速检测出异常。因此,从而催生了多种基于雾计算的异常检测框架。文献针对数据异常检测的准确性和时效性,提出了一种基于层次边缘计算(HEC, hierarchical edge computing)模型的多源多维数据异常检测方案。该研究首先提出了 HEC 模型,以实现传感器端和基站端负载均衡和低时延数据处理;然后设计了一种基于模糊理论的单源数据异常检测算法,该算法具备综合分析多个连续时刻的异常检测结果的能力。针对工业物联网终端设备中数据量大的问题,文献首先采用边缘计算对传感器数据进行压缩优化(即预处理),继而利用k-means 聚类算法对处理后数据的离群值进行判断。然而,压缩技术带来的信息损失可能影响检测精度,因此需要在压缩率与检测精度之间找到平衡点。
与现有研究相仿,另一文献同样采用了HEC这一技术基础,构建了自适应异常检测方法。具体而言,该研究首先构建了3个复杂度逐步递增的深度神经网络(DNN)异常检测模型,并将其与HEC的三层架构(物联网设备、边缘服务器、云平台)实现了自下而上的有机融合。随后,根据输入数据的上下文信息,自适应地选择了最适合的模型进行异常检测。表6系统地列出了基于云计算、边缘计算和雾计算等技术的工业物联网中的异常检测方法。对比表6中的数据可知,虽然文献在准确率和F1分数上略逊于另一文献,但其平均检测时延显著降低。由此可见,这种设计必然以略微降低检测精度为代价,换取了较短的检测时延。
文献提出了一种基于自适应图更新机制的边缘计算环境中的异常检测方案。该方案在云中心部分,通过深度学习模型对未知模式进行分类,并根据分类结果定期更新特征图。随后,该系统会持续地将分类结果传输至每个边缘节点。每个边缘节点会将新出现的异常或正常模式暂时存入缓存中,直到接收到来自云中心的新特征图更新。
2.8 基于图的检测方法
基于图的异常检测方法在医疗保健、网络、金融和保险等多个领域均有应用。由于网络、电子邮件和电话等数据之间存在高度依赖关系,基于图表的异常检测技术逐渐受到重视。文献[89]提出了一种基于知识图谱的工业物联网移动设备异常检测方案,并通过可视化技术展示了检测结果。具体而言,作者采用了优化后的基于频繁项集的数据挖掘算法对数据进行分析,从而使得该方案能够准确识别多种并发攻击模式。此外,作者还设计了一个多维度可视化的异常告警模块,该模块能够帮助非专业用户更直观地了解工业领域的网络安全状况。
文献提出了一种新型基于图的异常检测方法,并将其背景知识整合到传统图挖掘方法的评价指标体系中。背景知识采用规则覆盖形式整合,且占用了最终图的一定比例。鉴于此,研究者假设,通过为规则覆盖部分赋予负权值,可以有效识别异常子结构。该方法在保证检测精度的同时,显著降低了检测时间。表7总结了工业物联网领域基于图的异常检测方法的研究进展。
2.9 基于指纹的检测方法
指纹识别技术在现代工业物联网应用中展现出广泛的应用潜力,已在考勤管理、小区智能化等领域取得显著成效。另一方面,无线智能设备的引入为ICS网络带来了新的发展机遇,但受限于设备计算与存储能力的限制,采用传统加密手段与安全补丁等方法来提升网络设备的安全性已显行不通。因此,指纹识别技术的突破性应用吸引了众多安全领域研究者的关注。研究者们已开始将指纹技术的核心理念应用于异常检测领域,取得了积极进展。现有文献提出两种基于设备类型指纹的入侵检测方法,分别从静态特征与低时延等角度构建设备指纹特征。其中,方法一侧重于ICS网络的静态特性,方法二则通过物理操作时间的唯一性来构建设备指纹。此外,还有一种混合增强指纹方法被提出,通过过滤异常数据包来实现对ICS网络的异常检测。为消除对信号周期性的依赖,研究者们开发了一种不依赖周期性的异构工业物联网设备指纹识别算法。该算法通过分析信号传输的时间序列数据,提取设备指纹特征。在异常检测技术领域,还出现了一种称为过程倾斜的技术,该技术利用ICS过程中微小偏差(工艺指纹)作为检测依据。表8系统总结了基于指纹的异常检测研究成果。
2.10 基于生物免疫的检测方法
基于异常检测的入侵防御系统通常会存在较高的误报率,这导致研究者们逐渐转向探索其他技术路径。人工免疫系统(AIS, artificial immune system)作为一种生物启发式的计算方法,在20世纪90年代开始发展,通过在多个交叉领域中展现出独特优势,促进了不同学科的深度融合。
基于人工智能系统(AIS)的入侵检测系统(IDS)通常被用作异常检测系统。受到生物免疫系统启发的文献中,提出了一种基于多智能体系统的入侵检测新模型,该模型通过集成网络环境中的分布式代理行为,以确保其入侵检测性能。该文献还基于确定性树突细胞算法(DDCA,Deterministic Dendritic Cell Algorithm)设计了适用于工业场景的入侵检测算法,该算法以抗原与上下文的相关性作为异常检测的基础。研究发现,DDCA的分类性能高度依赖于特征选择过程,当特征间高度相关时,会导致近似完美的分类效果;而当相关性较弱时,特征在分类过程中将产生显著负面影响。为了实现高效的异常检测,文献中提出了一种基于分层时间记忆网络的在线序列记忆算法。该算法通过分层建模输入数据的时空特性,并在每个时间步更新其突触连接,利用输入预测与实际输入之间的差异来动态调整,从而实现异常状态的实时检测。由于表示的稀疏性,该方法每次仅更新少量突触连接,有效降低了训练时间。
在上文部分,我们对工业物联网领域的9种异常检测方法进行了全面介绍。为了更加直观地比较各种算法,进一步分析了每种检测方法的优缺点以及相关研究成果,如表9所示。
3 公开的数据集
表1至表8系统地归纳了工业物联网领域具有代表性的异常检测技术,涵盖了相关数据集及其引用频次。通过分析表1至表8中数据集的出现频率,可以发现研究者较为常用的主要数据集包括SWAT、NSL-KDD、UNSW-NB15以及KDD Cup 99四个。此外,还有许多优质的数据集可用于异常检测研究,这些数据集的详细信息可在表10中查阅。
4 未来展望
工业物联网的安全将是一个重要趋势,随着存储与计算能力的提升,终端设备必然发展出独立的操作系统,随之而来的是安全问题。未来,终端的智能化、自主化、互联性将不断加强,工业物联网的安全问题也将日益严峻。这些安全问题之间相互依存性较强,彼此之间存在相互影响。同时,工业物联网可能以一种杠杆效应的方式影响其他领域,例如互联网,从而引发安全风险。因此,对工业物联网的异常检测具有重要意义。
通过上文的分析可以看出,在工业物联网异常检测领域,机器学习和深度学习等算法的应用较为广泛。相比之下,基于雾计算、知识图谱、生物免疫、联邦学习等技术的研究则相对薄弱。
在工业系统中,稳定可靠且性能优越的异常检测方法对于减少系统因异常事件导致的完全停止的可能性具有重要意义。尽管目前已有诸多相关研究,但仍有诸多值得深入研究的方向。
本研究仅聚焦于异常检测方案本身,检测结果必须由专业人士进行解读,以便非专业人士无法直接获取。此外,可视化结果不仅有助于非专业人士在工业领域深入理解网络安全状况,还能提供直观的分析工具。
混合架构设计在工业物联网场景中具有重要应用价值。鉴于工业物联网数据呈现出数据量大、维度高、冗余强、相关性低、噪声大的特点,若直接采用未经处理的数据进行建模,不仅会导致训练时间显著增加,还会严重影响检测性能。因此,综合运用特征选择、知识图谱以及深度学习等技术的结合,已然成为数据处理的重要趋势。一方面,特征选择算法通过筛选出高度相关的关键特征,有效降低了数据的冗余性和噪声水平;另一方面,深度学习凭借其强大的自适应学习能力,能够精准识别异常数据,显著提升了系统的鲁棒性。
现有深度学习方法在多个领域尚显不足,因此有必要重新审视不同领域异常检测的问题。具体而言,包括SCADA系统、智能电网、5G网络以及众多物联网平台,这些平台中已经部署了基于传统机器学习的异常检测方法。不同领域在可扩展性方面需要基于目标环境的数据集进行深入研究,以期获得更好的效果。
一旦工业系统遭受攻击,就可能造成严重的损失。鉴于此,有必要在可能损害工业系统的异常行为发生之前,通过预测和警告可能的异常行为,采取预防性措施。
5 结束语
多年以来,异常检测技术一直是机器学习领域中的一个重要研究方向,吸引了来自多个行业领域的研究者的广泛关注。通过识别异常行为模式,该技术能够有效降低系统运行中的功能风险,从而避免了系统宕机以及难以预测的其他潜在问题。本文旨在系统性地梳理工业物联网领域中现有的异常检测研究工作,从实现原理的角度出发,对现有研究方法进行分类和分析。这些系统性总结将帮助研究者对当前提出的异常检测算法及其关键特性形成宏观认知。同时,为了进一步推动技术进步,还需要深入研究和开发新的智能检测与预测技术,以实现对复杂工业数据流的实时处理能力,最终达到对工业系统的实时监测、异常检测、风险预警和主动防御能力。