《RELIABILITY ENGINEERING & SYSTEM SAFETY》:Unsupervised cyber-physical intrusion detection and localization in water distribution systems via multivariate fusion of process, supervisory, and communication data
编辑推荐:
提出一种融合过程、监督和控制层数据的水系统无监督攻击检测框架,利用时空卷积网络自编码器重构正常状态并监控残差,结合MCUSUM统计控制图实现快速检测,通过corr-max机制定位攻击特征,在BATADAL数据集上实现23/25攻击检测,平均延迟14分钟。
Hojat Behrooz|Mohammad Ilbeigi
博士后研究员,土木、环境与海洋工程系,史蒂文斯理工学院,新泽西州霍博肯市07030,美国
摘要
本研究提出了一种新型的无监督网络攻击检测框架,用于水分配网络。该框架将过程层、监控层和通信层的数据融合成系统行为的统一多变量表示,以实现早期和可靠的攻击检测。在该框架中,时间卷积网络自编码器仅使用正常运行数据进行了训练,以学习预期的系统行为,并通过多变量累积和(MCUSUM)统计过程控制图来监控其重建残差,从而实现连续攻击检测。在检测到异常时,相关性最大化(corr-max)机制会分解MCUSUM统计量,以确定导致偏差的主要特征和组件,从而支持网络内的攻击定位。在BATtle of the Attack Detection ALgorithms (BATADAL) 2.0数据集上进行评估时,所提出的框架检测到了25次攻击中的23次,且没有误报,平均检测延迟为14分钟,并准确识别了通信层、过程层和监控层中受损的组件。结果表明,通过整合过程层、监控层和通信层的特征,所提出的方法能够在网络物理水分配系统中实现快速、可靠且可解释的入侵检测,从而增强了现代水务公司对复杂网络物理攻击的网络安全韧性。
引言
水分配网络是确保家庭、工业和公共用水安全可靠的关键基础设施[[1], [2]]。这些服务的任何中断都会威胁公共健康、经济稳定和社区福祉[3]。随着时间的推移,水系统的运行方式已经从手动液压管理演变为由各种工业控制系统(ICS)组成的网络物理系统,例如可编程逻辑控制器(PLC)、监控控制和数据采集(SCADA)平台以及互连的通信网络[[4], [5]]。虽然这种演变提高了响应性和效率,但也增加了水务系统遭受网络攻击的风险[[6], [7], [8]]。最近的事件凸显了对手如何利用物理资产与数字接口之间的薄弱环节,并绕过专为纯液压异常设计的传统监控机制。例如,2021年,一名远程攻击者通过佛罗里达州的网络获得了对SCADA工作站的访问权限并篡改了化学剂量[9];2024年,德克萨斯州的入侵者改变了控制设置,导致储罐溢出[10]。
在ICS环境中,入侵可以发生在多个操作层面[11]。在过程层(第1层),攻击者可以伪造传感器读数或执行器状态,以扭曲测量结果。在监控层(第2层),他们可以修改PLC和SCADA服务器之间交换的数据,从而向操作员隐藏异常状态。在网络通信层(第3层),攻击者可能拦截、重放或注入网络数据包,以操纵命令或传感器更新。当这些层协同行动时,可能会产生看似合法的数据流,从而使入侵检测变得更加困难。因此,对水分配网络的有效网络物理保护需要综合考虑过程层、监控层和网络通信信息[[12], [13], [14], [15]]。
除了跨过程层、监控层和通信层监控数据所带来的挑战外,攻击者还可能使用复杂的规避策略,在合法模式中隐藏恶意行为,从而显著增加入侵检测的复杂性[[16], [17]]。点级规避将篡改后的传感器值保持在可接受范围内,以避免基于阈值的警报[18]。上下文规避则使测量结果在单独查看或在其时间或操作上下文中看起来都是合法的。例如,攻击者可能在夜间报告低用水量[19]。针对组件的规避利用了网络和物理过程之间的相互依赖性,并跨多个层协调多个攻击向量[20]。这种策略可能涉及阀门操作、泵的操控以及伪造的SCADA报告,以诱导特定的液压响应(例如,储罐水位下降),同时操纵或重放网络数据包以掩盖真正的故障源[19]。这些网络攻击策略构成了不可预测的威胁,可能导致突然的大规模故障[21]。这些漏洞暴露了静态或基于规则的检测机制的局限性,强调了数据驱动和系统范围监控方法的需求[19,[22], [23]]。
如文献综述所述,尽管这一领域的研究不断增加,但目前尚无现有研究提供一种能够同时利用过程层、监控层和通信层数据流的可扩展无监督入侵检测机制。同时,大多数报告的方法存在较高的误报率和较长的检测延迟,这进一步限制了它们的实际应用性。为了解决这一差距,本研究提出了一种新的水分配网络入侵检测方法,该方法具有以下四个关键特性:
1)多变量数据融合,将过程层、监控层和通信层的数据流整合成系统行为的统一高维表示,支持全面的网络安全监控。
2)一种无监督的时间卷积网络(TCN)自编码器,无需标记的攻击数据即可重建和描述时间上的正常变化,从而实现不受预定义攻击场景限制的自适应异常检测。
3)基于多变量累积和(MCUSUM)控制图的高效统计过程控制方案,保持较低的误报率,并支持对水网络所有三层的大量数据流进行可扩展的监控。
4)基于相关性最大化(corr-max)的分解机制,通过确定导致异常偏差的主要特征和组件来辅助攻击定位。
如“方法”部分详细讨论的,所提出的解决方案能够在不依赖于攻击场景、基于物理的液压模型或预定义数据阈值的情况下,实现快速、全面、可靠且可解释的入侵检测。
在本文的其余部分,首先回顾了该领域的最新研究及其促使本研究的局限性。接下来介绍了所提出的方法,并使用实际历史数据进行了实证验证和性能评估。最后,在“结论”部分总结了本研究对知识体系的主要贡献,回顾了其局限性,并概述了未来研究的方向。
文献综述
近年来,尽管相关研究数量有所增加,但仍然有限,这些研究试图提出针对网络物理水分配系统的入侵检测方法。这些研究可以分为三类:1)基于物理的方法,2)传统的统计模型,以及3)机器学习和深度学习解决方案。
目标
鉴于现有网络物理入侵检测方法存在的本质局限性,本研究的主要目标是设计、实现并实证评估一种新型的、可扩展的、无监督的多层次网络物理入侵检测方法。所提出的方法整合了过程层、监控层和通信层的数据流,全面监控整个系统
方法
所提出的检测框架包括四个主要组成部分(图1)。首先,提取网络通信特征,并将其与过程层和监控层的变量融合成统一的多变量时间序列。具体来说,将过程层(第1层)、监控层(第2层)和通信层(第3层)的数据流连接起来,创建一个扩展的特征空间
计算复杂性
所提出框架的计算复杂性主要由图1中所示的管道组件决定。通信特征提取阶段处理数据包级数据,并将它们聚合成固定时间窗口。这一步骤的处理量与处理的数据包数量成线性关系,表示为
TCN自编码器作用于融合后的多变量序列。其复杂性取决于序列长度
实施与验证
为了实证评估所提出方法的性能,使用了BATtle of the Attack Detection ALgorithms (BATADAL) 2.0数据集[54]进行测试。该模型代表了一个模拟的中型水分配网络,包含互连的液压、监控和通信组件,已被广泛用作网络物理攻击检测的基准。在这个基准测试中,攻击者会操纵测量值、控制动作和通信交换
结果
所提出的方法应用于77个测试场景,包括52个正常运行案例和25个攻击场景,成功检测到了25次攻击中的23次,且在任何正常情况下均未产生误报。从入侵发生到发现的时间范围为0.6至58.4分钟,平均为14分钟。更严格的测试表明,所提出的方法能够检测到基于数据包重放或基于学习的隐藏行为的攻击
结论
本研究对知识体系的主要贡献是开发并实证验证了一种可扩展的无监督入侵检测框架,该框架能够同时利用水分配系统中的过程层、监控层和通信层的数据流。该框架结合了多变量数据融合、时间卷积网络自编码器、基于MCUSUM的统计过程控制以及基于corr-max的分解机制,形成了一个统一的架构,支持快速
Hojat Behrooz:撰写——原始草稿、可视化、软件开发、方法论设计、调查、形式分析、数据整理。Mohammad Ilbeigi:撰写——审稿与编辑、撰写——原始草稿、监督、资源协调、项目管理、方法论设计、资金获取、概念构思。
