作者:Yaru Liu
论文:《Adversarial Sample Attacks and Defenses based on LSTM-ED in Industrial Control Systems》
中文:《基于LSTM-ED的工业控制系统对抗样本攻击与防御》
目录
1. 介绍
本文提出了一种基于长短期记忆网络的编码器-解码器(LSTM-ED)的对抗性样本攻击和防御方法。目标是解决生成的对抗样本不符合协议规范和物理意义、对抗性样本的生成效率低,以及在没有对抗性样本信息的情况下设计防御模型的困难。
2. 贡献
攻击:一些研究人员设计了一种遵循协议的对抗性样本攻击方法,提高了攻击的有效性。然而,生成对抗性样本是低效的。因此,ICS的对抗性样本攻击方法在实际应用中面临两个挑战。一是攻击方法很少考虑合理的特征类型约束,导致对抗性样本不满足协议规范和实际物理意义。另一种是攻击方法考虑了特征类型约束,而生成对抗样本的效率很低。
防御:LSTM-ED是一种针对多维时间序列数据的重构算法,可以取得很好的检测效果。研究人员正在使用对抗训练方法来提高LSTM-ED模型的性能。然而,研究人员很少考虑LSTM-ED模型在对抗性样本攻击下的脆弱性。我们的研究受到了网络安全领域一系列重要工作的启发。一些研究探讨了网络安全威胁、攻击和缓解技术,为我们的工作提供了关键的背景支持。此外,也有研究对网络安全威胁、对策和未来研究方向提供了见解。这些研究为我们在ICS领域防御对抗性样本攻击提供了新的理论支持和启示。对抗训练方法是一种广泛应用于图像和ICS领域的防御方法,它利用对抗模型生成完全标记的对抗样本和正常样本混合的对抗样本来训练原始模型,以提高模型的鲁棒性。ICS的对抗性样本防御存在两个挑战。一是LSTM-ED在对抗性样本攻击下的鲁棒性很少被评估。另一个原因是大多数防御方法都是根据对抗性样本信息设计的,没有对抗性样本信息很难设计防御模型。
本文提出了一种基于LSTM-ED的对抗性样本攻击方法,该方法考虑了合理的特征类型约束,使对抗性样本符合协议规范和实际物理含义。同时,它在对抗样本生成方面具有很高的效率。此外,我们提出了一种不含对抗性样本信息的LSTM-ED特征权重防御方法LSTM-FWED。LSTM-FWED评估了LSTM-ED在对抗性样本攻击下的鲁棒性,解决了缺乏对抗性样本信息难以设计防御模型的问题。我们工作的主要贡献总结如下。
- 针对生成符合协议规范的对抗性样本效率低下的问题,提出了一种基于LSTM-ED的对抗性样本攻击方法。该方法为传感器和致动器添加不同的扰动值,然后将最终生成的对抗样本剪辑到(0,1)范围内。
- 我们提出LSTM-FWED,一种LSTM-ED特征权重防御方法,旨在解决在没有对抗性样本信息的情况下设计防御模型的问题。LSTM-FWED对不同特征的重构误差进行归一化处理,避免了由预测结果最差的特征主导的异常分数,而不受类别的影响。
- 我们通过将LSTM-FWED与五种最先进的异常检测方法在三个被广泛接受的数据集(SWaT, wadi和BATADAL)上进行比较,验证了LSTM-FWED的有效性。实验结果表明,LSTM-FWED的整体效率优于LSTM-ED、LSTM-AD、Autoencoder、DAGMM、MAD-GAN等异常检测方法。
3. 整体框架
本文在图3中提供了一个概述。该框架包括三个部分:LSTM-ED模型的训练、对抗性攻击检测和特征权重防御。首先,我们使用最小-最大归一化方法对训练集和测试集进行预处理,并对处理后的训练数据进行训练LSTM-ED异常检测模型,得到模型的训练误差,其中模型的输入为
,预测输出为
。其次,攻击者在测试数据中对传感器和执行器加入不同的扰动,有效生成符合协议规范和物理含义的对抗样本,并将对抗样本输入训练好的LSTM-ED模型中进行异常检测。第三,将训练误差和对抗样本误差分别乘以权矩阵,得到最终优化的测试重构误差,称为LSTM-FWED防御方法。最后,我们通过优化测试重构误差来检测异常行为。
4. 攻击方法的实现
真正的ICS是复杂的,由多个连续传感器和离散执行器组成。介绍了我们的对抗性样本攻击方法。具体实现是对数据进行轻微扰动,得到一个对抗性样本,发送给异常检测模型,在检测阶段评估对抗性样本攻击下模型性能下降的可能性。我们假设白盒攻击者的目标是找到一个合适的扰动λ,以使异常检测模型错误分类。我们考虑了两种不同的攻击场景,包括攻击者将异常样本屏蔽为正常样本,将正常样本屏蔽为异常样本。
1. 将异常样本掩盖为正常样本。在这种情况下,攻击者沿着梯度的相反方向添加适当的扰动,以减小输入样本的真实值与预测值之间的差异,使模型将异常样本区分为正常样本。对抗样本的生成如式(2)所示。
2. 将正常样本掩盖为异常样本。在这种情况下,攻击者沿着梯度的同一方向添加适当的扰动,以扩大输入样本的真实值与预测值之间的差异,从而使模型将正常样本区分为异常样本。对抗样本的生成如式(3)所示。
最终生成的对抗样本表示为式(4)和式(5):
我们设置F为所有特征的集合,使用对角矩阵
表示对每个特征采取的扰动水平,可以通过Equation(6)表示对角矩阵中每个元素的值:
可以表示为式(7):
特别是归一化后的泵值为1,加上扰动得到的值为2,不满足离散变量的约束规范。为了解决这个问题,我们总是将最终生成的对抗性样本剪辑到(0,1)范围内。
为了实现对抗性样本攻击,我们分别设置了不同的传感器扰动值λ。两种不同扰动设置的攻击场景如下。
- 对传感器值施加λ = 0.01的噪声值,对电动阀施加0.5的噪声值,对电动泵施加1的噪声值。
- 对传感器值施加λ = 0.1的噪声值,对电动阀施加0.5的噪声值,对电动泵施加1的噪声值。
攻击的核心思想是沿梯度加入噪声,利用LSTMED模型生成基于攻击目标的对抗样本,这可能是错误的预测、错误的分类等。总之,我们通过上述扰动设置向两种不同的攻击场景添加噪声,为LSTM-ED异常检测模型构建对抗样本。算法1给出了对抗样本生成的细节。
5. 防御方法的实现
异常检测模型在检测阶段应适应对抗性样本攻击,使模型性能不受影响。此外,我们提出了LSTM-ED特征权重防御方法LSTM-FWED。为了提高异常检测模型的鲁棒性,我们考虑了两种不同的防御场景,包括适合批量访问数据集的场景和适合逐点接收数据集测试的场景。FWtrain计算模型训练时得到的训练误差的特征中值,我们称之为特征中值重构误差,然后用特征中值重构误差计算权重矩阵。FWtest 计算评估模型时获得的对抗性样本误差的特征中位数,然后使用特征中位数重建误差计算权重矩阵。该权重矩阵乘以对抗样本误差,得到最终优化的测试重构误差。为了避免被最差预测特征占主导地位的异常分数,而不考虑类别。由于不同的特征具有不同的判别能力,我们使用式(8)计算权重矩阵来解释这些差异。
6. 实验
使用的数据集:SWaT、WADI和BATADAL
攻击方法的效果:
防御方法的效果:
7. 结论
本文提出了一种基于LSTM-ED的工业控制系统对抗样本攻击与防御方法。我们的对抗性样本攻击通过在传感器和执行器中加入不同的扰动值来生成对抗性样本,该攻击符合协议规范,具有较高的效率。此外,我们提出了一种不含对抗性样本信息的LSTM-ED特征权重防御方法LSTM-FWED。LSTM-FWED对不同特征的重构误差进行归一化处理,避免了由预测结果最差的特征主导的异常分数,提高了LSTM-ED模型在对抗性样本攻击下的鲁棒性。实验结果表明,对抗性样本攻击使LSTM-ED模型的准确率平均降低了66.26%,对抗性样本的生成时间最多为18秒,提高了攻击效率。在三个ICS数据集上的对比实验中,LSTM-FWED防御方法总体上优于LSTM-ED、LSTM-AD、Autoencoder、DAGMM、MAD-GAN等最先进的异常检测基线方法,AUC平均提高21.83%。
8. 局限性
本文主要有两个局限性。首先,我们的攻击是一种白盒攻击,不评估对抗样本是否可迁移。我们需要考虑我们的攻击方法在多大程度上可以推广到其他深度学习模型。其次,我们想进一步研究如何在适合批量数据访问的防御场景下,提高我们的方法在SWaT数据集上的性能。
原论文链接:
https://www.sciencedirect.com/science/article/pii/S0167404824000518
如果直接点击链接打不开的话,复制链接到谷歌打开。
3249
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
