基于WADI数据集的 工控异常检测

1 工控异常检测概述

• 异常检测技术 对于保障 信息物理系统(cyber-physical systems , CPS)的安全(security)至关重要，因为工业上的CPS往往是国家重大基础设施【如工业控制系统ICS，智能电网，智慧交通系统ITS，航空系统等】，一旦受到攻击，将会造成重大影响（经济损失、系统本身的破坏上、大国竞争等）。
• 异常检测是要去发现系统在运行状态下的异常，其主要方法如下：

1. 传统方法：基于规则、状态估计（Kalman filter）、基于统计模型的方法等 被用来学习CPSs正常的状态；但这些方法需要专家知识（如操作员需要手动提取正确的规则）、了解正常数据的基本分布。
2. 机器学习不依赖特定专家知识，但需要大量标记过的数据，目前难以实现。
3. 因此，基于深度学习的异常检测方法 被提出被用来辨识CPS中的异常。

2 WADI数据集

• 对于工控异常检测技术的研究，其数据来源主要有3种：

1. 现实世界的系统中 收集的数据。
2. 测试床，由真实系统按比例缩小；对测试床进行攻击时不会破坏真实世界的系统。
3. 仿真实验；能反映内在机理，但不能发现 现实世界的错误。

• 因此，以测试床作为数据来源，能够平衡数据失真和可操作性。

• 在工业控制系统ICS中，常见的数据集如下：
  

• 其中SWaT 与 WADI 数据集 均是 新加坡科技设计大学SUTD的iTrust机构采集并开源的，可在iTrust官网申请数据集，申请通过后会向你的邮箱发送Google网盘链接。

• SWaT, Secure Water Treatment

  • SWaT 由首席国防科学家 Quek Tong Boon 教授于 2015 年 3 月 18 日推出，是用于网络安全领域研究的水处理测试平台。
  • SWaT 由一个现代的六阶段过程组成。该过程首先吸入原水，向其中添加必要的化学物质，通过超滤 (UF) 系统对其进行过滤，使用紫外线灯对其进行脱氯，然后将其送入反渗透 (RO) 系统。反冲洗过程使用 RO 产生的水清洗 UF 中的膜。
  • SWaT 的网络部分由分层通信网络、可编程逻辑控制器 (PLC)、人机界面 (HMI)、监督控制和数据采集 (SCADA) 工作站和 Historian 组成。来自传感器的数据可供 SCADA 系统使用，并由 Historian 记录以供后续分析。
  • 数据集中包括 传感器/执行器的数据 和 网络数据
    

• WADI, Water Distribution

  • WADI 是SWaT的自然延伸，包括两个高架水箱、六个消费水箱、两个原水箱和一个回水箱。它还配备了化学计量系统、增压泵和阀门、仪器仪表和分析仪。WADI 将吸收一部分 SWaT 的反渗透渗透水和原水，从而形成一个完整而现实的水处理、储存和分配网络。这两个测试平台的结合使研究人员可以见证网络攻击对一个测试平台的级联效应。
  • 除了对 PLC 和网络进行攻击和防御之外，WADI 还能够模拟物理攻击的影响，例如漏水和恶意化学注入。与通常包含在安全位置的水处理系统工厂不同，分配系统包括跨越大面积的众多管道。这大大增加了配电网络遭受物理攻击的风险。
  • 与 SWaT 一起，WADI 为研究人员提供了对水处理和配水厂进行各种可能的网络和物理攻击的机会。
  • 在 WADI中，研究人员有意识地选择了与 SWaT 不同的 PLC 品牌，以便在不同的 PLC 品牌上验证其防御模型。
    

3 基于LSTM的时空序列预测

4 异常分数

5 总结