动态决策驱动的工控网络数据要素威胁检测方法

作     者：王泽鹏 马超 张壮壮 吴黎兵 石小川 Wang Zepeng;Ma Chao;Zhang Zhuangzhuang;Wu Libing;Shi Xiaochuan

作者机构：武汉大学国家网络安全学院 空天信息安全与可信计算教育部重点实验室(武汉大学) 

出 版 物：《计算机研究与发展》 (Journal of Computer Research and Development)

年 卷 期：2024年第61卷第10期

页      面：2404-2416页

核心收录：

学科分类：0839[工学-网络空间安全] 08[工学] 0802[工学-机械工程] 0835[工学-软件工程] 080201[工学-机械制造及其自动化] 

基　　金：国家重点研发计划项目(2021YFB3101100) 国家自然科学基金项目(62272352) 湖北省重点研发计划项目(2021BAA039) 湖北省自然科学基金项目(2022CFB012)~~ 

主　　题：工控网络 数据要素安全 时间序列 异常检测 深度强化学习 数据增强 模型选择 

摘      要：近年来，工控网络发展势头迅猛.其数字化、智能化、自动化的优势为工业带来巨大效益的同时，也面临着愈发复杂多变的攻击威胁.在数据要素安全的背景下，及时发现和应对工控网络威胁成为一项迫切需要得到解决的任务.通过对工控网络中的数据流进行连续监测和分析，工控网络威胁检测问题可以转化为时间序列异常检测问题.然而现有时间序列异常检测方法受限于工控网络数据集的质量，且往往仅对单一类型异常敏感而忽略其他异常.针对上述问题，提出了一种基于深度强化学习和数据增强的工控网络威胁检测方法（deep reinforcement learning and data augmentation based threat detection method in industrial control networks,DELTA）.该方法提出了一种新的时序数据集数据增强选择方法，可以针对不同的基准模型选择合适的数据增强操作集以提升工控网络时间序列数据集的质量；同时使用深度强化学习算法（A2C/PPO）在不同时间点从基线模型中动态选取候选模型，以利用多种类型的异常检测模型解决单一类型异常敏感问题.与现有时间序列异常检测模型对比的实验结果表明，在付出可接受的额外时间消耗成本下，DELTA在准确率和F1值上比所有基线模型有明显的提升，验证了方法的有效性与实用性.