基于多源信息融合的工控网络异常检测技术研究.pdf

摘要

摘要

工业控制系统（IndustrialControlSystem,ICS）是涵盖了包括计算、物理环境、

网络环境以及工程师工作站环境等多维的复杂系统，随着工业信息化的快速发

展，ICS愈发趋向开放，以震网病毒（Stuxnet）为首的高级持续性威胁（Advanced

PersistentThreat,APT）攻击已经对全球工业安全构成了严重威胁。这类攻击涉及

ICS中的多个系统，针对性强，隐蔽性高，传统的异常检测技术难以及时发现，因

此本文考虑利用多源信息融合技术来辅助异常检测，从而提高针对APT攻击的检

测能力，主要工作如下：

针对ICS环境下异常检测的问题，对各子系统数据进行预处理以及周期性和

自相似性分析后，提出了一种基于变分自编码器的异常检测模型STF-VAE。首先

利用FFT提取数据的周期性，对数据进行维度转换；其次，利用CNNInception模

块对维度转换后的数据进行深层的特征提取，通过不同支路中不同大小的卷积核

在不同尺度上进行处理然后聚合，同时提取多尺度的特征；最后通过编码压缩以

及LSTM解码重构，得到最终的重构结果以及异常分数，进而进行异常判断。实

验结果表明，综合三个子系统来看，本文模型能够在多系统场景中都有着出色的

性能：在物理子系统中，检测的查全率达到96.81%；在网络子系统中和人员子系

统中F1分数分别达到90.54%和87.82%，验证了本文异常检测模型的可行性。

针对ICS环境中多系统数据源关联的问题，对各子系统内数据以及不同子系

统之间数据进行相关性分析后，提出了一种基于注意力机制的多源异类信息融合

模块Dual-CFA，通过引入交叉注意力（Cross-Attention）机制，使该模块可以在不

同特征之间共享和整合特征信息，从而更好地理解不同系统中数据特征之间的关

联性，以提升模型的表征能力。为了能将Dual-CFA模块使用到两个以上的系统数

据中，本文将其扩展为CFF模块来实现多系统环境下的特征融合。实验结果表明

在ICS环境下，相较于直接特征拼接法和投票法，基于CFF模块的方法在F1分数

上表现得更为出色，在平均结果上提升了0.58%以及2.51%，验证了本文融合方

法的有效性。

除此之外，由于缺乏多系统关联的数据集，本文还通过使用ICSSIM平台进行

仿真设计与实现，给出了一种构建多源数据集的方法，为研究多源信息融合方法

提供了可靠的数据支持。

关键词：工业控制系统，异常检测，多源信息融合

I

ABSTRACT

ABSTRACT

IndustrialControlSystem(ICS)isamulti-dimensionalcomplexsystemcovering

computing,physicalenvironment,networkenvironment,andengineer’sworkstationen-

vironment,etc.Withtherapiddevelopmentofindustrialinformatization,ICStendstobe

moreandmoreopen,andadvancedpersistentthreat(AdvancedPersistentThreat,APT)

attacks,ledbyStuxnetvirus,haveposedaseriousthreattoglobalindustrialsecurity.Per-

sistentThreat(APT)attacks,ledbytheStuxnetvirus,haveposedaseriousthreattoglobal

industrialsecurity.TheseattacksinvolvemultiplesystemsinICS,whicharehighlytar-

getedandhidden,andaredifficulttobedetectedinatimelymannerbytraditionalanomaly

detectiontechniques.Therefore,thisthesisconsiderstheuseofmulti-sourc