摘" 要： 為解決攻擊者利用流程工業(yè)生產(chǎn)中深度耦合的工序參數(shù)進(jìn)行生產(chǎn)過程攻擊的問題，提出一種基于SSA?LSTM的深度學(xué)習(xí)算法，對(duì)工藝數(shù)據(jù)進(jìn)行異常檢測(cè)。通過麻雀優(yōu)化算法優(yōu)化LSTM神經(jīng)網(wǎng)絡(luò)的迭代次數(shù)、學(xué)習(xí)率和隱藏層節(jié)點(diǎn)數(shù)三個(gè)超參數(shù)，實(shí)現(xiàn)對(duì)工藝數(shù)據(jù)的準(zhǔn)確預(yù)測(cè)。將預(yù)測(cè)數(shù)據(jù)與真實(shí)數(shù)據(jù)進(jìn)行對(duì)比，超出閾值的點(diǎn)定義為異常點(diǎn)，再運(yùn)用Petri網(wǎng)理論對(duì)生產(chǎn)工藝參數(shù)間的耦合關(guān)系進(jìn)行建模，確定異常點(diǎn)與入侵點(diǎn)之間的因果關(guān)系，為預(yù)測(cè)結(jié)果提供理論支撐。將SWAT水處理系統(tǒng)數(shù)據(jù)集用于驗(yàn)證算法效率，證明了所提出的模型在檢測(cè)精度和攻擊定位準(zhǔn)確性方面優(yōu)于其他算法模型。實(shí)驗(yàn)結(jié)果表明，所提出的算法模型可有效檢測(cè)出通過暴力篡改傳感器數(shù)據(jù)對(duì)工業(yè)生產(chǎn)造成重大影響的入侵行為。

關(guān)鍵詞： 工藝數(shù)據(jù)； 工業(yè)入侵檢測(cè)； 攻擊定位； 麻雀優(yōu)化算法（SSA）； LSTM神經(jīng)網(wǎng)絡(luò)； 工業(yè)控制系統(tǒng)； 工業(yè)網(wǎng)絡(luò)安全

中圖分類號(hào)： TN911.23?34； TP273" " " " " " " " " "文獻(xiàn)標(biāo)識(shí)碼： A" " " " " " " " " 文章編號(hào)： 1004?373X（2024）16?0117?08

Process industry intrusion detection and attack localization based on process data analysis

QIAN Junlei1， 2， JIA Tao1， ZENG Kai1， 2， QU Bin1， DU Xueqiang2

（1. College of Electrical Engineering， North China University of Science and Technology， Tangshan 063210， China; 2. Tangshan Iron and Steel Enterprise Process Control and Optimization Technology Innovation Center （Tangshan ANODE Automation Co.， Ltd.）， Tangshan 063000， China）

Abstract： In order to solve the problem that attackers can attack the production process by using deeply coupled process parameters in process industrial production， a deep learning algorithm based on SSA?LSTM （sparrow search algorithm?long short term memory） is proposed for the anomaly detection of process data. The SSA is used to optimize three hyperparameters of LSTM neural network： iteration number， learning rate and number of hidden layer nodes， so as to realize the accurate prediction of process data. The predicted data is compared with the real data， and these points exceeding the threshold are defined as anomalous points. Petri net theory is used to model the coupling relationship between the production process parameters to determine the causal relationship between the anomalcus points and the intrusion points， so as to provide theoretically support for the prediction results. The SWAT water treatment system dataset is used to verify the efficiency of the algorithm， and it proves that the proposed model is superior to other algorithm models in terms of detection accuracy and attack localization accuracy. The experimental results show that the proposed algorithm model can effectively detect the intrusion behaviors that has significant impacts on industrial production by violent tampering with sensor data.

Keywords： process data; industrial intrusion detection; attack localization; sparrow search algorithm; LSTM neural network; industrial control system; industrial network security

0" 引" 言

“中國(guó)制造2025”的提出，加速了工業(yè)控制系統(tǒng)（Industrial Control System， ICS）向智能化、數(shù)字化發(fā)展的步伐。工業(yè)生產(chǎn)的智能化要求產(chǎn)線級(jí)、車間級(jí)以及工廠級(jí)的數(shù)據(jù)共享和互聯(lián)互通，這會(huì)使得工廠中的控制系統(tǒng)、控制網(wǎng)絡(luò)以及工藝數(shù)據(jù)顯露于互聯(lián)網(wǎng)[1?3]。智能化、數(shù)字化水平的提升，給網(wǎng)絡(luò)攻擊者入侵工業(yè)網(wǎng)絡(luò)帶來了便利，給在物理隔離時(shí)代很難攻擊的控制層網(wǎng)絡(luò)帶來了巨大威脅。生產(chǎn)制造執(zhí)行系統(tǒng)（Manufacturing Execution System， MES）打通了設(shè)備層、控制層、監(jiān)控層、管理層之間的數(shù)據(jù)通道，提升了生產(chǎn)的靈活性，給管理者在工廠之外監(jiān)控生產(chǎn)過程提供了便捷，然而也致使攻擊者入侵控制網(wǎng)絡(luò)成為可能。同時(shí)，流程工業(yè)因?yàn)槠洳婚g斷生產(chǎn)的特性，軟硬件更新不及時(shí)，通信協(xié)議不兼容，漏洞更新緩慢，造成了更多的潛在威脅[4?5]。針對(duì)ICS網(wǎng)絡(luò)的攻擊過程一般是：通過如釣魚網(wǎng)站、被感染的移動(dòng)存儲(chǔ)設(shè)備、暴力破解等手段獲取目標(biāo)系統(tǒng)的非法訪問權(quán)限，一旦成功進(jìn)入操作系統(tǒng)，攻擊者進(jìn)行橫向滲透，進(jìn)而獲取系統(tǒng)控制權(quán)；最后，攻擊者控制現(xiàn)場(chǎng)的網(wǎng)絡(luò)設(shè)備、可編程邏輯控制器（Programmable Logic Controller， PLC）、組態(tài)軟件等，通過篡改程序、參數(shù)、設(shè)定值等，造成如停電、設(shè)備損壞、火災(zāi)之類生產(chǎn)安全事故。

2010年，攻擊者通過社會(huì)工程學(xué)方式，用匿名U盤將震網(wǎng)病毒帶入伊朗核電站的ICS網(wǎng)絡(luò)，導(dǎo)致離心機(jī)大規(guī)模故障[6]，并在對(duì)核電站進(jìn)行攻擊的同時(shí)，開啟了黑客對(duì)ICS網(wǎng)絡(luò)的攻擊。2022年6月，伊朗三家鋼鐵廠同時(shí)被攻擊，其中最大的鋼廠現(xiàn)場(chǎng)PLC被黑客控制，黑客通過篡改控制設(shè)定值、傳感器信號(hào)等行為使連鑄回轉(zhuǎn)臺(tái)非正常旋轉(zhuǎn)、操作，導(dǎo)致漏鋼事故發(fā)生并進(jìn)一步引發(fā)了火災(zāi)[7]。上述事件的發(fā)生表明，針對(duì)流程工業(yè)網(wǎng)絡(luò)安全的研究除了需要關(guān)注網(wǎng)絡(luò)流量的異常檢測(cè)，還需要重視工藝數(shù)據(jù)的異常檢測(cè)。對(duì)于“中間人”“重放”“模糊測(cè)試”等攻擊，基于協(xié)議分析的流量檢測(cè)精度并不令人滿意，合法的控制協(xié)議中的參數(shù)可能會(huì)導(dǎo)致錯(cuò)誤的操作行為，進(jìn)而導(dǎo)致錯(cuò)誤的控制邏輯和控制結(jié)果，攻擊后果也因此產(chǎn)生。

面對(duì)層出不窮的攻擊手段，僅通過網(wǎng)絡(luò)流量數(shù)據(jù)來分析入侵行為是遠(yuǎn)遠(yuǎn)不夠的。攻擊者的目的是破壞生產(chǎn)，這必然會(huì)使得工藝數(shù)據(jù)發(fā)生異常。因此，已有學(xué)者引入機(jī)器學(xué)習(xí)和深度學(xué)習(xí)技術(shù)[8]，以數(shù)據(jù)驅(qū)動(dòng)建立基于工藝數(shù)據(jù)的入侵檢測(cè)系統(tǒng)，依據(jù)工業(yè)生產(chǎn)中ICS的高周期性行為模式，對(duì)正常行為模式進(jìn)行建模，再對(duì)工藝數(shù)據(jù)進(jìn)行分析、驗(yàn)證，找出異常行為[9?10]。張?jiān)瀑F等人對(duì)ICS系統(tǒng)進(jìn)行建模，利用非參數(shù)CUSUM算法檢測(cè)預(yù)測(cè)的輸出和傳感器測(cè)量的差值，進(jìn)而找出異常點(diǎn)[11]。但該算法需要檢測(cè)序列均值，不適合對(duì)長(zhǎng)時(shí)序數(shù)據(jù)進(jìn)行檢測(cè)，故不適用于真實(shí)工業(yè)。敖建松等人利用模糊C均值（Fuzzy C Means， FCM）算法對(duì)正常狀態(tài)空間進(jìn)行建模，度量出實(shí)時(shí)狀態(tài)偏離正常狀態(tài)的程度；通過ARIMA預(yù)測(cè)后續(xù)的工藝數(shù)據(jù)，建立滑動(dòng)窗口實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)和預(yù)測(cè)數(shù)據(jù)的融合，呈現(xiàn)出實(shí)時(shí)的安全狀況[12]。但ARIMA預(yù)測(cè)算法的精度仍有待提高，且沒有定位出攻擊點(diǎn)。O. A.Alimi等人提出使用多層感知器（Multilayer Perceptron， MLP）來檢測(cè)入侵，使用支持向量機(jī)（Support Vector Machine， SVM）來對(duì)數(shù)據(jù)進(jìn)行特征提?。辉賹?duì)數(shù)據(jù)進(jìn)行歸一化處理，輸入到具有三個(gè)隱藏層的MLP神經(jīng)網(wǎng)絡(luò)中進(jìn)行訓(xùn)練，預(yù)測(cè)出工藝數(shù)據(jù)，與實(shí)際數(shù)據(jù)進(jìn)行對(duì)比以檢測(cè)異常點(diǎn)[13]。但MLP神經(jīng)網(wǎng)絡(luò)處理長(zhǎng)序列時(shí)序數(shù)據(jù)時(shí)會(huì)消耗大量算法且浪費(fèi)時(shí)間，對(duì)于大樣本數(shù)據(jù)的檢測(cè)精度不高。J. Goh等人提出使用長(zhǎng)短期記憶（Long Short Term Memory， LSTM）神經(jīng)網(wǎng)絡(luò)來檢測(cè)入侵行為，將數(shù)據(jù)進(jìn)行預(yù)處理，再輸入到LSTM神經(jīng)網(wǎng)絡(luò)中進(jìn)行訓(xùn)練，預(yù)測(cè)出每個(gè)傳感器的數(shù)據(jù)；最后利用CUSUM計(jì)算出每個(gè)預(yù)測(cè)數(shù)據(jù)的偏差，找出異常點(diǎn)[14]。然而文中并沒提及模型精度，而且部分入侵行為并未檢測(cè)出，雖然找到了發(fā)生異常的傳感器，但沒有進(jìn)行攻擊定位并找到入侵點(diǎn)。

本文提出一種SSA?LSTM模型，貢獻(xiàn)在于：使用麻雀優(yōu)化算法優(yōu)化長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)超參數(shù)，解決LSTM神經(jīng)網(wǎng)絡(luò)模型處理大樣本量數(shù)據(jù)時(shí)預(yù)測(cè)精度低的問題。此外，利用Petri網(wǎng)理論構(gòu)建了工藝過程之間的耦合模型，實(shí)現(xiàn)了對(duì)攻擊發(fā)生點(diǎn)的準(zhǔn)確定位，不僅提升了LSTM神經(jīng)網(wǎng)絡(luò)在大樣本數(shù)據(jù)中的預(yù)測(cè)性能，還為工業(yè)網(wǎng)絡(luò)安全研究提供了一種可行的攻擊定位手段。

1" 麻雀優(yōu)化算法

麻雀優(yōu)化算法（Sparrow Search Algorithm， SSA）受自然界中麻雀捕食和應(yīng)對(duì)危險(xiǎn)的反捕食行為所啟發(fā)[15]。麻雀群體通常由三種角色組成：發(fā)現(xiàn)者、追隨者和警戒者。發(fā)現(xiàn)者負(fù)責(zé)尋找食物，為整個(gè)麻雀群體提供食物的位置信息；追隨者則依賴發(fā)現(xiàn)者提供的食物位置信息來獲取食物，并持續(xù)監(jiān)視發(fā)現(xiàn)者以爭(zhēng)奪食物；在麻雀尋食過程中，一旦警戒者察覺到危險(xiǎn)，便會(huì)向麻雀群體發(fā)出警報(bào)，觸發(fā)群體立即采取避險(xiǎn)措施[16]。

1.1" 發(fā)現(xiàn)者的位置更新公式

[Xt+1id=Xtid?exp-iαT，" " "R2lt;STXtid+Γ?L，" " " " " " "R2≥ST] （1）

式中：[Xtid]表示種群第[t]代中第[i]只麻雀在第[d]維的位置；[T]為最大迭代次數(shù)；[α]為（0，1]之間的隨機(jī)數(shù)；[Γ]為服從標(biāo)準(zhǔn)正態(tài)分布的隨機(jī)數(shù)；[L]表示大小為[1×d]維、元素均為1的矩陣；[R2∈0，1]和[ST∈0.5，1]分別表示預(yù)警值和安全值。當(dāng)[R2≥ST]時(shí)，表明警戒者已發(fā)現(xiàn)危險(xiǎn)，此時(shí)種群迅速做出反應(yīng)，飛向安全區(qū)域；而當(dāng)[R2lt;ST]時(shí)，表明當(dāng)前環(huán)境不存在危險(xiǎn)，發(fā)現(xiàn)者可以進(jìn)行大范圍的搜索操作，增加發(fā)現(xiàn)更多食物的概率。

1.2" 追隨者位置更新公式

[Xt+1id=Γ?expXtwd-Xtdi2，" " " " " " " "igt;n2Xt+1pd+Xtid-Xt+1pdA+?L，" "otherwise] （2）

式中：[Xtwd]表示第[t]次迭代時(shí)麻雀在第[d]維的最劣位置；[Xt+1pd]表示第[t+1]次迭代時(shí)麻雀的最優(yōu)位置；[A]表示各元素為1或-1的[1×d]維矩陣，且[A+=ATAAT-1]。當(dāng)[igt;n2]時(shí)，表明該追隨者處于饑餓狀態(tài)，將采取飛往其他位置尋找食物的策略；反之，若追隨者認(rèn)為自身位于當(dāng)前最佳位置附近，將在最佳位置周邊隨機(jī)尋找食物。

1.3" 警戒者的位置更新公式

[Xt+1id=Xtbd+βXtid-Xtbd，" " " " " " " fi≠fgXtid+KXtid-Xtwdfi-fw+δ，" " " " fi=fg] （3）

式中：[Xtbd]是當(dāng)前的全局最優(yōu)位置；[β]表示步長(zhǎng)控制參數(shù)；[δ]是方差為1的正態(tài)分布的隨機(jī)數(shù)；[K]是[-1～1]之間的一個(gè)隨機(jī)數(shù)，代表麻雀移動(dòng)方向，同時(shí)也是步長(zhǎng)控制參數(shù)；[fi]表示第[i]只麻雀的適應(yīng)度值；[fg]和[fw]分別是當(dāng)前麻雀種群的最優(yōu)和最差適應(yīng)度值。當(dāng)[fi≠fg]說明麻雀正處于種群邊緣，應(yīng)當(dāng)向種群中心移動(dòng)；當(dāng)[fi=fg]說明位于最優(yōu)位置的麻雀察覺到危險(xiǎn)，它會(huì)采取行動(dòng)，遷移到更加安全的位置。這個(gè)行為是為了確保麻雀的安全并避免潛在的威脅。

2nbsp; LSTM模型

循環(huán)神經(jīng)網(wǎng)絡(luò)（Recurrent Neural Network， RNN）由多個(gè)鏈?zhǔn)竭B接的循環(huán)單元構(gòu)成。圖1所示為RNN循環(huán)神經(jīng)網(wǎng)絡(luò)中的重復(fù)單元結(jié)構(gòu)圖，圖2所示為RNN循環(huán)神經(jīng)網(wǎng)絡(luò)基本結(jié)構(gòu)。其中，[xt]表示第[t]時(shí)刻的輸入；[st]表示第[t]時(shí)刻的記憶，為模型隱藏層的狀態(tài)；[ot]表示第[t]時(shí)刻的輸出。

[st]計(jì)算公式為：

[st=fUxt+Wst-1] （4）

[ot]計(jì)算公式為：

[ot=gVst] （5）

式中：[U]表示輸入層到隱藏層的權(quán)重矩陣；[W]表示隱藏層上一次的值作為這一次輸入的權(quán)重矩陣；[V]表示隱藏層到輸出層的權(quán)重矩陣。相比一般的神經(jīng)網(wǎng)絡(luò)來說，RNN能夠處理序列變化的數(shù)據(jù)。但是人們?cè)陂L(zhǎng)期的實(shí)踐中發(fā)現(xiàn)，傳統(tǒng)的RNN難以實(shí)現(xiàn)信息的長(zhǎng)期保存，而且存在梯度消失和梯度爆炸的問題[17]。

長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)是遞歸神經(jīng)網(wǎng)絡(luò)（RNN）的一種改進(jìn)版本，其核心特點(diǎn)在于：將RNN中單一的雙曲正切激活層的重復(fù)單元替換為包含4個(gè)交互性層的重復(fù)單元。這一改進(jìn)旨在克服傳統(tǒng)RNN在處理長(zhǎng)序列數(shù)據(jù)時(shí)所遇到的梯度消失和梯度爆炸問題。LSTM通過引入“門”機(jī)制來有效保護(hù)和控制細(xì)胞狀態(tài)，從而實(shí)現(xiàn)信息的長(zhǎng)期記憶。每個(gè)LSTM單元內(nèi)部都包含三種關(guān)鍵門控制器：輸入門（input gate）、輸出門（output gate）以及遺忘門（forget gate），這些門控制器的作用是管理隱藏層之間的信息接收和傳遞過程[18]。圖3為L(zhǎng)STM神經(jīng)網(wǎng)絡(luò)重復(fù)單元結(jié)構(gòu)圖，圖4為L(zhǎng)STM神經(jīng)網(wǎng)絡(luò)的基本結(jié)構(gòu)。

[xt]作為L(zhǎng)STM網(wǎng)絡(luò)的輸入，輸入到遺忘門中計(jì)算輸入信息的保留比重。利用Sigmoid激活函數(shù)得到遺忘門的輸出[ft]，公式如下：

[ft=σWf?ht-1，xt+bf] （6）

式中：[Wf]和[bf]分別為遺忘門的權(quán)重系數(shù)矩陣和偏置項(xiàng)；[σ]表示Sigmoid激活函數(shù)。

遺忘后的新信息輸入到輸入門進(jìn)行更新，更新程度由Sigmoid激活函數(shù)和[tanh]激活函數(shù)共同決定，其中Sigmoid層計(jì)算的新信息為[it]，[tanh]層計(jì)算的新信息為[ct]。[it]、[ct]公式為：

[it=σWi?ht-1，xt+bi] （7）

[ct=tanhWc?ht-1，xt+bc] （8）

式中：[Wi]和[bi]分別為Sigmoid層的權(quán)重系數(shù)矩陣和偏置項(xiàng)；[Wc]和[bc]分別為[tanh]層的權(quán)重系數(shù)矩陣和偏置項(xiàng)；[tanh]表示雙曲正切函數(shù)。

將遺忘門和輸入門的值進(jìn)行合并，更新細(xì)胞狀態(tài)[Ct]，公式為：

[Ct=ft?Ct-1+it?ct] （9）

信息傳向輸出門，經(jīng)過Sigmoid函數(shù)和[tanh]函數(shù)共同計(jì)算生成[ht]，即為網(wǎng)絡(luò)預(yù)測(cè)的輸出，具體公式如下：

[ot=σWo?ht-1，xt+bo] （10）

[ht=ot?tanhCt] （11）

式中：[ot]為輸出門的輸出；[Wo]和[bo]分別為輸出門的權(quán)重系數(shù)矩陣和偏置項(xiàng)。

3" SWAT數(shù)據(jù)集

SWAT是由新加坡科技設(shè)計(jì)大學(xué)建立的一個(gè)根據(jù)真實(shí)工業(yè)水處理廠縮小的六階段水處理系統(tǒng)[19]，其通過加入化學(xué)試劑、超濾和反滲透等處理實(shí)現(xiàn)水的凈化。整個(gè)水處理系統(tǒng)通過PLC監(jiān)控傳感器信息，PLC上層為HMI和SCADA等，使用歷史站記錄數(shù)據(jù)信息。SWAT的不同生產(chǎn)過程由不同的PLC控制，傳感器、制動(dòng)器和PLC之間通過有線以太網(wǎng)通信，通信協(xié)議為ModBus/TCP、CIP。SWAT水處理平臺(tái)是多階段、多點(diǎn)位的實(shí)驗(yàn)平臺(tái)，其工作流程如圖5所示，由多個(gè)PLC協(xié)同工作。SWAT的處理過程為：吸入原水（P1）；加入化學(xué)物質(zhì)進(jìn)行預(yù)處理（P2）；對(duì)預(yù)處理的水進(jìn)行超濾處理（P3）；進(jìn)行紫外線除氯（P4）；對(duì)水進(jìn)行反滲透（P5）；合格的水進(jìn)行儲(chǔ)存，不合格的水泵入到反洗裝置中（P6）。SWAT數(shù)據(jù)集包括7天正常運(yùn)行的數(shù)據(jù)和4天攻擊36次的數(shù)據(jù)，攻擊分為單階段單點(diǎn)攻擊、單階段多點(diǎn)攻擊、多階段單點(diǎn)攻擊和多階段多點(diǎn)攻擊[20]。

4" SSA?LSTM模型

SSA?LSTM的算法流程如圖6所示。本文所用的LSTM網(wǎng)絡(luò)含有兩個(gè)隱藏層，LSTM網(wǎng)絡(luò)的學(xué)習(xí)率、迭代次數(shù)、隱藏層的節(jié)點(diǎn)個(gè)數(shù)由SSA麻雀優(yōu)化算法對(duì)數(shù)據(jù)集搜索而來。首先使用SSA對(duì)數(shù)據(jù)集進(jìn)行搜索，使用均方誤差（MSE）作為適應(yīng)度函數(shù)，通過多次實(shí)驗(yàn)確定神經(jīng)網(wǎng)絡(luò)初始權(quán)重的搜索空間；再進(jìn)行迭代搜索，找到LSTM網(wǎng)絡(luò)的3個(gè)超參數(shù)的最優(yōu)組合；最后將4個(gè)超參數(shù)輸入到LSTM網(wǎng)絡(luò)中進(jìn)行訓(xùn)練，使用平均絕對(duì)百分比誤差（MAPE）、均方根誤差（RMSE）、平均絕對(duì)誤差（MAE）、決定性系數(shù)（R2）作為判斷模型精度的指標(biāo)。由圖7和圖8所示的適應(yīng)度、損失函數(shù)曲線可知，本文提出的SSA?LSTM模型具有收斂快的特點(diǎn)。使用正常數(shù)據(jù)進(jìn)行預(yù)測(cè)，并將SSA?LSTM模型與LSTM神經(jīng)網(wǎng)絡(luò)和MLP多層感知器的模型精度進(jìn)行對(duì)比，結(jié)果如圖9、表1所示。

由圖9和表1可知，SSA?LATM模型精度高于另外兩個(gè)對(duì)比模型，說明本文模型具有良好的預(yù)測(cè)準(zhǔn)確性。再將異常數(shù)據(jù)輸入到SSA?LSTM模型中，獲得預(yù)測(cè)數(shù)據(jù)和真實(shí)數(shù)據(jù)，通過多次實(shí)驗(yàn)確定每個(gè)特征的3倍均方差為閾值，將預(yù)測(cè)數(shù)據(jù)與真實(shí)數(shù)據(jù)作差，超出閾值的點(diǎn)即為異常點(diǎn)，圖9中各個(gè)峰值位置即攻擊發(fā)生的時(shí)間點(diǎn)。

5" 實(shí)驗(yàn)及結(jié)果分析

5.1" 實(shí)驗(yàn)結(jié)果

本文將整個(gè)正常數(shù)據(jù)集的51維數(shù)據(jù)作為網(wǎng)絡(luò)的輸入，將其中某一維數(shù)據(jù)作為網(wǎng)絡(luò)的輸出，構(gòu)成多輸入單輸出的網(wǎng)絡(luò)結(jié)構(gòu)。由于整體水處理平臺(tái)需要一個(gè)啟動(dòng)時(shí)間進(jìn)入正常的生產(chǎn)過程，所以取T1水箱第一次達(dá)到峰值以后的數(shù)據(jù)作為實(shí)驗(yàn)數(shù)據(jù)。

在實(shí)驗(yàn)中，每個(gè)傳感器和制動(dòng)器的數(shù)字量都作為訓(xùn)練模型的特征，將所有特征歸一化后輸入到模型中，避免了不同取值范圍的特征互相影響。將正常數(shù)據(jù)集的80%用于訓(xùn)練，20%用于驗(yàn)證。本文實(shí)驗(yàn)共檢測(cè)出270次攻擊，且能夠?qū)?3次有實(shí)際影響的攻擊全部檢測(cè)出，整體誤報(bào)率僅為0.02%。圖10是部分實(shí)驗(yàn)結(jié)果。

5.2" 攻擊定位

以圖11中LIT101的實(shí)驗(yàn)結(jié)果為例。

攻擊事件A：從2015?12?28T14：18：42—14：28：02，將FIT401的值設(shè)置為0，導(dǎo)致沒有水流向UV401，進(jìn)而導(dǎo)致UV401關(guān)閉，整個(gè)紫外線除氯裝置停止工作。整體水處理進(jìn)度變慢甚至停止，導(dǎo)致T1水箱的水消耗速率變慢，所以LIT101顯示數(shù)據(jù)異常。

攻擊事件B：從2015?12?29T18：15：23—18：21：54，將AIT504設(shè)置為255 μS/cm，導(dǎo)致水處理速率變慢，所以LIT101顯示數(shù)據(jù)異常。

攻擊事件C：從2015?12?29T10：54：54—23：02：41，關(guān)閉UV401。關(guān)閉了P501導(dǎo)致沒有水泵入RO反滲透裝置，此攻擊影響了除氯階段和反滲透階段，大大降低了水處理速率，因此T1水箱的水消耗變慢，LIT101顯示數(shù)據(jù)異常。

攻擊事件D：從2015?12?31T01：48：34—11：15：27，關(guān)閉了P302導(dǎo)致經(jīng)過UF超濾的水無法進(jìn)入到T4水箱，因此整個(gè)后續(xù)的水處理階段無法進(jìn)行，導(dǎo)致T1水箱的消耗速率變慢，LIT101顯示異常。

攻擊事件E：從2015?12?31T15：47：03—16：06：24，將LIT101的值設(shè)置為700 mm。令P101保持開啟狀態(tài)，MV201保持開啟狀態(tài)，即向T3水箱供水。然后MV101認(rèn)為L(zhǎng)IT101仍為700 mm，不開啟供水開關(guān)，導(dǎo)致T1水箱觸底。

攻擊事件F：從2016?01?01T14：22：04—14：29：14，把LIT101的值設(shè)置為801 mm，即處于即將溢出狀態(tài)，所以LIT101顯示數(shù)據(jù)異常。

攻擊事件G：從2016?01?01T22：17：06—22：25：42，將LIT101的值設(shè)置為244 mm，小于最低液位，所以LIT101顯示數(shù)據(jù)異常。

攻擊事件H：從2016?01?12T11：17：47—11：25：26，攻擊了P501這個(gè)向RO反滲透裝置供水的泵，但是并沒能完全關(guān)閉P501，使得P501的轉(zhuǎn)速?gòu)?0 Hz增加到了28.50 Hz，此時(shí)AIT502的值降到了0.8，說明確實(shí)降低了水處理的產(chǎn)量，整體水處理速率變慢，導(dǎo)致TI水箱的水消耗率變低，LIT101顯示數(shù)據(jù)異常。

攻擊事件I：從2016?01?02T11：52：20—11：57：15，將FIT401設(shè)置為0，導(dǎo)致UV401關(guān)閉，待處理水直接流向RO反滲透裝置，加快了水的消耗速率，導(dǎo)致LIT101顯示數(shù)據(jù)異常。

5.3" 耦合關(guān)系建模

Petri網(wǎng)是用令牌流動(dòng)的方式描述異步、并發(fā)的計(jì)算機(jī)系統(tǒng)模型。Petri網(wǎng)是一種圖論模型，適合對(duì)離散事件進(jìn)行動(dòng)態(tài)系統(tǒng)建模。Petri網(wǎng)由庫(kù)所（place）、變遷（transition）、有向弧（connection）和托肯（token）四個(gè)元素構(gòu)成，圖12為水處理系統(tǒng)的Petri網(wǎng)建模圖。表2為Petri網(wǎng)中的元素含義。[pi，j=1]即為[pi]與[pj]之間有耦合性。[p1]、[p3]、[p5]為T101、T301、T401水箱。水箱液位的高低給系統(tǒng)帶來的影響是不同的，[pi，j=-1]即為水箱液位過低會(huì)對(duì)相應(yīng)的[pj]造成影響；[pi，j=1]則為液位過高會(huì)對(duì)相應(yīng)的[pj]造成影響，可建立如表3所示的因果矩陣。

根據(jù)表3中的因果矩陣，可以找出任意兩個(gè)狀態(tài)的耦合關(guān)系。

圖13表示攻擊事件A的因果關(guān)系，根據(jù)因果矩陣可知[p6]和[p1]之間存在耦合關(guān)系，即攻擊[p6]會(huì)給[p1]帶來影響。

圖14表示攻擊事件H的因果關(guān)系，根據(jù)因果矩陣可知[p8]和[p1]之間存在耦合關(guān)系，即攻擊[p8]會(huì)給[p1]帶來影響。

6" 結(jié)" 論

本文針對(duì)流程工業(yè)生產(chǎn)中入侵檢測(cè)問題，提出了一種基于麻雀優(yōu)化算法的長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)模型，實(shí)現(xiàn)了對(duì)工藝數(shù)據(jù)的異常檢測(cè)；并利用Petri網(wǎng)理論建立了一種因果關(guān)系模型來實(shí)現(xiàn)攻擊定位。為了驗(yàn)證該方法的有效性，以SWAT水處理平臺(tái)為例對(duì)模型進(jìn)行仿真。仿真結(jié)果證明，SSA?LSTM有極強(qiáng)的入侵檢測(cè)能力，能夠?qū)?3次造成實(shí)際影響的入侵全部檢測(cè)出來。模型精度對(duì)比結(jié)果表明，SSA?LSTM模型精度優(yōu)于簡(jiǎn)單LSTM神經(jīng)網(wǎng)絡(luò)和MLP神經(jīng)網(wǎng)絡(luò)。所建立的因果關(guān)系矩陣也證明了各個(gè)處理過程的耦合關(guān)系。本文方法可迅速定位攻擊點(diǎn)，為工業(yè)入侵檢測(cè)提供了新的檢測(cè)方案。

參考文獻(xiàn)

[1] 李欣格，胡曉婭，周純杰，等.面向工業(yè)控制系統(tǒng)全生命周期的脆弱性多維協(xié)同分析[J].控制與決策，2022，37（11）：2827?2838.

[2] 劉歡，肖蔚，趙長(zhǎng)明.基于融合機(jī)器學(xué)習(xí)算法的網(wǎng)絡(luò)入侵檢測(cè)與定位技術(shù)[J].現(xiàn)代電子技術(shù)，2023，46（12）：182?186.

[3] FENG C， LI T， CHANA D. Multi?level anomaly detection in industrial control systems via package signatures and LSTM networks [C]// 2017 47th Annual IEEE/IFIP International Conference on Dependable Systems and Networks （DSN）. Denver， CO， USA： IEEE， 2017： 261?272.

[4] 張戰(zhàn)勝，馬亮.基于彈性搜索的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)防御控制系統(tǒng)[J].現(xiàn)代電子技術(shù)，2021，44（23）：57?61.

[5] 高冰，顧兆軍，周景賢，等.面向ICS不平衡數(shù)據(jù)的重疊區(qū)混合采樣方法[J].計(jì)算機(jī)工程與應(yīng)用，2023，59（19）：305?315.

[6] 呂雪峰，謝耀濱.一種基于狀態(tài)遷移圖的工業(yè)控制系統(tǒng)異常檢測(cè)方法[J].自動(dòng)化學(xué)報(bào)，2018，44（9）：1662?1671.

[7] 安全內(nèi)參.網(wǎng)絡(luò)攻擊迫使伊朗重要鋼鐵公司停產(chǎn)[EB/OL].[2022?06?28].https：//www.secrss.com/articles/44055.

[8] 商富博，韓忠華，林碩，等.基于DSCNN?BiLSTM的入侵檢測(cè)方法[J].科學(xué)技術(shù)與工程，2021，21（8）：3214?3222.

[9] 林碩，商富博，高治軍，等.基于深度學(xué)習(xí)的入侵檢測(cè)模型[J].控制工程，2021，28（9）：1873?1878.

[10] 趙寧.基于神經(jīng)網(wǎng)絡(luò)的三相整流電路故障診斷策略研究[J].國(guó)外電子測(cè)量技術(shù)，2021，40（3）：88?93.

[11] 張?jiān)瀑F，趙華，王麗娜.基于工業(yè)控制模型的非參數(shù)CUSUM入侵檢測(cè)方法[J].東南大學(xué)學(xué)報(bào)（自然科學(xué)版），2012，42（z1）：55?59.

[12] 敖建松，尚文利，趙劍明，等.基于ARIMA預(yù)測(cè)修正的工控系統(tǒng)態(tài)勢(shì)理解算法[J].計(jì)算機(jī)應(yīng)用研究，2020，37（9）：2772?2775.

[13] ALIMI O A， OUAHADA K， ABU?MAHFOUZ A M. Real time security assessment of the power system using a hybrid support vector machine and multilayer perceptron neural network algorithms [J]. Sustainability， 2019， 11（13）： 3586.

[14] GOH J， ADEPU S， TAN M， et al. Anomaly detection in cyber physical systems using recurrent neural networks [C]// 2017 IEEE 18th International Symposium on High Assurance Systems Engineering （HASE）. [S.l.]： IEEE， 2017： 140?145.

[15] 唐宇，代琪，楊夢(mèng)園，等.改進(jìn)麻雀搜索算法優(yōu)化SVM的異常點(diǎn)檢測(cè)[J].計(jì)算機(jī)工程與科學(xué)，2023，45（2）：346?354.

[16] 于軍琪，薛志璐，趙安軍，等.基于多策略改進(jìn)麻雀搜索算法的并聯(lián)冷機(jī)系統(tǒng)節(jié)能優(yōu)化[J].控制與決策，2024，39（6）：1810?1818.

[17] 張瑞成，劉力菲，梁衛(wèi)征.基于SSAE?LSTM模型的冷連軋機(jī)扭振預(yù)測(cè)[J].鍛壓技術(shù)，2023，48（4）：193?198.

[18] 鄭宏，劉立群.基于LSTM與XGBoost組合模型電價(jià)預(yù)測(cè)[J].太原科技大學(xué)學(xué)報(bào)，2023，44（2）：131?136.

[19] MATHUR A P， TIPPENHAUER N O. SWaT： a water treatment testbed for research and training on ICS security [C]// 2016 International Workshop on Cyber?Physical Systems for Smart Water Networks. Vienna， Austria： IEEE， 2016： 31?36.

[20] ADEPU S， MATHUR A. An investigation into the response of a water treatment system to cyber attacks [C]// 2016 IEEE 17th International Symposium on High Assurance Systems Engineering （HASE）. Orlando， FL， USA： IEEE， 2016： 141?148.

[21] 唐鵬，彭開香，董潔.一種新穎的深度因果圖建模及其故障診斷方法[J].自動(dòng)化學(xué)報(bào)，2022，48（6）：1616?1624.