摘 要：針對(duì)不同異常檢測(cè)方法的差異及應(yīng)用于工業(yè)物聯(lián)網(wǎng)(IIOT)安全防護(hù)的適用性問題，從技術(shù)原理出發(fā)，調(diào)研分析 2000—2021 年發(fā)表的關(guān)于網(wǎng)絡(luò)異常檢測(cè)的論文，總結(jié)了工業(yè)物聯(lián)網(wǎng)面臨的安全威脅，歸納了 9 種網(wǎng)絡(luò)異常檢測(cè)方法及其特點(diǎn)，通過縱向?qū)Ρ仁崂砹瞬煌�方法的�?yōu)缺點(diǎn)和適用工業(yè)物聯(lián)網(wǎng)場(chǎng)景。另外，對(duì)常用數(shù)據(jù)集做了統(tǒng)計(jì)分析和對(duì)比，并從 4 個(gè)方向?qū)ξ磥戆l(fā)展趨勢(shì)做展望。分析結(jié)果可以指導(dǎo)按應(yīng)用場(chǎng)景選擇適配方法，發(fā)現(xiàn)待解決關(guān)鍵問題并為后續(xù)研究指明方向。

　　關(guān)鍵詞：工業(yè)物聯(lián)網(wǎng);異常檢測(cè);網(wǎng)絡(luò)入侵;網(wǎng)絡(luò)攻擊

　　引言

　　隨著 5G 通信技術(shù)的快速發(fā)展，以及傳感器和處理器等嵌入式設(shè)備的計(jì)算和存儲(chǔ)能力不斷增加，這些網(wǎng)絡(luò)通信和嵌入式設(shè)備在工業(yè)系統(tǒng)中的應(yīng)用越來越普遍。工業(yè)物聯(lián)網(wǎng)(IIoT, industrialInternet of things)是由應(yīng)用程序、軟件系統(tǒng)和物理設(shè)備三者組成的大型網(wǎng)絡(luò)，這三者與外部環(huán)境以及人類之間進(jìn)行通信和共享智能[1]。據(jù)埃森哲預(yù)測(cè)，到 2030 年，美國(guó)的工業(yè)物聯(lián)網(wǎng)價(jià)值將出到7.1 萬億美元，對(duì)歐洲而言價(jià)值將超過 1.2 萬億美元[2]。在這波工業(yè)發(fā)展浪潮中，物聯(lián)網(wǎng)安全是影響工業(yè)物聯(lián)網(wǎng)廣泛使用的最大因素之一。

　　物聯(lián)網(wǎng)論文范例：物聯(lián)網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)安全與遠(yuǎn)程控制技術(shù)分析

　　事實(shí)上，物聯(lián)網(wǎng)設(shè)備的安全性通常很差，因此很容易成為攻擊者的目標(biāo)。攻擊者利用這些設(shè)備可以進(jìn)行毀滅性的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)(DDoS, distributeddenial of service)[3 4]。傳統(tǒng)的工業(yè)環(huán)境在過去一直遭受攻擊，有的還造成了災(zāi)難性的后果(例如，震網(wǎng)病毒[5]或故障超馳/工業(yè)破壞者[6])。因此，如果沒有安全性，工業(yè)物聯(lián)網(wǎng)將永遠(yuǎn)無法發(fā)揮其全部潛力。另外，工業(yè)系統(tǒng)對(duì)性能和可用性有嚴(yán)格的要求，即使系統(tǒng)受到網(wǎng)絡(luò)攻擊，維護(hù)系統(tǒng)不間斷和安全地運(yùn)行也常常是最優(yōu)先考慮的。異常檢測(cè)在防御系統(tǒng)和網(wǎng)絡(luò)的惡意活動(dòng)中是至關(guān)重要的。近年來，為了緩解網(wǎng)絡(luò)攻擊，工業(yè)物聯(lián)網(wǎng)異常檢測(cè)方面的研究迅速增多，許多檢測(cè)機(jī)制被提出。

　　另一方面，在異常檢測(cè)方面研究者已經(jīng)從技術(shù)手段、應(yīng)用場(chǎng)景等方面做了一些調(diào)研工作，如文獻(xiàn)[7 10]，但這些工作很少專門針對(duì)工業(yè)物聯(lián)網(wǎng)的特性和適用性進(jìn)行深入剖析。近兩年，雖然出現(xiàn)了針對(duì)工業(yè)物聯(lián)網(wǎng)異常檢測(cè)的綜述性文章，但介紹的都不夠全面。例如，文獻(xiàn)[2]只介紹了基于系統(tǒng)規(guī)則、建模系統(tǒng)物理狀態(tài)的檢測(cè)方法，文獻(xiàn)[4]則只介紹了基于統(tǒng)計(jì)和機(jī)器學(xué)習(xí)的檢測(cè)方法。除了文獻(xiàn)[2,4]提到的檢測(cè)方法之外，還存在許多新穎的檢測(cè)技術(shù)。

　　因此，本文從技術(shù)原理的角度，梳理了基于系統(tǒng)不變性和物理狀態(tài)的建模、基于統(tǒng)計(jì)學(xué)習(xí)、特征選擇、機(jī)器學(xué)習(xí)、圖、邊緣/霧計(jì)算、指紋、生物免疫等算法的異常檢測(cè)技術(shù)，并詳細(xì)分析了各類技術(shù)的優(yōu)缺點(diǎn)。由于用于工業(yè)異常檢測(cè)研究的數(shù)據(jù)集繁雜且多樣，本文詳細(xì)歸納了常用數(shù)據(jù)集的特點(diǎn)及其使用頻率，方便讀者對(duì)比和選擇。除此之外，本文針對(duì)工業(yè)物聯(lián)網(wǎng)典型場(chǎng)景的網(wǎng)絡(luò)威脅和異常檢測(cè)方法進(jìn)行調(diào)研和綜述，介紹了邊緣/霧計(jì)算方法在異常檢測(cè)方面的應(yīng)用，增加了對(duì) 2021 年最新論文的調(diào)研，對(duì)不同檢測(cè)方法的特點(diǎn)和適用場(chǎng)景進(jìn)行了深入分析。

　　1 工業(yè)物聯(lián)網(wǎng)面臨的安全威脅工業(yè)

　　4.0 將信息通信技術(shù)應(yīng)用于工業(yè)制造和自動(dòng)化領(lǐng)域，極大地提高了生產(chǎn)力和效率。然而，這一進(jìn)步的代價(jià)是擴(kuò)大了工業(yè)系統(tǒng)的受攻擊面。針對(duì)工業(yè)物聯(lián)網(wǎng)的攻擊，可以分為被動(dòng)攻擊和主動(dòng)攻擊。被動(dòng)攻擊是隱蔽的，通常無法檢測(cè)到，如竊聽和流量分析。

　　主動(dòng)攻擊包括丟包、回注、干擾網(wǎng)絡(luò)的正常運(yùn)行等。惡意軟件感染、拒絕服務(wù)(DoS, denial ofservice)、未授權(quán)訪問和虛假數(shù)據(jù)包注入等主動(dòng)攻擊通常是可以檢測(cè)到的[9]。下面簡(jiǎn)要總結(jié)幾種主動(dòng)攻擊的特點(diǎn)和目標(biāo)。惡意包注入攻擊。重放抓包，發(fā)送偽造或篡改的報(bào)文，以達(dá)到干擾或破壞系統(tǒng)操作的目的。DoS 攻擊。消耗系統(tǒng)或網(wǎng)絡(luò)資源，導(dǎo)致資源不可用。未授權(quán)訪問攻擊。探測(cè)計(jì)算機(jī)或網(wǎng)絡(luò)以發(fā)現(xiàn)漏洞;對(duì)報(bào)文進(jìn)行嗅探或攔截，用于收集信息。除此之外，還涌現(xiàn)出了一些針對(duì)工業(yè)物聯(lián)網(wǎng)典型場(chǎng)景的威脅。物理攻擊。例如針對(duì)交通運(yùn)輸物聯(lián)網(wǎng)的物理攻擊，對(duì)交通設(shè)備節(jié)點(diǎn)本身進(jìn)行物理上的破壞，如斷電、移動(dòng)節(jié)點(diǎn)位置等，造成信息缺失、信息泄露等。

　　感知數(shù)據(jù)破壞。非授權(quán)地增刪、修改或破壞感知數(shù)據(jù)，例如針對(duì)新能源發(fā)電廠的電力物聯(lián)網(wǎng)生產(chǎn)數(shù)據(jù)篡改。控制命令偽造攻擊。發(fā)送偽造的控制命令，從而達(dá)到破壞系統(tǒng)或惡意利用系統(tǒng)的目的，例如針對(duì)數(shù)控機(jī)床設(shè)備物聯(lián)網(wǎng)的控制命令偽造。為了保護(hù)工業(yè)系統(tǒng)免受網(wǎng)絡(luò)攻擊，涌現(xiàn)出了各種安全措施，如加密通信數(shù)據(jù)、數(shù)據(jù)完整性校驗(yàn)和訪問控制等方法，可以保護(hù)系統(tǒng)免受多種類型的攻擊。然而，即使這些安全措施已經(jīng)到位，攻擊者仍然可以成功地對(duì)系統(tǒng)發(fā)起攻擊，如惡意包注入和DDoS 攻擊等。因此，有必要對(duì)網(wǎng)絡(luò)進(jìn)行異常檢測(cè)，以此來進(jìn)一步保障工業(yè)系統(tǒng)的安全。

　　2 工業(yè)物聯(lián)網(wǎng)異常檢測(cè)

　　本節(jié)首先介紹了工業(yè)物聯(lián)網(wǎng)中存在的異常種類，進(jìn)而詳細(xì)分析和梳理了現(xiàn)有的針對(duì)不同異常類別和不同應(yīng)用場(chǎng)景的異常檢測(cè)方法。

　　2.1 異常種類

　　網(wǎng)絡(luò)攻擊以損害系統(tǒng)信息的機(jī)密性、完整性和資源的可用性為目標(biāo)，通常以某種方式造成網(wǎng)絡(luò)運(yùn)行偏離正常，表現(xiàn)出異常行為。因此，可以通過發(fā)現(xiàn)數(shù)據(jù)中不符合預(yù)期行為的模式來識(shí)別異常。現(xiàn)階段 IIoT 中主要存在 3 種異常[8]。點(diǎn)異常。即個(gè)別數(shù)據(jù)實(shí)例相對(duì)于其余數(shù)據(jù)是異常的。例如，假設(shè)水溫傳感器值的預(yù)定義范圍是 30～40℃，那么超出這個(gè)范圍的值將是一個(gè)異常點(diǎn)。上下文異常。僅在特定上下文中表現(xiàn)異常的數(shù)據(jù)實(shí)例稱為上下文異常。這類異常多為空間數(shù)據(jù)或時(shí)序數(shù)據(jù)中的異常。集合異常。

　　如果相關(guān)數(shù)據(jù)實(shí)例的集合相對(duì)于整個(gè)數(shù)據(jù)集是異常的，則稱為集合異常。集合異常中的單個(gè)數(shù)據(jù)實(shí)例本身可能不是異常，但它們一起作為一個(gè)集合出現(xiàn)就是異常。例如，單個(gè) TCP 連接請(qǐng)求是正常的，但是連續(xù)從同一個(gè)源收到多個(gè)這種請(qǐng)求就有可能是 DoS 攻擊，也就是異常。網(wǎng)絡(luò)異常檢測(cè)是指檢測(cè)網(wǎng)絡(luò)流量數(shù)據(jù)中的異常，利用設(shè)備或軟件應(yīng)用程序?qū)�網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和分析，從而檢測(cè)出惡意活動(dòng)。現(xiàn)有工業(yè)物聯(lián)網(wǎng)異常檢測(cè)方法可以分為基于系統(tǒng)不變性、物理狀態(tài)建模、統(tǒng)計(jì)學(xué)習(xí)、特征選擇、機(jī)器學(xué)習(xí)、邊緣/霧計(jì)算、圖、指紋以及生物免疫等算法的檢測(cè)方法。下面將針對(duì)每一種檢測(cè)方法的技術(shù)原理、現(xiàn)有研究成果、優(yōu)缺點(diǎn)及適用應(yīng)用場(chǎng)景做介紹梳理和深入分析。

　　2.2 基于系統(tǒng)不變性的檢測(cè)方法

　　系統(tǒng)不變性是指系統(tǒng)運(yùn)行過程的“物理”或“化學(xué)”特性中的一個(gè)條件，每當(dāng)系統(tǒng)處于給定狀態(tài)時(shí)，必須滿足該條件。通過分析物理不變性來檢測(cè)異常已經(jīng)被應(yīng)用于許多網(wǎng)絡(luò)信息物理系統(tǒng)(CPS, cyber physical system)[11 14]。文獻(xiàn)[11]將所有組件的穩(wěn)定性和正確性約束以邏輯不變性的形式表示出來，系統(tǒng)動(dòng)作只有在保證不違反這些不變性時(shí)才能執(zhí)行。

　　針對(duì) CPS 各個(gè)模塊的不變性，文獻(xiàn)[12]提出了統(tǒng)一不變性，開發(fā)了跨越系統(tǒng)各個(gè)層面的公共語義。然而，文獻(xiàn)[11 12]都是通過人工來產(chǎn)生物理不變性，開銷很大，且很容易出錯(cuò)。為了解決這個(gè)問題，文獻(xiàn)[13]提出利用關(guān)聯(lián)規(guī)則挖掘算法自動(dòng)識(shí)別系統(tǒng)不變性，該算法的優(yōu)點(diǎn)是可以發(fā)現(xiàn)隱藏在設(shè)計(jì)布局中的不變性，避免了手動(dòng)尋找的煩瑣。但是，這項(xiàng)技術(shù)僅適用于成對(duì)出現(xiàn)的傳感器和執(zhí)行器，而在真實(shí)的 CPS 中，所有傳感器和執(zhí)行器都是跨多個(gè)過程協(xié)同工作的。也有一些使用機(jī)器學(xué)習(xí)算法來挖掘 CPS 物理不變性的研究。

　　例如，Momtazpour 等[14]采用預(yù)先發(fā)現(xiàn)潛在變量的外源性輸入自動(dòng)回歸模型，以發(fā)現(xiàn)多個(gè)時(shí)間步內(nèi)無線傳感器數(shù)據(jù)之間的不變性。Chen 等[15]利用代碼變異程序生成異常數(shù)據(jù)軌跡，然后利用支持向量機(jī)(SVM, support vector machine)分類器和統(tǒng)計(jì)模型檢驗(yàn)來發(fā)現(xiàn)安全水處理實(shí)驗(yàn)臺(tái)傳感器數(shù)據(jù)之間的不變性。文獻(xiàn)[16]采用幾種機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)的組合，系統(tǒng)地從工業(yè)控制系統(tǒng)(ICS, industrialcontrol system)的操作日志以及執(zhí)行器的狀態(tài)信息生成不變性。

　　2.3 基于物理狀態(tài)建模的檢測(cè)方法

　　CPS 的底層過程一般由其工作原理控制，因此其過程狀態(tài)是可預(yù)測(cè)的。基于物理模型的異常檢測(cè)方法根據(jù)物理狀態(tài)對(duì)正常的物理操作進(jìn)行建模，從而能夠從偏離物理操作模型的異常狀態(tài)中檢測(cè)到網(wǎng)絡(luò)攻擊。文獻(xiàn)[17]提出了一個(gè) CPS 攻擊彈性框架。該框架利用已知物理領(lǐng)域的數(shù)學(xué)描述，以及預(yù)測(cè)值和歷史數(shù)據(jù)信息，驗(yàn)證預(yù)測(cè)值和測(cè)量值之間的相關(guān)性。文獻(xiàn)[18]描述了如何使用流體動(dòng)力學(xué)模型來檢測(cè)供水網(wǎng)絡(luò)的物理故障和網(wǎng)絡(luò)攻擊，并通過狀態(tài)和測(cè)量方程以及未知輸入來建模水系統(tǒng)。

　　該模型能夠反映傳感器、執(zhí)行器故障或漏水等異常事件對(duì)系統(tǒng)的影響，但僅依靠建模物理模型來檢測(cè)網(wǎng)絡(luò)攻擊是不夠的，如果傳感器的測(cè)量值被破壞，則很難檢測(cè)到攻擊。為了識(shí)別攻擊者利用系統(tǒng)漏洞，注入合法的惡意控制命令來破壞電網(wǎng)的行為，文獻(xiàn)[19]提出結(jié)合電網(wǎng)物理基礎(chǔ)設(shè)施知識(shí)和網(wǎng)絡(luò)信息來檢測(cè)攻擊。該方法基于協(xié)議規(guī)范對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)，提取其中的關(guān)鍵控制命令，并通過電力系統(tǒng)運(yùn)行方程進(jìn)行仿真運(yùn)行。通過仿真，對(duì)執(zhí)行控制命令所產(chǎn)生的系統(tǒng)狀態(tài)進(jìn)行估計(jì)，并與可信度量進(jìn)行比較，從而識(shí)別攻擊。

　　文獻(xiàn)[20]提出了一種針對(duì)電力領(lǐng)域的基于模型的異常檢測(cè)算法。該算法驗(yàn)證了接收到的測(cè)量數(shù)據(jù)與控制底層物理系統(tǒng)運(yùn)行的方程所獲得的預(yù)測(cè)數(shù)據(jù)的一致性。文獻(xiàn)[21]描述了一種基于模型的方法來保護(hù)智能電網(wǎng)。該方法基于系統(tǒng)狀態(tài)動(dòng)力學(xué)方程，評(píng)估系統(tǒng)狀態(tài)，并與采集的測(cè)量值比較，檢測(cè)出受損的測(cè)量值。文獻(xiàn)[22]在一個(gè)水基礎(chǔ)設(shè)施實(shí)驗(yàn)臺(tái)上測(cè)試了基于控制理論建模的故障檢測(cè)和基于網(wǎng)絡(luò)安全的異常檢測(cè)方法。結(jié)果表明，這 2 種方法都能有效地檢測(cè)出故障和攻擊，但存在一定的局限性。在物理故障和網(wǎng)絡(luò)攻擊同時(shí)進(jìn)行的實(shí)驗(yàn)中，網(wǎng)絡(luò)攻擊者可以躲避控制理論建模方法的檢測(cè)。因此，將物理動(dòng)態(tài)建模方法中的狀態(tài)估計(jì)與網(wǎng)絡(luò)安全方法中的數(shù)據(jù)分析相結(jié)合，是提高 ICS 網(wǎng)絡(luò)安全的關(guān)鍵。

　　2.4 基于統(tǒng)計(jì)學(xué)習(xí)的檢測(cè)方法

　　基于統(tǒng)計(jì)的異常檢測(cè)方法為數(shù)據(jù)集創(chuàng)建一個(gè)分布模型，并與目標(biāo)數(shù)據(jù)對(duì)象相匹配。假設(shè)正常數(shù)據(jù)落在高概率區(qū)間，而異常數(shù)據(jù)相對(duì)落在低概率區(qū)間，根據(jù)目標(biāo)數(shù)據(jù)集中數(shù)據(jù)落在模型中的概率來判斷是否異常。Rajasegarar 等[23 24]建立了 2 種異常檢測(cè)模型：統(tǒng)計(jì)檢測(cè)模型和非參數(shù)檢測(cè)模型。

　　這 2 種模型可以應(yīng)用于不同的場(chǎng)景，其中前者適用于數(shù)據(jù)類型和采樣周期預(yù)先確定的應(yīng)用;而后者在沒有先驗(yàn)知識(shí)的情況下，通過比較當(dāng)前數(shù)據(jù)和相鄰數(shù)據(jù)的行為識(shí)別異常。費(fèi)歡等[25]提出一種多源數(shù)據(jù)異常檢測(cè)方法。該方法主要應(yīng)用于平臺(tái)空間，通過二維坐標(biāo)的位置來確定 2 個(gè)節(jié)點(diǎn)之間的關(guān)系。類似地，文獻(xiàn)[26]提出基于密度的模型，通過分析電數(shù)據(jù)來發(fā)現(xiàn)太陽能發(fā)電系統(tǒng)的異常行為。另外，傳感器數(shù)據(jù)的時(shí)間和頻率屬性能夠?yàn)榻�立時(shí)頻邏輯提供有價(jià)值的信息。時(shí)域信號(hào)(均值、標(biāo)準(zhǔn)差或方差等)可以描述有關(guān)系統(tǒng)行為的某些信息。

　　例如，基于頻率的信號(hào)特性(傅里葉變換、小波變換等)可以單獨(dú)或結(jié)合時(shí)域特征來理解系統(tǒng)的行為[27]。工業(yè)系統(tǒng)復(fù)雜而廣泛，大量的傳感器被用于監(jiān)控空間和物體，以為異常行為預(yù)測(cè)提供全面、多維度的運(yùn)行數(shù)據(jù)。對(duì)于這種情況，基于相關(guān)性分析的方法[28]被證明可以更有效地識(shí)別異常。該方法能夠反映系統(tǒng)的真實(shí)表現(xiàn)，因?yàn)檫@些相關(guān)性可以從物理上反映系統(tǒng)的運(yùn)行機(jī)制和條件。

　　2.5 基于特征選擇的檢測(cè)方法

　　異常檢測(cè)處理的數(shù)據(jù)是人工從復(fù)雜的網(wǎng)絡(luò)系統(tǒng)中提取出來的。這些數(shù)據(jù)一般具有高維、強(qiáng)冗余、低相關(guān)性等特點(diǎn)。直接使用原始數(shù)據(jù)，檢測(cè)算法的性能會(huì)很差。而特征選擇的作用是從原始數(shù)據(jù)中選擇有用的特征，選出的特征具有更強(qiáng)的相關(guān)性、非冗余特性和更少的噪聲。這些特征可以幫助相關(guān)算法更高效、快速地區(qū)分、檢測(cè)和分類出不同的目標(biāo)。因此許多研究者將其應(yīng)用于入侵檢測(cè)系統(tǒng)(IDS,intrusion detection system)的設(shè)計(jì)中，以提高檢測(cè)精度，減少檢測(cè)時(shí)間。這些研究通常來自 2 種觀點(diǎn)。

　　一種是有效提取，如主成分分析(PCA, principal component analysis)。針對(duì)異常檢測(cè)系統(tǒng)耗時(shí)長(zhǎng)、性能下降等問題，文獻(xiàn)[30]提出了一種混合的 PCA 神經(jīng)網(wǎng)絡(luò)算法。該算法利用 PCA 變換對(duì)特征降維，使訓(xùn)練時(shí)間減少約 40%，測(cè)試時(shí)間減少約 70%，同時(shí)還提高了檢測(cè)精度。文獻(xiàn)[31]基于核主成分分析和極限學(xué)習(xí)機(jī)(ELM, extremelearning machine)設(shè)計(jì) IDS。其中，核主成分分析用于特征矩陣降維。實(shí)驗(yàn)結(jié)果表明，該系統(tǒng)比單純基于 ELM 或者 SVM 算法的 IDS 效率更高，速度更快。類似地，文獻(xiàn)[32]提出一種增量 ELM 與自適應(yīng)PCA 相結(jié)合的方法，該方法可以自適應(yīng)地選擇相關(guān)特征以獲得更高的精度。然而，所有這些方法都沒有減少原始數(shù)據(jù)的特征量，總的時(shí)間消耗仍然非常大。

　　另一種是有效特征選擇，如遺傳算法和最大相關(guān)最小冗余算法。文獻(xiàn)[33 34]將特征選擇問題定義為組合優(yōu)化問題，提出基于局部搜索最優(yōu)解算法來選擇有效的特征子集，用于檢測(cè)“正常”和“DoS”攻擊數(shù)據(jù)。雖然使用該算法選擇出的有效特征子集在檢測(cè)率和準(zhǔn)確率方面都優(yōu)于使用全部特征集，但也帶來了較高的誤報(bào)率。文獻(xiàn)[35]提出了一種基于遺傳算法的特征選擇方法來設(shè)計(jì) IDS 以選擇最優(yōu)特征，采用單點(diǎn)交叉而不是兩點(diǎn)交叉優(yōu)化該遺傳算法的參數(shù)。總體而言，其給出了更好的結(jié)果，但在某些情況下分類率會(huì)下降。Feng 等[36]提出基于 K 近鄰和樹種子算法的 IDS 模型來選擇特征，減少特征冗余，檢測(cè)效率有所提升但準(zhǔn)確率沒有明顯的改善。

　　2.6 基于機(jī)器學(xué)習(xí)的檢測(cè)方法

　　在工業(yè)系統(tǒng)中，機(jī)器學(xué)習(xí)方法(如貝葉斯網(wǎng)絡(luò)、k means、ELM[39]、SVM、回歸等)已經(jīng)被成功用于識(shí)別和檢測(cè)工業(yè)物聯(lián)網(wǎng)中的異常行為[10]。除此之外，聚類[40 42]、隨機(jī)森林[43]、孤立森林[44]和隱馬爾可夫模型[45]等算法也取得了不錯(cuò)的成績(jī)。

　　2.6.1 深度學(xué)習(xí)方法

　　深度學(xué)習(xí)(DL, deep learning)是一種具有自動(dòng)學(xué)習(xí)能力的智能算法，是機(jī)器學(xué)習(xí)的一個(gè)分支。由于 DL 對(duì)任何特征工程的獨(dú)立性、對(duì)動(dòng)態(tài)環(huán)境的適應(yīng)性以及強(qiáng)大的學(xué)習(xí)能力(特別是從高維數(shù)據(jù)中)，其很快成為解決上述局限性的新的學(xué)習(xí)范式。

　　各種各樣的 DL 方法已經(jīng)成功應(yīng)用于異常和入侵檢測(cè)，如卷積神經(jīng)網(wǎng)絡(luò)(CNN, convolutionalneural network)[52 53]、循環(huán)神經(jīng)網(wǎng)絡(luò)( RNN,recurrent neural network)[54 56]、生成對(duì)抗網(wǎng)絡(luò)(GAN, generative adversarial network)[57 59]、脈沖神經(jīng)網(wǎng)絡(luò)[60]、粒子深框架[61]和長(zhǎng)短期記憶(LSTM, long short term memory)網(wǎng)絡(luò)[56,62 66]。Ferrag 等[53]對(duì) CNN、RNN 和深度神經(jīng)網(wǎng)絡(luò)(DNN,deep neural network)進(jìn)行了入侵檢測(cè)研究，并對(duì)它們?cè)诓煌�配置下的性能進(jìn)行了對(duì)比分析。

　　Bhuvaneswari 等[67]在基于霧的物聯(lián)網(wǎng)中引入向量卷積構(gòu)建入侵檢測(cè)系統(tǒng)。但是，CNN 有一個(gè)讓人無法忽視的缺點(diǎn)，即無法學(xué)習(xí)物聯(lián)網(wǎng)流量的長(zhǎng)時(shí)依賴特征，而這正是 LSTM 網(wǎng)絡(luò)的優(yōu)勢(shì)。因此，Saharkhizan 等[68]提出使用 LSTM來學(xué)習(xí)時(shí)序數(shù)據(jù)之間的依賴關(guān)系。該研究使用一個(gè) LSTM 集合作為檢測(cè)器，將該檢驗(yàn)器的輸出合并成決策樹，最終進(jìn)行分類。然而，這些模型的計(jì)算成本很高。為了解決這個(gè)問題，Liaqat 等[69]提出了一個(gè)整合 CNN 和 CudaDNN LSTM 的方案，該方案能夠及時(shí)有效地檢測(cè)出醫(yī)療物聯(lián)網(wǎng)環(huán)境中的復(fù)雜惡意僵尸網(wǎng)絡(luò)。

　　文獻(xiàn)[70]提出了一種壓縮卷積變分自動(dòng)編碼器，用于 IIoT 中時(shí)間序列數(shù)據(jù)的異常檢測(cè)。該方法減少了模型的大小和推理的時(shí)間，但是分類性能基本上沒有提升。研究了卷積神經(jīng)網(wǎng)絡(luò)在工業(yè)控制系統(tǒng)異常檢測(cè)的應(yīng)用后，文獻(xiàn)[52]提出了一種基于測(cè)量預(yù)測(cè)值與觀測(cè)值的統(tǒng)計(jì)偏差的異常檢測(cè)方法，并指出一維卷積網(wǎng)絡(luò)在工業(yè)控制系統(tǒng)的異常檢測(cè)方面優(yōu)于循環(huán)神經(jīng)網(wǎng)絡(luò)。從網(wǎng)絡(luò)包內(nèi)容分析的角度出發(fā)，文獻(xiàn)[66]提出了簽名+LSTM 的多層異常檢測(cè)方法。

　　其首先開發(fā)了一個(gè)數(shù)據(jù)包的基準(zhǔn)簽名數(shù)據(jù)庫(kù)，并用布魯姆過濾器存儲(chǔ)該簽名數(shù)據(jù)庫(kù)同時(shí)檢測(cè)包異常，然后將該簽名數(shù)據(jù)庫(kù)作為數(shù)據(jù)源輸入 LSTM 中，來進(jìn)行時(shí)間序列的異常檢測(cè)。為了保護(hù)集成電路免受網(wǎng)絡(luò)攻擊，文獻(xiàn)[71]采用 2 個(gè)異常檢測(cè)算法來做異常檢測(cè)，一個(gè)是傳統(tǒng)機(jī)器學(xué)習(xí)算法 k means，另一個(gè)是卷積自編碼算法，并取 2個(gè)算法結(jié)果的邏輯與來作為最終的檢測(cè)結(jié)果。但是該方法在特征選擇時(shí)，沒有采用專有的特征選擇算法，僅僅通過人工過濾掉了不產(chǎn)生影響的屬性。另外，為了保護(hù) IIoT 系統(tǒng)免受勒索軟件攻擊，文獻(xiàn)[72]提出了一種基于堆疊變分自編碼的檢測(cè)模型，該模型具有一個(gè)全連接神經(jīng)網(wǎng)絡(luò)，能夠?qū)W習(xí)系統(tǒng)活動(dòng)的潛在結(jié)構(gòu)，并揭示勒索軟件的行為。

　　2.7 基于邊緣/霧計(jì)算的檢測(cè)方法

　　深度神經(jīng)網(wǎng)絡(luò)的進(jìn)展極大地支持異常物聯(lián)網(wǎng)數(shù)據(jù)的實(shí)時(shí)檢測(cè)。然而，由于計(jì)算能力和能源供應(yīng)有限，物聯(lián)網(wǎng)設(shè)備幾乎負(fù)擔(dān)不起復(fù)雜的深度神經(jīng)網(wǎng)絡(luò)模型。雖然可以將異常檢測(cè)的任務(wù)轉(zhuǎn)移到云上，但當(dāng)數(shù)千個(gè)物聯(lián)網(wǎng)設(shè)備同時(shí)將數(shù)據(jù)傳到云上時(shí)，會(huì)導(dǎo)致時(shí)延和網(wǎng)絡(luò)擁塞。一種新興架構(gòu)——霧(邊緣)計(jì)算的出現(xiàn)，解決了上述問題。該架構(gòu)旨在通過將計(jì)算、通信、存儲(chǔ)和分析等資源密集型功能轉(zhuǎn)移到終端用戶來減輕云和核心網(wǎng)絡(luò)的網(wǎng)絡(luò)負(fù)擔(dān)。

　　霧計(jì)算系統(tǒng)能夠處理對(duì)時(shí)間要求嚴(yán)格的物聯(lián)網(wǎng)的能源效率和時(shí)延敏感型應(yīng)用，如工廠的火災(zāi)報(bào)警系統(tǒng)、地下采礦環(huán)境等，都需要快速檢測(cè)出異常。因此，涌現(xiàn)出許多基于霧(邊緣)計(jì)算的異常檢測(cè)框架[82 84]。文獻(xiàn)[85]針對(duì)數(shù)據(jù)異常檢測(cè)的準(zhǔn)確性和時(shí)效性，提出了一種基于層次邊緣計(jì)算(HEC, hierarchical edge computing)模型的多源多維數(shù)據(jù)異常檢測(cè)方案。該研究首先提出了 HEC 模型，來實(shí)現(xiàn)傳感器端和基站端負(fù)載均衡和低時(shí)延數(shù)據(jù)處理;然后設(shè)計(jì)了一種基于模糊理論的單源數(shù)據(jù)異常檢測(cè)算法，該算法能夠綜合分析多個(gè)連續(xù)時(shí)刻的異常檢測(cè)結(jié)果。

　　2.8 基于圖的檢測(cè)方法

　　基于圖的異常檢測(cè)在醫(yī)療保健、網(wǎng)絡(luò)、金融和保險(xiǎn)等各個(gè)領(lǐng)域都有應(yīng)用。由于來自網(wǎng)絡(luò)、電子郵件、電話等的數(shù)據(jù)相互依賴，使用圖表檢測(cè)異常變得越來越流行。文獻(xiàn)[89]提出了一種基于知識(shí)圖譜的工業(yè)物聯(lián)網(wǎng)移動(dòng)設(shè)備異常檢測(cè)方法，并利用可視化技術(shù)對(duì)檢測(cè)結(jié)果進(jìn)行演示。具體地，作者使用優(yōu)化后的基于頻繁項(xiàng)集的數(shù)據(jù)挖掘算法對(duì)數(shù)據(jù)進(jìn)行分析，使提出的方法能夠準(zhǔn)確地檢測(cè)出不同類型的并發(fā)攻擊。

　　另外，作者還設(shè)計(jì)了可以將結(jié)果多維度可視化的異常告警模塊，幫助非專業(yè)用戶在工業(yè)領(lǐng)域充分了解網(wǎng)絡(luò)安全情況。文獻(xiàn)[90 91]引入了一種新的基于圖的異常檢測(cè)方法，并將背景知識(shí)添加到傳統(tǒng)圖挖掘方法的評(píng)價(jià)指標(biāo)中。背景知識(shí)以規(guī)則覆蓋的形式添加，報(bào)告子結(jié)構(gòu)實(shí)例覆蓋了最終圖的百分比。由于人們認(rèn)為異常不會(huì)頻繁出現(xiàn)，因此作者假定，通過為規(guī)則覆蓋分配負(fù)權(quán)值，可以發(fā)現(xiàn)異常的子結(jié)構(gòu)。該方法在不損失精度的同時(shí)，大大降低了檢測(cè)時(shí)間。

　　3 公開的數(shù)據(jù)集

　　列舉了對(duì)應(yīng)技術(shù)下工業(yè)物聯(lián)網(wǎng)中具有代表性的異常檢測(cè)技術(shù)的研究，包括使用的數(shù)據(jù)集以及被引次數(shù)。數(shù)據(jù)集出現(xiàn)的頻率，可以發(fā)現(xiàn)，研究者比較常用的數(shù)據(jù)集有 4 個(gè)，即 SWAT、NSL KDD、UNSW NB15 以及 KDD Cup99 數(shù)據(jù)集。除此之外，還有許多優(yōu)秀的數(shù)據(jù)集可用于異常檢測(cè)的研究。

　　4 未來展望

　　工業(yè)物聯(lián)網(wǎng)的安全是大趨勢(shì)，隨著終端設(shè)備存儲(chǔ)和計(jì)算能力的增加，終端設(shè)備將來必然擁有獨(dú)立的操作系統(tǒng)，安全問題隨之而來。未來，終端的智能性、自主性、互聯(lián)的依賴性都會(huì)增加，工業(yè)物聯(lián)網(wǎng)的安全問題會(huì)越來越嚴(yán)重。這些安全問題之間也存在依賴性以及相互影響的問題，同時(shí)，工業(yè)物聯(lián)網(wǎng)也可能作為危險(xiǎn)的翹板，蔓延到其他領(lǐng)域，如互聯(lián)網(wǎng)。因此，對(duì)工業(yè)物聯(lián)網(wǎng)的異常檢測(cè)勢(shì)在必行。

　　從上文的分析中可以發(fā)現(xiàn)，針對(duì)工業(yè)物聯(lián)網(wǎng)異常檢測(cè)，機(jī)器學(xué)習(xí)和深度學(xué)習(xí)等算法應(yīng)用較廣泛;而基于霧計(jì)算、知識(shí)圖譜、生物免疫、聯(lián)邦學(xué)習(xí)等的研究則略顯不足。在工業(yè)系統(tǒng)中，穩(wěn)健的、性能良好的異常檢測(cè)方法對(duì)于降低系統(tǒng)宕機(jī)的可能性至關(guān)重要。雖然當(dāng)前已經(jīng)存在許多研究成果，但是，仍然有許多值得研究的方向。

　　1) 可視化檢測(cè)結(jié)果。當(dāng)前的研究只關(guān)注異常檢測(cè)方案本身，檢測(cè)結(jié)果需要專業(yè)人士解讀，不方便非專業(yè)人士閱讀;另外，可視化結(jié)果還能幫助非專業(yè)人士在工業(yè)領(lǐng)域充分了解網(wǎng)絡(luò)安全情況。

　　2) 混合架構(gòu)。由于工業(yè)物聯(lián)網(wǎng)數(shù)據(jù)具有大量、高維、強(qiáng)冗余、低相關(guān)性、環(huán)境噪聲等復(fù)雜性，直接使用原始數(shù)據(jù)，模型的訓(xùn)練時(shí)間和檢測(cè)性能都不容樂觀。因此，將特征選擇、知識(shí)圖譜和深度學(xué)習(xí)等知識(shí)結(jié)合是一個(gè)趨勢(shì)。一方面，特征選擇算法能夠選擇強(qiáng)相關(guān)的特征，降低數(shù)據(jù)的冗余和噪聲;另一方面，深度學(xué)習(xí)由于其強(qiáng)大的自學(xué)習(xí)能力，能夠精準(zhǔn)地識(shí)別出異常。3) 深度學(xué)習(xí)方法尚未涵蓋多個(gè)領(lǐng)域，因此有必要重新審視不同領(lǐng)域異常檢測(cè)的問題，如 SCADA、智能電網(wǎng)、5G 和眾多物聯(lián)網(wǎng)平臺(tái)，這些平臺(tái)已經(jīng)存在系統(tǒng)機(jī)器學(xué)習(xí)等異常檢測(cè)方法。對(duì)不同領(lǐng)域的可擴(kuò)展性需要真正反映目標(biāo)環(huán)境的數(shù)據(jù)集，才能取得更好的效果。

　　4) 一旦工業(yè)系統(tǒng)遭受攻擊，將會(huì)造成嚴(yán)重的損失。因此，有必要在異常行為損害工業(yè)系統(tǒng)前，對(duì)可能發(fā)生的異常進(jìn)行預(yù)測(cè)和警告，并提供預(yù)防性解決方案。

　　5 結(jié)束語

　　多年來，異常檢測(cè)一直是一個(gè)活躍的研究領(lǐng)域，得到了各個(gè)應(yīng)用領(lǐng)域研究者的廣泛關(guān)注。識(shí)別異常行為可以降低功能風(fēng)險(xiǎn)，避免系統(tǒng)宕機(jī)和其他難以預(yù)料的問題。本文盡可能全面地搜集了現(xiàn)有工業(yè)物聯(lián)網(wǎng)中異常檢測(cè)的研究工作，按照實(shí)現(xiàn)原理的角度，對(duì)現(xiàn)有工業(yè)物聯(lián)網(wǎng)中的異常檢測(cè)方法進(jìn)行了歸類分析。這些信息可以幫助研究者對(duì)最新提出的異常檢測(cè)算法及其概要信息產(chǎn)生宏觀認(rèn)知。另外，還需要進(jìn)一步研究新的智能檢測(cè)和預(yù)測(cè)技術(shù)，來實(shí)時(shí)處理復(fù)雜工業(yè)系統(tǒng)產(chǎn)生的各種數(shù)據(jù)流，做到實(shí)時(shí)健康態(tài)勢(shì)感知、異常檢測(cè)、風(fēng)險(xiǎn)預(yù)警和及時(shí)預(yù)防。

　　參考文獻(xiàn)：

　　[1] DAUGHERTY P, BERTHON B. Winning with the industrial Internetof things: how to accelerate the journey to productivity and growth[R].2015.

　　[2] TANGE K, DONNO M D, FAFOUTIS X, et al. A systematic survey ofindustrial Internet of things security: requirements and fog computingopportunities[J]. IEEE Communications Surveys & Tutorials, 2020,22(4): 2489 2520.

　　[3] SPOGNARDI A, DONNO M D, DRAGONI N, et al. Analysis ofDDoS capable IoT malwares[C]//Proceedings of the 2017 FederatedConference on Computer Science and Information Systems, Annals ofComputer Science and Information Systems. Piscataway: IEEE Press,2017: 807 816.

　　[4] ZHOU L Y, GUO H Q. Anomaly detection methods for IIoT networks[C]//Proceedingsof 2018 IEEE International Conference onService Operations and Logistics, and Informatics. Piscataway: IEEEPress, 2018: 214 219.

　　[5] LANGNER R. Stuxnet: dissecting a cyberwarfare weapon[J]. IEEESecurity & Privacy, 2011, 9(3): 49 51.

　　[6] LEE R. CRASHOVERRIDE: analysis of the threat to electric gridoperations[R]. 2017.

　　作者：孫海麗 1，龍翔 1,2，韓蘭勝 1,3，黃炎 4，李清波 1