适应性异常检测在识别网络物理系统攻击中的应用：系统性文献综述

现代网络物理系统（CPS）中的网络攻击发展迅速，大多数现有方法主要集中于描述过去的威胁，无法有效应对这些攻击的演化。适应性异常检测（AAD）是一种极具前景的技术，专注于快速数据处理和模型适应，能够检测不断演变的网络攻击。虽然AAD已经在文献中得到了广泛研究，但据我们所知，本研究是该领域内现有研究的首个系统性文献综述（SLR）。我们进行了全面的SLR，共收集了397篇相关论文，并系统地分析了其中65篇（包括47篇研究论文和18篇综述论文），覆盖了2013年至2023年11月期间关于CPS中AAD研究的文献。在综述中，我们提出了一种新颖的分类法，综合考虑了攻击类型、CPS应用、学习范式、数据管理和算法等方面。通过分析，我们发现，现有研究通常仅关注适应性的单一方面（如数据处理或模型适应），很少同时兼顾两者。我们的目标是帮助研究人员推动该领域的技术进步，同时帮助实践者了解这一领域的最新进展。此外，我们还指出了现有研究的局限性，并提出了未来研究方向的建议。

1 引言

现代网络物理系统（CPS），包括工业控制系统（ICS）、车辆、电网和物联网（IoT）等，生成了大量需要处理的高速数据，以支持决策制定能力 [16, 34, 62]。由于CPS在任务中的关键作用，确保其运行免受恶意威胁是保证日常生活活动的重要前提。然而，由于信息技术和物理过程在CPS中紧密相连，这些系统面临着更广泛的威胁，包括网络攻击和物理攻击。

其中，网络攻击指针对CPS通信和计算组件的攻击 [28, 101, 113]；而物理攻击则是指通过传感器和/或执行器的注入或篡改，对CPS的物理环境进行破坏，进而引入潜在的恶意数据 [100, 108, 117]。在检测CPS威胁的众多技术中，异常检测技术被广泛应用 [26, 82, 85, 87]。与传统基于签名的检测技术不同（后者专注于匹配先前攻击的已知模式 [49, 55, 129]），异常检测技术关注识别与期望正常行为不同的模式 [77, 86, 114]。这种方法能够帮助识别那些常见于CPS网络和物理组件中的未知攻击 [111, 131]。已有多种异常检测方法被提出用于保护CPS，例如基于攻击弹性传感器融合的方法 [56, 76]、基于模型的攻击检测方法 [38, 104] 和基于数据的检测方法 [60, 116]。然而，异常检测方法在适应未知攻击方面的能力通常未得到充分探讨。这里的“适应性”与“适应”这一概念密切相关，指的是异常检测方法通过学习CPS的经验和当前状态，预测并应对新兴安全威胁的能力 [1, 13]。

适应性异常检测（AAD）需要两个关键组件：（1）近实时数据处理和（2）用于模型适应的预定义学习模式 [5, 22, 105, 112]。近实时处理有助于在攻击造成后果之前进行检测，这对于安全关键型CPS尤为重要。此外，需要预定义的学习模式（如全量、增量或混合重训练 [36]），以适应检测模型更好地应对未知攻击。这两个组件通常共同确保了针对高级网络攻击的强大防御能力。

本文针对CPS中的AAD进行了系统性文献综述（SLR）。我们的目标是全面概述AAD的研究现状，包括其在不同类型CPS中的应用、基于不同学习范式的分类、常用算法以及文献中的趋势和空白。就我们所知，这是AAD在CPS中的首个SLR。具体而言，本综述的目标包括：（1）为研究人员提供对CPS中当前AAD方法的理解，使新研究者能够快速熟悉该领域；（2）突出研究中的空白和未来研究的机会；（3）支持实践者选择和调整AAD方法以适应其CPS需求。

在过去十年中，大量研究涵盖了CPS中AAD的不同方面 [3, 24, 33, 44, 54, 58, 66, 90, 121, 134]。然而，大多数研究仅关注AAD的某一关键组件（即近实时数据处理或预定义学习模式），导致结果相互矛盾，实践方式各异。这使得难以将其贡献置于适应性实施的背景下进行理解。

为了填补这一空白并对CPS中AAD的最新发展提供全面回顾，本研究综述了2013年至2023年11月期间发表的最新研究成果。本文的贡献总结如下：

我们从应用类型、学习范式、数据管理策略和算法等方面，回顾并分类了CPS中AAD的最新方法，同时提供了全面的总结表格（见表2-6）。
我们提出了一种新颖的CPS AAD分类法，重点关注攻击类型、应用和机器学习算法，以根据学习范式和算法对研究成果进行分类。
我们识别并讨论了CPS中AAD方法的局限性。
我们讨论了该领域的优先研究方向。

本文的结构如下：第二节将我们的SLR置于与之密切相关领域的其他综述背景下。第三节详细介绍了我们进行SLR的研究方法。第四节提出了CPS的AAD分类法，并基于算法的学习范式综合了以往研究。第五节讨论了我们的发现和未来研究的潜在方向。最后，第六节对本文的SLR进行了简要总结。

成为VIP会员查看完整内容

相关内容

异常检测

关注 98

在数据挖掘中，异常检测（英语：anomaly detection）对不符合预期模式或数据集中其他项目的项目、事件或观测值的识别。通常异常项目会转变成银行欺诈、结构缺陷、医疗问题、文本错误等类型的问题。异常也被称为离群值、新奇、噪声、偏差和例外。特别是在检测滥用与网络入侵时，有趣性对象往往不是罕见对象，但却是超出预料的突发活动。这种模式不遵循通常统计定义中把异常点看作是罕见对象，于是许多异常检测方法（特别是无监督的方法）将对此类数据失效，除非进行了合适的聚集。相反，聚类分析算法可能可以检测出这些模式形成的微聚类。有三大类异常检测方法。[1] 在假设数据集中大多数实例都是正常的前提下，无监督异常检测方法能通过寻找与其他数据最不匹配的实例来检测出未标记测试数据的异常。监督式异常检测方法需要一个已经被标记“正常”与“异常”的数据集，并涉及到训练分类器（与许多其他的统计分类问题的关键区别是异常检测的内在不均衡性）。半监督式异常检测方法根据一个给定的正常训练数据集创建一个表示正常行为的模型，然后检测由学习模型生成的测试实例的可能性。

近十年视觉任务中的对抗攻击研究综述

专知会员服务

26+阅读 · 11月2日

大型语言模型代理的安全与隐私综述

专知会员服务

23+阅读 · 8月5日

分布外如何检测？东大等最新《视觉语言模型时代的广义异常检测及其拓展》综述

专知会员服务

21+阅读 · 8月2日

半监督目标检测：从卷积神经网络（CNN）到 Transformer 的进展综述

专知会员服务

35+阅读 · 7月12日