伍冠潮 凌捷
摘 要:对信息物理系统(CPS)的时间序列进行检测是一种重要的异常检测手段,然而现有的一些时间序列异常检测方法往往忽略了时间序列内部的依赖关系,使得预测或重构数据建立起的依赖关系较差,进而影响异常检测性能。针对以上问题,提出一种基于自适应交互学习的CPS时间序列异常检测方法。利用神经网络识别CPS的隐藏状态,然后通过全局自适应融合与交互学习来保留时间序列的依赖关系;接着使用无迹卡尔曼滤波跟踪时间序列的变化趋势,以此增强预测过程的鲁棒性;最后计算异常分数并评估异常情况。应用该方法在三个CPS数据集上实验获得的平均性能为F1分数0.940、精度0.965、召回率91.7%。实验结果表明,相较于近年来的其他研究方法,该方法能够较好地保留时间序列的依赖关系,提取更准确的时间序列特征,进而提高模型的预测性能,使得异常检测的召回率和F1分数得到较好提升,具有良好的应用前景。
关键词:异常检测; 时间序列; 自适应交互学习; 无迹卡尔曼滤波; 信息物理系统
中图分类号:TP391 文献标志码:A 文章编号:1001-3695(2023)10-008-2933-06
doi:10.19734/j.issn.1001-3695.2023.03.0095
Time series anomaly detection for cyber physical systems
based on adaptive interactive learning
Wu Guanchao, Ling Jie
(School of Computer Science & Technology, Guangdong University of Technology, Guangzhou 510006, China)
Abstract:Detection against time series of cyber physical systems (CPS) is an important means of anomaly detection. How-ever, some existing time series anomaly detection methods often ignore the dependencies within the time series, making the predicted or reconstructed data establish poor dependencies, which in turn affects the anomaly detection performance. To address the above problems, this paper proposed a time series anomaly detection method for cyber physical systems via adaptive interactive learning and unscented Kalman filter. The method used neural networks to identify the hidden states of CPS, and then preserved the dependencies of the time series through global adaptive fusion and interactive learning. Moreover, the me-thod used the traceless Kalman filter to track the trend of the time series to enhance the robustness of the prediction process. Finally, the method evaluated anomalies by calculating anomaly scores. The average performance obtained by applying this method on three CPS datasets is 0.940 for F1 score, 0.965 for precision, and 91.7% for recall. The experimental results show that compared with other research methods in recent years, the proposed method can better preserve the time series dependencies, extract more accurate time series features, and thus improve the prediction performance of the model, resulting in better recall and F1 scores of anomaly detection, which has good application prospects.
Key words:anomaly detection; time series; adaptive interactive learning; unscented Kalman filters; cyber physical systems
0 引言
異常检测是解决信息物理系统(cyber physical systems,CPS)[1]安全相关问题的一种安全状态估计方法[2]。针对具体的攻击手段进行异常分析,需要对异常领域知识具有深刻的了解,且通用性不够好,把时间序列作为异常检测的对象可以较好地解决这一问题。Blzquez-García等人[3]将时间序列的异常类型划分为点异常和子序列异常,其中子序列默认考虑内部依赖关系和时间依赖性,在数据处理过程中需要注意数据之间的依赖关系,因此,子序列的异常检测更具挑战性且成本更高。除了时间序列之间的依赖问题,提升方法对噪声的抗干扰能力也是一个主要挑战。
近年来,针对时间序列异常检测的研究,一种常用的手段是通过计算异常分数来评估异常情况,若异常分数超过阈值,则被判定为异常值。传统机器学习的方法在时间序列异常检测的有效性已经得到证实[4],但它们在处理重构或预测任务时难以保留时间序列的依赖关系,进而影响性能;虽然有些模型可以一定程度上保持时间序列内部的依赖关系,但它们对噪声敏感,当噪声严重时,其性能会受到影响。目前,基于深度学习的时间序列异常检测方法取得了较好的效果[5~8],但仍然面临着保持好时间序列依赖关系和对噪声具有较好鲁棒性之间的平衡问题。对于深度学习的方法,根据任务模型可以将时间序列异常检测方法划分为基于重构模型、基于预测模型、其他模型[9]。
基于重构模型的时间序列异常检测方法,通过对原始数据进行降维和降噪等处理,使其转换为更容易处理的形式。Su等人[10]提出了一种随机递归神经网络OmniAnomaly,它采用具有随机变量连接和平面归一化的深度生成模型来描述潜在空间的非高斯分布,该方法的性能受时间序列依赖关系强度的影响。Audibert等人[11]提出了一种基于自编码器结构的多元时间序列无监督异常检测方法USAD,通过GAN来放大异常,该方法仅对数据特征进行重构,忽略了时间序列的依赖关系。
基于预测模型的时间序列异常检测方法,通常利用测量值与偏差或噪声进行预测计算。尽管基于重构模型的时间序列异常检测方法表现出不错的性能[10~12],但模型对噪声敏感。Goh等人[6]提出了一種基于残差的时间序列异常检测算法LSTM-PRED,但它仅使用基于LSTM的回归器作为预测模块,在预测长期时间序列的时候可能会出现噪声累积的问题,从而导致依赖关系逐步减弱。Feng等人[13]提出了一种基于神经系统识别和贝叶斯滤波的时间异常检测方法NSIBF,该方法利用神经网络识别信息物理系统,再利用贝叶斯滤波预测测量值的变化趋势,提高模型的稳定性。Han等人[14]提出了一种基于稀疏图的时间序列异常检测方法,通过稀疏图的潜在表示方法,再利用自编码器来学习这个稀疏图形的低维表示,但该方法仅考虑了稀疏性先验知识,而未考虑时间序列数据中的依赖关系。
其他模型的时间序列异常检测方法,如Zong等人[7]提出的深度自编码高斯混合模型DAGMM,该方法假设潜在空间是高斯混合先验分布。Zhang等人[15]提出了一种基于图关系学习的时间序列异常检测方法,将时间序列数据视为图的一部分,并使用图的关系学习算法来推断出时间序列的异常;在长期依赖性较强的情况下,该方法提取时间序列特征的能力会下降。
现有的异常检测方法大多侧重于数据自身的特征,容易忽略时间序列特征的传递,导致模型无法有效地捕捉时间序列的依赖关系,从而影响检测效果。本文提出了一种基于自适应交互学习的CPS时间序列异常检测方法;该方法利用状态方程和观测方程来表示信息物理系统;为捕获CPS的动态特征,利用神经网络构造状态空间模型,再采取端到端的训练模式来捕获CPS的动态信息;为更好地保留时间序列的依赖关系,设计了一个全局自适应融合与交互学习网络结构来提取时间序列的局部特征和局部依赖关系,采用分层的网络结构来提取全局特征和全局依赖关系,使得预测或重构数据之间建立起良好的相关性;此外,为了跟踪隐藏状态的变化趋势和提高模型抗噪声的鲁棒性,利用无迹卡尔曼滤波来跟踪时间序列的变化趋势。在SWAT、WADI、PUMP三个数据集上的实验结果表明:相较于NSIBF方法[13],本文方法的平均F1分数提高了2.8%、平均精度提高了1.6%、平均召回率提高了3.9%。
本文提出一种基于自适应交互学习的CPS时间序列异常检测方法,它能够保持较好的时间序列依赖关系的同时,对噪声影响具有较好的鲁棒性;对Liu等人[16]的交互学习模块SCINet进行优化,使其能够更好地保留时间序列的全局特征和时间依赖性。通过将无迹卡尔曼滤波技术和样本卷积与交互学习网络结合,突破SCINet结构的定性预测和非概率预测的限制。为评估异常检测方法的综合性能,本文给出了一种加权平均性能的定义和分析思路。
1 相关概念
1.1 时间序列的依赖关系
时间序列数据主要有四个特性,即趋势性、季节性、周期性和不确定性。趋势性是指随着时间的推移,数据变化呈现一定趋势;季节性是指在不同的季节之间可能具有不一样的变化特点;周期性是指在不同的时间间隔内发生变化;不确定性是指数据变化有时是不规则的,可能由某个特定事务引起,也可能是受到噪声或攻击的影响。这些特性共同作用,使得时间序列数据具有依赖性。时间序列依赖关系的缺失,会对重构和预测数据产生偏差,使得模型难以识别出异常数据,从而影响异常检测方法的召回率和性能。
1.2 交互学习网络结构
时间序列的局部相关信息反映在片刻时间隙内的连续变化中,这种局部特征可以通过卷积滤波器进行捕获;针对长时间序列任务,Transformers模型在预测方面效果良好[17],但根据时间序列特点设计的时间卷积网络(temporal convolutional network,TCN)处理时间序列的效果往往更好[18]。Liu等人[16]参考TCN提出一个名为SCINet的样本卷积与交互学习网络。SCINet的基础模块SCI-Block将数据特征下采样为两个子序列,并使用一组卷积滤波器对每个子序列进行特征提取;为弥补下采样过程中的信息损失,在两个子序列之间进行交互学习。SCI-Block 的划分采取二叉树的分层结构,以保留子序列内部的依赖关系。在所有的下采样—卷积—交互操作之后,将所有低分辨率分量重新排列并连接成一个新的序列;为提取复杂的时间动态,可以进一步堆叠多个SCINet。
1.3 信息物理系统的表示方式
为跟踪系统的状态变化,可以用无迹卡尔曼滤波对状态空间模型进行离散化,利用无迹变换让非线性系统向线性系统逼近,再对动态系统的隐藏状态进行递归估计[19]。无迹卡尔曼滤波用状态方程和观测方程来表示系统的状态空间模型,如式(1)(2)所示。其中:z是传感器状态矩阵;u是执行器状态矩阵;A是状态转移矩阵;B是输入控制矩阵;x是系统测量值;H是状态观测矩阵;e1是过程噪声,e2是测量噪声,e1和e2都是高斯白噪声;上标t表示某个时刻。
2 本文方法
2.1 本文方法流程
本文方法的异常检测过程包括三步,依次为预测步、更新步、异常分数计算与异常评估。预测步,根据t-1时刻的隐藏状态均值t-1和协方差pt-1预测出隐藏状态分布在t时刻的均值t和协方差pt;更新步,利用先验均值、协方差、测量值和卡尔曼增益来更新隐藏状态下一时刻的后验均值和协方差;异常分数计算与异常评估,计算实际测量值和预測值的异常分数,使用point-adjust策略[20]来评估异常情况。在point-adjust方法中,如果一个异常序列中有一个或多个异常点被正确检测到,那么该异常序列内的所有值都被认为是异常序列的点,异常序列外的点按常规处理;如果序列没有被检测到有异常点,就判定为正常序列。
使用随机梯度下降算法训练模型后,CPS的状态空间模型式(1)(2)转变为如下形式:
其中:anet、bnet、cnet、dnet是自适应交互学习与无迹卡尔曼滤波网络(adaptive interactive learning and unscented Kalman filter,AIUKF)的四个子网络,它利用自适应交互学习模块(adaptive interactive learning network,AINet)捕获时间序列的依赖关系并提取有效的数据特征;利用了无迹卡尔曼滤波(unscented Kalman filter,UKF)跟踪时间序列的变化趋势,提高鲁棒性。
2.3 自适应交互学习模块AINet
自适应交互学习模块AINet是一个全局自适应融合与交互学习网络模型,其结构如图2所示。相较于SCINet直接交互的学习策略,AINet不仅增加了自适应融合模块,而且引入了全局特征来进行交互学习,可以更好地保留全局特征和时间序列的依赖关系。
AINet是一种下采样—全局卷积—局部卷积—自适应融合—全局交互学习的结构,基于时间序列的独特属性,在不同时间分辨率下迭代进行特征提取和信息交互,捕获局部与全局的时间序列依赖关系,提取到更加准确的时间序列数据特征,从而学习到更有效的表示形式并增强预测性。如图2(a)所示,AI-Block是AINet的核心基础模块,利用其进行自适应融合与交互学习,可以有效提取时间序列的特征信息,保留时间序列的局部依赖关系。如图2(b)所示,为保留子序列的全局依赖关系,AINet 以AI-Block作为节点构造完全满二叉树结构,上层的信息逐渐向下累积,较深层次的特征将包含从较浅层次传输的超精细尺度时间信息,通过这种方式,可以进一步捕获长期和全局的时间依赖关系,提取更准确的全局特征,从而学习到具有增强可预测性的有效表示。在下采样—全局卷积—局部卷积—自适应融合—全局交互学习操作后,将所有低分辨率分量重新排列并连接成一个新序列,然后用该序列与原始序列进行预测操作。当时间序列的依赖关系较强时,单个AINet提取的信息特征是不够的,为了更好地捕获长期的时间依赖关系和提取复杂时间序列的信息特征,可以通过堆叠多个AINet形成Stacked AINet结构,如图2(c)所示,这可以有效提高模型的表示学习能力,为预测任务提取更稳健的时间关系。
需要注意的是,当输入窗口较大时,浅层堆栈已经可以很好地捕捉时间序列的时间依赖性,在这种情况下,随着参数的增加,使用更深的堆栈可能会出现过拟合问题,降低推理阶段的性能。
AI-Block先将特征下采样为两个子序列,用卷积滤波器提取同质和异质信息,再提取子序列的特征与依赖关系;然后通过将局部特征与全局特征进行自适应融合,并进行奇偶序列的交互学习,从而减少下采样过程中信息的损失和依赖关系的削弱。
其中:conv1、conv2、conv3、conv4都是一维卷积模块且可以共享参数。与Liu等人[16]的下采样—卷积—交互体系结构相比,本文提出的下采样—全局卷积—局部卷积—自适应融合—全局交互学习的结构,在不同时间分辨率下使用不同的卷积滤波器迭代提取每个子序列的特征与依赖关系,再通过迭代融合全局与其他局部序列的特征信息,以此弥补下采样过程中的信息损失,不仅表示能力更好,而且保留的时间序列局部与全局依赖关系更强,预测性能更好。
3 实验与结果分析
为证明本文方法的有效性,在PUMP、WADI、SWAT三个真实的CPS数据集上进行异常检测实验,并与近几年的方法进行比较。
3.1 数据集
表1给出了三个CPS数据集的具体细节,本文实验将训练数据按3∶1的比例分割为训练集和验证集。SWAT数据集来自CPS实验台,该实验台是一个按比例缩小的水过滤处理系统[21];数据共采集11天,系统7天正常运作,4天存在异常攻击,利用公开攻击模型进行攻击,攻击类型包括单阶段单点攻击、单阶段多点攻击、多阶段单点攻击和多阶段多点攻击,这四种攻击涉及到了时间序列异常攻击的绝大部分情况。WADI数据集来自一个物理测试台,该测试台是一个缩小版的真实城市供水系统[22];数据共采集16天,系统14天正常运作,2天存在异常攻击,该数据集系统使用的攻击模型与SWAT数据集的攻击模型相同;由于最后一天的数据与前15天的数据分布不同,所以忽略最后一天的数据。在本文实验中,SWAT和WADI数据集都是每5 s采样一个数据点。PUMP数据集是从一个现实小镇的水泵系统收集的,数据每分钟收集一次,持续5个月。
3.2 对比实验
3.2.1 基准方法
为了证明本文方法的优越性,选择了近年来比较优秀的时间序列异常检测方法进行对比。
a)LSTM-Pred[6]:基于预测模型的异常检测方法,使用LSTM的回归器作为预测模块,利用残差计算异常分数。
b)DAGMM[7]:基于其他模型的异常检测方法,基于深度自编码高斯混合模型,该方法假设潜在空间是高斯混合先验分布,然后使用深度生成模型来估计输入样本的似然性。
c)OmniAnomaly[10]:基于重构模型的异常检测方法,采用具有随机变量连接和平面归一化的深度生成模型来描述潜在空间的非高斯分布,采用重构概率作为异常分数。
d)USAD[11]:基于重构模型的异常检测方法,利用迭代的方式重构正常数据,通过GAN来放大异常,采用残差作为异常分数。
e)NSIBF[13]:基于预测模型的异常检测方法,利用神经网络来识别信息物理系统,再利用貝叶斯滤波预测测量值的变化趋势,提高模型的稳定性。
f)GRelLeN[15]:基于其他模型的异常检测方法,通过将时间序列数据构建图结构,实现对时序数据的高级特征表示,再利用将时序数据与基准模型进行比较来检测异常。
g)FuSAGNet[14]:基于预测模型的异常检测方法,将时间序列数据构建稀疏图,节点表示不同的时间序列变量,边表示节点间的相互作用,通过自编码器来学习这个稀疏图形的低维表示,以便在低维空间中检测异常。
3.2.2 性能比较
本文方法在三个CPS数据集上进行实验并与近几年的一些优秀时间序列异常检测方法进行对比。表2给出了精度(PRE)、召回率(REC)和F1分数三种实验指标的对比情况。
本文方法在三个数据集上均取得最好的F1分数,分别为0.955、0.925、0.936。相较于性能排第二的NSIBF方法,分别提高了4.3%、2.4%、2.7%。
为评估方法的综合性能,结合三个数据集的特征,针对基于预测模型的异常检测方法,本文提出了一种加权平均性能的定义和分析思路。考虑到模型的最优性和训练数据仅使用正常数据的情况,因此忽略训练集对模型性能的潜在影响。尽管数据集来自不同设备,设备之间的差异会对模型性能产生影响,但忽略设备的差异性有利于评估算法的泛化性能。异常数据的数量和比例是影响模型性能的关键因素,综上分析,得出加权平均性能定义如下:
其中:Avg是某个性能指标的加权平均值;N是数据集个数;λ是数据集异常比例;ρ是数据集的某个性能指标。根据所提加权平均性能定义和方法,表3给出了符合条件且基于预测模型的方法在PUMP、WADI、SWAT三个CPS数据集上的加权平均性能。可以看到,本文方法的加权平均F1分数为0.940、加权平均精度为0.965、加权平均召回率为0.917,性能全面优于第二的NSIBF方法,其中加权平均F1分数提高了2.8%,加权平均精度提升了1.6%,加权平均召回率提升了3.9%。
本文方法性能优于NSIBF的主要原因是AINet对时间序列进行预测的性能要比LSTM好,而且AIUKF网络模型可以更好地提取时间序列特征和保持时间序列的依赖关系。首先,AINet的二叉树结构可以保留时间序列的局部特征与局部依赖关系,堆叠AINet的结构可以保留长期和复杂时间序列的全局特征与全局依赖性关系。其次,AI-Block在SCI-Block的基础上引入全局自适应融合与交互学习模块,能够进一步保留子序列的局部与全局特征。此外,LSTM网络的并行处理效果一般,全局时间依赖关系容易丢失;因此,AINet预测的时间序列会更好地保留时间序列的依赖关系,预测性能也更好。
3.2.3 计算效率比较
用本文AIUKF方法与NSIBF方法进行计算效率的比较,在相同设备条件和参数最优的情况下,分别在每个数据集上进行五轮实验,计算数据的平均值并绘制出图3和4。
由图3和4可得,在三个数据集上,AIUKF方法在测试阶段的耗时低于NSIBF方法,NSIBF方法在训练阶段的耗时略低于AIUKF方法。内存占用情况,AIUKF方法占用的内存和显存资源在训练和测试阶段均远小于NSIBF方法;在WADI数据集上,NSIBF所占用的内存高达37.79 GB,远高于AIUKF方法的15.24 GB。综合分析,AIUKF方法的计算效率高于NSIBF方法。
虽然AIUKF的网络结构比NSIBF复杂,但AINet的运算比LSTM简单,而且Stack AINet堆叠两层就达到最好效果,所以AIUKF方法的计算效率会高于NSIBF方法。
3.3 消融实验
AIUKF网络模型包括重构模块和预测模块,为证明无迹卡尔曼滤波的作用,这里设计AIUKF-RECON和AIUKF-PRED两个方法来进行实验对比。其中AIUKF-RECON是舍弃了无迹卡尔曼滤波但基于重构模型的方法;而AIUKF-PRED是舍弃了无迹卡尔曼滤波但基于预测模型的方法。如表4所示,配有无迹卡尔曼滤波的AIUKF模型方法在三个数据集上的F1分数均远高于AIUKF-PRED和AIUKF-RECON,提高了12.4%~47.7%,证明无迹卡尔曼滤波模块起到了非常重要的作用。实验表明,神经网络识别结合无迹卡尔曼滤波在跟踪隐藏状态不确定性上具有优越性和抗噪声的鲁棒性,无迹卡尔曼滤波可以让样本卷积与交互网络应用于概率预测任务,突破了样本卷积与交互网络结构定性预测的设定。
图5给出了AIUKF、AIUKF-RECON、AIUKF-PRED的RCO曲线及其对应的AUC值。ROC值在0~1,值越大代表分类器的性能越好,AIUKF的ROC值为0.999 8,远高于AIUKF-RECON和AIUKF-PRED的ROC值。AIUKF方法的AUC值逼近1,表明本文方法性能之优越与应用潜力之大。
4 结束语
本文提出了一种基于自适应交互学习的CPS时间序列异常检测方法。该方法采用全局自适应融合与交互学习网络结构,能够有效保留时间序列的依赖关系,从而建立起预测或重构数据之间的良好相关性;为了跟踪隐藏状态的变化趋势和提高模型的鲁棒性,采用无迹卡尔曼滤波来跟踪时间序列的变化趋势。在PUMP、SWAT、WADI三个CPS数据集上进行实验,本文方法取得的加权平均性能为F1分数0.94、精度0.965、召回率0.917,相较于NSIBF这个近年较好的方法,加权平均F1分数提高2.8%,加权平均精度提升1.6%,加权平均召回率提升3.9%,这充分证明本文方法在CPS时间序列异常检测任务中具有显著的优越性;此外, AUC值为0.999 8,证明了本文方法的潜在应用价值之大。
目前,模型训练表现存在偏差现象,但波动范围较小且测试效果稳定;推测该问题的原因是样本卷积与交互结构的问题,当噪声过大时,预测性能会大幅度波动[16]。因此,提高模型抗干扰的稳定性也是未来研究的方向之一。
参考文献:
[1]孙利民, 石志强, 朱红松,等. GB/T 41262—2022,工业控制系统的信息物理融合异常检测系统技术要求[S].北京:中国科学院信息工程研究所等,2022.(Sun Liming, Shi Zhiqiang, Zhu Hongsong, et al. GB/T 41262—2022,Technical requirements for cyber-physical fusion anomaly detection specification of industrial control system[S].Beijing:Institute of Information Engineering,Chinese Academy of Sciences,2022.)
[2]Ding Derui, Han Q L, Ge Xiaohua, et al. Secure state estimation and control of cyber-physical systems:a survey[J].IEEE Trans on Systems, Man, and Cybernetics: Systems,2020,51(1):176-190.
[3]Blázquez-García A, Conde A, Mori U, et al. A review on outlier/anomaly detection in time series data[J].ACM Computing Surveys,2021,54(3):1-33.
[4]王腾,焦学伟,高阳.一种基于Attention-GRU和iForest的周期性时间序列异常检测算法[J].计算机工程与科学,2019,41(12):2217-2222.(Wang Teng, Jiao Xuewei, Gao Yang. An anomaly detection algorithm based on Attention-GRU and iForest for periodic time series[J].Computer Engineering & Science,2019,41(12):2217-2222.)
[5]Paparrizos J, Kang Y, Boniol P, et al. TSB-UAD: an end-to-end benchmark suite for univariate time-series anomaly detection[J].Proceedings of the VLDB Endowment,2022,15(8):1697-1711.
[6]Goh J, Adepu S, Tan M, et al. LSTM-Pred:anomaly detection in cyber physical systems using recurrent neural networks[C]//Proc of the 18th IEEE International Symposium on High Assurance Systems Engineering.Piscataway,NJ:IEEE Press,2017:140-145.
[7]Zong Bo, Song Qi, Min M R, et al. DAGMM: deep autoencoding Gaussian mixture model for unsupervised anomaly detection[C]//Proc of International Conference on Learning Representations.2018.
[8]夏英,韓星雨.融合统计方法和双向卷积LSTM的多维时序数据异常检测[J].计算机应用研究,2022,39(5):1362-1367,1409.(Xia Ying, Han Xingyu. Multi-dimensional time series data anomaly detection fusing statistical methods and bidirectional convolutional LSTM[J].Application Research of Computers,2022,39(5):1362-1367,1409).
[9]Darban Z Z, Webb G I, Pan Shirui, et al. Deep learning for time series anomaly detection:a survey[EB/OL].(2022-12-05).https://arxiv.org/abs/2211.05244.
[10]Su Ya, Zhao Youjian, Niu Chenhao, et al. OmniAnomaly: robust anomaly detection for multivariate time series through stochastic recurrent neural network[C]//Proc of the 25th ACM SIGKDD Internatio-nal Conference on Knowledge Discovery & Data Mining.New York:ACM Press,2019:2828-2837.
[11]Audibert J, Michiardi P, Guyard F, et al. USAD: unsupervised anomaly detection on multivariate time series[C]//Proc of the 26th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining.New York:ACM Press,2020:3395-3404.
[12]张月,唐伦,王恺,等.基于GB-AENet-FL网络的物联网设备异常检测[J].计算机应用研究,2022,39(11):3410-3416.(Zhang Yue, Tang Lun, Wang Kai, et al. Anomaly detection algorithm of IoT devices based on GB-AENet-FL network[J].Application Research of Computers,2022,39(11):3410-3416.)
[13]Feng Cheng, Tian Pengwei. NSIBF: time series anomaly detection for cyber-physical systems via neural system identification and Bayesian filtering[C]//Proc of the 27th ACM SIGKDD Conference on Know-ledge Discovery & Data Mining.New York:ACM Press,2021:2858-2867.
[14]Han Siho, Woo S S. Learning sparse latent graph representations for anomaly detection in multivariate time series[C]//Proc of the 28th ACM SIGKDD Conference on Knowledge Discovery and Data Mining.New York:ACM Press,2022:2977-2986.
[15]Zhang Weiqi, Zhang Chen, Tsung F. GRELEN: multivariate time series anomaly detection from the perspective of graph relational lear-ning[C]//Proc of the 31st International Joint Conference on Artificial Intelligence.2022:2390-2397.
[16]Liu Minhao, Zeng Ailing, Xu Qiang, et al. Time series is a special sequence: forecasting with sample convolution and interaction[EB/OL].(2021-10-20).https://arxiv.org/pdf/2106.09305v2.
[17]Zhou Haoyi, Zhang Shanghang, Peng Jieqi, et al. Informer: beyond efficient transformer for long sequence time-series forecasting[C]//Proc of AAAI Conference on Artificial Intelligence.Palo Alto,CA:AAAI Press,2021:11106-11115.
[18]Nguyen N, Quanz B. Temporal latent auto-encoder:a method for probabilistic multivariate time series forecasting[C]//Proc of AAAI Conference on Artificial Intelligence.Palo Alto,CA:AAAI Press,2021:9117-9125.
[19]Singh A K. Major development under Gaussian filtering since unscented Kalman filter[J].IEEE/CAA Journal of Automatica Sinica,2020,7(5):1308-1325.
[20]Xu Haowen, Chen Wenxiao, Zhao Nengwen, et al. Unsupervised anomaly detection via variational auto-encoder for seasonal KPIs in Web applications[C]//Proc of World Wide Web Conference. Switzer-land:International World Wide Web Conferences Steering Committee,2018:187-196.
[21]Goh J, Adepu S, Junejo K N, et al. A dataset to support research in the design of secure water treatment systems[C]//Proc of International Conference on Critical Information Infrastructures Security.Cham:Springer,2017:88-99.
[22]Ahmed C M, Palleti V R, Mathur A P. WADI:a water distribution testbed for research in the design of secure cyber physical systems[C]//Proc of the 3rd International Workshop on Cyber-Physical Systems for Smart Water Networks.New York:ACM Press,2017:25-28.
收稿日期:2023-03-18;修回日期:2023-05-10
基金項目:广东省重点领域研发计划资助项目(2019B010139002);广州市重点领域研发计划资助项目(202007010004)
作者简介:伍冠潮(1999-),男,广东肇庆人,硕士研究生,主要研究方向为网络信息安全技术、异常检测;凌捷(1964-),男,广东人,教授,博导,博士,CCF会员,主要研究方向为网络信息安全技术(jling@gdut.edu.cn).