深度学习在工业互联网入侵检测中的应用.pdfVIP

产业应用

AI-VIEW

2023年第3期

深度学习在工业互联网

入侵检测中的应用

□/

文孔宇升，王斐，陶冶，王嘉凯*，王雅哲

（中关村实验室，北京100094）

摘要：工业互联网通过人机物的深度连接，实现生产全要素、全产业链、全价值链的高效互

联与协同，推动制造业生产方式和企业形态根本性变革，在经济社会发展中起到了重要的推

动作用。然而，工业互联网内外网的连接不可避免地暴露了工业系统的脆弱性，加剧了被恶

意攻击者入侵的风险，面临重大安全威胁。近年来，国内外高度重视工业互联网安全，开展

了大量的入侵检测理论和技术研究，其中最具代表性的是基于机器学习的入侵检测方法，尤

其是深度学习的方法，此类方法不仅能够降低误报率、提高检测率和适应性，而且能够提升

对零日攻击的检测。本文面向工业互联网安全问题，从近年来工业互联网的安全事件入手，

围绕工业互联网入侵检测，重点介绍了深度学习技术在工业互联网入侵检测中的应用，梳理

了当前基于深度学习的工业互联网入侵检测理论和技术的最新研究进展，总结了未来基于深

度学习的入侵检测方法的发展方向。

关键词：工业互联网安全；入侵检测；深度学习

中图分类号：TP393；TP18文献标志码：A文章编号：2096-5036(2023)03-0072-08

DOI：10.16453/j.2096-5036.2023.03.007

0引言

传统工控系统多在隔离的内网中运行，几乎无须考虑外网对于硬件设备、协议、软件

设计、固件设计、部署等的威胁。然而，通信、物联网（IoT）等技术的快速发展，给工业

自动化控制系统中的应用及工业环境下的业务和技术架构带来了巨大的变革，并形成了一

个全新的工业平台——工业互联网平台[1-3]。该平台下，内网与外网的连接使得工业自动

化控制系统网络中固有漏洞毫无保留地暴露在了攻击者面前。此外，这些固有漏洞所带来

的危害会进一步地因IT网络中所存在的漏洞而加剧。2010年，一种名为震网（Stuxnet）

的计算机蠕虫病毒对伊朗网络系统实施攻击，矛头直指伊朗核设施，导致伊朗核工厂离心

机数量从四千多台减少到了三千多台，使伊朗核计划被迫推迟数月。该事件迅速引起各国

对于工业互联网安全的重视，并将其上升至各个行业，乃至国家战略层面。具体而言，该

病毒通过U盘等可移动存储设备进行传播，在感染Windows操作系统的主机后，搜索西

72

深度学习在工业互联网入侵检测中的应用

门子PLC控制软件，进一步感染PLC软件，通过周期性地修改PLC工作频率，造成PLC

控制的离心机旋转速度突然升高和降低，最终达到破坏离心机的目的。2021年2月，美

国佛罗里达州发生了水处理厂系统被攻击事件，攻击者通过盗取凭证远程登录系统，获得

了SCADA访问权限，随后启动HMI程序发出攻击信号，破坏液位控制和剂量设置过程，

将氢氧化钠的浓度提高至有毒水平（正常值的111倍），直接威胁到公民的人身安全。因此，

面向工业互联网的入侵检测具有重要的研究价值和实际意义。

图1

工业互联网安全事件时间轴

图1展示了自2010年以来典型的工业互联网安全事件。层出不穷的工业安全事

件说明物理系统的隔离并非无懈可击。在工业互联网背景下，IT/OT融合，OT域的

物理隔离边界消失，导致攻击者可以利用身份伪造等方式通过IT网络渗透至OT域设

备，对OT域设备进行功能破坏，如图2所示。针对工业互联网安全问题，美国GE、

IBM、Cisco等龙头企业于2014年主导成立了工业互联网联盟（IndustrialInternet

Consortium，IIC），制定成立了工

业互联网全球标准；德国于2015年4

月提出《德国工业4.0实施战略》，以

“IoT+IoP+IoS”为核心打造工业4.0体

系。我国将工业互联网连续五年写入政府

工作报告，同时，党的二十大报告中亦指