As the Industrial Internet of Things (IIoT) develops rapidly, cloud computing and fog computing become effective measures to solve some problems, e.g., limited computing resources and increased network latency. The Industrial Control Systems (ICS) play a key factor within the development of IIoT, whose security affects the whole IIoT. ICS involves many aspects, like water supply systems and electric utilities, which are closely related to people’s lives. ICS is connected to the Internet and exposed in the cyberspace instead of isolating with the outside recent years. The risk of being attacked increases as a result. In order to protect these assets, intrusion detection systems (IDS) have drawn much attention. As one kind of intrusion detection, anomaly detection provides the ability to detect unknown attacks compared with signature-based techniques, which are another kind of IDS. In this paper, an anomaly detection method with a composite autoencoder model learning the normal pattern is proposed. Unlike the common autoencoder neural network that predicts or reconstructs data separately, our model makes prediction and reconstruction on input data at the same time, which overcomes the shortcoming of using each one alone. With the error obtained by the model, a change ratio is put forward to locate the most suspicious devices that may be under attack. In the last part, we verify the performance of our method by conducting experiments on the SWaT dataset. The results show that the proposed method exhibits improved performance with 88.5% recall and 87.0% F1-score.

中文翻译：

---

基于自动编码器神经网络的工业控制系统异常检测

随着工业物联网（IIoT）的快速发展，云计算和雾计算已成为解决某些问题（例如，有限的计算资源和增加的网络延迟）的有效措施。工业控制系统（ICS）是IIoT发展中的关键因素，其安全性会影响整个IIoT。ICS涉及许多方面，例如供水系统和电力公用事业，这些与人们的生活息息相关。ICS连接到Internet并暴露在网络空间中，而不是与外界隔离。结果，被攻击的风险增加了。为了保护这些资产，入侵检测系统（IDS）引起了很多关注。作为一种入侵检测，与基于签名的技术（另一种IDS）相比，异常检测提供了检测未知攻击的能力。提出了一种基于复合自动编码器模型学习正常模式的异常检测方法。与普通的自动编码器神经网络分别预测或重构数据不同，我们的模型可以同时对输入数据进行预测和重构，从而克服了单独使用每个编码器的缺点。利用模型获得的误差，提出了更改比率，以定位可能受到攻击的最可疑设备。在最后一部分中，我们通过在SWaT数据集上进行实验来验证我们方法的性能。结果表明，所提出的方法具有88.5％的查全率和87.0％的F1-分数，从而提高了性能。这是另一种IDS。提出了一种利用复合自动编码器模型学习正常模式的异常检测方法。与普通的自动编码器神经网络分别预测或重构数据不同，我们的模型可以同时对输入数据进行预测和重构，从而克服了单独使用每个编码器的缺点。利用模型获得的误差，提出了更改比率，以定位可能受到攻击的最可疑设备。在最后一部分中，我们通过在SWaT数据集上进行实验来验证我们方法的性能。结果表明，所提出的方法具有88.5％的查全率和87.0％的F1-分数，从而提高了性能。这是另一种IDS。提出了一种基于复合自动编码器模型学习正常模式的异常检测方法。与普通的自动编码器神经网络分别预测或重构数据不同，我们的模型可以同时对输入数据进行预测和重构，从而克服了单独使用每个编码器的缺点。利用模型获得的误差，提出了更改比率，以定位可能受到攻击的最可疑设备。在最后一部分中，我们通过在SWaT数据集上进行实验来验证我们方法的性能。结果表明，所提出的方法具有88.5％的查全率和87.0％的F1-分数，从而提高了性能。与普通的自动编码器神经网络分别预测或重构数据不同，我们的模型可以同时对输入数据进行预测和重构，从而克服了单独使用每个编码器的缺点。利用模型获得的误差，提出了更改比率，以定位可能受到攻击的最可疑设备。在最后一部分中，我们通过在SWaT数据集上进行实验来验证我们方法的性能。结果表明，所提出的方法具有88.5％的查全率和87.0％的F1-分数，从而提高了性能。与普通的自动编码器神经网络分别预测或重构数据不同，我们的模型可以同时对输入数据进行预测和重构，从而克服了单独使用每个编码器的缺点。利用模型获得的误差，提出了更改比率，以定位可能受到攻击的最可疑设备。在最后一部分中，我们通过在SWaT数据集上进行实验来验证我们方法的性能。结果表明，所提出的方法具有88.5％的查全率和87.0％的F1-分数，从而提高了性能。提出了更改比率，以找到可能受到攻击的最可疑设备。在最后一部分中，我们通过在SWaT数据集上进行实验来验证我们方法的性能。结果表明，所提出的方法具有88.5％的查全率和87.0％的F1-分数，从而提高了性能。提出了更改比率以定位可能受到攻击的最可疑设备。在最后一部分中，我们通过在SWaT数据集上进行实验来验证我们方法的性能。结果表明，所提出的方法具有88.5％的查全率和87.0％的F1-分数，从而提高了性能。