深度學習與工業互聯網安全：應用與挑戰

楊晨，馬瑞成，王雨石，翟巖龍，祝烈煌

（北京理工大學網絡空間安全學院，北京 100081）

一、前言

工業互聯網是新一代信息技術與制造業深度融合的新興工業生態與應用模式，通過“人、機、物”的泛在可靠互聯，連接生產全要素、全產業鏈、全價值鏈，推動制造業生產方式和企業形態變革。工業互聯網安全是實現工業互聯網高質量發展的前提條件。《加強工業互聯網安全工作的指導意見》（2019年）強調了工業互聯網安全的重要價值，要求探索利用人工智能等新興技術來提升安全防護水平。

深度學習具有較強的自動特征提取能力，為大數據時代的工業互聯網安全（以應用場景復雜、數據規模龐大為特征）提供了更智能、更準確、更先進的分析工具 [1]：基于原始數據，使用一系列非線性處理層來學習不同抽象級別的數據表示；通過端到端的優化來定義、識別隱藏模式，提取高度非線性、極為復雜的特征；無需人工從領域知識中提取最佳特征，支持數據驅動的工業應用。也要注意到，深度學習的引入和應用，使得工業互聯網系統更易面臨惡意攻擊或非法利用（見圖 1），具有導致決策判斷失準、造成工業制造損失的潛在風險 [2]。

深度學習應用于工業互聯網，有關安全方面的研究開始出現，但依然缺乏較為完善的應用圖景，且對深度學習系統自身安全問題關注較少 [3]。因此，本文針對這一空白領域展開前瞻研究，分析工業互聯網安全需求，概括深度學習的具體應用，凝練新技術引入后面臨的安全挑戰，研判領域重點研究方向，以期為我國工業互聯網安全發展提供策略參考。

二、工業互聯網安全的需求分析

（一）工業互聯網自身的安全需求

工業互聯網安全是制造強國和網絡強國建設的基石，關系到我國經濟高質量發展。制造要素全面互聯、接入開放的工業互聯網網絡，帶來了規模和效率優勢，也伴生了潛在安全問題：原本處于封閉狀態的海量制造資源暴露于網絡，面臨更加開放的互聯網環境，更容易被外部組織觸達和發起惡意攻擊；制造要素本身的計算資源有限、原生于封閉環境的防護能力普遍薄弱，易于被攻破和非法利用；鑒于工業系統普遍對可靠性、準確性、低時延等要求很高，即使網絡化協同工業系統的單點被破壞，所造成的危害也可能很大。因此，工業互聯網應用對安全保障提出了更高要求，需要利用諸如深度學習等先進技術來解決這些挑戰。

圖1 工業互聯網安全面臨深度學習引入的攻擊威脅

從技術層面看，傳統工業互聯網的安全防護措施可以防御許多已知的安全威脅；但隨著工業互聯網應用領域的不斷拓寬，接入設備數量與種類的不斷增加，加之各類攻擊方式的“推陳出新”，目前工業互聯網攻擊的數量、規模、速度、種類正在持續增加，現有的傳統型安全防御工具和技術已難以全面應對這些新型攻擊行為，亟需引入更加快速、高效、智能的安全防護新方法。深度學習的自學習能力強，在特征發現及自動分析方面具有優異性能，因此將之用于工業互聯網設備、控制、網絡、應用、數據等多個層次的安全防范，成為防護新型攻擊形式的可行技術方向 [4]。

（二）工業互聯網中深度學習系統的安全需求

深度學習技術能夠廣泛應用于工業互聯網的五層體系架構、全生命周期各個階段（見圖2），可顯著減少人工操作、提高自動化水平與生產效率。例如，設備層采用有監督的深度學習，檢測機器設備的使用情況與故障原因，與基于聲紋的產品質量檢測系統結合，實現質量檢測自動化及智能化 [5]；應用層采用基于深度學習的圖像識別技術進行視覺檢測、分揀、定位等，提高流水線的效率和智能化水平；還有需求/銷量預測、客戶畫像、供應鏈優化等可輔助企業進行決策的深度學習應用 [6]。

當前已有一些面向工業互聯網安全的深度學習技術研究，如基于深度學習的入侵檢測系統，可實現范圍、速度、適應性等更優的惡意行為檢測；基于深度學習的數據審計系統，可支撐從海量工業數據中提取關鍵信息，尋找威脅工業互聯網安全的行為。隨著這些深度學習應用的拓展和深入，深度學習系統自身存在的安全問題也引起了關注，如不防范這些安全問題，對可靠性、穩定性、可預測性等要求較高的工業互聯網可能帶來重大隱患。

三、工業互聯網安全深度學習應用的發展現狀

工業互聯網安全可細分為設備、控制、網絡、應用、數據等層次的安全 [7]，以下分別討論各個層次的安全需求及深度學習應用。

（一）深度學習應用于設備層安全

工業互聯網的設備安全包括設備身份鑒別與訪問控制、固件安全保護等。深度學習對特征自動智能發現的能力、在二進制分析方面所具有的強大性能，為工業互聯網中非加密設備的身份識別及固件代碼分析提供了新思路。

圖2 深度學習在工業互聯網安全方面的應用分類

工業互聯網的開放性決定了大量非加密設備的接入導致相應設備易受身份欺騙攻擊；攻擊者會模仿合法設備的身份，在工業互聯網中發送虛假信息或進行其他惡意活動。這類攻擊對關鍵工業設施而言非常危險，可能造成物理損壞。防止身份欺騙的傳統方法是使用加密算法來驗證設備身份，然而許多現有的工業互聯網系統并未使用密碼密鑰操作。例如，全球航空領域廣泛使用的ADS-B系統就未采用任何加密認證，對該系統進行密碼安全改造將需要重大投資。接入工業互聯網的設備在制造過程中會隨機得到某些細微特征，這些特征會反映在設備產生的脈沖驅動信號中。一種可行的技術路徑是利用自動編碼器、卷積神經網絡對接入工業互聯網設備發出的物理層信號進行學習，在不知道設備發出信號具體特征的條件下建立對設備的辨識能力，進而判斷設備的屬性與身份，開展對所有已知設備的身份鑒別、對未知設備的情況報告 [8]，

工業互聯網平臺和固件眾多，固件安全對工業互聯網整體安全架構起著至關重要的作用。跨平臺固件代碼的二進制相似性分析是常用的設備固件漏洞安全檢測方法，旨在檢測來自不同平臺的兩段二進制函數是否相似。常規檢測方法是近似圖匹配算法，檢測速度慢，如果僅存在幾個指令不同的微小差異則會發生誤判，在對速度和安全性要求很高的工業互聯網領域難以應用。深度神經網絡可以將二進制代碼函數段的圖嵌入表示為一個神經網絡，通過對兩個相似二進制代碼函數的圖嵌入接近程度進行比對，即可準確高效地開展二進制相似度分析；比傳統檢測速度提高3～4個數量級，能夠克服傳統方法的誤判問題 [9]。因此深度學習技術可用于二進制代碼段的相似性推斷、漏洞檢測，有效支持固件安全分析工作。

（二）深度學習應用于控制層安全

工業互聯網的控制系統向上接入網絡層、向下連接海量工業設備，其安全防護措施極為重要。工業互聯網控制安全包括控制協議安全機制、指令安全審計、控制軟件安全加固等。利用深度學習的自動特征發現能力，為控制協議指令攻擊檢測、控制軟件檢測提供了新思路。

工業互聯網的控制系統分為過程控制子系統、監控與數據采集子系統、分布式控制子系統、現場總線控制子系統等。這些子系統都是利用控制協議進行控制指令下發，而針對控制協議的攻擊較多通過在協議傳遞的控制指令中注入錯誤數據來實現。常規的指令攻擊檢測方式是分析攻擊消息的異常規律，發現相似攻擊行為；但在攻擊方式不斷更新的工業互聯網環境下，這種檢測方法并不能可靠地發現新的攻擊形式。基于深度神經網絡的特征發現能力，有望解決這一問題：深度神經網絡從過程控制裝置獲取的傳感器和執行器信號中學習正常控制協議下的通信規律，進行控制協議和指令的安全檢測；既可以檢測已知的指令攻擊，還能識別新的攻擊形式 [10]。

工業互聯網的控制軟件面臨惡意軟件注入等安全威脅，常見的惡意軟件樣本是精心制作的計算機程序片段，意圖在不被發現的前提下對受感染工業互聯網資產進行控制和監視。傳統的惡意軟件檢測方式是人工發現惡意軟件攻擊特征，利用已知特征進行軟件檢測；但涉及多態性蠕蟲或病毒檢測時，這種方法不再可行。當前，諸多反病毒軟件供應商對增強惡意軟件檢測能力的深度學習方法開展了深入研究，在實際測試中取得了很好的效果 [11]。因此，在工業互聯網控制層中引入深度學習技術，發揮其對特征自動提取的固有優勢，動態分析工業互聯網控制軟件活動的特征；持續分析軟件活動情況、軟件執行某些特定命令的活動情況，檢測控制軟件的行為，提高控制軟件抵御惡意軟件注入等安全威脅的能力 [12]。

（三）深度學習應用于網絡層安全

工業互聯網的網絡層安全包括通信與傳輸保護、網絡攻擊防護等。利用深度學習的特征提取能力、自學能力、信息壓縮能力，為工業互聯網的通信數據加密、網絡入侵檢測提供新思路。

工業互聯網包含數量眾多的傳感器、終端、控制、計算、存儲等設備，設備之間需要實時、可靠、安全地傳輸來自周圍環境、自身狀態、控制指令等各種信息。尤其在資源受限的工業互聯網終端節點，因其組成相對簡單、計算和存儲能力較弱，數據的安全傳輸是重大挑戰。依靠加密算法的傳統傳輸方式可靠性較高，但攻擊檢測的復雜度、延遲均比較高，不適合在通信低延遲、組成復雜的工業互聯網環境進行大規模部署。因此，考慮基于工業互聯網信號的深度學習框架，采用長短期記憶模塊（LSTM）從工業互聯網信號中提取隨機特征（如譜平坦度、偏度、峰度、中心矩等），將之轉換為水印并加載在原始信號中，利用云計算或邊緣計算節點驗證水印信息以保證信號的可靠性，據此完成針對工業互聯網的網絡攻擊行為檢測 [13]。

工業互聯網因其復雜性、敏感性而易受各種針對性的網絡攻擊，需要配置入侵檢測系統來掃描網絡流量活動、識別惡意或異常行為。傳統的入侵檢測系統通常采用（淺層）機器學習技術，無法有效解決具有實時性要求、來自環境的海量數據入侵分類檢測問題。深度學習是十分理想的隱藏流量發現手段，可用于區分攻擊流量和檢測正常流量。例如，使用雙向長短期記憶遞歸神經網絡（BLSTM-RNN）方法，詳細學習異常入侵所具有的網絡流量特征，快速準確地識別針對工業互聯網的網絡攻擊和網絡欺詐等異常活動 [14]。

（四）深度學習應用于應用層安全

工業互聯網的應用層安全包括用戶授權認證、代碼安全等。利用深度學習在“理解”自然語言、特征提取等方面的獨特優勢，為工業互聯網的代碼安全分析、用戶授權認證提供新思路。

工業互聯網的構成和功能復雜，涉及軟件眾多，對軟件源代碼的安全性提出了很高要求。傳統的代碼漏洞檢測較多依賴分析人員對代碼的人工分析、對安全問題的認識和經驗積累，這一模式很難滿足工業互聯網的代碼漏洞分析需求。一種可行的思路是借鑒自然語言處理方法，利用深度學習在“理解”自然語言方面的獨特優勢、LSTM對自然語言上下文的“記憶”功能，對由源代碼的抽象語法樹、控制/數據流圖、程序依賴圖等構成的代碼屬性進行理解與分析，在源代碼編程階段及時發現并修正代碼缺陷，主動完成代碼漏洞分析檢測 [15]。

工業互聯網覆蓋面廣，對安全性和隱私性要求高，涉及大量用戶授權認證過程。傳統上基于密碼和個人識別碼的認證系統雖然有效，但不足以抵御多類惡意攻擊行為。因此，利用深度學習在生物特征發現的優勢發展形成的人臉識別等技術，已成功應用于應用層安全 [16]，起到配合傳統認證系統、提高用戶授權認證能力的作用。此外，為了有效提升用戶授權認證的安全性、降低認證成本，有研究者提出了在鍵盤端利用深度學習技術提取用戶每次敲擊鍵盤的時間、鍵入時施加的壓力以及移動設備、觸摸面積、觸摸位置等特征信息，輔助進行用戶身份判斷 [17]。這一方案為提升工業互聯網用戶授權認證能力提供了新途徑。

（五）深度學習應用于數據層安全

工業互聯網數據安全的主要工作之一是數據防泄露。在包含大量碎片化數據的工業互聯網中，減少不必要的跨地域、跨組織的原始數據共享和流動，是提高數據安全性的重要方向，而這也是聯邦深度學習技術的優勢所在。在聯邦深度學習系統中，自有數據不出本地，通過加密機制進行參數交換，在不違反數據隱私保護法規的情況下建立虛擬的共有模型。關于數據安全審計，敏感度低的工業互聯網數據可以存儲在成本價格相對低的工業大數據云平臺，采用基于深度學習的數據安全審計機制來監管數據的訪問等行為，防止數據被竊取、篡改、破壞，實現數據存儲安全。

工業互聯網存在傳感器、邊緣計算節點、云端、用戶端等多點通信需求。傳統的數據處理流程是數據產生于傳感器端，初步采集的數據會先存儲在相關軟件中 [18]。數據入侵、非法訪問較多隱藏在合理的授權之下，不容易被發現。使用無監督深度學習對異常行為進行分類，確保數據不受到竊取、篡改、破壞。感知數據會反饋至邊緣計算節點，經清洗、預處理分析后，再上傳至云端并經進一步加工處理供用戶調用。敏感性、碎片化、海量數據流動十分不利于工業互聯網環境下的數據安全保護，因此針對工業互聯網數據的安全多方計算需求，可行的解決方案是引入聯邦深度學習技術，在不直接共享敏感數據的前提下開展數據處理，最大限度地減少數據流動和不必要的數據傳輸，確保工業互聯網的數據安全 [19]。

四、工業互聯網安全深度學習應用面臨的挑戰

深度學習技術在賦予工業互聯網安全新前景的同時，可能存在被攻擊者利用的漏洞，可能受到高級可持續威脅攻擊。例如，攻擊者可以針對性地修改惡意文件來繞過基于深度學習的檢測工具，加入一些不易察覺的噪音使得工廠語音控制系統被惡意調用，在交通指示牌或其他車輛上貼一些小標志使得基于深度學習的自動駕駛系統出現誤判。在高價值或高風險的工業生產過程中，如果深度學習系統被惡意攻擊，可能會造成設備損壞，甚至威脅人員生命安全。針對深度學習的攻擊分為5種（見圖3）：投毒攻擊、模型逆向攻擊、模型提取攻擊、物理攻擊、對抗性攻擊，主要發生在模型訓練階段和模型預測階段。

（一）模型訓練階段

投毒攻擊指通過攻擊訓練數據集，使得模型無法正常工作。在工業互聯網中，競爭對手可能通過篡改傳感器的測量值來操縱訓練數據。對于基于深度學習的故障檢測器來說，微小的數據篡改可能會導致有針對性的錯誤分類或不良行為。后門攻擊也是一種投毒攻擊，在訓練數據過程中添加特殊標志（后門觸發器）來繞過模型的分類，如向標注為非惡意的文件中加入一段特殊的代碼（文字），將之用于訓練深度學習模型。訓練好的模型能夠正常識別惡意文件，但是當檢測到帶有這段特殊代碼的惡意文件時，模型將會把它識別為非惡意的，從而繞過檢測。這種攻擊大多數時間不影響模型正常工作，極為隱蔽 [20]。

模型逆向攻擊發生在訓練完成階段，可以通過模型的輸出（黑盒攻擊）、模型參數（白盒攻擊）將訓練數據集信息從模型中逆向提取出來；換言之，通過已經訓練好的模型數據，還原出模型的訓練數據成員。在工業互聯網中數據是寶貴資源，特別是涉及到商業價值的敏感數據。例如，產品質量檢測模型的訓練需要的產品參數（如重量、尺寸型號等），入侵檢測系統需要的工業生產系統中傳感器數據，這些都涉及到產品隱私，具有一定的商業價值 [21]。

（二）模型預測階段

不同于數字樣本攻擊，物理攻擊屬于實體樣本攻擊，通過在現實生活中改變目標物體的形態或者貼上特殊標記來欺騙深度學習模型。物理攻擊不需要對模型的訓練數據“做手腳”，只需通過一定次數的模型功能測試，就能發現模型的漏洞和缺陷，進而設計實現物理攻擊。例如，自動駕駛汽車的視覺系統能夠使用深度學習技術對道路上的行人、車輛、道路標志等進行分類，但在道路標志上粘貼精心設計的紙條后，視覺系統便無法正確識別該道路標志。對于基于深度學習的人臉識別系統而言，帶有特殊標記的眼鏡便能干擾其正常工作；即使在相對穩定的物理條件下，只需針對性調整姿勢、距離、光線，也能使人臉識別系統發生識別錯誤。工業互聯網中有很多人臉識別、產品質量檢測的深度學習類應用，如果內部人員具有惡意，則這種物理攻擊將比較隱蔽且威脅明顯 [22]。

模型提取攻擊指通過公開的應用程序接口（API）來模擬功能類似甚至相同的模型，具體參數很難被掌握，且攻擊目的是復刻模型而不是還原數據成員 [23]。訓練1個模型通常需要20～30 d，較為復雜的模型甚至需要更長的時間，一些應用于工業互聯網的模型具有一定的商業價值，如異常行為分類系統。這些模型具有一定的可移植性，如果將之公開在網絡上，即使只提供API接口，不法分子也能通過隨機組合的輸入來獲取輸入與輸出關系，從而復刻功能相同的模型，使得公司知識產權利益受到損失。

圖3 工業互聯網中深度學習系統面臨的安全挑戰

對抗性攻擊又稱為躲避攻擊，指在正常樣本中加入了一些人眼難以察覺的干擾，從而造成模型預測錯誤；分為無特定目標攻擊、特定目標攻擊，前者只是干擾模型的正確判斷，后者需要模型將特定的輸入判斷為指定的一種輸出。目前，深度學習模型對于對抗性攻擊是比較脆弱的，較為輕微的擾動就可以干擾到模型的正常工作。例如，工業互聯網的產品檢測模型易受無特定目標的對抗性攻擊，攻擊者只需在產品圖片上加入肉眼不可見的噪聲點，就可以使得模型失去判斷能力，嚴重時甚至可以破壞整個工業生產流程。對于面向安全檢測的深度學習系統，攻擊者也可以通過添加一些特殊語句來繞過安全檢測模型，從而干擾工業系統的安全運行 [24]。

五、工業互聯網安全深度學習應用的未來研究方向

（一）深度神經網絡的可解釋性

人類思維很難理解深度神經網絡的決策依據，這是因為深度神經網絡通常被當成“黑盒”模型使用，每個神經元都是由上一層的線性組合再疊加1 個非線性函數得到的，具有高度非線性的特征。對于工業互聯網安全應用，除了模型輸出的最終結果外，人們還應知道模型是基于哪些因素考量得出結論的；如果模型不可解釋，則意味著模型本身是不可知、不安全的。因此，只有確保信息可靠性（如沒有受到投毒攻擊、對抗性攻擊等）、明晰模型輸入輸出的因果關系，模型的預測結果才能令人信服，也才能交由深度學習來承擔工業互聯網安全體系中的核心任務。

（二）樣本收集和計算成本

隨著深度學習方法的發展，神經網絡層數越來越深，所需的訓練樣例數目、算力要求（電力消耗）也在迅猛增加。即使深度學習模型相比于傳統方法具有更好的效果，但提升效率帶來的收益甚至可能無法彌補增加成本，這將直接制約深度學習技術在工業互聯網安全中的推廣應用。工業互聯網安全的應用場景多樣，需要針對性地收集數量可觀的數據并加以手工標注，人力成本較高；深度神經網絡規模龐大，為達到精度、實時性等要求，需要高性能計算系統的支持，帶來較高能耗需求。因此，需要研究更高效、自動化的數據集構建方法，更低功耗的深度學習模型與計算系統。

（三）樣本集不均衡

深度學習在消費互聯網應用方面體現出了優勢，但工業互聯網的應用領域及場景千變萬化，難以為深度學習模型提供足夠多的樣本量。因此，需要研究通過自動化工具增加樣本量的方法，基于小樣本的深度學習方法。面對碎片化、復雜多變的工業互聯網安全應用及場景，構建具有均衡性、可全面反映數據真實分布的樣本集，將之用于訓練深度學習模型仍是挑戰。目前已有過采樣、欠樣本等方法來緩解深度學習中樣本不均衡的問題，但依然缺乏實際可用的系統性研究成果 [25]。

（四）模型結果的可靠性

工業互聯網涉及領域眾多，框架構成復雜，對系統的整體可靠性要求很高。例如，航空、航天類飛行器的零部件生產，要求設備達到可靠性不低于99.999%；如果重要節點發生故障，會造成批次性的產品損壞或性能降級。在實際工業生產過程中，模型的穩定性要比表達能力更為重要，一旦某個生產環節出現問題，可能影響整條生產線的運轉；很多深度學習模型的預測準確率不足90%，幾乎無法移植到對可靠性要求極高的工業互聯網應用。因此，研究提高深度學習技術模型準確度、確定性、可靠性的方法顯得尤為重要。

（五）平衡可用性與安全性

深度學習應用自身也存在安全性和隱私性的問題。深度學習模型的訓練需要大量數據樣本，在公開模型以實現商業價值的同時，保護模型與訓練數據不被非法竊取和使用是值得關注的課題。對于工業生產而言，模型的安全性非常重要。有學者提出了通過差分隱私、同態加密方法保護模型隱私的辦法，通過對抗性訓練來偵測對抗性，進而提高模型的安全性；但這些方法在一定程度上降低了模型的可用性，影響了模型的性能表現。因此，未來需要研究深度學習模型可用性與安全性的平衡措施。

六、對策建議

（一）完善工業互聯網總體安全策略

建議在工業互聯網總體安全策略中納入深度學習技術方面的內容，構建可覆蓋安全業務全生命周期、以主動智能響應為核心特征的工業互聯網縱深安全防御體系。深度學習應體現在整個工業互聯網安全架構中，據此連接工業互聯網的各個層次，建立對安全事件“預警、監測、處置、防護”的動態防御體系，系統綜合地維護工業互聯網安全。

（二）攻克深度學習應用的重大問題

開展深度學習在工業互聯網安全方面的應用，仍然存在一些亟待解決的關鍵技術問題，建議計算機、神經科學、自動化等學科領域的研究人員共同努力，協同開展應用突破，瞄準國際領先的發展目標來構建工業互聯網安全生態。前瞻論證交叉領域創新性研究的重點方向，通過示范效應帶動整個技術鏈的深化拓展。立足工業生產的實際場景和迫切需求，采取應用與問題聯合驅動的模式，穩步攻關兩者融合中存在的關鍵技術瓶頸。

（三）合理保障深度學習與工業互聯網安全交叉融合領域的資源投入

深度學習在工業互聯網安全領域的應用前景廣闊、潛在價值顯著，應合理增加在深度學習與工業互聯網交叉融合方向的人、財、物投入。建議加強管理政策或行業性規劃研究，鼓勵科研人員自主聯合，深化工業企業、高校、科研機構的三方合作關系，形成“政、產、學、研”合作體系，更好完善深度學習技術體系及其與工業互聯網安全的融合應用；在實踐中驗證技術以凸顯實效，與科學研究形成相互促進的新發展格局。