近年来,工业过程故障分类系统主要是由数据驱动的,得益于大量的数据模式,基于深度神经网络的模型显著地提高了故障分类的准确性。但是,这些数据驱动模型容易受到对抗攻击,因此,在样本上的微小扰动会导致模型提供错误的故障预测。最近的研究已经证明了机器学习模型的脆弱性以及对抗样本的广泛存在性。本文针对安全关键的工业故障分类系统提出了一种具有极端约束的黑盒攻击方法:只有扰动一个变量来制作对抗样本。此外,为了将对抗样本隐藏在可视化空间中,本文使用了雅可比矩阵来引导扰动变量的选择,使得降维空间中的对抗样本对人眼不可见。利用单变量攻击(OVA)方法,文本探究了不同工业变量和故障类别的脆弱性,有助于理解故障分类系统的几何特征。基于攻击方法,文本还提出了相应的对抗训练防御方法,该方法能够有效地防御单变量攻击,并提高分类器的预测精度。在实验中,本文所提出的方法在田纳西-伊士曼过程(TEP)和钢板(SP)故障数据集上进行了测试。本文探索了变量和故障类别的脆弱相关性,并验证了各种分类器和数据集的单变量攻击和防御方法的有效性。对于工业故障分类系统,单变量攻击的攻击成功率接近(在TEP上)甚至高于(在SP上)目前最有效的一阶白盒攻击方法(该方法需要对所有变量进行扰动)。

• 单位
  工业控制技术国家重点实验室; 浙江大学