Event-Triggered GAT-LSTM Framework for Attack Detection in Heating, Ventilation, and Air Conditioning Systems

📄 arXiv: 2505.03559v1 📥 PDF

作者: Zhenan Feng, Ehsan Nekouei

分类: eess.SY

发布日期: 2025-05-06

💡 一句话要点

提出事件触发GAT-LSTM框架,用于暖通空调系统中的攻击检测,降低通信成本并保护数据隐私。

🎯 匹配领域: 支柱七:动作重定向 (Motion Retargeting)

关键词: 暖通空调系统 网络物理安全 攻击检测 图注意力网络 长短期记忆网络 事件触发机制 空间时间建模

📋 核心要点

  1. 暖通空调系统易受网络攻击,现有方法难以兼顾检测精度、通信成本和数据隐私。
  2. 提出事件触发的GAT-LSTM框架,利用事件触发机制降低通信量,GAT和LSTM分别捕捉空间和时间特征。
  3. 实验表明,该框架在保证高检测精度的同时,显著降低了数据传输量,优于单独使用GAT或LSTM的方法。

📝 摘要(中文)

本文提出了一种用于暖通空调(HVAC)系统攻击检测的新框架。HVAC系统对于维持室内环境质量至关重要,但其互联互通的特性和对传感器网络的依赖使其容易遭受网络物理攻击。这些攻击会中断系统运行,并可能通过测量数据泄露敏感的个人信息。该框架集成了用于本地监控的事件触发单元(ETU)和使用图注意力网络(GAT)与长短期记忆网络(LSTM)的云端分类系统。ETU执行二元分类以识别潜在异常,并选择性地触发加密数据传输到云端,从而显著降低通信成本。云端的GAT模块对HVAC组件之间的空间关系进行建模,而LSTM模块捕获加密状态序列中的时间依赖性,以对攻击类型进行分类。在模拟各种攻击场景的数据集上评估了该方法。与仅使用GAT(94.2% 准确率)和仅使用LSTM(91.5%)的消融实验相比,完整的GAT-LSTM模型实现了98.8%的总体检测准确率,并将数据传输降低到15%。这些结果表明,所提出的框架通过利用HVAC系统的空间-时间特性,并通过事件触发通信最小化传输成本,实现了高检测准确率,同时保护了数据隐私。

🔬 方法详解

问题定义:论文旨在解决暖通空调(HVAC)系统中日益增长的网络物理攻击威胁。现有的攻击检测方法通常忽略了HVAC系统的空间和时间特性,导致检测精度不高,并且频繁的数据传输会增加通信成本和隐私泄露的风险。因此,需要一种能够有效检测攻击,同时降低通信成本并保护数据隐私的解决方案。

核心思路:论文的核心思路是结合事件触发机制和图神经网络(GAT)与长短期记忆网络(LSTM)的优势。事件触发机制用于本地监控,仅在检测到潜在异常时才将数据传输到云端,从而降低通信成本。GAT用于建模HVAC组件之间的空间关系,LSTM用于捕获时间序列数据中的时间依赖性。通过结合空间和时间特征,可以更准确地检测攻击。

技术框架:该框架包含两个主要组成部分:事件触发单元(ETU)和云端分类系统。ETU部署在本地,负责监控HVAC系统的传感器数据,并使用二元分类器检测潜在的异常。当ETU检测到异常时,它会将加密的数据传输到云端。云端分类系统接收来自ETU的数据,并使用GAT和LSTM进行攻击类型分类。GAT首先对HVAC组件之间的空间关系进行建模,然后LSTM捕获时间序列数据中的时间依赖性。最后,分类器根据GAT和LSTM的输出,判断是否存在攻击以及攻击类型。

关键创新:该论文的关键创新在于将事件触发机制与GAT-LSTM模型相结合,用于HVAC系统的攻击检测。事件触发机制显著降低了通信成本,同时保证了检测精度。GAT和LSTM的结合能够有效地利用HVAC系统的空间和时间特性,提高攻击检测的准确性。

关键设计:ETU使用简单的二元分类器(具体类型未知)进行异常检测,触发阈值需要根据实际情况进行调整。GAT的网络结构需要根据HVAC系统的具体拓扑结构进行设计,节点代表HVAC组件,边代表组件之间的连接关系。LSTM的网络结构需要根据时间序列数据的长度和复杂性进行调整。损失函数(未知)用于训练GAT和LSTM模型,目标是最小化分类误差。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,所提出的GAT-LSTM模型在HVAC攻击检测中达到了98.8%的总体检测准确率,显著优于单独使用GAT(94.2%)或LSTM(91.5%)的方法。此外,事件触发机制将数据传输量降低到15%,有效降低了通信成本,同时保护了数据隐私。

🎯 应用场景

该研究成果可应用于智能楼宇、工业控制系统等领域,提升关键基础设施的网络安全防护能力。通过降低数据传输需求,该方法还有助于在资源受限的环境中部署攻击检测系统。未来,该技术可扩展到其他类型的网络物理系统,例如智能电网和交通系统。

📄 摘要(原文)

Heating, Ventilation, and Air Conditioning (HVAC) systems are essential for maintaining indoor environmental quality, but their interconnected nature and reliance on sensor networks make them vulnerable to cyber-physical attacks. Such attacks can interrupt system operations and risk leaking sensitive personal information through measurement data. In this paper, we propose a novel attack detection framework for HVAC systems, integrating an Event-Triggering Unit (ETU) for local monitoring and a cloud-based classification system using the Graph Attention Network (GAT) and the Long Short-Term Memory (LSTM) network. The ETU performs a binary classification to identify potential anomalies and selectively triggers encrypted data transmission to the cloud, significantly reducing communication cost. The cloud-side GAT module models the spatial relationships among HVAC components, while the LSTM module captures temporal dependencies across encrypted state sequences to classify the attack type. Our approach is evaluated on datasets that simulate diverse attack scenarios. Compared to GAT-only (94.2% accuracy) and LSTM-only (91.5%) ablations, our full GAT-LSTM model achieves 98.8% overall detection accuracy and reduces data transmission to 15%. These results demonstrate that the proposed framework achieves high detection accuracy while preserving data privacy by using the spatial-temporal characteristics of HVAC systems and minimizing transmission costs through event-triggered communication.