Causal Graph Profiling via Structural Divergence for Robust Anomaly Detection in Cyber-Physical Systems
2508.09504v1
cs.LG, cs.CR
2025-08-15
Авторы:
Arun Vignesh Malarkkan, Haoyue Bai, Dongjie Wang, Yanjie Fu
Резюме на русском
## Контекст
Современные кибератаки на критические инфраструктуры, такие как водоочистные станции, становятся все более сложными и опасными. Эти атаки могут привести к серьезным последствиям, в том числе к повреждению оборудования, загрязнению источников питьевой воды и угрозам для жизни и здоровья людей. Однако существующие методы обнаружения аномалий, такие как статистические, диапазонно-ориентированные и графо-ориентированные модели, сталкиваются с рядом проблем. Они становятся менее эффективными при изменении статистических характеристик данных (distribution shifts) или при балансировке классов (class imbalance). Эти проблемы приводят к высокому количеству ложноположительных ответов, что снижает доверие к результатам. Наша мотивация заключается в разработке более надежного подхода к обнаружению аномалий, который мог бы учитывать как системные уязвимости, так и изменяющиеся паттерны кибератак.
## Метод
Мы предлагаем CGAD (Causal Graph-based Anomaly Detection) — рамоство, основанное на профилировании казуальных графов и оценке структурного различия. CGAD работает в двух фазах:
1. **Профилирование казуальных графов**: Мы используем Dynamic Bayesian Networks (DBN) для узнавания траекторий поведения системы в "нормальных" и "атаке" состояниях. Это позволяет выделить инвариантные структуры, которые отражают природу системы.
2. **Оценка структурного различия**: Во второй фазе мы сравниваем графы во временном ряду с помощью меры структурной дивергенции. Эта мера позволяет выявить потенциальные аномалии, основываясь на топологических отклонениях в графе.
Важно, что наш подход адаптируется к нестационарным и несбалансированным многомерным рядам временных данных, которые характерны для критических инфраструктур.
## Результаты
Мы проверили нашу модель на четырёх промышленных данных, включая данные по водоочистке, энергетике и связи. CGAD показал высокую точность в обнаружении аномалий, существенно превосходя лучшие существующие методы в тестах F1 и ROC-AUC. Особенно заметное преимущество замечается при обнаружении сложных и задержанных аномалий, которые традиционные модели часто пропускают. Например, на Water Distribution Benchmark (WADI), наша модель показала F1-score 0.85 в сравнении с 0.72 у базовых моделей.
## Значимость
CGAD может применяться в различных сферах, где защита от кибератак критична, включая городские системы, энергетику и промышленные процессы. Его основные преимущества заключаются в высокой точности, устойчивости к нестационарности данных и эффективности при работе с несбалансированными классами. Мы считаем, что наш подход может пере
Abstract
With the growing complexity of cyberattacks targeting critical
infrastructures such as water treatment networks, there is a pressing need for
robust anomaly detection strategies that account for both system
vulnerabilities and evolving attack patterns. Traditional methods --
statistical, density-based, and graph-based models struggle with distribution
shifts and class imbalance in multivariate time series, often leading to high
false positive rates. To address these challenges, we propose CGAD, a Causal
Graph-based Anomaly Detection framework designed for reliable cyberattack
detection in public infrastructure systems. CGAD follows a two-phase supervised
framework -- causal profiling and anomaly scoring. First, it learns causal
invariant graph structures representing the system's behavior under "Normal"
and "Attack" states using Dynamic Bayesian Networks. Second, it employs
structural divergence to detect anomalies via causal graph comparison by
evaluating topological deviations in causal graphs over time. By leveraging
causal structures, CGAD achieves superior adaptability and accuracy in
non-stationary and imbalanced time series environments compared to conventional
machine learning approaches. By uncovering causal structures beneath volatile
sensor data, our framework not only detects cyberattacks with markedly higher
precision but also redefines robustness in anomaly detection, proving
resilience where traditional models falter under imbalance and drift. Our
framework achieves substantial gains in F1 and ROC-AUC scores over
best-performing baselines across four industrial datasets, demonstrating robust
detection of delayed and structurally complex anomalies.
Ссылки и действия
Дополнительные ресурсы: