In industrial control systems, the utilization of deep-learning-based methods achieves improvements for anomaly detection. However, most current methods ignore the association of inner components in industrial control systems. In industrial control systems, an anomaly component may affect the neighboring components therefore the connective relationship can help us to detect anomalies effectively. In this paper, we propose a centrality-aware graph convolution network (CAGCN) for anomaly detection in industrial control systems. Unlike the traditional graph convolution network model (GCN), we utilize the concept of centrality to enhance the ability of graph convolution networks to deal with the inner relationship in industrial control systems. Our experiments show that compared with GCN, our CAGCN has a better ability to utilize this relationship between components in industrial control systems. The performances of the model are evaluated on the Secure Water Treatment (SWaT) dataset and the Water Distribution (WADI) dataset, the two most common industrial control systems datasets in the field of industrial anomaly detection. The experimental results show that our CAGCN achieves better results on precision, recall, and F1 score than the state-of-the-art methods.

中文摘要：

1、研究背景（context）：工控系统作为工业基础设施的神经中枢,被广泛应用于自动化生产，能源，交通，水处理等诸多领域。随着自动化控制技术和网络技术的不断发展，工控系统的网络环境由相对封闭的环境变得不断开放，使得工厂的管理更加便利，但是也使得工控系统更易受到威胁。近年来，针对工控系统的攻击层出不穷，给各国造成了严重损失。工控系统的安全不仅关乎企业的生存发展，一些重要领域基础设施的工控系统遭受攻击则会影响社会的稳定乃至国家安全。因此，对工控异常检测展开研究成为了一个重要且热门的研究领域。
2、目的（Objective）：近年来，诸多学者使用了基于机器学习、深度学习的一系列新方法对工控异常检测展开了研究，取得了诸多成果。然而现有研究大多仅仅针对工控系统产生的数据进行分析处理，却没有利用到工控系统中各设备之间的关联关系，如设备的连接关系、加工制造的前后顺序等。且不同设备在工控系统中的重要性也各不相同，一些关键节点遭受攻击则会产生更加严重的影响。因此，本文尝试利用到这些设备节点间的联系与各设备节点的重要性，从而实现更佳的异常检测效果。
3、方法（Method）：本文提出一种称为中心性感知图卷积网络的算法，一方面本算法使用图卷积网络来利用到工控设备节点之间的关联性，另一方面本算法引入了中心性的概念，使图卷积网络可以利用中心性来感知到不同节点的重要性，进一步实现对图卷积网络的改进。为了评估本文提出的中心性感知图卷积网络的算法性能，我们使用了本文算法与最新的一系列工控异常检测算法在SWaT和WADI数据集上展开对比实验，其中评价指标选取了精确率、召回率和F1分数。更进一步，我们在本文算法中尝试使用了度中心性、接近中心性、中介中心性，以及将这三种中心性按1：1：1组合与自学习组合分别进行了对比实验，以此研究不同中心性对算法性能的影响。
4、结果（Result & Findings）：对比实验结果表明，本文提出的中心性感知图卷积网络取得了比一系列最新方法更好的性能，同时实验表明本算法当使用自学习组合中心性时比使用其他中心性时取得了更好的结果，结果如下：精确率在SWaT数据集中为0.991，在WADI数据集中为0.942；召回率在SWaT数据集中为0.872，在WADI数据集中为0.952；F1分数在SWaT数据集中为0.928，在WADI数据集中为0.947。
5、结论（Conclusions）：对比实验表明，本文所提出的用于工控系统中异常检测的中心性感知图卷积网络取得了比最新一系列工控异常检测算法更好的异常检测效果，这是因为本算法可以利用到各工控设备间的关联性与各设备节点的重要性这两方面前人没有有效利用的信息。而在选取不同中心性的尝试中，我们进一步发现自学习组合中心性比使用单一中心性或1：1：1简单组合三种中心性的效果更好。针对网络中心性的研究还有很多，因为本文无法穷极一切的中心性度量方式，未来可以基于本算法尝试更多类型的中心性，进一步探索在工控系统中如何提升异常检测性能。同时近年来图卷积网络在很多其他领域也逐渐被诸多学者使用，因此我们也希望本文使用中心性来增强图卷积网络性能的方法可以给其他领域使用图卷积网络展开研究的学者提供一些新的思路。

Key words: graph convolution network; data mining; network centrality; anomaly detection; industrial control systems;