CN104052730B - 用于工业控制系统的智能计算机物理入侵检测与防御系统和方法 - Google Patents
用于工业控制系统的智能计算机物理入侵检测与防御系统和方法 Download PDFInfo
- Publication number
- CN104052730B CN104052730B CN201410092807.2A CN201410092807A CN104052730B CN 104052730 B CN104052730 B CN 104052730B CN 201410092807 A CN201410092807 A CN 201410092807A CN 104052730 B CN104052730 B CN 104052730B
- Authority
- CN
- China
- Prior art keywords
- control system
- controller
- network
- industrial control
- communication packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 4
- 238000000034 method Methods 0.000 title abstract description 25
- 230000007123 defense Effects 0.000 title description 4
- 238000012544 monitoring process Methods 0.000 claims abstract description 81
- 238000004891 communication Methods 0.000 claims abstract description 71
- 230000009545 invasion Effects 0.000 claims abstract description 46
- 230000002159 abnormal effect Effects 0.000 claims abstract description 39
- 238000005259 measurement Methods 0.000 claims abstract description 34
- 230000002265 prevention Effects 0.000 claims abstract description 24
- 238000004458 analytical method Methods 0.000 claims abstract description 18
- 230000006855 networking Effects 0.000 claims description 25
- 238000012360 testing method Methods 0.000 claims description 20
- 230000006399 behavior Effects 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 14
- 238000003012 network analysis Methods 0.000 claims description 9
- 230000009471 action Effects 0.000 claims description 6
- 238000010219 correlation analysis Methods 0.000 claims description 6
- 238000010801 machine learning Methods 0.000 claims description 6
- 230000005611 electricity Effects 0.000 claims description 5
- 238000002309 gasification Methods 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 claims description 4
- 239000007789 gas Substances 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 2
- 239000000567 combustion gas Substances 0.000 claims description 2
- 230000000052 comparative effect Effects 0.000 claims 2
- 238000004088 simulation Methods 0.000 claims 1
- 238000012545 processing Methods 0.000 description 28
- 230000008569 process Effects 0.000 description 19
- 230000004075 alteration Effects 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000002485 combustion reaction Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 238000005293 physical law Methods 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02B—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO BUILDINGS, e.g. HOUSING, HOUSE APPLIANCES OR RELATED END-USER APPLICATIONS
- Y02B70/00—Technologies for an efficient end-user side electric power management and consumption
- Y02B70/30—Systems integrating technologies related to power network operation and communication or information technologies for improving the carbon footprint of the management of residential or tertiary loads, i.e. smart grids as climate change mitigation technology in the buildings sector, including also the last stages of power distribution and the control, monitoring or operating management systems at local level
- Y02B70/34—Smart metering supporting the carbon neutral operation of end-user applications in buildings
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S20/00—Management or operation of end-user stationary applications or the last stages of power distribution; Controlling, monitoring or operating thereof
- Y04S20/30—Smart metering, e.g. specially adapted for remote reading
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
Abstract
本文描述的实施例包括系统和方法。在一个实施例中,系统包括配置成测量控制系统行为的装置监视部件以及以通信方式耦合至装置监视部件和通信网络的入侵防御系统。入侵防御系统包括控制系统分析部件,其配置成对照第一规则集来分析由装置监视部件测量的控制系统行为以确定是否出现了异常、入侵或两者。
Description
背景技术
本公开涉及通过监视控制系统的物理行为来检测控制系统中的安全漏洞的入侵防御系统(IPS)。
通常,IPS可以配置成通过监视控制系统中的网络通信来检测和/或预防进入控制系统(例如工业控制系统)的数字入侵。特别地,网络IPS可以基于网络参数寻找入侵和/或异常的指示。例如,网络IPS可以监视例如网络业务、文件系统访问/修改或者操作系统/库调用的参数。然后,被监视的参数可以与规则集进行比较以确定控制系统中是否出现了入侵和/或异常。
安全漏洞(被称为入侵)可以使得未授权方能够访问控制系统(例如工业控制系统)并且引起系统内意想不到的行为。例如,入侵可以引起系统执行未被请求的过程。因为工业控制系统可以包括例如涡轮机、发电机、压缩机或燃烧器的装置,所以在网络参数之外改进工业控制系统中的安全性将是有益的。
发明内容
下面概述了与原始要求保护的发明同等范围的某些实施例。这些实施例不是用来限制要求保护的发明的范围的,而是这些实施例仅仅是用来提供本发明的可能形式的简短概要的。实际上,本发明可以包括可以与下面阐述的实施例类似或不同的各种形式。
第一实施例提供了一种系统,所述系统包括配置成测量控制系统行为的装置监视部件以及以通信方式耦合至装置监视部件和通信网络的入侵防御系统。入侵防御系统包括控制系统分析部件,其配置成对照第一规则集来分析由装置监视部件测量的控制系统行为以确定是否出现了异常、入侵或两者。
第二实施例提供了一种有形的、非暂时性的计算机可读介质,所述计算机可读介质存储通过电子装置的处理器可执行的多个指令。指令包括用于接收通信分组的指令、用于执行第一测试的指令(其中对照网络规则集来测试通信分组)、用于接收控制系统测量的指令(其中控制系统测量表示控制系统行为)、用于执行第二测试的指令(其中对照控制系统规则来测试控制系统测量)、用于使来自第一测试和第二测试的结果相关的指令以及用于基于相关结果来确定工业控制系统中是否出现了异常、入侵或两者的指令。
第三实施例提供了一种系统,所述系统包括以通信方式耦合至控制器和监视站的入侵防御系统。入侵防御系统配置成接收在监视站和控制器之间发送的网络通信,并且至少部分地基于控制器的状态、工业控制系统的状态、连接到控制器的装置或其任何组合来确定是否出现了异常、入侵或两者。
根据本发明的一个方面,提供了一种系统,所述系统包括:
装置监视部件,配置成测量控制系统行为;以及
入侵防御系统,以通信方式耦合至所述装置监视部件和通信网络,其中所述入侵防御系统包括:
控制系统分析部件,配置成对照第一规则集来分析由所述装置监视部件测量的所述控制系统行为以确定是否出现了异常、入侵或两者。
所述系统包括网络分析部件,所述网络分析部件配置成对照第二规则集来分析来自所述通信网络的网络数据以确定是否已经发生了异常。
其中所述控制系统行为包括当所述装置监视部件以通信方式耦合至控制器时所述控制器的行为。
其中控制器行为包括所述控制器中部件的功率使用、所述控制器中所述部件的温度、操作的定时、所述控制器的输入/输出、耦合至所述控制器的装置的遥测数据或其任何组合。
其中所述装置监视部件位于所述控制器中。
其中所述装置监视部件包括与所述控制器分离的装置。
其中所述入侵防御系统包括单独的装置。
其中所述系统是工业控制系统,所述工业控制系统包括燃气涡轮机系统、气化系统、蒸汽涡轮机系统、风力涡轮机系统、水力涡轮机系统、发电系统、电力网自动化系统或其任何组合。
根据本发明的另一方面,提供了一种有形的、非暂时性的计算机可读介质,所述计算机可读介质存储通过电子装置的处理器可执行的多个指令,所述指令包括:
用于接收通信分组的指令;
用于执行第一测试的指令,其中对照网络规则集来测试所述通信分组;
用于接收控制系统测量的指令,其中所述控制系统测量表示工业控制系统的控制系统行为;
用于执行第二测试的指令,其中对照控制系统规则来测试所述控制系统测量;
用于使来自所述第一测试和所述第二测试的结果相关的指令;以及
用于基于相关结果来确定所述工业控制系统中是否出现了异常、入侵或两者的指令。
其中用于执行第一测试的所述指令包括对照存储在连网分析部件中的所述网络规则集来测试所述通信分组,并且用于执行第二测试的所述指令包括对照存储在控制系统分析部件中的所述控制系统规则集来测试所述控制系统测量。
其中用于接收通信分组的所述指令包括接收在控制器和监视站之间发送的通信分组。
其中所述工业控制系统包括燃气涡轮机系统、气化系统、蒸汽涡轮机系统、风力涡轮机系统、水力涡轮机系统、发电系统、电力网自动化系统或其任何组合。
所述介质包括当处于配置模式中时用于执行以下操作的指令:
在工业控制系统上运行模型操作;
接收通信分组;
接收控制系统测量;以及
至少基于接收的通信分组和接收的控制系统测量来创建所述网络规则集和所述控制系统规则集。
所述介质包括当处于维护模式中时用于执行以下操作的指令:
运行工业控制系统;
接收通信分组;
接收控制系统测量;以及
至少基于接收的通信分组和接收的控制系统测量来修改所述网络规则集和所述控制系统规则集。
根据本发明的又一方面,提供了一种系统,所述系统包括:
入侵防御系统,以通信方式耦合至控制器和监视站;
其中所述入侵防御系统配置成接收在所述监视站和所述控制器之间发送的网络通信,并且至少部分地基于所述控制器的状态、所述工业控制系统的状态、连接到所述控制器的装置或其任何组合来确定是否出现了异常、入侵或两者。
附图说明
当参考附图(其中整个附图中相同字符表示相同部分)阅读下面的具体实施方式时,本发明的这些和其它特征、方面以及优势将变得更好理解,其中:
图1是工业控制系统内入侵防御系统(IPS)的框图;
图2是来自图1的入侵防御系统(IPS)的实施例的框图;
图3是适合确定工业控制系统内是否已经发生了异常的过程的实施例的流程图;以及
图4是适合创建和/或修改入侵防御系统(IPS)中的规则集的过程的实施例的流程图。
具体实施方式
下面将描述本发明的一个或多个特定实施例。在努力提供这些实施例的简明描述的过程中,说明书中可以不描述实际实现的所有特征。应该领会在任何这样的实际实现的开发中,如在任何工程或设计项目中那样,必须进行许多实现特定的决定以实现开发者的特定目标,例如顺从系统有关的和商业有关的约束,其可能从一个实现到另一个实现是不同的。此外,应当领会,对于具有本公开的益处的普通技术人员来说,这样的开发努力可能是复杂且耗时的,但是将仍然是设计、制作和制造的常规任务。
当介绍本发明的各种实施例的要素时,冠词是用来指存在有要素中的一个或多个。术语“包含”、“包括”和“具有”规定为是包括在内的并且指可以存在有除列示的要素之外的附加要素。
本公开通常旨在布置在控制系统(例如工业控制系统)中的入侵防御系统(IPS),其可以配置成减少进入工业控制系统的入侵的可能性。如本文使用的,入侵指可进入工业控制系统的数字安全漏洞。当入侵进入工业控制系统时,它们可以引起工业控制系统内的异常。换句话说,入侵可以引起工业控制系统内意想不到的行为。例如,入侵可以引起工业控制系统通过网络连接传输未被请求的数据。因此,设计成减少入侵的系统可以配置成监视工业控制系统中的网络连接,例如网络业务、文件系统访问/修改或者操作系统/库调用。然而,可以监视工业控制系统中的附加参数以便改进工业控制系统的安全性。
因此,本公开提供了一种系统,该系统包括配置成测量控制系统行为的装置监视部件以及以通信方式耦合至装置监视部件和通信网络的入侵防御系统。入侵防御系统包括控制系统分析部件,其配置成对照规则集来分析由装置监视部件测量的控制系统行为以确定是否已经发生了异常。换句话说,除了监视网络参数以外,公开的技术还监视物理参数以便更好地理解工业控制系统并且更好地确定工业控制系统中是否出现了异常和/或入侵。
通过介绍的方式,图1图示了工业控制系统12内的入侵防御系统(IPS)10的实施例。工业控制系统12,例如自动化发电系统(例如燃气、蒸汽、风力或水力涡轮机、热回收蒸汽发生器(HRSG)、气化系统、燃烧系统、发电机、电力网自动化系统或类似的自动化发电系统)或自动化制造系统(例如化工厂、炼油厂或类似的制造系统),可包括监视站14、计算机(cyber)安全监视/响应系统15、控制器16、装置和通信网络18。
监视站14和控制器16可配置成通过通信网络18发送通信分组。具体地,通信分组可包括控制命令和/或数据。通信网络18可以使用各种协议,例如Modbus远程终端单元(RTU)、Profibus、Conitel、国际电工技术委员会(IEC)60870-5-101、IEC 60870-5-104、IEC61850、分布式网络协议(DNP)3等等。协议中的一些可包括传输控制协议和因特网协议(TCP/IP)扩展,其可以使得工业控制系统能够通过因特网是可访问的。因此,进入工业控制系统12的入侵的一个进入点可以是在通信网络18中。
另外,控制器16可以配置成控制各种装置,例如涡轮机20、传感器22、致动器24和泵26。此外,在变电站配置中,控制器16可以是智能电子装置,其配置成为电力设备(例如变压器、断路器、开关、电机或发电机)提供保护、控制和计量功能。因此,控制器16可包括处理单元28、存储器30、存储装置32和配置成与装置通信的通信设备34。因此,入侵的另一个进入点可以直接进入装置。入侵的其它进入点可以直接进入控制器16或监视站14。
描绘的工业控制系统12还包括IPS 10。IPS 10可以在计算装置(例如计算机、服务器、膝上型计算机、平板电脑、蜂窝电话、移动装置或类似的处理或计算装置)中或者在机器可读介质(例如控制器16的存储器30、监视站14、控制器16的存储装置32或其组合)中存储的可执行的非暂时性计算机指令或代码中实现。除了监视网络参数,IPS 10可配置成还监视控制系统(即物理的)参数以确定是否出现了异常和/或入侵。IPS 10可配置成监视控制系统参数,例如与装置的通信、生热或功率使用,因为它们可以是工业控制系统12内发生的过程的准确表示。换句话说,控制系统参数通常基于可能更难以回避的物理定律。例如,因为处理器的温度可能与处理器正在执行的过程有关,所以监视温度使得IPS 10能够知道处理器是否正在执行附加过程,例如由入侵引起的那些过程。因此,IPS包括网络分析部件36和控制系统分析部件38。
网络分析部件36可配置成分析通过通信网络30发送的通信分组的网络参数,例如网络业务、文件系统访问/修改或者操作系统/库调用,以确定是否出现了异常和/或入侵。因此,网络分析部件38可耦合至通信网络18并且配置成接收通过通信网络18发送的通信分组。
类似地,控制系统分析部件38可配置成分析控制系统参数,例如与装置的通信、生热或功率使用,以确定是否已经发生了异常和/或入侵。因此,IPS 10还可包括装置监视部件40,其配置成监视控制器16和由控制器16控制的装置(例如涡轮机20、传感器22、致动器24、泵26或电气辅助装置27)的测量控制系统(即物理的)参数。因此,装置监视部件40可以以通信方式耦合至控制器16。在描绘的实施例中,装置监视部件40位于控制器16内并且直接耦合至处理单元28、存储器30、存储装置32和通信设备34。备选地,装置监视部件40可以在单独的计算装置中或者在机器可读介质(例如控制器16的存储器30、监视站14、控制器16的存储装置32或其组合)中存储的可执行的非暂时性计算机指令中实现。
如上面描述的,装置监视部件40可配置成测量控制系统(即物理的)参数。测量的控制系统(即物理的)参数是工业控制系统10的操作的物理结果。因此,它们可以提供工业控制系统10中发生的过程的指示。例如,装置监视部件40可以测量处理单元28的功率使用或温度、监视通信设备34和装置(例如涡轮机20、传感器22、致动器24、泵26或电气辅助装置27)之间的通信活动或者测量由控制器16执行的过程的定时。然后,可将测量的控制系统参数传输给控制系统分析部件10并且对照控制系统规则集来分析测量的控制系统参数以确定是否出现了异常和/或入侵。
如上面描述的,进入工业控制系统12的入侵可引起工业控制系统12中意想不到的行为或异常。当检测到异常时,IPS 10可以通过警报将异常传递给监视站14和/或计算机安全监视/响应系统15。监视站14和计算机安全监视/响应系统15可配置成充当中央系统来使报告的异常相关。此外,两者可包括使得操作者能够进一步检查异常的人机界面(HMI)。例如,计算机安全监视/响应系统15上的操作者可以确定异常实际上是错误肯定并且相应地改变网络规则集。此外,操作者可以确定对检测到的异常的响应。换句话说,操作者可以能够命令工业控制系统12采取行动来改善异常。在一些实施例中,响应可以被自动确定并且传递给工业控制系统12。
图2图示了图1中示出的入侵防御系统(IPS)10的一个实施例。在描绘的实施例中,网络分析部件36包括网络监视部件42和网络规则集处理部件44(其包括网络规则集46)。类似地,控制系统分析部件38包括控制系统监视部件48和控制系统规则集处理部件50(其包括控制系统规则集52)。
如上面描述的,IPS 10配置成接收来自通信网络18的通信分组以及来自装置监视部件40的控制系统测量。通信分组可以首先通过网络监视部件42进入IPS 10。网络监视部件42可以配置成充当到IPS 10的网关。然后,通信分组被传递给网络规则集处理部件44。网络规则集处理部件44可配置成对照网络规则集46来分析通信分组以确定是否出现了网络异常和/或入侵。类似地,控制系统测量首先通过控制系统监视部件48进入IPS 10并且然后被传递给控制系统规则集处理部件50。控制系统规则集处理部件50可配置成对照控制系统规则集52来分析控制系统测量以确定是否存出现了控制系统异常和/或入侵。
图3图示了由IPS 10用来确定是否出现了异常和/或入侵的过程54的一个实施例。过程54可以以网络监视部件42接收来自通信网络18的通信分组开始(块56)。如上面描述的,通信分组可包括监视站14和控制器16之间的控制命令和/或数据。控制命令可包括文件系统访问/修改、应用/过程调用、操作系统调用、库调用或其任何组合。数据可包括由耦合至控制器16的装置(例如传感器22)采取的测量。
接下来,网络规则集处理部件44可以对照网络规则集46来测试接收的分组(块58)以确定网络规则集处理部件44是否认为出现了网络异常和/或入侵。网络规则集46可配置成包括白名单和黑名单。白名单可以是IPS 10认为与入侵无关的通信分组的列表并且黑名单可以是IPS 10认为与入侵有关的通信分组的列表。在通信分组未落在白名单或黑名单内的实例中,它可以被分类为网络异常,因为IPS 10可能不确定是否出现了入侵。
此外,为了更好地表征通信分组,网络规则集处理部件44可配置成按照上下文地查看网络通信。换句话说,网络规则集处理部件44可配置成至少部分地查看控制器的状态、工业控制系统的状态、连接到控制器的装置或其任何组合。例如,当装置(例如涡轮机20、传感器22、致动器24、泵26或电气辅助装置27)处在受托状态中时,装置是操作的并且几乎不应当对配置进行改变。因此,当网络规则集处理部件44确定通信分组正试图改变配置(例如电气保护设置)时,通信分组可以被识别为网络异常。相当地,当装置处在配置状态中时,应当允许对配置进行更多改变以使得能够对装置进行配置。其它状态可包括维护状态、紧急状态或安全响应状态。类似地,如果通信分组打算供装置用,例如涡轮机20,但是涡轮机20不在工业控制系统12中,则网络规则集处理部件44可将通信分组识别为网络异常。
过程54可以继续控制系统监视部件48接收来自装置监视部件40的控制系统测量(块60)。如上面描述的,装置监视部件40可配置成在工业控制系统12上进行控制系统(即物理的)测量,例如控制器中部件的功率使用、控制器中部件的温度、操作的定时、控制器的输入/输出、耦合至控制器的装置的遥测数据或其任何组合。例如,装置监视部件40可以测量处理单元28的温度或功率使用、监视通信设备34和装置(例如涡轮机20、传感器22、致动器24、泵26或电气辅助装置27)之间的通信活动或测量由控制器16执行的过程的定时。此外,装置监视部件40可以测量装置的遥测数据,例如涡轮机20正在旋转的速度。应该领会测量的参数表示工业控制系统12内发生的过程。
接下来,控制系统规则集处理部件50可以对照控制系统规则集52来测试接收的测量(块62)以确定控制系统规则集处理部件50是否认为出现了控制系统异常和/或入侵。再一次,控制系统规则集52可配置成包括白名单和黑名单。白名单可包括当控制系统异常未出现时测量的参数的适当测量范围。黑名单可包括一旦满足就可以表示入侵的阈值。应该领会当测量值未落在白名单范围内或超过黑名单阈值时,它可以被分类为控制系统异常。
然后可以在IPS 10中的机器学习和相关分析部件68中使来自块58和块62的结果相关(块64)以确定是否出现了入侵和/或异常(块66)。如应该领会的,规则集(例如46和52)是不完善的并且可以返回错误肯定或完全漏掉异常(即错误否定)。因此,为了取得工业控制系统12的更准确的表示,机器学习和相关分析部件68可以使网络异常、控制系统异常和入侵相关以确定它是否认为出现了异常或入侵。因为使用两种规则集(例如46和52)可以降低错误肯定和漏掉的异常和/或入侵的可能性,所以取得了工业控制系统12的入侵和/或异常的更准确检测。因此,当检测到异常和/或入侵时,可以得到更多的余地,而不是严格遵循规则集(例如46和52)。
回到图2,当检测到异常时,除了由监视站14和/或计算机安全监视/响应系统15的响应之外,IPS 10本身还可以采取进一步行动。由网络规则集处理部件44和控制系统规则集处理部件50采取的下一个行动可取决于IPS 10处于什么模式。具体地,当IPS 10处于被动模式时,IPS 10配置成尽可能最小地干涉工业控制系统12的操作。因此,网络规则集处理部件44可配置成通过网络监视部件42发送警报给计算机安全监视/响应系统15。类似地,控制系统规则集处理部件50可配置成通过控制系统监视部件48发送警报给监视系统14。当IPS 10处于主动模式时,IPS 10配置成主动保护工业控制系统12。因此,网络规则集处理部件44可以配置成过滤是异常的通信分组并且控制系统规则集处理部件50可配置成发送控制系统。例如,如果控制系统规则集处理部件50确定检测到的异常将引起装置意想不到地行动,则控制系统规则集处理部件50可以发送控制信号来停止装置的操作。
如上面描述的,IPS 10还可包括机器学习和相关分析部件68。机器学习和相关分析部件54可配置成便于创建和修改规则集(例如46和52)。在描绘的实施例中,计算机安全监视/响应系统15和监视站14可配置成将错误肯定和错误否定传递给IPS 10。因此,机器学习和相关分析部件68可配置成修改规则集(例如46和52)。具体地,在描绘的实施例中,计算机安全监视/响应系统15将网络错误肯定和错误否定传递给网络规则集处理部件44,并且监视站14将控制系统错误肯定和错误否定传递给控制系统规则集处理部件50。然后,错误否定和错误肯定被传递给机器学习和相关分析部件68。
图4图示了配置成创建和/或维护规则集(例如46和52)的过程70的一个实施例。当IPS 10处于配置/训练模式时,可以基于模型来创建规则集(例如46和52)。因此,当IPS 10处于配置/训练模式时,可以通过运行模型(块72)来开始过程70。模型可以是其中未出现入侵的操作的已知集合。接下来,IPS 10读取网络参数(块74)。如上面描述的,网络参数可以包括在控制器16和监视站14之间传递的通信分组。类似地,IPS 10读取控制系统参数(块76)。如上面描述的,控制系统参数可包括来自装置监视部件40的测量,例如功率使用、温度、定时或装置(例如20、22、24、26或27)遥测。然后,读取的网络参数和控制系统参数可以用来创建规则集(例如46和52)(块78),因为它们表示其中未出现入侵和/或异常的预期参数。一旦创建了规则集(例如46和52),IPS 10可以监视工业控制系统12的操作并且基于规则集(例如46和52)来确定是否出现了异常和/或入侵。
如上面描述的,规则集(例如46和52)可能是不完善的。因此,然后,可以维护/修改规则集(例如46和52)以更好地检测异常和/或入侵。当IPS 10处于维护模式时(决定块82),可以修改规则集(例如46和52)。当IPS 10处于维护模式时,过程70可以检查来自计算机安全监视响应系统15和监视站14的错误肯定和/或错误否定。然后,IPS再次读取网络参数(块74)和控制系统参数(块76)。因此,可以基于错误肯定、错误否定、读取的网络参数和控制系统参数来修改规则集(例如46和52)。因为工业控制系统12可包含一些入侵和/或异常,所以IPS 10可以使用算法,例如贝叶斯(Bayesian)分类器、支持向量机、人工神经网络或进化/遗传算法。
公开的实施例的技术效果包括改进工业控制系统12中的安全性。具体地,公开的技术描述了配置成更好地理解工业控制系统12中发生的过程的入侵防御系统(IPS)10。例如,IPS 10配置成监视网络参数和控制系统参数两者,例如功率使用、温度、定时或遥测数据。此外,IPS 10可配置成监视工业控制系统12的更大的上下文中的网络参数。最后,IPS10可配置成基于网络参数和控制系统参数两者来创建/修改规则集(例如46和52)。
本书面描述使用示例来公开本发明(包括最佳实施方式)并且还使得任何本领域技术人员能够实施本发明,包括制作和使用任何装置或系统以及执行任何合并的方法。本发明的可取得专利权的范围由权利要求来限定,并且可包括本领域技术人员想到的其它示例。这样的其它示例规定为在权利要求的范围内,如果它们具有与权利要求的字面语言并无不同的结构要素的话,或者如果它们包括与权利要求的字面语言并无实质差别的等同的结构要素的话。
Claims (15)
1.一种工业控制系统的监控系统,包括:
装置监视部件,配置成测量控制系统行为;以及
入侵防御系统,以通信方式耦合至所述装置监视部件和通信网络,其中所述入侵防御系统包括:
控制系统分析部件,配置成对照第一规则集来分析由所述装置监视部件测量的所述控制系统行为;
网络分析部件,配置成对照第二规则集来分析由所述通信网络传输的通信分组的网络参数,通过比较包含在白名单和黑名单中的网络参数和数据以并且基于比较结果将所述通信划分为异常和入侵中的至少一个;
机器学习和相关分析部件,配置成:
使来自所述控制系统分析部件和网络分析部件的结果相关联;
确定出何时相关联的结果出现错误肯定或错误否定;以及,
当检测出错误肯定或错误否定时修改所述第一规则集和所述第二规则集。
2.如权利要求1所述的系统,包括网络分析部件,其配置成对照第二规则集来分析来自所述通信网络的网络数据以确定是否已经发生了异常。
3.如权利要求1所述的系统,其中所述控制系统行为包括当所述装置监视部件以通信方式耦合至控制器时所述控制器的行为。
4.如权利要求3所述的系统,其中控制器行为包括所述控制器中部件的功率使用、所述控制器中所述部件的温度、操作的定时、所述控制器的输入/输出、耦合至所述控制器的装置的遥测数据或其任何组合。
5.如权利要求3所述的系统,其中所述装置监视部件位于所述控制器中。
6.如权利要求3所述的系统,其中所述装置监视部件包括与所述控制器分离的装置。
7.如权利要求1所述的系统,其中所述入侵防御系统包括单独的装置。
8.如权利要求1所述的系统,其中所述系统是工业控制系统,所述工业控制系统包括燃气涡轮机系统、气化系统、蒸汽涡轮机系统、风力涡轮机系统、水力涡轮机系统、发电系统、电力网自动化系统或其任何组合。
9.一种有形的、非暂时性的计算机可读介质,其存储通过电子装置的处理器可执行的多个指令,所述指令包括:
运行模拟工业控制系统行为的模型,所述模型不包含指令;
确定运行所述模型时传输的通信分组的网络参数;
至少部分基于所述网络参数确定网络规则集;
确定运行所述模型时测量的控制系统参数;
至少部分基于所述控制系统参数生成控制系统规则集,其中所述控制系统规则集和所述网络规则集配置成用于检测在所述工业控制系统运行中是否出现入侵;
比较包含在白名单和黑名单中的网络参数和数据;
基于比较结果将所述通信分组归为入侵。
10.如权利要求9所述的介质,其中用于执行第一测试的所述指令包括对照存储在连网分析部件中的所述网络规则集来测试所述通信分组,并且用于执行第二测试的所述指令包括对照存储在控制系统分析部件中的所述控制系统规则集来测试所述控制系统测量。
11.如权利要求9所述的介质,其中用于接收通信分组的所述指令包括接收在控制器和监视站之间发送的通信分组。
12.如权利要求9所述的介质,其中所述工业控制系统包括燃气涡轮机系统、气化系统、蒸汽涡轮机系统、风力涡轮机系统、水力涡轮机系统、发电系统、电力网自动化系统或其任何组合。
13.如权利要求9所述的介质,所述介质包括当处于配置模式中时用于执行以下操作的指令:
在工业控制系统上运行模型操作;
接收通信分组;
接收控制系统测量;以及
至少基于接收的通信分组和接收的控制系统测量来创建所述网络规则集和所述控制系统规则集。
14.如权利要求9所述的介质,所述介质包括当处于维护模式中时用于执行以下操作的指令:
运行工业控制系统;
接收通信分组;
接收控制系统测量;以及
至少基于接收的通信分组和接收的控制系统测量来修改所述网络规则集和所述控制系统规则集。
15.一种工业控制系统的监控系统,所述系统包括:
入侵防御系统,以通信方式耦合至控制器和监视站;
其中所述入侵防御系统配置成接收在所述监视站和所述控制器之间发送的网络通信,并且至少部分地基于所述控制器的状态、工业控制系统的状态、连接到所述控制器的装置或其任何组合,和包含在白名单和黑名单中的网络参数和数据之间的比较,来确定是否出现了异常、入侵或两者;
其中所述控制器的可能状态包括受托或运行状态、维护状态、配置状态、紧急状态或安全响应状态,所述工业控制系统的可能状态包括受托或运行状态、维护状态、配置状态、紧急状态或安全响应状态。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/801496 | 2013-03-13 | ||
| US13/801,496 US9405900B2 (en) | 2013-03-13 | 2013-03-13 | Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104052730A CN104052730A (zh) | 2014-09-17 |
| CN104052730B true CN104052730B (zh) | 2019-07-02 |
Family
ID=50336076
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410092807.2A Active CN104052730B (zh) | 2013-03-13 | 2014-03-13 | 用于工业控制系统的智能计算机物理入侵检测与防御系统和方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US9405900B2 (zh) |
| EP (1) | EP2779569A1 (zh) |
| JP (1) | JP6302283B2 (zh) |
| CN (1) | CN104052730B (zh) |
| BR (1) | BR102014004682A8 (zh) |
| CA (1) | CA2844225C (zh) |
| IN (1) | IN2014CH01209A (zh) |
| MX (1) | MX2014003067A (zh) |
Families Citing this family (68)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9734450B2 (en) * | 2014-06-05 | 2017-08-15 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Data loss prevention to remove false positives |
| US9660994B2 (en) * | 2014-09-30 | 2017-05-23 | Schneider Electric USA, Inc. | SCADA intrusion detection systems |
| EA201691185A1 (ru) * | 2014-10-14 | 2016-11-30 | Сикпа Холдинг Са | Интерфейс с защищенной промежуточной платформой для создания данных, совместимых с внешней системой, в цепочке поставок нефтегазовых ресурсов |
| CN104392172B (zh) * | 2014-10-30 | 2017-07-04 | 北京科技大学 | 一种基于嵌入式的工业系统的安全检测方法及系统 |
| JP6322590B2 (ja) * | 2015-02-05 | 2018-05-09 | 日本電信電話株式会社 | 端末検知システムおよび方法 |
| US10051059B2 (en) * | 2015-06-05 | 2018-08-14 | Fisher-Rosemount Systems, Inc. | Methods and apparatus to control communications of endpoints in an industrial enterprise system based on integrity |
| CN105404607B (zh) * | 2015-11-20 | 2018-02-13 | 英业达科技有限公司 | 通用串行输入输出的数据传输方法 |
| JP6693114B2 (ja) * | 2015-12-15 | 2020-05-13 | 横河電機株式会社 | 制御装置及び統合生産システム |
| JP2017129894A (ja) * | 2016-01-18 | 2017-07-27 | 三菱電機株式会社 | サイバー攻撃検知システム |
| US9979675B2 (en) * | 2016-02-26 | 2018-05-22 | Microsoft Technology Licensing, Llc | Anomaly detection and classification using telemetry data |
| US10027699B2 (en) * | 2016-03-10 | 2018-07-17 | Siemens Aktiengesellschaft | Production process knowledge-based intrusion detection for industrial control systems |
| CN105812371B (zh) * | 2016-03-17 | 2019-01-25 | 电子科技大学 | 基于神经网络的dnp通信访问控制方法 |
| US10623437B2 (en) * | 2016-04-01 | 2020-04-14 | Doble Engineering Company | Secured method for testing and maintenance of bulk electrical systems (BES) assets |
| WO2017187520A1 (ja) | 2016-04-26 | 2017-11-02 | 三菱電機株式会社 | 侵入検知装置、侵入検知方法及び侵入検知プログラム |
| JP6650343B2 (ja) * | 2016-05-16 | 2020-02-19 | 株式会社日立製作所 | 不正通信検知システム及び不正通信検知方法 |
| US11005863B2 (en) * | 2016-06-10 | 2021-05-11 | General Electric Company | Threat detection and localization for monitoring nodes of an industrial asset control system |
| US10417425B2 (en) | 2016-06-13 | 2019-09-17 | The Trustees Of Columbia University In The City Of New York | Secured cyber-physical systems |
| JP6400255B2 (ja) * | 2016-06-23 | 2018-10-03 | 三菱電機株式会社 | 侵入検知装置および侵入検知プログラム |
| US11431733B2 (en) * | 2016-09-07 | 2022-08-30 | Singapore University Of Technology And Design | Defense system and method against cyber-physical attacks |
| US10262143B2 (en) | 2016-09-13 | 2019-04-16 | The Mitre Corporation | System and method for modeling and analyzing the impact of cyber-security events on cyber-physical systems |
| DE112016007159B4 (de) | 2016-09-26 | 2024-02-15 | Mitsubishi Electric Corporation | Signalverarbeitungseinrichtung, signalverarbeitungsverfahren und signalverarbeitungsprogramm |
| US10819719B2 (en) * | 2016-10-11 | 2020-10-27 | General Electric Company | Systems and methods for protecting a physical asset against a threat |
| US9961089B1 (en) * | 2016-10-20 | 2018-05-01 | Mitsubishi Electric Research Laboratories, Inc. | Distributed estimation and detection of anomalies in control systems |
| CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
| US10678912B2 (en) | 2016-11-15 | 2020-06-09 | General Electric Company | Dynamic normalization of monitoring node data for threat detection in industrial asset control system |
| US10417415B2 (en) * | 2016-12-06 | 2019-09-17 | General Electric Company | Automated attack localization and detection |
| US10204226B2 (en) | 2016-12-07 | 2019-02-12 | General Electric Company | Feature and boundary tuning for threat detection in industrial asset control system |
| US10397257B2 (en) | 2016-12-07 | 2019-08-27 | General Electric Company | Multi-mode boundary selection for threat detection in industrial asset control system |
| CN106773719A (zh) * | 2017-01-25 | 2017-05-31 | 上海云剑信息技术有限公司 | 一种基于bp神经网络的工业控制系统漏洞自动挖掘方法 |
| US10728264B2 (en) * | 2017-02-15 | 2020-07-28 | Micro Focus Llc | Characterizing behavior anomaly analysis performance based on threat intelligence |
| CN107067619B (zh) * | 2017-03-21 | 2020-02-11 | 上海斐讯数据通信技术有限公司 | 一种基于网络的防盗方法及系统 |
| US10476902B2 (en) * | 2017-04-26 | 2019-11-12 | General Electric Company | Threat detection for a fleet of industrial assets |
| JP2018185712A (ja) * | 2017-04-27 | 2018-11-22 | 株式会社日立製作所 | セキュリティ監視システム及びセキュリティ監視方法 |
| JP2019030218A (ja) * | 2017-08-01 | 2019-02-21 | 国立大学法人電気通信大学 | 人型ロボットなどのサイバーフィジカルシステムにおける物理機能例外処理方式 |
| DE102017214203A1 (de) * | 2017-08-15 | 2019-02-21 | KSB SE & Co. KGaA | Verfahren zum Schutz vor Kavitation bei Cyberangriffen und Einheit zur Durchführung des Verfahrens |
| AU2018316966B2 (en) * | 2017-08-18 | 2021-10-07 | Nippon Telegraph And Telephone Corporation | Intrusion prevention device, intrusion prevention method, and program |
| US10686806B2 (en) * | 2017-08-21 | 2020-06-16 | General Electric Company | Multi-class decision system for categorizing industrial asset attack and fault types |
| US10505955B2 (en) | 2017-08-22 | 2019-12-10 | General Electric Company | Using virtual sensors to accommodate industrial asset control systems during cyber attacks |
| US10831890B2 (en) * | 2017-09-19 | 2020-11-10 | Palo Alto Research Center Incorporated | Method and system for detecting attacks on cyber-physical systems using redundant devices and smart contracts |
| WO2019096545A1 (de) * | 2017-11-15 | 2019-05-23 | KSB SE & Co. KGaA | Verfahren und vorrichtung zum cyberangriffsschutz von pumpenaggregaten |
| CN107798390B (zh) | 2017-11-22 | 2023-03-21 | 创新先进技术有限公司 | 一种机器学习模型的训练方法、装置以及电子设备 |
| CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
| US10785237B2 (en) * | 2018-01-19 | 2020-09-22 | General Electric Company | Learning method and system for separating independent and dependent attacks |
| GB2578268B (en) * | 2018-01-29 | 2021-12-29 | Ge Aviat Systems Ltd | Configurable network switch for industrial control systems including deterministic networks |
| US10623416B2 (en) | 2018-01-31 | 2020-04-14 | International Business Machines Corporation | Torrent attack detection |
| CN110224970B (zh) * | 2018-03-01 | 2021-11-23 | 西门子公司 | 一种工业控制系统的安全监视方法和装置 |
| CN110224969A (zh) * | 2018-03-01 | 2019-09-10 | 中兴通讯股份有限公司 | 数据的处理方法及装置 |
| JP7200496B2 (ja) * | 2018-03-30 | 2023-01-10 | 日本電気株式会社 | 情報処理装置、制御方法、及びプログラム |
| JP7071876B2 (ja) * | 2018-05-25 | 2022-05-19 | 株式会社東芝 | 制御システム、および異常要因判定方法 |
| EP3611587A1 (de) * | 2018-08-16 | 2020-02-19 | Siemens Aktiengesellschaft | System zur steuerung und überwachung von adaptiven cyber-physikalischen systemen |
| US11297082B2 (en) * | 2018-08-17 | 2022-04-05 | Nec Corporation | Protocol-independent anomaly detection |
| US10990668B2 (en) | 2018-09-17 | 2021-04-27 | General Electric Company | Local and global decision fusion for cyber-physical system abnormality detection |
| US11171976B2 (en) | 2018-10-03 | 2021-11-09 | Raytheon Technologies Corporation | Cyber monitor segmented processing for control systems |
| US10956578B2 (en) | 2018-10-05 | 2021-03-23 | General Electric Company | Framework for determining resilient manifolds |
| RU2724075C1 (ru) | 2018-12-28 | 2020-06-19 | Акционерное общество "Лаборатория Касперского" | Система и способ определения источника аномалии в кибер-физической системе, обладающей определенными характеристиками |
| CN109766694B (zh) * | 2018-12-29 | 2021-09-03 | 北京威努特技术有限公司 | 一种工控主机的程序协议白名单联动方法及装置 |
| WO2020209837A1 (en) * | 2019-04-09 | 2020-10-15 | Siemens Aktiengesellschaft | Industrial process system threat detection |
| US11343266B2 (en) | 2019-06-10 | 2022-05-24 | General Electric Company | Self-certified security for assured cyber-physical systems |
| EP3751813B1 (en) * | 2019-06-13 | 2023-03-22 | ABB Schweiz AG | Device and method for performing threat detection and/or mitigation |
| CN113958377B (zh) * | 2020-07-03 | 2023-04-07 | 东方电气股份有限公司 | 一种汽轮机网络安全实时在线监测系统及方法 |
| US20240028010A1 (en) * | 2020-09-29 | 2024-01-25 | Fanuc Corporation | Network relay device |
| JP7438915B2 (ja) * | 2020-11-05 | 2024-02-27 | 株式会社東芝 | 情報処理装置、プログラムおよび情報処理システム |
| WO2022177991A1 (en) * | 2021-02-16 | 2022-08-25 | Ap Cyber Llc | Firewall gateway device and related methods for protecting distributed energy resources and other operational technologies against cyberattacks |
| US11790081B2 (en) | 2021-04-14 | 2023-10-17 | General Electric Company | Systems and methods for controlling an industrial asset in the presence of a cyber-attack |
| US12034741B2 (en) | 2021-04-21 | 2024-07-09 | Ge Infrastructure Technology Llc | System and method for cyberattack detection in a wind turbine control system |
| CN114137934A (zh) * | 2021-11-23 | 2022-03-04 | 国网江西省电力有限公司电力科学研究院 | 一种具有入侵检测功能的工业控制系统及检测方法 |
| US12058157B1 (en) * | 2022-06-03 | 2024-08-06 | Amazon Technologies, Inc. | Anomalous computer activity detection and prevention |
| CN114884754B (zh) * | 2022-07-11 | 2022-09-23 | 深圳特科动力技术有限公司 | 一种智能分析来实现故障预知的网络安防系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2525548A1 (en) * | 2011-05-16 | 2012-11-21 | General Electric Company | Systems, methods, and apparatus for network intrusion detection based on monitoring network traffic |
| GB2491237A (en) * | 2011-05-23 | 2012-11-28 | Boeing Co | Method and system for use in identifying abnormal behaviour ina control system |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL106617A (en) | 1993-08-08 | 1995-06-29 | Israel State | Intrusion detector |
| US6980927B2 (en) | 2002-11-27 | 2005-12-27 | Telos Corporation | Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing continuous risk assessment |
| US7657939B2 (en) | 2005-03-14 | 2010-02-02 | International Business Machines Corporation | Computer security intrusion detection system for remote, on-demand users |
| CA2623137C (en) | 2005-05-13 | 2014-10-21 | Cryptomill Technologies Ltd. | Cryptographic control for mobile storage means |
| US8464354B2 (en) | 2005-05-13 | 2013-06-11 | Cryptomill Inc. | Content cryptographic firewall system |
| US7966659B1 (en) * | 2006-04-18 | 2011-06-21 | Rockwell Automation Technologies, Inc. | Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like |
| CN101610587B (zh) * | 2009-07-13 | 2011-12-07 | 中兴通讯股份有限公司 | 一种基于tdd制式的数据传输方法和装置 |
| US8112521B2 (en) | 2010-02-25 | 2012-02-07 | General Electric Company | Method and system for security maintenance in a network |
| US8712596B2 (en) * | 2010-05-20 | 2014-04-29 | Accenture Global Services Limited | Malicious attack detection and analysis |
| US20130086635A1 (en) | 2011-09-30 | 2013-04-04 | General Electric Company | System and method for communication in a network |
| US20130086680A1 (en) | 2011-09-30 | 2013-04-04 | General Electric Company | System and method for communication in a network |
-
2013
- 2013-03-13 US US13/801,496 patent/US9405900B2/en active Active
-
2014
- 2014-02-27 CA CA2844225A patent/CA2844225C/en active Active
- 2014-02-27 BR BR102014004682A patent/BR102014004682A8/pt not_active IP Right Cessation
- 2014-03-03 JP JP2014040025A patent/JP6302283B2/ja active Active
- 2014-03-10 IN IN1209CH2014 patent/IN2014CH01209A/en unknown
- 2014-03-10 EP EP14158644.6A patent/EP2779569A1/en not_active Withdrawn
- 2014-03-13 CN CN201410092807.2A patent/CN104052730B/zh active Active
- 2014-03-13 MX MX2014003067A patent/MX2014003067A/es active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2525548A1 (en) * | 2011-05-16 | 2012-11-21 | General Electric Company | Systems, methods, and apparatus for network intrusion detection based on monitoring network traffic |
| GB2491237A (en) * | 2011-05-23 | 2012-11-28 | Boeing Co | Method and system for use in identifying abnormal behaviour ina control system |
Also Published As
| Publication number | Publication date |
|---|---|
| IN2014CH01209A (zh) | 2015-05-29 |
| BR102014004682A8 (pt) | 2016-06-21 |
| EP2779569A1 (en) | 2014-09-17 |
| CA2844225A1 (en) | 2014-09-13 |
| CN104052730A (zh) | 2014-09-17 |
| JP2014179074A (ja) | 2014-09-25 |
| MX2014003067A (es) | 2014-09-16 |
| CA2844225C (en) | 2020-12-29 |
| JP6302283B2 (ja) | 2018-03-28 |
| US20140283047A1 (en) | 2014-09-18 |
| US9405900B2 (en) | 2016-08-02 |
| BR102014004682A2 (pt) | 2016-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104052730B (zh) | 用于工业控制系统的智能计算机物理入侵检测与防御系统和方法 | |
| CN107491057B (zh) | 保护工业资产控制系统的系统及方法及计算机可读介质 | |
| US11093606B2 (en) | System and method for detecting a cyber-attack at SCADA/ICS managed plants | |
| US11431733B2 (en) | Defense system and method against cyber-physical attacks | |
| US20160330225A1 (en) | Systems, Methods, and Devices for Detecting Anomalies in an Industrial Control System | |
| US11689544B2 (en) | Intrusion detection via semantic fuzzing and message provenance | |
| US10956567B2 (en) | Control device, integrated industrial system, and control method thereof | |
| Robles-Durazno et al. | PLC memory attack detection and response in a clean water supply system | |
| US20130318018A1 (en) | Neural network-based turbine monitoring system | |
| US10819742B2 (en) | Integrated industrial system and control method thereof | |
| Yang et al. | iFinger: Intrusion detection in industrial control systems via register-based fingerprinting | |
| US20150241304A1 (en) | Method for the computer-assisted monitoring of the operation of a technical system, particularly of an electrical energy-generating installation | |
| Kaouk et al. | A review of intrusion detection systems for industrial control systems | |
| CN105320854A (zh) | 通过签名平衡防止自动化组件受到程序篡改 | |
| CN104464158A (zh) | 一种火灾报警的联动控制方法及系统 | |
| CN113671909A (zh) | 一种钢铁工控设备安全监测系统和方法 | |
| Rajesh et al. | Detection and blocking of replay, false command, and false access injection commands in scada systems with modbus protocol | |
| Chromik et al. | Context-aware local Intrusion Detection in SCADA systems: a testbed and two showcases | |
| Nicholson et al. | Position paper: Safety and security monitoring in ics/scada systems | |
| CN105074833B (zh) | 用于识别对控制和调节单元的系统状态的未授权操控的装置以及具有该装置的核设施 | |
| Hill et al. | Using bro with a simulation model to detect cyber-physical attacks in a nuclear reactor | |
| CN113704066A (zh) | 机房设备监控管理方法、存储介质及系统 | |
| Leao et al. | Machine learning-based false data injection attack detection and localization in power grids | |
| Wang et al. | Intrusion detection model of SCADA using graphical features | |
| Ramos et al. | LSTM-Based Detection of OT Cyber-Attacks for an Offshore HVAC-Cooling Process |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240111 Address after: Swiss Baden Patentee after: GENERAL ELECTRIC CO. LTD. Address before: New York State, USA Patentee before: General Electric Co. |
|
| TR01 | Transfer of patent right |