CN107390567B - 用于保护工业资产控制系统的系统以及方法 - Google Patents
用于保护工业资产控制系统的系统以及方法 Download PDFInfo
- Publication number
- CN107390567B CN107390567B CN201710280076.8A CN201710280076A CN107390567B CN 107390567 B CN107390567 B CN 107390567B CN 201710280076 A CN201710280076 A CN 201710280076A CN 107390567 B CN107390567 B CN 107390567B
- Authority
- CN
- China
- Prior art keywords
- threat
- normal
- node
- feature
- feature vectors
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 239000013598 vector Substances 0.000 claims abstract description 102
- 238000001514 detection method Methods 0.000 claims abstract description 73
- 230000001010 compromised effect Effects 0.000 claims abstract description 15
- 230000006378 damage Effects 0.000 claims description 20
- 238000013461 design Methods 0.000 claims description 19
- 230000008569 process Effects 0.000 claims description 12
- 238000012216 screening Methods 0.000 claims description 10
- 230000006870 function Effects 0.000 claims description 9
- 230000002452 interceptive effect Effects 0.000 claims description 8
- 238000013135 deep learning Methods 0.000 claims description 7
- 239000011159 matrix material Substances 0.000 claims description 7
- 238000012706 support-vector machine Methods 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000010801 machine learning Methods 0.000 claims description 6
- 238000012731 temporal analysis Methods 0.000 claims description 6
- 238000000700 time series analysis Methods 0.000 claims description 6
- 230000001052 transient effect Effects 0.000 claims description 6
- 230000003137 locomotive effect Effects 0.000 claims description 5
- 238000012913 prioritisation Methods 0.000 claims description 4
- 238000013507 mapping Methods 0.000 claims description 3
- 238000013401 experimental design Methods 0.000 claims description 2
- 238000004904 shortening Methods 0.000 claims 1
- 238000004891 communication Methods 0.000 description 7
- 238000013400 design of experiment Methods 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 239000000446 fuel Substances 0.000 description 4
- 238000012549 training Methods 0.000 description 4
- 238000012631 diagnostic technique Methods 0.000 description 3
- 238000002474 experimental method Methods 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 238000012806 monitoring device Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000005284 basis set Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000000205 computational method Methods 0.000 description 1
- 230000006735 deficit Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000704 physical effect Effects 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000000513 principal component analysis Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明提供一种用于保护工业资产控制系统的系统以及方法。正常空间数据源为多个威胁节点中的每个威胁节点存储表示工业资产控制系统的正常操作的一系列正常值,而受威胁空间数据源存储一系列受威胁值。模型创建计算机可生成正常特征向量和受威胁特征向量的集合。所述计算机还可基于所述正常特征向量和所述受威胁特征向量来为威胁检测模型计算并输出至少一个判定边界。随后,所述多个威胁节点可从表示所述资产控制系统的当前操作的威胁节点生成一系列当前值。威胁检测计算机可从威胁节点接收所述一系列当前值,生成一组当前特征向量,执行所述威胁检测模型以及基于所述当前特征向量和所述至少一个判定边界来发送威胁警报信号。
Description
技术领域
本发明总体上涉及工业资产控制系统(industrial asset control system),更具体地特别涉及用于保护工业资产控制系统的系统以及方法,及对应的域级威胁检测(domain level threat detection)。
背景技术
操作物理系统的工业控制系统(例如,与动力涡轮机、喷气发动机、机车、自动驾驶车辆(autonomous vehicle)等相关联)越来越多地连接到互联网。因此,这些控制系统越来越容易遭受诸如网络攻击(例如,与计算机病毒、恶意软件等相关联)等威胁,这些威胁可能中断(disrupt)发电和配电、损坏发动机、造成车辆故障等。当前的方法主要考虑信息技术(“IT”(Information Technology),例如存储、检索、传输、操纵数据的计算机)和操作技术(“OT”(Operation Technology),例如直接监控装置和通信总线接口)中的威胁检测。从2010年震网(Stuxnet)攻击中可以看出,网络威胁仍然可以穿透这些保护层并达到物理“域”。这种攻击可能降低控制系统的性能,并且可能导致设备(a plant)的完全关机或灾难性损坏。当前,在网络事件期间没有方法可用于在传感器、控制器和致动器(actuators)所在的域层处自动检测威胁。在一些情况下,多个攻击可能同时发生(例如,未授权方可能同时恶意更改控制系统装置内的多个致动器、传感器或参数)。应该注意,例如在域层发生的隐秘(stealthy)攻击的网络攻击的一些不明显后果(subtle consequences)可能不容易检测到(例如,当检测算法中仅使用一个威胁节点,例如传感器节点时)。用于保护工业控制系统的现有方法,例如故障和诊断技术,可能不足以解决(address)这些威胁,尤其是多个攻击同时发生时,因为所述多个错误/故障诊断技术并非设计成以自动方式检测隐秘攻击。因此,需要以自动和准确的方式保护工业资产控制系统免受网络威胁,即使当攻击穿过(percolate)IT和OT层并直接损害控制系统时。
发明内容
根据一些实施例,用于保护工业资产控制系统免受网络威胁的系统可包括来自威胁节点(也称为“威胁点”)的正常空间。威胁节点可以是来自用于监控网络威胁或异常事件的发生的关键传感器(critical sensors)、控制器节点、致动器和/或关键软件节点(keysoftware nodes)的信号。所述正常空间数据源可为多个威胁节点(例如,传感器节点、致动器节点、控制器节点、软件节点等)中的每个威胁节点,存储数据以及表示工业资产控制系统的正常操作的来自威胁节点的一系列正常值(也称为“数据流”)。类似地,受威胁空间数据源可存储来自威胁节点的一系列受威胁值。受威胁值可视作异常空间数据。通常,控制系统不在所述异常空间中操作,因为这种操作可能导致损坏、整体关机和/或产生设备部件的灾难性损坏或缓慢降级。模型创建计算机可使用来自威胁节点的值生成正常和受威胁特征向量的集合(sets of normal and threatened feature vectors)。特征可包括从一个或多个测量数据流提取的各个数量。所述计算机还可基于所述正常特征向量和受威胁特征向量来计算并输出用于威胁检测模型的判定边界。然后,所述多个这些值可从威胁节点生成表示所述资产控制系统的当前操作的一系列当前值。威胁检测计算机可从威胁节点接收所述系列的当前值、从这些当前值生成当前特征向量集合、执行所述威胁检测模型以及基于所述当前特征向量和所述判定边界来发送威胁警报信号。
一些实施例包括:为多个威胁节点(a plurality of threat nodes)中的每个威胁节点,从威胁节点检索表示所述工业资产控制系统的正常操作的随时间的推移的一系列正常值的装置;为所述多个威胁节点中的每个威胁节点,从威胁节点检索表示所述工业资产控制系统的受威胁操作的随时间的推移的一系列受威胁或异常值的装置;以及用于基于所述一组正常特征向量和所述一组受威胁特征向量,自动计算并输出威胁检测模型的判定边界的装置。
其他实施例包括:接收装置,所述接收装置用于从多个威胁节点接收表示所述工业资产控制系统的当前操作的随时间的推移的一系列值;生成装置,所述生成装置用于基于从威胁节点接收的一系列值,通过威胁检测计算机生成一组当前特征向量;以及执行装置,所述执行装置用于执行威胁检测模型,所述威胁检测模型基于所述一组当前特征向量和判定边界发送威胁警报信号。
在另一实施例中,提供一种用于保护工业资产控制系统的系统,所述系统包括多个威胁节点和威胁检测计算机;所述多个威胁节点中的每个威胁节点生成表示所述工业资产控制系统的当前操作的随时间的推移的(over time)一系列当前威胁节点值;所述威胁检测计算机连接到所述多个威胁节点,以:(i)接收所述一系列当前威胁节点值并生成一组当前特征向量,(ii)访问威胁检测模型,所述威胁检测模型具有使用一组正常特征向量和一组受威胁特征向量所创建的至少一个判定边界,并且(iii)执行所述威胁检测模型并基于所述一组当前特征向量和所述至少一个判定边界来发送威胁警报信号。
进一步的,所述一组正常特征向量和所述一组受威胁特征向量中的至少一者与以下项中的至少一项相关联:(i)主分量(principal components),(ii)统计特征(statistical features),(iii)深度学习特征(deep learning features),(iv)频域特征(frequency domain features),(v)时间序列分析特征(time series analysisfeatures),(vi)逻辑特征(logical features),(vii)地理位置或定位的位置以及(viii)交互特征(interaction features)。
进一步的,包括所述至少一个判定边界的所述威胁检测模型基于以下项中的至少一项进行动态适配:(i)瞬态条件(a transient condition),(ii)所述工业资产控制系统的稳态模型(a steady state model),以及(iii)当以自学习系统操作所述系统时从输入数据流获得的数据集(data sets)。
进一步的,所述威胁检测模型与以下项中的至少一项相关联:(i)致动器攻击,(ii)控制器攻击,(iii)威胁节点攻击,(iv)设备状态攻击(a plant state attack),(v)电子欺骗(spoofing),(vi)财务损失(financial damage),(vii)单元可用性(unitavailability),(viii)单元跳闸(a unit trip),(ix)单元寿命缩短(a loss of unitlife),以及(x)需要至少一个新零件的资产损坏。
更进一步的,将来自所述多个威胁节点中的每个威胁节点的信息标准化,并且将输出表示为基底函数的加权线性组合(a weighted linear combination of basisfunctions)。
进一步的,使用威胁节点数据矩阵的协方差(covariance)来获得自然基底向量。
进一步的,其中所述威胁节点与以下项中的至少一项相关联:(i)关键传感器节点,(ii)致动器节点,(iii)控制器节点,以及(iv)关键软件节点。
进一步的,其中包括所述至少一个判定边界的所述威胁检测模型与以下项中的至少一项相关联:(i)线,(ii)超平面以及(iii)将正常空间与受威胁空间隔开的非线性边界。
进一步的,其中包括所述至少一个判定边界的所述威胁检测模型是多级判定边界(a multi-class decision boundary),所述多级判定边界将正常空间,受威胁空间和降级操作空间隔开。
所述的系统进一步包括:正常空间数据源,所述正常空间数据源为所述多个威胁节点中的每个威胁节点存储表示所述工业资产控制系统的正常操作的随时间的推移的一系列正常威胁节点值;受威胁空间数据源,所述受威胁空间数据源为所述多个威胁节点中的每个威胁节点存储表示所述工业资产控制系统的受威胁操作的随时间的推移的一系列受威胁的威胁节点值;以及威胁检测模型创建计算机,所述威胁检测模型创建计算机连接到所述正常空间数据源和所述受威胁空间数据源,以:(i)接收所述一系列正常威胁节点值并生成所述一组正常特征向量,(ii)接收所述一系列受威胁的威胁节点值并生成所述一组受威胁特征向量,以及(iii)基于所述一组正常特征向量和所述一组受威胁特征向量,自动计算并输出所述威胁检测模型的所述至少一个判定边界。
进一步的,其中所述一系列正常威胁节点值和所述一系列受威胁的威胁节点值中的至少一者与高保真设备模型相关联。
进一步的,其中至少一个判定边界存在于多维空间中,并且与以下项中的至少一项相关联:(i)动态模型(a dynamic model),(ii)实验数据的设计(design of experimentdata),(iii)机器学习技术(machine learning techniques),(iv)支持向量机器()asupport vector machine),(v)全因子过程(a full factorial process),(vi)Taguchi筛选(Taguchi screening),(vii)中心组合成方法(a central composite methodology),(viii)Box-Behnken方法,(ix)现实世界操作条件,(x)全因子设计,(xi)筛选设计和(xii)中心组合设计(a central composite design)。
进一步的,所述多个受威胁的威胁节点值是根据风险优先级数分析(a riskpriority number analysis),从一组潜在威胁向量生成的,所述风险优先级数分析包括以下项中的至少一项:(i)专业知识水平,(ii)时间量,(iii)容易程度以及(iv)损坏量。
进一步的,其中所述威胁检测模型与所述判定边界以及以下项中的至少一项相关联:(i)特征映射和(ii)特征参数。
进一步的,其中所述正常威胁节点值和所述受威胁的威胁节点值中的至少一者是通过在与以下项中至少一项相关联的工业控制系统上运行实验设计获得的:(i)动力涡轮机,(ii)喷气发动机,(iii)机车和(iv)自动驾驶车辆。
在另一实施例中,提供一种保护工业资产控制系统的计算机化方法,包括:为所述多个威胁节点中的每个威胁节点检索表示所述工业资产控制系统的正常操作的随时间的推移的一系列正常威胁节点值;基于所述正常威胁节点值生成一组正常特征向量;为所述多个威胁节点中的每个威胁节点检索表示所述工业资产控制系统的受威胁操作的随时间的推移的一系列受威胁的威胁节点值;基于所述受威胁的威胁节点值生成一组受威胁特征向量;以及基于所述一组正常特征向量和所述一组受威胁特征向量,自动计算并输出所述威胁检测模型的所述至少一个判定边界。
进一步的,其中所述至少一个判定边界存在于多维空间中,并与以下项中的至少一项相关联:(i)动态模型,(ii)实验数据的设计,(iii)机器学习技术,(iv)支持向量机器,(v)全因子过程,(vi)Taguchi筛选,(vii)中心组合方法,(viii)Box-Behnken方法,(ix)现实世界操作条件,(x)全因子设计,(xi)筛选设计和(xii)中心组合设计。
进一步的,所述一组正常特征向量和所述一组受威胁特征向量中的至少一者与以下项中的至少一项相关联:(i)主分量,(ii)统计特征,(iii)深度学习特征,(iv)频域特征,(v)时间序列分析特征,(vi)逻辑特征,(vii)地理位置或基于定位的位置以及(viii)交互特征。
进一步的,所述多个受威胁节点值是根据风险优先级数分析,从一组潜在威胁向量生成的,所述风险优先级数分析包括以下项中的至少一项:(i)专业知识水平,(ii)时间量,(iii)容易程度以及(iv)损坏量。
进一步的,所述至少一个判定边界基于以下项中的至少一项进行动态适配:(i)瞬态条件,(ii)所述工业资产控制系统的稳态模型,以及(iii)当以自学习系统操作所述系统时从输入数据流获得的数据集。
进一步的,将来自所述多个威胁节点中每个威胁节点的信息标准化,并且将输出表示为基底函数的加权线性组合。
进一步的,使用威胁节点数据矩阵的协方差来获得自然基底向量。
在又一实施例中,提供一种非瞬时计算机可读介质,所述非瞬时计算机可读介质存储指令,所述指令在被计算机处理器执行时,使所述计算机处理器执行保护工业资产控制系统的方法,所述方法包括:从多个威胁节点接收表示所述工业资产控制系统的当前操作的随时间的推移的一系列当前威胁节点值;基于所接收的一系列当前威胁节点值,通过威胁检测计算机生成一组当前特征向量;以及执行威胁检测模型,所述威胁检测模型基于所述一组当前特征向量和所述至少一个判定边界来发送威胁警报信号。
本说明书中所公开的一些实施例的一些技术优势在于以自动准确的方式保护工业资产控制系统免受网络威胁的改进的系统和方法。
附图说明
图1是可根据一些实施例提供的系统的高级方框图。
图2是根据一些实施例的模型创建方法。
图3是根据一些实施例的威胁警报方法。
图4图示了根据一些实施例的离线过程。
图5图示了根据一些实施例的实时过程。
图6是根据一些实施例的与燃气涡轮发动机相关联的实例。
图7是根据一些实施例的威胁向量损伤显示。
图8是根据一些实施例的全局威胁保护系统的实例。
图9图示了根据一些实施例的传感器输出的三个维度。
图10是根据一些实施例的判定边界显示。
图11是根据本发明的一些实施例的工业资产控制系统保护平台的方框图。
图12是威胁检测数据库的表格部分。
具体实施方式
以下详细描述中阐述了许多具体细节,以便提供对实施例的透彻理解。然而,所属领域中的普通技术人员应了解,可在不使用这些具体细节的基础上实践这些实施例。在其他情况下,未详细说明公知的方法、程序、部件和电路,以免模糊所述实施例。
操作物理系统的工业控制系统不断地连接到互联网。因此,这些控制系统已越来越容易受到威胁,并且在一些情况下,多次攻击可能同时发生。保护工业控制系统的现有方法,例如故障和诊断技术,可能不足以解决这些威胁,特别是在多个攻击同时发生时。因而,需要以自动准确的方式保护工业资产控制系统免受网络威胁。图1是根据一些实施例的系统100的高级架构图。系统100可包括“正常空间”数据源(“normal space”data source)110和“受威胁空间”(threatened space)数据源120。正常空间数据源110为多个威胁节点130中的每个威胁节点存储表示工业资产控制系统的正常操作的随时间的推移的一系列正常值(例如,由模型生成的或从如图1中以虚线所示的实际传感器130收集的值)。受威胁空间数据源120可以为威胁节点130中的每个威胁节点,存储表示所述工业资产控制系统的受威胁操作(例如,当所述系统遭受网络攻击时)的一系列受威胁值。
可向威胁检测模型创建计算机140提供来自正常空间数据源110和受威胁空间数据源120的信息,所述威胁检测模型创建计算机使用该数据创建判定边界(即,将正常性能(behavior)与受威胁性能分离的边界)。随后,可由执行威胁检测模型155的威胁检测计算机150使用所述判定边界。例如,威胁检测模型155可监控来自威胁节点130的数据流,其中所述数据流包括来自传感器节点、致动器节点和/或其他任何关键监控节点(例如,威胁节点S1到威胁节点SN)的数据,并且在合适时(例如,用于向用户显示)向一个或多个远程监控装置170输出威胁警报信号。例如,本说明书中所用的术语“自动”(automatically)可以指可在极少或无人为干预下执行的操作。根据一些实施例所述,关于所检测的威胁的信息可发回至所述工业控制系统。
本说明书中所用的装置,包括与系统100相关联的装置以及本说明书中所述的其他任何装置,可通过任何通信网络交换信息,所述通信网络可以是以下项中的一项或多项:局域网(“LAN”)、城域网(“MAN”)、广域网(“WAN”)、专有网络、公共交换电话网(“PSTN”)、无线应用协议(“WAP”)网络、蓝牙网络、无线LAN网络和/或互联网协议(“IP”)网络,例如互联网、内联网或外联网。应该注意的是,本说明书中所述的任何装置均可通过一个或多个该等通信网络进行通信。
威胁检测模型创建计算机140可将信息存储到各种数据存储器中,例如,正常空间数据源110和/或受威胁空间数据源120,并且/或者从所述数据存储器检索(retrieve)信息。所述各种数据源可存储在威胁检测模型创建计算机140本地,或者位于所述威胁检测模型创建计算机140的远程端。尽管图1中只示出了单个威胁检测模型创建计算机140,但可包括任何数量的该装置。此外,可根据本发明的实施例,将本说明书中所述的各种装置相组合。例如,在一些实施例中,威胁检测模型创建计算机140以及一个或多个数据源110、120可组成单个装置。威胁检测模型创建计算机140的功能可由分布式处理或基于云的架构中的联网装置组来执行。
用户可根据本说明书中所述的任何实施例,可通过一个监控装置170(例如,个人电脑(“PC”)、平板设备或智能手机)访问系统100,以查看关于威胁信息的信息和/或管理威胁信息。在一些情况中,用户可使用交互式图形显示界面定义和/或调整特定参数(例如,威胁检测触发级(threat detection trigger levels))和/或提供或接收来自威胁检测模型创建计算机140和/或威胁检测计算机150的自动生成的建议或结果。
例如,图2图示了可由相对于图1所述的系统100的一些或所有元件执行的模型创建方法。本说明书中所述的流程图并不暗示步骤的固定顺序,并且本发明的实施例可以以任何可行的顺序进行实践。应注意,本说明书中所述的任何方法可由硬件、软件或这些方法的任何组合来执行。例如,计算机可读存储介质可在其上存储指令,所述指令在由机器执行时,可执行本说明书中所述实施例。
在步骤S210处,所述系统可为多个威胁节点中的每个威胁节点检索表示工业资产控制系统的正常操作的随时间的推移的一系列正常值,并且可生成一组正常特征向量。类似地,在步骤S220处,所述系统可为多个威胁节点中的每个威胁节点,检索表示工业资产控制系统的受威胁操作的随时间的推移的一系列受威胁值,并且可生成一组受威胁特征向量。例如,可通过在与动力涡轮机、喷气发动机、机车、自动驾驶车辆等相关联的工业控制系统上运行实验设计(“DoE”)来获得所述一系列正常值和/或受威胁值。在步骤S230处,可基于所述一组正常特征向量和所述一组受威胁特征向量自动计算和输出威胁检测模型的判定边界。根据一些实施例,所述判定边界可与将正常空间与受威胁空间分隔的线、超平面(hyperplane)、非线性边界相关联,并且/或者与多个判定边界相关联。此外,判定边界可包括分隔正常空间、受威胁空间和降级操作空间的多级判定边界。另外,应该注意,威胁检测模型可与所述判定边界、特征映射(feature mapping)功能和/或特征参数相关联。
随后,所述判定边界可用于检测网络攻击。例如,图3是根据一些实施例的威胁警报方法。在步骤S310处,所述系统可从多个威胁节点接收表示所述工业资产控制系统的当前操作的随时间的推移的一系列当前值。在步骤320处,威胁检测计算机可随后基于所接收的一系列当前值生成一组当前特征向量。在步骤S330处,在适当情况下(例如,当检测到网络攻击时),可执行威胁检测模型,以基于所述一组当前特征向量以及判定边界发送威胁警报信号。根据一些实施例,可在发送威胁警报信号时执行一个或多个响应操作。例如,所述系统可自动关闭所述工业资产控制系统的全部或一部分(例如,以进一步调查所述检测到的潜在网络攻击)。作为其他实例,可自动修改一个或多个参数,可自动触发软件应用程序以捕获数据和/或隔离可能的原因等。
本说明书中所述的一些实施例可通过从调谐的高保真设备模型和/或实际“作业中”数据进行先验地学习来利用控制系统的物理性质检测系统的单个或多个同时发生的不利威胁。此外,根据一些实施例,可使用基于高级特征的方法来转换所有威胁节点数据,并且可以以大体实时的方式监控所述控制系统的实时操作。可通过将所监控的数据分类成“正常”或中断(或退化)来检测异常。该判定边界可使用动态模型进行构造,并且可有助于早期检测到漏洞(vulnerabilities)(并且可能得以避免灾难性故障),从而允许操作者及时地将控制系统恢复至正常操作状态。
应该注意,可自动提取(例如,通过算法)和/或手动输入的适当一组多维特征向量可包括在低维向量空间中的所测量数据的良好预测器。根据一些实施例,可使用通过与DoE技术相关的科学原理获得的数据集来在多维空间中构造合适的判定边界。此外,可使用多个计算法(例如,支持向量机器或机器学习技术)生成判定边界。由于可由所测量的数据(或从高保真模型(high fidelity models)生成的数据)驱动边界,因此限定的边界边缘可有助于在多维特征空间中创建威胁区。此外,所述边缘本质上可以是动态的,并且基于设备的瞬态或稳态模型进行适配,并且/或者以自学习系统操作系统的同时,从输入数据流中获得。根据一些实施例,可使用用于受监督学习的训练方法来教导判定边界。该类型的受监督学习可考虑操作者关于系统操作的知识(例如,正常操作和异常操作之间的区别)。
图4图示了根据一些实施例的离线边界创建过程400。可向模型420和/或使用DoE技术创建的训练和评估数据库450提供关于威胁、欺骗、攻击向量、漏洞等的信息410。例如,模型420可模拟(simulate)来自威胁节点的数据430,以用于计算组合成特征向量440以存储在训练和评估数据库450中的特征。随后,可使用训练和评估数据库450中的数据计算判定边界460,以区分正常操作和受威胁操作。根据一些实施例,过程400可包括威胁节点和预期威胁向量的优先化,以形成用于创建判定边界的一个或多个数据集。威胁向量是关键输入下的异常值,在此情况下,域级处可产生恶意攻击,使系统进入受威胁/异常空间。另外,模型420可包括可用于创建数据集(例如,将威胁空间描述为“系统中威胁条件的级别对来自威胁节点的数量”的数据集)的高保真模型。例如,来自所述威胁节点的数据430可以是从传感器节点、致动器节点和/或控制器节点捕获的30到50秒的长度的数量(并且可获得用于“系统中正常操作条件的级别对来自威胁节点的数量”的类似数据集)。该过程将产生“威胁空间”和“正常空间”的数据集。所述30至50秒时长的数量可用于使用特征工程计算特征440以创建特征向量。随后,这些特征向量可用于为威胁空间和正常空间(用于检测诸如网络攻击等异常)获得分隔数据集的判定边界。
由于攻击可能是多向的(multi-prong)(例如,多个攻击可能同时发生),因此DoE实验可设计成捕获攻击空间(例如,使用全因子、Taguchi筛查、中心组合和/或Box-Behnken技术)。当模型不可用时,这些DoE方法也可用于从现实世界资产控制系统收集数据。例如,可使用同时攻击的不同组合来运行实验。可运行类似的实验以创建用于正常操作空间的数据集。根据一些实施例,所述系统可检测相对于威胁或攻击的“降级”或故障操作。这些判定可能需要使用降级和/或故障操作空间的数据集。
图5图示了根据一些实施例的用于保护工业资产控制系统的实时过程500。在510处,可从威胁节点收集当前数据(例如,从30到50秒分批收集)。在520处,所述系统可计算特征并且形成特征向量。例如,所述系统可将来自主分量分析的权重(weights)用作特征。在530处,异常检测引擎可将特征向量的位置与判定边界进行比较,以进行异常确定(并且在必要的情况下输出警报信号)。根据一些实施例,由于特征是域知识的高级表示并且可直观地解释,因此来自模型(或来真实系统)的威胁节点数据可以以使用特征表示。此外,实施例可以处理表示为向量的多个特征,并且多个所感测的数量之间的交互可以使用“交互特征”表示。
应该注意,可根据本说明书中所述的任何实施例使用许多不同类型的特征,包括主分量(使用自然基底集合构建的权重)和统计特征(例如,平均值、方差、偏度、峰度、时间序列信号的最大值和最小值、最大值和最小值的位置、独立分量等)。其他实例包括深度学习特征(例如,通过挖掘实验数据集和/或历史数据集生成的特征)和频域特征(例如,与傅立叶变换或子波变换的系数相关联)。实施例还可与时间序列分析特征相关联,例如,互相关、自相关、自回归阶次、移动平均值模型、模型的参数、信号的导数和积分、上升时间、稳定时间、神经网络等。其他实例包括逻辑特征(具有诸如“yes”(是)和“no”(否)等语义抽象)、地理/定位位置和交互特征(来自多个威胁节点和特定位置的信号的数学组合)。实施例可包括任何数量的特征,同时提供更多特征以允许所述方法变得更加精确,因为所述系统了解关于物理过程和威胁的更多信息。根据一些实施例,可将来自威胁节点不同值标准化成无单位空间,这样可允许以更简单的方式比较输出和输出强度。
图6是根据一些实施例的与燃气涡轮发动机相关联的实例600。具体地说,所述实例包括可能遭受致动器攻击和控制器攻击的控制器和致动器部分610、可能遭受设备状态攻击的设备部分620以及可能遭受威胁节点攻击的威胁节点630。仅通过示例的方式,威胁节点630可包括物理和/或虚拟威胁节点,所述物理和/或虚拟威胁节点与涡轮机排气、环境温度、环境压力、入口压力下降、压缩机入口温度、发电机输出、燃料压力、轴速度、压缩机排气压力或温度、排气温度、排放等相关联。例如,致动器可与入口导向阀命令、放气加热阀命令、燃料或截止阀位置、环境压力、入口或排气压力差值(delta)、特定湿度或环境温度、燃料流量或燃料温度相关联。通过监控燃气涡轮发动机系统中的信息,威胁检测平台能够(例如,使用特征向量和判定边界)检测可潜在地引起大量损伤的网络攻击。
图7是根据一些实施例的威胁向量损伤显示(a threat vector damage display)700。具体地说,所述显示包括图表710,所述图表绘出风险优先级数(Risk PriorityNumber;“RPN”),其中较大值表示较大风险,以及损坏级(damage class)值,其中较大值与较大损伤相关联(例如,财务、单元可用性、单元跳闸、单元寿命缩短、需要新零件的资产损坏等)。在示出至少一个威胁向量的图表710中的每个位置处,气泡720表示与这些值相关联的威胁数量(较大气泡720与较大数量的威胁相关联)。根据一些实施例,域知识和/或敏感性研究可用于减少充分检测威胁所需的威胁节点的数量。此外,RPN分析(例如,基于专业知识、时间、简易性、损伤等来计算RNP)可基于一些标准,例如损坏级对RPN,进一步重组多个威胁。此外,一些实施例可使用架构的DoE方法来创建数据集,例如,通过单独为不同损坏级运行全因子设计、筛选设计和/或中心组合设计的组合,或者通过将所有损坏级组合到单个集合中。
图8是根据一些实施例的全局威胁保护系统800的实例。具体地说,系统包括三个发生器(A、B和C),并且从多个威胁节点为每一个收集在一段时间(over a period oftime)(例如,30至50秒)内生成的多批值810。根据一些实施例,来自威胁节点的多批值810在时间上重叠。例如,来自威胁节点的值810可存储在按时间(t1、t2等)和按威胁节点的类型(S1、S2等)布置的矩阵820中。特征工程分量(feature engineering components)830可使用每个矩阵820中的信息来创建用于三个发生器中的每个发生器的特征向量840(例如,发生器C的特征向量840可包括FSC1、FSC2等)。随后,三个特征向量840可组合成用于系统800的单个全局特征向量850。可应用交互特征860(例如与A*B*C、A+B+C等相关联),并且异常检测引擎870可将结果与判定边界进行比较并在合适时输出威胁警报信号。
图9图示了根据一些实施例的威胁节点输出的三个维度900。具体地说,图表910以三个维度描绘了威胁节点输出(“+”),例如与主分量特征(Principal ComponentFeatures,“PCF”)的W1、W2和W3相关联的维度。此外,图表910包括正常操作空间判定边界920的指示。尽管图9中图示了单个邻接边界(contiguous boundary)920,但实施例可与多个区域相关联。应该注意,PCF信息可表示为缩小维度的权重。例如,来自每个威胁节点的数据可转换为低维度特征(例如,权重)。根据一些实施例,威胁节点数据可如下进行标准化:
其中,S表示“k”时刻的威胁节点数量。此外,随后,输出可表示为基底函数的加权线性组合,如下所示:
其中,S0是具有所有威胁的平均威胁节点输出,wj是jth权重,并且Ψj是jth基底向量。根据一些实施例,使用威胁节点数据矩阵的协方差获取自然基底向量。一旦知晓基底向量,可使用下列等式得出权重(假设基底集合是正交的(orthogonal))。
wj=(S-S0)TΨj
应该注意,权重可以是特征向量中所用的特征的一个实例。
图10是根据一些实施例的判定边界显示1000。显示1000包括简单判定边界1010的图形表示(在三维图中,是具有0.3个单位的半径的球或球体),例如,所述简单判定边界可以与燃气涡轮机模拟数据中的从威胁节点生成的全局特征,例如来自传感器节点的值相关联。根据一些实施例,执行若干威胁验证运行,并且在显示1000上提供结果1020(例如,包括运行编号、半径值以及“正常”或“攻击”的判定)。
因此,一旦从威胁节点观测的数量表示为特征向量(例如,具有多个特征),则所述特征向量随后可用作多维特征空间中的点。在实时威胁检测期间,可通过将每个点的所落在位置与分隔两个区域(或空间),即异常(“攻击”)空间与正常操作空间之间的判定边界来做出判定。如果所述点落在攻击空间中,则所述工业资产控制系统遭受异常操作,例如,遭受网络攻击期间。如果所述点落在正常操作空间中,那么所述工业资产控制系统未遭受诸如遭受网络攻击期间的操作等的异常操作。使用本说明书中所述的具有高保真模型的数据集来架构具有边界的合适判定区。例如,可将支持向量机器与核函数一起使用以架构判定边界。根据一些实施例,也可使用深度学习技术来架构判定边界。
相反地,根据一些实施例,所述系统可将空间分为三个区域:(1)攻击空间、(2)正常操作空间和(3)降级或故障空间。使用该类型的“多类”判定:可将问题分解成一组两个无关的二元问题,并且可使用具有“攻击对正常”和“降级对正常”数据集的二元支持向量机器来解决。
本说明书中所述的实施例可使用任何数量的不同硬件配置来实施。例如,图11是工业资产控制系统保护平台1100的方框图,例如,所述工业资产控制系统保护平台可与图1所示的系统100相关联。工业资产控制系统保护平台1100包括处理器1110,例如单片微型处理器形式的一个或多个可商购中央处理单元(“CPU”),所述处理器连接到通信装置1120,所述通信装置1120配置成通过通信网络(图11中未示出)进行通信。例如,通信装置1120可用于与一个或多个远程威胁节点、用户平台、数字孪生体(digital twins)等进行通信。工业资产控制系统保护平台1100进一步包括输入装置1140(例如,用于输入自适应和/或预测建模信息的计算机鼠标和/或键盘)和/或输出装置1150(例如,用于呈现显示、提供警报、发送推荐和/或创建报告的计算机监控器(monitor))。根据一些实施例,可使用移动装置、监控物理系统和/或PC与工业资产控制系统保护平台1100交换信息。
处理器1110也与存储装置1130通信。存储装置1130可包括任何合适的信息存储装置,包括磁存储装置(例如,硬盘驱动)、光学存储装置、移动电话和/或半导体存储装置的组合。存储装置1130存储用于控制处理器1110的程序1112和/或威胁检测模型(用程序表示)1114。处理器1110执行程序1112、1114的指令,从而根据本说明书中所述的实施例进行操作。例如,处理器1110可访问正常空间数据源,所述正常空间数据源为所述多个威胁节点中的每个威胁节点存储表示工业资产控制系统的正常操作的一系列正常威胁节点值。处理器1110还可访问受威胁空间数据源,所述受威胁空间数据源存储一系列受威胁的威胁节点值。处理器1110可生成多组正常特征向量和受威胁特征向量,并且基于所述正常特征向量和受威胁特征向量来计算并输出用于威胁检测模型的判定边界。随后,所述多个威胁节点可生成表示所述资产控制系统的当前操作的一系列当前威胁节点值。处理器1110可接收所述一系列当前值、生成一组当前特征向量、执行所述威胁检测模型以及基于所述当前特征向量和所述判定边界来发送威胁警报信号。
程序1112、1114可存储为压缩、未编译和/或加密格式。此外,程序1112、1114可包括其他程序元素,例如,操作系统、剪贴板应用程序、数据库管理系统和/或处理器1110用于与外围装置连接的装置驱动程序(device drivers)。
本说明书中所用的信息可由以下项“接收”或可“发送”至以下项,例如:(i)来自另一个装置的工业资产控制系统保护平台1100;或(ii)工业资产控制系统保护平台1100内的来自另一个软件应用程序、模块或任何其他来源的软件应用程序或模块。
在一些实施例(如图11所示的实施例)中,存储装置1130进一步存储威胁检测数据库1200。现在将参照图12,详细描述可与工业资产控制系统保护平台1100结合使用的数据库的一个实例。应该注意,本说明书中所述的数据库仅是一个实例,并且其中可存储额外的和/或不同的信息。此外,可根据本说明书中所述的任何实施例拆分或组合各种数据库。
参照图12,其中图示了一张表格,所述表格表示可存储在根据一些实施例的工业资产控制系统保护平台1100处的威胁检测数据库1200。例如,所述表格可包括,识别与物理系统相关联的威胁节点的条目。所述表格还为每个条目定义字段1202、1204、1206、1208、1210、1212。根据一些实施例,字段1202、1204、1206、1208、1210、1212可指定为:威胁节点标识符(identifier)1202、威胁节点值1204、特征1206、特征向量1208、全局特征向量1210和判定(decision)1212。例如,可在对新物理系统进行监控和建模时,威胁检测数据库1200可被创建和更新威胁节点报告值、操作条件改变等。
例如,威胁节点标识符1202可为识别工业资产控制系统中的威胁节点的唯一字母数字代码,所述工业资产控制系统检测随时间的推移的一系列威胁节点值1204(例如,30至50秒的批量数据)。威胁节点值1204可用于创建特征1206和特征向量1208。随后,与多个威胁节点标识符1202相关联的特征向量1210可用于为整个工业资产控制系统创建整体全局特征向量1210。随后,可将全局特征向量1210与判定边界进行比较,以生成判定1212(例如,“攻击”或“正常”指示)。
因此,所述实施例可使用来自威胁节点的实时信号实现多类异常操作的指示的被动检测。此外,检测框架可允许开发相应工具以便于将本发明扩展到位于多个地理位置中的各种系统(即,燃气涡轮机、蒸汽涡轮机、风力涡轮机、航空发动机、机车发动机、电网等)。根据一些实施例,由本发明实现的分布式检测系统(跨多种类型的装置和系统)将允许协调数据的收集,以助于检测多向攻击。应该注意,由于提供了新的学习和替代的数据源,因此本说明书中所述的基于特征的方法可允许扩展的特征向量并且/或者将新的特征合并到现有向量中。因此,当所述系统了解关于特性的更多信息时,实施例可检测相对更广泛的网络威胁(例如,隐蔽、重放、隐藏、注射攻击等)。由于系统包含有用的新关键特征并且去除了冗余或重要性相对较低的特征,因此实施例还可减少误判率。应该注意,本说明书中所述的检测系统可向工业资产控制系统操作者提供早期警报,以便阻止攻击(或可减弱攻击的效果),从而减少对器件的损伤。
下文示出本发明的多个额外实施例。这些实施例并不构成所有可能实施例的定义,并且所属领域的技术人员将了解,本发明适用于许多其他实施例。此外,尽管为清楚起见,以下实施例仅简要说明,但是所属领域中的技术人员将了解,如何在必要情况下对上述装置和方法做出任何更改,以适应这些和其他实施例以及应用。
尽管本说明书中描述了具体的硬件和数据配置,但应注意,可根据本发明的实施提供任何数量的其他配置(例如,与本说明书中所述的数据库相关联的一些信息可组合或者存储在外部系统中)。例如,虽然一些实施例集中说明燃气发电机,但本说明书中所述的任何实施例可应用于其他类型的资产,例如,水坝、电网、军用设备等。
仅出于说明目的而依据若干实施例来说明本发明。所属领域的技术人员将从本说明书中了解到,本发明不限于所述实施例,而是在仅受限于随附权利要求书的精神和范围的前提下,在做出修改和变更的情况下进行实践。
Claims (22)
1.一种用于保护工业资产控制系统的系统,所述系统包括:
多个威胁节点,所述多个威胁节点中的每个威胁节点生成表示所述工业资产控制系统的当前操作的随时间的推移的一系列当前威胁节点值;
威胁检测计算机,所述威胁检测计算机耦合到所述多个威胁节点,以:
(i)接收所述一系列当前威胁节点值并生成一组当前特征向量,
(ii)访问威胁检测模型,所述威胁检测模型具有使用一组正常特征向量和一组受威胁特征向量所创建的至少一个判定边界,并且
(iii)执行所述威胁检测模型并基于所述一组当前特征向量和所述至少一个判定边界来发送威胁警报信号;
正常空间数据源,所述正常空间数据源为所述多个威胁节点中的每个威胁节点存储表示所述工业资产控制系统的正常操作的随时间的推移的一系列正常威胁节点值;
受威胁空间数据源,所述受威胁空间数据源为所述多个威胁节点中的每个威胁节点存储表示所述工业资产控制系统的受威胁操作的随时间的推移的一系列受威胁的威胁节点值;以及
威胁检测模型创建计算机,所述威胁检测模型创建计算机耦合到所述正常空间数据源和所述受威胁空间数据源,以:
(i)接收所述一系列正常威胁节点值并生成所述一组正常特征向量,
(ii)接收所述一系列受威胁的威胁节点值并生成所述一组受威胁特征向量,以及
(iii)基于所述一组正常特征向量和所述一组受威胁特征向量,自动计算并输出所述威胁检测模型的所述至少一个判定边界。
2.根据权利要求1所述的系统,其特征在于,所述一组正常特征向量和所述一组受威胁特征向量中的至少一者与以下项中的至少一项相关联:(i)主分量、(ii)统计特征、(iii)深度学习特征、(iv)频域特征、(v)时间序列分析特征、(vi)逻辑特征、(vii)基于地理位置或定位的位置以及(viii)交互特征。
3.根据权利要求1所述的系统,其特征在于,包括所述至少一个判定边界的所述威胁检测模型基于以下项中的至少一项进行动态适配:(i)瞬态条件、(ii)所述工业资产控制系统的稳态模型,以及(iii)当以自学习系统操作所述工业资产控制系统时从输入数据流获得的数据集。
4.根据权利要求1所述的系统,其特征在于,所述威胁检测模型与以下项中的至少一项相关联:(i)致动器攻击、(ii)控制器攻击、(iii)威胁节点攻击、(iv)设备状态攻击、(v)电子欺骗、(vi)财务损失、(vii)单元可用性、(viii)单元跳闸、(ix)单元寿命缩短,以及(x)需要至少一个新零件的资产损坏。
5.根据权利要求4所述的系统,其特征在于,将来自所述多个威胁节点中的每个威胁节点的信息标准化,并且将输出表示为基底函数的加权线性组合。
6.根据权利要求5所述的系统,其特征在于,使用威胁节点数据矩阵的协方差来获得自然基底向量。
7.根据权利要求1所述的系统,其特征在于,所述威胁节点与以下项中的至少一项相关联:(i)关键传感器节点、(ii)致动器节点、(iii)控制器节点,以及(iv)关键软件节点。
8.根据权利要求1所述的系统,其特征在于,包括所述至少一个判定边界的所述威胁检测模型与以下项中的至少一项相关联:(i)线、(ii)超平面以及(iii)将正常空间与受威胁空间隔开的非线性边界。
9.根据权利要求1所述的系统,其特征在于,包括所述至少一个判定边界的所述威胁检测模型是多级判定边界,所述多级判定边界将正常空间、受威胁空间和降级操作空间隔开。
10.根据权利要求1所述的系统,其特征在于,所述一系列正常威胁节点值和所述一系列受威胁的威胁节点值中的至少一者与高保真设备模型相关联。
11.根据权利要求1所述的系统,其特征在于,至少一个判定边界存在于多维空间中,并且与以下项中的至少一项相关联:(i)动态模型、(ii)实验数据的设计、(iii)机器学习技术、(iv)支持向量机器、(v)全因子过程、(vi)Taguchi筛选、(vii)中心组合成方法、(viii)Box-Behnken方法、(ix)现实世界操作条件,(x)全因子设计、(xi)筛选设计和(xii)中心组合设计。
12.根据权利要求1所述的系统,其特征在于,多个受威胁的威胁节点值是根据风险优先级数分析,从一组潜在威胁向量生成的,所述风险优先级数分析包括以下项中的至少一项:(i)专业知识水平、(ii)时间量、(iii)容易程度以及(iv)损坏量。
13.根据权利要求1所述的系统,其特征在于,所述威胁检测模型与所述判定边界以及以下项中的至少一项相关联:(i)特征映射和(ii)特征参数。
14.根据权利要求1所述的系统,其特征在于,所述正常威胁节点值和所述受威胁的威胁节点值中的至少一者是通过在与以下项中至少一项相关联的工业控制系统上运行实验设计获得的:(i)动力涡轮机、(ii)喷气发动机、(iii)机车和(iv)自动驾驶车辆。
15.一种用于保护工业资产控制系统的计算机化方法,包括:
为多个威胁节点中的每个威胁节点检索表示所述工业资产控制系统的正常操作的随时间的推移的一系列正常威胁节点值;
基于所述正常威胁节点值生成一组正常特征向量;
为所述多个威胁节点中的每个威胁节点检索表示所述工业资产控制系统的受威胁操作的随时间的推移的一系列受威胁的威胁节点值;
基于所述受威胁的威胁节点值生成一组受威胁特征向量;以及
基于所述一组正常特征向量和所述一组受威胁特征向量,自动计算并输出威胁检测模型的至少一个判定边界。
16.根据权利要求15所述的方法,其特征在于,所述至少一个判定边界存在于多维空间中,并与以下项中的至少一项相关联:(i)动态模型、(ii)实验数据的设计、(iii)机器学习技术、(iv)支持向量机器、(v)全因子过程、(vi)Taguchi筛选、(vii)中心组合方法、(viii)Box-Behnken方法、(ix)现实世界操作条件、(x)全因子设计、(xi)筛选设计和(xii)中心组合设计。
17.根据权利要求15所述的方法,其特征在于,所述一组正常特征向量和所述一组受威胁特征向量中的至少一者与以下项中的至少一项相关联:(i)主分量、(ii)统计特征、(iii)深度学习特征、(iv)频域特征、(v)时间序列分析特征、(vi)逻辑特征、(vii)基于地理位置或定位的位置以及(viii)交互特征。
18.根据权利要求15所述的方法,其特征在于,多个受威胁节点值是根据风险优先级数分析,从一组潜在威胁向量生成的,所述风险优先级数分析包括以下项中的至少一项:(i)专业知识水平、(ii)时间量、(iii)容易程度以及(iv)损坏量。
19.根据权利要求15所述的方法,其特征在于,所述至少一个判定边界基于以下项中的至少一项进行动态适配:(i)瞬态条件、(ii)所述工业资产控制系统的稳态模型,以及(iii)当以自学习系统操作所述工业资产控制系统时从输入数据流获得的数据集。
20.根据权利要求15所述的方法,其特征在于,将来自所述多个威胁节点中每个威胁节点的信息标准化,并且将输出表示为基底函数的加权线性组合。
21.根据权利要求20所述的方法,其特征在于,使用威胁节点数据矩阵的协方差来获得自然基底向量。
22.一种非瞬时计算机可读介质,所述非瞬时计算机可读介质存储指令,所述指令在被计算机处理器执行时,使所述计算机处理器执行根据权利要求15-21中的任一项所述的方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/137,311 US9998487B2 (en) | 2016-04-25 | 2016-04-25 | Domain level threat detection for industrial asset control system |
US15/137311 | 2016-04-25 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107390567A CN107390567A (zh) | 2017-11-24 |
CN107390567B true CN107390567B (zh) | 2021-06-15 |
Family
ID=58701395
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710280076.8A Active CN107390567B (zh) | 2016-04-25 | 2017-04-25 | 用于保护工业资产控制系统的系统以及方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9998487B2 (zh) |
EP (1) | EP3239884B1 (zh) |
JP (1) | JP6941965B2 (zh) |
KR (1) | KR102325133B1 (zh) |
CN (1) | CN107390567B (zh) |
Families Citing this family (50)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10156841B2 (en) | 2015-12-31 | 2018-12-18 | General Electric Company | Identity management and device enrollment in a cloud service |
US10142363B2 (en) * | 2016-06-23 | 2018-11-27 | Bank Of America Corporation | System for monitoring and addressing events based on triplet metric analysis |
US10542016B2 (en) * | 2016-08-31 | 2020-01-21 | Sap Se | Location enrichment in enterprise threat detection |
US10630705B2 (en) | 2016-09-23 | 2020-04-21 | Sap Se | Real-time push API for log events in enterprise threat detection |
US10204226B2 (en) * | 2016-12-07 | 2019-02-12 | General Electric Company | Feature and boundary tuning for threat detection in industrial asset control system |
US10530792B2 (en) | 2016-12-15 | 2020-01-07 | Sap Se | Using frequency analysis in enterprise threat detection to detect intrusions in a computer system |
US10530794B2 (en) | 2017-06-30 | 2020-01-07 | Sap Se | Pattern creation in enterprise threat detection |
US10986111B2 (en) | 2017-12-19 | 2021-04-20 | Sap Se | Displaying a series of events along a time axis in enterprise threat detection |
US10681064B2 (en) | 2017-12-19 | 2020-06-09 | Sap Se | Analysis of complex relationships among information technology security-relevant entities using a network graph |
US10819725B2 (en) | 2018-01-18 | 2020-10-27 | General Electric Company | Reliable cyber-threat detection in rapidly changing environments |
US10841322B2 (en) * | 2018-01-18 | 2020-11-17 | General Electric Company | Decision system and method for separating faults from attacks |
US10805329B2 (en) | 2018-01-19 | 2020-10-13 | General Electric Company | Autonomous reconfigurable virtual sensing system for cyber-attack neutralization |
US10728282B2 (en) | 2018-01-19 | 2020-07-28 | General Electric Company | Dynamic concurrent learning method to neutralize cyber attacks and faults for industrial asset monitoring nodes |
US10931687B2 (en) * | 2018-02-20 | 2021-02-23 | General Electric Company | Cyber-attack detection, localization, and neutralization for unmanned aerial vehicles |
JP7219542B2 (ja) * | 2018-03-06 | 2023-02-08 | 一般財団法人電力中央研究所 | 電力系統制御装置、電力系統制御システム、電力系統制御方法及び電力系統制御プログラム |
US11507847B2 (en) | 2019-07-25 | 2022-11-22 | Raytheon Company | Gene expression programming |
US11436537B2 (en) | 2018-03-09 | 2022-09-06 | Raytheon Company | Machine learning technique selection and improvement |
US11321462B2 (en) * | 2018-04-10 | 2022-05-03 | Raytheon Company | Device behavior anomaly detection |
US11340603B2 (en) | 2019-04-11 | 2022-05-24 | Raytheon Company | Behavior monitoring using convolutional data modeling |
KR102113218B1 (ko) * | 2018-03-16 | 2020-05-20 | 울산과학기술원 | 시계열 데이터의 분석 및 예측을 위한 통합적인 딥러닝 시스템 |
EP3542970A1 (en) * | 2018-03-20 | 2019-09-25 | Siemens Aktiengesellschaft | Method, device and system for replaying movement of robot |
WO2019199777A1 (en) | 2018-04-10 | 2019-10-17 | Raytheon Company | Encryption using spatial voting |
WO2019199769A1 (en) * | 2018-04-10 | 2019-10-17 | Raytheon Company | Cyber chaff using spatial voting |
EP3767245B1 (en) * | 2018-04-24 | 2022-10-19 | Mitsubishi Electric Corporation | Attack detection device, attack detection method, and attack detection program |
JP6746037B2 (ja) * | 2018-04-24 | 2020-08-26 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知プログラム及び攻撃検知方法 |
US10931702B2 (en) * | 2018-04-24 | 2021-02-23 | Cyberfortress, Inc. | Vulnerability profiling based on time series analysis of data streams |
US11113395B2 (en) | 2018-05-24 | 2021-09-07 | General Electric Company | System and method for anomaly and cyber-threat detection in a wind turbine |
JP7071876B2 (ja) * | 2018-05-25 | 2022-05-19 | 株式会社東芝 | 制御システム、および異常要因判定方法 |
US11159540B2 (en) * | 2018-09-27 | 2021-10-26 | General Electric Company | Dynamic physical watermarking for attack detection in cyber-physical systems |
US11627151B2 (en) * | 2018-10-31 | 2023-04-11 | General Electric Company | Industrial asset cyber-attack detection algorithm verification using secure, distributed ledger |
US20220006824A1 (en) * | 2018-11-22 | 2022-01-06 | Nec Corporation | Information processing apparatus, control method, and program |
US11005870B2 (en) * | 2018-11-27 | 2021-05-11 | General Electric Company | Framework to develop cyber-physical system behavior-based monitoring |
KR20200063889A (ko) | 2018-11-28 | 2020-06-05 | 서울대학교산학협력단 | 디지털 트윈을 이용한 플랜트 운영 방법, 시스템 및 컴퓨터 프로그램 |
KR102199695B1 (ko) | 2018-12-27 | 2021-01-07 | 경희대학교 산학협력단 | 가중 거리 자기 연상 양방향 커널 회귀를 이용한 온라인 신호 데이터 검증 장치 및 방법 |
US11227418B2 (en) * | 2018-12-28 | 2022-01-18 | General Electric Company | Systems and methods for deep learning-based image reconstruction |
US11341235B2 (en) | 2019-02-21 | 2022-05-24 | Raytheon Company | Anomaly detection with adaptive auto grouping |
US10937465B2 (en) | 2019-02-21 | 2021-03-02 | Raytheon Company | Anomaly detection with reduced memory overhead |
US20220147614A1 (en) * | 2019-03-05 | 2022-05-12 | Siemens Industry Software Inc. | Machine learning-based anomaly detections for embedded software applications |
JP7243326B2 (ja) * | 2019-03-15 | 2023-03-22 | オムロン株式会社 | コントローラシステム |
US11321972B1 (en) | 2019-04-05 | 2022-05-03 | State Farm Mutual Automobile Insurance Company | Systems and methods for detecting software interactions for autonomous vehicles within changing environmental conditions |
US11048261B1 (en) | 2019-04-05 | 2021-06-29 | State Farm Mutual Automobile Insurance Company | Systems and methods for evaluating autonomous vehicle software interactions for proposed trips |
US11343266B2 (en) | 2019-06-10 | 2022-05-24 | General Electric Company | Self-certified security for assured cyber-physical systems |
CN110278203B (zh) * | 2019-06-18 | 2021-11-23 | 浙江工业大学 | 一种基于单分类支持向量机的燃气scada系统中间人攻击检测方法 |
CN110454290B (zh) * | 2019-07-02 | 2021-01-29 | 北京航空航天大学 | 一种基于数字孪生技术的汽车发动机管控方法 |
US11562065B2 (en) | 2019-08-22 | 2023-01-24 | International Business Machines Corporation | Data breach detection |
KR102286814B1 (ko) | 2020-02-04 | 2021-08-09 | 경희대학교 산학협력단 | 가중 거리 자기 연상 양방향 커널 회귀에서 최적 시간 커널을 서치하는 장치 및 그 방법 |
US11757919B2 (en) | 2020-04-20 | 2023-09-12 | Kovrr Risk Modeling Ltd. | System and method for catastrophic event modeling |
CN112486139A (zh) * | 2020-11-12 | 2021-03-12 | 顶象科技有限公司 | 基于虚拟补丁的工业控制系统保护方法、装置、设备及介质 |
CN112769815B (zh) * | 2021-01-04 | 2023-04-18 | 北京蓝军网安科技发展有限责任公司 | 一种智能工控安全监控与防护方法和系统 |
US11790081B2 (en) | 2021-04-14 | 2023-10-17 | General Electric Company | Systems and methods for controlling an industrial asset in the presence of a cyber-attack |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101252441A (zh) * | 2008-02-20 | 2008-08-27 | 深圳市永达电子有限公司 | 基于可设定信息安全目标的获得性安全保障方法及系统 |
CN102103677A (zh) * | 2011-03-09 | 2011-06-22 | 天津大学 | 威胁模型驱动的软件安全评估方法 |
CN102594904A (zh) * | 2012-03-04 | 2012-07-18 | 浙江大学 | 对无线传感器网络异常事件进行分布式检测的方法 |
CN103748853A (zh) * | 2011-07-26 | 2014-04-23 | 安全事务有限公司 | 用于对数据通信网络中的协议消息进行分类的方法和系统 |
WO2014144857A2 (en) * | 2013-03-15 | 2014-09-18 | Power Fingerprinting Inc. | Systems, methods, and apparatus to enhance the integrity assessment when using power fingerprinting systems for computer-based systems |
CN104657915A (zh) * | 2015-03-10 | 2015-05-27 | 国家电网公司 | 一种动态自适应的电力系统终端安全威胁评估方法 |
CN105407090A (zh) * | 2015-10-30 | 2016-03-16 | 中国船舶重工集团公司第七一六研究所 | 支持数据处理的传感原数据安全保护方法 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002090267A (ja) * | 2000-09-21 | 2002-03-27 | Mitsui Eng & Shipbuild Co Ltd | 異常診断方法 |
US7225343B1 (en) | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
US20070289013A1 (en) | 2006-06-08 | 2007-12-13 | Keng Leng Albert Lim | Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms |
JP5689333B2 (ja) * | 2011-02-15 | 2015-03-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
US8856936B2 (en) | 2011-10-14 | 2014-10-07 | Albeado Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
US10098569B2 (en) * | 2012-03-29 | 2018-10-16 | The University Of Queensland | Method and apparatus for processing patient sounds |
US20130275282A1 (en) | 2012-04-17 | 2013-10-17 | Microsoft Corporation | Anonymous billing |
US9046886B2 (en) | 2012-04-30 | 2015-06-02 | General Electric Company | System and method for logging security events for an industrial control system |
US9245116B2 (en) | 2013-03-21 | 2016-01-26 | General Electric Company | Systems and methods for remote monitoring, security, diagnostics, and prognostics |
KR101977731B1 (ko) | 2013-03-29 | 2019-05-14 | 한국전자통신연구원 | 제어 시스템의 이상 징후 탐지 장치 및 방법 |
US9264444B2 (en) * | 2013-05-21 | 2016-02-16 | Rapid7, Llc | Systems and methods for determining an objective security assessment for a network of assets |
US9436652B2 (en) | 2013-06-01 | 2016-09-06 | General Electric Company | Honeyport active network security |
US10284570B2 (en) | 2013-07-24 | 2019-05-07 | Wells Fargo Bank, National Association | System and method to detect threats to computer based devices and systems |
US9912733B2 (en) | 2014-07-31 | 2018-03-06 | General Electric Company | System and method for maintaining the health of a control system |
GB2529150B (en) | 2014-08-04 | 2022-03-30 | Darktrace Ltd | Cyber security |
US10015188B2 (en) * | 2015-08-20 | 2018-07-03 | Cyberx Israel Ltd. | Method for mitigation of cyber attacks on industrial control systems |
-
2016
- 2016-04-25 US US15/137,311 patent/US9998487B2/en active Active
-
2017
- 2017-04-18 JP JP2017081794A patent/JP6941965B2/ja active Active
- 2017-04-24 EP EP17167806.3A patent/EP3239884B1/en active Active
- 2017-04-25 CN CN201710280076.8A patent/CN107390567B/zh active Active
- 2017-04-25 KR KR1020170052917A patent/KR102325133B1/ko active IP Right Grant
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101252441A (zh) * | 2008-02-20 | 2008-08-27 | 深圳市永达电子有限公司 | 基于可设定信息安全目标的获得性安全保障方法及系统 |
CN102103677A (zh) * | 2011-03-09 | 2011-06-22 | 天津大学 | 威胁模型驱动的软件安全评估方法 |
CN103748853A (zh) * | 2011-07-26 | 2014-04-23 | 安全事务有限公司 | 用于对数据通信网络中的协议消息进行分类的方法和系统 |
CN102594904A (zh) * | 2012-03-04 | 2012-07-18 | 浙江大学 | 对无线传感器网络异常事件进行分布式检测的方法 |
WO2014144857A2 (en) * | 2013-03-15 | 2014-09-18 | Power Fingerprinting Inc. | Systems, methods, and apparatus to enhance the integrity assessment when using power fingerprinting systems for computer-based systems |
CN104657915A (zh) * | 2015-03-10 | 2015-05-27 | 国家电网公司 | 一种动态自适应的电力系统终端安全威胁评估方法 |
CN105407090A (zh) * | 2015-10-30 | 2016-03-16 | 中国船舶重工集团公司第七一六研究所 | 支持数据处理的传感原数据安全保护方法 |
Also Published As
Publication number | Publication date |
---|---|
JP6941965B2 (ja) | 2021-09-29 |
US9998487B2 (en) | 2018-06-12 |
JP2017199365A (ja) | 2017-11-02 |
CN107390567A (zh) | 2017-11-24 |
US20170310690A1 (en) | 2017-10-26 |
EP3239884B1 (en) | 2019-06-12 |
EP3239884A1 (en) | 2017-11-01 |
KR20170121717A (ko) | 2017-11-02 |
KR102325133B1 (ko) | 2021-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107390567B (zh) | 用于保护工业资产控制系统的系统以及方法 | |
JP7071034B2 (ja) | 産業資産制御システムにおける脅威検出のための特徴および境界の調整 | |
CN107491057B (zh) | 保护工业资产控制系统的系统及方法及计算机可读介质 | |
US10671060B2 (en) | Data-driven model construction for industrial asset decision boundary classification | |
US10678912B2 (en) | Dynamic normalization of monitoring node data for threat detection in industrial asset control system | |
US10805329B2 (en) | Autonomous reconfigurable virtual sensing system for cyber-attack neutralization | |
US10594712B2 (en) | Systems and methods for cyber-attack detection at sample speed | |
US10476902B2 (en) | Threat detection for a fleet of industrial assets | |
US10505955B2 (en) | Using virtual sensors to accommodate industrial asset control systems during cyber attacks | |
US20190219994A1 (en) | Feature extractions to model large-scale complex control systems | |
US11170314B2 (en) | Detection and protection against mode switching attacks in cyber-physical systems | |
US11113395B2 (en) | System and method for anomaly and cyber-threat detection in a wind turbine | |
US11252169B2 (en) | Intelligent data augmentation for supervised anomaly detection associated with a cyber-physical system | |
US11503045B2 (en) | Scalable hierarchical abnormality localization in cyber-physical systems | |
US20200089874A1 (en) | Local and global decision fusion for cyber-physical system abnormality detection | |
US11005870B2 (en) | Framework to develop cyber-physical system behavior-based monitoring | |
US20220086176A1 (en) | Dynamic physical watermarking for attack detection in cyber-physical systems | |
EP4075724A1 (en) | Attack detection and localization with adaptive thresholding | |
US20220357729A1 (en) | Systems and methods for global cyber-attack or fault detection model | |
US11880464B2 (en) | Vulnerability-driven cyberattack protection system and method for industrial assets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20240102 Address after: Swiss Baden Patentee after: GENERAL ELECTRIC CO. LTD. Address before: New York State, USA Patentee before: General Electric Co. |
|
TR01 | Transfer of patent right |