CN107491057B - 保护工业资产控制系统的系统及方法及计算机可读介质 - Google Patents
保护工业资产控制系统的系统及方法及计算机可读介质 Download PDFInfo
- Publication number
- CN107491057B CN107491057B CN201710436387.9A CN201710436387A CN107491057B CN 107491057 B CN107491057 B CN 107491057B CN 201710436387 A CN201710436387 A CN 201710436387A CN 107491057 B CN107491057 B CN 107491057B
- Authority
- CN
- China
- Prior art keywords
- monitoring node
- threat
- decision boundary
- control system
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000012544 monitoring process Methods 0.000 claims abstract description 168
- 238000001514 detection method Methods 0.000 claims abstract description 66
- 239000013598 vector Substances 0.000 claims abstract description 59
- 230000002159 abnormal effect Effects 0.000 claims abstract description 32
- 238000004422 calculation algorithm Methods 0.000 claims description 27
- 238000013461 design Methods 0.000 claims description 12
- 238000005516 engineering process Methods 0.000 claims description 7
- 238000012216 screening Methods 0.000 claims description 7
- 230000001010 compromised effect Effects 0.000 claims description 6
- 238000013135 deep learning Methods 0.000 claims description 6
- 230000002452 interceptive effect Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 238000012706 support-vector machine Methods 0.000 claims description 5
- 238000012731 temporal analysis Methods 0.000 claims description 5
- 238000000700 time series analysis Methods 0.000 claims description 5
- 230000001052 transient effect Effects 0.000 claims description 5
- 238000013329 compounding Methods 0.000 claims description 4
- 230000003137 locomotive effect Effects 0.000 claims description 4
- 238000010801 machine learning Methods 0.000 claims description 4
- 238000013401 experimental design Methods 0.000 claims description 2
- 238000013507 mapping Methods 0.000 claims description 2
- 230000002547 anomalous effect Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 9
- 230000004044 response Effects 0.000 description 9
- 238000003860 storage Methods 0.000 description 8
- 230000004807 localization Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000013459 approach Methods 0.000 description 6
- 239000000446 fuel Substances 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 239000000203 mixture Substances 0.000 description 4
- 238000012806 monitoring device Methods 0.000 description 4
- 238000002474 experimental method Methods 0.000 description 3
- 230000033001 locomotion Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000013400 design of experiment Methods 0.000 description 2
- 238000012805 post-processing Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000012152 algorithmic method Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000005284 basis set Methods 0.000 description 1
- 238000010923 batch production Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000003055 full factorial design Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000000513 principal component analysis Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003595 spectral effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0243—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/38—Services specially adapted for particular environments, situations or purposes for collecting sensor information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24065—Real time diagnostics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
本发明提供一种保护工业资产控制系统的系统及方法及计算机可读介质。在一些实施例中,多个实时监测节点信号输入用于接收代表所述工业资产控制系统的当前操作的一段时间上的监测节点信号值的流。威胁检测计算机平台耦连至所述多个实时监测节点信号输入,其可以接收监测节点信号值的流,并且为监测节点信号值的每个流生成当前监测节点特征向量。威胁检测计算机平台然后可以将每个生成的当前监测节点特征向量与该监测节点的对应决策边界进行比较,所述决策边界将该监测节点的正常状态与异常状态分开,针对特定的监测节点定位威胁的起源。威胁检测计算机平台然后可以基于所述比较的结果连同所述特定的监测节点的指示,自动地传送威胁警报信号。
Description
技术领域
本发明总体上涉及工业资产控制系统(industrial asset control system),更具体地特别涉及保护工业资产控制系统的系统及方法及计算机可读介质。
背景技术
操作(例如与动力涡轮机、喷气式发动机、机车、自主车辆(autonomous vehicle)等关联的)物理系统的工业控制系统越来越多地连接至互联网。结果,这些控制系统可能易于受到威胁,诸如(例如与计算机病毒、恶意软件等关联的)网络攻击,可能中断(disrupt)发电和配电,损坏发动机,造成车辆故障等。当前的方法主要考虑以信息技术(“IT”(Information Technology),诸如存储、检索、传送、操纵数据的计算机)和操作技术(“OT”(Operation Technology),诸如直接监测装置和通信总线接口)的威胁检测。网络威胁仍可能穿过这些保护层,到达物理“域”,如2010震网(Stuxnet)攻击可见。这些攻击可能降低控制系统的性能,并且可能产生总停机或者甚至对电厂(plant)产生灾难性破坏。当前,故障检测隔离和适应(Fault Detection Isolation and Accommodation;“FDIA”)方法只分析传感器数据,但关于(in connection with)其它类型的威胁监测节点,可能出现威胁。还要注意,FDIA只局限于传感器节点。而且,FDIA方法可能不能够区分最初出现的威胁和在异常行为通过系统传播时的威胁的影响。结果,针对特定节点的威胁定位可能是不可行的。因此,期望即便攻击渗透通过IT和OT层,直接危害控制系统时,能以自动和准确的方式保护工业资产控制系统不受网络威胁的影响。
发明内容
根据一些实施例,保护工业资产控制系统不受网络威胁的系统可以经由多个实时(real-time)监测节点信号输入用于接收代表所述工业资产控制系统的当前操作的一段时间上(over time)的监测节点信号值的流(streams)。威胁检测计算机平台(threatdetection computer platform)耦连至所述多个实时监测节点信号输入,其可以接收监测节点信号值的流,并且为监测节点信号值的每个流,生成当前监测节点特征向量(featurevector)。威胁检测计算机平台然后可以将每个生成的当前监测节点特征向量与该监测节点的对应决策边界(decision boundary)进行比较,所述决策边界将该控制节点的正常状态与异常状态分开,并针对特定的监测节点定位(localize)威胁或威胁的起源(origin ofa threat)。威胁检测计算机平台然后可以基于所述比较的结果连同所述特定的监测节点的指示,自动地传送威胁警报信号(threat alert signal)。
进一步地,监测节点(monitoring node)的至少一个与以下的至少一者关联:传感器数据、辅助设备输入信号、控制中间参数(intermediary parameter)以及控制逻辑值。
进一步地,至少一个监测节点与多个决策边界关联,并且关于多个决策边界的每一个执行所述比较。
进一步地,至少一个决策边界是根据基于特征的学习算法和以下的至少一者生成的:(i)高保真模型(high fidelity model),以及(ii)所述工业资产控制系统的正常操作。
进一步地,使用基于云(cloud-based)的系统执行所述警报通知。
更进一步地,根据与一个监测节点关联的决策边界被越过的时间与另一监测节点关联的决策边界被越过的时间的比较执行所述定位。
进一步地,所述当前监测节点特征向量的至少一个与以下的至少一者关联:主要分量(principal components)、统计特征(statistical features)、深度学习特征(deeplearning features)、频率域特征(frequency domain features)、时序序列分析特征(time series analysis features)、逻辑特征(logical features)、基于地理或位置的方位(geographic or position based locations)以及交互特征(interaction features)。
进一步地,与至少一个决策边界关联的威胁检测模型是基于以下的至少一者动态修改的(dynamically adapted):暂态条件(transient condition)、所述工业资产控制系统的稳态模型(steady state model)以及操作所述系统作为自学习系统时由进入的数据流获得的数据集。
进一步地,所述威胁与以下的至少一者关联:致动器攻击(actuator attack)、控制器攻击(controller attack)、监测节点攻击、工厂状态攻击(plant state attack)、电子欺骗(spoofing)、金融破坏(financial damage)、单元可用性(unit availability)、单元跳闸(unit trip)、单元寿命损失(loss of unit life)和要求至少一个新零件的资产损坏(asset damage)。
所述的系统还包括正常空间数据源、受威胁空间数据源以及威胁检测模型创建计算机;所述正常空间数据源为所述多个监测节点的每一个存储代表所述工业资产控制系统的正常操作的一段时间上的正常监测节点值序列;所述威胁空间数据源为所述多个监测节点的每一个存储代表所述工业资产控制系统的受威胁操作的一段时间上的受威胁监测节点值序列;所述威胁检测模型创建计算机耦连至所述正常空间数据源和所述受威胁空间数据源,以:接收正常监测节点值序列,并生成正常特征向量集合,接收受威胁监测节点值序列,并生成受威胁特征向量集合,以及基于所述正常特征向量集合和所述受威胁特征向量集合,自动地计算并输出威胁检测模型的至少一个决策边界。
更进一步地,所述正常监测节点值序列和所述受威胁监测节点值序列的至少一个与高保真设备模型关联。
更进一步地,至少一个决策边界存在于多维度空间中并与以下的至少一者关联:动态模型(dynamic model)、实验数据的设计(design of experiment data;DoE)、机器学习技术(machine learning techniques)、支持向量机(support vector machine)、全因子过程(full factorial process)、田口筛选(Taguchi screening)、中心复合方法(centralcomposite methodology)、Box-Behnken方法、真实世界操作条件(real-world operatingconditions)、全因子设计(full-factorial design)、筛选设计(screening design)和中心复合设计(central composite design)。
更进一步地,所述威胁检测模型与决策边界和以下的至少一者关联:特征映射和特征参数。
更进一步地,通过对与以下的至少一者关联的工业控制系统运行实验设计获得正常监测节点值和受威胁监测节点值中的至少一个:动力涡轮机、喷气式发动机、机车和自主车辆。一些实施例包括:由威胁检测计算机平台接收代表所述工业资产控制系统的当前操作的一段时间上的监测节点信号值的实时流的装置;由所述威胁检测计算机平台为监测节点信号值的每个流生成当前监测节点特征向量的装置;由所述威胁检测计算机平台将每个生成的当前监测节点特征向量与该监测节点的对应的决策边界进行比较的装置,所述决策边界将该监测节点的正常状态与异常状态分开;定位针对特定的监测节点的威胁的装置;以及基于所述比较的结果连同所述特定的监测节点的指示自动地传送威胁警报信号的装置。
根据一些实施例,一种用于保护工业资产控制系统的计算机化方法,包括:由威胁检测计算机平台接收代表所述工业资产控制系统的当前操作的一段时间上的监测节点信号值的多个实时流;由所述威胁检测计算机平台为监测节点信号值的每个流生成当前监测节点特征向量;由所述威胁检测计算机平台将每个生成的当前监测节点特征向量与该监测节点的对应的非线性多维度决策边界比较,所述决策边界将该监测节点的正常状态与异常状态分开;针对特定的监测节点定位威胁的起源;以及基于所述比较的结果连同所述特定的监测节点的指示自动地传送威胁警报信号。
进一步地,监测节点的至少一个与以下的至少一者关联:传感器数据、辅助设备输入信号、控制中间参数和控制逻辑值。
进一步地,至少一个监测节点与多个多维度决策边界关联,关于那些边界中的每一个执行所述比较,并且根据基于特征的学习算法和以下的至少一者生成至少一个决策边界:(i)高保真模型,以及(ii)所述工业资产控制系统的正常操作。
进一步地,根据越过与一个监测节点关联的决策边界的时间与越过和另一监测节点关联的决策边界的时间的比较执行所述定位。
根据又一些实施例,一种存储指令的非瞬态计算机可读介质,所述指令用于由处理器执行从而执行一种保护资产控制系统的方法,所述方法包括:由威胁检测计算机平台接收代表所述资产控制系统的当前操作的一段时间上的监测节点信号值的实时流;由所述威胁检测计算机平台为监测节点信号值的每个流生成当前监测节点特征向量;由所述威胁检测计算机平台将每个生成的当前监测节点特征向量与该监测节点的对应的非线性多维度决策边界比较,所述决策边界将该监测节点的正常状态与异常状态分开;针对特定的监测节点定位威胁的起源;以及基于所述比较的结果连同所述特定的监测节点的指示自动地传送威胁警报信号。
进一步地,监测节点的至少一个与以下的至少一者关联:传感器数据、辅助设备输入信号、控制中间参数和控制逻辑值。
进一步地,至少一个监测节点与多个多维度决策边界关联,关于那些边界中的每一个执行所述比较,并且根据基于特征的学习算法和以下的至少一者生成至少一个决策边界:(i)高保真模型,以及(ii)所述资产控制系统的正常操作。
进一步地,根据越过与一个监测节点关联的决策边界的时间与越过和另一监测节点关联的决策边界的时间的比较执行所述定位。
本发明中公开的一些实施例的一些技术优点是以自动和准确的方式保护工业资产控制系统不受网络威胁的改进的系统和方法。
附图说明
图1是根据一些实施例可以提供的系统的高级框图。
图2是根据一些实施例的方法。
图3是根据一些实施例的威胁警报系统。
图4至6图解说明根据一些实施例针对各个参数的特征向量的边界和定位。
图7至12包括根据一些实施例的参数值随时间的图形。
图13是根据本发明的一些实施例的工业资产控制系统保护平台的框图。
图14是监测节点数据库的表格部分。
图15是根据一些实施例的显示。
具体实施方式
在下面的详细描述中,陈述许多特定的细节以便提供对实施例的彻底理解。不过,本领域技术人员要理解没有这些特定细节也可以实践实施例。在其它情况下,没有详细描述众所周知的方法、程序、部件和电路,以便不混淆实施例。
操作物理系统的工业控制系统越来越多地连接至互联网。结果,这些控制系统可能易于受到威胁,在一些情况下,多个攻击可能同时出现。现有的保护工业控制系统的方法诸如FDIA方法可能不能充分地解决这些威胁,尤其是当多个同时的攻击出现时。因此,期望以自动和准确的方式保护工业资产控制系统不受网络威胁的影响。图1是根据一些实施例的系统100的高级架构。系统100可以包括“正常空间”数据源110和“受威胁空间”数据源120。正常空间数据源110可以针对多个“监测节点”130中的每一个,存储代表工业资产控制系统的正常操作的一段时间上的正常值序列(例如由模型生成的或者从实际的监测节点130数据采集的,如由图1中的虚线图示的)。如本发明中使用的词语“监测节点”可以指例如传感器数据,发送至致动器、电动机、泵和辅助设备的信号,不是直接的传感器信号也不是发送至辅助设备的信号的中间参数,和/或(若干)控制逻辑。这些可以代表例如威胁监测节点,其从威胁监测系统以连续方式以连续信号或数据流或其组合的形式接收数据。而且,可以使用节点监测网络威胁或异常事件的出现。可以用加密或其它保护机制特别设计此数据路径,使得可以确保信息安全,并且不能通过网络攻击篡改信息。受威胁空间数据源120可以为每个监测节点130,存储代表工业资产控制系统的受威胁操作的受威胁值序列(例如当系统正经历网络攻击时)。
来自正常空间数据源110和受威胁空间数据源120的信息可以提供至威胁检测模型创建计算机140,其使用此数据创建决策边界(即,将正常行为与受威胁行为分开的边界)。然后可以由执行威胁检测模型155的威胁检测计算机150使用决策边界。威胁检测模型155例如可以监测来自监测节点130的数据流,包括来自传感器节点、致动器节点和/或任何其它关键监测节点(例如监测节点MN1至MNN)的数据,基于接收的数据计算每个监测节点的“特征”,并在适当时“自动地”将威胁警报信号输出至一个或多个远程监测装置170(例如给用户显示)。根据一些实施例,威胁警报信号可以传送至单元控制器、电厂人机接口(“HMI”)或者经由许多不同的传输方法传送至客户。注意,威胁警报信号的一个的接收器可以是使对宽范围的电厂资产的多个攻击相关联的云数据库。如本发明中使用的术语“特征”可以指例如数据的数学表征。应用于数据的特征的示例可以包括最大和最小值、平均值、标准偏差、方差、稳定时间、快速傅立叶(“FFT”)频谱分量、线性和非线性主要分量、独立分量、稀疏编码、深度学习等。而且,术语“自动地”可以指例如用很少或者不用人工干预能够执行的动作。根据一些实施例,关于检测到的威胁的信息可以传送回工业控制系统。
如本发明中使用的装置包括与本发明中描述的系统100和任何其它装置关联的那些装置,可以经由任何通信网络交换信息,通信网络可以是以下的一个或多个:局域网(“LAN”)、城域网(“MAN”)、广域网(“WAN”)、专有网络、公用交换电话网(“PSTN”)、无线应用协议(“WAP”)网络、蓝牙网络、无线LAN网络和/或互联网协议(“IP”)网络,诸如互联网、内联网或外联网。注意,本发明中描述的任何装置可以经由一个或多个这些通信网络通信。
威胁检测模型创建计算机140可以将信息存储到各种数据存储装置(诸如正常空间数据源110和/或受威胁空间数据源120)中和/或从其检索信息。各种数据源可以被本地存储或驻存为远离威胁检测模型创建计算机140(其可以与例如离线或在线学习关联)。尽管图1中示出了单个威胁检测模型创建计算机140,但可以包括任意个数目的这种装置。而且,根据本发明的实施例,可以组合本发明中描述的各种装置。例如,在一些实施例中,威胁检测模型创建计算机140和一个或多个数据源110、120可以包括单个设备。可以由联网设备的集群以分布式处理或基于云的架构执行威胁检测模型创建计算机140的功能。
根据本发明中描述的任何实施例,用户可以经由监测装置170之一(例如个人计算机(“PC”)、平板电脑或智能手机)访问系统100,以查看关于威胁信息有关的信息和/或管理威胁信息。在一些情况下,交互图形显示接口可以使用户定义和/或调节某些参数(例如威胁检测触发器水平)和/或提供或自动地接收来自威胁检测模型创建计算机140和/或威胁检测计算机150的生成的推荐或结果。
例如,图2图解说明可以由参照图1描述的系统100的一些或所有元件执行的方法。本发明中描述的流程图并不暗示步骤的固定次序,可以以实用的任何次序实践本发明的实施例。注意,可以由硬件、软件或这些方法的任何组合执行本发明中描述的任何方法。例如,计算机可读存储介质可以在其上存储指令,这些指令由机器执行时产生根据本发明中描述的任何实施例的执行。
在S210,多个实时监测节点信号输入可以接收代表工业资产控制系统的当前操作的一段时间上的监测节点信号值的流,具体可由威胁检测计算机平台接收代表工业资产控制系统的当前操作的一段时间上的监测节点信号值的多个实时流。至少一个监测节点(例如控制节点等)可以与例如传感器数据、辅助设备输入信号、控制中间参数和/或控制逻辑值关联。
在S220,威胁检测计算机平台可以接收监测节点信号值的流,并且为监测节点信号值的每个流,生成当前监测节点特征向量。根据一些实施例,至少一个当前监测节点特征向量与主要分量、统计特征、深度学习特征、频率域特征、时间序列分析特征、逻辑特征、基于地理或位置的方位和/或交互特征关联。
在S230,可以将每个生成的当前监测节点特征向量与该监测节点的对应决策边界(例如线性边界、非线性边界、多维度边界等)比较,决策边界将该监测节点的正常状态与异常状态分开。根据一些实施例,至少一个监测节点与多个多维度决策边界关联,并且关于这些边界中的每一个执行S230的比较。注意,例如可以根据基于特征的学习算法和高保真模型或工业资产控制系统的正常操作生成决策边界。而且,至少一个决策边界可以存在于多维度空间中,并与动态模型、实验的设计(诸如全因子设计、田口(Taguchi)筛选设计)、中心复合方法、Box-Behnken方法和真实世界操作条件方法关联。此外,根据一些实施例,可以基于暂态条件、工业资产控制系统的稳态模型和/或在操作系统作为自学习系统时由进入的数据流获得的数据集,动态地修改与决策边界关联的威胁检测模型。
在S240,系统可以基于在S230执行的比较的结果自动地传送威胁警报信号(例如通知消息等)。威胁可以与例如以下关联:致动器攻击、控制器攻击、监测节点攻击、电厂状态攻击、电子欺骗、金融破坏、单元可用性、单元跳闸、单元寿命的损失和/或要求至少一个新零件的资产损坏。根据一些实施例,可以在传送威胁警报信号时执行一个或多个响应动作。例如,系统可以自动地关闭工业资产控制系统的全部或一部分(例如使检测到的潜在网络攻击被进一步调查)。举另一示例,可以自动地修改一个或多个参数,可以自动地触发软件应用以捕获数据和/或隔离可能的原因等等。注意,可以经由基于云的系统(诸如现场代理系统)传送威胁警报信号。注意,根据一些实施例,还可以使用云方法存档信息和/或存储关于边界的信息。
根据一些实施例,系统还可以定位针对特定的监测节点的威胁的起源。例如,可以根据越过与一个监测节点关联的决策边界的时间与越过和另一监测节点关联的决策边界的时间的比较执行定位。根据一些实施例,特定的监测节点的指示可以包括于威胁警报信号中。
本发明中描述的一些实施例可以通过学习来自调谐的高保真设备模型和/或实际的“工作中”数据的先验知识利用控制系统的物理性质,检测针对系统的单个或多个同时的不利威胁。而且,根据一些实施例,可以使用基于先进特征的方法将所有的监测节点数据转换成特征,并且可以基本上实时地监测控制系统的实时操作。可以通过将监测的数据分类为“正常”或破坏(或恶化)来检测异常。可以使用动态模型构造此决策边界,并且可以帮助实现脆弱点的早期检测(以及可能转移灾难故障),使操作员及时地将控制系统恢复到正常操作。
注意,多维度特征向量的适当集合可以被自动地提取(例如经由算法)和/或可以手动输入,其可以包括低维度向量空间中测量的数据的良好预测。根据一些实施例,可以在多维度空间中使用经由与DoE技术关联的科学原理获得的数据集构造适当的决策边界。而且,可以使用多种算法方法(例如支持向量机或机器学习技术)生成决策边界。由于边界可以由测量的数据(或由高保真模型生成的数据)驱动,所以定义的边界裕量(boundarymargins)可以有助于在多维度特征空间中创建威胁区。而且,裕量本质上可以是动态的,可以基于设备的暂态或稳态模型修改和/或可以在操作系统作为自学习系统时由进入的数据流获得。根据一些实施例,可以使用训练方法用于监督学习以教导决策边界。此类型的监督学习可以考虑操作员对关于系统操作的了解(例如正常和异常操作之间的不同)。
注意,根据本发明中描述的任何实施例可以使用许多不同类型的特征,包括主要分量(用自然基础集构造的权重)和统计特征(例如平均值,方差,偏斜度,峰度,时间序列信号的最大、最小值,最大和最小值的位置,独立分量等)。其它示例包括(例如由挖掘实验和/或历史数据集生成的)深度学习特征和(例如与傅立叶或小波变换的系数关联的)频率域特征。实施例还可以与时间序列分析特征关联,诸如互相关、自相关、自回归阶数、移动平均模型、模型的参数、信号的导数和积分、上升时间、稳定时间、神经网络等。还有其它的示例包括逻辑特征(具有语义抽象,诸如“Yes(是)”和“No(否)”)、地理/位置方位和交互特征(来自多个监测节点和特定方位的信号的数学组合)。实施例可以合并任何数目的特征,由于系统学习更多的关于物理过程和威胁的东西,所以更多的特征使得方法变得更加准确。根据一些实施例,来自监测节点的不相似的值可以被标准化到无单位空间,这可以允许用简单的方式比较输出和输出的强度。
因此,一些实施例可以提供先进的异常检测算法来检测例如对关键的燃气涡轮机控制传感器的网络攻击。算法可以使用控制信号特定的决策边界识别哪些信号正受到攻击,并且可以通知控制系统采取适应性动作。具体地,检测和定位算法可以检测传感器、辅助设备输入信号、控制中间参数或控制逻辑是否处于正常或异常状态。可被分析的燃气涡轮机监测节点的一些示例包括:关键的控制传感器(例如发电机的功率转换器信号、燃气涡轮机排气温度热电偶信号、燃气涡轮机速度等);控制系统中间参数(例如发电机功率、燃气涡轮机排气温度、压缩机排放压力、压缩机排放温度、压缩机压力比、燃料流量、压缩机入口温度、导向叶片角度、燃料冲程参考、压缩机排出阀、进气排气热阀等)、辅助设备输入信号(例如发送至致动器、电动机、泵等的信号)和/或针对控制器的逻辑命令。
算法的一些实施例可以基于高保真物理模型和/或机器操作数据(这会使算法部署于任何系统上)使用基于特征的学习技术,以建立高维度决策边界。结果,可以使用多个信号更精确地进行检测,使检测更准确,具有较少的假阳性(false positives)。而且,实施例可以检测对控制信号的多个攻击,并合理地说明发起攻击的根本起因的地方。例如,算法可以决定信号是否因为之前的信号攻击是异常的,或者信号实际上独立地处于攻击中。这可以通过例如监测特征的演化以及通过计算攻击之间的时间延迟来完成。
数字虚象(digital ghost)网络攻击检测和定位算法可以处理实时涡轮机信号数据流,然后计算特征(多个标识符),然后可以将特征与信号特定的决策边界比较。根据一些实施例利用信号特定的燃气涡轮机网络攻击检测和定位算法的系统300的框图示于图3中。具体地,发电厂332提供信息至传感器334,传感器334帮助带电子器件和处理器的控制器336调节致动器338。威胁检测系统360可以包括与发电厂332关联的一个或多个基于高保真物理性质的模型342以创建正常数据310和/或威胁数据320。正常数据310和威胁数据320可以由特征发现部件344访问,并在离线时由决策边界算法346处理(例如不一定在发电厂332正在运行时)。决策边界算法346可以生成包括各个监测节点的决策边界的威胁模型。每个决策边界可以使用每个监测节点信号的正常数据310和威胁数据320(例如来自传感器334、控制器336和/或致动器338)分开通过运行二进制分类算法(诸如支持向量机)构造的高维度空间中的两个数据集。
实时威胁检测平台350可以从监测节点接收边界以及数据流。平台350可以包括对每个监测节点的特征提取元件352,以及具有算法以使用信号特定的决策边界检测各个信号的攻击以及合理说明(rationalize)对多个信号中的攻击的正常决策(normalcydecision)354,以及通过定位模块356宣布由于之前对系统的攻击哪些信号受到攻击,哪些变成异常(anomalous)。适应元件358可以生成输出370,诸如异常决策指示(例如威胁警报信号)、控制器动作和/或所附连监测节点的列表。
在实时检测期间,可以由平台350处理、标准化连续批次的控制信号数据,并提取特征向量。然后将高维度特征向量中每个信号的向量的定位与对应的决策边界比较。如果其落入攻击区内,则可以宣布有网络攻击。算法然后可以对攻击最初出现在哪里进行决定。攻击有时候可以针对致动器338,然后在传感器334数据中表明。可以在后决策模块(例如定位元件356)中执行攻击评估,以分开攻击是否与传感器、控制器或致动器有关(例如指示监测节点的哪一部分)。这可以通过个别地超时监测特征向量相对于硬(hard)决策边界的方位进行。例如,当传感器334被电子欺骗(spoofed)时,被攻击的传感器特征向量会比参照图4至12描述的剩余的向量更早地越过硬决策边界。如果宣布传感器是异常的,并且针对辅助设备的负载命令稍后被确定为异常的,则可以确定原始攻击诸如信号电子欺骗出现在传感器334上。相反,如果首先确定到辅助设备的信号是异常的,并且稍后在传感器334的反馈信号中证明,则可以确定到设备的信号首先受到攻击。
根据一些实施例,可以通过使用定位的决策边界和特定信号特征的实时计算检测信号是否在正常操作空间(或异常空间)中。而且,算法可以对比针对被攻击的辅助设备的信号区分被攻击的传感器。还可以使用类似方法分析控制中间参数和(若干)控制逻辑。注意,算法可以合理说明变成异常的信号。然后可以识别对信号的攻击。
图4图解说明400根据一些实施例针对各个监测节点参数的边界和特征向量。具体地,对于每个参数,图形包括代表值权重1(“w1”)、特征1的第一轴和代表值权重2(“w2”)、特征2的第二轴。对于w1和w2的值可以与例如来自对输入数据执行的主要分量分析(“PCA”)的输出关联。PCA可以是可以由算法使用的表征数据的特征之一,但注意可以利用其它特征。
提供了针对压缩机排气温度410、压缩机压力比420、压缩机入口温度430、燃料流量440、发电机功率450和燃气涡轮机排气温度460的图形。每个图形包括平均边界412(实线)、最小边界416(点划线)和最大边界414(虚线)和与每个监测节点参数的当前特征方位关联的指示(用图形上的“X”图示)。如图4中图示的,当前的监测节点方位在最小和最大边界之间(即,“X”在点划线和虚线之间)。结果,系统可以确定工业资产控制系统的操作是正常的(没有检测到指示系统正处于攻击的威胁)。
图5图解说明500针对三个参数的后续边界和特征向量。例如,考虑针对压缩机排放压力的特征向量运动512。即便特征向量512已经移动,其仍在最大和最小边界内,结果,可以确定该监测节点的正常操作。对于图5中的前五个图形是这种情况。在此示例中,针对燃气涡轮机排气温度的特征向量运动562已经超过最大边界,结果可以确定监测节点的异常操作。例如,对于排气温度比例因子(其是校正值)可能存在威胁。结果是图5中图示的中间控制信号的特征如562运动,以致于其是异常的。算法检测到此网络攻击,可以启动两个并行动作。一个动作可以是信号的后处理以发现谁被攻击,在这种情况下,如果系统一直监测每个排气热电偶,则可以得出结论他们中没有一个当时是异常的。因此,可以确定曾用来计算此特征的某物体被攻击。另一动作可以是连续地监测并检测另外的攻击。这种方法可以有利于多个信号攻击的检测。
对于图5的示例,假设燃气涡轮机排气温度信号被攻击。这可能使系统以将其它信号置于异常状态的方式进行响应。这图示于图6的600中,其中,已经检测到攻击,现在其它信号显示为异常的。具体地,针对压缩机排放压力612、压缩机压力比622、压缩机入口温度632和燃料流量642的特征运动已经全部变成异常的(加上燃气涡轮机排气温度662的特征向量)。注意,发电机功率的特征向量没有变成异常。为了决定这些信号612、622、632、642是否真正地正在受到攻击,具有相关特征向量信息的历史批处理可以保持一段持续时间。然后,当在另一信号上检测到攻击时,检查此批处理,分析确认对燃气涡轮机排气温度攻击的时间以及几个后续元件。
注意,一个信号的合理说明可以与系统时间延迟关联。即,在传感器被攻击之后,在系统返回稳定状态之前可能有一段时间。在此延迟之后,变成异常的任何信号可能是由于与系统响应相反的攻击造成的。
检测监测节点中的异常条件的现有方法局限于FDIA(其本身是非常有限的)。本发明中描述的网络攻击检测和定位算法不仅可以检测传感器的异常信号,还可以检测发送至辅助设备的信号、控制中间参数和/或(若干)控制逻辑。算法还可以理解多个信号攻击。正确地识别网络攻击威胁的一个挑战是可能出现多个传感器被恶意软件影响。根据一些实施例,算法可以实时地识别攻击已经出现,哪些传感器受到影响,并宣布故障响应。为了达到这种结果,必须知道系统的详细的物理响应以创建可接受的决策边界。这可以通过例如对高保真模型运行实验设计(“DoE”)实验来构造正常和异常区域的数据集来实现。每个传感器的数据集可以包括给定威胁值的特征向量(例如涡轮机速度、热电偶比例因子等)。全因子、Taguchi筛选、中心复合和Box-Behnken是用来创建攻击空间的已知设计方法论中的一些。当模型不可用时,也使用这些DoE方法从真实世界的发电机系统采集数据。可以以同步攻击的不同组合进行实验。在一些实施例中,系统可以检测与网络攻击相对的降级的/故障的操作。这些决定可以利用与降级的和/故障的操作空间关联的数据集。在此过程结束时,系统可以创建诸如“攻击对正常(attack v/s normal)”和“降级对正常(degraded v/snormal)”的数据集以在构造决策边界时使用。还要注意,可以使用特征空间中的数据集创建每个信号的决策边界。可以使用各种分类方法来计算决策边界。例如,二进制线性和非线性监督分类器是可以用来获得决策边界的方法的示例。
注意,可以检查多个向量性质,可以处理参数图4至6描述的信息以确定当检测到攻击时信号是否已经倾向特定的方向(或者其由于噪声一直在移动)。如果在攻击发生时和之后,信号有一致的倾向,则此信号响应于原始攻击,而不是独立攻击。这示于图7至12中。如果此信号在攻击期间和之后相对停滞,然后变成异常的,则这会表征独立的攻击。
具体地,图7图解说明700压缩机排放压力值随时间的演变,包括第一值w1 710和第二值w2 720。“第一”(根据出现时间)箭头730指示对燃气涡轮机排气温度的攻击何时出现(并在图8至12中位于相同的点/时间)。中间箭头740指示共同形成特征向量的w1和w2何时变成异常的(即特征向量已经通过边界)。此事件对于每个传感器不在相同的点/时间,但其的确表明在暂态期间宣布有攻击,在初始攻击之后暂态开始。因此,在针对压缩机排气温度、压缩机压力比、压缩机入口温度和燃料流量的传感器中检测到的异常被确定为响应于攻击而不是独立地受到攻击。最后的箭头750指示在另一传感器上何时检测到攻击(压缩机压力比,并在图8至12中位于相同方位)。注意,特征向量显示了大的变化,特征向量已经稳定,因此指示单独的攻击。因此,对多个传感器的攻击已经被成功地合理说明。
图8图解说明800压缩机压力比的值随时间的演变,包括第一值w1 810和第二值w2820。图9图解说明900压缩机入口温度值随时间的演变,包括第一值w1 910和第二值w2920。图10图解说明1000燃料流量的值随时间的演变,包括第一值w1 1010和第二值w21020。图11图解说明1100发电机功率的值随时间的演变,包括第一值w1 1110和第二值w2 1120。图12图解说明1200燃气涡轮机排气温度值随时间的演变,包括第一值w1 1210和第二值w21220。
在图7至12中,检测到对燃气涡轮机排气温度传感器的攻击。为了验证攻击实际上在燃气涡轮机排气温度传感器,构成燃气涡轮机排气温度值的个别信号(热电偶测量值)会被评估。如果在传感器级别上没有任何异常,则燃气涡轮机排气温度的异常宣布对信号的攻击。如果在热电偶级别上有异常,则由于其响应于异常的热电偶,则宣布燃气涡轮机排气温度信号有异常。在这种情况下,将不会显示后处理。注意以下可以理解燃气涡轮机排气温度传感器的异常的检测以及如何合理说明顺序响应:图7至10各自有3个箭头4个部分:在第一箭头730之前;在第一箭头730和中间箭头740之间;在中间箭头740和最后一个箭头750之间;以及在最后一个箭头750之后。图11和12各自具有2个箭头3个部分:在第一箭头730之前;在第一箭头730和最后一个箭头750之间;以及在最后一个箭头750之后。图11没有中间箭头,原因是发电机功率从不曾被确定为异常。图12没有中间箭头,原因是燃气涡轮机排气温度曾首先受到攻击,因此在攻击已经缓解之前,燃气涡轮机排气温度不再宣布为异常。
图7至12的每个图中的第一箭头730前面的部分示出在燃气涡轮机排气温度传感器上检测到异常之前处于正常操作条件下的监测节点特征。在图7至10中的第一箭头730和中间箭头之间的部分示出在检测到其本身异常之前来自信号的响应。这是检测可以被分类为响应的地方。注意在图7至10中,w1和w2从检测到燃气涡轮机排气温度攻击出现的时刻一致地倾向,这由第一箭头730表示。这意味着响应于燃气涡轮机排气温度特征在演变。由于对燃气涡轮机排气温度传感器的攻击,这些监测节点可被分类为异常。每个信号在通过中间箭头时被宣布为异常(这代表降低维度中的决策边界)。中间箭头740和最后一个箭头750之间的部分示出在初始攻击之后特征返回稳定状态。在此时,尽管特征仍驻留在异常状态,但是为稳定状态,可以确定信号并不响应于之前的攻击。然后,发起对压缩机压力比传感器的攻击,如由最后一个箭头750指示的。尽管压缩机压力比传感器的特征向量已经处于异常状态,但是为稳定状态,因此特征向量的突然上跳表征独立的攻击。如在最后一个箭头750之后的部分所示,其它信号响应,但重复此方法会得出结论这些响应不是独立攻击,而是对第二次攻击的响应。
可以使用任意个数的不同硬件配置实现本发明中描述的实施例。例如,图13是工业资产控制系统保护平台1300的框图,其例如可以与图1的系统100关联。工业资产控制系统保护平台1300包括耦连至通信装置1320的处理器1310,诸如形式为一个芯片的微处理器的一个或多个商用中央处理单元(“CPU”),通信装置1320被配置成通过通信网络通信(图13中没有显示)。可以使用通信装置1320与例如一个或多个远程监测节点、用户平台等通信。工业资产控制系统保护平台1300还包括输入装置1340(例如计算机鼠标和/或键盘以输入适应性和/或预测性建模信息)和/或输出装置1350(例如渲染显示,提供警报,传送推荐和/或创建报告的计算机监视器)。根据一些实施例,可以使用移动装置、监测物理系统和/或PC与工业资产控制系统保护平台1300交换信息。
处理器1310还与存储装置1330通信。存储装置1330可以包括任何适当的信息存储装置,包括磁存储装置(例如硬盘驱动器)、光存储装置、移动电话和/或半导体存储器装置的组合。存储装置1330存储用于控制处理器1310的程序1312和/或威胁检测模型1314。处理器1310执行程序1312、1314的指令,从而根据本发明中描述的任何实施例操作。例如,处理器1310可以经由多个实时监测节点信号输入接收代表工业资产控制系统的当前操作的一段时间的监测节点信号值的流。处理器1310可以针对监测节点信号值的每个流,生成当前监测节点特征向量。处理器1310然后可以将每个生成的当前监测节点特征向量与该监测节点的对应的非线性多维度决策边界比较,决策边界将该监测节点的正常状态与异常状态分开。处理器1310还可以定位针对特定的监测节点的威胁。处理器1310然后可以基于所述比较的结果连同特定的监测节点的指示自动地传送威胁警报信号。
可以以压缩的非编译和/或加密格式存储程序1312、1314。而且,程序1312、1314可以包括其它程序元件,诸如操作系统、剪贴板应用、数据库管理系统和/或由处理器1310使用的以与外围设备相接的装置驱动器。
如本发明中使用的,可以由例如以下“接收”信息或将信息“传送”至以下:(i)来自另一装置的工业资产控制系统保护平台1300;或(ii)在来自另一软件应用、模块或任何其它来源的工业资产控制系统保护平台1300内的软件应用或模块。
在一些实施例中(诸如图13中所示的实施例),存储装置1330还存储监测节点数据库1400。现在将参照图14详细描述可以与工业资产控制系统保护平台1300结合使用的数据库的示例。注意,本发明中描述的数据库只是一个示例,可以在其中存储附加的和/或不同的信息。而且,根据本发明中描述的任何实施例各个数据库可以被分开或被组合。
参照图14,示出了根据一些实施例的一个表,其代表可以存储在工业资产控制系统保护平台1300处的监测节点数据库1400。该表可以包括例如识别与物理系统关联的监测节点的表项。该表还可以定义每个表项的字段1402、1404、1406、1408、1410。根据一些实施例,字段1402、1404、1406、1408、1410可以指定:监测节点标识符1402、监测节点值1404、当前特征向量1406、决策边界1408和结果1410。例如,当监测或对新物理系统建模,监测节点报告值,操作条件变化等等的时候,可以创建和更新监测节点数据库1400。
监测节点标识符1402例如可以是识别工业资产控制系统中的监测节点的唯一字母数字代码,监测节点诸如传感器节点,其检测监测节点值1404随时间的序列(例如在30至50秒数据的批次中)。可以使用监测节点值1404创建当前的特征向量1406。决策边界1408可以是高维度决策边界1408,其将工业资产的正常操作与异常操作分开。可以通过将当前的特征向量1408与决策边界1410比较,生成结果1410(例如正常或指示潜在威胁的警报)。
因此,实施例可以实现使用来自监测节点的实时信号被动地检测多分类异常操作的指示。而且,检测框架可以允许开发有利于本发明扩散到多个地理位置的各个系统(即燃气涡轮机、蒸汽涡轮机、风力涡轮机、航空发动机、机车发动机、电网等)的工具。根据一些实施例,由此技术实现的分布式检测系统(跨越多种类型的设备和系统)允许采集协调数据以帮助检测多分支攻击。注意,当新学习和替代数据源变成可用时,本发明中描述的基于特征的方法可以实现扩展的特征向量和/或将新特征合并到现有的向量中。结果,由于系统学习关于其特性的更多知识,所以实施例可以检测相对宽范围的网络攻击(例如秘密行动、重放、掩护、注入式攻击等)。实施例还可以降低错误的肯定率,原因是系统合并有用的关键新特征,去掉了冗余或较不重要的特征。注意,本发明中描述的检测系统可以对工业资产控制系统操作员提供早期警告,使得可以挫败攻击(或者攻击的效果可以被钝化),降低对设备的损坏。
下面图解说明本发明的各个附加的实施例。这些并不构成所有可能的实施例的限定,本领域技术人员会理解本发明可应用于许多其它实施例。而且,尽管为了简洁简要地描述了下面的实施例,但本领域技术人员会理解根据需要如何对上文描述的设备和方法进行任何变化以适应这些和其它实施例和应用。
尽管本发明中已经描述了特定的硬件和数据配置,但注意可以根据本发明的实施例提供任何个数的其它配置(例如与本发明中描述的数据库关联的一些信息可以被组合或存储在外部系统中)。例如,尽管一些实施例专注于燃气涡轮机发电机,但本发明中描述的任何实施例可应用于其它类型的资产,诸如水坝、电网、军用装置等。而且,注意,一些实施例可以与监测节点威胁数据给操作员的显示关联。例如,图15图解说明交互式图形用户界面(“GUI”)显示,其可以显示监测节点信息(例如包括当前的特征向量和决策边界)连同自动生成的数据分析1520。根据一些实施例,关于攻击状态的信息可以在不同的工业资产工厂之间交织。例如,一个发电厂可能知道其它(在其它发电厂中)节点的状态,这种方法可能有助于挫败协同的网络威胁。
除了自动的威胁检测之外,本发明中描述的一些实施例可以提供具有附加的网络防御层的系统,并且无需定制编程是可配置的(例如当使用操作数据时)。可以用许可密钥出售一些实施例,并且可以合并一些实施例作为监测装置。例如,当工业资产工厂处的设备升级时,可以定期更新边界。
只出于图示目的,已经根据几个实施例描述了本发明。本领域技术人员会从此描述认识到本发明不局限于描述的实施例,而是可以用只由所附权利要求的精神和范围限定的修改和变化来实践本发明。
Claims (22)
1. 一种保护工业资产控制系统的系统,包括:
多个实时监测节点信号输入,所述多个实时监测节点信号输入用于接收代表所述工业资产控制系统的当前操作的一段时间上的监测节点信号值的流;以及
威胁检测计算机平台,所述威胁检测计算机平台耦连至所述多个实时监测节点信号输入,以:
(i)接收监测节点信号值的流,并且为监测节点信号值的每个流,生成当前监测节点特征向量,
(ii)将每个生成的当前监测节点特征向量与该监测节点的对应决策边界进行比较,所述决策边界将该监测节点的正常状态与异常状态分开,
(iii)针对特定的监测节点定位威胁的起源;以及
(iv)基于所述比较的结果连同所述特定的监测节点的指示,自动地传送威胁警报信号。
2.根据权利要求1所述的系统,其特征在于,监测节点的至少一个与以下的至少一者关联:传感器数据、辅助设备输入信号、控制中间参数以及控制逻辑值。
3.根据权利要求1所述的系统,其特征在于,至少一个监测节点与多个决策边界关联,并且关于多个决策边界的每一个执行所述比较。
4.根据权利要求1所述的系统,其特征在于,至少一个决策边界是根据基于特征的学习算法和以下的至少一者生成的:(i)高保真模型,以及(ii)所述工业资产控制系统的正常操作。
5.根据权利要求1所述的系统,其特征在于,使用基于云的系统执行警报通知。
6.根据权利要求5所述的系统,其特征在于,根据与一个监测节点关联的决策边界被越过的时间与另一监测节点关联的决策边界被越过的时间的比较执行所述定位。
7.根据权利要求1所述的系统,其特征在于,所述当前监测节点特征向量的至少一个与以下的至少一者关联:主要分量、统计特征、深度学习特征、频率域特征、时序序列分析特征、逻辑特征、基于地理或位置的方位以及交互特征。
8.根据权利要求1所述的系统,其特征在于,与至少一个决策边界关联的威胁检测模型是基于以下的至少一者动态修改的:暂态条件、所述工业资产控制系统的稳态模型以及操作所述系统作为自学习系统时由进入的数据流获得的数据集。
9.根据权利要求1所述的系统,其特征在于,所述威胁与以下的至少一者关联:致动器攻击、控制器攻击、监测节点攻击、工厂状态攻击、电子欺骗、金融破坏、单元可用性、单元跳闸、单元寿命损失和要求至少一个新零件的资产损坏。
10.根据权利要求1所述的系统,还包括:
正常空间数据源,所述正常空间数据源为多个监测节点的每一个存储代表所述工业资产控制系统的正常操作的一段时间上的正常监测节点值序列;
受威胁空间数据源,所述受威胁空间数据源为所述多个监测节点的每一个存储代表所述工业资产控制系统的受威胁操作的一段时间上的受威胁监测节点值序列;以及
威胁检测模型创建计算机,所述威胁检测模型创建计算机耦连至所述正常空间数据源和所述受威胁空间数据源,以:
接收正常监测节点值序列,并生成正常特征向量集合,
接收受威胁监测节点值序列,并生成受威胁特征向量集合,以及
基于所述正常特征向量集合和所述受威胁特征向量集合,自动地计算并输出威胁检测模型的至少一个决策边界。
11.根据权利要求10所述的系统,其特征在于,所述正常监测节点值序列和所述受威胁监测节点值序列的至少一个与高保真设备模型关联。
12.根据权利要求10所述的系统,其特征在于,至少一个决策边界存在于多维度空间中并与以下的至少一者关联:动态模型、实验数据的设计、机器学习技术、支持向量机、全因子过程、田口筛选、中心复合方法、Box-Behnken方法、真实世界操作条件、全因子设计、筛选设计和中心复合设计。
13.根据权利要求10所述的系统,其特征在于,所述威胁检测模型与决策边界和以下的至少一者关联:特征映射和特征参数。
14.根据权利要求10所述的系统,其特征在于,通过对与以下的至少一者关联的工业控制系统运行实验设计获得正常监测节点值和受威胁监测节点值中的至少一个:动力涡轮机、喷气式发动机、机车和自主车辆。
15.一种保护工业资产控制系统的计算机化方法,包括:
由威胁检测计算机平台接收代表所述工业资产控制系统的当前操作的一段时间上的监测节点信号值的多个实时流;
由所述威胁检测计算机平台为监测节点信号值的每个流生成当前监测节点特征向量;
由所述威胁检测计算机平台将每个生成的当前监测节点特征向量与该监测节点的对应的非线性多维度决策边界比较,所述决策边界将该监测节点的正常状态与异常状态分开;
针对特定的监测节点定位威胁的起源;以及
基于所述比较的结果连同所述特定的监测节点的指示自动地传送威胁警报信号。
16.根据权利要求15所述的方法,其特征在于,监测节点的至少一个与以下的至少一者关联:传感器数据、辅助设备输入信号、控制中间参数和控制逻辑值。
17.根据权利要求15所述的方法,其特征在于,至少一个监测节点与多个多维度决策边界关联,关于那些边界中的每一个执行所述比较,并且根据基于特征的学习算法和以下的至少一者生成至少一个决策边界:(i)高保真模型,以及(ii)所述工业资产控制系统的正常操作。
18.根据权利要求15所述的方法,其特征在于,根据越过与一个监测节点关联的决策边界的时间与越过和另一监测节点关联的决策边界的时间的比较执行所述定位。
19.一种存储指令的非瞬态计算机可读介质,所述指令用于由处理器执行从而执行一种保护资产控制系统的方法,所述方法包括:
由威胁检测计算机平台接收代表所述资产控制系统的当前操作的一段时间上的监测节点信号值的实时流;
由所述威胁检测计算机平台为监测节点信号值的每个流生成当前监测节点特征向量;
由所述威胁检测计算机平台将每个生成的当前监测节点特征向量与该监测节点的对应的非线性多维度决策边界比较,所述决策边界将该监测节点的正常状态与异常状态分开;
针对特定的监测节点定位威胁的起源;以及
基于所述比较的结果连同所述特定的监测节点的指示自动地传送威胁警报信号。
20.根据权利要求19所述的介质,其特征在于,监测节点的至少一个与以下的至少一者关联:传感器数据、辅助设备输入信号、控制中间参数和控制逻辑值。
21.根据权利要求19所述的介质,其特征在于,至少一个监测节点与多个多维度决策边界关联,关于那些边界中的每一个执行所述比较,并且根据基于特征的学习算法和以下的至少一者生成至少一个决策边界:(i)高保真模型,以及(ii)所述资产控制系统的正常操作。
22.根据权利要求19所述的介质,其特征在于,根据越过与一个监测节点关联的决策边界的时间与越过和另一监测节点关联的决策边界的时间的比较执行所述定位。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/179,034 US11005863B2 (en) | 2016-06-10 | 2016-06-10 | Threat detection and localization for monitoring nodes of an industrial asset control system |
US15/179034 | 2016-06-10 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107491057A CN107491057A (zh) | 2017-12-19 |
CN107491057B true CN107491057B (zh) | 2021-12-31 |
Family
ID=60420213
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710436387.9A Active CN107491057B (zh) | 2016-06-10 | 2017-06-09 | 保护工业资产控制系统的系统及方法及计算机可读介质 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11005863B2 (zh) |
CN (1) | CN107491057B (zh) |
DE (1) | DE102017112042A1 (zh) |
Families Citing this family (43)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10156841B2 (en) | 2015-12-31 | 2018-12-18 | General Electric Company | Identity management and device enrollment in a cloud service |
EP3437256A4 (en) | 2016-03-25 | 2019-10-30 | Nebbiolo Technologies, Inc. | FLEXIBLE PLANT ASSISTED BY COMPUTER FOG |
EP3258333A1 (en) * | 2016-06-17 | 2017-12-20 | Siemens Aktiengesellschaft | Method and system for monitoring sensor data of rotating equipment |
US10320829B1 (en) * | 2016-08-11 | 2019-06-11 | Balbix, Inc. | Comprehensive modeling and mitigation of security risk vulnerabilities in an enterprise network |
US10250631B2 (en) * | 2016-08-11 | 2019-04-02 | Balbix, Inc. | Risk modeling |
CN106383766B (zh) * | 2016-09-09 | 2018-09-11 | 北京百度网讯科技有限公司 | 系统监控方法和装置 |
US10798063B2 (en) * | 2016-10-21 | 2020-10-06 | Nebbiolo Technologies, Inc. | Enterprise grade security for integrating multiple domains with a public cloud |
US10645100B1 (en) * | 2016-11-21 | 2020-05-05 | Alert Logic, Inc. | Systems and methods for attacker temporal behavior fingerprinting and grouping with spectrum interpretation and deep learning |
US10204226B2 (en) * | 2016-12-07 | 2019-02-12 | General Electric Company | Feature and boundary tuning for threat detection in industrial asset control system |
US20180262525A1 (en) * | 2017-03-09 | 2018-09-13 | General Electric Company | Multi-modal, multi-disciplinary feature discovery to detect cyber threats in electric power grid |
US10841322B2 (en) * | 2018-01-18 | 2020-11-17 | General Electric Company | Decision system and method for separating faults from attacks |
US10819725B2 (en) | 2018-01-18 | 2020-10-27 | General Electric Company | Reliable cyber-threat detection in rapidly changing environments |
US10805329B2 (en) | 2018-01-19 | 2020-10-13 | General Electric Company | Autonomous reconfigurable virtual sensing system for cyber-attack neutralization |
US10785237B2 (en) * | 2018-01-19 | 2020-09-22 | General Electric Company | Learning method and system for separating independent and dependent attacks |
US10728282B2 (en) * | 2018-01-19 | 2020-07-28 | General Electric Company | Dynamic concurrent learning method to neutralize cyber attacks and faults for industrial asset monitoring nodes |
US10931687B2 (en) * | 2018-02-20 | 2021-02-23 | General Electric Company | Cyber-attack detection, localization, and neutralization for unmanned aerial vehicles |
EP3553616A1 (de) * | 2018-04-11 | 2019-10-16 | Siemens Aktiengesellschaft | Ursachenbestimmung von anomalieereignissen |
US10931702B2 (en) | 2018-04-24 | 2021-02-23 | Cyberfortress, Inc. | Vulnerability profiling based on time series analysis of data streams |
FR3080692B1 (fr) * | 2018-04-25 | 2021-07-30 | Univ Grenoble Alpes | Systeme de securisation de procede cyber-physique |
US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US10855711B2 (en) | 2018-06-06 | 2020-12-01 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US11354406B2 (en) * | 2018-06-28 | 2022-06-07 | Intel Corporation | Physics-based approach for attack detection and localization in closed-loop controls for autonomous vehicles |
CN109101817B (zh) * | 2018-08-13 | 2023-09-01 | 亚信科技(成都)有限公司 | 一种识别恶意文件类别的方法及计算设备 |
WO2020046371A1 (en) * | 2018-08-31 | 2020-03-05 | Siemens Aktiengesellschaft | Process control systems and devices resilient to digital intrusion and erroneous commands |
CN113016168B (zh) * | 2018-09-17 | 2023-12-08 | 施耐德电子系统美国股份有限公司 | 工业系统事件检测和对应的响应 |
US11146579B2 (en) | 2018-09-21 | 2021-10-12 | General Electric Company | Hybrid feature-driven learning system for abnormality detection and localization |
US11159540B2 (en) | 2018-09-27 | 2021-10-26 | General Electric Company | Dynamic physical watermarking for attack detection in cyber-physical systems |
US11005870B2 (en) | 2018-11-27 | 2021-05-11 | General Electric Company | Framework to develop cyber-physical system behavior-based monitoring |
US10978123B2 (en) | 2018-12-04 | 2021-04-13 | Nxp Usa, Inc. | Tamper protection of memory devices on an integrated circuit |
US11520881B2 (en) * | 2019-01-23 | 2022-12-06 | General Electric Company | Framework for cyber-physical system protection of electric vehicle charging stations and power grid |
USD926810S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926809S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926782S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926811S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926200S1 (en) | 2019-06-06 | 2021-07-27 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
US11343266B2 (en) | 2019-06-10 | 2022-05-24 | General Electric Company | Self-certified security for assured cyber-physical systems |
CN112118145A (zh) * | 2019-06-19 | 2020-12-22 | 北京沃东天骏信息技术有限公司 | 节点状态的监测方法、控制装置和监测装置 |
WO2021216813A1 (en) * | 2020-04-24 | 2021-10-28 | Siemens Energy, Inc. | Method of monitoring the security state of an industrial plant and means to realize such method |
CN111665761B (zh) * | 2020-06-23 | 2023-05-26 | 上海一旻成锋电子科技有限公司 | 工业控制系统及控制方法 |
CN112039995A (zh) * | 2020-09-02 | 2020-12-04 | 漳州创辉信息技术有限公司 | 电气线路安全监控系统及方法 |
US11677770B2 (en) | 2021-03-19 | 2023-06-13 | International Business Machines Corporation | Data retrieval for anomaly detection |
US20230224275A1 (en) * | 2022-01-12 | 2023-07-13 | Bank Of America Corporation | Preemptive threat detection for an information system |
CN115695046B (zh) * | 2022-12-28 | 2023-03-31 | 广东工业大学 | 一种基于增强集成学习的网络入侵检测方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101442412A (zh) * | 2008-12-18 | 2009-05-27 | 西安交通大学 | 一种基于软件缺陷及网络攻击关系挖掘的攻击预警方法 |
JP2012164052A (ja) * | 2011-02-04 | 2012-08-30 | Internatl Business Mach Corp <Ibm> | 制御システム、方法およびプログラム |
CN103944915A (zh) * | 2014-04-29 | 2014-07-23 | 浙江大学 | 一种工业控制系统威胁检测防御装置、系统及方法 |
CN104052730A (zh) * | 2013-03-13 | 2014-09-17 | 通用电气公司 | 用于工业控制系统的智能计算机物理入侵检测与防御系统和方法 |
CN105357063A (zh) * | 2015-12-14 | 2016-02-24 | 成都为帆斯通科技有限公司 | 一种网络空间安全态势实时检测方法 |
CN105573291A (zh) * | 2015-12-24 | 2016-05-11 | 中国信息安全测评中心 | 一种基于关键参数融合校验的威胁检测方法及安全装置 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9009084B2 (en) * | 2002-10-21 | 2015-04-14 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis and network intrusion protection in an industrial environment |
US20060242706A1 (en) * | 2005-03-11 | 2006-10-26 | Ross Robert B | Methods and systems for evaluating and generating anomaly detectors |
WO2012132527A1 (ja) * | 2011-03-28 | 2012-10-04 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 異常検知システム、異常検知方法、およびそのプログラム |
US9046886B2 (en) | 2012-04-30 | 2015-06-02 | General Electric Company | System and method for logging security events for an industrial control system |
US8973124B2 (en) | 2012-04-30 | 2015-03-03 | General Electric Company | Systems and methods for secure operation of an industrial controller |
US10078317B2 (en) * | 2013-01-08 | 2018-09-18 | Secure-Nok As | Method, device and computer program for monitoring an industrial control system |
US9436652B2 (en) | 2013-06-01 | 2016-09-06 | General Electric Company | Honeyport active network security |
US20160330225A1 (en) * | 2014-01-13 | 2016-11-10 | Brightsource Industries (Israel) Ltd. | Systems, Methods, and Devices for Detecting Anomalies in an Industrial Control System |
US9912733B2 (en) | 2014-07-31 | 2018-03-06 | General Electric Company | System and method for maintaining the health of a control system |
US9985984B1 (en) * | 2014-10-27 | 2018-05-29 | National Technology & Engineering Solutions Of Sandia, Llc | Dynamic defense and network randomization for computer systems |
US10338191B2 (en) * | 2014-10-30 | 2019-07-02 | Bastille Networks, Inc. | Sensor mesh and signal transmission architectures for electromagnetic signature analysis |
EP3023852B1 (en) * | 2014-11-21 | 2017-05-03 | ABB Schweiz AG | Method for intrusion detection in industrial automation and control system |
US10042354B2 (en) * | 2015-06-02 | 2018-08-07 | Rockwell Automation Technologies, Inc. | Security system for industrial control infrastructure using dynamic signatures |
US10015188B2 (en) * | 2015-08-20 | 2018-07-03 | Cyberx Israel Ltd. | Method for mitigation of cyber attacks on industrial control systems |
US9954903B2 (en) * | 2015-11-04 | 2018-04-24 | Monico Monitoring, Inc. | Industrial network security translator |
US9967274B2 (en) * | 2015-11-25 | 2018-05-08 | Symantec Corporation | Systems and methods for identifying compromised devices within industrial control systems |
-
2016
- 2016-06-10 US US15/179,034 patent/US11005863B2/en active Active
-
2017
- 2017-06-01 DE DE102017112042.4A patent/DE102017112042A1/de active Pending
- 2017-06-09 CN CN201710436387.9A patent/CN107491057B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101442412A (zh) * | 2008-12-18 | 2009-05-27 | 西安交通大学 | 一种基于软件缺陷及网络攻击关系挖掘的攻击预警方法 |
JP2012164052A (ja) * | 2011-02-04 | 2012-08-30 | Internatl Business Mach Corp <Ibm> | 制御システム、方法およびプログラム |
CN104052730A (zh) * | 2013-03-13 | 2014-09-17 | 通用电气公司 | 用于工业控制系统的智能计算机物理入侵检测与防御系统和方法 |
CN103944915A (zh) * | 2014-04-29 | 2014-07-23 | 浙江大学 | 一种工业控制系统威胁检测防御装置、系统及方法 |
CN105357063A (zh) * | 2015-12-14 | 2016-02-24 | 成都为帆斯通科技有限公司 | 一种网络空间安全态势实时检测方法 |
CN105573291A (zh) * | 2015-12-24 | 2016-05-11 | 中国信息安全测评中心 | 一种基于关键参数融合校验的威胁检测方法及安全装置 |
Also Published As
Publication number | Publication date |
---|---|
US11005863B2 (en) | 2021-05-11 |
DE102017112042A1 (de) | 2017-12-14 |
CN107491057A (zh) | 2017-12-19 |
US20170359366A1 (en) | 2017-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107491057B (zh) | 保护工业资产控制系统的系统及方法及计算机可读介质 | |
US10678912B2 (en) | Dynamic normalization of monitoring node data for threat detection in industrial asset control system | |
US10204226B2 (en) | Feature and boundary tuning for threat detection in industrial asset control system | |
CN107390567B (zh) | 用于保护工业资产控制系统的系统以及方法 | |
US10417415B2 (en) | Automated attack localization and detection | |
US10594712B2 (en) | Systems and methods for cyber-attack detection at sample speed | |
US10805324B2 (en) | Cluster-based decision boundaries for threat detection in industrial asset control system | |
US10476902B2 (en) | Threat detection for a fleet of industrial assets | |
US11005873B2 (en) | Multi-mode boundary selection for threat detection in industrial asset control system | |
US10805329B2 (en) | Autonomous reconfigurable virtual sensing system for cyber-attack neutralization | |
US10785237B2 (en) | Learning method and system for separating independent and dependent attacks | |
EP3515040B1 (en) | Reliable cyber-threat detection in rapidly changing environments | |
US11170314B2 (en) | Detection and protection against mode switching attacks in cyber-physical systems | |
US10990668B2 (en) | Local and global decision fusion for cyber-physical system abnormality detection | |
US11146579B2 (en) | Hybrid feature-driven learning system for abnormality detection and localization | |
US11252169B2 (en) | Intelligent data augmentation for supervised anomaly detection associated with a cyber-physical system | |
US11487598B2 (en) | Adaptive, self-tuning virtual sensing system for cyber-attack neutralization | |
US11503045B2 (en) | Scalable hierarchical abnormality localization in cyber-physical systems | |
US11159540B2 (en) | Dynamic physical watermarking for attack detection in cyber-physical systems | |
EP4075724A1 (en) | Attack detection and localization with adaptive thresholding | |
US20210084056A1 (en) | Replacing virtual sensors with physical data after cyber-attack neutralization |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20240301 Address after: south carolina Patentee after: General Electric Infrastructure Technology Co.,Ltd. Guo jiahuodiqu after: Mei Guo Address before: New York State, USA Patentee before: General Electric Co. Guo jiahuodiqu before: Mei Guo |