CN109791585B - 检测影响计算装置的网络攻击的计算机实现的方法及系统 - Google Patents
检测影响计算装置的网络攻击的计算机实现的方法及系统 Download PDFInfo
- Publication number
- CN109791585B CN109791585B CN201680089332.9A CN201680089332A CN109791585B CN 109791585 B CN109791585 B CN 109791585B CN 201680089332 A CN201680089332 A CN 201680089332A CN 109791585 B CN109791585 B CN 109791585B
- Authority
- CN
- China
- Prior art keywords
- features
- network
- sensor
- sensor data
- computing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Computer And Data Communications (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
一种用于检测影响计算装置的网络攻击的计算机实现的方法,包括从多个传感器检索多个传感器数据集,每个传感器数据集对应于来自计算装置的特定模态的非主动辐射,并从多个传感器数据集中提取多个特征。将一个或多个统计模型应用于多个特征,以识别与计算装置相关的一个或多个事件。另外,应用领域专用的本体以将一个或多个事件中的每个事件指定为良好、故障或网络攻击。
Description
技术领域
本发明主要涉及与关键基础设施取证(CIF)相关的方法、系统和装置。所公开的技术可以应用于例如基于该装置非预期的模拟辐射(emission,发射)来检测装置上的网络攻击。
背景技术
关键基础设施组件(CIC)是基于物理和计算机的系统,其对组织的功能至关重要。这里的术语“组织”广泛用于指代任何团体,包括例如企业、城市和国家。至关重要的是,需要检测对CIC的任何网络攻击,以使组织的其他部分不会受到损害。传统的CIC安全技术可以分为两大类:模拟数字和物理模拟。
模拟数字方法利用出于诊断或安全的目的而被故意省略的模拟辐射,捕获该模拟辐射并将其转换为数字信号以用于监测。这些方法通常是不合需要的,因为它们需要改变CIC并且往往不能识别更复杂的网络攻击。例如,如果网络攻击包括发出模拟辐射的装置或者攻击在不影响辐射装置的操作的情况下危及CIC,则可能无法检测到攻击。
物理模拟方法利用非主动(involuntary,非自主)或非预期的辐射。这些方法通常在被分析的辐射模态的数量和类型方面受到限制。这导致CIC操作的视图不完整,从而导致其安全性的视图不完整。而且,传统的物理模拟方法本质上是侵入性的,因为它们需要与被监测的CIC进行物理接触。因此,它们缺乏由具有空气间隙的系统所提供的安全性。
因此,期望提供一种CIC网络攻击检测机制,其具有空气间隙、非侵入性,并利用与组件相关的各种可用的辐射。
发明内容
本发明的实施例通过提供与关键基础设施取证相关的方法、系统和装置来解决和克服一个或多个上述不足和缺点。更具体而言,本文描述的技术可用于使用CIC的非预期模拟辐射(诸如噪声、振动、运动、热、电磁(EM)干扰和射频)来检测针对关键基础设施组件(CIC)的网络攻击。
根据一些实施例,用于检测影响计算装置的网络攻击的计算机实现的方法包括从多个传感器检索多个传感器数据集,每个传感器数据集对应于来自计算装置的特定模态的非主动辐射。这些传感器数据集可以各自检索例如使用在计算装置外部并且通过空气间隙与计算装置分离的传感器。在一些实施例中,传感器数据集包括来自声学、视频、热学、电磁和射频模态中的一者或多者的数据。从传感器数据集中提取多个特征,例如使用包括散射网络和/或半离散卷积网络的非线性卷积网络。在特征提取期间,可以使用深度传播网络来融合从每个特定模态获得的特征。将一个或多个统计模型应用于这些特征,以识别与计算装置相关的一个或多个事件。另外,应用领域专用(domain-specific,领域特定)的本体,以将一个或多个事件中的每个事件指定为良好、故障或网络攻击。
根据本发明的另一方面,一种用于检测影响计算装置的网络攻击的系统包括:至少一个处理器和与处理器可操作通信的非暂时性计算机可读存储介质。计算机可读存储介质包含一个或多个编程指令,这些编程指令在被执行时使处理器执行上述方法。
根据本发明的其他实施例,一种用于检测影响计算装置的网络攻击的系统包括:数据访问模块、签名统计学习模块、在线检测模块以及被配置为执行数据访问模块、签名统计学习模块和在线检测模块的一个或多个处理器。数据访问模块被配置为检索多个传感器数据集,每个传感器数据集对应于来自计算装置的特定模态的非主动辐射。签名统计学习模块被配置为从传感器数据集中提取多个特征。可以使用基于物理的模型或非线性卷积网络来提取特征。该非线性卷积网络可以包括例如散射网络和半离散卷积网络中的一者或多者。在一些实施例中,签名统计学习模块还被配置为融合从每个特定模态获得的特征。在线检测模块将一个或多个统计模型应用于特征,以识别与计算装置相关的一个或多个事件。另外,在线检测模块应用领域专用的本体(例如,网络本体语言),以将一个或多个事件中的每个事件指定为良好、故障或网络攻击。
在一些实施例中,签名统计学习模块还可以被配置为使用深度传播网络(例如,受限玻尔兹曼机)来融合从每个特定模态获得的特征。可以修改系统以支持深度传播网络的操作。例如,包含在系统中的处理器包括图形处理单元,它们被配置为并行地执行与深度传播网络相关联的操作。
前述系统的一些实施例包含被配置为检索传感器数据集的多个传感器。每个传感器通过空气间隙与容纳一个或多个处理器的计算单元分离。例如,这些传感器可以包括声学传感器、视频传感器、热传感器、电磁传感器和射频传感器中的一者或多者。
根据通过参考附图进行的说明性实施例的以下详细描述,本发明的其他特征和优点将变得显而易见。
附图说明
当结合附图阅读时,可以从以下详细描述中最好地理解本发明的前述和其他方面。出于说明本发明的目的,在附图中示出了目前优选的实施例,但是应该理解,本发明不限于所公开的特定手段。附图中包括以下图:
图1提供了根据一些实施例的CIF如何通过由嵌入式和任务专用装置(EMSD)引起的物理效应的非预期辐射来表征CIC的高级概览;
图2示出了CIF表征和检测,其可应用于一些实施例中;
图3示出了CIF系统架构,其包括签名的离线统计学习、各种领域知识和学习模型以及在线检测;
图4提供了根据一些实施例的散射变换的示例;
图5提供了根据一些实施例的深度传播网络的示例;以及
图6提供了可以在一些实施例中应用的示例软件和硬件架构。
具体实施方式
本文描述了通常涉及关键基础设施取证的系统、方法和装置。简而言之,本文描述的技术提供变换性网络攻击检测的范例,以增强对关键基础设施组件(CIC)中使用的嵌入式和任务专用装置(EMSD)的保护。该系统(称为关键基础设施取证(CIF))基于观察以下内容:网络领域的变化(例如,参数、固件、功能块、机器特定指令)往往在它们控制的硬件(例如,电动机、变压器、过程阀)中以物理的形式表现出来(例如,RPM、压力增加)。这些物理效应伴随着非预期的辐射-称为“痕迹”-诸如CIC留下的噪声、振动、运动、热、电磁(EM)干扰以及射频。因此,这些痕迹在空间和时间上形成了独特的签名,其可用作可靠的鉴别物来表征在EMSD中执行的特定网络事件。因此,可以通过将操作中的CIC的签名与基础真实签名的数据库(例如在制造期间先验地获得)进行比较来实现检测,该数据库表示未受损的CIC的标称(nominal)和故障模态(例如,机械故障)行为。现有的直接观察EMSD的方法对于存在大量环境噪声且EMSD经常受到屏蔽的CIC而言可能并不十分有效。
图1提供了根据一些实施例的CIF如何通过由EMSD引起的物理效应的非预期辐射来表征CIC的高级概览。在该图中,CIC中的EMSD执行标称代码105以及网络攻击代码110。每种类型的代码引起包括诸如噪声、振动、运动、热、EM干扰、射频等模态的非预期模拟辐射的物理效应115B。一个或多个传感器被配置为获取这些辐射。然后,CIF系统融合所获取的辐射数据并生成CIC 115的签名。图1示出了两个不同的签名:标称/故障模态签名125,其指示CIC 115何时仅执行标称代码105;以及网络攻击模态签名120,其执行网络攻击代码110和标称代码105的组合。因此,使用这些签名120、125,EMSD 115A将网络事件与由物理效应引起的非预期模拟辐射关联。
图2示出了CIF表征和检测,其可应用于一些实施例中。图2分为设计时控制环境205和运行时操作环境210。在设计时控制环境205中,来自CIC的模拟非主动辐射用于进行表征和训练以便生成模拟模型。在运行时操作环境210中,模拟辐射模型用于CIF硬件上并被用于执行异常检测和异常分类以便检测网络攻击。
CIF以非侵入式模拟感测超越了最先进的技术,其中声学、热学、视频、EM和射频模态被用于网络安全。本文讨论的解决方案与侵入式方法明显不同,并且由于我们模态的非侵入性,本文的方案具有更高的复杂程度。CIF以新的眼光看待非侵入性物理指标,并提供检测机制。它通过多种难以欺骗的物理手段来测量和识别网络攻击,并提供确认更传统来源的情报。同时,它可以检测其他传感器无法感测的事物,或者是第一个识别潜在关键情报的传感器。CIF用新的眼光分析非侵入性物理指标,并提供图2所示的检测机制。它通过多种难以欺骗的物理手段来测量和识别网络攻击,并提供确认更传统来源的情报。同时,它可以检测其他传感器无法感测的事物,或者是第一个识别潜在关键情报的传感器。
可以应用各种技术来优化实际应用的CIF。为了克服信号衰减,CIF可以专注于由CIC辐射的、可以非侵入的方式捕获的最突出(信号强度)模态,其中一些模态(即视频和热学)对衰减不敏感。为了更好地理解模态之间的相关性以及这些模态与源代码的关联,可借助深度学习解决方案应用传感器融合,由领域专家创建和调整的物理模型辅助该融合。此外,可以利用部署在CIC中的诸如专有运动控制、过程控制和工业控制代码的系统来理解辐射到代码之间的相关性。
CIC中的知识可用于提供使CIF能够正确地对网络攻击进行分类并区分良好或故障模态签名的本体。可以应用各种现有技术将信号与噪声分离。例如,对于实时声源分离,可以使用非常大规模的麦克风阵列,以便显着地改善信噪比并且专注于所关注的来源。另外,为了在非常短的时间内(例如,在几毫秒内)检测网络攻击,可以主动检查由内部(受损系统)和外部(在攻击下的受损系统)刺激引起的物理异常。
图3示出了CIF系统架构300,其包括签名的离线统计学习、各种领域知识和学习模型以及在线检测。在该示例中,CIF架构300的主要技术组件为4种感测模态(声学、视频和热学、EM和射频)、签名统计学习块305、领域知识和学习模型块310以及在线检测块315。CIF可以定义信号模态和信号专家的集合:声学、视频和热学、EM和射频等。这些模态的一个关键特征在于将在EMSD中执行的源代码与物理效应和非主动辐射相关联的算法。签名统计学习块305尤其能够组合多个异构模态,用于特征提取、融合和统计深度学习以创建签名。这个过程由领域专家创建和调整的基于物理的模型支持。在线检测块315使用领域专用的本体来提供对网络攻击的及时检测,以区分良好、故障和网络攻击模态。以下更详细地描述这些各种组件中的每个组件。
针对处理多模态辐射的、适用于区分网络事件这样的困难问题的两种标准,架构300的签名统计学习块305进行学习:(1)灵活使用传感器信息,从简单的测量值到由用于EM、图像或声学的专用硬件和算法所提供的复杂特征;灵活配置和测试表示和计算途径以支持对尚未定义的算法和参数化的最佳选择;最后但同样重要的是,灵活处理不确定证据和推论;(2)通过简单的感测和数据采集,扩展到大维度问题和非常大量的输入数据;组织和存储数据和标签的能力;使用标准化学习程序在高维空间中进行特征提取和学习的加速硬件能力。
预处理模块305A从各种模态接收或检索数据,并根据需要从数据中提取相关信息。另外,在一些实施例中,预处理模块305A将同构数据集掩盖成通用的数据格式。预处理模块305A可以使用来自传感器制造商的标准应用编程接口(API)来接收和检索数据,或者在一些情况下,可以开发和使用定制接口。
然后,特征提取模块305B从数据中提取特征。可从预处理的原始数据中提取的特征示例包括数据中的方差、偏斜度、峭度或其他高动差、峰峰值比、波峰因数、过零率(根据时域)、各种关注的频带中的功率、或基频(频域)的幅度、特定的域独立(小波、散射网络)或域依赖(独立分量)的变换、倒频谱系数或在先前特征上应用的其他级联滤波器。
在一些实施例中,特征提取模块305B被配置为提取满足以下条件的“最佳”特征:(1)通过捕获数据中的大部分信息,实现类之间的最高程度的区分;以及(2)在任何给定的类中实现对变形和噪声的最高程度的稳固性。如果存在校准的现场或实验室测试数据(可能来自受控实验),则可以自动学习或从大量可能性中选择这些条件,其中用如何记录的条件来仔细注释数据。这并不总是可行的。此外,为了提取适当的特征而用于过滤数据的参数化的数量可能会很吓人。很难同时满足上面提出的两个特征最优性标准。
在一些实施例中,特征提取模块305B使用两个附加策略将特征提取为“原始特征”:采用散射变换并利用基于物理的模型,如图3所示。下面我们描述第一种解决方案。下一部分将描述基于物理的模型的使用。
除了标准的分析块(例如,短时傅里叶变换、小波变换、主分量分析、独立分量分析等)之外,非线性卷积网络(诸如散射网络和半离散深度卷积网络)也可适用于特征提取模块305B。对于具有固定低通滤波器ΦJ(t)和多个带通滤波器Ψλ(t)的路径q=(λ1,λ2,…,λm),散射变换为:
S[q]x=U[q]x*ΦJ,
其中散射分布函数U[q]x由下式给出:
图3中提供了散射变换的图示。当与特殊小波帧关联时,这种结构在一对一映射并保留输入信号的总能量的同时对于小规模变形(除了平移之外)稳固。因此,散射变换的输出在不同类的输入之间是有区别的,同时对类内变化相对不敏感。在一些实施例中,通过将输入信号限制为带限功能的类,还可以将稳固性结果扩展到更一般的滤波器组的情况。
深度卷积网络可能特别适合于视频和音频信号。在一些实施例中,特征提取模块305B针对两个阶段中的每个模态进行优化:首先,使用鉴别和稳固性标准(诸如SVM的分界)单独地进行优化;其次,特征提取模块305B与融合模块305C和统计学习模块305D一起进行微调。特征提取模块305B的输入为预处理信号x。其输出S[q]x被量化为二进制向量v并与其他模态的二进制向量合并并被馈送到融合模块305C。
CIF架构300能够使用多模态签名来检测网络异常。多模态签名与网络异常之间的联系往往不明显。架构300使用两种不同的方法来解决异常检测。
在一些实施例中,特征提取模块305B与融合模块305C结合使用,用于以统计原理的方式融合异构模态。更具体而言,诸如玻尔兹曼机的深度传播网络用于对分布(v;θ)进行建模,其中v为通过合并多个二进制特征向量而获得的二进制向量,并且θ为一组参数。图5中示出了示例深度传播网络。首先,由特征提取模块305B计算的特征向量被量化为表示为v的二进制向量。融合模块305C计算给定可见节点(v:观察到的随机信号签名)情况下隐藏节点(h:未观察到的随机健康状态变量)的条件概率分布p=p(h|v),其随后由决策/推理块用于评价系统。系统状态的集合通常为一小组,其可以包含“正常操作”、“机械故障”、“电气故障”、“网络攻击”等。这些实施例中的融合模块305C的核心在于受限玻尔兹曼机(RBM),它以图形的方式表示了可见节点和隐藏节点之间的统计依赖关系。RBM提供了模型精度和计算复杂性之间灵活的权衡。RBM假定存在一组隐藏节点,这些隐藏节点的统计依赖关系负责系统的整体状态。它还假设同一层内的隐藏节点之间没有依赖关系,并假设联合分布由下式给出:
其中能量E(v,h;θ)由二次型给出:
E(v,h;θ)=-vTW1h-hTW2h+vTa+hTb (E2),
其中参数集θ={W1,W2,a,b}以及分区函数Z(θ)=Σv,h exp{-E(v,h;θ)}。这里W1和W2为矩阵,其中W2以块为单位划分,其允许仅在相邻隐藏层的节点之间进行交互,而a、b为定义偏置项的向量。使用等式(E1),该块在给定测量信号x(且进而给定v)的情况下输出隐藏状态的后验分布p=p(h|v)。
通常可以在离线训练期间学习这些参数。训练阶段输出两条信息:通过最大化数据v的可能性而获得的参数集;最后一层隐藏节点的条件分布方式,其用于那些标记的训练数据集的子集。最优参数与最后一层隐藏节点的条件分布一起形成由在线分类器使用的统计签名(参见图3)。其次,通过将所有证据组合在一起,对更简单的多模态签名进行额外的推理,以解决网络攻击的难题。
统计学习模块305D定义关注的变量的统计模型,其被确定为对于待表征的事件类别而言是最佳的。这些统计模型还以有规则的方式捕获描述基于多种模态的组件操作的数据所固有的不确定性。这在模块级别很重要,以便能够将证据整合在一起。以上参考融合模块305C完全解决了捕获不确定性的模型。
领域知识和学习模型块310使用用于描述CIC行为的基于物理的模型并使用用于捕获符号特定知识(诸如实体命名、它们的相互关系(……是……的一部分)、属性和类型)的本体来提供领域知识(例如,用于诸如3D打印机、阀系统或机器人系统的CIC)。统计学习创建了另外的模型,这些模型将在运行时用于分类和预测。
基于模型的预测或预告为CIF的首选解决方案,数据科学家和领域工程师都会对特征提取和数据分析的问题产生影响。“基于模型”通常是指使用根据第一原理获得的模型的解决方案,其使用系统行为的数学模型。例如,可以使用描述它的数学方程的多体结构和物理模拟来评估刚度。因为来自已知物理定律的知识可用,所以这些知识将用于开发在解释测得的传感器数据的过程中可以约束(且因此可以提供帮助)的模型。此外,当数据不易获得但模型已经过验证时,可以额外提供大量合成的数据。重要的是,这适用于标称的(正常的)和退化的(或故障的)行为。对于标称或故障模态,当大数据集可用时,可以从数据中学习或调整特定模型。
CIF利用物理系统组件的基于物理的模型310A(例如,电磁或机械组件,诸如转子、定子、磁体、发电机或轴承、弹簧、轮子等)。这些模型根据非常规的物理轨迹给出了提高系统运行能力的线索,即使系统还没有经过特定的网络攻击事件序列和这种情况下存在的不同行为的训练。因此,CIF系统将能够检测不可预见的系统输入条件的异常。
基于物理的模型310A可以多种方式实施。在一些实施例中,提取将与统计特征合并的模型特征(例如,用于描述系统状态)。这些特征可以用于在学习和预测时间与来自相应模态(或多个模态)的面向统计学的特征一起定义全部的签名。假设在训练阶段根据数据调整模型(由微分方程等给出),模型解释实际数据的残差可被用于专门的特征。进而,这些专门的特征可以在学习和预测时间与来自相应模态的面向统计学的特征合并。基于物理的模型310A定义了独立的域依赖的线索,这些线索将在推理时与数据驱动的签名和线索组合在一起。
CIC提供商具有CIF的各种垂直领域的工程知识(例如,采用机器人、控制系统和各种驱动器、电机、机械和电气系统的工业自动化;工业、能源、自动化领域中的检修和制造)。将选择来自这些领域的用例来指定涵盖实体命名、实体的属性和相互关系的符号领域专用的知识(例如,针对诸如3D打印机的特定机器或包括机器人的自动化流水线)。CIF使用本体形式来捕获该知识,如图3的本体310B中所示。目标是对知识进行编码并将其关联到由分类器和异常检测器所提供的数字证据(例如,输入数据类别的证据,以及与输入数据所示的不同统计解释相关联的可能性)。
分类器和检测器根据数字特征以统计的方式分析数据。这些知识使我们能够使用逻辑推理形式(如描述逻辑)以逻辑方式进一步搜索信息或上下文证据。将知识组织成本体310B使得适于使用逻辑进行自动处理以便关联多件证据。这还将允许人类用户在组件方面的分类的结果和由统计分类系统所推断的结果之间建立联系。在一些实施例中可以扩展本体310B以推理所需的传感器信息,例如,信号采样频率和分辨率、信号类型,即电学、振动、声学或热学,这些信息在多模态分析中被关联起来,以及推理对网络攻击检测系统的解释。可利用来自针对待解决具体用例的项目团队中的领域专家的输入信息生成本体310B的综合CIC。
为了测试,针对具体模态引入的几种解决方案的稳固性可根据基础CIC物理方程进行统计和数学的分析。然后可以使用基于物理的特征来学习CIC的各种关注条件的统计模型。这些可以与统计和生成模型进行比较。此外,基于物理的特征可用于控制故障模态的定义。然后,架构300可用于生成标称和故障合成数据。CIF可以使用网络本体语言(OWL)或类似语言来定义关注的CIC示例的基于描述逻辑的概要(由对象类、它们的等效性或不相交性以及它们的属性组成)。
在线检测块315涉及关于CIC状态的预测、推理和解释。通常,该功能块使用与签名统计学习块305相同的预处理和特征提取技术。因此,预处理模块315A和特征提取模块315B分别在功能上等同于或至少提供与预处理模块305A和特征提取模块305B类似的功能。来自预处理模块315A和特征提取模块315B的所得特征或数据向量用作分类模块315C的输入。
分类模块315C中广泛使用的基本分类技术是当今主流机器学习实践的一部分,并且其首先基于使用单类或多类支持向量机的深入研究和形式化技术,其次基于深度学习。针对CIC本体中的组件和变量创建的统计学习和融合模型(如参考签名统计学习块305所述)可以用于在线操作期间的分类。统计分类器指示关于模拟输入条件的事实信息,诸如数据中的输入类及其确定性、类外(或异常条件),或简单地假设整个CIC系统的状态(例如正常、故障、网络攻击)。相应地,模型将在在线操作期间用于运行时的分类。因此,统计模型和分类器将用于在数据中寻找输入类、检测类外条件,或利用生成模型来解释可供以后与标记数据(可能来自高度确定性的结论)一起用于分类的数据(例如,正常、故障、网络攻击)。
分类模块315C的输出用作推理模块315D的输入。各种输入数据源可能导致分类彼此冲突。例如,融合时间序列可以表明高热量以及同时增加的振动和声音涉及机械故障,并且没有振动或声音的高热量涉及电气故障。这些事实加上本体中编码的领域知识将被推理模块用于解决冲突并将状态评估为可能的网络攻击。整个系统通过许多变量(一些可通过传感器测量值观察到)、参数(由基于物理的模型给出)来表征。它将推断签名中的异常、各种组件的指标并计算分类。推理部分可以在人类用户的帮助下或自动地将所有分类组合在一起。后者可以通过推理在前部分中定义的领域的本体来实现。
图6提供了可以在一些实施例中应用的示例软件和硬件架构。模态专用(模态特定)的感测和处理模块605作为二进制文件传送。其余模块可提供为源代码并在本地编译(或解译)。数据访问模块610管理来自传感器和模态专用算法、CIF数据库615以及签名统计学习模块620和在线检测模块625的传感器数据。CIF数据库615可以例如为NoSQL数据库,其用于存储时间序列现场数据、物理模型、签名和本体。签名统计学习模块620包括上面参考图4讨论的系统级特征提取、融合和统计学习算法。在线检测模块625包括上面讨论的分类和推理算法。图形用户界面模块630促进用户与CIF硬件635之间的交互以用于进行配置、可视化和报告。配置模块640管理用于签名生成和在线检测的参数化和选项。可视化模块645提供对现象学和签名的可视化理解;这对CIF的配置、校准和优化很有用。报告模块650将提供针对CIF的各种算法和组件的性能和准确性。如图6所示,CIF硬件635的架构包括模态专用的传感器和硬件、托管高端采集板的高性能商用现货(COTS)计算机、CPU和针对深度学习应用优化的GPU。
本文描述的由控制装置使用的处理器可以包括一个或多个中央处理单元(CPU)、图形处理单元(GPU)或本领域中已知的任何其他处理器。更一般而言,本文使用的处理器为用于执行存储在计算机可读介质上的机器可读指令、用于执行任务的装置并且可以包括硬件和固件中的任何一者或其组合。处理器还可以包括存储器,其存储可执行以进行任务的机器可读指令。处理器通过操纵、分析、修改、转换或发送信息以供可执行程序或信息装置使用,和/或通过将信息路由到输出装置来对信息起作用。处理器可以使用或包括例如计算机、控制器或微处理器的能力,并且可以使用可执行指令来调节以执行不由通用计算机执行的专用功能。处理器可以与任何其他处理器连接(电连接和/或包括可执行组件),其中任何其他处理器能够在其间进行交互和/或通信。用户界面处理器或发生器为包括电子电路或软件或两者的组合用于产生显示图像或其部分的已知元件。用户界面包括一个或多个显示图像,使得用户能够与处理器或其他装置进行交互。
本文描述的包括但不限于控制层装置和相关的计算基础设施的各种装置可以包括至少一个计算机可读介质或存储器,其用于保存根据本发明的实施例编程的指令并用于包含数据结构、表格、记录或本文描述的其他数据。本文使用的术语“计算机可读介质”是指参与向一个或多个处理器提供指令以供执行的任何介质。计算机可读介质可以采用许多形式,包括但不限于非暂时性、非易失性介质、易失性介质和传输介质。非易失性介质的非限制性示例包括光盘、固态驱动器、磁盘和磁光盘。易失性介质的非限制性示例包括动态存储器。传输介质的非限制性示例包括同轴电缆、铜线和光纤,包括构成系统总线的导线。传输介质也可以采用声波或光波的形式,诸如在无线电波和红外数据通信期间产生的那些声波或光波。
本文使用的可执行应用包括用于支配处理器以实现预定功能的代码或机器可读指令(例如,响应于用户命令或输入),诸如操作系统、上下文数据采集系统或其他信息处理系统的那些代码或机器可读指令。可执行程序为用于执行一个或多个特定过程的代码段或机器可读指令、子例程或代码的其他不同部分或可执行应用的一部分。这些过程可包括接收输入数据和/或参数,对接收的输入数据执行操作和/或响应于接收的输入参数执行功能,并且提供所得输出数据和/或参数。
本文的功能和处理步骤可以响应于用户命令自动地、全部地或部分地执行。响应于一个或多个可执行指令或装置操作而无需用户直接启动活动,执行自动执行的活动(包括步骤)。
图中的系统和过程不是排他性的。可以根据本发明的原理导出其他系统、过程和菜单以实现相同的目的。尽管已经参考特定实施例描述了本发明,但是应该理解,本文示出和描述的实施例和变化仅用于说明目的。在不脱离本发明的范围的情况下,本领域技术人员可以实现对当前设计的修改。如本文所述,可以使用硬件组件、软件组件和/或其组合来实现各种系统、子系统、代理、管理器和过程。
Claims (12)
1.一种用于检测影响计算装置的网络攻击的计算机实现的方法,所述方法包括:
在训练阶段从多个多模态传感器检索具有异构模态的第一多个传感器数据集并且在在线监测阶段从所述多个多模态传感器检索具有异构模态的第二多个传感器数据集,每个传感器数据集对应于来自所述计算装置的一个相应模态的非主动辐射;
从所述第一多个传感器数据集中提取第一多个特征,其中,针对每个模态,传感器数据集的散射变换被量化为二进制特征向量,并且使用深度传播网络来融合所述二进制特征向量,形成统计签名,所述统计签名包括通过最大化所述二进制特征向量的可能性而获得的参数集以及所述深度传播网络中最后一层隐藏节点的条件分布方式;
从所述第二多个传感器数据集中提取第二多个特征,其中,使用基于物理的模型来提取所述第二多个特征;
将一个或多个统计签名应用于所述第二多个特征,以识别与所述计算装置相关的一个或多个事件;以及
应用领域专用的本体,以将一个或多个事件中的每个事件指定为良好、故障或网络攻击。
2.根据权利要求1所述的方法,其中,使用在所述计算装置外部并且通过空气间隙与所述计算装置分离的传感器检索每个所述传感器数据集。
3.根据权利要求1所述的方法,其中,所述传感器数据集包括来自声学、视频、热学、电磁和射频模态中的一者或多者的数据。
4.根据权利要求1所述的方法,其中,使用非线性卷积网络、基于物理的模型、或其组合来提取所述多个特征,其中,所述非线性卷积网络包括散射网络和半离散卷积网络中的一者或多者。
5.根据权利要求1所述的方法,还包括:在提取所述多个特征期间,使用深度传播网络来融合从每个相应模态获得的特征。
6.一种用于检测影响计算装置的网络攻击的系统,所述系统包括:
数据访问模块,其被配置为在训练阶段从多个多模态传感器检索具有异构模态的第一多个传感器数据集并且在在线监测阶段从所述多个多模态传感器检索具有异构模态的第二多个传感器数据集,每个传感器数据集对应于来自所述计算装置的一个相应模态的非主动辐射;
签名统计学习模块,其被配置为从所述第一多个传感器数据集中提取第一多个特征,其中,针对每个模态,传感器数据集的散射变换被量化为二进制特征向量,并且使用深度传播网络来融合所述二进制特征向量,形成统计签名,所述统计签名包括通过最大化所述二进制特征向量的可能性而获得的参数集以及所述深度传播网络中最后一层隐藏节点的条件分布方式;
在线检测模块,其被配置为:
从所述第二多个传感器数据集中提取第二多个特征,其中,
使用基于物理的模型来提取所述第二多个特征;
将一个或多个统计签名应用于所述第二多个特征,以识别与所述计算装置相关的一个或多个事件,以及
应用领域专用的本体,以将所述一个或多个事件中的每个事件指定为良好、故障或网络攻击;以及
一个或多个处理器,其被配置为执行所述数据访问模块、所述签名统计学习模块和所述在线检测模块。
7.根据权利要求6所述的系统,其中,所述签名统计学习模块还被配置为融合从每个相应模态获得的特征,以确定模态之间的相关性。
8.根据权利要求7所述的系统,其中,所述签名统计学习模块还被配置为使用深度传播网络来融合从每个相应模态获得的特征。
9.根据权利要求8所述的系统,其中,所述处理器包括多个图形处理单元,其被配置为并行地执行与所述深度传播网络相关联的操作。
10.根据权利要求6所述的系统,其中,多个所述传感器被配置为检索所述传感器数据集,其中,每个传感器通过空气间隙与容纳所述一个或多个处理器的计算单元分离。
11.根据权利要求10所述的系统,其中,所述多个传感器包括声学传感器、视频传感器、热传感器、电磁传感器和射频传感器中的一者或多者。
12.根据权利要求6所述的系统,其中,使用非线性卷积网络、基于物理的模型、或其组合来提取所述多个特征,其中,所述非线性卷积网络包括散射网络和半离散卷积网络中的一者或多者。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2016/052439 WO2018052446A1 (en) | 2016-09-19 | 2016-09-19 | Critical infrastructure forensics |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109791585A CN109791585A (zh) | 2019-05-21 |
| CN109791585B true CN109791585B (zh) | 2023-10-10 |
Family
ID=57113705
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680089332.9A Active CN109791585B (zh) | 2016-09-19 | 2016-09-19 | 检测影响计算装置的网络攻击的计算机实现的方法及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11328062B2 (zh) |
| EP (1) | EP3497608B1 (zh) |
| CN (1) | CN109791585B (zh) |
| WO (1) | WO2018052446A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3701338B1 (en) * | 2017-10-23 | 2024-02-14 | Johnson Controls Tyco IP Holdings LLP | Building management system with automated vibration data analysis |
| US11171977B2 (en) * | 2018-02-19 | 2021-11-09 | Nec Corporation | Unsupervised spoofing detection from traffic data in mobile networks |
| US11636200B2 (en) * | 2018-06-11 | 2023-04-25 | Palo Alto Research Center Incorporated | System and method for remotely detecting an anomaly |
| US20210064745A1 (en) * | 2019-08-29 | 2021-03-04 | Flexxon Pte Ltd | Methods and systems using an ai co-processor to detect anomolies caused by malware in storage devices |
| WO2021087896A1 (en) * | 2019-11-07 | 2021-05-14 | Alibaba Group Holding Limited | Data-driven graph of things for data center monitoring copyright notice |
| CN111310471B (zh) * | 2020-01-19 | 2023-03-10 | 陕西师范大学 | 一种基于bblc模型的旅游命名实体识别方法 |
| DE102020119067A1 (de) * | 2020-07-20 | 2022-01-20 | E.ON Digital Technology GmbH | Verfahren zur vernetzten Überwachung von wenigstens einem Objekt |
| IT202100009548A1 (it) * | 2021-04-15 | 2022-10-15 | Minervas S R L | Metodo e relativa implementazione attraverso un dispositivo elettronico per l'analisi del flusso di dati presenti all'interno di un sistema iot per un preciso dominio di interesse per l’identificazione probabilistica di eventi |
| KR102424619B1 (ko) * | 2021-12-01 | 2022-07-22 | 세종대학교산학협력단 | 에어갭 환경에서의 공격 감지 방법 및 공격 감지를 위한 학습 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753992A (zh) * | 2008-12-17 | 2010-06-23 | 深圳市先进智能技术研究所 | 一种多模态智能监控系统和方法 |
| US8607351B1 (en) * | 2010-11-02 | 2013-12-10 | The Boeing Company | Modeling cyberspace attacks |
| US9268938B1 (en) * | 2015-05-22 | 2016-02-23 | Power Fingerprinting Inc. | Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120180126A1 (en) * | 2010-07-13 | 2012-07-12 | Lei Liu | Probable Computing Attack Detector |
| US9038172B2 (en) * | 2011-05-06 | 2015-05-19 | The Penn State Research Foundation | Robust anomaly detection and regularized domain adaptation of classifiers with application to internet packet-flows |
| US20130191052A1 (en) * | 2012-01-23 | 2013-07-25 | Steven J. Fernandez | Real-time simulation of power grid disruption |
| US20140337974A1 (en) * | 2013-04-15 | 2014-11-13 | Anupam Joshi | System and method for semantic integration of heterogeneous data sources for context aware intrusion detection |
| US9853997B2 (en) * | 2014-04-14 | 2017-12-26 | Drexel University | Multi-channel change-point malware detection |
| US9640186B2 (en) * | 2014-05-02 | 2017-05-02 | International Business Machines Corporation | Deep scattering spectrum in acoustic modeling for speech recognition |
| US10395032B2 (en) * | 2014-10-03 | 2019-08-27 | Nokomis, Inc. | Detection of malicious software, firmware, IP cores and circuitry via unintended emissions |
| US9642014B2 (en) * | 2014-06-09 | 2017-05-02 | Nokomis, Inc. | Non-contact electromagnetic illuminated detection of part anomalies for cyber physical security |
| US9680855B2 (en) * | 2014-06-30 | 2017-06-13 | Neo Prime, LLC | Probabilistic model for cyber risk forecasting |
| US9756062B2 (en) * | 2014-08-27 | 2017-09-05 | General Electric Company | Collaborative infrastructure supporting cyber-security analytics in industrial networks |
| US10338191B2 (en) * | 2014-10-30 | 2019-07-02 | Bastille Networks, Inc. | Sensor mesh and signal transmission architectures for electromagnetic signature analysis |
| US9687208B2 (en) * | 2015-06-03 | 2017-06-27 | iMEDI PLUS Inc. | Method and system for recognizing physiological sound |
| US9697355B1 (en) * | 2015-06-17 | 2017-07-04 | Mission Secure, Inc. | Cyber security for physical systems |
-
2016
- 2016-09-19 WO PCT/US2016/052439 patent/WO2018052446A1/en unknown
- 2016-09-19 EP EP16778534.4A patent/EP3497608B1/en active Active
- 2016-09-19 CN CN201680089332.9A patent/CN109791585B/zh active Active
- 2016-09-19 US US16/331,680 patent/US11328062B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753992A (zh) * | 2008-12-17 | 2010-06-23 | 深圳市先进智能技术研究所 | 一种多模态智能监控系统和方法 |
| US8607351B1 (en) * | 2010-11-02 | 2013-12-10 | The Boeing Company | Modeling cyberspace attacks |
| US9268938B1 (en) * | 2015-05-22 | 2016-02-23 | Power Fingerprinting Inc. | Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109791585A (zh) | 2019-05-21 |
| EP3497608A1 (en) | 2019-06-19 |
| EP3497608B1 (en) | 2021-10-27 |
| US11328062B2 (en) | 2022-05-10 |
| US20190197238A1 (en) | 2019-06-27 |
| WO2018052446A1 (en) | 2018-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109791585B (zh) | 检测影响计算装置的网络攻击的计算机实现的方法及系统 | |
| Booyse et al. | Deep digital twins for detection, diagnostics and prognostics | |
| Zhao et al. | Challenges and opportunities of AI-enabled monitoring, diagnosis & prognosis: A review | |
| Li et al. | Anomaly detection with generative adversarial networks for multivariate time series | |
| Lin et al. | Structural damage detection with automatic feature‐extraction through deep learning | |
| Pashazadeh et al. | Data driven sensor and actuator fault detection and isolation in wind turbine using classifier fusion | |
| JP6740247B2 (ja) | 異常検出システム、異常検出方法、異常検出プログラム及び学習済モデル生成方法 | |
| CN112655004A (zh) | 用于异常检测和/或预测性维护的计算机实现的方法、计算机程序产品以及系统 | |
| KR20200123454A (ko) | 무인 항공기에 대한 사이버-공격 탐지, 위치 파악, 및 무효화 | |
| Shi et al. | An LSTM-autoencoder based online side channel monitoring approach for cyber-physical attack detection in additive manufacturing | |
| Yu et al. | Stacked denoising autoencoder‐based feature learning for out‐of‐control source recognition in multivariate manufacturing process | |
| Zhang et al. | End-to-end unsupervised fault detection using a flow-based model | |
| Lu et al. | Joint training of a predictor network and a generative adversarial network for time series forecasting: A case study of bearing prognostics | |
| Alfeo et al. | Degradation stage classification via interpretable feature learning | |
| KR102289212B1 (ko) | 인공지능 기반 고장 진단 장치 및 방법 | |
| Hasan et al. | Wasserstein GAN-based Digital Twin Inspired Model for Early Drift Fault Detection in Wireless Sensor Networks | |
| Shang et al. | Core loss: Mining core samples efficiently for robust machine anomaly detection against data pollution | |
| Di Fiore et al. | An anomalous sound detection methodology for predictive maintenance | |
| Xie et al. | Internal defect inspection in magnetic tile by using acoustic resonance technology | |
| Toosi et al. | Method for detecting aging related failures of process sensors via noise signal measurement | |
| Cohen et al. | Fault diagnosis of timed event systems: An exploration of machine learning methods | |
| Tariq et al. | Towards an awareness of time series anomaly detection models' adversarial vulnerability | |
| Etumusei et al. | A novel detection technique using martingales for optimal parameters in time series | |
| Chhetri | Data-Driven Modeling of Cyber-Physical Systems using Side-Channel Analysis | |
| Trilla et al. | Unsupervised Probabilistic Anomaly Detection over Nominal Subsystem Events through a Hierarchical Variational Autoencoder |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |