CN110059726A - 工业控制系统的威胁检测方法及装置 - Google Patents
工业控制系统的威胁检测方法及装置 Download PDFInfo
- Publication number
- CN110059726A CN110059726A CN201910220071.5A CN201910220071A CN110059726A CN 110059726 A CN110059726 A CN 110059726A CN 201910220071 A CN201910220071 A CN 201910220071A CN 110059726 A CN110059726 A CN 110059726A
- Authority
- CN
- China
- Prior art keywords
- instance data
- submodel
- control system
- industrial control
- instance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明公开了一种工业控制系统的威胁检测方法及装置。其中方法包括:采集工业控制系统受到威胁的实例数据和未受到威胁的实例数据作为第一实例数据集合;基于工业控制系统中各控制器的监控特征对所述第一实例数据集合进行特征数据的提取,以获得各控制器对应的特征数据集合;对各所述特征数据集合进行训练,以获得与各所述控制器对应的子模型,进而获得由各所述子模型构成的协作式训练模型;基于所述协作式训练模型中各子模型对工业控制系统中的待检测的实例数据进行检测,以确定工业控制系统是否受到威胁。本发明能够实现对多种类型的威胁的检测,提高对工业控制系统高级持续威胁攻击行为的检测能力,提高了检测的准确性。
Description
技术领域
本发明涉及领域工业控制系统技术领域,尤其涉及一种工业控制系统的威胁检测方法及装置。
背景技术
工业控制系统(简称工控系统)应用于自动化工业过程控制,通常由一系列控制部件、传感器、仪表等构成。近些年,工控系统实现了与传统IT(Information Technology,信息技术)系统的互联,使之成为易被攻击的目标。相比于传统IT系统,工控系统漏洞使城市燃气管网、污水处理厂、发电站等国家重要基础设施面临巨大威胁,因为后者遭受攻击后会对物理环境造成不可恢复的破坏。近些年爆发了以震网、德国钢铁厂、乌克兰电网等为代表的一系列工控系统攻击事件,且工控安全事件从2014年的245起增加到2016年的290起。因此,保护工控系统迫在眉睫。
工控系统安全面临的挑战与传统IT系统不同,后者主要关注数据处理和传输,前者还需要关心物理组件的控制过程。工控系统的物理过程遵循基本的自然规律,这是工控系统最显著的特点。工控系统的性能不仅与单个控制器有关,还与控制器间的交互能力与协调能力相关,因此工控系统多采用控制回路周期性地处理一系列控制任务。攻击者为达到攻击目的且不被发现,通常会在向控制回路中发送的正常控制指令载荷中注入虚假信息。由于没有考虑工控系统组件之间的交互性与协调性等规律,现有的IDS(IntrusionDetection Systems,入侵检测系统)对上述攻击的检测效果不理想。如果攻击者达到了上述攻击目标,控制器之间的交互规律就会被打破。
然而,在现有的检测工控系统攻击的方法中,并没有考虑到一致性和互补性(consensus and complementary,简称2C)这两种规律。并且,现有的基于机器学习的IDS通常采用无监督学习方法,由于缺乏大量的训练数据,因此现有的基于机器学习的IDS训练出的模型效果不理想,仅能检测一种或两种类型的工控系统威胁攻击,检测类型少,检测准确率低。
发明内容
本发明实施例提供一种工业控制系统的威胁检测方法及装置,用以解决现有技术中存在的检测类型较少,检测准确率低的问题。
第一方面,本发明实施例提供一种工业控制系统的威胁检测方法,所述方法包括以下步骤:
采集工业控制系统受到威胁的实例数据和未受到威胁的实例数据作为第一实例数据集合;
基于工业控制系统中各控制器的监控特征对所述第一实例数据集合进行特征数据的提取,以获得各控制器对应的特征数据集合;
对各所述特征数据集合进行训练,以获得与各所述控制器对应的子模型,进而获得由各所述子模型构成的协作式训练模型;
基于所述协作式训练模型中各子模型对工业控制系统中的待检测的实例数据进行检测,以确定工业控制系统是否受到威胁。
可选的,所述基于所述协作式训练模型中各子模型对工业控制系统中的待检测的实例数据进行检测,以确定工业控制系统是否受到威胁,具体包括:
对待检测的实例数据进行数据提取,以获得与各所述控制器对应的待检测数据集合;
利用协作式训练模型中的各子模型对与各控制器对应的所述待检测数据集合进行检测;
根据各所述子模型的检测结果确定待检测的实例数据是否异常,若异常,则确定工业控制系统受到威胁。
可选的,根据各所述子模型的检测结果确定待检测的实例数据是否异常,具体包括:
在各所述子模型的检测结果相同时,则直接依据所述检测结果确定实例数据为异常或者为正常;
在各所述子模型的检测结果不相同时,则根据不同检测结果对应的子模型的数量来确定最终的检测结果。
可选的,在各所述子模型的检测结果不相同时,所述方法还包括:根据不同检测结果对应的子模型的检测准确率的累加值来确定最终的检测结果。
可选的,所述方法还包括:
采集工业控制系统的中未确定是否受到威胁的实例数据作为第二实例数据集合;
在获得所述协作式训练模型后,利用所述协作式训练模型对所述第二实例数据集合中的各实例数据进行检测,以确定出受到威胁的实例数据和未受到威胁的实例数据;
将确定出的所述受到威胁的实例数据和未受到威胁的实例数据添加至所述第一实例数据中,获得更新后的第一实例数据,以利用所述更新后的第一实例数据重新训练获得协作式训练模型。
可选的,所述方法还包括:
选取若干受威胁的实例数据和若干未受威胁的实例数据构成第三实例数据集合;
利用所述协作式训练模型中的各子模型分别对所述第三实例数据集合中的各实例数据进行检测,以获得各子模型对各实例数据的检测结果;
根据所述第三实例数据集合中各实例数据的实际受威胁情况对所述检测结果进行判断,以确定出各所述子模型的检测结果为正确的实例数据的数量;
根据各所述子模型的检测结果为正确的实例数据的数量在所述第三实例数据集合中的占比,获得各子模型的检测结果准确率。
第二方面,本发明实施例提供一种工业控制系统的威胁检测装置,包括:
采集模块,用于采集工业控制系统受到威胁的实例数据和未受到威胁的实例数据作为第一实例数据集合;
特征数据提取模块,用于基于工业控制系统中各控制器的监控特征对所述第一实例数据集合进行特征数据的提取,以获得各控制器对应的特征数据集合;
训练模块,用于对各所述特征数据集合进行训练,以获得与各所述控制器对应的子模型,进而获得由各所述子模型构成的协作式训练模型;
检测模块,用于基于所述协作式训练模型中各子模型对工业控制系统中的待检测的实例数据进行检测,以确定工业控制系统是否受到威胁。
可选的,所述检测模块,具体用于:
对待检测的实例数据进行数据提取,以获得与各所述控制器对应的待检测数据集合;
利用协作式训练模型中的各子模型对与各控制器对应的所述待检测数据集合进行检测;
根据各所述子模型的检测结果确定待检测的实例数据是否异常,若异常,则确定工业控制系统受到威胁。
可选的,所述检测模块,具体用于:
在各所述子模型的检测结果相同时,则直接依据所述检测结果确定实例数据为异常或者为正常;
在各所述子模型的检测结果不相同时,则根据不同检测结果对应的子模型的数量来确定最终的检测结果。
可选的,所述检测模块,还具体用于:在各所述子模型的检测结果不相同时,根据不同检测结果对应的子模型的检测准确率的累加值来确定最终的检测结果。
可选的,所述装置还包括更新模块;所述更新模块用于:
采集工业控制系统的中未确定是否受到威胁的实例数据作为第二实例数据集合;
利用获得的所述协作式训练模型对所述第二实例数据集合中的各实例数据进行检测,以确定出受到威胁的实例数据和未受到威胁的实例数据;
将确定出的所述受到威胁的实例数据和未受到威胁的实例数据添加至所述第一实例数据中,获得更新后的第一实例数据,以利用所述更新后的第一实例数据重新训练获得协作式训练模型。
可选的,所述装置还包括计算模块,所述计算模块具体用于:
选取若干受威胁的实例数据和若干未受威胁的实例数据构成第三实例数据集合;
利用所述协作式训练模型中的各子模型分别对所述第三实例数据集合中的各实例数据进行检测,以获得各子模型对各实例数据的检测结果;
根据所述第三实例数据集合中各实例数据的实际受威胁情况对所述检测结果进行判断,以确定出各所述子模型的检测结果为正确的实例数据的数量;
根据各所述子模型的检测结果为正确的实例数据的数量在所述第三实例数据集合中的占比,获得各子模型的检测准确率。
本发明实施例充分考虑工业控制控系统的2C物理特性,将每个控制器当作一种视角,训练获得与每个控制器对应的子模型,进而获得由多个子模型构成的协作式训练模型。然后利用协作式训练模型中的各子模型对待检测的实例数据进行检测,根据各子模型的检测结果确定最终的检测结果,能够实现对多种类型的威胁的检测,提高对工业控制系统高级持续威胁攻击行为的检测能力,提高了检测的准确性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明第一实施例工业控制系的威胁检测方法的流程图;
图2为本发明第二实施例工业控制系统的威胁检测方法的流程图;
图3为本发明第三实施例工业控制系统的威胁检测装置的结构框图;
图4为本发明第四实施例中安全燃气管网测试床的结构框图;
图5为本发明第四实施例中安全燃气管网测试床的网络拓扑图;
图6为本发明第四实施例中基于IDS报警的数据的不同模型的检测工作特征曲线对比图;
图7为本发明第四实施例中基于IDS报警的数据的不同模型的检测准确性对比图;
图8为本发明第四实施例中基于历史数据的不同模型的检测工作特征曲线对比图;
图9为本发明第四实施例中基于历史数据的不同模型的检测准确性对比图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明第一实施例提供一种工业控制系统的威胁检测方法如图1所示,包括以下步骤:
步骤S101,采集工业控制系统受到威胁的实例数据和未受到威胁的实例数据作为第一实例数据集合;
本实施例中第一实例数据集合中的受到威胁的实例数据和未受到威胁的实例数据均是经过人工确定、挑选出来的,这样可以保证所有的实例数据的准确,使得利用第一实例数据训练出来的模型更加准确。
步骤S102,基于工业控制系统中各控制器的监控特征对所述第一实例数据集合进行特征数据的提取,以获得各控制器对应的特征数据集合;
本步骤中控制器的种类包括如下一种或几种:可编程逻辑控制器(S7-300控制器)Quantum控制器和Super32控制器,
其中,与可编程逻辑控制器对应的特征数据包括以下一种或几种:泄漏阀门的工作状态、高压气体流量值、高压气体温度值、中压气体温度值、高压进气压力值、高压出气压力值、中压出气压力值、气体是否泄漏、手动泄露阀门的工作状态、电磁泄漏阀门的工作状态、高压电磁阀门的工作状态、高压手动阀门的工作状态、中压电磁阀门的工作状态、中压手动阀门的工作状态、高压电磁阀门的工作状态、中压电磁阀的工作状态、报警的声音和灯光状态、可编程控制PLC的工作状态、控制复位状态、控制消音状态。
与Quantum控制器对应的特征数据包括以下一种或几种:可编程控制器PLC的工作状态、低压电磁阀的工作状态、低压手动阀门的工作状态、低压电磁阀门的工作状态、泄漏的工作状态、低压进口压力值和低压出口压力值。
与Super32控制器对应的特征数据包括以下一种或几种:低压阀门的工作状态、泄漏阀门的工作状态、流经高压电磁阀的电流值、流经中压电磁阀的电流值、流经低压电磁阀的电流值、流经泄漏电磁阀的电流值和总开关电流值。
步骤S103,对各所述特征数据集合进行训练,以获得与各所述控制器对应的子模型,进而获得由各所述子模型构成的协作式训练模型;
步骤S104,基于所述协作式训练模型中各子模型对工业控制系统中的待检测的实例数据进行检测,以确定工业控制系统是否受到威胁。
本步骤中,待检测的实例数据即为需要检测检测的实例数据,以此来判断工业控制系统是否受到威胁。
在本实施例的步骤S104中,基于所述协作式训练模型中各子模型对工业控制系统中的待检测的实例数据进行检测,以确定工业控制系统是否受到威胁,具体包括:
S104-1对待检测的实例数据进行数据提取,以获得与各所述控制器对应的待检测数据集合;
S104-2利用协作式训练模型中的各子模型对与各控制器对应的所述待检测数据集合进行检测;
S104-3根据各所述子模型的检测结果确定待检测的实例数据是否异常,若异常,则确定工业控制系统受到威胁。
本步骤S104-3在实施过程中,具体确定待检测的实例数据是否异常的方法为:在各所述子模型的检测结果相同时,则直接依据所述检测结果确定实例数据为异常或者为正常;
在各所述子模型的检测结果不相同时,则根据不同检测结果对应的子模型的数量来确定最终的检测结果,或根据不同检测结果对应的子模型的检测准确率的累加值来确定最终的检测结果。
例如,协作式训练模型中包含4个子模型,子模型a、子模型b和子模型c和子模型d,子模型a检测出某个实例数据为正常,子模型b、子模型c和子模型d均检测出该实例数据为异常,则确定该实例数据异常,为受到威胁的实例数据。再如,若子模型a和子模型b检测出某个实例数据为正常,子模型c和子模型d检测出该实例数据为异常,则将子模型a的检测准确率和子模型b的检测准确率相加求和,将子模型c的准确率和子模型d的准确率相加求和,将两组求和结果进行比较,根据准确率的求和大小确定该数据为异常或者为正常。
本发明实施例的方法中,在利用子模型的检测准确率的累加值来确定最终的检测结果之前,还包括计算各所述子模型的检测准确率,具体步骤如下:
选取若干受威胁的实例数据和若干未受威胁的实例数据构成第三实例数据集合;
利用所述协作式训练模型中的各子模型分别对所述第三实例数据集合中的各实例数据进行检测,以获得各子模型对各实例数据的检测结果;
根据所述第三实例数据集合中各实例数据的实际受威胁情况对所述检测结果进行判断,以确定出各所述子模型的检测结果为正确的实例数据的数量;
根据各所述子模型的检测结果为正确的实例数据的数量在所述第三实例数据集合中的占比,获得各子模型的检测准确率。
例如,选取2个受到威胁的实例数据(第1实例数据和第2实例数据)和3个未受到威胁的实例数据(第3实例数据、第4实例数据和第5实例数据),由这5个实例数据构成第三实例数据集合,然后用协作式训练模型中的各子模型(例如协作式训练模型中有2个模型,模型a和模型b)对这5个实例数据进行检测,其中模型a检测出5个实例数据中的第1实例数据为受到威胁的实例数据(检测结果正确),第2、第3、第4、和第5实例数据为未受到威胁的实例数据(其中有3个检测结果是正确的),然后根据实际上5个实例数据受威胁的情况确定出模型a检测的结果中有4个结果是预测正确的,则模型a的准确率为4/5。同理,模型b检测出第1、第3和第4个实例数据为受到威胁的实例数据(检测结果中有1个正确),第2和第5为未受到威胁的实例数据(检测结果中有1个正确),确定出模型b检测的结果中有2个结果是预测正确的,则模型b的准确率为2/5。具体的本实施例中第三实例数据集合中的实例数量不做具体限定,可以根据实际情况进行选择。
本发明实施例充分的考虑了工业控制控系统的2C物理特性,将每个控制器当作一种视角,训练获得与每个控制器对应的子模型(视角对应的模型),进而获得由多个子模型构成的协作式训练模型。然后利用协作式训练模型中的各子模型对待检测的实例数据进行检测,根据各子模型的检测结果确定最终的检测结果,能够实现对多种类型的威胁的检测,提高对工业控制系统高级持续威胁攻击行为的检测能力,提高了检测的准确性。
本发明第二实施例提供一种工业控制系统的威胁检测方法,包括如下步骤:
步骤一、采集工业控制系统受到威胁的实例数据和未受到威胁的实例数据作为第一实例数据集合;
步骤二、基于工业控制系统中各控制器的监控特征对所述第一实例数据集合进行特征数据的提取,以获得各控制器对应的特征数据集合;
本步骤中,基于控制器的监控特征进行特征提取也可以叫做视角分离,即,根据不同的控制器,获取与控制器对应视角的特征数据。
步骤三、对各所述特征数据集合进行训练,以获得与各所述控制器对应的子模型,进而获得由各所述子模型构成的协作式训练模型;具体的协作式训练模型也称作SCTM模型。
步骤四、采集工业控制系统的中未确定是否受到威胁的实例数据作为第二实例数据集合;
利用所述协作式训练模型中的各子模型对所述第二实例数据集合中的各实例数据进行检测,以确定出受到威胁的实例数据的实例数据和未受到威胁的实例数据;
将确定出的所述受到威胁的实例数据和未受到威胁的实例数据添加至所述第一实例数据中,获得更新后的第一实例数据,以利用所述更新后的第一实例数据重新训练获得协作式训练模型。
步骤五、基于所述协作式训练模型中各子模型对工业控制系统中的待检测的实例数据进行检测,以确定工业控制系统是否受到威胁。,
本实施例中,步骤一中的第一实例数据集合中的受到威胁的实例数据和未受到威胁的实例数据均是由人工来确认的,人工确认工作量较大,因此第一实例数据集合的实例数量有限,获得的协作式模型不够准确。因此本申请中利用获得的协作式模型对第二实例数据集合中的实例数据进行检测,以自动检测出受到威胁的实例数据和未受到威胁的实例数据,再将这些受到威胁的实例数据添和未受到威胁的实例数据添加至第一实例数据集合中,以获得更新后的第一实例数据集合,在利用更新后的第一实例数据集合重新进行上述步骤二、和步骤三,操作,以此来获得新的协作式训练模型,提高了模型检测的准确率。其中第二实例数据集合中的实例数据可以从历史数据库中来获得。
本实施例中,步骤四中的利用协作式训练模型对第二实例数据集合中的各实例数据进行检测的方法,与步骤五中基于协作式训练模型对待检测的实例数据进行检测的方法是相同的,均包括:对待检测的实例数据进行数据提取,以获得与各所述控制器对应的待检测数据集合;利用协作式训练模型中的各子模型对与各控制器对应的所述待检测数据集合进行检测;根据各所述子模型的检测结果确定待检测的实例数据是否异常,若异常,则确定工业控制系统受到威胁;若无异常,则确定工业控制系统未受到威胁。
具体的,本实施例在更新第一实例数据集合,利用更新后的第一实例数据集合重新训练获得协作式训练模型时,可以采用循环迭代的方式进行,如图2所示,将第二实例数据集合的实例数据随机划分为若干组,每组包含相同数量的实例数据;在上述步骤三中获得由各所述子模型构成的协作式训练模型后,选出第一组实例数据,利用协作式训练模型对第一组实例数据进行检测,获得受到威胁的实例数据和未受到威胁的实例数据,并将获得的受到威胁的实例数据和未受到威胁的实例数据添加至第一实例数据集合中,以更新第一实例数据集合,进而获得由更新的第一实例数据集合训练得到的新的协作式训练模型;利用新的协作式训练模型对第二组实例数据进行检测,获得受到威胁的实例数据和未受到威胁的实例数据,并将获得的受到威胁的实例数据和未受到威胁的实例数据添加至更新后的第一实例数据集合中,以进一步更新第一实例数据集合,利用更新后的第一实例数据集合训练得到的新的协作式训练模型,重复上述步骤,直至每一组实例数据均被检测完成。
本发明第三实施例提供一种工业控制系统的威胁检测装置,如图3所示,包括:
采集模块1,用于采集工业控制系统受到威胁的实例数据和未受到威胁的实例数据作为第一实例数据集合;
特征数据提取模块2,用于基于工业控制系统中各控制器的监控特征对所述第一实例数据集合进行特征数据的提取,以获得各控制器对应的特征数据集合;
训练模块3,用于对各所述特征数据集合进行训练,以获得与各所述控制器对应的子模型,进而获得由各所述子模型构成的协作式训练模型;
检测模块4,用于基于所述协作式训练模型中各子模型对工业控制系统中的待检测的实例数据进行检测,以确定工业控制系统是否受到威胁。
具体的,所述检测模块,具体用于:
对待检测的实例数据进行数据提取,以获得与各所述控制器对应的待检测数据集合;
利用协作式训练模型中的各子模型对与各控制器对应的所述待检测数据集合进行检测;
根据各所述子模型的检测结果确定待检测的实例数据是否异常,若异常,则确定工业控制系统受到威胁。
可选的,所述检测模块,具体用于:
在各所述子模型的检测结果相同时,则直接依据所述检测结果确定实例数据为异常或者为正常;
在各所述子模型的检测结果不相同时,则根据不同检测结果对应的子模型的数量来确定最终的检测结果,或者根据不同检测结果对应的子模型的检测准确率的累加值来确定最终的检测结果。
具体的,本实施例在实施过程中,还包括更新模块;所述更新模块用于:
采集工业控制系统的中未确定是否受到威胁的实例数据作为第二实例数据集合;
利用获得的所述协作式训练模型对所述第二实例数据集合中的各实例数据进行检测,以确定出受到威胁的实例数据和未受到威胁的实例数据;
将确定出的所述受到威胁的实例数据和未受到威胁的实例数据添加至所述第一实例数据中,获得更新后的第一实例数据,以利用所述更新后的第一实例数据重新训练获得协作式训练模型。
具体的,所述装置还包括:用于计算各所述子模型检测准确率的计算模块,所述计算模块具体用于:
选取若干受威胁的实例数据和若干未受威胁的实例数据构成第三实例数据集合;
利用所述协作式训练模型中的各子模型分别对所述第三实例数据集合中的各实例数据进行检测,以获得各子模型对各实例数据的检测结果;
根据所述第三实例数据集合中各实例数据的实际受威胁情况对所述检测结果进行判断,以确定出各所述子模型的检测结果为正确的实例数据的数量;
根据各所述子模型的检测结果为正确的实例数据的数量在所述第三实例数据集合中的占比,获得各子模型的检测准确率。
例如,选取2个受到威胁的实例数据(第1实例数据和第2实例数据)和3个未受到威胁的实例数据(第3实例数据、第4实例数据和第5实例数据),由这5个实例数据构成第三实例数据集合,然后用协作式训练模型中的各子模型(例如协作式训练模型中有2个模型,模型a和模型b)对这5个实例数据进行检测,其中模型a检测出5个实例数据中的第1实例数据为受到威胁的实例数据(检测结果正确),第2、第3、第4、和第5实例数据为未受到威胁的实例数据(其中有3个检测结果是正确的),然后根据实际上5个实例数据受威胁的情况确定出模型a检测的结果中有4个结果是预测正确的,则模型a的准确率为4/5。同理,模型b检测出第1、第3和第4个实例数据为受到威胁的实例数据(检测结果中有1个正确),第2和第5为未受到威胁的实例数据(检测结果中有1个正确),确定出模型b检测的结果中有2个结果是预测正确的,则模型b的准确率为2/5。
本发明第四实施例作为第一实施例的应用例,利用第一实施例中的威胁检测方法对安全燃气管网测试床(简称SGPT)进行威胁检测。安全燃气管网测试床的结构框图如图4所示。该测试床的网络拓扑如图5所示,包括一个监视控制与数据采集系统(简称SCADA)、一个在线控制系统(简称OCS)和燃气管道。SCADA的主要任务是从现场的传感器采集数据,将数据记录到历史数据库中,并远程控制可编程逻辑控制器(简称PLC)和远程控制单元(简称RTU)。OCS系统包括两个人机界面(简称HMI)、一个高压燃气站、一个中压燃气站和一个低压燃气站。其中高压燃气站、中压燃气站和低压燃气站分别被S7-300PLC、Quantum PLC和Super32RTU控制。
SGPT的操作控制由上述三个控制器以及大量的传感器和执行器协作完成。SGPT由三部分构成:(1)HPGS用于生成0.7MPa的空气,用于模拟高压燃气源,其中RV1将压力降低到0.2MPa,GV1可以切断高压部分的燃气管道;(2)MPGS将燃气压力降低到60—80KPa,以便为企业提供燃气;(3)LPGS将压力进一步降低到3—10KPa,以便为小区用户提供燃气。本测试床模拟燃气泄漏的过程如下:GV4电磁阀被打开后会出现声光报警,提示出现燃气泄漏。SGPT中新增了五个电流传感器,以便检测流经电磁阀的电流值。具体的,图4中,PI表示压力计传感器;TI表示温度计传感器;CI表示电流传感器;FC表示流量控制器;PG表示压力表;MV表示手动阀;GV表示电磁阀;RV表示调节阀。
通过以下操作模拟攻击者的攻击行为:
侦查:攻击者利用Nmap(网络连接端扫描软件)工具扫描SGPT的内部网络,发现了目标网络中存活的主机及其运行的服务。
数据完整性攻击:利用S7-300的两个漏洞((CVE-2016-8673和CVE-2016-9159),攻击者对S7-300发起了“写单线圈寄存器”攻击,成功打开了GV4电磁阀。
Dos攻击:利用Quantum的一个漏洞(CVE-2018-11452),攻击者对Quantum发起了Dos攻击,使低压HMI不能从Quantum更新监控变量。
SCADA攻击:利用SCADA软件的一个漏洞(CVE-2011-2960),攻击者对SCADA发起了缓冲区溢出漏洞,成功获取了SCADA的管理员权限。
远程攻击:获取SCADA的管理员权限后,攻击者利用一个漏洞(CVE-2017-6034)远程停止并启动Super32。
控制程序攻击:利用两个漏洞(CVE-2015-2823和CVE-2016-7959),攻击者使用UnityProXL工具将Quantum梯形图程序上传到他自己的电脑上,然后他删除了程序的密码并通过添加一个常开变量和一个输出变量的方式修改该程序,最后攻击者将修改后的程序下载回Quantum。另外,攻击者使用TIA Portal V13工具将S7-300控制器的梯形图程序上传到他自己的电脑上,然后他通过增加一个常闭变量的方式修改了该程序,最后将修改后的程序下载回S7-300控制器。
通过上述的模拟攻击者的攻击操作,收集实例数据(实验数据),具体收集的实验数据类型有两种,分别是IDS报警数据和历史数据序列。
对于IDS报警数据,通过开发的一个基于白名单的IDS(以下简称Tian)。Tian可以自动生成配置规则,而且它可以从历史数据中识别合法的主机、控制器、网络服务以及网络连接,并生成白名单规则用于实时检测。Tian的技术细节不在本发明讨论范围。在实验数据采集期间,Tian一共生成了64859个实例,每个实例由13个属性(特征数据)构成(一个实例数据中包括终端IP、源IP、源端口、目的IP、目的端口、传输层协议、应用层协议、告警类型、告警消息、告警时间、告警级别、状态和标签),其中有6个被SRC监视(终端IP、源IP、源端口、传输层协议、应用层协议、告警类型和),6个被DEST监视(终端IP、目的IP、目的端口、传输层协议、应用层协议、告警类型),1个是标签。因此依据监视者确定两个视角,每种视角包含7个属性,且标签包含在每个视角。
对于历史数据,SGPT采用了专用的历史数据库(以下简称Mexin),SGPT中执行器和传感器的值每秒钟会传输到Mexin里。在实验期间,Mexin共产生了3964个实例,每个实例由35个属性(特征数据)构成,其中7个属性被Super32控制,7个属性被Quantum控制,20个属性被S7-300控制,1个属性是标签。因此根据3个控制器确定3个视角,这三个视角分别包含8个、8个和21个属性(每个视角中均包含有标签)。
下面介绍本发明采用的实验方法,以便证明其在IDS后验分析和历史数据后验方面的价值。实验中比较了四种机器学习思想,采用MATLAB编程实现,分类器均选择SVM(支持向量机),且采用成熟的libsvm软件包。对于IDS报警数据,参数选择是:第二实例数据集合中实例数据的数量为5000,迭代次数为2000(划分为2000组)。对于历史数据序列,参数选择是:第二实例数据集合中实例数据的数量为300,迭代次数为100(划分为100组)。
基于SVM的小规模训练模型(简称SSTM模型)被作为实验分析的基准,基于SVM的大规模训练模型(简称SLTM模型)被作为理论值,本发明的方法协作式训练模型(SCTM模型)用于提升检测ICS攻击的效果,基于SVM的集成训练模型(简称SETM模型)用于与本发明的SCTM模型作对比。通过利用上述的SSTM模型、SLTM模型、SETM模型以及本发明实施例中的SCTM模型,分别对上述两种实例数据集合中的数据进行检测,获得如图6、图7、图8和图9所示的检测效果对比图
本实验的度量标准采用受试者工作特征曲线(以下简称ROC)和ROC曲线下的面积(简称AUC)。
首先比较SSTM模型、SLTM模型、SCTM模型和SETM模型在IDS报警后验证分析方面的应用效果。结合图6和图7,可以看出SLTM模型能从IDS报警中完全检测出6种攻击,因为该模型是从包含所有攻击及其变种的大量训练数据中学习得到的。图6还表明在检测几乎所有6种攻击时,SSTM模型是四种模型中效果最差的。因为实验结果表明SSTM模型在检测ICS异常攻击时,AUC总是0.5。图6表明能轻松地检测出所有的dos攻击和侦查过程,因为这两种攻击的特征很明显。实验结果表明与SSTM模型相比,SCTM模型能显著地降低误报率(平均29.5184%),但由于缺少训练数据,该方法只能平均提升7.2033%的检测准确性,其中对远程攻击的提升最显著,达到了36.4016%。另外,由于SSTM模型在检测dos攻击和侦查过程时已经取得很高的准确性(不小于98%),因此SCTM模型对这两种攻击的检测准确性提升不大。实验发现,SETM模型不能总是在提升准确性的时候降低误报率,例如在检测dos攻击和侦查过程时,与SSTM模型相比SETM模型的检测准确性不仅降低了,误报率还提升了。
在协作式训练算法执行的初始实验中,训练出的模型M是从大集合中直接选取实例,但实验结果表明:当M从一个较小的集合中选取实例时,实验效果更好。可能的原因是当M从小集合中选择实例时,避免了噪声实例的干扰,选择了更能代表IDS报警分布的实例。实验分析了数据集合中的实例数据的数量从100到7000不同值时,SCTM模型的检测效果。在开始阶段,当第二实例数据集合被设置为100和500时检测结果会出现源视角总是标记出100个正例和0个负例,目的视角总是标记出0个正例和100个负例。为了避免出现这种情况,实验过程采用了1000、2000等数量较多的实例数据作为第二实例数据集合,同时让迭代次数的取值范围从50到4000(即划分成50-4000组)。实验结果表明保持迭代次数为2000时,且第二数据集合中的实例数量取5000时,SCTM模型的检测效果最好;或者保持第二数据集合中的实例数量为5000不变时,当变量迭代次数取2000时,SCTM模型的检测效果最好。实验总结如下:本发明采用的协作式训练方法虽然对IDS报警的准确性提升不明显(平均7.2033%),但显著地降低了IDS报警的误报率(平均29.5184%)。
其次比较SSTM模型、SLTM模型、SCTM模型和SETM模型在历史数据库序列后验分析方面的应用效果。结合图8和图9,可以看出SLTM模型能完全检测出远程攻击、dos攻击和数据完整性攻击。有两个原因导致了SSTM模型不能检测出控制程序类攻击:(1)原始梯形图程序的逻辑顺序没有改变;(2)新增加的变量及其类型还没有添加到历史数据库中。据我们所知,还没有人研究如何检测出梯形图中的新建变量。另外SCADA攻击和侦查过程也不能通过历史数据序列检测出来。图7表明在历史数据库序列后验分析方面,SSTM模型的检测效果也是最差的。由于存在许多冗余特征,SSTM模型和SETM模型对6种工控系统高级持续威胁攻击均不敏感。并且SSTM模型和SETM模型在检测工控系统高级持续威胁攻击发面的检测准确性几乎为0。实验结果表明保持迭代次数为100不变时,当变量第二实例数据集合中的实例数量取300时SCTM模型的检测效果最好;或者,保持第二实例数据集合中的实例数量为300不变时,当变量迭代次数取100时SCTM模型的检测效果最好。第二实例数据集合中的实例数量和迭代次数均设置的比较小,因为历史数据库中仅有3964个实例。实验总结如下:与IDS报警相比,SCTM模型更容易从历史数据中检测出工控系统高级持续威胁攻击,其中检测准确性地提升最大(平均提升了14.1635倍)。
综上可以确定,本发明实施例的协作式训练模型(SCTM模型)能够实现对多种类型的威胁的检测,提高对工业控制系统高级持续威胁攻击行为的检测能力,并且提高了检测的准确性。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (10)
1.一种工业控制系统的威胁检测方法,其特征在于,所述方法包括以下步骤:
采集工业控制系统受到威胁的实例数据和未受到威胁的实例数据作为第一实例数据集合;
基于工业控制系统中各控制器的监控特征对所述第一实例数据集合进行特征数据的提取,以获得各控制器对应的特征数据集合;
对各所述特征数据集合进行训练,以获得与各所述控制器对应的子模型,进而获得由各所述子模型构成的协作式训练模型;
基于所述协作式训练模型中各子模型对工业控制系统中的待检测的实例数据进行检测,以确定工业控制系统是否受到威胁。
2.如权利要求1所述的工业控制系统的威胁检测方法,其特征在于,所述基于所述协作式训练模型中各子模型对工业控制系统中的待检测的实例数据进行检测,以确定工业控制系统是否受到威胁,具体包括:
对待检测的实例数据进行数据提取,以获得与各所述控制器对应的待检测数据集合;
利用协作式训练模型中的各子模型对与各控制器对应的所述待检测数据集合进行检测;
根据各所述子模型的检测结果确定待检测的实例数据是否异常,若异常,则确定工业控制系统受到威胁。
3.如权利要求2所述的工业控制系统的威胁检测方法,其特征在于,根据各所述子模型的检测结果确定待检测的实例数据是否异常,具体包括:
在各所述子模型的检测结果相同时,则直接依据所述检测结果确定实例数据为异常或者为正常;
在各所述子模型的检测结果不相同时,则根据不同检测结果对应的子模型的数量来确定最终的检测结果。
4.如权利要求3所述的工业控制系统的威胁检测方法,其特征在于,在各所述子模型的检测结果不相同时,所述方法还包括:根据不同检测结果对应的子模型的检测准确率的累加值来确定最终的检测结果。
5.如权利要求1所述的工业控制系统的威胁检测方法,其特征在于,所述方法还包括:
采集工业控制系统的中未确定是否受到威胁的实例数据作为第二实例数据集合;
在获得所述协作式训练模型后,利用所述协作是训练模型对所述第二实例数据集合中的各实例数据进行检测,以确定出受到威胁的实例数据和未受到威胁的实例数据;
将确定出的所述受到威胁的实例数据和所述未受到威胁的实例数据添加至所述第一实例数据中,获得更新后的第一实例数据,以利用所述更新后的第一实例数据重新训练获得协作式训练模型。
6.如权利要求3所述的工业控制系统的威胁检测方法,其特征在于,所述方法还包括:
选取若干受威胁的实例数据和若干未受威胁的实例数据构成第三实例数据集合;
利用所述协作式训练模型中的各子模型分别对所述第三实例数据集合中的各实例数据进行检测,以获得各子模型对各实例数据的检测结果;
根据所述第三实例数据集合中各实例数据的实际受威胁情况对所述检测结果进行判断,以确定出各所述子模型的检测结果为正确的实例数据的数量;
根据各所述子模型的检测结果为正确的实例数据的数量在所述第三实例数据集合中的占比,获得各子模型的检测准确率。
7.一种工业控制系的威胁检测装置,其特征在于,包括:
采集模块,用于采集工业控制系统受到威胁的实例数据和未受到威胁的实例数据作为第一实例数据集合;
特征数据提取模块,用于基于工业控制系统中各控制器的监控特征对所述第一实例数据集合进行特征数据的提取,以获得各控制器对应的特征数据集合;
训练模块,用于对各所述特征数据集合进行训练,以获得与各所述控制器对应的子模型,进而获得由各所述子模型构成的协作式训练模型;
检测模块,用于基于所述协作式训练模型中各子模型对工业控制系统中的待检测的实例数据进行检测,以确定工业控制系统是否受到威胁。
8.如权利要求9所述的工业控制系统的威胁检测装置,其特征在于,所述检测模块,具体用于:
对待检测的实例数据进行数据提取,以获得与各所述控制器对应的待检测数据集合;
利用协作式训练模型中的各子模型对与各控制器对应的所述待检测数据集合进行检测;
根据各所述子模型的检测结果确定待检测的实例数据是否异常,若异常,则确定工业控制系统受到威胁。
9.如权利要求8所述的工业控制系统的威胁检测装置,其特征在于,所述检测模块,具体用于:
在各所述子模型的检测结果相同时,则直接依据所述检测结果确定实例数据为异常或者为正常;
在各所述子模型的检测结果不相同时,则根据不同检测结果对应的子模型的数量来确定最终的检测结果。
10.如权利要求9所述的工业控制系统的威胁检测装置,其特征在于,所述检测模块,具体用于:在各所述子模型的检测结果不相同时,根据不同检测结果对应的子模型的检测准确率的累加值来确定最终的检测结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910220071.5A CN110059726A (zh) | 2019-03-22 | 2019-03-22 | 工业控制系统的威胁检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910220071.5A CN110059726A (zh) | 2019-03-22 | 2019-03-22 | 工业控制系统的威胁检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110059726A true CN110059726A (zh) | 2019-07-26 |
Family
ID=67316262
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910220071.5A Pending CN110059726A (zh) | 2019-03-22 | 2019-03-22 | 工业控制系统的威胁检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110059726A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111669410A (zh) * | 2020-07-24 | 2020-09-15 | 中国航空油料集团有限公司 | 工控网络负例样本数据生成方法、装置、服务器和介质 |
CN112333211A (zh) * | 2021-01-05 | 2021-02-05 | 博智安全科技股份有限公司 | 一种基于机器学习的工控行为检测方法和系统 |
CN112769815A (zh) * | 2021-01-04 | 2021-05-07 | 北京蓝军网安科技发展有限责任公司 | 一种智能工控安全监控与防护方法和系统 |
CN113553584A (zh) * | 2021-07-30 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种工业互联网安全未知威胁检测方法、系统及存储介质 |
CN113742718A (zh) * | 2021-07-30 | 2021-12-03 | 国家工业信息安全发展研究中心 | 一种工业互联网设备攻击路径还原方法、相关设备及系统 |
CN113778054A (zh) * | 2021-09-09 | 2021-12-10 | 大连理工大学 | 一种针对工业控制系统攻击的双级检测方法 |
CN115118514A (zh) * | 2022-07-11 | 2022-09-27 | 深信服科技股份有限公司 | 一种数据检测方法、装置、设备及介质 |
CN115174276A (zh) * | 2022-09-07 | 2022-10-11 | 国网江西省电力有限公司电力科学研究院 | 一种竞争式工业控制系统漏洞挖掘方法及系统 |
US11593485B1 (en) * | 2022-06-17 | 2023-02-28 | Uab 360 It | Malware detection using federated learning |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9147129B2 (en) * | 2011-11-18 | 2015-09-29 | Honeywell International Inc. | Score fusion and training data recycling for video classification |
CN105703963A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于pso-ocsvm的工业控制系统通信行为异常检测方法 |
CN107967311A (zh) * | 2017-11-20 | 2018-04-27 | 阿里巴巴集团控股有限公司 | 一种对网络数据流进行分类的方法和装置 |
CN108683642A (zh) * | 2018-04-25 | 2018-10-19 | 长沙学院 | 智能电网线路状态错误数据注入攻击的检测器与检测方法 |
CN109446902A (zh) * | 2018-09-22 | 2019-03-08 | 天津大学 | 一种基于无人平台的海洋环境与目标综合感知方法 |
-
2019
- 2019-03-22 CN CN201910220071.5A patent/CN110059726A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9147129B2 (en) * | 2011-11-18 | 2015-09-29 | Honeywell International Inc. | Score fusion and training data recycling for video classification |
CN105703963A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于pso-ocsvm的工业控制系统通信行为异常检测方法 |
CN107967311A (zh) * | 2017-11-20 | 2018-04-27 | 阿里巴巴集团控股有限公司 | 一种对网络数据流进行分类的方法和装置 |
CN108683642A (zh) * | 2018-04-25 | 2018-10-19 | 长沙学院 | 智能电网线路状态错误数据注入攻击的检测器与检测方法 |
CN109446902A (zh) * | 2018-09-22 | 2019-03-08 | 天津大学 | 一种基于无人平台的海洋环境与目标综合感知方法 |
Non-Patent Citations (2)
Title |
---|
MING ZHOU ET.AL: "SCTM: A Multi-View Detecting Approach Against Industrial Control Systems Attacks", 《2019 IEEE INTERNATIONAL CONFERENCE ON COMMUNICATIONS (ICC)》 * |
肖琳琳: "网络入侵检测技术研究与应用", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111669410A (zh) * | 2020-07-24 | 2020-09-15 | 中国航空油料集团有限公司 | 工控网络负例样本数据生成方法、装置、服务器和介质 |
CN112769815B (zh) * | 2021-01-04 | 2023-04-18 | 北京蓝军网安科技发展有限责任公司 | 一种智能工控安全监控与防护方法和系统 |
CN112769815A (zh) * | 2021-01-04 | 2021-05-07 | 北京蓝军网安科技发展有限责任公司 | 一种智能工控安全监控与防护方法和系统 |
CN112333211A (zh) * | 2021-01-05 | 2021-02-05 | 博智安全科技股份有限公司 | 一种基于机器学习的工控行为检测方法和系统 |
CN112333211B (zh) * | 2021-01-05 | 2021-04-23 | 博智安全科技股份有限公司 | 一种基于机器学习的工控行为检测方法和系统 |
CN113553584A (zh) * | 2021-07-30 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种工业互联网安全未知威胁检测方法、系统及存储介质 |
CN113742718B (zh) * | 2021-07-30 | 2022-04-19 | 国家工业信息安全发展研究中心 | 一种工业互联网设备攻击路径还原方法、相关设备及系统 |
CN113742718A (zh) * | 2021-07-30 | 2021-12-03 | 国家工业信息安全发展研究中心 | 一种工业互联网设备攻击路径还原方法、相关设备及系统 |
CN113778054A (zh) * | 2021-09-09 | 2021-12-10 | 大连理工大学 | 一种针对工业控制系统攻击的双级检测方法 |
US11593485B1 (en) * | 2022-06-17 | 2023-02-28 | Uab 360 It | Malware detection using federated learning |
US11693965B1 (en) | 2022-06-17 | 2023-07-04 | Uab 360 It | Malware detection using federated learning |
US11763000B1 (en) | 2022-06-17 | 2023-09-19 | Uab 360 It | Malware detection using federated learning |
US11775642B1 (en) | 2022-06-17 | 2023-10-03 | Uab 360 It | Malware detection using federated learning |
CN115118514A (zh) * | 2022-07-11 | 2022-09-27 | 深信服科技股份有限公司 | 一种数据检测方法、装置、设备及介质 |
CN115174276A (zh) * | 2022-09-07 | 2022-10-11 | 国网江西省电力有限公司电力科学研究院 | 一种竞争式工业控制系统漏洞挖掘方法及系统 |
CN115174276B (zh) * | 2022-09-07 | 2022-12-30 | 国网江西省电力有限公司电力科学研究院 | 一种竞争式工业控制系统漏洞挖掘方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110059726A (zh) | 工业控制系统的威胁检测方法及装置 | |
Adepu et al. | Distributed attack detection in a water treatment plant: Method and case study | |
Romano et al. | Automated detection of pipe bursts and other events in water distribution systems | |
Sánchez et al. | Bibliographical review on cyber attacks from a control oriented perspective | |
US9177139B2 (en) | Control system cyber security | |
Krotofil et al. | The process matters: Ensuring data veracity in cyber-physical systems | |
JP6941965B2 (ja) | 産業資産制御システム用のドメインレベル脅威検出 | |
CN109357167B (zh) | 一种燃气管道漏点检测装置及检测方法 | |
Mounce et al. | Development and verification of an online artificial intelligence system for detection of bursts and other abnormal flows | |
US8793004B2 (en) | Virtual sensor system and method for generating output parameters | |
Mashford et al. | An approach to leak detection in pipe networks using analysis of monitored pressure values by support vector machine | |
JP6050599B2 (ja) | 装置の動作監視のための方法およびシステム | |
CN104395848B (zh) | 用于实时干低氮氧化物(dln)和扩散燃烧监视的方法和系统 | |
KR101994465B1 (ko) | 기술 시스템, 특히 전기 에너지-발생 설비의 동작의 컴퓨터-보조 모니터링을 위한 방법 | |
Romano et al. | Geostatistical techniques for approximate location of pipe burst events in water distribution systems | |
Romano et al. | Evolutionary algorithm and expectation maximization strategies for improved detection of pipe bursts and other events in water distribution systems | |
Laurentys et al. | Design of a pipeline leakage detection using expert system: A novel approach | |
CN103914622A (zh) | 一种化学品泄漏快速预测预警应急响应决策方法 | |
WO2013101427A1 (en) | Systems and methods for extending physical sensor range using virtual sensors | |
Stamatis | Evaluation of gas path analysis methods for gas turbine diagnosis | |
Vaddi et al. | Dynamic bayesian networks based abnormal event classifier for nuclear power plants in case of cyber security threats | |
CN113721182B (zh) | 一种电力互感器性能在线监测结果可靠度评估方法及系统 | |
Smith et al. | Pipeline rupture detection using real-time transient modelling and convolutional neural networks | |
JP7374191B2 (ja) | 加圧下または真空下でガスネットワーク中の漏れおよび障害を同時検出するためのガスネットワークおよび方法 | |
US10557433B2 (en) | System and method for detecting a fault condition associated with a valvetrain of an engine |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190726 |