CN112840616A - 用于工业控制系统入侵检测的混合无监督机器学习框架 - Google Patents
用于工业控制系统入侵检测的混合无监督机器学习框架 Download PDFInfo
- Publication number
- CN112840616A CN112840616A CN201980057668.0A CN201980057668A CN112840616A CN 112840616 A CN112840616 A CN 112840616A CN 201980057668 A CN201980057668 A CN 201980057668A CN 112840616 A CN112840616 A CN 112840616A
- Authority
- CN
- China
- Prior art keywords
- edge device
- database
- operational data
- sensors
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
一种用于针对网络攻击监视工业系统的系统包括:工业控制系统,所述工业控制系统包括多个执行器、多个传感器以及边缘设备,每个传感器被布置为测量多个操作参数中的一个;以及计算机,所述计算机包括数据存储设备,在所述数据存储设备上存储有程序,所述程序包括时间序列数据库、基于聚类的数据库和相关数据库中的每一个,所述时间序列数据库包括每个操作参数的预期的操作范围,所述基于聚类的数据库包括具有相似性的操作参数的聚类,所述相关数据库包括显示相关的操作参数对。警报系统能够操作以用于,响应于当前的操作数据包括以下各项而启动警报:来自所述多个传感器中的一个的、落在预期的范围外部的测量值;基于来自所述多个传感器中的每一个的所述当前的操作数据的、所述多个传感器中的一个的预期的聚类的改变;以及落在所述多个传感器中的两个传感器的预期的相关外部的、所述多个传感器中的所述两个传感器之间的所述当前的操作数据的变化。
Description
技术领域
本公开一般地涉及一种用于检测网络攻击的系统和方法,并且更具体地涉及适用于复杂工业控制系统的这种系统和方法。
背景技术
工业控制系统(Industrial Control System,ICS)用于控制制造工业、发电工业以及其它关键基础设施、包括电力传输和分配、石油和天然气生产、炼油厂运营、水处理系统、废水收集系统和管道输送系统中的操作。工业控制系统可能非常复杂,包括几十个、要不几百个不同的部件。
ICS的关键作用使其成为网络攻击的重要目标,这些网络攻击的目标可能是干扰这些系统中的任意一个。
发明内容
保护工业系统免受网络攻击的方法包括:从多个传感器收集初始操作数据,每个传感器位于所述工业系统内,并且能够操作以用于监视所述工业系统的操作参数。所述方法还包括:分析所述初始操作数据,以开发程序,所述程序包括:时间序列数据库、基于聚类的数据库、以及相关数据库,所述时间序列数据库包括每个操作参数的预期操作范围,所述基于聚类的数据库包括具有相似性的操作参数的聚类,所述相关数据库包括在其初始操作数据中显示相关的成对的操作参数。所述方法还包括:在计算机中运行包括所述时间序列数据库、所述基于聚类的数据库和所述相关数据库的所述程序,所述程序能够操作以用于接收当前的操作数据,并且从所述时间序列数据库、所述基于聚类的数据库和所述相关数据库中的每一个的角度,来分析所述当前的操作数据。所述方法还包括:响应于对所述当前的操作数据的分析触发警报,所述当前的操作数据指示预期的范围外部的操作参数、预期的聚类的改变以及相关的变化中的至少一个。
在另一种构造中,用于针对网络攻击监视工业系统的系统包括:工业控制系统,所述工业控制系统包括多个执行器、多个传感器以及边缘设备,每个传感器被布置为测量多个操作参数中的一个;以及计算机,所述计算机包括数据存储设备,在所述数据存储设备上存储有程序,所述程序包括时间序列数据库、基于聚类的数据库和相关数据库中的每一个,所述时间序列数据库包括每个操作参数的预期的操作范围,所述基于聚类的数据库包括具有相似性的操作参数的聚类,所述相关数据库包括显示相关的操作参数对。警报系统能够操作以用于,响应于当前的操作数据包括如下各项而启动警报:来自所述多个传感器中的一个的、落在预期的范围外部的测量值;基于来自所述多个传感器中的每一个的所述当前的操作数据的、所述多个传感器中的一个的预期的聚类的改变;以及落在所述多个传感器中的两个传感器的预期的相关外部的、所述多个传感器中的所述两个传感器之间的所述当前的操作数据的变化。
前述内容已经相当广泛地概述了本公开的技术特征,从而本领域技术人员可以更好地理解下面的详细描述。下面将描述形成权利要求的主题的本公开的附加特征和优点。本领域技术人员将理解,他们可以容易地使用所公开的概念和特定实施例作为基础,来修改或设计用于实现本公开的相同目的的其它结构。本领域技术人员还将认识到,这些等效构造不脱离本公开的最广泛形式的精神和范围。
同样,在进行下面的详细描述之前,应当理解,在整个说明书中提供了某些单词和短语的各种定义,并且本领域普通技术人员将理解,这些定义适用于所定义的这些单词和短语的先前以及将来使用的许多、要不大多数实例。虽然一些术语可能包括各种各样的实施例,但是所附权利要求可能明确地将这些术语限制到特定的实施例。
附图说明
图1是与外部数据存储设备通信的两个工业控制系统的示意图。
图2是从监视图1的工业控制系统开始的算法训练和程序操作的示意图。
图3是计算机系统的示意图。
在详细说明本发明的任何实施例之前,应当理解,本发明的应用不限于在下面的描述中阐述或在下面的附图中示出的构造的细节和部件的布置。本发明能够具有其它实施例,并且能够以各种方式实践或执行。同样,应当理解,这里使用的措词和术语用于描述的目的,而不应当被视为是限制性的。
具体实施方式
现在,参考附图描述与系统和方法有关的各种技术,在所有附图中,相似的附图标记表示相似的元素。下面讨论的附图以及在本专利文献中用于描述本公开的原理的各种实施例仅仅是示例性的,而不应当以任何方式解释为限制本公开的范围。本领域技术人员将理解,可以在任何适当地布置的设备中实现本公开的原理。应当理解,被描述为由某些系统元件执行的功能可能由多个元件执行。类似地,例如,一个元件可以被配置为执行被描述为由多个元件执行的功能。将参照非限制性的示例性实施例,描述本申请的众多创新性教导。
此外,应当理解,除非在一些示例中明确地限制,否则这里使用的词语或短语应当广义地进行解释。例如,术语“包括”、“具有”和“包含”及其派生词意为包括、但不限于。除非上下文另外明确指出,否则单数形式“一”、“一个”和“该”旨在也包括复数形式。此外,这里使用的术语“和/或”是指并且涵盖所列出的相关联的项目中的一个或更多个的任意以及所有可能的组合。除非上下文另外明确指出,否则术语“或”是包括性的,意为和/或。短语“与...相关联”和“与其相关联”及其派生词可能意为包括、包括在…内、与…互连、包含、包含在…内、连接到或与…连接、耦合到或与…耦合、能够与…通信、与…协作、与…交织、并列、接近、绑定到或与…绑定、具有、具有…的性质等等。
此外,虽然这里可能使用术语“第一”,“第二”,“第三”等来指代各种元素、信息、功能或动作,但是这些元素、信息、功能或动作不应当受这些术语限制。相反,这些数字形容词用于彼此区分不同的元素、信息、功能或动作。例如,第一元素、信息、功能或动作可以称为第二元素、信息、功能或动作,并且类似地,第二元素、信息、功能或动作可以称为第一元素、信息、功能或动作,而不脱离本公开的范围。
另外,除非上下文另外明确指出,否则术语“邻近于”可能意为:一个元件相对地靠近另一个元件、但是不与该另一个元件接触;或者该元件与另一部分接触。此外,除非另外明确说明,否则短语“基于”旨在意为“至少部分基于”。术语“大约”或“基本上”或类似的术语旨在涵盖该尺寸在正常工业制造公差范围内的值的变化。如果没有行业标准可用,除非另外说明,否则百分之二十的变化将落在这些术语的含义之内。
诸如图1所示的系统的工业控制系统(ICS)10一般包括互连的嵌入式系统、例如可编程逻辑控制器(programmable logic controller,PLC)15、分布式控制系统(distributed control system,DCS)、监督控制和数据采集系统(supervisory controland data acquisition system,SCADA)20、执行器25、传感器30、通信设备、数据存储设备、存储器设备、人机接口设备等。其它工业控制系统10可以包括建筑物自动化控制器、路边/铁路边交通控制器、能源自动化控制器等。在分布式ICS 10中,多个控制器联合控制工业系统38的一个或多个物理过程或物理环境35。图1示出了物理环境35和工业系统38的控制元件,但是省略了实际处理设备。使用一系列传感器30、执行器25、交换机40、控制器等,用户或其它控制器可以监视各种物理系统35的状态,并且控制系统35对检测到的状态作出反应。另外,ICS 10包括可以为用户提供音频或视觉警报的一个或多个警报系统45。另外,可以设置数据记录系统,用于记录各种警报,以供稍后查看和研究。
在继续之前,应当注意,传感器30包括能够测量参数的任意设备。例如,热电偶或其它温度测量设备是测量温度的传感器30。压力传感器30可以测量和发送关于压力的数据。其它传感器30可以测量流速、速度、位置、方向、计数、密度、粘度、化学成分、电压、电阻、电流、功率、功率因数、状态等。传感器30的数量、类型和功能是广泛的。这样,术语“传感器”应当广义地理解为包括测量或确定参数的任意设备。
ICS 10可以包括一个或多个边缘设备50,其被布置为从各种传感器30或其它设备收集数据。在一些构造中,ICS 10用作边缘设备(例如西门子公司提供的具有MindConnect的Mindsphere使能的PLC(Mindsphere enabled PLC with MindConnect))。每个边缘设备50可以连接到数据总线或现场总线,数据总线或现场总线从与特定边缘设备50相关联的传感器30收集数据。边缘设备50还在ICS 10和存储数据的数据存储系统55之间提供通信。常见的边缘设备50包括、但不限于路由器、路由交换机、集成接入设备、多路复用器以及各种城域网和广域网接入设备。
诸如图1所示的系统的大型分布式ICS 10经常包括集中监视系统(例如SCADA)20或结合集中监视系统工作。ICS 10包括联合或单独控制物理过程35的联网的控制器(PLC15和/或DCS),其中,各个控制器15的动作部分地相互依赖。特别是,由一个控制器15发起的动作可以改变将在其它控制器15的传感器读数中表示的系统状态。这意味着,所有控制器15通过受控的物理系统38的物理动态彼此间接地连接。集中监视系统20于是作为高等级ICS控制器控制联网的控制器15。
图1示出了两个分布式ICS 10,详细示出了其中一个。详细的ICS 10包括两个PLC15形式的网络控制器,每个网络控制器控制一个单独的物理过程35。在每个物理过程35内,PLC 15与交换机40、边缘设备50、传感器30、执行器25等进行通信,以便控制物理过程35。PLC 15中的每一个还与SCADA控制器20形式的高等级ICS控制器进行通信。SCADA控制器20和边缘设备50可以与诸如Mindsphere的云数据存储系统、另一个基于云的系统、本地或远程数据存储设备或者可能希望的任意其它合适的数据存储设备55进行通信。第二ICS 10也与希望的数据存储设备55进行通信,并且包括与关于第一ICS 10描述的部件类似的部件。
在ICS 10的一种构造中,电厂形式的工业系统38包括几个操作单元,每个操作单元向开关场(switchyard)提供电力,然后开关场(switchyard)连接到公用电网或网络。可以设置DCS或PLC 15系统,用于利用操作锅炉的单独的PLC 15或具有监视或控制操作单元本身的一个或多个SCADA系统20的燃料供应系统,来操作每个操作单元。在控制开关场时,可能涉及又一个DCS或PLC 15。最后,公用电网(utility)可以具有与开关场DCS或PLC 15和电厂SCADA系统20接口的重叠(overriding)控制系统。因此,虽然各种控制系统的改变可能影响其它部件,但是这不是直接影响。例如,公用电网控制系统可以从SCADA系统20请求增加功率,但是其不能直接移动任意操作单元的控制阀。将留由SCADA系统20来决定如何递送附加的功率。
(图2所示的)检测系统60提供用于检测可能由网络攻击或其它未授权的访问引起的ICS异常行为的系统框架,并且还向操作员提供可解释的警报消息。典型的恶意事件可能包括可能改变物理过程35的状态的对发送到物理设备(执行器25)的控制命令/设置的未授权的更改,以及可能导致部件或各种系统的操作不正确的其它不希望的攻击。网络攻击可能损害分布式ICS 10中的控制器中的一个(或者小的子集)。例如,在地理上分布的ICS 10中,网络攻击者可能经由公共通信介质,对电厂的远程位置的一些控制器进行物理访问。
网络攻击者可以利用静态或动态攻击技术来获得对控制器的控制。在静态攻击中,网络攻击者例如经由恶意软件更新或覆盖控制应用程序,来替换控制器的软件(固件或控制逻辑)。动态攻击基于在运行时注入新的代码,由此通过面向返回的编程或面向数据的编程来操纵已有代码的行为。
历史上在信息技术(information technology,IT)安全中使用两种主要类型的入侵检测方法。基于签名的入侵检测系统专注于从先前的攻击中提取“不良模式”,并且在将来检测类似的攻击。行为入侵检测系统或基于异常的入侵检测系统专注于检测与所选择和监视的关键性能指标(key performance indicator,KPI)的已知基准的偏差。监视的典型的KPI可以包括以kbps为单位的通信量、通信方向以及典型的连接源/目的地等。另外,IT也可能包括在用于所使用的工业协议的OSI堆栈的应用层观察到的数据。IT安全解决方案已经被适配为用于ICS 10,并且可以用于检测一些常见的攻击,例如数据欺骗(spoofing)等。然而,与IT系统不同,ICS 10对物理世界有直接影响,并且从物理世界接收反馈。许多复杂的ICS攻击的目标,是通过在网络系统中维持正常行为的同时更改过程变量,来破坏关键基础架构。传统的IT安全解决方案无法直接检测到这种攻击。
机器学习方法可以通过增加检测从过程变量/IO中观察到的值(例如传感器30、执行器值等)上的偏差的能力,来提高检测工业系统38中的网络攻击的能力。这些系统一般被分类为有监督的和无监督的。
有监督系统或方法假设人类专家可以将样本数据标记为“正常”或“攻击”。然后,这些方法可以提取两个类别的模式。如果训练数据组包含足够的信息,则可以将这种方法扩展到多类别场景,并且这种方法可以识别攻击的类型。然而,人类专家无法总是将样本数据标记为“正常”或“攻击”,从而这些方法无法检测在训练样本中没有看到或者在训练时未知的攻击。
无监督方法在训练过程期间不需要标签信息。这种方法中的一个类别假设异常事件在训练过程中很少发生,并且它们与大多数数据有很大的偏差。然而,在实际生产中常见的是,系统在训练期间不访问任何攻击数据。因此,另一个类别根据时间序列模式或者基于一个类别的方法,来建立基准模型。由于数据样本的多样性,基于一个类别的方法趋于产生很高的假警报率或误报率。
为了解决上面提到的挑战,可以使用诸如图2所示的混合无监督机器学习检测系统或方法60来监视ICS 10中的过程变量。一般在现场总线中或者使用人机接口(Human-Machine Interface,HMI)从传感器30收集过程变量。图2的混合系统60包括三个无监督机器学习模型的组合,并且从三个不同方面监视过程变量。来自过程变量监视的不同方面的模型的组合,通过使用不同的模型来验证来自多个输出的结果,来降低高的假警报率。
如将要讨论的,可以在计算机或其它数据处理系统400中实现图2的系统60。图3示出了一个这样的数据处理系统400的示例,利用该数据处理系统400,可以实现这里描述的混合系统60的一个或多个实施例。例如,在一些实施例中,至少一个处理器401(例如CPU)可以连接到一个或多个桥/控制器/总线402(例如北桥、南桥)。总线中的一个例如可以包括诸如PCI Express总线的一个或多个I/O总线。在所描绘的示例中连接到各种总线的还可以包括处理器存储器116(例如RAM)和图形控制器404。图形控制器404可以生成驱动显示设备65的视频信号。还应当注意,CPU形式的处理器401可以在其中包括诸如CPU高速缓冲存储器的存储器。此外,在一些实施例中,一个或多个控制器(例如图形、南桥)可以与CPU集成(在同一芯片或电路片(die)上)。CPU架构的示例包括IA-32、x86-64和ARM处理器架构。
连接到一个或多个总线的其它外围设备可以包括通信控制器406(以太网控制器、WiFi控制器、蜂窝控制器),其可操作以用于连接到诸如局域网(local area network,LAN)、广域网(Wide Area Network,WAN)、因特网、蜂窝网络的网络408和/或任意其它有线或无线网络或通信设备。
连接到各种总线的其它部件可以包括一个或多个I/O控制器410、例如USB控制器、蓝牙控制器和/或专用音频控制器(连接到扬声器和/或麦克风)。还应当理解,各种外围设备可以(经由各种端口和连接)连接到(多个)I/O控制器,包括输入设备411、输出设备412(例如打印机、扬声器)或者可操作以用于向数据处理系统提供输入和/或接收来自数据处理系统的输出的任意其它类型的设备。
此外,应当理解,称为输入设备或输出设备的许多设备可以既提供输入,又接收与数据处理系统的通信的输出。例如,处理器401可以集成到包括用作输入设备和显示设备两者的触摸屏的壳体(例如平板计算机)中。此外,应当理解,一些输入设备(例如膝上型计算机)可以包括多种不同类型的输入设备(例如触摸屏、触摸垫和键盘)。此外,应当理解,连接到I/O控制器410的其它外围硬件414可以包括被配置为与数据处理系统通信的任意类型的设备、装置、传感器或部件。
连接到各种总线的附加部件可以包括一个或多个存储控制器416(例如SATA)。存储控制器可以连接到数据存储设备55、例如一个或多个存储驱动器和/或任意相关联的可移动介质。此外,在一些示例中,诸如NVMe M.2SSD的数据存储可以直接连接到诸如PCIExpress总线的I/O总线402。
根据本公开的实施例的数据处理系统可以包括操作系统418。这种操作系统可以采用命令行接口(command line interface,CLI)shell和/或图形用户接口(graphicaluser interface,GUI)shell。GUI shell允许同时在图形用户接口中呈现多个显示窗口,其中,每个显示窗口提供到不同的应用或者到同一应用的不同的实例的接口。用户可以通过诸如鼠标或触摸屏的指示设备来操纵图形用户接口中的光标或指针。可以改变光标/指针的位置,和/或可以生成诸如点击鼠标按钮或触摸触摸屏的事件,以启动希望的响应。在数据处理系统中可以使用的操作系统的示例可以包括Microsoft Windows、Linux、UNIX、iOS、macOS和Android操作系统。
数据处理系统400还可以包括与数据库420对应的一个或多个数据存储55,或者可操作用于与一个或多个数据存储55通信。处理器401可以被配置为管理、检索、生成、使用、修改并且存储来自数据库420/数据库420中的数据、可执行指令和/或这里描述的其它信息。数据库的示例可以包括存储在关系数据库(例如Oracle、Microsoft SQL Server)中的文件和/或记录,其可以由处理器401执行,或者可以在经由网络408连接的第二数据处理系统中执行。
应当理解,数据处理系统400可以直接或通过网络408与诸如服务器422的一个或多个另外的数据处理系统(其组合可以对应于更大的数据处理系统)连接。例如,较大的数据处理系统可以对应于作为分布式系统的部分实现的多个较小的数据处理系统,在分布式系统中,与几个较小的数据处理系统相关联的处理器可以通过一个或多个网络连接进行通信,并且可以共同执行描述为由单个较大的数据处理系统执行的任务。因此,应当理解,当称为数据处理系统时,这种系统可以跨在分布式系统中组织的、经由网络彼此通信的几个数据处理系统来实现。
另外,应当理解,数据处理系统可以包括执行可执行指令的虚拟机架构或云环境中的虚拟机。例如,处理器和相关联的部件可以对应于在物理数据处理系统的一个或多个物理处理器中工作的虚拟机的一个或多个虚拟机处理器的组合。虚拟机架构的示例包括VMware ESCi、Microsoft Hyper-V、Xen和KVM。此外,所描述的可执行指令可以被捆绑为在诸如Docker的容器化环境中可执行的容器。
此外,应当注意,这里描述的处理器可以对应于位于远离这里描述的显示和输入设备的诸如服务器的数据处理系统中的远程处理器。在这样的示例中,所描述的显示设备和输入设备可以包括在客户端数据处理系统(其可以具有其自己的处理器)中,客户端数据处理系统通过有线或无线网络(其可以包括因特网)与服务器(其包括远程处理器)进行通信。在一些实施例中,这样的客户端数据处理系统例如可以执行远程桌面应用,或者可以对应于利用服务器执行远程桌面协议的门户设备,以便将来自输入设备的输入发送到服务器,并且从服务器接收视觉信息,以通过显示设备显示。这样的远程桌面协议的示例包括Teradici的PCoIP、Microsoft的RDP以及RFB协议。在另一个示例中,这样的客户端数据处理系统可以执行web(网络)浏览器或瘦客户端应用。可以从web浏览器或瘦客户端应用传输来自用户的输入,以便在服务器上进行评估,由服务器进行渲染,并且将图像(或一系列图像)发送回客户端数据处理系统,以由web浏览器或瘦客户端应用显示。此外,在一些示例中,这里描述的远程处理器可以对应于在服务器的物理处理器中执行的虚拟机的虚拟处理器的组合。
本领域普通技术人员将理解,针对数据处理系统描述的硬件和软件可以针对特定实现变化。提供所描述的示例,仅用于说明的目的,而不意味着暗示针对本公开的架构限制。此外,本领域技术人员将认识到,为了简单和清楚起见,这里没有描绘或描述适合与本公开一起使用的所有数据处理系统的完整结构和操作。相反,仅描绘和描述了本公开独有的或理解本公开所需要的数据处理系统的部分。数据处理系统400的其余构造和操作可以符合本领域已知的当前的各种实现和实践中的任意一种。
如这里所使用的,术语“部件”和“系统”旨在涵盖硬件、软件或者硬件和软件的组合。因此,例如,系统或部件可以是进程、在处理器上执行的进程或者处理器。另外,部件或系统可以位于单个设备上,或者可以分布在几个设备上。
众所周知,本发明的软件方面可以存储在几乎任意的计算机可读介质上,包括本地磁盘驱动系统、远程服务器、因特网或基于云的存储位置。另外,根据需要,可以按照需要将各方面存储在便携式设备或存储器设备上。计算机400通常包括输入/输出设备、一个或多个处理器、存储器设备、用户输入设备以及诸如监视器、打印机等的输出设备,输入/输出设备允许对软件进行访问,而不管软件存储在何处。
处理器401可以包括标准微处理器,或者可以包括专门设计用于执行诸如人工神经网络、机器视觉和机器学习的人工智能应用的人工智能加速器或处理器。典型的应用包括用于机器人、物联网(internet of things)以及其它数据密集的或传感器驱动的任务的算法。AI加速器经常是多核设计,并且通常专注于低精度运算、新颖的数据流架构或内存中计算能力(in-memory computing capability)。在其它应用中,处理器401可以包括图形处理单元(graphics processing unit,GPU),其被设计为用于图像的操纵和局部图像特性的计算。神经网络和图像操纵的数学基础是类似的,使得GPU越来越多地用于机器学习任务。当然,如果希望,可以采用其它处理器或布置。其它选项包括、但是不限于现场可编程门阵列(field-programmable gate array,FPGA)、专用集成电路(application-specificintegrated circuit,ASIC)等。
计算机400还包括通信设备,通信设备可以允许其它计算机或计算机网络之间的通信以及与诸如机床、工作站、执行器、控制器、传感器等的其它设备的通信。
图2的混合系统60在以下两个阶段中的一个中工作:训练阶段70和部署阶段75。在训练阶段70(图2的左侧)中,边缘设备50(图1)直接或者从现场总线收集数据,并且将该数据上传到Mindsphere、另一个云存储系统、本地硬盘驱动器、服务器或者任意其它合适的数据存储介质55。一旦进行了收集,包括算法的计算机程序或应用对数据进行分析,以提取基准模式,然后一般将基准模式作为收集的数据存储在同一数据存储系统55中。
计算机400可以将与相应的边缘设备55相关联的模式发送到边缘设备55,以进行监视。边缘设备55可以计算结果,并且监视其可以访问的设备,并且可以将数据和结果上传到数据存储设备55。如果希望,数据存储设备55和计算机400也可以针对整个系统10计算结果。数据存储设备55和计算机400也可以从类似的ICS 10接收数据,以提高在训练中使用的数据多样性以及操作系统的效率。还应当注意,为了训练的目的,假定系统或应用60接收有效的训练数据,并且针对网络攻击或者表示或包括网络攻击的结果的数据,受到良好的保护。
为了使应用60更具可扩缩性,训练70的第一步骤是基于子系统的相互依赖性,将整个ICS 10划分为子系统。该任务可以通过相关分析来实现,这既耗时,又数据效率低下。一种替换方法是从领域专家80收集输入,以显著减少用于该过程的工作量。对于识别出的每个子系统,构造三个主要部件或数据库85、90、95,其中,三个部件85、90、95中的每一个描述一种特定的系统模式。
快速时间序列模式提取和查询算法将所有模式记录在训练数据组中,以定义第一主要部件或数据库85。例如,可以使用应用来提取时间序列数据的所有符号模式。使用的算法可以是单变量或多变量的。ICS 10中的许多过程变量描述产生重复模式的重复控制模式。传统的基于统计的时间序列分析(例如自回归模型)的局限性要求时间序列是固定的,而这在ICS 10中不完全是这样。例如,在操作激光切割机进行批量生产时,当前作业的完成时间和接下来的材料的到达时间之间的时间间隔可能不相同。然而,当机器接收到材料时,其将针对同一批次执行相同的操作。模式提取算法可以检测重复的模式,并且将它们存储在数据存储设备55中的第一部件或数据库85中。
基于聚类(clustering)的异常检测算法确定训练数据组的分割,以定义第二主要部件或数据库90。聚类算法将每个时间点的过程数据视为一个样本。样本的维数是过程变量的数量。例如,k均值算法或DBSCAN算法利用一定数量的聚类对所有训练数据进行分割。基于一个类别的异常检测算法要求数据全部从相同的分布生成,然而,在ICS 10中不是这种情况,ICS 10包括多个状态,并且不能包含在单个类别中。基于聚类的算法可以通过定义适当数量的状态并且将每个数据点分配给一个聚类,来处理该问题。
相关算法监视变量之间的互相关。这种算法找到整个系统中的成对相关的过程变量,并且定义第三主要部件或数据库95。
如前面所指出的,用于训练或开发三个主要部件85、90、95的数据优选是来自ICS10本身或类似的ICS 10的实际操作数据,并且不包括任何指示网络攻击或其它异常的数据。换句话说,所使用的数据优选是指示ICS 10的正常操作的干净的操作数据。
为了实现应用60,首先如刚刚描述的,在历史正常操作数据上对三个主要部件85、90、95进行训练。在训练过程70之后,生成三个数据库85、90、95:用于正常操作的时间序列模式数据库85;用于每个聚类内的样本分布的聚类中心数据库90;以及所有相关的过程变量的数据库95及它们相应的时间滞后。数据库85、90、95中的每一个都存储在数据存储介质55中,并且可以根据需要由计算机400和应用60访问。
当在训练70之后实现应用60时,(由三个数据库85、90、95表示的)三个主要部件协同工作,以监视被分配了应用60的整个ICS 10或多个ICS 10的行为。
在部署阶段75中,使用滑动窗口来捕获时间序列数据的间隔,并且将该滑动窗口的数据与时间序列模式数据库85中的数据模式进行比较。如果所捕获的数据显示与时间序列模式数据库偏离的模式,则系统60将发出警报,并且提供指示异常过程变量和警报原因的信息。在一些构造中,该过程主要在边缘设备50中进行。另外,应当注意,并非所有检测到的偏离都会触发警报。相反,一些可变性是允许的,并且仅一定幅度的偏离会触发警报。触发警报所需的幅度可能因变量而异,从而一个变量的百分之十的偏离可能不触发警报,而另一个变量如果偏离大于百分之一,则可能触发警报。
第二主要部件90包括基于聚类的分析。基于训练,将数据分配给各个聚类。然后,使用操作数据来提取某些测量值,这些测量值描述从相应的聚类中提取这些点的可能性。如果新数据适合预先定义的聚类的可能性低,则系统60可以发出警报。此外,系统60将计算到最近的聚类中心的距离,并且识别对偏离最有贡献的特征。该过程优选在边缘设备50或计算机400中进行。边缘设备55监视它们有权访问的设备,而计算机400可以监视与ICS10相关联的任意设备。因此,使用计算机400来监视跨不同的边缘设备50的设备。
第三主要部件95包括所记录的对(pair)之间的相关分析。在相关分析中,使用训练数据来识别相关的变量对。例如,发电机的频率输出与发电机的转速直接相关。因此,速度和频率的一对一相关将被存储为相关对(correlation pair)。使用操作数据来计算相关对,并且将该数据与相关数据库95内的信息进行比较。如果任何相关偏离数据库95中的基准相关值,则系统60可以发出警报。该过程在边缘设备50或计算机400中进行。边缘设备50可以监视其有权访问的设备,而计算机400可以监视整个ICS 10上共同的边缘设备50不监视的设备。另外,应当注意,并非在聚类分析或相关分析中检测到的所有偏离都触发警报。相反,一些可变性是允许的,并且仅一定幅度的偏离触发警报。触发警报所需的幅度可能因聚类而异,或者在不同的相关对之间有所不同,从而一种情形的百分之十的偏离可能不触发警报,而另一种情形如果偏离大于百分之一,则可能触发警报。
如果检测到异常或网络攻击,则可以将该数据反馈到程序60中,以进一步训练程序60在将来再次发生攻击时,快速地识别出攻击。另外,可以使用该数据来训练其它系统,以帮助它们快速地检测攻击。应当注意,上面描述的数据和过程通常足以检测大多数过程异常,但是可能无法将异常与网络安全事件相关联。为了确定异常是否是网络攻击,系统将输出数据与从位于同一网络上的外部IDS(或异常检测)系统收集的安全事件相关。该安全相关步骤是最后的步骤,在该步骤中,在相关过程中仅融合或合并安全数据,以便区分单纯的过程异常(例如传感器或执行器故障)与由于网络安全事件引起的事件。为此,可以与附加的数据源一起,例如安全事件日志(例如防火墙日志、操作系统日志)、网络通信元数据、端点安全日志(例如EDR代理日志、基于主机的防火墙日志)、来自网络IDS/IPS/行为检测设备的安全事件、IIoT/嵌入式设备日志(例如PLC诊断缓冲器和安全事件日志)、DCS/控制系统事件日志(例如工程日志、HMI日志)等,来使用时间和特殊相关两者。
混合模型60提供时间模式和关于ICS系统10的基于相关的信息两者。为了成功进行网络攻击,攻击者必须绕过若干个检测器,这增加了被检测到的难度和可能性。具体地,混合系统60提供混合检测,从而成功的攻击需要绕过每个检测机制或数据库85、90、95,并且每个机制与其它机制独立地工作。使用混合模型60的另一个优点是,应用60提供系统10的多个视角,并且可以使用应用60,基于领域知识,来进行进一步的分析。
在一个示例中,根据相关分析,攻击场景使单个传感器30行为不正确。在该示例中,传感器行为有两种可能的原因。传感器30或者控制器与传感器30之间的通信链路受损或发生故障,或者由传感器30监视的执行器25或其它设备受损或发生故障。
单独利用聚类分析,难以决定所测量的传感器行为的可能的原因中的哪一个是实际原因。然而,使用图2的应用,相关分析和时间序列模式可以提供关于该传感器30的附加信息。具体地,应用60确定与传感器30相关联的执行器25是否仍然与传感器30保持稳定的相关,但是时间序列模式发生了变化。如果是这种情况,则传感器30反映关于执行器25的正确信息,并且很可能执行器25受到了攻击或发生故障。另一方面,如果执行器25和传感器30之间的相关发生了显著的变化,而从时间序列的角度来看,执行器行为看起来是正常的,则很可能传感器30受到了攻击或发生故障。这种分析可以由领域专家80人工进行,或者计算机400可以使用推理规则引擎来进行分析。
应用60不需要对抗样本(例如已知的网络攻击)来建立或训练监视系统。因此,通过组合来自不同模型输出的结果,应用60能够以降低的假警报可能性,检测先前未见或未知的网络攻击。
另外,应用60提供可解释的结果,该结果可以用于可能不具有IT安全领域知识的操作员(例如发电厂中的燃气轮机操作员)执行的动作项。与基于单个方法的异常检测算法相比,应用60更具有鲁棒性,并且使黑客更难在不被检测到的情况下攻击ICS 10。
应用60的另一个优点是如下能力,即,能够识别并且提取可以提供关于异常的准确信息的模式。例如,特定异常可能对多个传感器30产生特定影响。如果再次发生这种模式,则可以存储并且立即识别出这种模式。与其它监视技术相比,立即识别将更快地识别出异常的原因。
这是一种无监督方法,其假设系统60在训练阶段70期间未接收到任何关于潜在攻击的信息。聚类分析、时间序列模式挖掘和相关分析仅从正常操作中提取模式。与通过组合来自多个模型的结果来提高整体模型性能的集成方法(ensemble method)的思想类似,来自混合应用的一个模型85、90、95的输出提供对其它模型85、90、95的补充信息。因此,任何偏离基准模式的攻击,包括受损的传感器30发送错误的信息或者执行器25执行恶意命令,都可以发出警报。
时间序列模式匹配可以指出哪个传感器30或执行器25引起了警报;聚类分析可以找到引起偏离的主要因素;相关分析发现偏离的对。组合的解释可以为逻辑推理和根本原因分析提供附加的信息。
可以在边缘设备50中实现时间序列模式挖掘,因此,即使边缘设备50和计算机400之间的通信中断,系统60也将继续工作。此外,将来自多种方法85、90、95的结果组合,也可以提高系统60的鲁棒性。
ICS 10可能不是固定的,并且仅预编程的动作将反映重复的模式。与假设固定的时间序列分析方法相比,基于模式提取的方法不假设固定,而仅提取重复模式,用于监视的目的。
虽然详细描述了本公开的示例性实施例,但是本领域技术人员将理解,可以进行这里公开的各种改变、替换、变化和改进,而不脱离本公开的最广泛的形式的精神和范围。
本申请中的任何描述都不应当理解为暗示任意特定的元素、步骤、动作或功能是必须包含在权利要求范围内的必不可少的元素:请求保护的主题的范围仅由允许的权利要求来限定。此外,除非确切的词“用于……的装置”后面紧跟分词,否则这些权利要求中的任何一个都不旨在调用装置加功能权利要求的构造。
Claims (24)
1.一种保护工业系统免受网络攻击的方法,所述方法包括:
从多个传感器收集初始操作数据,每个传感器位于所述工业系统内,并且能够操作以用于监视所述工业系统的操作参数;
分析所述初始操作数据,以开发程序,所述程序包括:时间序列数据库、基于聚类的数据库、以及相关数据库,所述时间序列数据库包括每个操作参数的预期操作范围,所述基于聚类的数据库包括具有相似性的操作参数的聚类,所述相关数据库包括在其初始操作数据中显示相关的成对的操作参数;
在计算机中运行包括所述时间序列数据库、所述基于聚类的数据库和所述相关数据库的所述程序,所述程序能够操作以用于接收当前的操作数据,并且从所述时间序列数据库、所述基于聚类的数据库和所述相关数据库中的每一个的角度,来分析所述当前的操作数据;以及
响应于对所述当前的操作数据的分析触发警报,所述当前的操作数据指示预期的范围外部的操作参数、预期的聚类的改变以及相关的变化中的至少一个。
2.根据权利要求1所述的方法,其中,所述工业系统包括多个边缘设备,每个边缘设备被布置为从所述多个传感器中的一部分收集数据,每个边缘设备能够操作以用于与所述程序进行通信,以从所述多个传感器中的其相应的部分递送所述当前的操作数据。
3.根据权利要求2所述的方法,其中,每个边缘设备包括所述时间序列数据库,并且每个边缘设备进行操作以分析由所述边缘设备接收到的当前的操作数据,以确定任何测量的操作参数是否在预期的范围外部。
4.根据权利要求3所述的方法,其中,每个边缘设备包括所述相关数据库,并且每个边缘设备进行操作以分析由所述边缘设备接收到的当前的操作数据,以确定任何一对测量的操作数据是否偏离所述相关数据库中的已知的相关。
5.根据权利要求4所述的方法,其中,每个边缘设备包括所述基于聚类的数据库,并且每个边缘设备进行操作以分析由所述边缘设备接收到的当前的操作数据,以确定任何测量的数据是否偏离所述基于聚类的数据库中的已知的聚类。
6.根据权利要求1所述的方法,其中,触发警报包括:响应于检测到在所述预期的范围外部的所述操作参数,指示最偏离的操作参数和偏离的时间帧。
7.根据权利要求1所述的方法,其中,触发警报包括:响应于检测到所述预期的聚类的改变,指示最偏离的操作参数。
8.根据权利要求1所述的方法,其中,触发警报包括:响应于检测到所述相关的变化,指示最偏离的操作参数对。
9.根据权利要求1所述的方法,其中,已知所述初始操作数据没有任何受网络攻击影响的数据。
10.根据权利要求1所述的方法,还包括用于存储检测到的安全事件的相关数据库。
11.根据权利要求10所述的方法,还包括:将所述相关数据库中的安全事件与检测到的警报相关,以确定检测到的异常是否是与安全攻击有关、而不是与过程控制异常有关。
12.一种利用处理器可执行的指令编码的非暂时性计算机可读介质,当由至少一个处理器执行时,所述指令使所述至少一个处理器执行根据权利要求1-9中任一项所述的保护工业系统免受网络攻击的方法。
13.一种用于针对网络攻击监视工业系统的系统,所述系统包括:
工业控制系统,所述工业控制系统包括多个执行器、多个传感器以及边缘设备,每个传感器被布置为测量多个操作参数中的一个;
计算机,所述计算机包括数据存储设备,在所述数据存储设备上存储有程序,所述程序包括时间序列数据库、基于聚类的数据库和相关数据库中的每一个,所述时间序列数据库包括每个操作参数的预期的操作范围,所述基于聚类的数据库包括具有相似性的操作参数的聚类,所述相关数据库包括显示相关的操作参数对;以及
警报系统,所述警报系统能够操以作用于,响应于当前的操作数据包括以下各项而启动警报:来自所述多个传感器中的一个的、落在预期的范围外部的测量值;基于来自所述多个传感器中的每一个的所述当前的操作数据的、所述多个传感器中的一个的预期的聚类的改变;以及落在所述多个传感器中的两个传感器的预期的相关外部的、所述多个传感器中的所述两个传感器之间的所述当前的操作数据的变化。
14.根据权利要求13所述的系统,其中,所述数据存储设备包括由所述多个传感器收集的初始操作数据,以及其中,所述计算机分析所述初始操作数据,以填充所述时间序列数据库、所述基于聚类的数据库和所述相关数据库。
15.根据权利要求14所述的系统,其中,已知所述初始操作数据没有任何受网络攻击影响的数据。
16.根据权利要求13所述的系统,其中,所述边缘设备是多个边缘设备中的一个,以及其中,每个边缘设备被布置为从所述多个传感器中的一部分收集数据,每个边缘设备能够操作以用于与所述计算机进行通信,以从所述多个传感器中的其相应的部分递送所述当前的操作数据。
17.根据权利要求16所述的系统,其中,每个边缘设备包括所述时间序列数据库,并且每个边缘设备进行操作以分析由所述边缘设备接收到的当前的操作数据,以确定任何测量的操作参数是否在预期的范围外部。
18.根据权利要求17所述的系统,其中,每个边缘设备包括所述相关数据库,并且每个边缘设备进行操作以分析由所述边缘设备接收到的当前的操作数据,以确定任何一对测量的操作数据是否偏离所述相关数据库中的已知的相关。
19.根据权利要求18所述的系统,其中,每个边缘设备包括所述基于聚类的数据库,并且每个边缘设备进行操作以分析由所述边缘设备接收到的当前的操作数据,以确定任何测量的数据是否偏离所述基于聚类的数据库中的已知的聚类。
20.根据权利要求13所述的系统,其中,警报包括:响应于检测到在所述预期的范围外部的所述操作参数,指示最偏离的操作参数和偏离的时间帧。
21.根据权利要求13所述的系统,其中,警报包括:响应于检测到所述预期的聚类的改变,指示最偏离的操作参数。
22.根据权利要求13所述的系统,其中,警报包括:响应于检测到所述相关的变化,指示最偏离的操作参数对。
23.根据权利要求13所述的系统,还包括用于存储检测到的安全事件的相关数据库。
24.根据权利要求23所述的系统,还包括:将所述相关数据库中的安全事件与检测到的警报相关,以确定检测到的异常是否是与安全攻击有关、而不是与过程控制异常有关。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862695873P | 2018-07-10 | 2018-07-10 | |
US62/695,873 | 2018-07-10 | ||
PCT/US2019/037600 WO2020013958A1 (en) | 2018-07-10 | 2019-06-18 | Hybrid unsupervised machine learning framework for industrial control system intrusion detection |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112840616A true CN112840616A (zh) | 2021-05-25 |
Family
ID=67220865
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980057668.0A Pending CN112840616A (zh) | 2018-07-10 | 2019-06-18 | 用于工业控制系统入侵检测的混合无监督机器学习框架 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11924227B2 (zh) |
EP (1) | EP3804271B1 (zh) |
CN (1) | CN112840616A (zh) |
WO (1) | WO2020013958A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113341870A (zh) * | 2021-06-24 | 2021-09-03 | 上海交通大学宁波人工智能研究院 | 一种控制代码异常识别的系统和方法 |
CN113904838A (zh) * | 2021-09-30 | 2022-01-07 | 北京天融信网络安全技术有限公司 | 一种传感器数据检测方法、装置、电子设备及存储介质 |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111709022B (zh) * | 2020-06-16 | 2022-08-19 | 桂林电子科技大学 | 基于ap聚类与因果关系的混合报警关联方法 |
US11740618B2 (en) | 2021-04-23 | 2023-08-29 | General Electric Company | Systems and methods for global cyber-attack or fault detection model |
CN114172715B (zh) * | 2021-12-02 | 2023-06-30 | 上海交通大学宁波人工智能研究院 | 一种基于安全多方计算的工控入侵检测系统及方法 |
US11726468B1 (en) | 2023-01-19 | 2023-08-15 | Ix-Den Ltd. | Fully automated anomaly detection system and method |
CN116304959B (zh) * | 2023-05-24 | 2023-08-15 | 山东省计算中心(国家超级计算济南中心) | 一种用于工业控制系统的对抗样本攻击防御方法及系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160330225A1 (en) * | 2014-01-13 | 2016-11-10 | Brightsource Industries (Israel) Ltd. | Systems, Methods, and Devices for Detecting Anomalies in an Industrial Control System |
CN106502234A (zh) * | 2016-10-17 | 2017-03-15 | 重庆邮电大学 | 基于双轮廓模型的工业控制系统异常检测方法 |
US20170230410A1 (en) * | 2016-02-10 | 2017-08-10 | Accenture Global Solutions Limited | Telemetry Analysis System for Physical Process Anomaly Detection |
US20170323389A1 (en) * | 2016-05-05 | 2017-11-09 | Sensormatic Electronics, LLC | Method and Apparatus for Evaluating Risk Based on Sensor Monitoring |
US9843594B1 (en) * | 2014-10-28 | 2017-12-12 | Symantec Corporation | Systems and methods for detecting anomalous messages in automobile networks |
CN108093406A (zh) * | 2017-11-29 | 2018-05-29 | 重庆邮电大学 | 一种基于集成学习的无线传感网入侵检测方法 |
US20180191758A1 (en) * | 2017-01-03 | 2018-07-05 | General Electric Company | Cluster-based decision boundaries for threat detection in industrial asset control system |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9360864B2 (en) | 2012-04-11 | 2016-06-07 | General Electric Company | Turbine fault prediction |
NL2015680B1 (en) | 2015-10-29 | 2017-05-31 | Opt/Net Consulting B V | Anomaly detection in a data stream. |
WO2018100655A1 (ja) * | 2016-11-30 | 2018-06-07 | 株式会社日立製作所 | データ収集システム、異常検出方法、及びゲートウェイ装置 |
-
2019
- 2019-06-18 EP EP19737624.7A patent/EP3804271B1/en active Active
- 2019-06-18 US US17/259,010 patent/US11924227B2/en active Active
- 2019-06-18 WO PCT/US2019/037600 patent/WO2020013958A1/en unknown
- 2019-06-18 CN CN201980057668.0A patent/CN112840616A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160330225A1 (en) * | 2014-01-13 | 2016-11-10 | Brightsource Industries (Israel) Ltd. | Systems, Methods, and Devices for Detecting Anomalies in an Industrial Control System |
US9843594B1 (en) * | 2014-10-28 | 2017-12-12 | Symantec Corporation | Systems and methods for detecting anomalous messages in automobile networks |
US20170230410A1 (en) * | 2016-02-10 | 2017-08-10 | Accenture Global Solutions Limited | Telemetry Analysis System for Physical Process Anomaly Detection |
US20170323389A1 (en) * | 2016-05-05 | 2017-11-09 | Sensormatic Electronics, LLC | Method and Apparatus for Evaluating Risk Based on Sensor Monitoring |
CN106502234A (zh) * | 2016-10-17 | 2017-03-15 | 重庆邮电大学 | 基于双轮廓模型的工业控制系统异常检测方法 |
US20180191758A1 (en) * | 2017-01-03 | 2018-07-05 | General Electric Company | Cluster-based decision boundaries for threat detection in industrial asset control system |
CN108093406A (zh) * | 2017-11-29 | 2018-05-29 | 重庆邮电大学 | 一种基于集成学习的无线传感网入侵检测方法 |
Non-Patent Citations (2)
Title |
---|
陈钢等: "基于数据挖掘的入侵检测研究", 《自动化仪表》 * |
陈钢等: "基于数据挖掘的入侵检测研究", 《自动化仪表》, no. 06, 20 July 2006 (2006-07-20) * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113341870A (zh) * | 2021-06-24 | 2021-09-03 | 上海交通大学宁波人工智能研究院 | 一种控制代码异常识别的系统和方法 |
CN113904838A (zh) * | 2021-09-30 | 2022-01-07 | 北京天融信网络安全技术有限公司 | 一种传感器数据检测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
EP3804271A1 (en) | 2021-04-14 |
US20210306356A1 (en) | 2021-09-30 |
EP3804271B1 (en) | 2023-11-01 |
WO2020013958A1 (en) | 2020-01-16 |
US11924227B2 (en) | 2024-03-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11924227B2 (en) | Hybrid unsupervised machine learning framework for industrial control system intrusion detection | |
US10044749B2 (en) | System and method for cyber-physical security | |
EP3206368B1 (en) | Telemetry analysis system for physical process anomaly detection | |
Khan et al. | HML-IDS: A hybrid-multilevel anomaly prediction approach for intrusion detection in SCADA systems | |
US20200202008A1 (en) | Collection of plc indicators of compromise and forensic data | |
US20170264629A1 (en) | Production process knowledge-based intrusion detection for industrial control systems | |
EP3465515B1 (en) | Classifying transactions at network accessible storage | |
Eden et al. | SCADA system forensic analysis within IIoT | |
Hoang et al. | Explainable anomaly detection for industrial control system cybersecurity | |
CN103748853A (zh) | 用于对数据通信网络中的协议消息进行分类的方法和系统 | |
EP3458918A1 (en) | Systems and methods for detecting anomalous software on a programmable logic controller | |
WO2022115419A1 (en) | Method of detecting an anomaly in a system | |
US11870788B2 (en) | Utilizing a machine learning model to determine real-time security intelligence based on operational technology data and information technology data | |
Liulys | Machine learning application in predictive maintenance | |
US11880464B2 (en) | Vulnerability-driven cyberattack protection system and method for industrial assets | |
AU2020337092A1 (en) | Systems and methods for enhancing data provenance by logging kernel-level events | |
EP3928234A1 (en) | User behavorial analytics for security anomaly detection in industrial control systems | |
US20210336979A1 (en) | Partial Bayesian network with feedback | |
WO2023181241A1 (ja) | 監視サーバ装置、システム、方法、及びプログラム | |
WO2018138793A1 (ja) | 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム | |
CN112511568A (zh) | 一种网络安全事件的关联分析方法、装置及存储介质 | |
US20240193271A1 (en) | Anomaly detection framework targeting ransomware using low-level hardware information | |
Yeager et al. | Case Study: Architecting a Solution to Detect Industrial Control System Attacks | |
Cole et al. | Distance Measures for Competitive Learning-based Anomaly Detection in Industrial Control Systems. | |
WO2017013688A1 (en) | Method for detecting the use of remote screen control applications through the detection and profiling of anomalies on the user input introduced by the protocol of said applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |