DE102017112042A1 - Bedrohungserrennung und -lokalisierung für überwachungsknoten eines industrieanlagensteuersystems - Google Patents

Bedrohungserrennung und -lokalisierung für überwachungsknoten eines industrieanlagensteuersystems Download PDF

Info

Publication number
DE102017112042A1
DE102017112042A1 DE102017112042.4A DE102017112042A DE102017112042A1 DE 102017112042 A1 DE102017112042 A1 DE 102017112042A1 DE 102017112042 A DE102017112042 A DE 102017112042A DE 102017112042 A1 DE102017112042 A1 DE 102017112042A1
Authority
DE
Germany
Prior art keywords
threat
monitor node
node
control system
decision boundary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017112042.4A
Other languages
English (en)
Inventor
Cody Joe BUSHEY
Lalit Keshav MESTHA
Daniel Francis Holzhauer
Justin Varkey John
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GE Infrastructure Technology LLC
Original Assignee
General Electric Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by General Electric Co filed Critical General Electric Co
Publication of DE102017112042A1 publication Critical patent/DE102017112042A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0243Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/38Services specially adapted for particular environments, situations or purposes for collecting sensor information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24065Real time diagnostics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Abstract

In manchen Ausführungsformen empfangen mehrere Echtzeit-Überwachungsknotensignaleingänge Ströme von Überwachungsknotensignalwerten im Zeitverlauf, die einen aktuellen Betrieb des Industrieanlagensteuersystems darstellen. Eine Bedrohungserkennungs-Computerplattform, die mit den mehreren Echtzeit-Überwachungsknotensignaleingängen verbunden ist, kann die Ströme der Überwachungsknotensignalwerte empfangen und für jeden Strom der Überwachungsknotensignalwerte einen aktuellen Überwachungsknoten-Merkmalsvektor generieren. Die Bedrohungserkennungs-Computerplattform kann dann jeden generierten aktuellen Überwachungsknoten-Merkmalsvektor mit einer entsprechenden Entscheidungsgrenze für diesen Überwachungsknoten, die einen Normalzustand von einem anomalen Zustand für diesen Steuerknoten trennt, vergleichen und den Ort des Ursprungs einer Bedrohung einem bestimmten Überwachungsknoten zuordnen. Die Bedrohungserkennungs-Computerplattform kann dann auf Basis von Ergebnissen der Vergleiche automatisch ein Bedrohungswarnsignal zusammen mit einem Hinweis auf den entsprechenden Überwachungsknoten senden.

Description

  • STAND DER TECHNIK
  • Industrielle Steuersysteme, die physische Systeme betätigen (z.B. in Verbindung mit Arbeitsturbinen, Strahltriebwerken, Lokomotiven, selbstfahrenden Fahrzeugen usw.) sind in zunehmendem Umfang mit dem Internet verbunden. Infolgedessen können diese Steuersysteme anfällig sein für Bedrohungen wie Cyber-Attacken (z.B. in Verbindung mit einem Computervirus, mit Schadsoftware usw.), die u.a. eine Unterbrechung der Stromerzeugung und -verteilung, eine Beschädigung von Maschinen oder Fehlfunktionen von Fahrzeugen bewirken könnten. Heutige Verfahren sind in erster Linie auf eine Erkennung von Bedrohungen in der Informationstechnologie ("IT", beispielsweise in Computern, die Daten speichern, abrufen, senden, manipulieren) und der operativen Technologie ("OT", beispielsweise in Direktüberwachungsvorrichtungen und Kommunikationsbusschnittstellen) gerichtet. Trotzdem können Cyber-Bedrohungen diese Schutzschichten durchdringen und die physische "Domäne" erreichen, wie sich 2010 beim Stuxnet-Angriff gezeigt hat. Solche Angriffe können die Leistung eines Steuersystems verringern und können eine totale Abschaltung oder sogar eine katastrophale Beschädigung eines Werks bewirken. Derzeit analysieren Fehlererkennungs-, isolierungs- und -bewältigungs("FDIA")-Methoden lediglich Sensordaten, aber eine Bedrohung könnte auch in Verbindung mit anderen Arten von Bedrohungsüberwachungsknoten stattfinden. Man beachte außerdem, dass FDIA nur auf Sensorknoten beschränkt ist. Darüber hinaus kann es sein, dass eine FDIA-Methode nicht in der Lage ist, zwischen einem ursprünglichen Auftreten einer Bedrohung und Auswirkungen der Bedrohung, wie anomalem Verhalten, das sich durch ein System hindurch fortpflanzt, zu unterscheiden. Infolgedessen kann es sein, dass eine örtliche Zuordnung der Bedrohung zu einem bestimmten Knoten nicht möglich ist. Daher wäre es von Vorteil, ein Industrieanlagensteuersystem vor Cyber-Bedrohungen auf automatische und genaue Weise schützen zu können, auch wenn Angriffe durch IT- und OT-Schichten dringen und Steuersysteme direkt beeinträchtigen.
  • KURZFASSUNG
  • Gemäß manchen Ausführungsformen kann ein System zum Schutz eines Industrieanlagensteuersystems vor Cyber-Bedrohungen über mehrere Echtzeit-Überwachungsknotensignaleingänge Ströme von Überwachungsknotensignalwerten im Zeitverlauf empfangen, die einen aktuellen Betrieb des Industrieanlagensteuersystems darstellen. Eine Bedrohungserkennungs-Computerplattform, die mit den mehreren Echtzeit-Überwachungsknotensignaleingängen verbunden ist, kann die Ströme der Überwachungsknotensignalwerte empfangen und für jeden Strom der Überwachungsknotensignalwerte einen aktuellen Überwachungsknoten-Merkmalsvektor generieren. Die Bedrohungserkennungs-Computerplattform kann dann jeden generierten aktuellen Überwachungsknoten-Merkmalsvektor mit einer entsprechenden Entscheidungsgrenze für den jeweiligen Steuerknoten vergleichen, wobei die Entscheidungsgrenze einen Normalzustand von einem anomalen Zustand für den jeweiligen Steuerknoten trennt, und eine Bedrohung einem bestimmten Überwachungsknoten örtlich zuordnen. Die Bedrohungserkennungs-Computerplattform kann dann auf Basis von Ergebnissen der Vergleiche automatisch ein Bedrohungswarnsignal zusammen mit einem Hinweis auf den jeweiligen Überwachungsknoten senden.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn mindestens einer von den Überwachungsknoten assoziiert ist mit: Sensordaten, einem Hilfseinrichtungseingangssignal, einem intermediären Steuerungsparameter und/oder einem Steuerlogikwert.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn mindestens ein Überwachungsknoten mit mehreren Entscheidungsgrenzen assoziiert ist und der Vergleich in Verbindung mit diesen Grenzen durchgeführt wird.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn mindestens eine Entscheidungsgrenze gemäß einem merkmalsbasierten Lernalgorithmus und (i) einem High-Fidelity-Modell und/oder (ii) einem normalen Betrieb des Industrieanlagensteuersystems generiert worden ist.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn die Warnmeldung unter Verwendung eines Cloud-basierten Systems durchgeführt wird.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn die örtliche Zuordnung gemäß einem Vergleich einer Zeit, zu der eine mit einem Überwachungsknoten assoziierte Entscheidungsgrenze überschritten wurde, mit einer Zeit, zu der eine mit einem anderen Überwachungsknoten assoziierte Entscheidungsgrenze überschritten wurde, durchgeführt wird.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn mindestens einer der aktuellen Überwachungsknoten-Merkmalsvektoren assoziiert ist mit: Hauptbestandteilen, statistischen Merkmalen, Deep-Learning-Merkmalen, Frequenzdomänenmerkmalen, Zeitreihenanalysemerkmalen, logischen Merkmalen, geografischen oder positionsbasierte Orten und/oder Interaktionsmerkmalen.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn ein Bedrohungserkennungsmodell, das mit mindestens einer Entscheidungsgrenze assoziiert ist, dynamisch adaptiert wird auf Basis von: einem Einschwingvorgang, einem Beharrungszustandsmodell des Industrieanlagensteuersystems und/oder Datensätzen, die aus ankommenden Datenströmen erhalten werden, während das System betrieben wird, wie bei selbstlernenden Systemen.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn die Bedrohung mit assoziiert ist mit: einem Angriff auf einen Stellantrieb, einem Angriff auf eine Steuereinrichtung, einem Angriff auf einen Überwachungsknoten, einem Angriff in Zusammenhang mit einem Werksstatus, Spoofing, finanziellem Schaden, Verfügbarkeit einer Anlageneinheit, Auslösen einer Anlageneinheit, Verkürzung der Lebensdauer einer Anlageneinheit und/oder Beschädigung einer Anlage, wodurch mindestens ein neues Teil erforderlich wird.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn das System ferner umfasst: eine Normalraum-Datenquelle, die für jeden von den mehreren Überwachungsknoten eine Reihe von normalen Überwachungsknotenwerten, die einen normalen Betrieb des Industrieanlagensteuersystems darstellen, im Zeitverlauf speichert; eine Bedrohungsraum-Datenquelle, die für jeden von den mehreren Überwachungsknoten eine Reihe von bedrohungsbedingten Überwachungsknotenwerten, die einen bedrohungsbedingten Betrieb des Industrieanlagensteuersystems darstellen, im Zeitverlauf speichert; und einen Bedrohungserkennungs-Modellerzeugungsrechner, der mit der Normalraum-Datenquelle und der Bedrohungsraum-Datenquelle verbunden ist, um: die Reihe von normalen Überwachungsknotenwerten zu empfangen und den Satz normaler Merkmalsvektoren zu generieren, die Reihe von bedrohungsbedingten Überwachungsknotenwerten zu empfangen und den Satz von bedrohungsbedingten Merkmalsvektoren zu generieren und automatisch mindestens eine Entscheidungsgrenze für ein Bedrohungserkennungsmodell auf Basis des Satzes von normalen Merkmalsvektoren und des Satzes von bedrohungsbedingten Merkmalsvektoren zu berechnen und auszugeben.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn die Reihe normaler Überwachungsknotenwerte und/oder die Reihe bedrohungsbedingter Überwachungsknotenwerte mit einem High-Fidelity-Ausrüstungsmodell assoziiert ist.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn mindestens eine Entscheidungsgrenze in einem multidimensionalen Raum existiert und assoziiert ist mit: einem dynamischen Modell, einem Versuchsdatenplan, Maschinenlerntechniken, einer Support Vector Macchien, einem vollfaktorieller Prozess, Taguchi-Screening, einer Central-Composite-Methodik, einer Box-Behnken-Methodik, Real-World-Betriebsbedingungen, einem vollfaktoriellen Versuchsplan, einem Screening-Versuchsplan und/oder einem Central-Composite-Versuchsplan.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn das Bedrohungserkennungsmodell assoziiert ist mit Entscheidungsgrenzen und: Merkmalsabbildung und/oder Merkmalsparametern.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn die normalen und/oder die bedrohungsbedingten Überwachungsknotenwerte durch Ausführen eines Versuchsplans an einem industriellen Steuerungssystem erhalten werden, das assoziiert ist mit: einer Arbeitsturbine, einem Strahltriebwerk, einer Lokomotive und/oder einem selbstfahrenden Fahrzeug.
  • Manche Ausführungsformen umfassen: eine Einrichtung zum Empfangen von Echtzeit-Strömen von Überwachungsknotensignalwerten, die einen aktuellen Betrieb des Anlagensteuersystems darstellen, an einer Bedrohungserkennungs-Computerplattform im Zeitverlauf; eine Einrichtung zum Generieren eines aktuellen Überwachungsknoten-Merkmalsvektors für jeden Strom von Überwachungsknotensignalwerten durch die Bedrohungserkennungs-Computerplattform; eine Einrichtung zum Vergleichen jedes generierten aktuellen Überwachungsknoten-Merkmalsvektors mit einer entsprechenden Entscheidungsgrenze für den jeweiligen Überwachungsknoten durch die Bedrohungserkennungs-Computerplattform, wobei die Entscheidungsgrenze einen Normalzustand von einem anomalen Zustand für den jeweiligen Überwachungsknoten trennt; eine Einrichtung zur örtlichen Zuordnung einer Bedrohung zu einem bestimmten Überwachungsknoten; und eine Einrichtung zum automatischen Senden eines Bedrohungswarnsignals auf Basis eines Ergebnisses der Vergleiche zusammen mit einem Hinweis auf den entsprechenden Überwachungsknoten.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn mindestens einer von den Überwachungsknoten assoziiert ist mit: Sensordaten, einem Hilfseinrichtungseingangssignal, einem intermediären Steuerungsparameter und/oder einem Steuerlogikwert.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn mindestens ein Überwachungsknoten mit mehreren multidimensionalen Entscheidungsgrenzen assoziiert ist, wobei der Vergleich in Verbindung mit jeder dieser Grenzen durchgeführt wird und mindestens eine Entscheidungsgrenze gemäß einem merkmalsbasierten Lernalgorithmus und: (i) einem High-Fidelity-Modell und/oder (ii) einem normalen Betrieb des Industrieanlagensteuersystems generiert worden ist.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn die örtliche Zuordnung gemäß einem Vergleich einer Zeit, zu der eine mit einem Überwachungsknoten assoziierte Entscheidungsgrenze überschritten wurde, mit einer Zeit, zu der eine mit einem anderen Überwachungsknoten assoziierte Entscheidungsgrenze überschritten wurde, durchgeführt wird.
  • Manche Ausführungsformen umfassen ein Verfahren, das umfasst: Empfangen von Echtzeitströmen von Überwachungsknotensignalwerten, die einen aktuellen Betrieb des Anlagensteuersystems darstellen, durch eine Bedrohungserkennungs-Computerplattform im Zeitverlauf; Generieren eines aktuellen Überwachungsknoten-Merkmalsvektors für jeden Strom von Überwachungsknotensignalwerten durch die Bedrohungserkennungs-Computerplattform; Vergleichen der einzelnen generierten aktuellen Überwachungsknoten-Merkmalsvektoren mit einer entsprechenden nichtlinearen, multidimensionalen Entscheidungsgrenze für diesen Überwachungsknoten durch die Bedrohungserkennungs-Computerplattform, wobei die Entscheidungsgrenze einen Normalzustand von einem anomalen Zustand für diesen Überwachungsknoten trennt; örtliches Zuordnen eines Bedrohungsursprungs zu einem bestimmten Überwachungsknoten; und automatisches Senden eines Bedrohungswarnsignals auf Basis von Ergebnissen der Vergleiche zusammen mit einem Hinweis auf den entsprechenden Überwachungsknoten.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn mindestens einer von den Überwachungsknoten assoziiert ist mit: Sensordaten, einem Hilfseinrichtungseingangssignal, einem intermediären Steuerungsparameter und/oder einem Steuerlogikwert.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn mindestens ein Überwachungsknoten mit mehreren multidimensionalen Entscheidungsgrenzen assoziiert ist, wobei der Vergleich in Verbindung mit jeder dieser Grenzen durchgeführt wird und mindestens eine Entscheidungsgrenze gemäß einem merkmalsbasierten Lernalgorithmus und: (i) einem High-Fidelity-Modell und/oder (ii) einem normalen Betrieb des Anlagensteuersystems generiert wurde.
  • In jeder Ausführungsform der Erfindung kann es von Vorteil sein, wenn die örtliche Zuordnung gemäß einem Vergleich einer Zeit, zu der eine mit einem Überwachungsknoten assoziierte Entscheidungsgrenze überschritten wurde, mit einer Zeit, zu der eine mit einem anderen Überwachungsknoten assoziierte Entscheidungsgrenze überschritten wurde, durchgeführt wird.
  • Ein nichtflüchtiges, computerlesbares Medium, das Befehle speichert, die von einem Prozessor auszuführen sind, um irgendein Verfahren zum Schutz eines Anlagensteuersystems durchzuführen.
  • Manche technischen Vorteile mancher hierin offenbarten Ausführungsformen sind verbesserte Systeme und Verfahren zum Schutz eines Industrieanlagensteuersystems vor Cyber-Bedrohungen auf automatische und genaue Weise.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein High-Level-Blockdiagramm eines Systems, das gemäß manchen Ausführungsformen bereitgestellt werden kann.
  • 2 ist ein Verfahren gemäß manchen Ausführungsformen.
  • 3 ist ein Bedrohungswarnsystem gemäß manchen Ausführungsformen.
  • 4 bis 6 stellen Grenzen und Orte von Merkmalsvektoren für verschiedene Parameter gemäß manchen Ausführungsformen dar.
  • 7 bis 12 umfassen Graphen von Parameterwerten im Zeitverlauf gemäß manchen Ausführungsformen.
  • 13 ist ein Blockschema einer Industrieanlagensteuersystem-Schutzplattform gemäß manchen Ausführungsformen der vorliegenden Erfindung.
  • 14 ist ein tabellarischer Abschnitt einer Überwachungsknotendatenbank.
  • 15 ist eine Anzeige gemäß manchen Ausführungsformen.
  • AUSFÜHRLICHE BESCHREIBUNG
  • In der folgenden ausführlichen Beschreibung werden zahlreiche konkrete Einzelheiten angegeben, um ein gründliches Verständnis von Ausführungsformen zu ermöglichen. Jedoch wird ein Durchschnittsfachmann verstehen, dass die Ausführungsformen ohne diese konkreten Einzelheiten in die Praxis umgesetzt werden können. In anderen Fällen wurden bekannte Verfahren, Abläufe, Komponenten und Schaltungen nicht ausführlich beschrieben, um nicht von den Ausführungsformen abzulenken.
  • Industrielle Steuersysteme, die physische Systeme betätigen, sind in zunehmendem Maße mit dem Internet verbunden. Infolgedessen können diese Steuersysteme anfällig für Bedrohungen sein, und in manchen Fällen können mehrere Angriffe gleichzeitig stattfinden. Heutige Methoden zum Schutz eines industriellen Steuersystems, beispielsweise FDIA-Methoden, können diese Bedrohungen möglicherweise nicht adäquat beantworten – insbesondere dann, wenn mehrere Angriffe gleichzeitig stattfinden. Daher wäre es von Vorteil, ein Industrieanlagensteuersystem auf automatische und genaue Weise vor Cyber-Bedrohungen zu schützen. 1 ist eine High-Level-Architektur eines Systems 100 gemäß manchen Ausführungsformen. Das System 100 kann eine "Normalraum"-Datenquelle 110 und eine "Bedrohungsraum"-Datenquelle 120 beinhalten. Die Normalraum-Datenquelle 110 könnte für jeden von mehreren "Überwachungsknoten" 130 eine Reihe von Normalwerten, die einen normalen Betrieb eines Industrieanlagensteuersystems darstellen (z.B. von einem Modell generiert oder aus tatsächlichen Daten eines Überwachungsknotens 130 erfasst, wie von der gestrichelten Linie in 1 dargestellt ist), im Zeitverlauf speichern. Wie hierin verwendet, könnte der Ausdruck "Überwachungsknoten" beispielsweise Sensordaten, an Stellantriebe, Motoren, Pumpen und Hilfseinrichtungen geschickte Signale, intermediäre Parameter, die weder direkte Sensorsignale noch Signale sind, die an Hilfseinrichtungen und/oder Steuerlogik(en) geschickt werden, bezeichnen. Diese können beispielsweise Bedrohungsüberwachungsknoten darstellen, die Daten auf kontinuierliche Weise in Form kontinuierlicher Signale oder Datenströme oder Kombinationen davon vom Bedrohungsüberwachungssystem empfangen. Darüber hinaus können die Knoten verwendet werden, um das Auftreten von Cyber-Bedrohungen oder anomalen Ereignissen zu überwachen. Dieser Datenpfad kann konkret mit Verschlüsselungen oder anderen Schutzmechanismen konstruiert werden, so dass die Informationen gesichert sind und nicht über Cyber-Angriffe manipuliert werden können. Die Bedrohungsraum-Datenquelle 120 kann für jeden der Überwachungsknoten 130 eine Reihe von bedrohungsbedingten Werten speichern, die einen bedrohungsbedingten Betrieb des Industrieanlagensteuersystems darstellen (z.B. wenn das System einen Cyber-Angriff erleidet).
  • Informationen aus der Normalraum-Datenquelle 110 und der Bedrohungsraum-Datenquelle 120 können an einem Bedrohungserkennungs-Modellrechner 140 bereitgestellt werden, der diese Daten nutzt, um eine Entscheidungsgrenze zu erzeugen (das heißt eine Grenze, die ein normales Verhalten von einem bedrohungsbedingten Verhalten trennt). Die Entscheidungsgrenze kann dann von einem Bedrohungserkennungsrechner 150 verwendet werden, um ein Bedrohungserkennungsmodell 155 auszuführen. Das Bedrohungserkennungsmodell 155 kann beispielsweise Datenströme aus den Überwachungsknoten 130 überwachen, die Daten aus Sensorknoten, Stellantriebsknoten und/oder anderen kritischen Überwachungsknoten (z.B. Überwachungsknoten MN1 bis MNN) umfassen, ein "Merkmal" für jeden Überwachungsknoten auf Basis der empfangenen Daten berechnen und gegebenenfalls "automatisch" ein Bedrohungswarnsignal an eine oder mehrere ferne Überwachungsvorrichtungen 170 ausgeben (z.B. zur Anzeige für einen Anwender). Gemäß manchen Ausführungsformen könnte ein Bedrohungswarnsignal an eine Anlageneinheitssteuervorrichtung, eine Mensch-Maschine-Schnittstelle (Human-Machine-Interface, "HMI") eines Werks oder einen Kunden über eine Reihe unterschiedlicher Sendeverfahren gesendet werden. Man beachte, dass ein Empfänger eines Bedrohungswarnsignals eine Cloud-Datenbank sein könnte, die mehrere Angriffe auf einen großen Bereich von Werksanlagen korrelieren kann. Wie hierin verwendet, kann der Begriff "Merkmal" beispielsweise eine mathematische Beschreibung von Daten bedeuten. Beispiele von Merkmalen in Bezug auf Daten könnten den Höchstwert und den Kleinstwert, den Mittelwert, die Standardabweichung, die Varianz, die Einschwingzeit, spektrale Komponenten einer schnellen Fourier-Transformation (fast Fourier transformation, "FFT"), lineare und nichtlineare Hauptkomponenten, unabhängige Komponenten, Ersatzcodierung, Deep Learning usw. beinhalten. Darüber hinaus kann der Begriff "automatisch" beispielsweise Aktionen bezeichnen, die mit wenig oder keiner menschlichen Intervention durchgeführt werden können. Gemäß manchen Ausführungsformen können Informationen über eine erkannte Bedrohung zurück an das industrielle Steuersystem gesendet werden.
  • Wie hierin verwendet, können Vorrichtungen, einschließlich solcher, die mit dem System 100 und allen anderen hierin beschriebenen industriellen Steuersystemen assoziiert sind, Informationen über ein beliebiges Kommunikationsnetz austauschen, bei dem es sich um eines oder mehrere von einem lokalen Netz (Local Area Network, “LAN”), einem Metropolennetz (Metropolitan Area Network, "MAN”), einem Weitverkehrsnetz (Wide Area Network, “WAN”), einem privaten Netz, einem Festnetz (Public Switched Telephone Network, “PSTN”), einem Wireless Application Protocol(“WAP”)-Netz, einem Bluetooth-Netz, einem drahtlosen LAN-Netz und/oder einem Internet Protocol("IP")-Netz wie dem Internet, einem Intranet oder einem Extranet handeln kann. Man beachte, dass beliebige der hierin beschriebenen Vorrichtungen über eines oder mehrere dieser Kommunikationsnetze kommunizieren können.
  • Der Bedrohungserkennungs-Modellerzeugungsrechner 140 kann Informationen in verschiedenen Datenspeichern, wie der Normalraum-Datenquelle 110 und/oder der Bedrohungsraum-Datenquelle 120 speichern und/oder daraus abrufen. Die verschiedenen Datenquellen können lokal gespeichert werden oder fern vom Bedrohungserkennungs-Modellerzeugungsrechner 140 (der beispielsweise mit Offline- oder Online-Lernen assoziiert sein kann) liegen. Auch wenn in 1 nur ein einziger Bedrohungserkennungs-Modellerzeugungsrechner 140 gezeigt ist, können beliebig viele solcher Vorrichtungen enthalten sein. Darüber hinaus könnten verschiedene hierin beschriebene Vorrichtungen gemäß Ausführungsformen der vorliegenden Erfindung kombiniert werden. Zum Beispiel könnten in manchen Ausführungsformen der Bedrohungserkennungs-Modellerzeugungsrechner 140 und eine oder mehrere Datenquellen 110, 120 ein und dasselbe Gerät umfassen. Die Funktionen des Bedrohungserkennungs-Modellerzeugungsrechners 140 können von einer Konstellation von Netzgeräten in einer verteilten Prozess- oder Cloud-basierten Architektur durchgeführt werden.
  • Ein Anwender kann gemäß einer der hierin beschriebenen Ausführungsformen über eine von den Überwachungsvorrichtungen 170 (z.B. einen Personal Computer ("PC"), ein Tablet oder ein Smartphone) auf das System 100 zugreifen, um Informationen über Bedrohungsinformationen zu betrachten und/oder zu verwalten. In manchen Fällen kann eine interaktive grafische Anzeigenschnittstelle einen Anwender bestimmte Parameter (z.B. Bedrohungserkennungsauslösepegel) definieren und/oder einstellen lassen und/oder automatisch generierte Empfehlungen oder Ergebnisse aus dem Bedrohungserkennungs-Modellgenerierungsrechner 140 und/oder dem Bedrohungserkennungsrechner 150 bereitstellen oder empfangen.
  • Zum Beispiel stellt 2 ein Verfahren dar, das von manchen oder allen Elementen des in Bezug auf 1 beschriebenen Systems 100 durchgeführt werden könnte. Die hierin beschriebenen Ablaufschemata implementieren keine feste Reihenfolge der Schritte, und Ausführungsformen der vorliegenden Erfindung können in jeder praxistauglichen Reihenfolge in die Praxis umgesetzt werden. Man beachte, dass jedes der hierin beschriebenen Verfahren durch Hardware, Software oder eine beliebige Kombination dieser Methoden durchgeführt werden kann. Zum Beispiel kann ein computerlesbares Speichermedium Befehle speichern, die, wenn sie von einer Maschine ausgeführt werden, ein Verhalten gemäß einer der hierin beschriebenen Ausführungsformen zur Folge haben.
  • Bei S210 können mehrere Echtzeit-Überwachungsknotensignaleingänge Ströme von Überwachungsknotensignalwerten im Zeitverlauf empfangen, die einen aktuellen Betrieb eines Industrieanlagensteuersystems darstellen. Mindestens einer der Überwachungsknoten (z.B. der Steuerknoten usw.) kann beispielsweise mit Sensordaten, einem Hilfseinrichtungseingangssignal, einem intermediären Steuerungsparameter und/oder einem Steuerlogikwert assoziiert sein.
  • Bei S220 kann eine Bedrohungserkennungs-Computerplattform die Ströme der Überwachungsknotensignalwerte empfangen und für jeden Strom der Überwachungsknotensignalwerte einen aktuellen Überwachungsknoten-Merkmalsvektor generieren. Gemäß manchen Ausführungsform ist mindestens einer der aktuellen Überwachungsknoten-Merkmalsvektoren mit Hauptbestandteilen, statistischen Merkmalen, Deep-Learning-Merkmalen, Frequenzdomänenmerkmalen, Zeitreihenanalysemerkmalen, logischen Merkmalen, geografischen oder positionsbasierten Orten und/oder Interaktionsmerkmalen assoziiert.
  • Bei S230 kann jeder generierte aktuelle Überwachungsknoten-Merkmalsvektor mit einer entsprechenden Entscheidungsgrenze (z.B. einer linearen Grenze, einer nichtlinearen Grenze, einer multidimensionalen Grenze usw.) für den jeweiligen Überwachungsknoten verglichen werden, wobei die Entscheidungsgrenze einen Normalzustand von einem anomalen Zustand für den jeweiligen Überwachungsknoten trennt. Gemäß manchen Ausführungsformen ist mindestens ein Überwachungsknoten mit mehreren multidimensionalen Entscheidungsgrenzen assoziiert, und der Vergleich bei S230 wird in Verbindung mit jeder von diesen Grenzen durchgeführt. Man beachte, dass eine Entscheidungsgrenze beispielsweise gemäß einem merkmalsbasierten Lernalgorithmus und einem High-Fidelity-Modell oder einem normalen Betrieb des Industrieanlagensteuersystems generiert werden könnte. Darüber hinaus kann in einem multidimensionalen Raum mindestens eine Entscheidungsgrenze existieren und mit einem dynamischen Modell, einem Versuchsplan, beispielsweise einem vollfaktoriellen Versuchsplan, einem Taguchi-Screening-Versuchsplan, einer Central-Composite-Methodik, einer Box-Behnken-Methodik und einer Real-World-Betriebsbedingungsmethodik assoziiert sein. Außerdem könnte ein Bedrohungserkennungsmodell, das mit einer Entscheidungsgrenze assoziiert ist, gemäß manchen Ausführungsformen auf Basis eines Einschwingvorgangs, eines Beharrungszustandsmodells des Industrieanlagensteuersystems und/oder, Datensätzen, die aus ankommenden Datenströmen erhalten werden, während das System betrieben wird, wie bei selbstlernenden Systemen, dynamisch angepasst werden.
  • Bei S240 kann das System auf Basis von Ergebnissen der bei S230 durchgeführten Vergleiche automatisch ein Bedrohungswarnsignal (z.B. eine Benachrichtigungsmeldung usw.) senden. Die Bedrohung könnte beispielsweise mit einem Angriff auf einen Stellantrieb, einem Angriff auf eine Steuereinrichtung, einem Angriff auf einen Überwachungsknoten, einem Angriff in Zusammenhang mit einem Werksstatus, Spoofing, finanziellem Schaden, Verfügbarkeit einer Anlageneinheit, Auslösen einer Anlageneinheit, Verkürzung der Lebensdauer einer Anlageneinheit und/oder Beschädigung einer Anlage, wodurch mindestens ein neues Teil erforderlich wird, assoziiert sein. Gemäß manchen Ausführungsformen kann eine oder können mehrere Antwortaktionen durchgeführt werden, wenn ein Bedrohungswarnsignal gesendet wird. Zum Beispiel könnte das System das Industrieanlagensteuersystem automatisch ganz oder teilweise abschalten (z.B. um den erkannten potenziellen Cyber-Angriff weiter untersuchen zu lassen). Als weitere Beispiele könnte einer oder könnten mehrere Parameter automatisch modifiziert werden, eine Software-Anwendung könnte automatisch ausgelöst werden, um Daten zu erfassen und/oder mögliche Ursachen zu isolieren, usw. Man beachte, dass ein Bedrohungswarnsignal über ein Cloud-basiertes System, beispielsweise das PREDIX®-Field-Agent-System, gesendet werden könnte. Man beachte, dass gemäß manchen Ausführungsformen eine Cloud-Methode auch verwendet werden könnte, um Informationen über Grenzen zu archivieren und/oder zu speichern.
  • Gemäß manchen Ausführungsformen kann das System ferner einen Ursprung der Bedrohung örtlich einem bestimmten Überwachungsknoten zuordnen. Zum Beispiel kann die örtliche Zuordnung gemäß einem Vergleich einer Zeit, zu der eine mit einem Überwachungsknoten assoziierte Entscheidungsgrenze überschritten wurde, mit einer Zeit, zu der eine mit einem anderen Überwachungsknoten assoziierte Entscheidungsgrenze überschritten wurde, durchgeführt werden. Gemäß manchen Ausführungsformen könnte ein Hinweis auf den entsprechenden Überwachungsknoten im Bedrohungswarnsignal enthalten sein.
  • Manche der hierin beschriebenen Ausführungsformen können sich die Physik eines Steuersystems zunutze machen, indem sie a priori aus abgestimmten High-Fidelity-Ausrüstungsmodellen und/oder tatsächlichen "vor Ort" entstehenden Daten lernen, um einzelne oder mehrere gleichzeitig auftretende bösartige Bedrohungen des Systems zu erkennen. Darüber hinaus können gemäß manchen Ausführungsformen alle Überwachungsknotendaten unter Verwendung hochentwickelter merkmalsbasierter Verfahren in Merkmale umgewandelt werden, und der Echtzeitbetrieb des Steuersystems kann im Wesentlichen eine Überwachung in Echtzeit sein. Anomalien können durch Klassifizieren der überwachten Daten als "normal" oder gestört (oder verschlechtert) klassifiziert werden. Diese Entscheidungsgrenze kann anhand von dynamischen Modellen konstruiert werden und kann dabei helfen, eine frühe Erkennung von Anfälligkeiten zu ermöglichen (und möglicherweise katastrophale Ausfälle vermeiden), wodurch ein Betreiber rechtzeitig einen normalen Betrieb des Steuersystems wiederherstellen kann.
  • Man beachte, dass ein geeigneter Satz von mehrdimensionalen Merkmalsvektoren, der automatisch extrahiert werden kann (z.B. über einen Algorithmus) und/oder der manuell eingegeben werden kann, einen guten Prädiktor in einem Vektorraum mit geringen Dimensionen gemessener Daten umfassen könnte. Gemäß manchen Ausführungsformen können geeignete Entscheidungsgrenzen in einem multidimensionalen Raum anhand eines Datensatzes konstruiert werden, der aufgrund wissenschaftlicher Prinzipien in Verbindung mit DoE-Techniken erhalten wird. Darüber hinaus können mehrere algorithmische Verfahren (die z.B. Vektormaschinen oder Maschinenlernverfahren unterstützen) verwendet werden, um Entscheidungsgrenzen zu generieren. Da Grenzen von gemessenen Daten (oder Daten, die aus High-Fidelity-Modellen generiert werden) gesteuert werden können, können definierte Grenzstreifenbreiten dabei helfen, eine Bedrohungszone in einem multidimensionalen Merkmalsraum zu erzeugen. Darüber hinaus können die Streifenbreiten von dynamischer Natur sein und auf Basis eines Einschwingungs- oder Beharrungszustandsmodells der Ausrüstung angepasst werden und/oder sie können aus einem eingehenden Datenstrom erhalten werden, während das System betrieben wird, wie bei selbstlernenden Systemen. Gemäß manchen Ausführungsformen kann ein Schulungsverfahren für beaufsichtigtes Lernen verwendet werden, um Entscheidungsgrenzen zu lehren. Diese Art von beaufsichtigtem Lernen kann die Kenntnisse berücksichtigen, die ein Betreiber über den Betrieb eines Systems besitzt (z.B. über die Unterschiede zwischen normalem und anomalem Betrieb).
  • Man beachte, dass unterschiedliche Arten von Merkmalen gemäß beliebigen der hierin beschriebenen Ausführungsformen genutzt werden können, einschließlich von Hauptkomponenten (Gewichtungen, die mit Sätzen auf natürlicher Basis konstruiert werden) und statistischen Merkmalen (z.B. Mittelwert, Varianz, Schräge, Kurtosis, Höchst-, Kleinstwerte von Zeitreihensignalen, Orte von Höchst- und Kleinstwerten, unabhängige Komponenten usw.) Andere Beispiele beinhalten Deep-Learning-Merkmale (die z.B. durch Mining von Versuchs- und/oder Verlaufsdatensätzen generiert werden) und Frequenzdomänenmerkmale (die z.B. mit Koeffizienten von Fourier- oder Wavelet-Transformationen assoziiert sind). Ausführungsformen können auch mit Zeitreihenanalysemerkmalen assoziiert sein, beispielsweise Kreuzkorrelationen, Autokorrelationen, Autoregressionsordnungen, einem Modell eines gleitenden Durchschnitts, Parametern des Modells, Ableitungen und Integralen von Signalen, Anstiegszeit, Einschwingzeit, neuronalen Netzen usw. Noch andere Beispiele beinhalten logische Merkmale (mit semantischen Abstraktionen wie "ja" und "nein"), geografische/Positionsverortungen und Interaktionsmerkmale (mathematische Kombinationen von Signalen von mehreren Überwachungsknoten und spezifischen Orten). Ausführungsformen können jede beliebige Zahl von Merkmalen umfassen, wobei mehr Merkmale eine exaktere Methodik ermöglichen, da das System mehr über den physikalischen Prozess und die Bedrohung lernt. Gemäß manchen Ausführungsformen können ungleichartige Werte aus Überwachungsknoten auf einen einheitslosen Raum normalisiert werden, was eine einfache Möglichkeit bieten kann, Ausgaben und die Stärke von Ausgaben miteinander zu vergleichen.
  • Somit können manche Ausführungsformen einen hochentwickelten Anomalieerkennungsalgorithmus bereitstellen, um beispielsweise Cyber-Angriffe auf wichtige Gasturbinensteuerungssensoren zu erkennen. Der Algorithmus kann unter Verwendung steuersignalspezifischer Entscheidungsgrenzen das angegriffene Signal bzw. die angegriffenen Signale identifizieren und kann ein Steuersystem informieren, damit dieses Gegenmaßnahmen ergreift. Genauer könnte ein Erkennungs- und Lokalisierungsalgorithmus erkennen, ob ein Sensor, ein Hilfseinrichtungseingangssignal, ein intermediärer Steuerungsparameter oder eine Steuerlogik in einem normalen oder einem anomalen Zustand sind. Manche Beispiele für Gasturbinenüberwachungsknoten, die analysiert werden könnten, beinhalten: kritische Steuerungssensoren (z.B. ein Generatorleistungswandlersignal, ein Temperatursignal eines Thermoelements einer Gasturbine, eine Gasturbinendrehzahl usw.); intermediäre Steuerungsparameter (z.B. Generatorleistung, Gasturbinenabgastemperatur, Verdichterförderdruck, Verdichterdruckgastemperatur, Verdichterdruckverhältnis, Brennstoffstrom, Verdichtereinlasstemperatur, Leitschaufelwinkel, Brennstoffhubbezugswert, Verdichterablassventil, Einlasswärmeablassventil usw.); Hilfseinrichtungseinganggssignale (z.B. Signale, die an Stellantriebe, Motoren, Pumpen usw. gesendet werden); und/oder logische Befehle an eine Steuereinrichtung.
  • Manche Ausführungsformen des Algorithmus können merkmalsbasierte Lerntechniken auf Basis von High-Fidelity-Physikmodellen und/oder Maschinenbetriebsdaten (die eine Verwendung des Algorithmus auf jedem beliebigen System gestatten würden) nutzen, um eine hochdimensionale Entscheidungsgrenze zu etablieren. Infolgedessen kann eine Erkennung mit höherer Genauigkeit unter Verwendung mehrerer Signale stattfinden, wodurch die Erkennung genauer wird und seltener falsch-positiv ist. Darüber hinaus können Ausführungsformen mehrere Angriffe auf Steuersignale erkennen und herausfinden, wo die Grundursache für den Angriff liegt. Zum Beispiel kann der Algorithmus entscheiden, ob ein Signal wegen eines vorausgegangenen Signalangriffs anomal ist, ober ob es vielmehr unabhängig angegriffen wird. Dies kann beispielsweise durch Überwachen der Entwicklung der Merkmale ebenso wie durch Berücksichtigen der Zeitlücken zwischen Angriffen bewerkstelligt werden.
  • Ein Erkennungs- und Lokalisierungsalgorithmus für Cyber-Angriffe von einem digitalen Geist kann einen Echtzeit-Turbinensignaldatenstrom verarbeiten und dann Merkmale (mehrere Identifizierer) berechnen, die dann mit der signalspezifischen Entscheidungsgrenze verglichen werden. Ein Blockschema eines Systems 300, das einen signalspezifischen Erkennungs- und -Lokalisierungsalgorithmus für Cyber-Angriffe auf Gasturbinen gemäß manchen Ausführungsformen nutzt, ist in 3 gezeigt. Genauer liefert ein Kraftwerk 332 Informationen an Sensoren 334, die Steuereinrichtungen mit Elektronik und Prozessoren 336 dabei helfen, Stellantriebe 338 zu justieren. Ein Bedrohungserkennungssystem 360 kann ein oder mehrere auf Physik basierende High-Fidelity-Modelle 342 beinhalten, die mit dem Kraftwerk 333 assoziiert sind, um normale Daten 310 und/oder Bedrohungsdaten 320 zu erzeugen. Auf die normalen Daten 310 und die Bedrohungsdaten 320 kann von einer Merkmalserkennungskomponente 344 zugegriffen werden und sie können durch Entscheidungsgrenzenalgorithmen 346 offline verarbeitet werden (z.B. nicht unbedingt dann, wenn das Kraftwerk 332 in Betrieb ist). Die Entscheidungsgrenzenalgorithmen 346 können ein Bedrohungsmodell einschließlich von Entscheidungsgrenzen für verschiedene Überwachungsknoten generieren. Jede Entscheidungsgrenze kann zwei Datensätze in einem hochdimensionalen Raum trennen, der durch Ausführen eines binären Klassifizierungsalgorithmus, beispielsweise einer Support Vector Machine, unter Verwendung von normalen Daten 310 und Bedrohungsdaten 320 für jedes Überwachungsknotensignal (z.B. von den Sensoren 334, den Steuereinrichtungen 336 und/oder den Stellantrieben 338) konstruiert wird.
  • Eine Echtzeit-Bedrohungserkennungsplattform 350 kann die Grenzen zusammen mit Datenströmen von den Überwachungsknoten empfangen. Die Plattform 350 kann eine Merkmalsextraktion an jedem Überwachungsknotenelement 352 und eine Normalitätsentscheidung 354 mit einem Algorithmus beinhalten, um Angriffe in einzelnen Signalen unter Verwendung signalspezifischer Entscheidungsgrenzen zu erkennen, ebenso wie um Angriffe auf mehrere Signale zu ergründen, um über ein Lokalisierungsmodul 356 deklarieren zu können, welche Signale angegriffen wurden und welche wegen eines vorangegangenen Angriffs auf das System anomal geworden sind. Ein Gegenwehrelement 358 kann Ausgaben 370, beispielsweise einen Anomalieentscheidungshinweis (z.B. ein Bedrohungswarnsignal), eine Aktion einer Steuereinrichtung und/oder eine Liste angegriffener Überwachungsknoten generieren.
  • Während einer Echtzeiterkennung können zusammenhängende Serien von Steuersignaldaten von der Plattform 350 verarbeitet und normalisiert werden und der Merkmalsvektor kann extrahiert werden. Dann kann der Ort des Vektors für jedes Signal im hochdimensionalen Merkmalsraum mit einer entsprechenden Entscheidungsgrenze verglichen werden. Wenn er in der Angriffsregion liegt, dann kann ein Cyber-Angriff deklariert werden. Der Algorithmus kann dann eine Entscheidung dahingehend treffen, von wo der Angriff ursprünglich ausgegangen ist. En Angriff kann manchmal auf die Stellantriebe 338 erfolgen und sich dann in den Daten der Sensoren 334 manifestieren. Angriffsbeurteilungen können in einem Nachentscheidungsmodul (z.B. dem Lokalisierungselement 356) durchgeführt werden, um abzugrenzen, ob der Angriff den Sensor, die Steuereinrichtung oder den Stellantrieb betrifft (z.B. um anzugeben, welcher Teil des Überwachungsknotens betroffen ist). Dies kann durch individuelles Überwachen des Ortes des Merkmalsvektors in Bezug auf die harte Entscheidungsgrenze im Zeitverlauf erfolgen. Wenn beispielsweise ein Sensor 334 gespooft wird, wird der angegriffene Sensormerkmalsvektor die harte Entscheidungsgrenze früher überschreiten als die übrigen Vektoren, wie in Bezug auf 4 bis 12 beschrieben wird. Wenn festgestellt wird, dass ein Sensor anomal ist, und später bestimmt wird, dass der Lastbefehl an die Hilfseinrichtung anomal ist, kann bestimmt werden, dass der ursprüngliche Angriff, beispielsweise ein Signal-Spoofing, am Sensor 334 stattgefunden hat. Wenn dagegen zuerst bestimmt worden ist, dass das Signal an die Hilfseinrichtung anomal ist und sich dies später im Rückkopplungssignal des Sensors 334 manifestiert, kann bestimmt werden, dass das Signal an die Ausrüstung zuerst angegriffen worden ist.
  • Gemäß manchen Ausführungsformen kann durch die Verwendung örtlich zugeordneter Entscheidungsgrenzen und eine Echtzeitberechnung der spezifischen Signalmerkmale erkannt werden, ob oder ob nicht ein Signal im Normalbetriebsraum (oder im anomalen Raum) liegt. Darüber hinaus kann ein Algorithmus zwischen einem angegriffenen Sensor und einem angegriffenen Signal an eine Hilfseinrichtung unterscheiden. Die intermediären Steuerungsparameter und Steuerlogik(en) können ebenfalls unter Verwendung ähnlicher Verfahren analysiert werden. Man beachte, dass ein Algorithmus Signale ergründen kann, die anomal werden. Dann kann ein Angriff auf ein Signal identifiziert werden.
  • 4 stellt bei 400 Grenzen und Merkmalsvektoren für verschiedene Überwachungsknotenparameter gemäß manchen Ausführungsformen dar. Genauer beinhaltet ein Graph für jeden Parameter eine erste Achse, die ein Wertegewicht 1 ("w1"), ein Merkmal 1 darstellt und eine zweite Achse, die ein Wertegewicht 2 ("w2"), ein Merkmal 2 beinhaltet. Werte für w1 und w2 könnten beispielsweise mit Ausgaben einer Hauptkomponentenanalyse ("PCA"), die an den eingegebenen Daten durchgeführt wird, assoziiert werden. PCA könnte eines der Merkmale sein, die vom Algorithmus verwendet werden könnten, um die Daten zu beschreiben, man beachte aber, dass auch andere Merkmale genutzt werden könnten.
  • Ein Graph wird für eine Verdichterdruckgastemperatur 410, ein Verdichterdruckverhältnis 420, eine Verdichtereinlasstemperatur 430, einen Brennstoffstrom 440, eine Generatorleistung 450 und eine Gasturbinenabgastemperatur 460 bereitgestellt. Jeder Graph beinhaltet eine durchschnittliche Grenze 412 (durchgezogene Linie), eine niedrigste Grenze 414 (gepunktete Linie) und eine höchste Grenze 416 (gestrichelte Linie) und einen Hinweis, der mit einem Ort eines aktuellen Merkmals assoziiert ist, für jeden Überwachungsknotenparameter (dargestellt mit einem X auf dem Graphen). Wie in 4 dargestellt ist, liegt der Ort des aktuellen Merkmals zwischen der niedrigsten und der höchsten Grenze (das heißt, "X" liegt zwischen der gepunkteten und der gestrichelten Linie). Infolgedessen kann das System bestimmen, dass der Betrieb des Industrieanlagensteuersystems normal ist (und keine Bedrohung erkannt wird, die angibt, dass das System gerade angegriffen wird).
  • 5 stellt bei 500 nachfolgende Grenzen und Merkmalsvektoren für diese Parameter dar. Man betrachte beispielsweise eine Merkmalsvektorbewegung 512 für den Verdichterförderdruck. Auch wenn sich der Merkmalsvektor 512 bewegt hat, liegt er immer noch innerhalb der niedrigsten und der größten Grenze und infolgedessen kann bestimmt werden, dass dieser Überwachungsknoten im normalen Betrieb läuft. Dies ist der Fall für die ersten fünf Graphen in 5. In diesem Beispiel hat eine Merkmalsvektorbewegung 562 für die Gasturbinenabgastemperatur die höchste Grenze überschritten, und infolgedessen kann bestimmt werden, dass dieser Überwachungsknoten in einem anomalen Betrieb läuft. Zum Beispiel kann eine Bedrohung für den Abgastemperaturskalierungsfaktor, der ein korrektiver Wert ist, bestehen. Die Folge ist, dass sich das Merkmal für das in 5 dargestellte intermediäre Steuersignal so bewegt, dass es anomal wird. Der Algorithmus erkennt diesen Cyber-Angriff, und zwei parallele Aktionen könnten initiiert werden. Eine Aktion könnte eine Nachverarbeitung des Signals sein, um herauszufinden, was angegriffen wurde, in diesem Fall, könnte das System, wenn es jedes Abgasthermoelement überwacht hat, folgern, dass keines von ihnen derzeit anomal ist. Daher kann bestimmt werden, dass etwas, das verwendet wurde, um dieses Merkmal zu berechnen, angegriffen wurde. Die andere Aktion kann darin bestehen, zusätzliche Angriffe kontinuierlich zu überwachen und zu erkennen. Eine solche Methode könnte eine Erkennung mehrerer Signalangriffe erleichtern.
  • Ausgehend von dem Beispiel in 5 sei angenommen, dass das Gasturbinenabgastemperatursignal angegriffen wurde. Dies kann bewirken, dass das System als Antwort daraufhin andere Signale in einen anomalen Zustand versetzt. Dies ist bei 600 in 6 dargestellt, wo der Angriff bereits erkannt wurde und nun andere Signale als anomal gezeigt werden. Genauer sind die Merkmalsbewegung für den Verdichterförderdruck 612, das Verdichterdruckverhältnis 622, die Verdichtereinlasstemperatur 632 und den Brennstoffstrom 642 alle anomal geworden (ebenso wie der Merkmalsvektor für die Gasturbinenabgastemperatur 662). Man beachte, dass der Merkmalsvektor für Generatorleistung nicht anomal geworden ist. Um zu entscheiden, ob ober ob nicht diese Signale 612, 622, 632, 642 derzeit wirklich angegriffen werden, kann ein Verlaufsserie mit einschlägigen Merkmalsvektorinformationen für eine gewisse Zeitspanne gehalten werden. Wenn dann ein Angriff auf ein anderes Signal erkannt wird, wird diese Serie untersucht, und die Zeit des bestätigten Angriffs auf die Gasturbinenabgastemperatur ebenso wie mehrere folgende Elemente werden analysiert.
  • Man beachte, dass eine einzige Signalaufklärung mit einer Systemzeitverzögerung assoziiert sein könnte. Das heißt, nachdem ein Sensor angegriffen worden ist, könnte eine Zeit vergehen, bevor das System in den Beharrungszustand zurückkehrt. Nach dieser Verzögerung könnte jedes Signal, das anomal wird, auf einen Angriff statt eine Antwort des Systems zurückgehen.
  • Die derzeitigen Verfahren zur Erkennung anomaler Bedingungen in Überwachungsknoten sind auf FDIA beschränkt (die an sich sehr beschränkt ist.). Der hierin beschriebene Cyber-Angriffserkennungs- und -lokalisierungsalgorithmus kann nicht nur anomale Sensorsignale erkennen, sondern kann auch Signale erkennen, die an Hilfseinrichtungen, intermediäre Steuerungsparameter und/oder Steuerlogik(en) geschickt werden. Der Algorithmus kann auch mehrfache Signalangriffe verstehen. Eine Herausforderung bei der korrekten Identifizierung einer Bedrohung durch einen Cyber-Angriff besteht darin, dass dieser stattfinden kann, während mehrere Sensoren von Malware betroffen sind. Gemäß manchen Ausführungsformen kann ein Algorithmus in Echtzeit einen stattgefundenen Angriff, den betroffenen Sensor bzw. die betroffenen Sensoren identifizieren und eine Fehlerantwort deklarieren. Um ein solches Ergebnis zu erzielen, muss die physikalische Antwort des Systems im Einzelnen bekannt sein, um annehmbare Entscheidungsgrenzen zu erzeugen. Dies könnte beispielsweise durch Konstruieren von Datensätzen für normale und anomale Regionen durch Ausführen von Versuchsplan(Design of Experiments, "DoE")-Experimenten an High-Fidelity-Modellen bewerkstelligt werden. Ein Datensatz für jeden Sensor könnte einen Merkmalsvektor für gegebene Bedrohungswerte (z.B. Turbinendrehzahl, Thermoelementskalierungsfaktor usw.) umfassen. Vollfakultät, Taguchi-Screening, Central-Composite und Box-Behnken sind einige der bekannten Versuchsplanmethodiken, die verwendet werden, um den Angriffsraum zu erzeugen. Wenn keine Modelle verfügbar sind, werden diese DoE-Verfahren auch verwendet, um Daten von Real-World-Stromerzeugungssystemen zu erfassen. Experimente können mit verschiedenen Kombinationen gleichzeitiger Angriffe ausgeführt werden. In manchen Ausführungsformen kann das System einen verschlechterten/fehlerhaften Betrieb von einem Cyber-Angriff unterscheiden. Für solche Entscheidungen könnte ein Datensatz, der mit einem verschlechterten/fehlerhaften Betriebsraum assoziiert ist, genutzt werden. Am Ende dieses Prozesses kann das System Datensätze wie "angegriffen versus normal" und "verschlechtert versus normal" zur Verwendung während der Konstruierung von Entscheidungsgrenzen erzeugen. Man beachte ferner, dass eine Entscheidungsgrenze für jedes Signal unter Verwendung von Datensätzen im Merkmalsraum erzeugt werden kann. Es können verschiedene Klassifizierungsverfahren angewendet werden, um Entscheidungsgrenzen zu berechnen. Zum Beispiel sind binäre lineare und nichtlineare überwachte Klassifizierer Beispiele für Verfahren, die verwendet werden könnten, um eine Entscheidungsgrenze zu erhalten.
  • Man beachte, dass mehrere Vektoreigenschaften überprüft werde könnten, und dass die Informationen, die in Bezug auf 4 bis 6 beschrieben wurden, verarbeitet werden können, um zu bestimmen, ob das Signal in eine bestimmte Richtung tendiert hatte, als der Angriff erkannt wurde (oder ob es sich lediglich aufgrund von Rauschen bewegt hat). Wenn das Signal, als der Angriff stattfand und auch danach eine gleichförmige Tendenz gezeigt hat, dann ist dieses Signal eine Antwort auf den ursprünglichen Angriff und kein unabhängiger Angriff. Dies ist in 7 bis 12 gezeigt. Wenn das Signal während und nach dem Angriff relativ stagnierend war und dann anomal geworden ist, würde das kennzeichnend sein für einen unabhängigen Angriff.
  • Konkret zeigt 7 bei 700 eine Entwicklung von Verdichterförderdruckwerten im Zeitverlauf, einschließlich eines ersten Wertes w1 710 und eines zweiten Wertes w2 720. Ein (im Hinblick auf die Zeit des Auftretens) "erster" Pfeil 730 gibt an, dass ein Angriff auf die Gasturbinenabgastemperatur stattgefunden hat (und liegt in 8 bis 12 am gleichen Punkt/Zeitpunkt). Ein mittlerer Pfeil 740 gibt an, wann w1 und w2, die zusammengenommen wurden, um einen Merkmalsvektor zu bilden, anomal geworden sind (das heißt, wann der Merkmalsvektor eine Grenze überschritten hat). Dieses Ereignis findet nicht bei jedem Sensor am gleichen Punkt/Zeitpunkt statt, aber es zeigt doch, dass der Angriff während eines Einschwingvorgangs stattgefunden hat und dass der Einschwingvorgang nach dem ursprünglichen Angriff begonnen hat. Daher wird bestimmt, dass die Anomalien, die in den Sensoren in Bezug auf Verdichterdruckgastemperatur, Verdichterdruckverhältnis, Verdichtereinlasstemperatur und Brenngasstrom erkannt wurden, eine Antwort auf einen Angriff sind und kein unabhängiger Angriff sind. Ein letzter Pfeil 750 gibt an, dass ein Angriff auf einen anderen Sensor erkannt worden ist (Verdichterdruckverhältnis, und in 8 bis 12 an der gleichen Stelle liegt). Man beachte, dass der Merkmalsvektor eine große Veränderung angezeigt hatte und dass der Merkmalsvektor eingeschwungen war, was auf einen separaten Angriff hinweist. Somit wurden Angriffe auf mehrere Sensoren erfolgreich ergründet.
  • Fig. zeigt bei 800 eine Entwicklung von Verdichterdruckverhältniswerten im Zeitverlauf, einschließlich eines ersten Wertes w1 810 und eines zweiten Wertes w2 820. 9 stellt bei 900 eine Entwicklung von Verdichtereinlasstemperaturwerten im Zeitverlauf, einschließlich eines ersten Wertes w1 910 und eines zweiten Wertes w2 920, dar. 10 stellt bei 1000 eine Entwicklung von Brennstoffstromwerten im Zeitverlauf, einschließlich eines ersten Wertes w1 1010 und eines zweiten Wertes w2 1020, dar. 11 stellt bei 1100 eine Entwicklung von Generatorleistungswerten im Zeitverlauf, einschließlich eines ersten Wertes w1 1110 und eines zweiten Wertes w2 1120, dar. 12 stellt bei 1200 eine Entwicklung von Gasturbinenabgastemperaturwerten im Zeitverlauf, einschließlich eines ersten Wertes w1 1210 und eines zweiten Wertes w2 1220, dar.
  • In 7 bis 12 wurde ein Angriff auf den Gasturbinenabgastemperatursensor erkannt. Um zu überprüfen, ob es sich dabei tatsächlich um den Gasturbinenabgastemperatursensor handelt, würden die einzelnen Signale (Thermoelementmessungen), aus denen der Gasturbinenabgastemperaturwert besteht, evaluiert werden. Falls eine Anomalie auf Sensorebene besteht, dann wird die Anomalie der Gasturbinenabgastemperatur als Angriff auf das Signal deklariert. Wenn eine Anomalie auf der Thermoelementebene vorliegt, dann wird das Gasturbinenabgastemperatursignal als anomal wegen einer Antwort auf ein anomales Thermoelement deklariert. In diesem Fall wird die Nachverarbeitung nicht angezeigt. Die Erkennung einer Anomalie des Gasturbinenabgastemperatursensors, und wie nachfolgende Antworten aufgeklärt werden können, wird verständlich, wenn man sich 7 bis 10 ansieht, die jeweils 3 Pfeile und 4 Abschnitte aufweisen: vor dem ersten Pfeil 730, zwischen dem ersten Pfeil 730 und einem mittleren Pfeil; zwischen dem mittleren Pfeil und dem letzten Pfeil 750; und nach dem letzten Pfeil 750. 11 und 12 weisen jeweils 2 Pfeile und 3 Abschnitte auf: vor dem ersten Pfeil 730; zwischen dem ersten Pfeil 730 und dem letzten Pfeil 750; und nach dem letzten Pfeil 750. 11 weist keinen mittleren Pfeil auf, weil nie bestimmt wurde, dass die Generatorleistung anomal ist. 12 weist keinen mittleren Pfeil auf, weil die Gasturbinenabgastemperatur der anfängliche Angriff war und daher die Gasturbinenabgastemperatur solange nicht erneut als anomal deklariert wird, bis der Angriff abgeklungen ist.
  • Die Abschnitte vor dem ersten Pfeil 730 in jeder von 7 bis 12 zeigen das Überwachungsknotenmerkmal unter normalen Betriebsbedingungen, vor der Erkennung einer Anomalie am Gasturbinenabgastemperatursensor. Der Abschnitt zwischen dem ersten Pfeil 730 und dem mittleren Pfeil in 7 bis 10 zeigt die Antwort von Signalen vor der Erkennung, dass sie selbst anomal sind. An diesem Punkt kann eine Erkennung als Antwort klassifiziert werden. Man beachte, dass in 7 bis 10 w1 und w2 ab dem Moment einen gleichmäßigen Trend zeigt, wo die Erkennung des Angriffs auf die Gasturbinenabgastemperatur stattfindet, der vom ersten Pfeil 730 bezeichnet wird. Dies bedeutet, dass die Merkmale sich als Antwort auf die Gasturbinenabgastemperatur entwickeln. Diese Überwachungsknoten würden als anomal wegen eines Angriffs auf den Gasturbinenabgastemperatursensor deklariert werden. Jedes Signal wurde als anomal deklariert, als es den mittleren Pfeil (der die Entscheidungsgrenze in einer verringerten Dimensionalität darstellt) passierte. Der Abschnitt zwischen dem mittleren Pfeil und dem letzten Pfeil 750 zeigt, dass die Merkmale nach dem anfänglichen Angriff zu einem Beharrungszustand zurückkehrten. An diesem Punkt befinden sich die Merkmale zwar immer noch in einem anomalen Zustand, aber auch in einem Beharrungszustand, und es könnte bestimmt werden, dass das Signal nicht auf einen vorausgegangenen Angriff antwortet. Dann wird ein Angriff auf den Verdichterdruckverhältnissensor initiiert, der vom letzte Pfeil 750 bezeichnet wird. Auch wenn der Merkmalsvektor für den Verdichterdruckverhältnissensor bereits in einem anomalen Zustand war, war dies ein Gleichgewichtszustand, daher ist der steile Sprung im Merkmalsvektor kennzeichnend für einen unabhängigen Angriff. Wie im Abschnitt hinter dem letzten Pfeil 750 gezeigt ist, antworten die anderen Signale, aber die Wiederholung dieses Verfahrens würde zu dem Schluss führen, dass diese Antworten keine unabhängigen Angriffe sind, sondern nur Antworten auf den zweiten Angriff.
  • Die hierin beschriebenen Ausführungsformen können anhand einer beliebigen Anzahl unterschiedlicher Hardware-Konfigurationen implementiert werden. Zum Beispiel ist 13 ein Blockschema einer Industrieanlagensteuersystem-Schutzplattform 1300, die beispielsweise mit dem System 100 von 1 assoziiert sein kann. Die Industrieanlagensteuersystem-Schutzplattform 1300 umfasst einen Prozessor 1310, beispielsweise eine oder mehrere im Handel erhältliche zentrale Verarbeitungseinheiten ("CPUs") in Form von Einzelchip-Mikroprozessoren, gekoppelt mit einer Kommunikationsvorrichtung 1320, die dafür ausgelegt ist, über ein Kommunikationsnetz (in 13 nicht dargestellt) zu kommunizieren. Die Kommunikationsvorrichtung 1320 kann verwendet werden, um beispielsweise mit einem oder mehreren Überwachungsknoten, Benutzerplattformen usw. zu kommunizieren. Die Industrieanlagensteuersystem-Schutzplattform 1300 weist ferner eine Eingabevorrichtung 1340 (z.B. eine Computermaus und/oder eine Tastatur zum Eingeben adaptiver und/oder prädiktiver Modellierungsinformationen) und/eine Ausgabevorrichtung 1350 auf (z.B. einen Computermonitor, um eine Anzeige darzustellen, Warnungen auszugeben, Empfehlungen zu senden und/oder Berichte zu erzeugen). Gemäß manchen Ausführungsformen können eine mobile Vorrichtung, ein physisches Überwachungssystem und/oder ein PC verwendet werden, um Informationen mit der Industrieanlagensteuersystem-Schutzplattform 1300 auszutauschen.
  • Der Prozessor 1310 kommuniziert auch mit einer Speichervorrichtung 1330. Die Speichervorrichtung 1330 kann jede geeignete Informationsspeichervorrichtung umfassen, einschließlich von Kombinationen magnetischer Speichervorrichtungen (z.B. ein Festplattenlaufwerk), optischen Speichervorrichtungen, Mobiltelefonen und/oder Halbleiterspeichervorrichtungen. Die Speichervorrichtung 1330 speichert ein Programm 1312 und/oder ein Bedrohungserkennungsmodell 1314 zum Steuern des Prozessors 1310. Der Prozessor 1310 führt Befehle der Programme 1312, 1314 durch und arbeitet somit gemäß einer der hierin beschriebenen Ausführungsformen. Zum Beispiel kann der Prozessor 1310 über mehrere Echtzeit-Überwachungsknotensignaleingänge Ströme von Überwachungsknotensignalwerten im Zeitverlauf empfangen, die einen aktuellen Betrieb des Industrieanlagensteuersystems darstellen. Der Prozessor 1310 kann für jeden Strom von Überwachungsknotensignalwerten einen aktuellen Überwachungsknoten-Merkmalsvektor generieren. Der Prozessor 1310 kann dann jeden generierten aktuellen Überwachungsknoten-Merkmalsvektor mit einer entsprechenden nichtlinearen, multidimensionalen Entscheidungsgrenze für diesen Überwachungsknoten vergleichen, wobei die Entscheidungsgrenze einen Normalzustand von einem anomalen Zustand für diesen Steuerknoten trennt. Der Prozessor 1310 kann auch eine Bedrohung für einen bestimmten Überwachungsknoten lokalisieren bzw. örtlich zuordnen. Der Prozessor 1310 kann dann automatisch ein Bedrohungswarnsignal auf Basis von Ergebnissen der Vergleiche zusammen mit einem Hinweis auf den jeweiligen Überwachungsknoten senden.
  • Die Programme 1312, 1314 können in einem komprimierten, unkompilierten und/oder verschlüsselten Format gespeichert werden. Die Programme 1312, 1314 können ferner andere Programmelemente beinhalten, beispielsweise ein Betriebssystem, eine Zwischenablagenanwendung, ein Datenbankverwaltungssystem und/oder Vorrichtungstreiber, die vom Prozessor 1310 zur Verbindung mit peripheren Vorrichtungen verwendet werden.
  • Wie hierin verwendet, können Informationen beispielsweise "empfangen" oder "versendet" werden: (i) an der Industrieanlagensteuersystem-Schutzplattform 1300 von einer anderen Vorrichtung; oder (ii) an einer Software-Anwendung oder einem Software-Modul innerhalb der Industrieanlagensteuersystem-Schutzplattform 1300 von einer andren Software-Anwendung, einem anderen Software-Modul oder irgendeiner anderen Quelle.
  • In manchen Ausführungsformen (beispielsweise der in 13 gezeigten) speichert die Speichervorrichtung 1330 ferner eine Überwachungsknotendatenbank 1400. Ein Beispiel für eine Datenbank, die in Verbindung mit der Industrieanlagensteuersystem-Schutzplattform 1300 verwendet werden kann, wird nun ausführlich mit Bezug auf 14 beschrieben. Man beachte, dass die hierin beschriebene Datenbank nur ein Beispiel ist, und dass zusätzliche und/oder andere Informationen darin gespeichert werden können. Darüber hinaus könnten verschiedene Datenbanken gemäß einer der hierin beschriebenen Ausführungsformen geteilt oder kombiniert werden.
  • In 14 ist eine Tabelle gezeigt, welche die Überwachungsknotendatenbank 1400 darstellt, die auf der Industrieanlagensteuersystem-Schutzplattform 1300 gemäß manchen Ausführungsformen gespeichert werden kann. Die Tabelle kann beispielsweise Einträge beinhalten, die Überwachungsknoten feststellen, die mit einem physischen System assoziiert sind. Die Tabelle kann auch Felder 1402, 1404, 1406, 1408, 1410 für die einzelnen Einträge definieren. Die Felder 1402, 1404, 1406, 1408, 1410 können gemäß manchen Ausführungsformen folgendes angeben: einen Überwachungsknotenidentifizierer 1402, Überwachungsknotenwerte 1404, einen aktuellen Merkmalsvektor 1406, eine Entscheidungsgrenze 1408 und ein Ergebnis 1410. Die Überwachungsknotendatenbank 1400 kann beispielsweise dann erzeugt und aktualisiert werden, wenn ein neues physisches System überwacht oder modelliert wird, Überwachungsknoten Werte mitteilen, Betriebsbedingungen sich ändern, usw.
  • Die Überwachungsknotenkennung 1402 kann beispielsweise ein eindeutiger alphanumerischer Code sein, der einen Überwachungsknoten in einem Industrieanlagensteuersystem identifiziert, beispielsweise einen Sensorknoten, der die Reihe von Überwachungsknotenwerten 1404 im Zeitverlauf (z.B. in Datenserien von 30 bis 50 Sekunden) erfasst. Die Überwachungsknotenwerte 1404 können verwendet werden, um die aktuellen Merkmalsvektoren 1406 zu erzeugen. Die Entscheidungsgrenze 1408 kann eine hochdimensionale Entscheidungsgrenze 1408 sein, die einen normalen Betrieb einer Industrieanlage von einem anomalen Betrieb trennt. Das Ergebnis 1410 (z.B. normal oder eine Warnung, die eine mögliche Bedrohung angibt) könnte durch Vergleichen des aktuellen Merkmalsvektors 1408 mit der Entscheidungsgrenze 1410 generiert werden.
  • Somit können Ausführungsformen die passive Erkennung von Hinweisen auf mehrklassige anomale Betriebsarten unter Verwendung von Echtzeitsignalen von Überwachungsknoten ermöglichen. Darüber hinaus kann der Erkennungsrahmen die Entwicklung von Werkzeugen ermöglichen, die eine Ausweitung der Erfindung auf unterschiedliche Systeme (d.h. Gasturbinen, Dampfturbinen, Windturbinen, Flugmotoren, Lokomotivmotoren, Stromnetze usw.) an mehreren geografischen Orten erleichtern. Gemäß manchen Ausführungsformen erlauben verteilte Erkennungssysteme, die durch diese Technologie ermöglicht werden (über mehrere Arten von Ausrüstung und Systemen hinweg) die Erfassung koordinierter Daten, die dabei helfen, Angriffe mit mehreren Stoßrichtungen zu erkennen. Man beachte, dass die hierin beschriebenen merkmalsbasierten Methoden erweiterte Merkmalsvektoren ermöglichen und/oder neue Merkmale in vorhandene Vektoren einbauen können, wenn neue Lernprozesse und alternative Datenquellen verfügbar werden. Infolgedessen können Ausführungsformen einen relativ breiten Bereich von Cyber-Bedrohungen (z.B. Stealth-, Replay-, Covert-, Injection-Angriffe usw.) erkennen, während die Systeme mehr über deren Eigenschaften lernen. Ausführungsformen können auch Falschpositivraten verringern, während Systeme nützliche neue Schlüsselmerkmale aufnehmen und solche entfernen, die redundant oder weniger wichtig sind. Man beachte, dass die hierin beschriebenen Erkennungssysteme Frühwarnungen für die Betreiber von Industrieanlagensteuersystemen bereitstellen können, so dass ein Angriff abgewehrt werden kann (oder die Auswirkungen des Angriffs abgeschwächt werden können), wodurch Schäden an Ausrüstung verringert werden können.
  • Im Folgenden werden verschiedene zusätzliche Ausführungsformen der Erfindung dargestellt. Dies stellt keine Definition sämtlicher möglicher Ausführungsformen dar, und der Fachmann wird verstehen, dass die vorliegende Erfindung auf viele andere Ausführungsformen anwendbar ist. Ferner sind die folgenden Ausführungsformen zwar der Übersichtlichkeit wegen kurz beschrieben, aber der Fachmann wird wissen, wie nötigenfalls etwaige Änderungen an den oben beschriebenen Apparaten und Vorrichtungen vorgenommen werden können, um diese und andere Ausführungsformen und Anwendungen handhaben zu können.
  • Auch wenn hierin konkrete Hardware- und Datenkonfigurationen beschrieben wurden, sei darauf hingewiesen, dass jede beliebige Anzahl anderer Konfigurationen gemäß Ausführungsformen der vorliegenden Erfindung vorgesehen werden können (z.B. können manche der mit den hierin beschriebenen Datenbanken assoziierten Informationen in externen Systemen kombiniert oder gespeichert werden). Zum Beispiel sind manche Ausführungsformen auf Gasturbinengeneratoren bezogen, aber jede von den hierin beschriebenen Ausführungsformen könnte auch auf andere Arten von Anlagen angewendet werden, wie Dämme, Stromnetze, militärische Einrichtungen usw. Darüber hinaus ist zu beachten, dass manche Ausführungsformen mit einer Anzeige von Überwachungsknotenbedrohungsdaten für einen Betreiber assoziiert sein können. Zum Beispiel stellt 15 eine interaktive grafische Benutzeroberfläche (Graphical User Interface, "GUI") dar, die Überwachungsknoteninformationen (z.B. einschließlich eines aktuellen Merkmalsvektors und von Entscheidungsgrenzen) zusammen mit einer automatisch generierten Analyse 1520 der Daten anzeigen könnte. Gemäß manchen Ausführungsformen können Informationen über Angriffsstatus zwischen unterschiedlichen Industrieanlagenstandorten miteinander verflochten werden. Zum Beispiel könnte ein Anlagenstandort über den Status anderer Knoten (in anderen Kraftwerken) Bescheid wissen, und eine solche Methode könnte dabei helfen, koordinierte Cyber-Angriffe abzuwehren.
  • Zusätzlich zu einer automatischen Bedrohungserkennung könnten manche hierin beschriebene Ausführungsformen Systeme mit einer zusätzlichen Cyber-Verteidigungsschicht bereitstellen und ohne individuelle Programmierung einsetzbar sein (z.B., wenn sie Betriebsdaten verwenden). Manche Ausführungsformen könnten mit einem Lizenzschlüssel verkauft werden und könnten als Überwachungsdienst einbezogen werden. Zum Beispiel könnten Grenzen periodisch aktualisiert werden, wenn Ausrüstung an einem Industrieanlagenstandort modernisiert wird.
  • Die vorliegende Erfindung wurde lediglich für die Zwecke der Veranschaulichung im Hinblick auf mehrere Ausführungsformen beschrieben. Fachleute werden aus dieser Beschreibung erkennen, dass die Erfindung nicht auf die beschriebenen Ausführungsformen beschränkt ist, sondern mit Modifikationen und Abänderungen in die Praxis umgesetzt werden kann, die nur durch den Gedanken und den Bereich der beigefügten Ansprüche beschränkt werden.
  • In manchen Ausführungsformen empfangen mehrere Echtzeit-Überwachungsknotensignaleingänge Ströme von Überwachungsknotensignalwerten im Zeitverlauf, die einen aktuellen Betrieb des Industrieanlagensteuersystems darstellen. Eine Bedrohungserkennungs-Computerplattform, die mit den mehreren Echtzeit-Überwachungsknotensignaleingängen verbunden ist, kann die Ströme der Überwachungsknotensignalwerte empfangen und für jeden Strom der Überwachungsknotensignalwerte einen aktuellen Überwachungsknoten-Merkmalsvektor generieren. Die Bedrohungserkennungs-Computerplattform kann dann jeden generierten aktuellen Überwachungsknoten-Merkmalsvektor mit einer entsprechenden Entscheidungsgrenze für diesen Überwachungsknoten, die einen Normalzustand von einem anomalen Zustand für diesen Steuerknoten trennt, vergleichen und den Ort des Ursprungs einer Bedrohung einem bestimmten Überwachungsknoten zuordnen. Die Bedrohungserkennungs-Computerplattform kann dann auf Basis von Ergebnissen der Vergleiche automatisch ein Bedrohungswarnsignal zusammen mit einem Hinweis auf den entsprechenden Überwachungsknoten senden.

Claims (10)

  1. System für den Schutz eines Industrieanlagensteuersystems, umfassend: mehrere Echtzeit-Überwachungsknotensignaleingänge, um Ströme von Überwachungsknotensignalwerten im Zeitverlauf zu empfangen, die einen aktuellen Betrieb eines Industrieanlagensteuersystems darstellen; und eine Bedrohungserkennungs-Computerplattform, die mit den mehreren Echtzeit-Überwachungsknotensignaleingängen gekoppelt ist, um: (i) die Ströme der Überwachungsknotensignalwerte zu empfangen und für jeden Strom der Überwachungsknotensignalwerte einen aktuellen Überwachungsknoten-Merkmalsvektor zu generieren, (ii) jeden generierten aktuellen Überwachungsknoten-Merkmalsvektor mit einer entsprechenden Entscheidungsgrenze für diesen Überwachungsknoten zu vergleichen, wobei die Entscheidungsgrenze einen Normalzustand von einem anomalen Zustand für diesen Steuerknoten trennt, (iii) den Ort eines Bedrohungsursprungs einem bestimmten Überwachungsknoten zuzuordnen; und (iv) automatisch ein Bedrohungswarnsignal auf Basis von Ergebnissen der Vergleiche zusammen mit einem Hinweis auf den jeweiligen Überwachungsknoten zu senden.
  2. System nach Anspruch 1, wobei mindestens einer von den Überwachungsknoten verknüpft ist mit: Sensordaten, einem Hilfseinrichtungseingangssignal, einem intermediären Steuerungsparameter und/oder einem Steuerlogikwert, und/oder wobei mindestens ein Überwachungsknoten mit mehreren Entscheidungsgrenzen verknüpft ist und der Vergleich in Verbindung mit jeder dieser Grenzen durchgeführt wird.
  3. System nach Anspruch 1 oder 2, wobei mindestens eine Entscheidungsgrenze gemäß einem merkmalsbasierten Lernalgorithmus und: (i) einem High-Fidelity-Modell und/oder (ii) einem normalen Betrieb des Industrieanlagensteuersystems generiert worden ist.
  4. System nach einem der vorangehenden Ansprüche, wobei die örtliche Zuordnung gemäß einem Vergleich einer Zeit, zu der die mit einem Überwachungsknoten assoziierte Entscheidungsgrenze überschritten wurde, mit einer Zeit, zu der eine mit einem anderen Überwachungsknoten assoziierte Entscheidungsgrenze überschritten wurde, durchgeführt wird.
  5. System nach einem der vorangehenden Ansprüche, wobei mindestens einer der aktuellen Überwachungsknoten-Merkmalsvektoren assoziiert ist mit: Hauptbestandteilen, statistischen Merkmalen, Deep-Learning-Merkmalen, Frequenzdomänenmerkmalen, Zeitreihenanalysemerkmalen, logischen Merkmalen, geografischen oder positionsbasierten Orten und/oder Interaktionsmerkmalen.
  6. System nach einem der vorangehenden Ansprüche, wobei ein Bedrohungserkennungsmodell, das mit mindestens einer Entscheidungsgrenze assoziiert ist, dynamisch adaptiert wird auf Basis von: einem Einschwingvorgang, einem Beharrungszustandsmodell des Industrieanlagensteuersystems und/oder Datensätzen aus ankommenden Datenströmen, die erhalten werden, während das System betrieben wird, wie bei selbstlernenden Systemen.
  7. System nach einem der vorangehenden Ansprüche, wobei die Bedrohung verknüpft ist mit: einem Angriff auf einen Stellantrieb, einem Angriff auf einen Steuereinrichtung, einem Angriff auf einen Überwachungsknoten, einem Angriff in Zusammenhang mit einem Werksstatus, Spoofing, finanziellem Schaden, Verfügbarkeit einer Anlageneinheit, Auslösen einer Anlageneinheit, Verkürzung der Lebensdauer einer Anlageneinheit und/oder Beschädigung einer Anlage, wodurch mindestens ein neues Teil erforderlich wird.
  8. Verfahren nach einem der vorangehenden Ansprüche, ferner umfassend: eine Normalraum-Datenquelle, die für jeden von den mehreren Überwachungsknoten eine Reihe von normalen Überwachungsknotenwerten, die einen normalen Betrieb des Industrieanlagensteuersystems darstellen, im Zeitverlauf speichert; eine Bedrohungsraum-Datenquelle, die für jeden von den mehreren Überwachungsknoten eine Reihe von bedrohungsbedingten Überwachungsknotenwerten, die einen bedrohungsbedingten Betrieb des Industrieanlagensteuersystems darstellen, im Zeitverlauf speichert; einen Bedrohungserkennungs-Modellerzeugungsrechner, der mit der Normalraum-Datenquelle und der Bedrohungsraum-Datenquelle gekoppelt ist, um: die Reihe normaler Überwachungsknotenwerte zu empfangen und den Satz normaler Merkmalsvektoren zu generieren, die Reihe bedrohungsbedingter Überwachungsknotenwerte zu empfangen und den Satz von bedrohungsbedingten Merkmalsvektoren zu generieren, und automatisch mindestens eine Entscheidungsgrenze für ein Bedrohungserkennungsmodell auf Basis des Satzes von normalen Merkmalsvektoren und des Satzes von bedrohungsbedingten Merkmalsvektoren zu berechnen und auszugeben.
  9. Computergestütztes Verfahren zum Schützen eines Industrieanlagensteuersystems, umfassend: Empfangen mehrerer Echtzeitströme von Überwachungsknotensignalwerten, die einen aktuellen Betrieb des Industrieanlagensteuersystems darstellen, an einer Bedrohungserkennungs-Computerplattform im Zeitverlauf; Erzeugen eines aktuellen Überwachungsknoten-Merkmalsvektors für jeden Strom von Überwachungsknotensignalwerten an der Bedrohungserkennungs-Computerplattform; Vergleichen jedes generierten aktuellen Überwachungsknoten-Merkmalsvektors mit einer entsprechenden nichtlinearen, multidimensionalen Entscheidungsgrenze für diesen Überwachungsknoten an der Bedrohungserkennungs-Computerplattform, wobei die Entscheidungsgrenze einen Normalzustand von einem anomalen Zustand für diesen Steuerknoten trennt; Zuordnen des Ortes eines Bedrohungsursprungs zu einem bestimmten Überwachungsknoten; und automatisches Senden eines Bedrohungswarnsignals auf Basis von Ergebnissen der Vergleiche zusammen mit einem Hinweis auf den jeweiligen Überwachungsknoten.
  10. Nichtflüchtiges, computerlesbares Medium, das Befehle speichert, die von einem Prozessor auszuführen sind, um ein Verfahren zum Schutz eines Anlagensteuersystems durchzuführen, wobei das Verfahren umfasst: Empfangen von Echtzeitströmen von Überwachungsknotensignalwerten, die einen aktuellen Betrieb des Industrieanlagensteuersystems darstellen, an einer Bedrohungserkennungs-Computerplattform im Zeitverlauf; Erzeugen eines aktuellen Überwachungsknoten-Merkmalsvektors für jeden Strom von Überwachungsknotensignalwerten an der Bedrohungserkennungs-Computerplattform; Vergleichen jedes generierten aktuellen Überwachungsknoten-Merkmalsvektors mit einer entsprechenden nichtlinearen, multidimensionalen Entscheidungsgrenze für den jeweiligen Überwachungsknoten an der Bedrohungserkennungs-Computerplattform, wobei die Entscheidungsgrenze einen Normalzustand von einem anomalen Zustand für den jeweiligen Überwachungsknoten trennt; Zuordnen des Ortes eines Bedrohungsursprungs zu einem bestimmten Überwachungsknoten; und automatisches Senden eines Bedrohungswarnsignals auf Basis von Ergebnissen der Vergleiche zusammen mit einem Hinweis auf den entsprechenden Überwachungsknoten.
DE102017112042.4A 2016-06-10 2017-06-01 Bedrohungserrennung und -lokalisierung für überwachungsknoten eines industrieanlagensteuersystems Pending DE102017112042A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/179,034 2016-06-10
US15/179,034 US11005863B2 (en) 2016-06-10 2016-06-10 Threat detection and localization for monitoring nodes of an industrial asset control system

Publications (1)

Publication Number Publication Date
DE102017112042A1 true DE102017112042A1 (de) 2017-12-14

Family

ID=60420213

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017112042.4A Pending DE102017112042A1 (de) 2016-06-10 2017-06-01 Bedrohungserrennung und -lokalisierung für überwachungsknoten eines industrieanlagensteuersystems

Country Status (3)

Country Link
US (1) US11005863B2 (de)
CN (1) CN107491057B (de)
DE (1) DE102017112042A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109101817A (zh) * 2018-08-13 2018-12-28 亚信科技(成都)有限公司 一种识别恶意文件类别的方法及计算设备
US11677770B2 (en) 2021-03-19 2023-06-13 International Business Machines Corporation Data retrieval for anomaly detection

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10156842B2 (en) 2015-12-31 2018-12-18 General Electric Company Device enrollment in a cloud service using an authenticated application
JP6982717B2 (ja) 2016-03-25 2021-12-17 ティーティーテック インダストリアル オートメーション アーゲー フォグコンピューティング促進型フレキシブル工場
EP3258333A1 (de) * 2016-06-17 2017-12-20 Siemens Aktiengesellschaft Verfahren und system zur überwachung von sensordaten einer rotierenden ausrüstung
US10320829B1 (en) * 2016-08-11 2019-06-11 Balbix, Inc. Comprehensive modeling and mitigation of security risk vulnerabilities in an enterprise network
US10250631B2 (en) * 2016-08-11 2019-04-02 Balbix, Inc. Risk modeling
CN106383766B (zh) * 2016-09-09 2018-09-11 北京百度网讯科技有限公司 系统监控方法和装置
US10798063B2 (en) * 2016-10-21 2020-10-06 Nebbiolo Technologies, Inc. Enterprise grade security for integrating multiple domains with a public cloud
US10645100B1 (en) * 2016-11-21 2020-05-05 Alert Logic, Inc. Systems and methods for attacker temporal behavior fingerprinting and grouping with spectrum interpretation and deep learning
US10204226B2 (en) * 2016-12-07 2019-02-12 General Electric Company Feature and boundary tuning for threat detection in industrial asset control system
US20180262525A1 (en) * 2017-03-09 2018-09-13 General Electric Company Multi-modal, multi-disciplinary feature discovery to detect cyber threats in electric power grid
US10841322B2 (en) * 2018-01-18 2020-11-17 General Electric Company Decision system and method for separating faults from attacks
US10819725B2 (en) * 2018-01-18 2020-10-27 General Electric Company Reliable cyber-threat detection in rapidly changing environments
US10805329B2 (en) 2018-01-19 2020-10-13 General Electric Company Autonomous reconfigurable virtual sensing system for cyber-attack neutralization
US10728282B2 (en) 2018-01-19 2020-07-28 General Electric Company Dynamic concurrent learning method to neutralize cyber attacks and faults for industrial asset monitoring nodes
US10785237B2 (en) * 2018-01-19 2020-09-22 General Electric Company Learning method and system for separating independent and dependent attacks
US10931687B2 (en) * 2018-02-20 2021-02-23 General Electric Company Cyber-attack detection, localization, and neutralization for unmanned aerial vehicles
EP3553616A1 (de) * 2018-04-11 2019-10-16 Siemens Aktiengesellschaft Ursachenbestimmung von anomalieereignissen
US10931702B2 (en) 2018-04-24 2021-02-23 Cyberfortress, Inc. Vulnerability profiling based on time series analysis of data streams
FR3080692B1 (fr) * 2018-04-25 2021-07-30 Univ Grenoble Alpes Systeme de securisation de procede cyber-physique
US11709946B2 (en) 2018-06-06 2023-07-25 Reliaquest Holdings, Llc Threat mitigation system and method
US11297080B2 (en) 2018-06-06 2022-04-05 Reliaquest Holdings, Llc Threat mitigation system and method
US11354406B2 (en) * 2018-06-28 2022-06-07 Intel Corporation Physics-based approach for attack detection and localization in closed-loop controls for autonomous vehicles
WO2020046371A1 (en) * 2018-08-31 2020-03-05 Siemens Aktiengesellschaft Process control systems and devices resilient to digital intrusion and erroneous commands
US11429718B2 (en) * 2018-09-17 2022-08-30 Schneider Electric Systems Usa, Inc. Industrial system event detection and corresponding response
US11146579B2 (en) 2018-09-21 2021-10-12 General Electric Company Hybrid feature-driven learning system for abnormality detection and localization
US11159540B2 (en) 2018-09-27 2021-10-26 General Electric Company Dynamic physical watermarking for attack detection in cyber-physical systems
US11005870B2 (en) 2018-11-27 2021-05-11 General Electric Company Framework to develop cyber-physical system behavior-based monitoring
US10978123B2 (en) 2018-12-04 2021-04-13 Nxp Usa, Inc. Tamper protection of memory devices on an integrated circuit
US11520881B2 (en) * 2019-01-23 2022-12-06 General Electric Company Framework for cyber-physical system protection of electric vehicle charging stations and power grid
USD926810S1 (en) 2019-06-05 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926809S1 (en) 2019-06-05 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926782S1 (en) 2019-06-06 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926200S1 (en) 2019-06-06 2021-07-27 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926811S1 (en) 2019-06-06 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
US11343266B2 (en) 2019-06-10 2022-05-24 General Electric Company Self-certified security for assured cyber-physical systems
CN112118145A (zh) * 2019-06-19 2020-12-22 北京沃东天骏信息技术有限公司 节点状态的监测方法、控制装置和监测装置
WO2021216813A1 (en) * 2020-04-24 2021-10-28 Siemens Energy, Inc. Method of monitoring the security state of an industrial plant and means to realize such method
CN111665761B (zh) * 2020-06-23 2023-05-26 上海一旻成锋电子科技有限公司 工业控制系统及控制方法
CN112039995A (zh) * 2020-09-02 2020-12-04 漳州创辉信息技术有限公司 电气线路安全监控系统及方法
US20230224275A1 (en) * 2022-01-12 2023-07-13 Bank Of America Corporation Preemptive threat detection for an information system
CN115695046B (zh) * 2022-12-28 2023-03-31 广东工业大学 一种基于增强集成学习的网络入侵检测方法

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9009084B2 (en) * 2002-10-21 2015-04-14 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
US20060242706A1 (en) * 2005-03-11 2006-10-26 Ross Robert B Methods and systems for evaluating and generating anomaly detectors
CN101442412B (zh) * 2008-12-18 2011-04-06 西安交通大学 一种基于软件缺陷及网络攻击关系挖掘的攻击预警方法
JP5739182B2 (ja) * 2011-02-04 2015-06-24 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 制御システム、方法およびプログラム
WO2012132527A1 (ja) * 2011-03-28 2012-10-04 インターナショナル・ビジネス・マシーンズ・コーポレーション 異常検知システム、異常検知方法、およびそのプログラム
US8973124B2 (en) 2012-04-30 2015-03-03 General Electric Company Systems and methods for secure operation of an industrial controller
US9046886B2 (en) 2012-04-30 2015-06-02 General Electric Company System and method for logging security events for an industrial control system
US10078317B2 (en) * 2013-01-08 2018-09-18 Secure-Nok As Method, device and computer program for monitoring an industrial control system
US9405900B2 (en) * 2013-03-13 2016-08-02 General Electric Company Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems
US9436652B2 (en) 2013-06-01 2016-09-06 General Electric Company Honeyport active network security
WO2015104691A2 (en) * 2014-01-13 2015-07-16 Brightsource Industries (Israel) Ltd. Systems, methods, and devices for detecting anomalies in an industrial control system
CN103944915B (zh) * 2014-04-29 2017-11-14 浙江大学 一种工业控制系统威胁检测防御装置、系统及方法
US9912733B2 (en) 2014-07-31 2018-03-06 General Electric Company System and method for maintaining the health of a control system
US9985984B1 (en) * 2014-10-27 2018-05-29 National Technology & Engineering Solutions Of Sandia, Llc Dynamic defense and network randomization for computer systems
US9945928B2 (en) * 2014-10-30 2018-04-17 Bastille Networks, Inc. Computational signal processing architectures for electromagnetic signature analysis
EP3023852B1 (de) * 2014-11-21 2017-05-03 ABB Schweiz AG Verfahren zur Eindringungsdetektion in industriellem Automatisierungs- und Steuerungssystem
US10042354B2 (en) * 2015-06-02 2018-08-07 Rockwell Automation Technologies, Inc. Security system for industrial control infrastructure using dynamic signatures
US10015188B2 (en) * 2015-08-20 2018-07-03 Cyberx Israel Ltd. Method for mitigation of cyber attacks on industrial control systems
US9954903B2 (en) * 2015-11-04 2018-04-24 Monico Monitoring, Inc. Industrial network security translator
US9967274B2 (en) * 2015-11-25 2018-05-08 Symantec Corporation Systems and methods for identifying compromised devices within industrial control systems
CN105357063B (zh) * 2015-12-14 2019-09-10 金润方舟科技股份有限公司 一种网络空间安全态势实时检测方法
CN105573291B (zh) * 2015-12-24 2018-05-18 中国信息安全测评中心 一种基于关键参数融合校验的威胁检测方法及安全装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109101817A (zh) * 2018-08-13 2018-12-28 亚信科技(成都)有限公司 一种识别恶意文件类别的方法及计算设备
CN109101817B (zh) * 2018-08-13 2023-09-01 亚信科技(成都)有限公司 一种识别恶意文件类别的方法及计算设备
US11677770B2 (en) 2021-03-19 2023-06-13 International Business Machines Corporation Data retrieval for anomaly detection

Also Published As

Publication number Publication date
US20170359366A1 (en) 2017-12-14
US11005863B2 (en) 2021-05-11
CN107491057A (zh) 2017-12-19
CN107491057B (zh) 2021-12-31

Similar Documents

Publication Publication Date Title
DE102017112042A1 (de) Bedrohungserrennung und -lokalisierung für überwachungsknoten eines industrieanlagensteuersystems
DE102017128693A1 (de) Merkmal- und Grenzeinstellung zur Bedrohungserkennung in einem industriellen Anlagensteuersystem
DE102017128694A1 (de) Mehrfachmodus-Grenzauswahl zur Bedrohungserkennung in einem industriellen Anlagensteuersystem
US10785237B2 (en) Learning method and system for separating independent and dependent attacks
EP3804268B1 (de) System und verfahren zur erkennung von anomalien und cyberbedrohungen in einer windturbine
EP3428756B1 (de) Integritätsüberwachung bei automatisierungssystemen
EP3515040B1 (de) Zuverlässige cyber-bedrohungserkennung in sich schnell verändernden umgebungen
US20180316701A1 (en) Threat detection for a fleet of industrial assets
US11170314B2 (en) Detection and protection against mode switching attacks in cyber-physical systems
Dietz et al. Integrating digital twin security simulations in the security operations center
EP3373552A1 (de) Multimodale, multidisziplinäre funktionserkennung zur erkennung von cyber-bedrohungen in einem stromnetz
US11503045B2 (en) Scalable hierarchical abnormality localization in cyber-physical systems
DE102017124884A1 (de) Prozessgerätzustand- und Leistungsüberwachung
DE102016119084A9 (de) Verteilte Leistungsüberwachung und Analyse industrieller Anlagen
DE102016119100A9 (de) Datenanalysedienste für eine verteilte Leistungsüberwachung industrieller Anlagen
DE102016119178A1 (de) Quellenunabhängige Abfragen in einem verteilten Industriesystem
EP2908195B1 (de) Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
DE102009025855A1 (de) Systeme und Verfahren zur modernen Zustandsüberwachung eines Anlagegutsystems
US11343266B2 (en) Self-certified security for assured cyber-physical systems
DE102022201746A1 (de) Verwaltung von rechenzentren mit maschinellem lernen
EP2706422A1 (de) Verfahren zur rechnergestützten Überwachung des Betriebs eines technischen Systems, insbesondere einer elektrischen Energieerzeugungsanlage
DE112019005467T5 (de) System und verfahren zum erkennen und vorhersagen von mustern eines anomalen sensorverhaltens einer maschine
DE112021004808T5 (de) Erkennen von malware durch analyse verteilter telemetriedaten
CN111050302A (zh) 一种适用于小型无人机集群的群体智能系统威胁监测方法
EP4150422A1 (de) System und verfahren zur bestimmung einer ursache einer betriebsanomalie einer maschine sowie computerprogramm und elektronisch lesbarer datenträger

Legal Events

Date Code Title Description
R082 Change of representative

Representative=s name: DENNEMEYER & ASSOCIATES S.A., DE

R081 Change of applicant/patentee

Owner name: GE INFRASTRUCTURE TECHNOLOGY LLC, GREENVILLE, US

Free format text: FORMER OWNER: GENERAL ELECTRIC COMPANY, SCHENECTADY, N.Y., US

R012 Request for examination validly filed