JP2017199365A - 産業資産制御システム用のドメインレベル脅威検出 - Google Patents
産業資産制御システム用のドメインレベル脅威検出 Download PDFInfo
- Publication number
- JP2017199365A JP2017199365A JP2017081794A JP2017081794A JP2017199365A JP 2017199365 A JP2017199365 A JP 2017199365A JP 2017081794 A JP2017081794 A JP 2017081794A JP 2017081794 A JP2017081794 A JP 2017081794A JP 2017199365 A JP2017199365 A JP 2017199365A
- Authority
- JP
- Japan
- Prior art keywords
- threat
- normal
- node
- feature vectors
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 78
- 239000013598 vector Substances 0.000 claims abstract description 95
- 230000003993 interaction Effects 0.000 claims description 8
- 230000006870 function Effects 0.000 claims description 7
- 239000011159 matrix material Substances 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000013135 deep learning Methods 0.000 claims description 5
- 230000001052 transient effect Effects 0.000 claims description 4
- 238000000034 method Methods 0.000 description 43
- 238000013461 design Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 238000013400 design of experiment Methods 0.000 description 7
- 230000006399 behavior Effects 0.000 description 6
- 238000012216 screening Methods 0.000 description 6
- 230000015556 catabolic process Effects 0.000 description 5
- 239000002131 composite material Substances 0.000 description 5
- 238000006731 degradation reaction Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000012706 support-vector machine Methods 0.000 description 5
- 238000012549 training Methods 0.000 description 5
- 239000000446 fuel Substances 0.000 description 4
- 230000003137 locomotive effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 3
- 238000012631 diagnostic technique Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 238000002474 experimental method Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000012806 monitoring device Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000005284 basis set Methods 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000013401 experimental design Methods 0.000 description 1
- 238000003055 full factorial design Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000704 physical effect Effects 0.000 description 1
- 238000000513 principal component analysis Methods 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000012731 temporal analysis Methods 0.000 description 1
- 238000000700 time series analysis Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Automation & Control Theory (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
【解決手段】正常空間データソース110は、複数の脅威ノード130のそれぞれに対して、産業資産制御システムの正常動作を表す一連の正常値を格納し、脅威空間データソース120は、一連の脅威値を格納する。モデル生成コンピュータ140は、正常および脅威特徴ベクトルのセットを生成することができる。コンピュータ140はまた、正常および脅威特徴ベクトルに基づいて、脅威検出モデル155に対して少なくとも1つの決定境界を計算して出力することもできる。その場合、複数の脅威ノード130は、資産制御システムの現在の動作を表す脅威ノードからの一連の現在値を生成することができる。脅威検出コンピュータ150は、脅威ノード130から一連の現在値を受信し、現在の特徴ベクトルのセットを生成し、脅威検出モデル155を実行し、現在の特徴ベクトルおよび少なくとも1つの決定境界に基づいて脅威警報信号を送信することができる。
【選択図】図1
Description
脅威検出モデル生成コンピュータ140は、正常空間データソース110および/または脅威空間データソース120などの、さまざまなデータストアに情報を格納し、および/またはさまざまなデータストアから情報を検索することができる。さまざまなデータソースは、脅威検出モデル生成コンピュータ140からローカルに格納してもよいし、遠隔地に存在してもよい。単一の脅威検出モデル生成コンピュータ140が図1に示されているが、任意の数のそのようなデバイスを含めることができる。さらに、本明細書に記載されたさまざまなデバイスは、本発明の実施形態に従って組み合わせることができる。例えば、いくつかの実施形態では、脅威検出モデル生成コンピュータ140および1つまたは複数のデータソース110、120は、単一の装置を備えることができる。脅威検出モデル生成コンピュータ140の機能は、分散処理またはクラウドベースのアーキテクチャにおいて、ネットワーク化された装置の組み合わせによって実行することができる。
[実施態様1]
産業資産制御システムを保護するシステムであって、
前記産業資産制御システムの現在動作を表す一連の現在の脅威ノード値をそれぞれが経時的に生成する複数の脅威ノード(130)と、
前記複数の脅威ノード(130)に結合された脅威検出コンピュータ(150)であって、
(i)前記一連の現在の脅威ノード値を受信し、現在の特徴ベクトルのセットを生成し、
(ii)正常特徴ベクトルのセットと脅威特徴ベクトルのセットとを用いて生成された少なくとも1つの決定境界を有する脅威検出モデル(155)にアクセスし、
(iii)前記脅威検出モデル(155)を実行し、現在の特徴ベクトルの前記セットおよび前記少なくとも1つの決定境界に基づいて脅威警報信号を送信する、
脅威検出コンピュータ(150)と、
を備える、システム。
[実施態様2]
正常特徴ベクトルの前記セットおよび脅威特徴ベクトルの前記セットの少なくとも一方が、(i)主成分、(ii)統計的特徴、(iii)深層学習特徴、(iv)周波数領域特徴、(v)時系列分析特徴、(vi)論理特徴、(vii)地理的位置または位置に基づく場所、および(viii)相互作用特徴のうちの少なくとも1つに関連付けられている、実施態様1に記載のシステム。
[実施態様3]
前記少なくとも1つの決定境界を含む前記脅威検出モデル(155)が、(i)過渡状態、(ii)前記産業資産制御システムの定常状態モデル、および(iii)入力データストリームから自己学習システムのように前記システムを動作させながら取得されたデータセット、の少なくとも1つに基づいて動的に適合される、実施態様1に記載のシステム。
[実施態様4]
前記脅威検出モデル(155)が、(i)アクチュエータ攻撃、(ii)コントローラ攻撃、(iii)脅威ノード攻撃、(iv)プラント状態攻撃、(vii)なりすまし、(vi)金融損害、(vii)ユニット利用可能性、(viii)ユニットトリップ、(ix)ユニット寿命の喪失、および(x)少なくとも1つの新しい部分を必要とする資産損害、の少なくとも1つと関連付けられる、実施態様1に記載のシステム。
[実施態様5]
前記複数の脅威ノード(130)のそれぞれからの情報が正規化され、出力が基底関数の加重線形結合として表される、実施態様4に記載のシステム。
[実施態様6]
自然基底ベクトルが、脅威ノードデータ行列の共分散を用いて得られる、実施態様5に記載のシステム。
[実施態様7]
前記脅威ノード(130)が、(i)クリティカルセンサノード、(ii)アクチュエータノード、(iii)コントローラノード、および(iv)キーソフトウェアノードの少なくとも1つに関連付けられる、実施態様1に記載のシステム。
[実施態様8]
前記少なくとも1つの決定境界を含む前記脅威検出モデル(155)が、(i)線、(ii)超平面、および(iii)正常空間および脅威空間を分離する非線形境界、の少なくとも1つに関連付けられる、実施態様1に記載のシステム。
[実施態様9]
前記少なくとも1つの決定境界を含む前記脅威検出モデル(155)が、正常空間、脅威空間、および劣化動作空間を分離するマルチクラス決定境界である、実施態様1に記載のシステム。
[実施態様10]
前記複数の脅威ノード(130)のそれぞれに対して、前記産業資産制御システムの正常動作を表す一連の正常脅威ノード値を経時的に格納する正常空間データソース(110)と、
前記複数の脅威ノード(130)のそれぞれに対して、前記産業資産制御システムの脅威動作を表す一連の脅威を受けた脅威ノード値を経時的に格納する脅威空間データソース(120)と、
前記正常空間データソース(110)および前記脅威空間データソース(120)に結合される脅威検出モデル生成コンピュータ(140)であって、
(i)前記一連の正常脅威ノード値を受信し、正常特徴ベクトルの前記セットを生成し、
(ii)前記一連の脅威を受けた脅威ノード値を受信し、脅威特徴ベクトルの前記セットを生成し、
(iii)正常特徴ベクトルの前記セットおよび脅威特徴ベクトルの前記セットに基づいて、前記脅威検出モデル(155)に対する前記少なくとも1つの決定境界を自動的に計算して出力する、
脅威検出モデル生成コンピュータ(140)と、
をさらに備える、実施態様1に記載のシステム。
[実施態様11]
前記一連の正常脅威ノード値および前記一連の脅威を受けた脅威ノード値のうちの少なくとも一方が、高忠実度機器モデルに関連付けられる、実施態様10に記載のシステム。
[実施態様12]
少なくとも1つの決定境界が多次元空間内に存在し、(i)動的モデル、(ii)実験データの設計、(iii)機械学習技術、(iv)サポートベクトルマシン、(v)全因子処理、(vi)田口スクリーニング、(vii)中央複合方法、(viii)Box−Behnken方法、(ix)現実の動作条件、(x)完全実施要因計画、(xi)スクリーニング計画、および(xii)中央複合計画、の少なくとも1つと関連付けられる、実施態様10に記載のシステム。
[実施態様13]
前記複数の脅威を受けた脅威ノード値が、(i)専門知識のレベル、(ii)時間量、(iii)容易さのレベル、および(iv)損傷量の少なくとも1つを含む、リスク優先番号分析による潜在的脅威ベクトルのセットから生成される、実施態様10に記載のシステム。
[実施態様14]
前記脅威検出モデル(155)が、決定境界と、(i)特徴マッピングおよび(ii)特徴パラメータの少なくとも1つとに関連付けられる、実施態様10に記載のシステム。
[実施態様15]
前記正常および脅威を受けた脅威ノード値のうちの少なくとも1つは、(i)パワータービン、(ii)ジェットエンジン、(iii)機関車、および(iv)自律車両の少なくとも1つに関連する産業制御システム上の実験の設計を実行することによって得られる、実施態様10に記載のシステム。
[実施態様16]
産業資産制御システムを保護するコンピュータ化された方法であって、
複数の脅威ノード(130)のそれぞれに対して、前記産業資産制御システムの正常動作を表す一連の正常脅威ノード値を経時的に検索するステップと、
前記複数の脅威ノード(130)のそれぞれに対して、前記産業資産制御システムの脅威動作を表す一連の脅威を受けた脅威ノード値を経時的に検索する前記正常脅威ノード値に基づいて正常特徴ベクトルのセットを生成するステップと、
前記脅威を受けた脅威ノード値に基づいて脅威特徴ベクトルのセットを生成するステップと、
正常特徴ベクトルの前記セットと脅威特徴ベクトルの前記セットとに基づいて、脅威検出モデル(155)に対する少なくとも1つの決定境界を自動的に計算して出力するステップと、
を備える、方法。
[実施態様17]
前記少なくとも1つの決定境界が多次元空間内に存在し、(i)動的モデル、(ii)実験データの設計、(iii)機械学習技術、(iv)サポートベクトルマシン、(v)全因子処理、(vi)田口スクリーニング、(vii)中央複合方法、(viii)Box−Behnken方法、(ix)現実の動作条件、(x)完全実施要因計画、(xi)スクリーニング計画、および(xii)中央複合計画、の少なくとも1つと関連付けられる、実施態様16に記載の方法。
[実施態様18]
正常特徴ベクトルの前記セットおよび脅威特徴ベクトルの前記セットの少なくとも一方が、(i)主成分、(ii)統計的特徴、(iii)深層学習特徴、(iv)周波数領域特徴、(v)時系列分析特徴、(vi)論理特徴、(vii)地理的位置または位置に基づく場所、および(viii)相互作用特徴のうちの少なくとも1つに関連付けられている、実施態様16に記載の方法。
[実施態様19]
前記複数の脅威ノード値が、(i)専門知識のレベル、(ii)時間量、(iii)容易さのレベル、および(iv)損傷量の少なくとも1つを含む、リスク優先番号分析による潜在的脅威ベクトルのセットから生成される、実施態様16に記載の方法。
[実施態様20]
少なくとも1つの決定境界が、(i)過渡状態、(ii)前記産業資産制御システムの定常状態モデル、および(iii)入力データストリームから自己学習システムのように前記システムを動作させながら取得されたデータセット、の少なくとも1つに基づいて動的に適合される、実施態様16に記載の方法。
[実施態様21]
前記複数の脅威ノード(130)のそれぞれからの情報が正規化され、出力が基底関数の加重線形結合として表される、実施態様16に記載の方法。
[実施態様22]
自然基底ベクトルが、脅威ノードデータ行列の共分散を用いて得られる、実施態様21に記載の方法。
[実施態様23]
コンピュータプロセッサによって実行される場合、前記コンピュータプロセッサに産業資産制御システムを保護する方法を実行させる命令を格納する非一時的なコンピュータ可読媒体であって、前記方法が、
複数の脅威ノード(130)から、前記産業資産制御システムの現在動作を表す一連の現在の脅威ノード値を経時的に受信するステップと、
前記受信した一連の現在の脅威ノード値に基づいて、脅威検出コンピュータ(150)によって、現在の特徴ベクトルのセットを生成するステップと、
現在の特徴ベクトルの前記セットおよび少なくとも1つの決定境界に基づいて脅威警報信号を送信する脅威検出モデル(155)を実行するステップと、
を備える、非一時的なコンピュータ可読媒体。
110 正常空間データソース
120 脅威空間データソース
130 脅威ノード(センサ)
140 脅威検出モデル生成コンピュータ
150 脅威検出コンピュータ
155 脅威検出モデル
170 遠隔端末
400 オフライン処理
410 脅威/なりすまし/攻撃ベクトル
420 モデル
430 脅威ノードからの値
440 特徴を計算し、特徴ベクトルに組み立てる
450 トレーニングおよび評価データベース
460 計算された決定境界
600 ガスタービンエンジンの例
610 コントローラおよびアクチュエータ
620 ガスタービンエンジン
630 センサ
700 脅威ベクトル損傷表示
710 グラフ
720 バブル
800 グローバル脅威保護システム
810 値のバッチ
820 行列
830 特徴量設計コンポーネント
840 特徴ベクトル
850 グローバル特徴ベクトル
860 相互作用特徴
870 異常検出エンジン
900 3次元のセンサ出力
910 グラフ
920 決定境界
1000 決定境界表示
1010 単純な決定境界
1020 結果
1100 産業資産制御システム保護プラットフォーム
1110 プロセッサ
1112 プログラム
1114 脅威検出モデル
1120 通信デバイス
1130 ストレージユニット
1140 入力デバイス
1150 出力デバイス
1200 脅威検出データベース
1202 脅威ノード識別子
1204 脅威ノード値
1206 特徴
1208 特徴ベクトル
1210 グローバル特徴ベクトル
1212 決定
Claims (10)
- 産業資産制御システムを保護するシステムであって、
前記産業資産制御システムの現在動作を表す一連の現在の脅威ノード値をそれぞれが経時的に生成する複数の脅威ノード(130)と、
前記複数の脅威ノード(130)に結合された脅威検出コンピュータ(150)であって、
(i)前記一連の現在の脅威ノード値を受信し、現在の特徴ベクトルのセットを生成し、
(ii)正常特徴ベクトルのセットと脅威特徴ベクトルのセットとを用いて生成された少なくとも1つの決定境界を有する脅威検出モデル(155)にアクセスし、
(iii)前記脅威検出モデル(155)を実行し、現在の特徴ベクトルの前記セットおよび前記少なくとも1つの決定境界に基づいて脅威警報信号を送信する、
脅威検出コンピュータ(150)と、
を備える、システム。 - 正常特徴ベクトルの前記セットおよび脅威特徴ベクトルの前記セットの少なくとも一方が、(i)主成分、(ii)統計的特徴、(iii)深層学習特徴、(iv)周波数領域特徴、(v)時系列分析特徴、(vi)論理特徴、(vii)地理的位置または位置に基づく場所、および(viii)相互作用特徴のうちの少なくとも1つに関連付けられている、請求項1に記載のシステム。
- 前記少なくとも1つの決定境界を含む前記脅威検出モデル(155)が、(i)過渡状態、(ii)前記産業資産制御システムの定常状態モデル、および(iii)入力データストリームから自己学習システムのように前記システムを動作させながら取得されたデータセット、の少なくとも1つに基づいて動的に適合される、請求項1に記載のシステム。
- 前記脅威検出モデル(155)が、(i)アクチュエータ攻撃、(ii)コントローラ攻撃、(iii)脅威ノード攻撃、(iv)プラント状態攻撃、(vii)なりすまし、(vi)金融損害、(vii)ユニット利用可能性、(viii)ユニットトリップ、(ix)ユニット寿命の喪失、および(x)少なくとも1つの新しい部分を必要とする資産損害、の少なくとも1つと関連付けられる、請求項1に記載のシステム。
- 前記複数の脅威ノード(130)のそれぞれからの情報が正規化され、出力が基底関数の加重線形結合として表される、請求項4に記載のシステム。
- 自然基底ベクトルが、脅威ノードデータ行列の共分散を用いて得られる、請求項5に記載のシステム。
- 前記脅威ノード(130)が、(i)クリティカルセンサノード、(ii)アクチュエータノード、(iii)コントローラノード、および(iv)キーソフトウェアノードの少なくとも1つに関連付けられる、請求項1に記載のシステム。
- 前記少なくとも1つの決定境界を含む前記脅威検出モデル(155)が、(i)線、(ii)超平面、および(iii)正常空間および脅威空間を分離する非線形境界、の少なくとも1つに関連付けられる、請求項1に記載のシステム。
- 前記少なくとも1つの決定境界を含む前記脅威検出モデル(155)が、正常空間、脅威空間、および劣化動作空間を分離するマルチクラス決定境界である、請求項1に記載のシステム。
- 前記複数の脅威ノード(130)のそれぞれに対して、前記産業資産制御システムの正常動作を表す一連の正常脅威ノード値を経時的に格納する正常空間データソース(110)と、
前記複数の脅威ノード(130)のそれぞれに対して、前記産業資産制御システムの脅威動作を表す一連の脅威を受けた脅威ノード値を経時的に格納する脅威空間データソース(120)と、
前記正常空間データソース(110)および前記脅威空間データソース(120)に結合される脅威検出モデル生成コンピュータ(140)であって、
(i)前記一連の正常脅威ノード値を受信し、正常特徴ベクトルの前記セットを生成し、
(ii)前記一連の脅威を受けた脅威ノード値を受信し、脅威特徴ベクトルの前記セットを生成し、
(iii)正常特徴ベクトルの前記セットおよび脅威特徴ベクトルの前記セットに基づいて、前記脅威検出モデル(155)に対する前記少なくとも1つの決定境界を自動的に計算して出力する、
脅威検出モデル生成コンピュータ(140)と、
をさらに備える、請求項1に記載のシステム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/137,311 | 2016-04-25 | ||
US15/137,311 US9998487B2 (en) | 2016-04-25 | 2016-04-25 | Domain level threat detection for industrial asset control system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017199365A true JP2017199365A (ja) | 2017-11-02 |
JP6941965B2 JP6941965B2 (ja) | 2021-09-29 |
Family
ID=58701395
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017081794A Active JP6941965B2 (ja) | 2016-04-25 | 2017-04-18 | 産業資産制御システム用のドメインレベル脅威検出 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9998487B2 (ja) |
EP (1) | EP3239884B1 (ja) |
JP (1) | JP6941965B2 (ja) |
KR (1) | KR102325133B1 (ja) |
CN (1) | CN107390567B (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019154201A (ja) * | 2018-03-06 | 2019-09-12 | 一般財団法人電力中央研究所 | 電力系統制御装置、電力系統制御システム、電力系統制御方法及び電力系統制御プログラム |
JP2019205125A (ja) * | 2018-05-25 | 2019-11-28 | 株式会社東芝 | 異常要因判定装置、制御システム、および異常要因判定方法 |
WO2020105179A1 (ja) * | 2018-11-22 | 2020-05-28 | 日本電気株式会社 | 情報処理装置、制御方法、及びプログラム |
JP2021514504A (ja) * | 2018-02-20 | 2021-06-10 | ゼネラル・エレクトリック・カンパニイ | 無人航空機のサイバー攻撃検出、位置特定、および中和 |
JP2022522474A (ja) * | 2019-03-05 | 2022-04-19 | シーメンス インダストリー ソフトウェア インコーポレイテッド | 組み込みソフトウェアアプリケーションのための機械学習ベースの異常検出 |
US11757919B2 (en) | 2020-04-20 | 2023-09-12 | Kovrr Risk Modeling Ltd. | System and method for catastrophic event modeling |
JP7441582B2 (ja) | 2019-08-22 | 2024-03-01 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データ侵害を検出するための方法、装置、コンピュータ可読な記録媒体及びプログラム |
Families Citing this family (43)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10156841B2 (en) | 2015-12-31 | 2018-12-18 | General Electric Company | Identity management and device enrollment in a cloud service |
US10142363B2 (en) * | 2016-06-23 | 2018-11-27 | Bank Of America Corporation | System for monitoring and addressing events based on triplet metric analysis |
US10542016B2 (en) * | 2016-08-31 | 2020-01-21 | Sap Se | Location enrichment in enterprise threat detection |
US10630705B2 (en) | 2016-09-23 | 2020-04-21 | Sap Se | Real-time push API for log events in enterprise threat detection |
US10204226B2 (en) * | 2016-12-07 | 2019-02-12 | General Electric Company | Feature and boundary tuning for threat detection in industrial asset control system |
US10530792B2 (en) | 2016-12-15 | 2020-01-07 | Sap Se | Using frequency analysis in enterprise threat detection to detect intrusions in a computer system |
US10530794B2 (en) | 2017-06-30 | 2020-01-07 | Sap Se | Pattern creation in enterprise threat detection |
US10986111B2 (en) | 2017-12-19 | 2021-04-20 | Sap Se | Displaying a series of events along a time axis in enterprise threat detection |
US10681064B2 (en) | 2017-12-19 | 2020-06-09 | Sap Se | Analysis of complex relationships among information technology security-relevant entities using a network graph |
US10841322B2 (en) * | 2018-01-18 | 2020-11-17 | General Electric Company | Decision system and method for separating faults from attacks |
US10819725B2 (en) | 2018-01-18 | 2020-10-27 | General Electric Company | Reliable cyber-threat detection in rapidly changing environments |
US10728282B2 (en) | 2018-01-19 | 2020-07-28 | General Electric Company | Dynamic concurrent learning method to neutralize cyber attacks and faults for industrial asset monitoring nodes |
US10805329B2 (en) | 2018-01-19 | 2020-10-13 | General Electric Company | Autonomous reconfigurable virtual sensing system for cyber-attack neutralization |
US11436537B2 (en) | 2018-03-09 | 2022-09-06 | Raytheon Company | Machine learning technique selection and improvement |
US11340603B2 (en) | 2019-04-11 | 2022-05-24 | Raytheon Company | Behavior monitoring using convolutional data modeling |
US11321462B2 (en) * | 2018-04-10 | 2022-05-03 | Raytheon Company | Device behavior anomaly detection |
US11507847B2 (en) | 2019-07-25 | 2022-11-22 | Raytheon Company | Gene expression programming |
KR102113218B1 (ko) * | 2018-03-16 | 2020-05-20 | 울산과학기술원 | 시계열 데이터의 분석 및 예측을 위한 통합적인 딥러닝 시스템 |
EP3542970A1 (en) * | 2018-03-20 | 2019-09-25 | Siemens Aktiengesellschaft | Method, device and system for replaying movement of robot |
US11381599B2 (en) * | 2018-04-10 | 2022-07-05 | Raytheon Company | Cyber chaff using spatial voting |
US11132923B2 (en) | 2018-04-10 | 2021-09-28 | Raytheon Company | Encryption using spatial voting |
CN111971533B (zh) * | 2018-04-24 | 2022-05-31 | 三菱电机株式会社 | 攻击检测装置、计算机能读取的记录介质和攻击检测方法 |
US10931702B2 (en) * | 2018-04-24 | 2021-02-23 | Cyberfortress, Inc. | Vulnerability profiling based on time series analysis of data streams |
WO2019207653A1 (ja) * | 2018-04-24 | 2019-10-31 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知方法及び攻撃検知プログラム |
US11113395B2 (en) * | 2018-05-24 | 2021-09-07 | General Electric Company | System and method for anomaly and cyber-threat detection in a wind turbine |
US11159540B2 (en) | 2018-09-27 | 2021-10-26 | General Electric Company | Dynamic physical watermarking for attack detection in cyber-physical systems |
US11627151B2 (en) * | 2018-10-31 | 2023-04-11 | General Electric Company | Industrial asset cyber-attack detection algorithm verification using secure, distributed ledger |
US11005870B2 (en) * | 2018-11-27 | 2021-05-11 | General Electric Company | Framework to develop cyber-physical system behavior-based monitoring |
KR20200063889A (ko) | 2018-11-28 | 2020-06-05 | 서울대학교산학협력단 | 디지털 트윈을 이용한 플랜트 운영 방법, 시스템 및 컴퓨터 프로그램 |
KR102199695B1 (ko) | 2018-12-27 | 2021-01-07 | 경희대학교 산학협력단 | 가중 거리 자기 연상 양방향 커널 회귀를 이용한 온라인 신호 데이터 검증 장치 및 방법 |
US11227418B2 (en) * | 2018-12-28 | 2022-01-18 | General Electric Company | Systems and methods for deep learning-based image reconstruction |
US10937465B2 (en) | 2019-02-21 | 2021-03-02 | Raytheon Company | Anomaly detection with reduced memory overhead |
US11341235B2 (en) | 2019-02-21 | 2022-05-24 | Raytheon Company | Anomaly detection with adaptive auto grouping |
JP7243326B2 (ja) * | 2019-03-15 | 2023-03-22 | オムロン株式会社 | コントローラシステム |
US11048261B1 (en) | 2019-04-05 | 2021-06-29 | State Farm Mutual Automobile Insurance Company | Systems and methods for evaluating autonomous vehicle software interactions for proposed trips |
US11321972B1 (en) | 2019-04-05 | 2022-05-03 | State Farm Mutual Automobile Insurance Company | Systems and methods for detecting software interactions for autonomous vehicles within changing environmental conditions |
US11343266B2 (en) | 2019-06-10 | 2022-05-24 | General Electric Company | Self-certified security for assured cyber-physical systems |
CN110278203B (zh) * | 2019-06-18 | 2021-11-23 | 浙江工业大学 | 一种基于单分类支持向量机的燃气scada系统中间人攻击检测方法 |
CN110454290B (zh) * | 2019-07-02 | 2021-01-29 | 北京航空航天大学 | 一种基于数字孪生技术的汽车发动机管控方法 |
KR102286814B1 (ko) | 2020-02-04 | 2021-08-09 | 경희대학교 산학협력단 | 가중 거리 자기 연상 양방향 커널 회귀에서 최적 시간 커널을 서치하는 장치 및 그 방법 |
CN112486139A (zh) * | 2020-11-12 | 2021-03-12 | 顶象科技有限公司 | 基于虚拟补丁的工业控制系统保护方法、装置、设备及介质 |
CN112769815B (zh) * | 2021-01-04 | 2023-04-18 | 北京蓝军网安科技发展有限责任公司 | 一种智能工控安全监控与防护方法和系统 |
US11790081B2 (en) | 2021-04-14 | 2023-10-17 | General Electric Company | Systems and methods for controlling an industrial asset in the presence of a cyber-attack |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002090267A (ja) * | 2000-09-21 | 2002-03-27 | Mitsui Eng & Shipbuild Co Ltd | 異常診断方法 |
JP2012168755A (ja) * | 2011-02-15 | 2012-09-06 | Internatl Business Mach Corp <Ibm> | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
US20150073306A1 (en) * | 2012-03-29 | 2015-03-12 | The University Of Queensland | Method and apparatus for processing patient sounds |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7225343B1 (en) | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
US20070289013A1 (en) | 2006-06-08 | 2007-12-13 | Keng Leng Albert Lim | Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms |
CN101252441B (zh) * | 2008-02-20 | 2010-06-02 | 深圳市永达电子股份有限公司 | 基于可设定信息安全目标的获得性安全保障方法及系统 |
CN102103677A (zh) * | 2011-03-09 | 2011-06-22 | 天津大学 | 威胁模型驱动的软件安全评估方法 |
NL2007180C2 (en) * | 2011-07-26 | 2013-01-29 | Security Matters B V | Method and system for classifying a protocol message in a data communication network. |
US8856936B2 (en) | 2011-10-14 | 2014-10-07 | Albeado Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
CN102594904A (zh) * | 2012-03-04 | 2012-07-18 | 浙江大学 | 对无线传感器网络异常事件进行分布式检测的方法 |
US20130275282A1 (en) | 2012-04-17 | 2013-10-17 | Microsoft Corporation | Anonymous billing |
US9046886B2 (en) | 2012-04-30 | 2015-06-02 | General Electric Company | System and method for logging security events for an industrial control system |
WO2014144857A2 (en) | 2013-03-15 | 2014-09-18 | Power Fingerprinting Inc. | Systems, methods, and apparatus to enhance the integrity assessment when using power fingerprinting systems for computer-based systems |
US9245116B2 (en) | 2013-03-21 | 2016-01-26 | General Electric Company | Systems and methods for remote monitoring, security, diagnostics, and prognostics |
KR101977731B1 (ko) | 2013-03-29 | 2019-05-14 | 한국전자통신연구원 | 제어 시스템의 이상 징후 탐지 장치 및 방법 |
US9264444B2 (en) * | 2013-05-21 | 2016-02-16 | Rapid7, Llc | Systems and methods for determining an objective security assessment for a network of assets |
US9436652B2 (en) | 2013-06-01 | 2016-09-06 | General Electric Company | Honeyport active network security |
US10284570B2 (en) | 2013-07-24 | 2019-05-07 | Wells Fargo Bank, National Association | System and method to detect threats to computer based devices and systems |
US9912733B2 (en) | 2014-07-31 | 2018-03-06 | General Electric Company | System and method for maintaining the health of a control system |
GB2529150B (en) | 2014-08-04 | 2022-03-30 | Darktrace Ltd | Cyber security |
CN104657915B (zh) * | 2015-03-10 | 2018-12-18 | 全球能源互联网研究院 | 一种动态自适应的电力系统终端安全威胁评估方法 |
US10015188B2 (en) * | 2015-08-20 | 2018-07-03 | Cyberx Israel Ltd. | Method for mitigation of cyber attacks on industrial control systems |
CN105407090B (zh) * | 2015-10-30 | 2019-01-04 | 中国船舶重工集团公司第七一六研究所 | 支持数据处理的传感原数据安全保护方法 |
-
2016
- 2016-04-25 US US15/137,311 patent/US9998487B2/en active Active
-
2017
- 2017-04-18 JP JP2017081794A patent/JP6941965B2/ja active Active
- 2017-04-24 EP EP17167806.3A patent/EP3239884B1/en active Active
- 2017-04-25 KR KR1020170052917A patent/KR102325133B1/ko active IP Right Grant
- 2017-04-25 CN CN201710280076.8A patent/CN107390567B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002090267A (ja) * | 2000-09-21 | 2002-03-27 | Mitsui Eng & Shipbuild Co Ltd | 異常診断方法 |
JP2012168755A (ja) * | 2011-02-15 | 2012-09-06 | Internatl Business Mach Corp <Ibm> | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
US20150073306A1 (en) * | 2012-03-29 | 2015-03-12 | The University Of Queensland | Method and apparatus for processing patient sounds |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7240071B2 (ja) | 2018-02-20 | 2023-03-15 | ゼネラル・エレクトリック・カンパニイ | 無人航空機のサイバー攻撃検出、位置特定、および中和 |
JP2021514504A (ja) * | 2018-02-20 | 2021-06-10 | ゼネラル・エレクトリック・カンパニイ | 無人航空機のサイバー攻撃検出、位置特定、および中和 |
JP7219542B2 (ja) | 2018-03-06 | 2023-02-08 | 一般財団法人電力中央研究所 | 電力系統制御装置、電力系統制御システム、電力系統制御方法及び電力系統制御プログラム |
JP2019154201A (ja) * | 2018-03-06 | 2019-09-12 | 一般財団法人電力中央研究所 | 電力系統制御装置、電力系統制御システム、電力系統制御方法及び電力系統制御プログラム |
JP2019205125A (ja) * | 2018-05-25 | 2019-11-28 | 株式会社東芝 | 異常要因判定装置、制御システム、および異常要因判定方法 |
JP7071876B2 (ja) | 2018-05-25 | 2022-05-19 | 株式会社東芝 | 制御システム、および異常要因判定方法 |
WO2020105179A1 (ja) * | 2018-11-22 | 2020-05-28 | 日本電気株式会社 | 情報処理装置、制御方法、及びプログラム |
JPWO2020105179A1 (ja) * | 2018-11-22 | 2021-09-30 | 日本電気株式会社 | 情報処理装置、制御方法、及びプログラム |
JP7211429B2 (ja) | 2018-11-22 | 2023-01-24 | 日本電気株式会社 | 情報処理装置、制御方法、及びプログラム |
JP2022522474A (ja) * | 2019-03-05 | 2022-04-19 | シーメンス インダストリー ソフトウェア インコーポレイテッド | 組み込みソフトウェアアプリケーションのための機械学習ベースの異常検出 |
JP7282195B2 (ja) | 2019-03-05 | 2023-05-26 | シーメンス インダストリー ソフトウェア インコーポレイテッド | 組み込みソフトウェアアプリケーションのための機械学習ベースの異常検出 |
JP7441582B2 (ja) | 2019-08-22 | 2024-03-01 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データ侵害を検出するための方法、装置、コンピュータ可読な記録媒体及びプログラム |
US11757919B2 (en) | 2020-04-20 | 2023-09-12 | Kovrr Risk Modeling Ltd. | System and method for catastrophic event modeling |
Also Published As
Publication number | Publication date |
---|---|
US9998487B2 (en) | 2018-06-12 |
JP6941965B2 (ja) | 2021-09-29 |
CN107390567B (zh) | 2021-06-15 |
CN107390567A (zh) | 2017-11-24 |
EP3239884A1 (en) | 2017-11-01 |
KR102325133B1 (ko) | 2021-11-15 |
EP3239884B1 (en) | 2019-06-12 |
KR20170121717A (ko) | 2017-11-02 |
US20170310690A1 (en) | 2017-10-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6941965B2 (ja) | 産業資産制御システム用のドメインレベル脅威検出 | |
JP7071034B2 (ja) | 産業資産制御システムにおける脅威検出のための特徴および境界の調整 | |
US11005873B2 (en) | Multi-mode boundary selection for threat detection in industrial asset control system | |
CN107491057B (zh) | 保护工业资产控制系统的系统及方法及计算机可读介质 | |
US10678912B2 (en) | Dynamic normalization of monitoring node data for threat detection in industrial asset control system | |
US10671060B2 (en) | Data-driven model construction for industrial asset decision boundary classification | |
US10841322B2 (en) | Decision system and method for separating faults from attacks | |
US10505955B2 (en) | Using virtual sensors to accommodate industrial asset control systems during cyber attacks | |
US11113395B2 (en) | System and method for anomaly and cyber-threat detection in a wind turbine | |
US11252169B2 (en) | Intelligent data augmentation for supervised anomaly detection associated with a cyber-physical system | |
US11170314B2 (en) | Detection and protection against mode switching attacks in cyber-physical systems | |
US10990668B2 (en) | Local and global decision fusion for cyber-physical system abnormality detection | |
US11503045B2 (en) | Scalable hierarchical abnormality localization in cyber-physical systems | |
US11146579B2 (en) | Hybrid feature-driven learning system for abnormality detection and localization | |
US20230385186A1 (en) | Resilient estimation for grid situational awareness | |
US11005870B2 (en) | Framework to develop cyber-physical system behavior-based monitoring | |
US11159540B2 (en) | Dynamic physical watermarking for attack detection in cyber-physical systems | |
US11916940B2 (en) | Attack detection and localization with adaptive thresholding | |
WO2023023412A2 (en) | Vulnerability-driven cyberattack protection system and method for industrial assets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20190523 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200413 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210412 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210423 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210721 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210810 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210907 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6941965 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |