JP2018170006A - 電力グリッドにおけるサイバー脅威を検出する汎用フレームワーク - Google Patents

電力グリッドにおけるサイバー脅威を検出する汎用フレームワーク Download PDF

Info

Publication number
JP2018170006A
JP2018170006A JP2018037113A JP2018037113A JP2018170006A JP 2018170006 A JP2018170006 A JP 2018170006A JP 2018037113 A JP2018037113 A JP 2018037113A JP 2018037113 A JP2018037113 A JP 2018037113A JP 2018170006 A JP2018170006 A JP 2018170006A
Authority
JP
Japan
Prior art keywords
data source
power grid
abnormal
data
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018037113A
Other languages
English (en)
Inventor
ラリット・ケシャヴ・メスシャ
Keshav Mestha Lalit
サントッシュ・サンバムーシー・ヴェダ
Sambamoorthy Veda Santosh
マスード・アバザデー
Abbaszadeh Masoud
チャイタニヤ・アショク・バオーネ
Ashok Baone Chaitanya
ウェイチョン・ヤン
Weizhong Yan
サイカ・レイマジュンダー
Ray Majumder Saikat
スミット・ボーズ
Bose Sumit
アンナリータ・ジャーニ
Giani Annartia
オルグベンガ・アヌービ
Anubi Olugbenga
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
General Electric Co
Original Assignee
General Electric Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by General Electric Co filed Critical General Electric Co
Publication of JP2018170006A publication Critical patent/JP2018170006A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0275Fault isolation and identification, e.g. classify fault; estimate cause or root of failure
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S10/00Systems supporting electrical power generation, transmission or distribution
    • Y04S10/50Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
    • Y04S10/52Outage or fault management, e.g. fault detection or location
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Remote Monitoring And Control Of Power-Distribution Networks (AREA)
  • Alarm Systems (AREA)

Abstract

【課題】電力グリッドをサイバー攻撃などの悪意から自動的かつ正確に保護するシステムを提供する。【解決手段】電力グリッドを保護するシステム100は、各々が電力グリッドの現在の運転を表す一連の経時的な現在データソースノード値を生成する複数の異種データソースノード130と、複数の異種データソースノード130に連結され、一連の現在データソースノード値を受信し、一組の現在特徴ベクトルを生成し、次いで、正常および異常特徴ベクトルの少なくとも一方を使用してオフラインで作成される少なくとも1つの決定境界を有する異常状態検出モデル155にアクセスし、異常状態検出モデル155を実行して、一組の現在特徴ベクトルおよび少なくとも1つの決定境界に基づいて脅威警戒信号を送信するリアルタイム脅威検出コンピュータ150とを備える。【選択図】図1

Description

本発明は、電力グリッドを保護するシステムに関する。
電力グリッドが次第にインターネットに接続されている。結果として、電力グリッドは、発電および配電を途絶させたり、機器に損傷を与えたりなどすることがありえる、サイバー攻撃(たとえば、コンピュータウイルス、悪意のあるソフトウェアなどと関連付けられる)などの脅威に脆弱であることがある。この種類の被害から保護する現行方法は、主に情報技術(「IT」、データを記憶、検索、送信、操作するコンピュータなど)ならびに運用技術(「OT」、直接監視デバイスおよび通信バスインタフェースなど)における脅威検出を考える。サイバー脅威は、それでもこれらの保護層に侵入して、物理「領域」に到達することができる。そのような攻撃は、電力グリッドの性能を低下させることができ、そして完全な運転停止または破局的な損傷さえ引き起こすことがある。現在では、故障検出、切分けおよび適応(「FDIA」)手法がセンサデータを分析するのみであるが、他の種類のデータソースノードに関連して脅威が発生する可能性がある。FDIAが一度に1つのセンサの自然に発生する故障のみに限定されることも留意されたい。複数の同時に発生する故障は、通常は悪意によるものであるので、FDIAシステムはそれらに対処しない。したがって、電力グリッドをサイバー攻撃などの悪意から自動的かつ正確に保護することが望ましいであろう。
米国特許出願公開第2016/0253495号明細書
いくつかの実施形態によれば、複数の異種データソースノードが各々、電力グリッドの現在の運転を表す一連の経時的な現在データソースノード値を生成してよい。リアルタイム脅威検出コンピュータが、複数の異種データソースノードに連結されており、一連の現在データソースノード値を受信し、そして一組の現在特徴ベクトルを生成してよい。脅威検出コンピュータは次いで、一組の特徴ベクトルを使用してオフラインで作成される少なくとも1つの決定境界を有する異常状態検出モデルにアクセスしてよい。異常状態検出モデルが実行されてよく、そして一組の現在特徴ベクトルおよび少なくとも1つの決定境界に基づいて、適切であれば脅威警戒信号が送信されてよい。
いくつかの実施形態は、複数の異種データソースノードの各々に関して、電力グリッドの正常運転を表す一連の経時的な正常データソースノード値を検索するための手段と、正常データソースノード値に基づいて一組の正常特徴ベクトルをオフラインで生成するための手段と、複数のデータソースノードの各々に関して、電力グリッドの異常運転を表す一連の経時的な異常データソースノード値を検索するための手段と、異常データソースノード値に基づいて一組の異常特徴ベクトルを生成するための手段と、オフライン異常状態検出モデル作成コンピュータによって、一組の正常特徴ベクトルおよび一組の異常特徴ベクトルに基づいて異常状態検出モデルのための少なくとも1つの決定境界を自動的に計算および出力するための手段とを備える。
他の実施形態は、複数の異種データソースノードから、電力グリッドの現在の運転を表す一連の経時的な現在データソースノード値を受信するための手段と、リアルタイム脅威検出コンピュータによって、一組の特徴ベクトルを使用してオフラインで作成される少なくとも1つの決定境界を有する異常状態検出モデルにアクセスするための手段と、異常状態検出モデルを実行し、そして一組の現在特徴ベクトルおよび少なくとも1つの決定境界に基づいて脅威警戒信号を送信するための手段とを備える。
本明細書に開示するいくつかの実施形態のいくつかの技術的利点は、電力グリッドをサイバー攻撃などの悪意から自動的かつ正確に保護する改善されたシステムおよび方法である。
いくつかの実施形態に従って提供されることができるシステムのハイレベルブロック図である。 いくつかの実施形態に係る方法である。 いくつかの実施形態に従う脅威警戒システムである。 いくつかの実施形態に係る電力グリッドパラメータに対する境界および特徴ベクトルを例示する。 いくつかの実施形態に係るオフラインおよびリアルタイム異常決定および早期警告ツールアーキテクチャである。 いくつかの実施形態に従うオフライン異常決定境界ツールである。 いくつかの実施形態に係るリアルタイム決定、イベント/脅威評価および早期警告システムを例示する。 いくつかの実施形態に従う電力グリッドノードの重大性に従ってサイバー脅威を検出するための方法である。 いくつかの実施形態に係る電力グリッドノードの重要性を推定するための方法である。 本発明のいくつかの実施形態に係る電力グリッド保護プラットフォームのブロック図である。 いくつかの実施形態に従う電力グリッドデータベースの要目表部分である。 いくつかの実施形態に従うデータソースデータベースの要目表部分である。 いくつかの実施形態に係る警戒データベースの要目表部分である。 いくつかの実施形態に係る表示である。
以下の詳細な説明において、実施形態の完全な理解を提供するために、多数の具体的な詳細を述べる。しかしながら、当業者によって、実施形態がこれらの具体的な詳細なしで実施されてよいと理解されるであろう。他の例では、周知の方法、手順、構成要素および回路は、実施形態を不明瞭にしないように詳述していない。
電力グリッドが次第にインターネットに接続されている。結果として、これらの電力グリッドは脅威に脆弱であることがあり、場合によっては、複数の攻撃が同時に発生することがある。FDIA手法などの、電力グリッドを保護する現存の手法は、これらの脅威に適切に対処しない可能性がある。したがって、電力グリッドをサイバー攻撃などの悪意から自動的かつ正確に保護することが望ましいであろう。図1は、いくつかの実施形態に従うシステム100のハイレベルアーキテクチャである。システム100は、「正常空間」データソース110および「異常空間」データソース120を含んでよい。正常空間データソース110は、複数の異種「データソースノード」130(「1、2、…N」の異なるデータソースノードに対して「DS1」、「DS2」、…「DSN」として図1に図示する)の各々に関して、電力グリッドの正常運転を表す一連の経時的な正常値(たとえば、モデルによって生成されるか、または図1に破線によって例示するように実際のデータソースノード130のデータから収集される)を記憶してもよい。本明細書で使用する場合、句「データソースノード」は、たとえば、センサデータ、アクチュエータおよび補助機器に送られる信号、直接のセンサ信号でない中間パラメータ、ならびに/または制御論理を指してもよい。これらは、たとえば、脅威監視システムからデータの連続信号もしくは流れまたはその組合せの形態でデータを連続的に受信する脅威データソースノードを表してよい。その上、ノード130は、サイバー脅威または異常イベントの発生を監視するために使用してよい。このデータ経路は、情報が安全にされて、サイバー攻撃を介して改竄されることができないように、暗号化または他の保護機構が具体的に指定されてよい。異常空間データソース120は、データソースノード130の各々に関して、電力グリッドの異常運転(たとえば、システムがサイバー攻撃を経験しているとき)を表す一連の異常値を記憶してもよい。いくつかの実施形態によれば、データソースノード130は「異種」データを提供する。すなわち、データは、ソーシャルメディアデータ、ワイヤレスネットワークデータ(たとえば、Wi−Fiデータ)、気象データ(たとえば、気温データ、アメリカ海洋大気局(「NOAA」情報など)、IT入力、市場価格設定などといった、広く多様な領域からの情報を表してよい。いくつかの実施形態によれば、データソースノード130は、地理スタンプ付きの地理的に分離した異種センサと関連付けられる。
正常空間データソース110および異常空間データソース120からの情報は、そのデータを使用して決定境界(すなわち、正常挙動を異常挙動から分離する境界)を作成するオフライン異常状態検出モデル作成コンピュータ140に提供されてよい。決定境界は、次いで異常状態検出モデル155を実行する異常状態検出コンピュータ150によって使用されてよい。異常状態検出モデル155は、たとえば、センサノード、アクチュエータノードおよび/または任意の他の重大なデータソースノード(たとえば、データソースノードDSからDS)からのデータから成るデータソースノード130からのデータの流れを監視し、受信データに基づいて各データソースノードに対して少なくとも1つの「特徴」を計算し、そして適切なときに1つまたは複数の遠隔監視デバイス170に脅威警戒信号を「自動的に」出力してよい(たとえば、ユーザへの表示のために)。いくつかの実施形態によれば、脅威警戒信号は、ユニットコントローラ、プラントヒューマンマシンインタフェース(「HMI」)に、またはいくつかの異なる送信方法を介して顧客に送信されてもよい。脅威警戒信号の1つの受信機が、広範囲の電力グリッド資産への複数の攻撃を相関させるクラウドデータベースでもよいことに留意されたい。本明細書で使用する場合、用語「特徴」は、たとえば、データの数学的特性を指してよい。データに適用される特徴の例は、最大値、最小値、平均値、標準偏差、分散、範囲、現在値、整定時間、高速フーリエ変換(「FFT」)スペクトル成分、線形および非線形主成分、独立成分、スパースコーディング特徴、深層学習特徴などを含んでもよい。その上、用語「自動的に」は、たとえば、人間の介入が殆どまたは全くなく行われることができる動作を指してよい。いくつかの実施形態によれば、検出した脅威についての情報が電力グリッドへ返信されてよい。
本明細書で使用する場合、システム100と関連付けられるデバイスおよび本明細書に記載する任意の他のデバイスを含むデバイスは、ローカルエリアネットワーク(「LAN」)、メトロポリタンエリアネットワーク(「MAN」)、ワイドエリアネットワーク(「WAN」)、固有ネットワーク、公衆電話交換網(「PSTN」)、ワイヤレスアプリケーションプロトコル(「WAP」)ネットワーク、ブルートゥース(登録商標)ネットワーク、ワイヤレスLANネットワーク、および/またはインターネット、イントラネットもしくはエクストラネットなどのインターネットプロトコル(「IP」)ネットワークの1つまたは複数でよい任意の通信ネットワークを介して情報を交換してよい。本明細書に記載する任意のデバイスが1つまたは複数のそのような通信ネットワークを介して通信してよいことに留意されたい。
オフライン異常状態検出モデル作成コンピュータ140は、正常空間データソース110および/または異常空間データソース120などの様々なデータソースに情報を記憶して、かつ/またはそれらから情報を検索してよい。様々なデータソースは、ローカルに記憶されて、またはオフライン異常状態検出モデル作成コンピュータ140(たとえば、オフラインもしくはオンライン学習と関連付けられてもよい)から遠隔に存在してよい。単一のオフライン異常状態検出モデル作成コンピュータ140を図1に図示するが、任意の数のそのようなデバイスが含まれてよい。その上、本明細書に記載する様々なデバイスは、本発明の実施形態に従って組み合わされてもよい。たとえば、いくつかの実施形態において、オフライン異常状態検出モデル作成コンピュータ140および1つまたは複数のデータソース110、120は、単一の装置から成ってもよい。オフライン異常状態検出モデル作成コンピュータ140機能は、分散処理またはクラウドベースのアーキテクチャで、一群のネットワーク化装置によって行われてよい。
ユーザは、監視デバイス170(たとえば、パーソナルコンピュータ(「PC」)、タブレットまたはスマートフォン)の1つを介してシステム100にアクセスして、本明細書に記載する実施形態のいずれかに従って、脅威情報についての情報を閲覧して、かつ/または脅威情報を管理してよい。場合によっては、対話型グラフィカル表示インタフェースが、ユーザに、一定のパラメータ(たとえば、異常状態検出トリガレベル)を定義および/もしくは調節させ、かつ/またはオフライン異常状態検出モデル作成コンピュータ140および/もしくは異常状態検出コンピュータ150からの自動的に生成される勧告または結果を提供もしくは受信させてよい。
たとえば、図2は、図1に関して記載したシステム100の要素のいくつか、またはすべてによって行われてもよい方法を例示する。本明細書に記載するフローチャートは、ステップの固定された順序を意味せず、本発明の実施形態は、実施可能である任意の順序で実施されてよい。本明細書に記載する方法のいずれもハードウェア、ソフトウェアまたはこれらの手法の任意の組合せによって行われてよいことに留意されたい。たとえば、コンピュータ可読記憶媒体が、機械によって実行されると、本明細書に記載する実施形態のいずれかに係る遂行という結果になる命令を記憶してよい。
S210で、複数のリアルタイム異種データソースノード信号入力が、電力グリッドの現在の運転を表す経時的なデータソースノード信号値の流れを受信してよい。データソースノード(たとえば、コントローラノードなど)の少なくとも1つが、たとえば、センサデータ、補助機器入力信号、制御中間パラメータおよび/または制御論理値と関連付けられてよい。
S220で、リアルタイム脅威検出コンピュータプラットフォームが、データソースノード信号値の流れを受信し、そしてデータソースノード信号値の各流れに関して、現在データソースノード特徴ベクトルを生成してよい。いくつかの実施形態によれば、現在データソースノード特徴ベクトルの少なくとも1つが、主成分、統計的特徴、深層学習特徴、周波数領域特徴、時系列分析特徴、論理的特徴、地理的もしくは位置ベースの場所、および/または対話特徴と関連付けられる。
S230で、各生成した現在データソースノード特徴ベクトルが、そのデータソースノードに対する対応する決定境界(たとえば、線形境界、非線形境界、多次元境界など)と実質的にリアルタイムで比較されて、決定境界は、そのデータソースノードについて正常状態を異常状態から分離するよい。いくつかの実施形態によれば、少なくとも1つのデータソースノードが複数の多次元決定境界と関連付けられ、そしてS230での比較は、それらの境界の各々に関連して行われる。決定境界が、たとえば、特徴ベースの学習アルゴリズムおよび電力グリッドの高忠実度モデルまたは正常運転に従って生成されてもよいことに留意されたい。その上、少なくとも1つの決定境界が、多次元空間に存在し、そして完全実施要因計画、田口スクリーニング計画、中心複合方法、ボックスベーンケン方法および実世界運転条件方法などの実験計画から得られるデータを使用して構築される動的モデルと関連付けられてよい。加えて、決定境界と関連付けられる異常状態検出モデルが、いくつかの実施形態に従って、過渡的条件、電力グリッドの定常状態モデル、および/またはシステムを到来データ流から自己学習システムでのように運転しつつ得られるデータセットに基づいて、動的に得られ、そして適合されてもよい。
S240で、システムは、S230で行った比較の結果に基づいて異常警戒信号(たとえば、通知メッセージなど)を自動的に送信してよい。異常状態は、たとえば、アクチュエータ攻撃、コントローラ攻撃、データソースノード攻撃、プラント状態攻撃、なりすまし、物的損害、ユニット可用性、ユニットトリップ、ユニット寿命の損失、少なくとも1つの新たな部品を必要とする資産損害、警報器によって検出可能でないステルス攻撃、負荷交番攻撃、トポロジ変化攻撃、安定性危殆化攻撃および/または周波数危殆化攻撃と関連付けられてもよい。いくつかの実施形態によれば、異常警戒信号が送信されるときに、1つまたは複数の応答動作が行われてよい。たとえば、システムは、電力グリッドの全体または一部を自動的に運転停止して(たとえば、検出した潜在的なサイバー攻撃をさらに調査させて)もよい。他の例として、1つまたは複数のパラメータが自動的に修正されたり、ソフトウェアアプリケーションが自動的に始動されてデータを捕捉し、かつ/または可能性がある原因を切り分けたりなどしてもよい。脅威警戒信号がPREDIX(登録商標)フィールドエージェントシステムなどのクラウドベースのシステムを介して送信されてもよいことに留意されたい。いくつかの実施形態によれば、情報を保管し、かつ/または境界についての情報を記憶するために、クラウド手法も使用してもよいことに留意されたい。
いくつかの実施形態によれば、システムは、さらに特定のデータソースノードに対する脅威の起点を局在化してよい(たとえば、高レベルの電力グリッドのための局在化を含む)。たとえば、局在化は、別のデータソースノードと関連付けた決定境界が越えられたときと比較して、1つのデータソースノードと関連付けた決定境界が越えられたときに従って行ってよい。いくつかの実施形態によれば、特定のデータソースノードの指示が異常警戒信号に含まれてもよい。
本明細書に記載するいくつかの実施形態は、調整された高忠実度機器モデルおよび/または実際の「実地」データから演繹的に学習して、システムに対する単一または複数の同時の敵対的な脅威を検出することによって、電力グリッドの物理学を利用してよい。その上、いくつかの実施形態によれば、すべてのデータソースノードデータが高度な特徴ベースの方法を使用して特徴に変換されてよく、そして電力グリッドのリアルタイム運転は実質的にリアルタイムで監視していてよい。監視したデータを「正常」である、または途絶(もしくは劣化)しているとして分類することによって、異常が検出されてよい。この決定境界は、動的モデルを使用して構築されてよく、かつ脆弱性の早期検出を可能にする(かつ破局故障を潜在的に回避する)のを促進して、オペレータが電力グリッドをただちに正常運転に回復させるようにしてよい。
自動的に抽出されて(たとえば、アルゴリズムを介して)および/または手動で入力されてよい適切な一組の多次元特徴ベクトルが、低次元ベクトル空間における測定データの良好な予測子を含んでもよいことに留意されたい。いくつかの実施形態によれば、DoE技術と関連付けられる科学原理を介して得られるデータセットを使用して、適切な決定境界が多次元空間に構築されてよい。その上、決定境界を生成するために、複数のアルゴリズム的方法(たとえば、サポートベクターマシン、機械学習技術のnoe)を使用してよい。境界が測定データ(または高忠実度モデルから生成されるデータ)によって駆動されることがあるので、定義された境界マージンが多次元特徴空間における脅威区域を作成するのを促進し得る。その上、マージンは、本質的に動的で、そして機器の過渡または定常状態モデルに基づいて適合されて、かつ/またはシステムを到来データ流から自己学習システムでのように運転しつつ得られてよい。いくつかの実施形態によれば、決定境界を教示するために、教師あり学習のための訓練方法を使用してよい。この種類の教師あり学習は、システム運転(たとえば、正常および異常運転間の差)についてのオペレータの知識を考慮してよい。
本明細書に記載する実施形態のいずれかに従って、主成分(自然基底系で構築される重み)ならびに統計的特徴(たとえば、時系列信号の平均、分散、歪度、尖度、最大、最小値、最大および最小値の場所、独立成分など)を含め、多くの異なる種類の特徴が利用されてよいことに留意されたい。他の例は、深層学習特徴(たとえば、実験および/または歴史データセットをマイニングすることによって生成される)ならびに周波数領域特徴(たとえば、フーリエまたはウェーブレット変換の係数と関連付けられる)を含む。実施形態は、相互相関、自己相関、自己回帰の次数、移動平均モデル、モデルのパラメータ、信号の微分および積分、立上り時間、整定時間、ニューラルネットワークなどといった、時系列分析特徴とも関連付けられてよい。さらに他の例は、論理的特徴(「はい」および「いいえ」などの意味的抽象を伴う)、地理的/位置的場所、対話特徴(複数のデータソースノードおよび具体的な場所からの信号の数学的組合せ)、範囲ならびに現在値を含む。実施形態は、任意の数の特徴を組み入れてよく、特徴が多いほど、システムが物理的過程および脅威についてより多くを学習するにつれて、手法がより正確になるようにする。いくつかの実施形態によれば、データソースノードからの異なる値は、単位のない空間に正規化されてよく、これは、出力および出力の強度を比較する簡単な方法を可能にしてよい。
したがって、いくつかの実施形態は、高度な異常検出アルゴリズムを提供して、たとえば、主要な電力グリッドセンサへのサイバー攻撃を検出してよい。アルゴリズムは、データソースノード固有の決定境界を使用して、どの信号が攻撃されているかを識別してよく、そして制御システムに、適応動作をするように通知してよい。特に、検出および局在化アルゴリズムが、センサ、補助機器入力信号、制御中間パラメータまたは制御論理が正常または異常状態にあるかどうかを検出してもよい。
アルゴリズムのいくつかの実施形態は、高忠実度物理モデルおよび/または機械運転データ(アルゴリズムが任意のシステムで展開されるようにするであろう)に基づいて、特徴ベースの学習技術を利用して高次元決定境界を確立してよい。結果として、検出が、複数の信号を使用してより高精度で起こることになり、検出をより少ない誤検出でより正確にする。その上、実施形態は、データソースノードデータへの複数の攻撃を検出し、そして根本原因の攻撃がどこで生じたかを説明してよい。
サイバー攻撃検出および局在化アルゴリズムが、リアルタイム電力グリッド信号データ流を処理し、次いでセンサ固有の決定境界と続いて比較されることができる特徴(複数の識別子)を算出してよい。本明細書に記載する実施形態のいずれかに従って、センサ以外の監視ノードが組み込まれてもよい(たとえば、アクチュエータノード、コントローラノードなど)ことに留意されたい。いくつかの実施形態に係るセンサ固有の電力グリッドサイバー攻撃検出および局在化アルゴリズムを利用するシステム300のブロック図を図3に提供する。特に、電力グリッド332は、電子回路およびプロセッサを持つコントローラ336がアクチュエータ338を調節するのを促進する情報をセンサ334に提供する。オフライン異常状態検出システム360は、電力グリッド332と関連付けられて正常データ310および/または異常データ320を作成する1つまたは複数の高忠実度物理ベースのモデル342を含んでよい。正常データ310および異常データ320は、オフラインの間(たとえば、必ずしも電力グリッド332が運転している間ではない)、特徴発見構成要素344によってアクセスされ、そして決定境界アルゴリズム346によって処理されてよい。決定境界アルゴリズム346は、様々なデータソースノードに対する決定境界を含む脅威モデルを生成してよい。各決定境界は、各データソースノード信号(たとえば、センサ334、コントローラ336および/またはアクチュエータ338からの)に対して、正常データ310および異常データ320を使用するサポートベクターマシンなどの二項分類アルゴリズムを実行することによって構築される高次元空間において2つのデータセットを分離してよい。
リアルタイム脅威検出プラットフォーム350は、データソースノードからのデータの流れに加えて境界を受信してよい。プラットフォーム350は、各データソースノードでの特徴抽出要素352、ならびにセンサ固有の決定境界を使用して個々の信号における攻撃を検出し、また複数の信号への攻撃を説明して、局在化モジュール356を介して、どの信号が攻撃されたか、およびどれがシステムへの以前の攻撃のため異常になったかを宣言するアルゴリズムを持つ正常性決定354を含んでよい。適応要素358は、異常決定指示(たとえば、脅威警戒信号)、コントローラ動作および/または攻撃されたデータソースノードのリストなどの出力370を生成してよい。
リアルタイム検出の間、データソースノードデータの連続バッチがプラットフォーム350によって処理され、正規化され、そして特徴ベクトルが抽出されてよい。高次元特徴空間における各信号に対するベクトルの場所が、次いで対応する決定境界と比較されてよい。それが攻撃領域内に入れば、サイバー攻撃が宣言されてよい。アルゴリズムは次いで、攻撃が当初どこで発生したかについての決定をしてよい。攻撃は、時にアクチュエータ338に対してであり、次いでセンサ334のデータに現れることがある。攻撃評価が決定後モジュール(たとえば、局在化要素356)で行われて、攻撃がセンサ、コントローラまたはアクチュエータのいずれかに関連するかどうか切り分けてもよい(たとえば、データソースノードのどの部分かを示す)。これは、決定境界に対して特徴ベクトルの場所を個々に経時的に監視することによって行われてよい。たとえば、センサ334がなりすまされる場合、攻撃されたセンサ特徴ベクトルは、図4に関して記載するように、残りのベクトルより早く決定境界を越えるであろう。センサが異常であると宣言され、後に補助機器への負荷指令が異常であると判定されれば、信号なりすましなどの当初の攻撃がセンサ334に発生したと判定してよい。反対に、補助機器への信号が最初に異常であると判定され、次いで後にセンサ334のフィードバック信号に現れれば、機器への信号が最初に攻撃されたと判定してよい。
いくつかの実施形態によれば、局在決定境界および固有の信号特徴のリアルタイム算出の使用を通して信号が正常運転空間(または異常空間)にあるか否かを検出してよい。その上、アルゴリズムが、補助機器への信号が攻撃されているのと比較して、センサが攻撃されている(またはアクチュエータノードが攻撃されている)のを区別してよい。制御中間パラメータおよび制御論理も同様の方法を使用して分析されてよい。アルゴリズムが異常になる信号を説明することに留意されたい。信号への攻撃が次いで識別されてよい。
図4は、いくつかの実施形態に従うデータソースノードパラメータと関連付けられてもよい境界および特徴ベクトルを例示400する。特に、グラフ410は、第1の軸を表す値重み1(「w1」)、特徴1、および第2の軸を表す値重み2(「w2」)、特徴2を含む。w1およびw2に対する値は、たとえば、入力データに行われる主成分分析(「PCA」)からの出力と関連付けられてもよい。PCAは、アルゴリズムによってデータを特性化するために使用されてもよい特徴の1つでもよいが、他の特徴が活用されることがありえることに留意されたい。
グラフは、強境界412(実線の曲線)、最小境界416(点線の曲線)および最大境界414(破線の曲線)、ならびにデータソースノードパラメータに対する現在の特徴場所(グラフ上に「X」で例示する)と関連付けられる表示を含む。図4に例示するように、現在のデータソースノード場所は最小および最大境界間である(すなわち、「X」は点線および破線間である)。結果として、システムは、電力グリッドの運転が正常である(そして、システムが現在攻撃を受けていることを示す脅威は検出されていない)と判定してよい。
データソースノードにおける異常状態を検出するための現存の方法は、FDIA(それ自体非常に限定される)に限られている。本明細書に記載するサイバー攻撃検出および局在化アルゴリズムは、センサの異常信号を検出することができるだけでなく、補助機器に送られる信号、制御中間パラメータおよび/または制御論理を検出することもできる。アルゴリズムは、複数の信号攻撃を理解することもできる。サイバー攻撃脅威を正しく識別することに関する1つの課題は、それが、複数のセンサがほぼ同時にマルウェアによって影響を受けるように発生することがあるということである。いくつかの実施形態によれば、アルゴリズムが、攻撃が発生したこと、どのセンサが影響を受けているかをリアルタイムで識別し、そして故障応答を宣言してよい。そのような結果を遂げるために、システムの詳細な物理的応答は、許容決定境界を作成すると認められなければならない。これは、たとえば、高忠実度モデルに実験計画(「DoE」)実験を行うことによって正常および異常領域に対するデータセットを構築することによって達成されてもよい。各センサに対するデータセットは、所与の脅威値に対する特徴ベクトルから成ってもよい。完全実施要因、田口スクリーニング、中心複合およびボックスベーンケンが、攻撃空間を作成するために使用される公知の設計方法論のいくつかである。モデルが入手可能でない場合、これらのDoE方法は、現実の発電機システムからデータを収集するためにも使用される。実験は、同時攻撃の異なる組合せで行ってよい。いくつかの実施形態において、システムは、サイバー攻撃と対照的な劣化/故障運転を検出してよい。そのような決定は、劣化/故障運転空間と関連付けられるデータセットを利用してもよい。この工程の終了時に、システムは、決定境界を構築する間に使用するための「攻撃対正常」および「劣化対正常」などのデータセットを作成してよい。さらに、決定境界が、特徴空間におけるデータセットを使用して各信号に対して作成されてよいことに留意されたい。決定境界を算出するために、様々な分類方法を使用してよい。たとえば、二項線形および非線形教師あり分類器が、決定境界を得るために使用することがありえる方法の例である。
実施形態が時間的および/または空間的正規化を利用してもよいことに留意されたい。時間的正規化は、時間軸に沿って正規化を提供してよい。空間的正規化は、複数のノード(たとえば、センサ軸)に沿って信号を正規化するために使用してよい。いずれにせよ、正規化信号は、次いで特徴抽出および決定境界との比較を使用して攻撃検出を行うために使用してよい。センサ、アクチュエータおよびコントローラノード時系列データ(ならびに他の種類のデータ)を実質的にリアルタイムで処理して、このデータから「特徴」を抽出してよい。特徴データを次いで決定境界と比較して、システムにサイバー攻撃が発生したかどうかを判定してよい。空間的に正規化されたデータの攻撃を検出するために、同様の手法を使用してよい。
リアルタイムデータの処理は、電力グリッドの正常運転点を利用してよい。この正常運転点は、たとえば、システム運転モード、外部条件、システム低下係数などに基づいて判定されてもよい。リアルタイム測定センサデータ、アクチュエータデータおよびコントローラノードデータは、実測および公称値間の差が算出され、そしてこの差またはデルタが予想運転条件係数で正規化されるように処理されてよい。
図5は、いくつかの実施形態に係るオフラインおよびリアルタイム異常決定および早期警告ツールアーキテクチャ500である。特に、アーキテクチャ500は、オフライン部分510(たとえば、6から8時間ごとに一度計算を行う)およびリアルタイム部分550を含む。オフライン部分510は、シナリオおよび脅威点を受信する多モード集学的(「MMMD」)特徴発見要素520を含む。シナリオおよび脅威点は、たとえば、異常決定モデリングシステム540に特徴ベクトルを逐次提供する特徴発見要素530の特徴エンジニアリング532、動的システム同定534および/または特徴拡張536要素に提供されるデータサンプルを生成するデータ生成要素522(たとえば、電力システムモデルと関連付けられる)に提供されてよい。異常決定モデリングシステム540は、決定境界算出546によってアーキテクチャ500のリアルタイム部分550における異常決定およびイベント評価要素580に特徴境界を出力するために、受信した特徴ベクトルとともに使用される正常データ542ならびに異常データ544(たとえば、対象データおよびランダムデータ)を含んでよい。
アーキテクチャ500のリアルタイム部分550は、センサデータ、ソーシャルメディアデータ(たとえば、電力グリッドの性能に関するツイート)、Wi−Fiデータ、気象データ、IT入力などといった、同種ソースからの情報を受信する前処理要素552も含んでよい。前処理要素552は次いで、MMMD特徴抽出ユニット560および動的異常予測および状況認識要素570(たとえば、早期警告を生成するため)に提供されるデータサンプルを生成してよい。特徴抽出ユニット560は、たとえば、特徴エンジニアリング562および特徴拡張564を含み、そして異常決定およびイベント評価要素580に特徴ベクトルを提供してもよい。いくつかの実施形態によれば、異常決定およびイベント評価要素580は、正常性意思決定582(たとえば、正常指示を生成するため)ならびにイベント切分け、局在化および重要性評価要素584(たとえば、なりすまし指示、システムイベント指示、場所指示、重要性指示などを生成するため)を含む。
いくつかの実施形態によれば、アーキテクチャ500は、2つのステップ:(1)たとえば、およそ一日につき4度の頻度でオフライン算出に使用するための特徴ベースのモデル支援学習手法510、および(2)異種データソースを活用するリアルタイム高速検出工程550(たとえば、およそ毎秒一度から毎分一度で動作する)から成る提案するフレームワークを実装してよい。オフライン決定境界ツール510は、物理ベースの電力システムモデル(たとえば、データ生成要素522と関連付けられる)を使用して、異なる運転点を正常または異常条件として特性化してよい。システムはまた、サイバーセキュリティ観点から重大な対象と関連付けられてよい異常イベントにフラグを立ててよい。この目的で、運転点は、正常運転点および任意の公知の脆弱性を含むように定義されてよい。リアルタイムツール550は、決定境界、オフライン工程510の間に構築される様々なマッピング関数、および異種センサからのリアルタイムデータを使用して、システムの正常運転から異常条件を識別してよい。
オフラインツール510は、たとえば、およそ一日当たり2から4度実行されて、その日の間の電力グリッドに対する予想最高および最低負荷点を表してもよい。データ生成要素522と関連付けられる電力システムモデルは、発電機および送電線などの電力システム構成要素を持つネットワークトポロジから成ってよい。これらの物的グリッド資産のいずれも潜在的にサイバー攻撃を受けることがあることに留意されたい。いくつかの実施形態によれば、モデルに埋め込まれるいくつかの仮想センサから、一組の所定の運転点に対して、合成データを生成してよい。
図6は、いくつかの実施形態に従うオフライン異常決定境界ツール600である。特に、ツール600は、オフライン算出のための特徴ベースのフレームワークに使用される主要なステップを例示する。電力システムモデル622は、たとえば、バス(インピーダンス付き)、送電線、発電機、負荷、分流器、制御ボルトアンペア無効電力(「VAR」)デバイス、パワーエレクトロニクスデバイス、DCバス、DCラインなどと関連付けられる入力(たとえば、脅威点)を受信してよい。合成データ収集630(たとえば、仮想センサ、電流、電圧、無効電力、有効電力などと関連付けられる)は、電力システムモデルから情報を受信し、そして前処理650にデータを提供してよい。前処理650は、たとえば、リサンプリング、時間同期、欠陥データ検査などと関連付けられてもよく、そして感知データ流に対する異常シナリオを作成することによって制御シミュレーション環境で現実的なシナリオをテストするのを促進し得る。
前処理650されたセンサデータは、機械学習を利用して、従来(たとえば、現存)および非従来のデータソースを最大限に活用することによって知識ベースの浅いおよび/または深い特徴を識別してよい多モード集学的(「MMMD」)特徴発見フレームワーク660を使用して、顕著な特徴に変換される。MMMD特徴発見フレームワークが特徴エンジニアリング662(たとえば、バッチ選択、基底ベクトル算出、特徴抽出、次元縮退などといった分析と関連付けられる)ならびに工学的かつ動的システム特徴ベクトル664と関連付けられてよいことに留意されたい。その上、前処理650の情報は、最適特徴672、システム同定674および/または動的システム特徴676を通った後に工学的かつ動的システム特徴ベクトル664に提供されてよい。MMMD特徴発見フレームワーク660は、いくつかの実施形態に従って、決定境界を生成するために使用されることになるデータセット(たとえば、正常データ642ならびに対象データおよびランダムデータなどの異常データ646)を出力してよい。
特徴の時間発展をモデル化することになる特徴空間における動的状態空間モデルを構築するために、これらの特徴の部分集合を使用してよい。この情報は、前組の工学的特徴ベクトルに拡張されてよい。したがって、拡張特徴ベクトルは、物理ベースのモデルからの情報および特徴自体の動的性質を含んでよい。簡潔にするため、1つの処理バッチ内のセンサからのデータに関する時間発展を利用してもよい。いくつかの実施形態によれば、特徴マップ(たとえば、基底ベクトル、特徴ベクトル次元、特徴パラメータなど)が、リアルタイム演算の間に使用するために記憶されることになる。様々な可能な脅威シナリオを所与の動作条件に対してシミュレートしてよく、そしてこれらの脅威シナリオの、電力システム現象(たとえば、電圧安定性、地域間動揺安定性など)へのそれらの影響に関する重要性を、根本的なネットワーク構造情報を利用する特徴ベースのアルゴリズムを使用して定量化してよい。これは、大規模電力システム現象の観点から脅威を特性化およびランク付けするのを促進し得る。
いくつかの実施形態によれば(たとえば、図7について論じた後に図8および9に関連して記載するように)、電力グリッド保全性および許容サービス品質を維持するのに重大である脅威点を識別するために、複雑ネットワーク理論を活用してよい。電力システムモデルにおいて一度に1つのノード(または一対のノード)をランダムに取り除いて、それらの特徴集合を正常運転の間の特徴集合のものから区別することによって、システムイベントのランダム性をシミュレートしてよい。
この工程は、異なる運転点に対して繰り返して、ランダムな集合のデータおよび対象とする集合のデータを作成してよい。ランダムな集合および対象とする集合からの特徴の組合せが、異常グリッド条件を示す異常データセットを提供してよい。次いで二項分類器において正常および異常データセットを使用して、決定境界を得てよい。異常データセットは、任意のシステムイベント(組織的サイバー攻撃、故障およびなりすましなどの)下の条件を表してよい。高度な攻撃者がグリッドの重大な構成要素を対象とすることを望む可能性がある(それが最大の損害を引き起こす可能性を有するので)ことに留意されたい。結果として、この工程は、リアルタイム意思決定過程の間に使用されることができるノードに対する重要性指数も生成してよい。
図7は、いくつかの実施形態に係るリアルタイム決定、イベント/脅威評価および早期警告システム700を例示する。リアルタイム構成要素は、たとえば、生センサデータを受信し、そして処理センサデータを生成する前処理752(たとえば、リサンプリング、時間同期、欠陥データ検査、調整などと関連付けられる)を含んでよい。特徴抽出ユニット760(たとえば、ベクトル知識ベースの浅い/深層学習のための特徴エンジニアリングおよび/または工学的かつ/もしくは動的システム特徴ベクトル関数のための特徴拡張器と関連付けられる)が、処理センサデータを受信し、そして異常決定およびイベント評価ユニット780の決定プロセッサ782に情報を提供してよい。決定プロセッサ782は、正常指示を生成し(適切であれば)、かつ/または決定プロセッサ後イベント切分け、局在化および重要性評価モジュール784に異常データを提供してよい。決定プロセッサ後イベント切分け、局在化および重要性評価ユニット784は、たとえば、ソーシャルメディアデータ、Wi−Fiデータ、気象データ、通信ネットワークデータなどを受信し、そしてなりすまし指示、システムイベント指示、場所指示、重要性指示など(たとえば、確定的決定)を生成してよい。異常予測および状況認識エンジン770が、最適特徴772、システム同定774、動的システム特徴抽出776および/または異常予測要素778を含んで、なりすましまたはシステムイベントに対する早期警告指示(たとえば、確率的決定)を生成してよい。
リアルタイムで、生センサデータは、遠隔端末ユニット(「RTU」)、デジタル故障記録計(「DFR」)、ならびに送電および配電フェーザ測定ユニット(「PMU」)、マイクロPMUおよびスマートメータのような現代のセンサのような、従前の電力システムセンサから得られてよい。これは、Wi−Fi動作、テキストメッセージング動作、サイバーインフラストラクチャ状況入力、ならびに/またはソーシャルメディアおよびインターネットフィードのような非従前のソースに加えてであってよい。電力グリッド実装によっては、状況メッセージ(たとえば、グリッドが「健全である」または「健全でない」ことを示すメッセージ)を提供するメッセージングセンサを含んでよく、そしてこの種類のデータが追加的な感知データとして含まれてよいことに留意されたい。前処理752は、データセットを配列し、そしてデータ完全性攻撃(たとえば、なりすましと関連付けられる)の可能性を識別するために行われてよい。このステップでは、システムは、オフライン決定境界ツールで生成した様々な特徴マッピング関数をリアルタイムで使用するためにインポートしてよい。この特徴集合は、現在および過去の最適特徴の選択した集合にシステム同定を行うことによって、動的システムからの顕著な特徴でさらに拡張されてよい。動的システムモデルは、たとえば、予測および状況認識で使用するためにリアルタイムで更新してよい。
拡張特徴集合は、静的および動的の両特徴から成ってよく、そして対応する信頼区間に関して決定がなされることができるように、オフライン分析から構築される決定境界に対して比較されてよい。この特徴集合は、切迫した脅威の早期警告を可能にするために、異常予測および状況認識エンジン770のためにも使用してよい。異常が検出されれば、特徴集合は、決定処理後モジュール784内でさらに分析されてよい。このモジュール784では、異常イベントは、従来および非従来の両センサデータを使用してさらに評価され、そしてなりすましおよび不良データ、システムイベント、サイバー物理攻撃などと分類されてよい。この決定および分類を本質的に確定的と考えてよいことに留意されたい。上記の異常場所の場所および重大性または重要性も、オフライン算出の間に展開される不良データ検出フレームワークおよび複雑ネットワーク理論モデルを使用して評価してよい。リアルタイム特徴から更新した動的状態空間モデルを使用して早期警告のために異常予測が行われる異常予測および状況認識エンジン770から、より確率的決定が生まれる可能性がある。
いくつかの実施形態によれば、データは、流れまたはバッチで受信されてよい。図7の異常決定およびイベント評価エンジン780は、システム状況についての確定的決定(たとえば、「正常」、「なりすまし」または「システムイベント」)を提供してよい。異常が起こる前は、確定的システム状況は「正常」でよく、そして異常が実際に起こるまで、それは正常なままでよい。エンジン780は、一旦異常が起こると、それを検出し、そしてそれがなりすまし状況であるかシステムイベントであるかを決定してよい。異常予測および状況認識エンジン770は、確率的決定を提供し、そして電力グリッドに対する初期警告を生成してよい。各瞬間で、状況認識ブロックが確率動的予測を使用して現状を将来へ投影してよい。正常状況の信頼区間が十分に大きくなり(そして信頼水準が低下し)、状況が早期警告指示を是認するまで、確率的状況は正常なままでよい。一旦早期警告が生成されると、将来予測は、来るべき予測した異常が攻撃であるか故障であるかについての確率的決定を(各々に対する発生確率を関連付けて)継続してよい。早期警告が生成されるときと異常が実際には起こるときとの間で、攻撃および故障の信頼区間は狭まってよく(そして信頼水準は上昇してよく)、やがて実際の異常時に(その時点で確定的状況も異常を反映してよい)、最小値に達する(最大信頼を表す)。将来予測は、依然として状況認識ブロックで(予測区間が拡大するにつれて信頼区間が自然に増加して)継続してよい。
システムが異なるセンサから連続した最新情報を受信するとき、提案するフレームワークおよび方法は、信頼区間とともに任意の疑わしい異常にフラグを立ててよい。確定的決定が確かな決定を表してよい一方、確率的決定は将来予測と関連付けられてよい。確定的決定では、システムは、電力グリッドに関する攻撃の場所および重要性の評価を提供してよい。電力グリッドオペレータは次いで、異常の場所および/または異常データを送っているセンサを見ることを選んでよい。電力グリッドオペレータは、適宜さらなる制御選択をすることに決定してもよい。
いくつかの実施形態によれば、複雑ネットワーク手法は、電力グリッドにおける重大な資産およびノードを識別して、サイバー脅威に対するそれらの脆弱性を判定するのを促進し得る。そのような手法では、グリッドの正常運転条件を表す電力システムモデル(「グリッドモデル」)を使用してよい。電力システムモデルは、ネットワークトポロジ、電力線のインピーダンス、ならびに様々なバスと発電機および負荷を接続する変圧器(たとえば、それぞれのバスで電力注入として表される)などの静的ネットワーク情報から成ってもよい。電力システムモデルは、異なる発電機資産に対する初期過渡モデル、負荷に対するモータモデルおよび他の高電力パワーエレクトロニクスデバイスなどの動的データで拡張してもよい。いくつかの実施形態によれば、電力グリッドは、完全微分代数方程式(「DAE」)表現を使用してモデル化してよい。
複雑ネットワーク理論ベースのモデルが、電力グリッドの高レベル抽象化を作成し、そして電力グリッドの脆弱性にとって重大である構成要素を識別することによって、重要な役割を演ずることができることに留意されたい。場合によっては、なんらかのランダムイベント(たとえば、気象イベント)に起因する誤動作と悪意のある対象攻撃からの誤動作間で区別することが課題でよい。複雑ネットワーク理論ベースの分析は、誤動作している構成要素が重大なものであるかどうか−すなわち、擾乱が広く伝播して、停電の可能性となり得るかどうかを識別するのを促進することができる。
いくつかの実施形態によれば、これは複雑ネットワークの制御に拡張されてよく−電力グリッドにいくつかの補償摂動が導入されて、擾乱が広範な停電になるのを防止する。ノード重大性を使用してサイバー脅威を検出するためのハイレベルアーキテクチャを図8に図示する。そのような手法は、たとえば、グリッドモデルを使用して正常および異常データセットを作成するために使用してもよい。いくつかの実施形態によれば、図8の要素のいくつかまたはすべては、図7の決定処理後モジュール784と関連付けられてよい。812で、ノードが取り除かれ、そして電力システムモデルが814で実行される。この工程は繰り返し反復されてよい。偏差が816で検査され、そしてそれが818で許容範囲内であれば、データは820で「正常」と分類されてよい。偏差が818で許容範囲内でなければ、データは830で「ランダム」と分類されてよい。
840で、システムは、ノードの電力システム特徴および複雑ネットワーク分析(「CNA」)ランキングを使用して重大なノードを推定してよい。842で、最も重大なノードが取り除かれ、そして電力システムモデルが844で実行される。この工程(840の推定を含む)は繰り返し反復されてよい。偏差が846で検査され、そしてそれが848で許容範囲内であれば、データは820で「正常」と分類されてよい。偏差が848で許容範囲内でなければ、データは850で「対象」と分類されてよい。場合によっては、前日ベースでグリッド信頼性を維持するための「N−1」判定基準が、グリッドセキュリティおよび運転にとって重要でよい。いくつかの実施形態によれば、リアルタイム運転の間、オンラインスクリーニングを行って確実性を改善してよい。たとえば、フレームワークは、複雑ネットワーク理論を統合して、重大な変電所および資産の識別を可能にしてよい。負荷を収容するグリッド能力、静的安定性、ならびに過渡および地域間小信号安定性に関する重大な偶発事故および脆弱性のランキングが改善されてよい。「ランダム」830および「標識」850のデータを異常決定モデリング540における異常データ544として使用してよいことに留意されたい。
したがって、シナリオは、イベントを誘発することによって「正常グリッドモデル」から作成されてよい。イベントは、1つまたは数個のネットワーク資産またはノードの故障または除去でよい。そのような「イベント」の任意の組合せを使用してシナリオを作成してもよい。各シナリオに関して、電力システムシミュレーションおよび分析を行ってよく、シナリオの各々における電力グリッドの状態は異なる次元で特性化される。次元は、たとえば、グリッド収容能力、影響を受ける顧客の数および場所、電圧安定性、周波数安定性、小信号および過渡安定性、資産過負荷、ネットワーク輻輳、電力潮流解の非最適性などでもよい。指数はこれらの次元の各々に対して展開されてよく、そしてシナリオはそれらの重大度に基づいてランク付けされてよい。これらの指数およびランキングを他の電力システム特徴とともに使用して、特徴ベクトルを作成してよい。結果として、「正常グリッドモデル」は、「正常グリッドモデル」から作成されるあらゆるシナリオがそうであろうように、その特徴ベクトルを有することになる。
この工程を図9に図示する。S910で、システムは、電力グリッドの各ノードで初期負荷を計算する。S920で、tが「0」に設定され、そしてノードまたはエッジが取り除かれる。S930で、t=t+1で、電力モデルが実行される。S940で、各ノードで負荷が再計算され、S950で新たな隣接行列を形成する。動的発展の終了にS960で達すれば、電力グリッドへの影響がS970で推定される。動的発展の終了にS960で達しなければ、工程はS930から継続する。
たとえば、電力グリッドの電圧安定性を考える。ネットワークにおけるあらゆるノードでの電圧が公称範囲内であり、すべての電力システムおよび顧客資産の円滑な運転を確保することを、電力グリッドオペレータが確実にしなければならないことに留意されたい。許容電圧限界は、典型的に公称予定電圧の上下の5%として特定される。たとえば、505kVの公称予定値を持つ500kVバスは、電力グリッドの円滑な運転を確保するために479.75kVと530.25kVとの間である必要があってよい。電圧不安定性は、たとえば、供給側要因(不十分な無効電力、送電線への過剰な負荷、など)または需要側要因(故障誘発遅延電圧回復、大きなモータ負荷開始、など)に起因する可能性がある。そのような場合の間、電圧振幅は、電力グリッドの区画の公称範囲外であることがある。この状況は、1つまたは複数の修正動作を必要としてよい(それなしでは、電圧低下、局所停電または機器損傷さえ発生する可能性がある)。本明細書に記載するいくつかの実施形態によれば、電力グリッドに対して電圧安定性を維持するために最も重要であるノードおよび資産を識別するために、電圧安定性重大指数を使用してよい。資産に対する電圧安定性重大性指数は、たとえば、グリッドまたは局所レベルで電圧安定性へのその除去の影響に基づいて算出してよい。その影響は、単純なメトリック(電圧振幅および無効電力能力の変化などの)および高度な分析学(ヤコビ行列の「特異性に近いこと」などの)を使用して測定してよい。指数に加えて、資産の重要性を定量化するために使用されるメトリックは、その運転点に対して作成される特徴ベクトルに保持されてよい。小信号安定性、周波数安定性および他の要因(たとえば、ネットワーク輻輳、グリッド収容能力など)に対して、同様の分析を行って、多次元重大性指数から成る特徴ベクトルをもたらしてもよいことに留意されたい。
本明細書に記載する実施形態は、任意の数の異なるハードウェア構成を使用して実施してよい。たとえば、図10は、たとえば、図1のシステム100と関連付けられてよい電力グリッド保護プラットフォーム1000のブロック図である。電力グリッド保護プラットフォーム1000は、通信ネットワーク(図10に不図示)を介して通信するように構成される通信デバイス1020に連結される、ワンチップマイクロプロセッサの形態の1つまたは複数の市販の中央処理装置(「CPU」)などの、プロセッサ1010を備える。通信デバイス1020は、たとえば、1つまたは複数の遠隔データソースノード、ユーザプラットフォームなどと通信するために使用してよい。電力グリッド保護プラットフォーム1000は、入力デバイス1040(たとえば、電力グリッド情報を入力するコンピュータマウスおよび/またはキーボード)ならびに出力デバイス1050(たとえば、表示を描画し、警戒を提供し、勧告を送信し、かつ/または報告を作成するコンピュータモニタ)をさらに含む。いくつかの実施形態によれば、電力グリッド保護プラットフォーム1000と情報を交換するために、モバイルデバイス、監視物理システムおよび/またはPCが使用されてよい。
プロセッサ1010は、記憶デバイス1030とも通信する。記憶デバイス1030は、磁気記憶デバイス(たとえば、ハードディスクドライブ)、光記憶デバイス、移動電話および/または半導体メモリデバイスの組合せを含む任意の適切な情報記憶デバイスから成ってよい。記憶デバイス1030は、プログラム1012、および/またはプロセッサ1010を制御するための異常状態検出モデル1014を記憶する。プロセッサ1010は、プログラム1012、1014の命令を行い、それによって本明細書に記載する実施形態のいずれかに従って動作する。たとえば、プロセッサ1010は、電力グリッドの現在の運転を表す経時的な異種データソースノード信号値の流れを受信してよい。リアルタイム脅威検出コンピュータは、複数の異種データソースノードに連結されており、一連の現在データソースノード値を受信し、そして一組の現在特徴ベクトルを生成してよい。プロセッサ1010は、一組の特徴ベクトルを使用してオフラインで作成される少なくとも1つの決定境界を有する異常状態検出モデル1014にアクセスしてよい。一組の特徴ベクトルは、正常特徴ベクトルおよび/または異常特徴ベクトルを含んでもよい。たとえば、場合によっては、決定境界を構築するために、正常特徴ベクトルだけが教師なし学習アルゴリズムとともに使用されてもよい。そのようなシナリオでは、異常特徴ベクトルは使用されなくてもよい。異常状態検出モデル1014はプロセッサ1010によって実行されてよく、そして一組の現在特徴ベクトルおよび少なくとも1つの決定境界に基づいて、適切であれば脅威警戒信号が送信されてよい。
プログラム1012、1014は、圧縮、未コンパイルかつ/または暗号化形式で記憶されてよい。プログラム1012、1014は、オペレーティングシステム、クリップボードアプリケーション、データベース管理システムおよび/またはプロセッサ1010によって周辺デバイスとインタフェースするために使用されるデバイスドライバなどの、他のプログラム要素をさらには含んでよい。
本明細書で使用する場合、情報は、たとえば、(i)別のデバイスから電力グリッド保護プラットフォーム1000、または(ii)別のソフトウェアアプリケーション、モジュールもしくは任意の他のソースから電力グリッド保護プラットフォーム1000内のソフトウェアアプリケーションもしくはモジュールによって「受信され」て、またはそれに「送信され」てよい。
いくつかの実施形態において(図10に図示するものなど)、記憶デバイス1030は、電力グリッドデータベース1100、データソースデータベース1200および警戒データベース1300をさらに記憶する。電力グリッド保護プラットフォーム1000と関連して使用されてよいデータベースの例を、ここで図11から13に関して詳述することにする。本明細書に記載するデータベースが単に例であり、そして追加のおよび/または異なる情報がそこに記憶されてよいことに留意されたい。その上、本明細書に記載する実施形態のいずれかに従って、様々なデータベースが分割されても、または組み合わされてもよい。
図11を参照すると、いくつかの実施形態に従って電力グリッド保護プラットフォーム1000で記憶されてよい電力グリッドデータベース1100を表すテーブルを図示する。テーブルは、たとえば、電力グリッドと関連付けられる構成要素を識別するエントリを含んでよい。テーブルは、エントリの各々に対してフィールド1102、1104、1106も定義してよい。フィールド1102、1104、1106は、いくつかの実施形態に従って、電力グリッド識別子1102、構成要素識別子1104および説明1106を特定してよい。電力グリッドデータベース1100は、新たな電力グリッドが監視またはモデル化されるときに、たとえば、オフライン(非リアルタイム)で作成および更新されてよい。
電力グリッド識別子1102は、たとえば、監視されることになる電力グリッドを識別する一意の英数字コードでよい。構成要素識別子1104は電力グリッドの要素と関連付けられてもよく、そして説明1106は構成要素(たとえば、変圧器、負荷など)を記載してもよい。電力グリッドデータベース1100は、いくつかの実施形態に従って、構成要素間の接続(たとえば、グリッドのトポロジを定義する)、構成要素状況、CNAデータなどをさらに記憶してもよい。
図12を参照すると、いくつかの実施形態に従って電力グリッド保護プラットフォーム1000で記憶されてよいデータソースデータベース1200を表すテーブルを図示する。テーブルは、たとえば、電力グリッドと関連付けられるデータソースを識別するエントリを含んでよい。テーブルは、エントリの各々に対してフィールド1202、1204、1206も定義してよい。フィールド1202、1204、1206は、いくつかの実施形態に従って、データソース識別子1202、データ値の時系列1204および説明1206を特定してよい。データソースデータベース1200は、たとえば、異種センサから受信される情報に基づいて作成および更新されてよい。
データソース識別子1202は、たとえば、電力グリッドを保護するために監視されることになる情報を提供してもよいデータソースを識別する一意の英数字コードでよい。値の時系列1204は、特定のセンサによって報告されている一組の数(たとえば、電圧、電流などを表す)と関連付けられてもよく、そして説明1206は、監視されている情報の種類(たとえば、センサ、ソーシャルメディア、気象データからなど)を記載してもよい。データソースデータベース1200は、いくつかの実施形態に従って、電力グリッド識別子または構成要素識別子(たとえば、図11の電力グリッドデータベース1100に関して記載した電力グリッド識別子1102および構成要素識別子1104に基づいても、またはそれと関連付けられてもよい)などの他の情報をさらに記憶してもよい。
図13を参照すると、いくつかの実施形態に従って電力グリッド保護プラットフォーム1000で記憶されてよい警戒データベース1300を表すテーブルを図示する。テーブルは、たとえば、電力グリッドに関連して発行された警戒を識別するエントリを含んでよい。テーブルは、エントリの各々に対してフィールド1302、1304、1306、1308も定義してよい。フィールド1302、1304、1306、1308は、いくつかの実施形態に従って、警戒識別子1302、電力グリッド識別子1304、日時1306および説明1308を特定してよい。警戒データベース1300は、たとえば、システムが異常を検出するときに、作成および更新されてよい。
警戒識別子1302は、システムによって識別された特定の異常条件を識別する一意の英数字コードでもよく、そして電力グリッド識別子1304は、監視されている電力グリッドを識別してよい(たとえば、かつ図11の電力グリッドデータベース1100に関して記載した電力グリッド識別子1102に基づいて、またはそれと関連付けられてよい)。日時1306は、いつ警戒が送信されたかを示してもよく、そして説明は、警戒の種類(たとえば、脅威、なりすまし、早期警告など)を記載してもよい。警戒データベース1300は、いくつかの実施形態に従って、局在化情報、重要性情報などといった警戒についての詳細をさらに記憶してもよい。
サイバーセキュリティが、電力グリッド機器などの資産の保護に必要とされる重要な機能であることに留意されたい。この空間における動的正規化は、検出の分解能を改善してよい。電力グリッドと関連付けられる機械は非常に複雑であり得、そして本明細書に記載する実施形態は、検出を高速かつ確実にするサイバーセキュリティアルゴリズムの実装を許可してよい。負荷変動(たとえば、真偽陽性検出、真偽陰性検出などの指示を含む)に対する動的正規化の使用を評価するために、受信機運転条件(「ROC)曲線を使用してもよいことに留意されたい。
以下、本発明の様々な追加の実施形態を例示する。これらはすべての可能な実施形態の定義を構成するわけではなく、当業者は、本発明が多くの他の実施形態に適用できることを理解するであろう。さらに、以下の実施形態は明確にするため簡潔に記載するが、当業者は、上記の装置および方法に、必要に応じて、任意の変更を行ってこれらおよび他の実施形態および応用例に対応する方法を理解するであろう。
具体的なハードウェアおよびデータ構成を本明細書に記載したが、本発明の実施形態に従って、任意の数の他の構成を提供してよい(たとえば、本明細書に記載したデータベースと関連付けられる情報のいくつかは、外部システムに組み合わされて、または記憶されてよい)ことに留意されたい。たとえば、いくつかの実施形態が電力グリッドに重点を置いているが、本明細書に記載する実施形態のいずれも、ダム、風力基地などといった他の種類の資産に適用されることがありえる。その上、いくつかの実施形態がオペレータへの情報の表示と関連付けられてよいことに留意されたい。たとえば、図14は、電力グリッド警戒1420(たとえば、警戒の種類についての詳細を含んでいる)についての情報を示してもよい対話型グラフィカルユーザインタフェース(「GUI」)表示1400を例示する。いくつかの実施形態によれば、攻撃状況についての情報が、異なる電力グリッド間で混交されてよい。たとえば、1つの電力グリッドが他のノード(他の電力グリッドにおける)の状況に気づいていてもよく、そしてそのような手法が組織的サイバー脅威を妨害するのを促進してもよい。
自動脅威検出に加えて、本明細書に記載するいくつかの実施形態は、追加のサイバー防御層を持つシステムを提供し、そしてカスタムプログラミングなしで(たとえば、運転データを使用するとき)展開可能でもよい。いくつかの実施形態は、ライセンスキーで販売されてよく、また監視サービスとして組み込まれることがありえる。たとえば、電力グリッドにおける機器がアップグレードされるとき、境界は定期的に更新されてもよい。
本発明は、例示の目的でいくつかの実施形態のみに関して記載した。当業者は、本記載から、本発明が、記載した実施形態に限定されるのではなく、添付の請求項の趣旨および範囲によってのみ限定される変更および修正とともに実施されることができると認めるであろう。
最後に、代表的な実施態様を以下に示す。
[実施態様1]
電力グリッド(332)を保護するシステム(100)であって、
各々が電力グリッド(332)の現在の運転を表す一連の経時的な現在データソースノード値を生成する複数の異種データソースノード(130)と、
複数の異種データソースノード(130)に連結され、
(i)一連の現在データソースノード値を受信して、一組の現在特徴ベクトルを生成し、
(ii)一組の特徴ベクトルを使用してオフラインで作成される少なくとも1つの決定境界を有する異常状態検出モデル(155)にアクセスし、
(iii)異常状態検出モデル(155)を実行して、一組の現在特徴ベクトルおよび少なくとも1つの決定境界に基づいて脅威警戒信号を送信する、リアルタイム脅威検出コンピュータとを備える、システム(100)。
[実施態様2]
一組の特徴ベクトルが、(i)正常特徴ベクトル、および(ii)異常特徴ベクトルの少なくとも一方を含み、リアルタイム脅威検出コンピュータが、異常状態検出モデル(155)を、およそ毎秒一度とおよそ毎分一度との間の頻度で実行する、実施態様1記載のシステム(100)。
[実施態様3]
異種データソースノード(130)の少なくとも1つが、(i)ソーシャルメディアデータ、(ii)ワイヤレスネットワークデータ、(iii)気象データ、(iv)情報技術入力、(v)電力グリッド(332)の重大なセンサノード、(vi)電力グリッド(332)のアクチュエータノード、(vii)電力グリッド(332)のコントローラノード、および(viii)電力グリッド(332)の主要なソフトウェアノードの少なくとも1つと関連付けられる、実施態様1記載のシステム(100)。
[実施態様4]
リアルタイム脅威検出コンピュータが、(i)なりすまし指示、(ii)システムイベント指示、(iii)場所指示、(iv)重要性指示、および(v)早期警告指示をさらに生成する、実施態様1記載のシステム(100)。
[実施態様5]
一組の正常特徴ベクトルおよび一組の異常特徴ベクトルの少なくとも一方が、(i)主成分、(ii)統計的特徴、(iii)深層学習特徴、(iv)周波数領域特徴、(v)時系列分析特徴、(vi)論理的特徴、(vii)地理的または位置ベースの場所、(viii)対話特徴、(ix)範囲、および(x)現在値の少なくとも1つと関連付けられる、実施態様1記載のシステム(100)。
[実施態様6]
異常状態検出モデル(155)が、(i)アクチュエータ攻撃、(ii)コントローラ攻撃、(iii)データソースノード攻撃、(iv)プラント状態攻撃、(v)なりすまし、(vi)物的損害、(vii)ユニット可用性、(viii)ユニットトリップ、(ix)ユニット寿命の損失、(x)少なくとも1つの新たな部品を必要とする資産損害、(xi)警報器によって検出可能でないステルス攻撃、(xii)負荷交番攻撃、(xiii)トポロジ変化攻撃、(xiv)安定性危殆化攻撃、および(xv)周波数危殆化攻撃の少なくとも1つと関連付けられる、実施態様1記載のシステム(100)。
[実施態様7]
複数の異種データソースノード(130)の各々からの情報が正規化されて、出力が基底関数の加重一次結合として表される、実施態様3記載のシステム(100)。
[実施態様8]
少なくとも1つの決定境界を含む異常状態検出モデル(155)が、正常空間および異常空間を分離する(i)線、(ii)超平面、および(iii)非線形境界の少なくとも1つと関連付けられる、実施態様1記載のシステム(100)。
[実施態様9]
複数の異種データソースノード(130)の各々に関して、電力グリッド(332)の正常運転を表す一連の経時的な正常データソースノード値を記憶する正常空間データソース(110)と、
複数のデータソースノード(130)の各々に関して、電力グリッド(332)の異常運転を表す一連の経時的な異常データソースノード値を記憶する異常空間データソース(120)と、
正常空間データソース(110)および異常空間データソース(120)に連結され、
(i)一連の正常データソースノード値を受信して、一組の正常特徴ベクトルを生成し、
(ii)一連の異常データソースノード値を受信して、一組の異常特徴ベクトルを生成し、
(iii)一組の正常特徴ベクトルおよび一組の異常特徴ベクトルに基づいて異常状態検出モデル(155)のための少なくとも1つの決定境界を自動的に計算および出力する、オフライン異常状態検出モデル作成コンピュータ(140)とをさらに備える、実施態様1記載のシステム(100)。
[実施態様10]
オフライン異常状態検出モデル作成コンピュータが、およそ6時間ごとに一度と8時間ごとに一度との間の頻度で動作する、実施態様9記載のシステム。
[実施態様11]
オフライン異常状態検出モデル作成コンピュータ(140)が、多モード集学的特徴発見と関連付けられる、実施態様9記載のシステム(100)。
[実施態様12]
異常空間データソース(120)が、ランダム異常データおよび対象異常データの両方を記憶する、実施態様9記載のシステム(100)。
[実施態様13]
オフライン異常状態検出モデル作成コンピュータ(140)が、(i)ネットワークトポロジ、(ii)電力線のインピーダンス、(iii)変圧器情報、(iv)発電機データ、(v)負荷データ、および(vi)バス情報の少なくとも1つを含む静的ネットワーク情報を持つ電力システムモデルと関連付けられる、実施態様9記載のシステム(100)。
[実施態様14]
電力システムモデルが、(i)発電機資産に対する初期過渡モデル、(ii)負荷に対するモータモデル、および(iii)高パワーエレクトロニクスデバイスに対するモデルの少なくとも1つを含む動的データで拡張される完全微分代数方程式表現である、実施態様13記載のシステム(100)。
[実施態様15]
オフライン異常状態検出モデル作成コンピュータ(140)が、複雑ネットワーク理論分析を使用してランダムイベントを対象イベントから区別する、実施態様13記載のシステム(100)。
[実施態様16]
電力グリッド(332)を保護するコンピュータ化方法であって、
複数の異種データソースノード(130)の各々に関して、電力グリッド(332)の正常運転を表す一連の経時的な正常データソースノード値を検索することと、
正常データソースノード値に基づいて一組の正常特徴ベクトルをオフラインで生成することと、
複数のデータソースノード(130)の各々に関して、電力グリッド(332)の異常運転を表す一連の経時的な異常データソースノード値を検索することと、
異常データソースノード値に基づいて一組の異常特徴ベクトルを生成することと、
オフライン異常状態検出モデル作成コンピュータ(140)によって、一組の正常特徴ベクトルおよび一組の異常特徴ベクトルに基づいて異常状態検出モデル(155)のための少なくとも1つの決定境界を自動的に計算および出力することとを含む、方法。
[実施態様17]
オフライン異常状態検出モデル作成コンピュータ(140)が、およそ6時間ごとに一度と8時間ごとに一度との間の頻度で動作する、実施態様16記載の方法。
[実施態様18]
オフライン異常状態検出モデル作成コンピュータ(140)が、多モード集学的特徴発見と関連付けられる、実施態様16記載の方法。
[実施態様19]
異常空間データソース(120)が、ランダム異常データおよび対象異常データの両方を記憶する、実施態様16記載の方法。
[実施態様20]
コンピュータプロセッサによって実行されると、コンピュータプロセッサに電力グリッド(332)の保護と関連付けられる方法であって、
複数の異種データソースノード(130)から、電力グリッド(332)の正常運転を表す一連の経時的な正常データソースノード値を受信することと、
リアルタイム脅威検出コンピュータによって、一組の特徴ベクトルを使用してオフラインで作成される少なくとも1つの決定境界を有する異常状態検出モデル(155)にアクセスすることと、
異常状態検出モデル(155)を実行して、一組の現在特徴ベクトルおよび少なくとも1つの決定境界に基づいて脅威警戒信号を送信することとを含む方法を行わせる命令を記憶した非一時的コンピュータ可読媒体。
[実施態様21]
一組の特徴ベクトルが、(i)正常特徴ベクトルおよび(ii)異常特徴ベクトルの少なくとも一方を含み、リアルタイム脅威検出コンピュータが、異常状態検出モデル(155)を、およそ毎秒一度とおよそ毎分一度との間の頻度で実行する、実施態様20記載の媒体。
[実施態様22]
異種データソースノード(130)の少なくとも1つが、(i)ソーシャルメディアデータ、(ii)ワイヤレスネットワークデータ、(iii)気象データ、(iv)情報技術入力、(v)電力グリッド(332)の重大なセンサノード、(vi)電力グリッド(332)のアクチュエータノード、(vii)電力グリッド(332)のコントローラノード、および(viii)電力グリッド(332)の主要なソフトウェアノードの少なくとも1つと関連付けられる、実施態様20記載の媒体。
100 システム
110 正常空間データソース
120 異常空間データソース
130 データソースノード
140 異常状態モデル作成コンピュータ
150 異常状態検出コンピュータ
155 異常状態検出モデル
170 遠隔端末
300 システム
310 正常データ
320 異常データ
332 電力グリッド
334 センサ
336 電子回路およびプロセッサを持つコントローラ
338 アクチュエータ
342 高忠実度物理ベースのモデル
344 特徴発見
346 決定境界アルゴリズム
350 リアルタイム脅威検出プラットフォーム
352 各監視ノードでの特徴抽出
354 正常性決定
356 局在化
358 適応
370 出力
400 例示
410 グラフ
412 平均境界
414 最大境界
416 最小境界
418 特徴ベクトル移動
500 システム
510 オフライン
520 MMMD特徴発見
522 データ生成
530 特徴発見要素
532 特徴エンジニアリング
534 動的システムID
536 特徴拡張
540 異常決定モデリング
542 正常データ
544 異常データ
546 決定境界算出
550 リアルタイム
552 前処理
560 MMMD特徴抽出
562 特徴エンジニアリング
564 特徴拡張
570 動的異常予測および状況認識
580 異常決定およびイベント評価
582 正常性意思決定
584 イベント切分け、局在化および重要性評価
600 システム
622 電力システムモデル
630 合成データ収集
640 データセット
642 正常
646 異常
650 前処理
660 MMMD特徴発見
662 特徴エンジニアリング
664 工学的かつ動的システム特徴ベクトル
672 最適特徴
674 システム同定
676 動的システム特徴
700 システム
752 前処理
760 特徴抽出
770 異常予測および状況認識
772 最適特徴
774 システム同定
776 動的システム特徴抽出
778 異常予測
780 異常決定イベント評価
782 決定プロセッサ
784 決定プロセッサ後
1000 電力グリッド保護プラットフォーム
1010 プロセッサ
1012 プログラム
1014 異常状態検出モデル
1020 通信デバイス
1030 記憶ユニット
1040 入力デバイス
1050 出力デバイス
1100 電力グリッドデータベース
1102 電力グリッド識別子
1104 構成要素識別子
1106 説明
1200 データソースデータベース
1202 データソース識別子
1204 データ値の時系列
1206 説明
1300 警戒データベース
1302 警戒識別子
1304 電力グリッド識別子
1306 日付(時間)
1308 説明
1400 対話型表示
1420 警戒データ

Claims (10)

  1. 電力グリッド(332)を保護するシステム(100)であって、
    各々が前記電力グリッド(332)の現在の運転を表す一連の経時的な現在データソースノード(130)値を生成する複数の異種データソースノード(130)と、
    前記複数の異種データソースノード(130)に連結され、
    (i)前記一連の現在データソースノード(130)値を受信して、一組の現在特徴ベクトルを生成し、
    (ii)一組の特徴ベクトルを使用してオフラインで作成される少なくとも1つの決定境界を有する異常状態検出モデル(155)にアクセスし、
    (iii)前記異常状態検出モデル(155)を実行して、前記一組の現在特徴ベクトルおよび前記少なくとも1つの決定境界に基づいて脅威警戒信号を送信する、リアルタイム脅威検出コンピュータ(150)とを備える、システム(100)。
  2. 前記一組の特徴ベクトルが、(i)正常特徴ベクトル、および(ii)異常特徴ベクトルの少なくとも一方を含み、前記リアルタイム脅威検出コンピュータ(150)が、前記異常状態検出モデル(155)を、およそ毎秒一度とおよそ毎分一度との間の頻度で実行する、請求項1記載のシステム(100)。
  3. 前記異種データソースノード(130)の少なくとも1つが、(i)ソーシャルメディアデータ、(ii)ワイヤレスネットワークデータ、(iii)気象データ、(iv)情報技術入力、(v)前記電力グリッド(332)の重大なセンサノード、(vi)前記電力グリッド(332)のアクチュエータノード、(vii)前記電力グリッド(332)のコントローラノード、および(viii)前記電力グリッド(332)の主要なソフトウェアノードの少なくとも1つと関連付けられる、請求項1記載のシステム(100)。
  4. 前記リアルタイム脅威検出コンピュータ(150)が、(i)なりすまし指示、(ii)システムイベント指示、(iii)場所指示、(iv)重要性指示、および(v)早期警告指示をさらに生成する、請求項1記載のシステム(100)。
  5. 前記一組の正常特徴ベクトルおよび前記一組の異常特徴ベクトルの少なくとも一方が、(i)主成分、(ii)統計的特徴、(iii)深層学習特徴、(iv)周波数領域特徴、(v)時系列分析特徴、(vi)論理的特徴、(vii)地理的または位置ベースの場所、(viii)対話特徴、(ix)範囲、および(x)現在値の少なくとも1つと関連付けられる、請求項1記載のシステム(100)。
  6. 前記異常状態検出モデル(155)が、(i)アクチュエータ攻撃、(ii)コントローラ攻撃、(iii)データソースノード攻撃、(iv)プラント状態攻撃、(v)なりすまし、(vi)物的損害、(vii)ユニット可用性、(viii)ユニットトリップ、(ix)ユニット寿命の損失、(x)少なくとも1つの新たな部品を必要とする資産損害、(xi)警報器によって検出可能でないステルス攻撃、(xii)負荷交番攻撃、(xiii)トポロジ変化攻撃、(xiv)安定性危殆化攻撃、および(xv)周波数危殆化攻撃の少なくとも1つと関連付けられる、請求項1記載のシステム(100)。
  7. 前記複数の異種データソースノード(130)の各々からの情報が正規化されて、出力が基底関数の加重一次結合として表される、請求項3記載のシステム(100)。
  8. 前記少なくとも1つの決定境界を含む前記異常状態検出モデル(155)が、正常空間および異常空間を分離する(i)線、(ii)超平面、および(iii)非線形境界の少なくとも1つと関連付けられる、請求項1記載のシステム(100)。
  9. 前記複数の異種データソースノード(130)の各々に関して、前記電力グリッド(332)の正常運転を表す一連の経時的な正常データソースノード値を記憶する正常空間データソース(110)と、
    前記複数のデータソースノード(130)の各々に関して、前記電力グリッド(332)の異常運転を表す一連の経時的な異常データソースノード値を記憶する異常空間データソース(120)と、
    前記正常空間データソース(110)および前記異常空間データソース(120)に連結され、
    (i)前記一連の正常データソースノード値を受信して、前記一組の正常特徴ベクトルを生成し、
    (ii)前記一連の異常データソースノード値を受信して、前記一組の異常特徴ベクトルを生成し、
    (iii)前記一組の正常特徴ベクトルおよび前記一組の異常特徴ベクトルに基づいて前記異常状態検出モデル(155)のための前記少なくとも1つの決定境界を自動的に計算および出力する、オフライン異常状態検出モデル作成コンピュータ(140)とをさらに備える、請求項1記載のシステム(100)。
  10. 前記オフライン異常状態検出モデル作成コンピュータ(140)が、およそ6時間ごとに一度と8時間ごとに一度との間の頻度で動作する、請求項9記載のシステム(100)。
JP2018037113A 2017-03-08 2018-03-02 電力グリッドにおけるサイバー脅威を検出する汎用フレームワーク Pending JP2018170006A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/453,544 2017-03-08
US15/453,544 US10452845B2 (en) 2017-03-08 2017-03-08 Generic framework to detect cyber threats in electric power grid

Publications (1)

Publication Number Publication Date
JP2018170006A true JP2018170006A (ja) 2018-11-01

Family

ID=61616778

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018037113A Pending JP2018170006A (ja) 2017-03-08 2018-03-02 電力グリッドにおけるサイバー脅威を検出する汎用フレームワーク

Country Status (6)

Country Link
US (1) US10452845B2 (ja)
EP (1) EP3373091A1 (ja)
JP (1) JP2018170006A (ja)
BR (1) BR102018003806A2 (ja)
CA (1) CA2995860A1 (ja)
MX (1) MX2018002862A (ja)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10156841B2 (en) 2015-12-31 2018-12-18 General Electric Company Identity management and device enrollment in a cloud service
US11545852B1 (en) * 2018-07-16 2023-01-03 Cable Television Laboratories, Inc. System and method for remote monitoring
US11108268B2 (en) 2018-07-16 2021-08-31 Cable Television Laboratories, Inc. System and method for distributed, secure, power grid data collection, consensual voting analysis, and situational awareness and anomaly detection
US11088568B2 (en) 2018-07-16 2021-08-10 Cable Television Laboratories, Inc. System and method for distributed, secure, power grid data collection, consensual voting analysis, and situational awareness and anomaly detection
EP3648279B1 (en) 2018-10-30 2021-12-01 Schleswig-Holstein Netz AG Method, electrical grid and computer program product for predicting overloads in an electrical grid
CN109767352B (zh) * 2018-12-24 2023-08-01 国网山西省电力公司信息通信分公司 一种电力信息物理融合系统安全态势评估方法
CN109902916A (zh) * 2019-01-15 2019-06-18 中国电力科学研究院有限公司 一种面向攻击的电力工控系统业务自恢复方法及系统
US11734636B2 (en) * 2019-02-27 2023-08-22 University Of Maryland, College Park System and method for assessing, measuring, managing, and/or optimizing cyber risk
US20200293627A1 (en) * 2019-03-13 2020-09-17 General Electric Company Method and apparatus for composite load calibration for a power system
CN109919801B (zh) * 2019-03-15 2022-09-30 中山大学 基于电力系统节点重要性的耦合方法及装置
US11983265B2 (en) * 2019-04-18 2024-05-14 RunSafe Security, Inc. Automated integration of a source modification engine
CN111899040B (zh) * 2019-05-05 2023-09-01 腾讯科技(深圳)有限公司 目标对象异常传播的检测方法、装置、设备及存储介质
US11657148B2 (en) 2019-05-10 2023-05-23 General Electric Company Event analysis in an electric power system
EP3770785B1 (de) * 2019-07-25 2023-10-11 Siemens Aktiengesellschaft Verfahren zum erkennen von injektionen falsche daten "bad data" in einem industriellen steuersystem
CN110516309B (zh) * 2019-07-31 2022-10-11 国网福建省电力有限公司建设分公司 同塔双回500kV输电线路附近屋顶工频电场预测控制方法
US11902318B2 (en) 2019-10-10 2024-02-13 Alliance For Sustainable Energy, Llc Network visualization, intrusion detection, and network healing
US11411983B2 (en) * 2019-10-16 2022-08-09 General Electric Company Dynamic, resilient sensing system for automatic cyber-attack neutralization
CN111242459A (zh) * 2020-01-07 2020-06-05 中国南方电网有限责任公司 全网设备参数异常值辨识方法及系统
US11734431B2 (en) 2020-04-27 2023-08-22 Saudi Arabian Oil Company Method and system for assessing effectiveness of cybersecurity controls in an OT environment
CN112198462A (zh) * 2020-09-29 2021-01-08 红相股份有限公司 基于铁路调度运行计划的牵引变压器异常状态辨识方法
CN112511372B (zh) * 2020-11-06 2022-03-01 新华三技术有限公司 一种异常检测方法、装置及设备
KR102537723B1 (ko) 2020-11-25 2023-05-26 한국수력원자력 주식회사 신경망 모델을 이용한 비정상 상태 판단 근거 추적 장치 및 방법
CN112615365B (zh) * 2020-12-08 2022-04-19 国网四川省电力公司经济技术研究院 一种智能电网脆弱性关键点识别方法及装置
CN112417462B (zh) * 2020-12-10 2024-02-02 中国农业科学院农业信息研究所 一种网络安全漏洞追踪方法及系统
CN112487658B (zh) * 2020-12-14 2022-09-16 重庆邮电大学 一种电网关键节点的识别方法、装置及系统
CN112714020B (zh) * 2020-12-28 2022-10-14 青岛海尔科技有限公司 数据有效性的确定方法和装置、存储介质及电子装置
CN112528448B (zh) * 2021-01-01 2022-05-17 电管家能源管理(上海)有限公司 一种拓扑与数据管理维护系统
CN112801468A (zh) * 2021-01-14 2021-05-14 深联无限(北京)科技有限公司 智慧社区多态离散信息的智能管理与决策辅助方法
US11941710B2 (en) 2021-01-14 2024-03-26 Cisco Technology, Inc. Behavioral modeling for power utility automation networks
CN112862172B (zh) * 2021-01-29 2024-05-28 国网河南省电力公司漯河供电公司 国网95598停电投诉预测方法、装置、计算机设备和存储介质
CN113242213B (zh) * 2021-04-15 2022-10-21 内蒙古电力(集团)有限责任公司内蒙古电力经济技术研究院分公司 一种电力通信骨干网节点脆弱性诊断方法
CN113472738A (zh) * 2021-05-18 2021-10-01 广西电网有限责任公司电力科学研究院 一种电力内网终端设备的攻击风险耦合建模方法
CN113283205B (zh) * 2021-05-26 2023-03-21 广东电网有限责任公司 一种基于机会约束的配变最大运行寿命估算方法及装置
CN113379248A (zh) * 2021-06-11 2021-09-10 国网上海市电力公司 一种基于复杂网络理论的电网风险评估与预警方法
CN113917908B (zh) * 2021-10-11 2024-05-28 国网四川省电力公司经济技术研究院 一种负载转移影响效应的智能电网脆弱性分析方法及装置
CN114123495A (zh) * 2021-11-11 2022-03-01 广东电网有限责任公司广州供电局 电网信息物理融合攻击检测方法、装置、设备及存储介质
CN114615042B (zh) * 2022-03-08 2023-04-07 中国矿业大学 一种针对发电商恶意攻击电网以获利的攻击防御方法
CN114547915B (zh) * 2022-04-24 2022-07-08 成都数之联科技股份有限公司 一种电网目标节点的识别方法、装置、设备及存储介质
CN115221471B (zh) * 2022-07-18 2023-03-31 山东云天安全技术有限公司 一种异常数据的识别方法、装置、存储介质及计算机设备
CN115277249B (zh) * 2022-09-22 2022-12-20 山东省计算中心(国家超级计算济南中心) 一种多层异构网络协同的网络安全态势感知方法
CN115759734B (zh) * 2022-10-19 2024-01-12 国网物资有限公司 基于指标的电力业务供应链监控方法、装置、设备和介质
CN117354028A (zh) * 2023-10-30 2024-01-05 国网江苏省电力有限公司电力科学研究院 一种充电桩集群网络攻击检测系统及方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0530684A (ja) * 1991-07-23 1993-02-05 Togami Electric Mfg Co Ltd 送配電線事故診断方法
JPH10198420A (ja) * 1997-01-13 1998-07-31 Hitachi Ltd 異常診断方法及びその装置
JP2013533531A (ja) * 2010-05-20 2013-08-22 アクセンチュア グローバル サービスィズ リミテッド 悪意のある攻撃の検出および分析
JP2013226037A (ja) * 2012-04-13 2013-10-31 Boeing Co:The 電力系統のイベント処理システム
WO2014144246A1 (en) * 2013-03-15 2014-09-18 Cyberricade, Inc. Cyber security
US20160366170A1 (en) * 2015-02-09 2016-12-15 Utilidata, Inc. Systems and methods of detecting utility grid intrusions
US20170024649A1 (en) * 2015-07-24 2017-01-26 General Electric Company Anomaly detection system and method for industrial asset

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7460498B2 (en) * 2003-12-04 2008-12-02 Adtran, Inc. System and method for detecting anomalies along telecommunication lines
US20120284790A1 (en) 2006-09-11 2012-11-08 Decision-Zone Inc. Live service anomaly detection system for providing cyber protection for the electric grid
EP2279465B1 (en) 2008-04-17 2014-04-02 Siemens Aktiengesellschaft Method and system for cyber security management of industrial control systems
US8924033B2 (en) 2010-05-12 2014-12-30 Alstom Grid Inc. Generalized grid security framework
US20130191052A1 (en) 2012-01-23 2013-07-25 Steven J. Fernandez Real-time simulation of power grid disruption
US10284373B2 (en) 2013-12-13 2019-05-07 University Of North Dakota Smart grid secure communications method and apparatus
US10338191B2 (en) 2014-10-30 2019-07-02 Bastille Networks, Inc. Sensor mesh and signal transmission architectures for electromagnetic signature analysis
US10015188B2 (en) * 2015-08-20 2018-07-03 Cyberx Israel Ltd. Method for mitigation of cyber attacks on industrial control systems
US10147049B2 (en) * 2015-08-31 2018-12-04 International Business Machines Corporation Automatic generation of training data for anomaly detection using other user's data samples

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0530684A (ja) * 1991-07-23 1993-02-05 Togami Electric Mfg Co Ltd 送配電線事故診断方法
JPH10198420A (ja) * 1997-01-13 1998-07-31 Hitachi Ltd 異常診断方法及びその装置
JP2013533531A (ja) * 2010-05-20 2013-08-22 アクセンチュア グローバル サービスィズ リミテッド 悪意のある攻撃の検出および分析
JP2013226037A (ja) * 2012-04-13 2013-10-31 Boeing Co:The 電力系統のイベント処理システム
WO2014144246A1 (en) * 2013-03-15 2014-09-18 Cyberricade, Inc. Cyber security
US20160366170A1 (en) * 2015-02-09 2016-12-15 Utilidata, Inc. Systems and methods of detecting utility grid intrusions
US20170024649A1 (en) * 2015-07-24 2017-01-26 General Electric Company Anomaly detection system and method for industrial asset

Also Published As

Publication number Publication date
US10452845B2 (en) 2019-10-22
CA2995860A1 (en) 2018-09-08
EP3373091A1 (en) 2018-09-12
MX2018002862A (es) 2018-11-09
BR102018003806A2 (pt) 2018-10-30
US20180260561A1 (en) 2018-09-13

Similar Documents

Publication Publication Date Title
US10452845B2 (en) Generic framework to detect cyber threats in electric power grid
EP3373552A1 (en) Multi-modal, multi-disciplinary feature discovery to detect cyber threats in electric power grid
JP7071034B2 (ja) 産業資産制御システムにおける脅威検出のための特徴および境界の調整
US10678912B2 (en) Dynamic normalization of monitoring node data for threat detection in industrial asset control system
CN107491057B (zh) 保护工业资产控制系统的系统及方法及计算机可读介质
US20190219994A1 (en) Feature extractions to model large-scale complex control systems
KR102325133B1 (ko) 산업 자산 제어 시스템의 도메인 레벨 위협 검출
US10594712B2 (en) Systems and methods for cyber-attack detection at sample speed
EP3804268B1 (en) System and method for anomaly and cyber-threat detection in a wind turbine
US10417415B2 (en) Automated attack localization and detection
EP3515040B1 (en) Reliable cyber-threat detection in rapidly changing environments
US10990668B2 (en) Local and global decision fusion for cyber-physical system abnormality detection
US11252169B2 (en) Intelligent data augmentation for supervised anomaly detection associated with a cyber-physical system
US11487598B2 (en) Adaptive, self-tuning virtual sensing system for cyber-attack neutralization
US11503045B2 (en) Scalable hierarchical abnormality localization in cyber-physical systems
US20200125978A1 (en) Detection and protection against mode switching attacks in cyber-physical systems
US11916940B2 (en) Attack detection and localization with adaptive thresholding
US20210084056A1 (en) Replacing virtual sensors with physical data after cyber-attack neutralization
Ten et al. Anomaly extraction and correlations for power infrastructure cyber systems

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20190513

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220427

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20221122