JP2018185794A - 送電網におけるサイバー脅威を検出するための複数モデル複数領域の特徴発見 - Google Patents

送電網におけるサイバー脅威を検出するための複数モデル複数領域の特徴発見 Download PDF

Info

Publication number
JP2018185794A
JP2018185794A JP2018037112A JP2018037112A JP2018185794A JP 2018185794 A JP2018185794 A JP 2018185794A JP 2018037112 A JP2018037112 A JP 2018037112A JP 2018037112 A JP2018037112 A JP 2018037112A JP 2018185794 A JP2018185794 A JP 2018185794A
Authority
JP
Japan
Prior art keywords
feature
data
data source
source node
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018037112A
Other languages
English (en)
Inventor
ウェイツォン・ヤン
Weizong Yan
マソード・アバザデー
Abbaszadeh Masoud
ラリト・ケシャブ・メスタ
Keshav Mestha Lalit
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
General Electric Co
Original Assignee
General Electric Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by General Electric Co filed Critical General Electric Co
Publication of JP2018185794A publication Critical patent/JP2018185794A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B13/00Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion
    • G05B13/02Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric
    • G05B13/0265Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric the criterion being a learning criterion
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B13/00Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion
    • G05B13/02Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric
    • G05B13/04Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric involving the use of models or simulators
    • G05B13/041Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric involving the use of models or simulators in which a variable is automatically adjusted to optimise the performance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/06Energy or water supply
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Business, Economics & Management (AREA)
  • Mathematical Physics (AREA)
  • Automation & Control Theory (AREA)
  • Economics (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • Public Health (AREA)
  • Primary Health Care (AREA)
  • Tourism & Hospitality (AREA)
  • Water Supply & Treatment (AREA)
  • General Business, Economics & Management (AREA)
  • Marketing (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Remote Monitoring And Control Of Power-Distribution Networks (AREA)
  • Supply And Distribution Of Alternating Current (AREA)

Abstract

【課題】サイバー攻撃などの悪意のある意図から送電網を自動的かつ正確に保護するためのシステムおよび方法を提供する。
【解決手段】複数の異種データソースノード130は、送電網制御システム100の動作に関連して経時的に一連のデータソースノード値をそれぞれ生成する。オフライン異常状態検出モデル作成コンピュータ140は、一連のデータソースノード値を受信して、特徴抽出プロセスを実行して特徴ベクトルの初期セットを生成する。モデル作成コンピュータ140は、選択された特徴ベクトルサブセットを生成するために、複数モデル複数領域フレームワークを用いて特徴選択を実行する。また、選択された特徴サブセットを生成するために、特徴次元削減を実行する。選択された特徴ベクトルサブセットに基づいて、異常状態検出モデル155のための少なくとも1つの判定境界を自動的に計算して出力する。
【選択図】図1

Description

本発明は、送電網におけるサイバー脅威を検出するための複数モデル複数領域の特徴発見に関する。
送電網はますますインターネットに接続されるようになっている。その結果、送電網に関連する制御システムは、電力の発生と分布を妨げたり、機器を損傷したりするなどの可能性のあるサイバー攻撃(例えば、コンピュータウイルス、悪意のあるソフトウェアなどに関連する)などの脅威に対して脆弱な場合がある。このタイプの被害からの現在の防御方法は、主に、情報技術(「IT」、例えば、データを格納、検索、送信、操作するコンピュータ)および操作技術(「OT」、例えば直接監視装置および通信バスインターフェース)における脅威検出を考慮する。サイバー脅威は依然としてこれらの保護層に浸透し、物理的な「ドメイン」に到達する可能性がある。そのような攻撃は、制御システムのパフォーマンスを低下させ、総停止または破局的な損傷さえも引き起こすおそれがある。現在、FDIA(障害検出分離および適応、Fault Detection Isolation and Accommodation)アプローチはセンサデータを解析するだけであるが、他のタイプのデータソースノードと関連して脅威が発生する可能性がある。また、FDIAは、一度に1つのセンサにおいて自然に発生する障害にのみ限定されることに留意されたい。同時に発生する複数の障害は通常悪意のある意図によるものであるため、FDIAシステムはそれらに対応していない。したがって、サイバー攻撃などの悪意のある意図から自動で正確な方法で送電網を保護することが望ましい。
中国特許出願公開第103119585号明細書
いくつかの実施形態によれば、複数の異種データソースノードは、送電網制御システムの動作に関連して経時的に一連のデータソースノード値をそれぞれ生成することができる。オフライン異常状態検出モデル作成コンピュータは、一連のデータソースノード値を受信して、特徴抽出プロセスを実行して特徴ベクトルの初期セットを生成することができる。次いで、モデル作成コンピュータは、選択された特徴ベクトルサブセットを生成するために、複数モデル複数領域フレームワークを用いて特徴選択を実行することができる。選択された特徴ベクトルサブセットに基づいて、異常状態検出モデルのための少なくとも1つの判定境界を自動的に計算して出力することができる。
いくつかの実施形態は、複数の異種データソースノードから、送電網制御システムの動作に関連して経時的に一連のデータソースノード値を受信する手段と、オフライン異常状態検出モデル作成コンピュータにより、特徴ベクトルの初期セットを生成するために特徴抽出プロセスを実行する手段と、選択された特徴ベクトルサブセットを生成するために、複数モデル複数領域フレームワークを用いて特徴選択を実行する手段と、選択された特徴ベクトルサブセットに基づいて、異常状態検出モデルのための少なくとも1つの判定境界を自動的に計算して出力する手段と、を含む。
本明細書で開示されるいくつかの実施形態のいくつかの技術的利点は、サイバー攻撃などの悪意のある意図から送電網を自動的かつ正確に保護するための改良されたシステムおよび方法である。
いくつかの実施形態により提供することができるシステムの高レベルブロック図である。 いくつかの実施形態による方法を示す図である。 いくつかの実施形態による脅威警報システムを示す図である。 いくつかの実施形態による、送電網パラメータの境界および特徴ベクトルを示す図である。 いくつかの実施形態による、オフラインおよびリアルタイムの異常判定および早期警告ツールアーキテクチャを示す図である。 いくつかの実施形態によるオフライン異常判定境界ツールを示す図である。 いくつかの実施形態による、リアルタイム判定、事象/脅威評価、および早期警告システムを示す図である。 いくつかの実施形態による特徴ベクトル情報流れ図である。 いくつかの実施形態による選択された特徴サブセットを作成するための方法を示す図である。 いくつかの実施形態による判定境界を生成するシステムを示す図である。 本発明のいくつかの実施形態による送電網保護プラットフォームのブロック図である。 いくつかの実施形態による送電網データベースの表部分を示す図である。 いくつかの実施形態によるデータソースデータベースの表部分を示す図である。 いくつかの実施形態による警報データベースの表部分を示す図である。 いくつかの実施形態によるディスプレイを示す図である。
以下の詳細な説明では、実施形態の完全な理解を提供するために、多数の特定の詳細が述べられる。しかしながら、これらの具体的な詳細なしで実施形態を実施できることは、当業者には理解されるであろう。他の例では、周知の方法、手順、構成要素、および回路は、実施形態を不明瞭にしないように詳細には記載していない。
物理システムを操作する送電網制御システムは、インターネットに接続されることが多くなっている。その結果、これらの制御システムは、脅威に対して脆弱になる可能性があり、場合によっては、複数の攻撃が同時に発生するおそれがある。FDIA手法などの送電網制御システムを保護する既存の手法は、これらの脅威に適切に対処できない可能性がある。したがって、サイバー攻撃などの悪意のある意図から自動で正確な方法で送電網を保護することが望ましい。図1は、いくつかの実施形態によるシステム100の高レベルアーキテクチャである。システム100は、「正常空間」データソース110および「異常空間」データソース120を含むことができる。正常空間データソース110は、複数の異種「データソースノード」130(図1には「1、2、…N」の異なるデータソースノードについて「DS」、「DS」、…DS」として示す)の各々について、送電網の正常動作を表す経時的な一連の正常値(例えば、モデルによって生成されるか、または図1に破線で示すように実際のデータソースノード130のデータから収集される)を格納することができる。本明細書で使用する「データソースノード」という語句は、例えば、センサデータ、アクチュエータおよび補助機器に送信される信号、直接的なセンサ信号ではない中間パラメータ、ならびに/または制御ロジックを指すことができる。これらは、例えば、脅威監視システムからのデータを連続的な信号またはデータストリームまたはそれらの組み合わせの形で連続的に受信する脅威データソースノードを表すことができる。さらに、ノード130は、サイバー脅威または異常事象の発生を監視するために使用することができる。このデータパスは、暗号化または他の保護メカニズムで特に指定されるので、情報を保護することができ、サイバー攻撃によって改ざんされることはない。異常空間データソース120は、データソースノード130の各々について、(例えば、システムがサイバー攻撃を経験している場合に)送電網の異常動作を表す一連の異常値を格納することができる。いくつかの実施形態によれば、データソースノード130は、「異種」データを提供する。すなわち、データは、ソーシャルメディアデータ、無線ネットワークデータ(例えば、Wi−Fiデータ)、気象データ(例えば、温度データ、米国海洋大気庁(「NOAA」)情報など)、IT入力などの、広く多様な領域からの情報を表すことができる。
正常空間データソース110および異常空間データソース120からの情報は、このデータを使用して判定境界(すなわち、正常な挙動と異常な挙動とを分離する境界)を作成するオフライン異常状態検出モデル作成コンピュータ140に提供することができる。次に、異常状態検出コンピュータ150が異常状態検出モデル155を実行することによって、判定境界を使用することができる。異常状態検出モデル155は、例えば、センサノード、アクチュエータノード、および/または任意の他の重要なデータソースノード(例えば、データソースノードDS〜DS)からのデータを含むデータソースノード130からのデータストリームを監視し、受信したデータに基づいて各データソースノードについて少なくとも1つの「特徴」を計算し、適切な場合に(例えば、ユーザへの表示のために)、1つまたは複数の遠隔監視装置170に脅威警報信号を「自動的に」出力することができる。いくつかの実施形態によれば、脅威警報信号は、ユニットコントローラ、プラントヒューマンマシンインターフェース(「HMI」)、またはいくつかの異なる送信方法により顧客に送信することができる。脅威警報信号の1つの受信者は、幅広い送電網資産に対する複数の攻撃を相関させるクラウドデータベースである可能性があることに留意されたい。本明細書で使用する「特徴」という用語は、例えば、データの数学的特徴付けを意味することができる。データに適用される特徴の例としては、最大値および最小値、平均値、標準偏差、分散、範囲、現在値、整定時間、高速フーリエ変換(「FFT」)スペクトル成分、線形および非線形主成分、独立成分、スパース符号化、ディープラーニング特徴などを挙げることができる。さらに、「自動的に」という用語は、例えば、人の介入をほとんどまたは全く伴わずに行うことができる動作を意味することができる。いくつかの実施形態によれば、検出された脅威に関する情報は、送電網制御システムに送り返すことができる。
本明細書で使用されるように、システム100に関連する装置および本明細書に記載された他の任意の装置を含む装置は、ローカルエリアネットワーク(「LAN」)、メトロポリタンエリアネットワーク(「MAN」)、ワイドエリアネットワーク(「WAN」)、専用ネットワーク、公衆交換電話網(「PSTN」)、無線アプリケーションプロトコル(「WAP」)ネットワーク、ブルートゥー(登録商標)スネットワーク、無線LANネットワーク、および/またはインターネット、イントラネット、もしくはエクストラネットなどのインターネットプロトコル(「IP」)ネットワークの1つまたは複数とすることができる任意の通信ネットワークを介して情報を交換することができる。本明細書で説明する任意の装置は、1つまたは複数のそのような通信ネットワークを介して通信することができることに留意されたい
オフライン異常状態検出モデル作成コンピュータ140は、正常空間データソース110および/または異常空間データソース120などの、様々なデータストアに情報を格納し、および/または様々なデータストアから情報を検索することができる。様々なデータソースは、オフライン異常状態検出モデル作成コンピュータ140(例えば、オフラインまたはオンライン学習に関連してもよい)からローカルに格納されてもよいし、遠隔地に存在してもよい。単一のオフライン異常状態検出モデル作成コンピュータ140が図1に示されているが、任意の数のそのような装置を含めることができる。さらに、本明細書に記載された様々な装置は、本発明の実施形態に従って組み合わせることができる。例えば、いくつかの実施形態では、オフライン異常状態検出モデル作成コンピュータ140および1つまたは複数のデータソース110、120は、単一の装置を含むことができる。オフライン異常状態検出モデル作成コンピュータ140の機能は、分散処理またはクラウドベースのアーキテクチャにおいて、ネットワーク化された装置の組み合わせによって実行することができる。
ユーザは、本明細書に記載された実施形態のいずれかに従って脅威情報に関する情報を閲覧および/または管理するために、監視装置170(例えば、パーソナルコンピュータ(「PC」)、タブレット、またはスマートフォン)の1つを介してシステム100にアクセスすることができる。場合によっては、インタラクティブなグラフィカル・ディスプレイ・インターフェースにより、ユーザが特定のパラメータ(例えば、異常状態検出トリガレベル)を定義および/または調整すること、ならびに/もしくはオフライン異常状態検出モデル作成コンピュータ140および/または異常状態検出コンピュータ150から自動的に生成された勧告または結果を提供または受信することができる。
例えば、図2は、図1に関して記載されたシステム100の要素のいくつかまたは全てによって実行することができる方法を示す。本明細書で説明するフローチャートは、ステップの順序を固定することを意味するものではなく、本発明の実施形態は、実行可能な任意の順序で実施することができる。本明細書で説明する方法のいずれかは、ハードウェア、ソフトウェア、またはこれらの手法の任意の組み合わせによって実行することができることに留意されたい。例えば、コンピュータ可読記憶媒体は、機械によって実行された場合、本明細書に記載の実施形態のいずれかによるパフォーマンスをもたらす命令を格納することができる。
S210において、複数のリアルタイム異種データソースノード信号入力は、送電網の現在の動作を表すデータソースノード信号値のストリームを経時的に受信することができる。少なくとも1つのデータソースノード(例えば、コントローラノードなど)は、例えば、センサデータ、補助機器入力信号、制御中間パラメータ、および/または制御論理値と関連付けられてもよい。
S220において、リアルタイム脅威検出コンピュータプラットフォームは、データソースノード信号値のストリームを受信し、データソースノード信号値の各ストリームについて、現在のデータソースノード特徴ベクトルを生成することができる。いくつかの実施形態によれば、現在のデータソースノード特徴ベクトルの少なくとも1つは、主成分、統計的特徴、ディープラーニング特徴、周波数領域特徴、時系列解析特徴、論理的特徴、地理的または位置に基づく場所、および/または相互作用特徴に関連付けられる。
S230において、各生成された現在のデータソースノード特徴ベクトルは、実質的にリアルタイムにそのデータソースノードの対応する判定境界(例えば、線形境界、非線形境界、多次元境界など)と比較され、判定境界はそのデータソースノードの異常状態から正常状態を分離することができる。いくつかの実施形態によれば、少なくとも1つのデータソースノードが複数の多次元判定境界に関連付けられ、S230での比較がそれらの境界のそれぞれに関連して実行される。判定境界は、例えば、特徴ベースの学習アルゴリズムおよび高忠実度モデル、あるいは送電網の正常動作に従って生成されてもよいことに留意されたい。さらに、少なくとも1つの判定境界が多次元空間に存在し、完全な要因設計、田口スクリーニング設計、中央合成手法、Box−Behnken手法、現実の動作条件手法などの実験の設計から得られたデータ用いて構築された動的モデルと関連付けることができる。さらに、判定境界に関連する異常状態検出モデルは、いくつかの実施形態によれば、過渡条件、送電網の定常状態モデル、および/または着信データストリームからの自己学習システムにおけるように、システムを動作させている間に取得されたデータセットに基づいて動的に取得され適応させることができる。
S240において、システムは、S230で実行された比較の結果に基づいて異常警報信号(例えば、通知メッセージなど)を自動的に送信することができる。この異常状態は、例えば、アクチュエータ攻撃、コントローラ攻撃、データソースノード攻撃、プラント状態攻撃、なりすまし、物理的損傷、ユニット利用可能性、ユニットトリップ、ユニット寿命の喪失、および/または少なくとも1つの新しい部品を必要とする資産損害に関連付けることができる。いくつかの実施形態によれば、異常警報信号が送信されると、1つまたは複数の応答動作を実行することができる。例えば、システムは、(例えば、検出された潜在的なサイバー攻撃をさらに調査させるために)送電網の全部または一部を自動的に停止することができる。他の例として、1つまたは複数のパラメータを自動的に変更してもよく、ソフトウェアアプリケーションを自動的にトリガして、データを捕捉してもよく、および/または潜在的な原因などを分離してもよい。脅威警報信号は、PREDIX(商標)フィールドエージェントシステムなどのクラウドベースのシステムを介して送信されてもよいことに留意されたい。いくつかの実施形態によれば、情報をアーカイブし、および/または境界に関する情報を格納するために、クラウドアプローチを使用することもできることに留意されたい。
いくつかの実施形態によれば、システムは、脅威の起点を特定のデータソースノードにさらに位置特定することができる。例えば、1つのデータソースノードに関連する判定境界が、別のデータソースノードに関連する判定境界が交差した時間と比較して交差した時間に従って、位置特定を行うことができる。いくつかの実施形態によれば、特定のデータソースノードの表示が異常警報信号に含まれてもよい。
本明細書で説明するいくつかの実施形態は、システムに対する1つまたは複数の同時の敵対的脅威を検出するために、調整された高忠実度機器モデルおよび/または実際の「オンザジョブ」データから先験的に学習することによって、制御システムの物理特性を利用することができる。さらに、いくつかの実施形態によれば、全てのデータソースノードデータは、高度な特徴ベースの方法を使用して特徴に変換することができ、制御システムのリアルタイム動作は、実質的にリアルタイムで監視することができる。異常は、監視されたデータを「正常」または障害(もしくは、劣化)として分類することによって検出することができる。この判定境界は、動的モデルを使用して構築することができ、オペレータが制御システムを直ちに正常動作に戻すことを可能にする脆弱性の早期検出(および壊滅的な障害の潜在的回避)を可能にする補助をすることができる。
自動的に(例えば、アルゴリズムを介して)抽出され、および/または手動で入力することができる多次元特徴ベクトルの適切な組は、低次元ベクトル空間における測定データの良好な予測子を含むことができることに留意されたい。いくつかの実施形態によれば、DoE技術に関連する科学的原理を介して得られるデータセットを使用して、多次元空間に適切な判定境界を構築することができる。さらに、複数のアルゴリズム方法(例えば、サポートベクトルマシンまたはマシンラーニング技術の1つ)を使用して、判定境界を生成することができる。境界は測定データ(または、高忠実度モデルから生成されたデータ)によって駆動することができるので、定義された境界マージンは、多次元特徴空間に脅威ゾーンを作成するのに役立つことができる。さらに、マージンは、本質的に動的であり、機器の過渡状態または定常状態モデルに基づいて適合され、および/または入力データストリームから自己学習システムのようにシステムを動作させながら得ることができる。いくつかの実施形態によれば、トレーニング方法は、判定境界を教えるための教師付きの学習のために使用されてもよい。このタイプの教師付きの学習は、システム動作(例えば、正常動作と異常動作との間の相違)に関するオペレータの知識を考慮に入れることができる。
主成分(自然基底集合を用いて構築された重み)および統計的特徴(例えば、時系列信号の平均、分散、歪度、尖度、最大値、最小値、最大値および最小値の位置、独立成分など)を含む、本明細書に記載された実施形態のいずれかに従って多くの異なるタイプの特徴を利用できることに留意されたい。他の例には、深層学習特徴(例えば、実験的および/または履歴的データセットを採掘することによって生成される)および周波数領域特徴(例えば、フーリエ変換またはウェーブレット変換の係数に関連する)が含まれる。深い学習技術は、例えば、オートエンコーダ、雑音除去オートエンコーダ、制限付きボルツマンマシンなどに関連付けることができることに留意されたい。また、実施形態は、相互相関、自己相関、自己回帰の順序、移動平均モデル、モデルのパラメータ、信号の微分および積分、立ち上がり時間、整定時間、ニューラルネットワークなどの時系列解析特徴に関連付けることができる。さらに、他の例には、論理的な特徴(「はい」および「いいえ」などの意味論的抽象化を含む)、地理的/位置的場所、および相互作用特徴(複数のデータソースノードおよび特定の場所からの信号の数学的組み合わせ)が含まれる。実施形態は、任意の数の特徴を組み込むことができ、システムが物理的処理および脅威についてより多くを学習するにつれて、手法がより正確になることを可能にするより多くの特徴を含むことができる。いくつかの実施形態によれば、データソースノードからの異なる値は、単位のない空間に対して正規化され、出力と出力の強度とを簡単な方法で比較することを可能にすることができる。
したがって、いくつかの実施形態は、例えば重要な送電網センサに対するサイバー攻撃を検出する高度な異常検出アルゴリズムを提供することができる。アルゴリズムは、データソースノード特有の判定境界を使用してどの信号が攻撃されているかを特定し、制御システムに適応する動作をとるように通知することができる。特に、検出および位置特定アルゴリズムは、センサ、補助機器入力信号、制御中間パラメータ、または制御論理が正常状態または異常状態にあるかどうかを検出することができる。
アルゴリズムのいくつかの実施形態は、高い忠実度の物理モデルおよび/または(アルゴリズムを任意のシステムに配備することを可能にする)機械操作データに基づく特徴ベースの学習技術を使用して、高次元の判定境界を確立することができる。その結果、複数の信号を使用してより正確に検出が行われ、偽陽性の少ない正確な検出を行うことができる。さらに、実施形態は、データソースノードデータに対する複数の攻撃を検出し、根本原因攻撃が起きた場所を合理的に説明することができる。例えば、アルゴリズムは、以前の信号攻撃のために信号が異常であるかどうか、またはそれが代わりに独立して攻撃されているかどうかを判定することができる。これは、例えば、特徴の発展を監視することによって、および攻撃間の時間遅延を考慮することによって達成することができる。
サイバー攻撃検出および位置特定アルゴリズムは、リアルタイムの送電網信号データストリームを処理し、次にセンサ特有の判定境界と比較することができる特徴(複数の識別子)を計算することができる。いくつかの実施形態によるセンサ特有の送電網サイバー攻撃検出および位置特定アルゴリズムを利用するシステム300のブロック図が図3に示されている。特に、送電網332は、電子機器およびプロセッサを備えたコントローラ336がアクチュエータ338を調整するのを助ける情報をセンサ334に提供する。オフライン異常状態検出システム360は、正常データ310および/または異常データ320を生成するために送電網332に関連付けられた1つまたは複数の高忠実度物理に基づくモデル342を含むことができる。正常データ310および異常データ320は、特徴発見コンポーネント344によってアクセスされ、オフライン(例えば、必ずしも送電網332が動作している間ではない)の間に判定境界アルゴリズム346によって処理することができる。判定境界アルゴリズム346は、様々なデータソースノードの判定境界を含む脅威モデルを生成することができる。各判定境界は、各データソースノード信号(例えば、センサ334、コントローラ336、および/またはアクチュエータ338からの)に対して正常データ310と異常データ320を用いたサポートベクトルマシンなどの、バイナリ分類アルゴリズムを実行することによって構築された高次元空間内の2つのデータセットを分離することができる。
リアルタイム脅威検出プラットフォーム350は、データソースノードからのデータストリームと共に境界を受信することができる。プラットフォーム350は、各データソースノード要素352上の特徴抽出と、センサ特有の判定境界を使用して個々の信号内の攻撃を検出し、複数の信号に対する攻撃を合理的に説明し、どの信号が攻撃されたか、および位置特定モジュール356を介したシステムに対する以前の攻撃のためにどれが異常になったかを宣言するアルゴリズムを有する正常判定354と、を含むことができる。適応要素358は、異常判定表示(例えば、脅威警報信号)、コントローラ動作、および/または取り付けられたデータソースノードのリストなどの出力370を生成することができる。
リアルタイム検出の間、データソースノードデータの連続バッチがプラットフォーム350によって処理され、正規化され、特徴ベクトルが抽出されてもよい。次に、高次元の特徴空間における各信号のベクトルの位置を、対応する判定境界と比較することができる。それが攻撃領域内にある場合には、サイバー攻撃を宣言することができる。アルゴリズムは、攻撃が最初に発生した場所を決定することができる。攻撃は、時にはアクチュエータ338上にあってもよく、センサ334のデータに現れてもよい。攻撃がセンサ、コントローラ、またはアクチュエータ(例えば、データソースノードのどの部分を示すか)のいずれかに関連しているかどうかを分離するために、攻撃判定が後判定モジュール(例えば、位置特定要素356)において実行されてもよい。これは、判定境界に関する特徴ベクトルの位置を経時的に個別に監視することによって行うことができる。例えば、センサ334がなりすまされている場合、攻撃されたセンサ特徴ベクトルは、図4に関して説明したように、残りのベクトルより早く判定境界を横切る。センサが異常であると宣言され、補助機器への負荷コマンドが異常であると後で判定された場合には、信号なりすましなどの元の攻撃がセンサ334上で発生したと判定することができる。逆に、補助機器への信号が異常であると最初に判定され、その後センサ334のフィードバック信号に現れた場合には、機器への信号が最初に攻撃されたと判定することができる。
いくつかの実施形態によれば、局在化された判定境界の使用および特定の信号特徴のリアルタイム計算を介して信号が正常動作空間(または異常空間)にあるか否かを検出することができる。さらに、アルゴリズムは、攻撃されているセンサと、攻撃されている補助機器への信号とを区別することができる。制御中間パラメータおよび制御論理も同様の方法を用いて解析することができる。アルゴリズムは、異常になる信号を合理的に説明することができることに留意されたい。その後に、信号に対する攻撃を特定することができる。
図4は、いくつかの実施形態によるデータソースノードパラメータに関連する可能性のある境界および特徴ベクトルを示す図400である。特に、グラフ410は、値の重み1(「w1」)、すなわち特徴1を表す第1の軸、および値の重み2(「w2」)、すなわち特徴2を表す第2の軸を含む。w1およびw2の値は、例えば、入力データに対して実行される主成分解析(PCA)からの出力と関連付けられてもよい。PCAは、データを特徴付けるアルゴリズムによって使用することができる特徴の1つであってもよいが、他の特徴を活用してもよい。
このグラフは、データソースノードパラメータについて、ハード境界412(実線の曲線)、最小境界416(点線の曲線)、および最大境界414(破線の曲線)、ならびに現在の特徴位置に関連する表示(グラフ上に「X」で示されている)を含む。図4に示すように、現在のデータソースノード位置は、最小境界と最大境界との間にある(すなわち、「X」は点線と破線の間にある)。結果として、システムは、送電網の動作が正常である(システムが現在攻撃中であることを示す脅威が検出されていない)と判断することができる。
データソースノードにおける異常状態を検出するための既存の方法は、FDIA(それ自体は非常に限定されている)に限定されている。本明細書に記載されているサイバー攻撃検出および位置特定アルゴリズムは、センサの異常信号を検出することができるだけでなく、補助機器に送信された信号、制御中間パラメータおよび/または制御論理を検出することもできる。このアルゴリズムは、複数の信号攻撃を理解することもできる。サイバー攻撃の脅威を正しく識別する1つの課題は、複数のセンサがほぼ同時にマルウェアの影響を受けて発生する可能性があることである。いくつかの実施形態によれば、アルゴリズムは、攻撃が発生したこと、どのセンサに影響を与えたかをリアルタイムで識別して、障害応答を宣言することができる。このような結果を得るためには、システムの詳細な物理的応答を知って、許容可能な判定境界を作成する必要がある。これは、例えば、忠実度の高いモデルで実験設計(「DoE」)の実験を実行して、正常領域と異常領域のデータセットを構築することで実現することができる。各センサのデータセットは、所与の脅威値に対する特徴ベクトルを含むことができる。完全な要因、田口スクリーニング、中央合成、Box−Behnkenは、攻撃空間の作成に使用される既知の設計手法の一部である。モデルが利用できない場合、これらのDoE方法は実世界の発電システムからデータを収集するためにも使用される。実験は、同時攻撃の種々の組み合わせで実行することができる。いくつかの実施形態では、システムは、サイバー攻撃とは対照的に、劣化/欠陥動作を検出することができる。そのような判定は、劣化/欠陥動作空間に関連するデータセットを利用することができる。このプロセスの最後に、システムは、判定境界を構築する際に使用するために、「攻撃v/s正常」および「劣化v/s正常」などのデータセットを作成することができる。さらに、特徴空間内のデータセットを使用して各信号について判定境界を作成することができることに留意されたい。様々な分類方法を用いて判定境界を計算することができる。例えば、バイナリ線形および非線形監視分類器は、判定境界を得るために使用できる方法の例である。
実施形態は、時間的および/または空間的正規化を利用できることに留意されたい。時間的正規化は、時間軸に沿った正規化を提供することができる。空間的正規化を使用して、複数のノード(例えば、センサ軸)に沿って信号を正規化することができる。いずれの場合でも、正規化された信号は、特徴抽出および判定境界との比較を使用して攻撃検出を実行するために使用することができる。センサ、アクチュエータ、およびコントローラノードの時系列データ(ならびに他のタイプのデータ)は、実質的にリアルタイムで処理され、このデータから「特徴」を抽出することができる。次に、特徴データを判定境界と比較して、サイバー攻撃がシステムに生じたかどうかを判定することができる。空間的に正規化されたデータにおける攻撃を検出するために同様の手法を用いることができる。
リアルタイムデータの処理は、送電網の正常動作点を利用することができる。この正常動作点は、例えば、システム動作モード、外部条件、システム劣化要因などに基づいて決定することができる。実際に測定されたセンサデータ、アクチュエータデータ、およびコントローラノードのデータは、実際の値と公称値との間の差が計算され、この差、すなわちデルタが予想動作条件係数で正規化されるように処理することができる。
図5は、いくつかの実施形態による、オフラインおよびリアルタイムの異常判定および早期警告ツールアーキテクチャ500である。特に、アーキテクチャ500は、オフライン部分510(例えば、6〜8時間ごとに1回計算を実行する)およびリアルタイム部分550を含む。オフライン部分510は、シナリオおよび脅威点を受信する複数モデル複数領域(「MMMD」)特徴発見要素520を含む。シナリオおよび脅威点を、例えば、特徴発見要素530の特徴エンジニアリング要素532、動的システム識別要素534、および/または特徴拡張536要素に提供されるデータサンプルを生成するデータ生成要素522(例えば、電力システムモデルに関連する)に提供することができ、次に特徴発見要素530は、特徴ベクトルを異常判定モデリングシステム540に供給する。異常判定モデリングシステム540は、受信した特徴ベクトルと共に判定境界計算546によって使用される正常データ542および異常データ544(例えば、目標データおよびランダムデータ)を含み、特徴境界をアーキテクチャ500のリアルタイム部分550の異常判定および事象評価要素580に出力することができる。
アーキテクチャ500のリアルタイム部分550はまた、センサデータ、ソーシャルメディアデータ(例えば、送電網の性能に関するつぶやき)、Wi−Fiデータ、気象データ、IT入力などの同種のソースから情報を受信する前処理要素552を含むことができる。次に前処理要素552は、(例えば、早期警告を生成するために)MMMD特徴抽出ユニット560および動的異常予測および状況認識要素570に提供されるデータサンプルを生成することができる。特徴抽出ユニット560は、例えば、特徴エンジニアリング562および特徴拡張564を含み、特徴ベクトルを異常判定および事象評価要素580に提供することができる。いくつかの実施形態によれば、異常判定および事象評価要素580は、正常性判定582(例えば、正常表示を生成するための)と、事象分離、位置特定、および重要度評価要素584(例えば、なりすまし表示、システム事象表示、位置表示、重要度表示などを生成するための)と、を含む。
いくつかの実施形態によれば、アーキテクチャ500は、(1)例えば、1日約4回の頻度でオフライン計算で使用するための特徴ベースモデル支援学習手法510、および(2)異種データソースを活用するリアルタイムの高速検出プロセス550(例えば、毎秒約1回から毎分1回まで動作する)の2つのステップからなる提案されたフレームワークを実施することができる。オフライン判定境界ツール510は、異なる動作点を正常状態または異常状態として特徴付けるために、物理ベースの電力システムモデル(例えば、データ生成要素522に関連する)を使用することができる。システムは、サイバーセキュリティの観点から重要なターゲットに関連付けることができる異常な事象にもフラグを立てることができる。この目的のために、動作点は、正常動作点および既知の脆弱性を含むように定義することができる。リアルタイムツール550は、判定境界、オフラインプロセス510の間に構築された様々なマッピング関数、および異種センサからのリアルタイムデータを使用して、システムの正常動作から異常状態を識別することができる。
オフラインツール510は、その日の送電網の予想される最高および最低負荷点を表すために、例えば1日に約2〜4回実行されてもよい。データ生成要素522に関連する電力システムモデルは、発電機および送電線などの電力システム構成要素を有するネットワークトポロジから構成することができる。これらの物理的送電網資産のいずれかがサイバー攻撃の対象となる可能性があることに留意されたい。いくつかの実施形態によれば、合成データは、モデルに埋め込まれたいくつかの仮想センサからの所定の動作点のセットについて生成することができる。
図6は、いくつかの実施形態によるオフライン異常判定境界ツール600である。特に、ツール600は、オフライン計算のための特徴ベースフレームワークで使用される重要なステップを示す。電力システムモデル622は、例えばバス(インピーダンス付き)、送電線、発電機、負荷、シャント、制御されたVAR(ボルトアンペアリアクタンス)装置、電力用電子デバイス、DCバス、DCラインなどに関連する入力(例えば、脅威点)を受信することができる。合成データ収集630(例えば、仮想センサ、電流、電圧、無効電力、有効電力などに関連する)は、電力システムモデルから情報を受信し、データを前処理650に提供することができる。前処理650は、例えば、再サンプリング、時間同期、欠落データチェックなどに関連付けることができ、検出されたデータストリームの異常シナリオを作成することによって、制御されたシミュレーション環境において現実的なシナリオをテストするのに役立つことができる。
前処理された650センサデータは、従来の(例えば、既存の)データソースおよび非従来的なデータソースを最大限に活用することによって、知識ベースの浅いおよび/または深い特徴を識別するためにマシンラーニングを使用することができる複数モデル複数領域(「MMMD」)特徴発見フレームワーク660を使用して、顕著な特徴に変換される。MMMD特徴発見フレームワークは、特徴エンジニアリング662(例えば、バッチ選択、基底ベクトル計算、特徴抽出、次元削減などの解析に関連する)および設計された動的システム特徴ベクトル664に関連付けることができることに留意されたい。さらに、前処理650情報は、設計された動的システム特徴ベクトル664に供給される前に、最適特徴672、システム識別674、および/または動的システム特徴676を通過することができる。いくつかの実施形態によれば、MMMD特徴発見フレームワーク660は、判定境界を生成するために使用される出力データセット(例えば、目標データおよびランダムデータなどの正常データ642および異常データ646)を出力することができる。
これらの特徴のサブセットは、特徴の時間発展をモデル化する特徴空間における動的状態空間モデルを構築するために使用することができる。この情報は、設計された特徴ベクトルの以前のセットに拡張されてもよい。したがって、拡張された特徴ベクトルは、物理学ベースのモデルからの情報および特徴自体の動的性質を含むことができる。簡略化のために、1つの処理バッチ内のセンサからのデータを用いた時間発展を利用することができる。いくつかの実施形態によれば、リアルタイム動作中に使用するために特徴マップ(例えば、基底ベクトル、特徴ベクトル次元、特徴パラメータなど)を格納することができる。所与の動作条件に対して様々な可能性のある脅威シナリオをシミュレートすることができ、電力システム現象(例えば、電圧安定性、領域間振動安定性など)への影響に関するこれらの脅威シナリオの重要性は、基礎をなすネットワーク構造情報を利用する特徴ベースのアルゴリズムを使用して定量化することができる。これは、大規模な電力システム現象の観点から脅威を特徴付けてランク付けするのに役立つことができる。
図7は、いくつかの実施形態による、リアルタイム判定、事象/脅威評価、および早期警告システム700を示す。リアルタイム構成要素は、例えば、生のセンサデータを受信し、処理されたセンサデータを生成する前処理752(例えば、再サンプリング、時間同期、欠落データチェック、調整などに関連する)を含むことができる。特徴抽出ユニット760(例えば、ベクトル知識ベースの浅い/深い学習のための特徴エンジニアリングならびに/あるいは設計されたおよび/または動的なシステム特徴ベクトル関数のための特徴拡張器に関連する)は、処理されたセンサデータを受信し、異常判定および事象評価ユニット780の判定プロセッサ782に情報を提供することができる。判定プロセッサ782は、後判定プロセッサ事象分離、位置特定、および重要度評価モジュール784に、正常表示(適切な場合に)を生成し、および/または異常データを提供することができる。後判定プロセッサ事象分離、位置特定、および重要度評価モジュール784は、例えば、ソーシャルメディアデータ、Wi−Fiデータ、気象データ、通信ネットワークデータなどを受信し、なりすまし表示、システム事象表示、位置表示、重要度表示など(例えば、決定論的判定)生成することができる。異常予測および状況認識エンジン770は、なりすましまたはシステム事象(例えば、確率論的判定)に関する早期警告表示を生成するために、最適特徴772、システム識別774、動的システム特徴抽出776、および/または異常予測要素778を含むことができる。
リアルタイムでは、生のセンサデータは、遠隔端末ユニット(RTU)のような伝統的な電力システムセンサ、ならびに伝送および分配フェーザ測定ユニット(PMU)、マイクロPMU、デジタル障害記録装置(DFR)、スマートメータのような現代的なセンサから取得することができる。これは、Wi−Fi活動、テキストメッセージング活動、サイバーインフラストラクチャ状況入力、および/またはソーシャルメディアとインターネットフィードのような非伝統的なソースに追加されてもよい。前処理752は、データセットを整列させ、データ完全性攻撃(例えば、なりすましに関連する)の可能性を識別するために実行することができる。このステップでは、システムは、オフライン判定境界ツールで生成された様々な特徴マッピング関数をリアルタイムで使用するためにインポートすることができる。この特徴セットは、現在および過去の選択セットの最適特徴についてシステム識別を実行することによって、動的システムからの顕著な特徴をさらに拡張することができる。動的システムモデルは、例えば、予測および状況認識に使用するために、リアルタイムで更新することができる。
拡張された特徴セットは、静的および動的特徴の両方から構成されてもよく、オフライン解析から構築された判定境界と比較されて、対応する信頼区間で判定を行うことができる。この特徴セットは、異常予測および状況認識エンジン770に使用して、差し迫った脅威の早期警告を可能にすることもできる。異常が検出された場合には、特徴セットは、後判定処理モジュール784の内部でさらに解析することができる。このモジュール784において、異常事象は、従来のセンサデータおよび非従来的なセンサデータの両方を用いてさらに評価され、なりすましおよび不良データ、システム事象、サイバー物理攻撃などに分類される。この判定および分類は、本質的に決定論的なものとみなすことができることに留意されたい。前記異常位置の位置および重要度もしくは重要性は、オフライン計算中に発生した不良データ検出フレームワークおよび複雑なネットワーク理論モデルを使用して評価することもできる。より多くの確率論的判定は、リアルタイム特徴から更新された動的状態空間モデルを使用して早期警告のために異常予測が行われる、異常予測および状況認識エンジン770から来ることができる。
いくつかの実施形態によれば、データはストリームまたはバッチで受信することができる。図7の異常判定および事象評価エンジン770は、システム状態(例えば、「正常」、「なりすまし」または「システム事象」)に関する決定論的判定を提供することができる。異常が発生する前に、決定的なシステム状態は「正常」であり、異常が実際に起こるまで正常なままであってもよい。エンジン770は、異常が起こるとそれを検出し、それがなりすまし状況であるかシステム事象であるかを判定することができる。異常予測および状況認識エンジン770は、確率論的判定を提供し、送電網に関する早期警告を生成することができる。各時点で、状況認識ブロックは、確率論的な動的予測を用いて現在の状態を未来に投影することができる。確率論的状態は、状況が早期警告表示を保証するほど正常状態の信頼区間が十分に大きくなる(かつ信頼レベルが低下する)までは、正常なままであり得る。早期警告が生成されると、将来の予測は、今後の予測される異常が(各発生確率に関連して)攻撃であるか障害であるかについての確率論的判定を続けることができる。早期警告が生成されてから実際に異常が発生するまでの間に、実際の異常時(その時点で決定論的状態が異常を反映する可能性がある)に最小値に達する(最大信頼度を表す)までは、攻撃と障害の信頼区間が狭くなる可能性がある(信頼レベルが上昇する可能性がある)。将来の予測は、状況認識ブロックで引き続き継続することができる(予測区間が拡大するにつれて信頼区間が自然に増加する)。
システムが異なるセンサからの連続的な更新を受信すると、提案されたフレームワークおよびアルゴリズムは、信頼区間と共に疑わしい異常のフラグを立てることができる。決定論的判定は確固たる判定を表すことができるが、確率論的判定は将来の予測と関連付けることができる。決定論的判定では、システムは送電網に関する攻撃の位置および重要性の評価を提供することができる。送電網オペレータは、次に、異常の位置および/または異常データを供給しているセンサの位置を見ることを選択することができる。送電網オペレータは、適宜、さらなる制御選択を行うこともできる。
いくつかの実施形態によれば、複雑なネットワーク手法は、サイバー攻撃などの悪意のある意図に対する脆弱性を判定するために、送電網内の重要な資産およびノードを識別するのに役立つことができる。そのような手法では、送電網の正常動作状態を表す電力システムモデル(「送電網モデル」)を使用することができる。電力システムモデルは、ネットワークトポロジ、電力線のインピーダンス、ならびに様々なバスおよび発電機および負荷(例えば、それぞれのバスにおける電力注入として表される)を接続する変圧器などの静的ネットワーク情報から構成することができる。電力システムモデルは、異なる発電機資産のサブトランジェントモデル、負荷のモータモデル、および他の高出力電力用電子デバイスなどの動的データで拡張することができる。いくつかの実施形態によれば、送電網は、完全差分代数方程式(「DAE」)表現を使用してモデル化することができる。
図5〜図8に関して説明したフレームワークでは、顕著な特徴を識別することは、動的システムならびにマシンラーニングおよびデータマイニングのための制御最適化を開発する重要な態様であり得ることに留意されたい。異なるデータソース(例えば、時系列センサ測定値、テキスト文書、事象ログなど)から特徴を抽出することは、パフォーマンスを向上させるために異なるタイプのデータソース(複数の「モダリティ」)からの情報を活用する方法である。いくつかの実施形態によれば、MMMD特徴発見フレームワークは、異なるデータソースからの特徴の特徴を生成することができる。すなわち、統合されたフレームワークにおいて、静的特徴の初期ベクトルを(例えば、マシンラーニング技術を使用して)抽出することができる。次に、経時的な特徴の発展を捕捉するために、元の特徴の最適なサブセットについて動的モデルを特定することができ、動的モデル特徴(または特徴の特徴)を抽出して全体の特徴ベクトルとして拡張することができる。特徴は動的モデルと関連付けることができ、動的モデルは、例えば、安定性マージン、可制御性指数、可観測性指数、可観測性行列の要素、可制御性行列の要素、極、および経時的な特徴の発展の動的モデルのゼロを含む。
図8は、異種データソースのセットが送電網810に関連付けられている特徴ベクトル情報流れ図800である。データソースは、例えば、多変量時系列情報812(例えば、センサノードから)、テキストデータ814(例えば、ソーシャルメディアソースから抽出)、画像816などを含むことができる。データソース812、814、816からの情報は、初期特徴セット860を生成するMMMD特徴発見850に提供される。MMMD特徴発見850は、いくつかの実施形態によれば、深い特徴学習820、浅い特徴学習830、および/または知識ベース特徴840を含むことができる。初期特徴セット860は比較的大きい場合があるので、特徴次元削減プロセス870を利用して、選択された特徴サブセット880を作成することができる。
情報流れ図800は、従来のセンサデータ(例えば、送電網および発電機からのセンサ測定値)および複数モデル複数領域特徴発見850による非従来型データ(例えば、セル電話、ウェブ、衛星および熱データ)の両方からの情報を最大限に活用することによって、改善された検出性能を達成することができる。異種データタイプが与えられると、システムは異なる特徴抽出方法を使用して個々のデータソースから特徴を抽出し、その結果を結合して初期特徴セット860を作成することができる(この「結合」プロセスはマシンラーニングおよびデータマイニングドメインにおいてしばしば「特徴融合」と呼ばれる)。初期特徴セット860はかなり大きい可能性があるので、システムは、選択された特徴サブセット880が異常検出エンジンによって使用される前に、特徴の数を妥当なレベルに減らすために特徴次元削減870技術を適用する。
MMMD特徴発見850は、知識ベース特徴840のエンジニアリング、浅い特徴学習830、および深い特徴学習820のいくつかまたは全てを含むことができることに留意されたい。知識ベース特徴840のエンジニアリングは、異なるセンサ測定値から特徴を作成するために、送電網810の物理のドメインまたはエンジニアリング知識を使用することができる。これらの特徴は、単に、時系列信号のウィンドウおよびその対応する高速フーリエ変換(「FFT」)スペクトルにわたって計算された統計的記述子(例えば、最大値、最小値、平均値、分散、異なる次数のモーメントなど)であってもよい。知識ベース特徴840は、基底ベクトル分解、状態推定、ネットワーク可観測性行列、トポロジ行列、システムプラント行列、周波数領域特徴ならびにシステム極およびゼロなどの電力システム解析を利用することもできる。これらの解析は、定常状態、過渡状態、および小信号挙動を通じた現在の送電網810の動作の特性を表すことができる。
知識ベース特徴840のエンジニアリングは、特徴抽出の伝統的な手法であるが、しばしば手間のかかる手作業のプロセスである。この手法はまた、非常にアプリケーションに特有なものであって、したがって一般化可能でもスケーラブルでもない。データから直接的に(例えば、マシンラーニングを介して)特徴を学習することにより、これらの問題に対処することができる。例えば、浅い特徴学習830技術は、多くの教師なし学習(例えば、k平均クラスタリング)、多様体学習および非線形埋め込み(例えば、アイソマップ法および局所線形埋め込み(LLE))、低次元投影(例えば、主成分解析(PCA)および独立成分解析(ICA))および/またはニューラルネットワーク(例えば、自己組織化マップ(SOM)技術)を含む。浅い特徴学習830の他の例は、遺伝的プログラミングおよびスパース符号化を含む。深い特徴学習820は、複数レベルの抽象化により良好なデータ表現を学習することを含むマシンラーニングのサブフィールドを表すことができる。深い特徴学習820は、特徴を層ごとに階層的に学習することによって、より高いレベルの特徴はデータのより抽象的な態様を表しているので、洗練された基礎構造および特徴を発見することができる。
複数モデル複数領域特徴発見850(または「抽出」)は、初期特徴セット860内に多数の特徴をもたらす可能性が最も高い。さらに、多くの冗長な特徴が存在する可能性がある。そのような多数の特徴を直接使用することは、下流の異常検出モデルにとって厄介なことである。結果として、特徴次元削減870は、特徴の有益な情報を最大限に保存しながら、冗長な情報を除去することによって特徴の数を減らすことができる。本明細書で説明される実施形態は、特徴選択および/または特徴変換技術に関連付けることができる。
MMMD特徴発見850フレームワークは、知識ベース特徴840のエンジニアリングと高度な深い特徴学習820技術を組み合わせて(かつ、異なるデータソースに適用することで)、正確で信頼性の高い脅威検出を提供する特徴セットを発見するのに効果的であり得る。このフレームワークは一般的なものであり(かつ、他の解析アプリケーションにも効果的に使用できる)、利用可能なデータソースの数や種類がシステムごとに異なる場合の処理状況に柔軟に対応できることに留意されたい。
図9は、いくつかの実施形態による選択された特徴サブセットを作成するための方法である。S910において、システムは、複数の異種データソースノードから、送電網制御システムの動作に関連して経時的に一連のデータソースノード値を受信することができる。データソースの一例は、送電網の重要なセンサノード、送電網のアクチュエータノード、送電網のコントローラノード、送電網の主要なソフトウェアノードからのデータなどのセンサデータ、スイッチからのデータ、電気バスの重要な測定点からのデータ、および/または回路遮断器からのデータである。データソースの他の例は、テキストデータ、画像データ、携帯電話データ、衛星データ、ウェブデータ、ソーシャルメディアデータ、無線ネットワークデータ、気象データ、情報技術入力などを含むことができる。受信した一連のデータソースノード値は、正常および異常なデータソースノード値を含んでもよいことに留意されたい。
S920において、システムは、特徴抽出プロセスを実行して特徴ベクトルの初期セットを生成することができる。いくつかの実施形態によれば、特徴抽出プロセスは、オフライン異常状態検出モデル作成コンピュータおよび/またはMMMD特徴発見に関連して実行されてもよい。特徴抽出プロセスは、教師なし学習、k−平均クラスタリング、多様体学習、非線形埋め込み、アイソマップ法、LLE、低次元投影、PCA、ICA、ニューラルネットワーク、SOM法、遺伝的プログラミング、および/またはスパース符号化などの浅い特徴学習技術にさらに関連付けることができる。いくつかの実施形態によれば、特徴抽出プロセスは、深い特徴学習技術および/または知識ベース特徴技術に関連付けられる。知識ベース特徴技術のいくつかの例は、最大値、最小値、平均、分散データ、異なる次数のモーメント、および/またはFFTスペクトル情報などの統計的記述子に関連付けられる。知識ベースの特徴技術の他の例は、基底ベクトル分解、状態推定、ネットワーク可観測性行列、トポロジ行列、システムプラント行列、周波数領域特徴、システム極および/またはシステムゼロを含む電力システム解析に関連付けることができる。
S930において、システムは、選択された特徴ベクトルサブセットを生成するために、複数モデル複数領域フレームワークを用いて特徴選択を実行することができる。いくつかの実施形態によれば、S940において、システムは、選択された特徴ベクトルサブセットを生成するために特徴次元削減プロセスを実行することができる。いくつかの実施形態によれば、特徴次元削減プロセスは、特徴選択技術および/または特徴変換技術と関連付けることができる。S950において、システムは、選択された特徴ベクトルサブセットに基づいて、異常状態検出モデルのための少なくとも1つの判定境界を自動的に計算して出力することができる。いくつかの実施形態によれば、選択された特徴ベクトルサブセットは、異常検出、異常適応、異常予測、および/またはシステム診断に関連してさらに使用される。
図10は、いくつかの実施形態による判定境界を生成するシステム1000を示す。システム1000は、データ駆動型モデルベースの特徴融合手法に関連付けられてもよい。特に、特徴融合プラットフォーム1010は、脅威点情報を受信し、データセット1090を生成する。データセット1090は、例えば、正常データ1092および異常データ1094(例えば、目標データおよびランダムデータ)を含むことができ、少なくとも1つの判定境界を生成する(例えば、正常な送電網挙動を異常な送電網挙動から分離する)ために使用することができる。特徴融合プラットフォーム1010は、正常データ、ランダムデータ、および/または目標データに関連して実行することができることに留意されたい。
脅威点情報は、解析機能を備えた特徴エンジン1030に提供される仮想センサデータを生成するために、電力システムモデル1020によって処理することができる。解析機能を備えた特徴エンジン1030は、特徴拡張器1040および最適特徴選択要素1050にデータを提供する。動的システム識別要素1160は、最適特徴選択要素1050から情報を受信し、動的システム特徴1070にデータを提供することができる。次いで、特徴拡張器1040は、データセット1090用の拡張された特徴ベクトルを作成するために、解析機能を備えた特徴エンジン1030および動的システム特徴1070の両方からの情報を使用することができる。
いくつかの実施形態によれば、動的システム識別1060アルゴリズムは、特徴エンジン1030によって計算された特徴ベクトルを受信することができる。次に、動的モデリングに適した特徴の最適なサブセット1050が選択される。最適な特徴選択アルゴリズム1050は、特徴(ならびに計算効率およびスパース構造)の変動および感度を考慮に入れることができる。このステップは、動的モデリングのための特徴発展のための扱いやすい解決策を開発するのに役立つ。次に選択された特徴は、状態空間システム識別方法を使用する動的モデリングに使用することができる。
いくつかの実施形態によれば、特徴の動的状態空間モデルは、次式で表すことができる。
x[k+1]=Ax[k]+Bw[k]
y[k]=Cx[k]+Dv[k]
ここで、A、B、C、およびDは状態空間行列、yは測定ベクトル(すなわち、計算された特徴ベクトル)、xは状態ベクトル、vおよびwは外因性の外乱(それぞれ、プロセスノイズおよび測定ノイズ)である。プロセスノイズはモデルの不確実性を表すことができ、測定ノイズは特徴抽出における数値誤差を表すことができる。C行列は恒等行列(C=I)とみなすことができるので、システム状態は特徴(測定ノイズの影響を受ける)と同じになる。これは、確率1のモデル(ゼロ平均測定ノイズを仮定する)に対する可観測性を提供し、システム識別の数値効率および収束特性を改善することができる。
特徴発展の動的モデルが識別されると、動的モデルの特性(安定性マージンおよびモーダル可観測性マージンなど)が追加の特徴として抽出され得る。これらのマージンは、不安定または観測不能になる個々の特徴の距離を示すことができ、これは潜在的な異常の表示である。これらの追加の特徴(特徴の特徴)は、特徴拡張器1040に送られて、判定境界計算において一括して使用される。
本明細書で説明する実施形態は、任意の数の異なるハードウェア構成を使用して実現することができる。例えば、図11は、例えば、図1のシステム100に関連付けることができる送電網保護プラットフォーム1100のブロック図である。送電網保護プラットフォーム1100は、通信ネットワーク(図11では示していない)を介して通信するよう構成される通信装置1120に結合される、1チップマイクロプロセッサの形式の1つまたは複数の市販の中央処理装置(「CPU」)などの、プロセッサ1110を含む。通信装置1120を使用して、例えば、1つまたは複数の遠隔データソースノード、ユーザプラットフォームなどと通信することができる。送電網保護プラットフォーム1100は、入力装置1140(例えば、送電網情報を入力するためのコンピュータマウスおよび/またはキーボード)および/または出力装置1150(例えば、表示をレンダリングし、警報を送信し、推奨事項を送信し、および/またはレポートを作成するためのコンピュータモニタ)をさらに含む。いくつかの実施形態によれば、モバイル機器、監視物理システム、および/またはPCを使用して、送電網保護プラットフォーム1100と情報を交換することができる。
プロセッサ1110はまた、記憶装置1130と通信する。記憶装置1130は、磁気記憶装置(例えば、ハードディスクドライブ)、光学記憶装置、携帯電話、および/または半導体メモリ装置の組み合わせを含む、任意の適切な情報記憶装置を含むことができる。記憶装置1130は、プロセッサ1110を制御するためのプログラム1112および/または異常状態検出モデル1114を格納する。プロセッサ1110は、プログラム1112、1114の命令を実行し、それにより、本明細書で説明する実施形態のいずれかに従って動作する。例えば、プロセッサ1110は、複数の異種データソースノードから、送電網制御システムの動作に関連して経時的に一連のデータソースノード値を受信することができる。次に、プロセッサ1110は、特徴抽出プロセスを実行して特徴ベクトルの初期セットを生成することができる。選択された特徴ベクトルサブセットを生成するために、プロセッサ1110によって、複数モデル複数領域フレームワークを用いて特徴選択プロセスを実行することができる。少なくとも1つの判定境界は、選択された特徴ベクトルサブセットに基づく異常状態検出モデルについて、プロセッサによって自動的に計算することができる。特徴ベクトルのセットは、正常特徴ベクトルおよび/または異常特徴ベクトルを含むことができることに留意されたい。例えば、ある場合には、正常特徴ベクトルのみを、教師なし学習アルゴリズムと共に使用して、判定境界を構築することができる。このようなシナリオでは、異常特徴ベクトルを使用しなくてもよい。別の選択肢は、正常データ値に誤ったデータを注入し、異常状態検出モデル作成コンピュータにおいて正常値と異常値を使用することによって、合成的に生成された異常データ値を使用することであってもよい。
プログラム1112、1114は、圧縮フォーマット、未コンパイルフォーマット、および/または暗号化フォーマットで格納することができる。プログラム1112、1114は、さらに、オペレーティングシステム、クリップボードアプリケーション、データベース管理システム、および/または周辺機器とインターフェースするためにプロセッサ1110によって使用されるデバイスドライバなどの、他のプログラム要素を含むことができる。
本明細書で使用される場合、情報は、例えば、(i)別の装置から送電網保護プラットフォーム1100によって「受信される」か、もしくは別の装置から送電網保護プラットフォーム1100に「送信する」ことができ、または(ii)別のソフトウェアアプリケーション、モジュール、もしくはソースから送電網保護プラットフォーム1100内のソフトウェアアプリケーションもしくはモジュールによって「受信される」か、もしくは別のソフトウェアアプリケーション、モジュール、もしくはソースから送電網保護プラットフォーム1100内のソフトウェアアプリケーションもしくはモジュールに「送信する」ことができる。
いくつかの実施形態(図11に示すものなど)では、記憶装置1130は、送電網データベース1200、データソースデータベース1300、および特徴ベクトルデータベース1400をさらに格納する。ここで、送電網保護プラットフォーム1100に関連して使用することができるデータベースの一例を、図12〜図14に関して詳細に説明する。本明細書で説明するデータベースは例に過ぎず、追加のおよび/または異なる情報をそこに格納してもよいことに留意されたい。さらに、様々なデータベースは、本明細書に記載された実施形態のいずれかに従って分割または結合することができる。
図12を参照すると、いくつかの実施形態による送電網保護プラットフォーム1100に格納することができる送電網データベース1200を表す表が示されている。表は、例えば、送電網に関連する構成要素を識別するエントリを含むことができる。表はまた、各エントリに対してフィールド1202、1204、1206を定義することもできる。フィールド1202、1204、1206は、いくつかの実施形態によれば、送電網識別子1202、構成要素識別子1204、および説明1206を指定することができる。送電網データベース1200は、新しい送電網が監視またはモデル化されたときに、例えばオフライン(非リアルタイム)で作成および更新することができる。
送電網識別子1202は、例えば、監視される送電網を識別する固有の英数字コードであってもよい。構成要素識別子1204は、送電網の要素に関連付けることができ、説明1206は、構成要素(例えば、変圧器、負荷など)を記載することができる。送電網データベース1200は、いくつかの実施形態によれば、構成要素間の接続(例えば、送電網のトポロジを定義する)、構成要素の状態などをさらに格納することができる。いくつかの実施形態によれば、送電網データベース内の情報は、図8の知識ベース特徴840および/または図10の電力システムモデル1020と関連して使用されてもよい。
図13を参照すると、いくつかの実施形態による送電網保護プラットフォーム1100に格納することができるデータソースデータベース1300を表す表が示されている。表は、例えば、送電網に関連するデータソースを識別するエントリを含むことができる。表はまた、各エントリに対してフィールド1302、1304、1306を定義することもできる。フィールド1302、1304、1306は、いくつかの実施形態によれば、データソース識別子1302、データ値の時系列1304、および説明1306を指定することができる。データソースデータベース1300は、例えば、異種センサから受信した情報に基づいて作成および更新することができる。
データソース識別子1302は、例えば、送電網を保護するために監視される情報を提供することができるデータソースを識別する固有の英数字コードであってもよい。値の時系列1304は、特定のセンサ(例えば、電圧、電流などを表す)によって報告される1組の数値に関連付けることができ、説明1306は、監視されている情報のタイプ(例えば、センサ、ソーシャルメディア、気象データなどから)を記載することができる。データソースデータベース1300は、いくつかの実施形態によれば、送電網識別子または構成要素識別子などの他の情報(例えば、図12の送電網データベース1200に関して記載された送電網識別子1202および構成要素識別子1204に基づくか、またはそれに関連付けられてもよい)をさらに格納することができる。いくつかの実施形態によれば、データソースデータベース1300からの情報は、図8のMMMD850への入力として提供されてもよい。
図14を参照すると、いくつかの実施形態による送電網保護プラットフォーム1100に格納することができる特徴ベクトルデータベース1400を表す表が示されている。表は、例えば、MMMDフレームワークによって解析される送電網を識別するエントリを含むことができる。表はまた、各エントリに対してフィールド1402、1404、1406を定義することもできる。フィールド1402、1404、1406は、いくつかの実施形態によれば、送電網識別子1402、初期特徴セット1404、および選択された特徴サブセット1406を指定することができる。特徴ベクトルデータベース1400は、送電網が新たに追加または変更されたときに、例えば、オフラインで作成および更新されてもよい。
送電網識別子1402は、例えば、監視される送電網を識別する固有の英数字コードであってもよい(および、送電網データベース1200の送電網識別子1202に基づいてもよいし、送電網識別子1202に関連付けられてもよい)。初期特徴セット1404は、図8のMMMD特徴発見850によって作成された初期特徴セット960に関連する値を表すことができる。選択された特徴サブセット1406は、図8の特徴次元削減870によって作成された選択された特徴サブセット880に関連する値を表すことができる。選択された特徴サブセット1406は、いくつかの実施形態によれば、送電網の異常な挙動から正常な挙動を分離するために使用することができる。
サイバーセキュリティは、送電網機器などの資産の保護に必要な重要な機能であることに留意されたい。この空間における動的正規化は、検出の分解能を向上させることができる。送電網に関連する機械は非常に複雑である可能性があり、本明細書に記載した実施形態は、検出を迅速かつ確実に行うサイバー・セキュリティ・アルゴリズムの実施を可能にすることができる。負荷変動(例えば、真陽性検出、偽陽性検出、真陰性検出および偽陰性検出の表示を含む)に対する動的正規化の使用を評価するために、受信者操作条件(「ROC」)曲線を使用できることに留意されたい。
したがって、本明細書に記載されたハイブリッドデータ駆動のモデルベースの手法は、2つの世界を統一された統合フレームワークに結合することによって、唯一のデータ駆動型(例えば、メモリレスである)および唯一のモデルベース(例えば、非常に大きな次元にはスケーリングできない)の手法に関連する制限を低減することができる。さらに、実施形態は、送電網の大規模な学習を提供することができる。送電網システムの複雑さと、従来の送電網センサ(PMU、DFR、マイクロPMUなど)およびサイバーセンサ(例えば、ツイッター(登録商標)メッセージを採取するセンサ、Wi−Fi信号を処理するセンサなど)などの非従来型センサからの異種データソースと、が与えられると、データは、相当に大きく、かつ異なる可能性がある。本明細書に記載の実施形態は、そのような大きなデータセットから特徴を学習することを容易にし、特徴の数を効果的に減らすことができる。さらに、動的構成要素を有する特徴は、拡張されたセットが、1つの大きな拡張された特徴ベクトル内の静的および動的特徴セット情報の両方を含むように計算することができる。
以下に、本発明の様々な追加の実施形態を示す。これらは全ての可能な実施形態の定義を構成するものではなく、当業者は、本発明が他の多くの実施形態に適用可能であることを理解するであろう。さらに、以下の実施形態は、明瞭にするために簡潔に記載されているが、当業者であれば、これらのおよび他の実施形態ならびに用途に対応するための上述の装置および方法に、必要に応じて任意の変更を加える方法を理解するであろう。
特定のハードウェアおよびデータ構成について本明細書で説明してきたが、本発明の実施形態に従って任意の数の他の構成を提供することができることに留意されたい(例えば、本明細書に記載のデータベースに関連する情報の一部は、外部システムと組み合わせるか、または外部システムに格納することができる)。例えば、いくつかの実施形態は送電網に焦点を当てているが、本明細書に記載された実施形態のいずれも、ダム、風力発電所などの他のタイプの資産に適用することができる。さらに、いくつかの実施形態は、情報のオペレータへの表示に関連し得ることに留意されたい。例えば、図15は、送電網1510に関する情報(例えば、特徴ベクトルの初期セットおよび選択された特徴ベクトルサブセットを含む)を表示することができる対話型グラフィカルユーザインターフェース(「GUI」)ディスプレイ1500を示す。いくつかの実施形態によれば、特徴ベクトルおよび/または攻撃状態に関する情報は、異なる送電網の間に織り込まれてもよい。例えば、1つの送電網が(他の送電網の)他のノードの状態を認識することができ、そのようなアプローチは、協調サイバー脅威を阻止するのに役立つことができる。
自動的な脅威検出に加えて、本明細書に記載したいくつかの実施形態は、防衛のさらなるサイバー層をシステムに提供し、(例えば、動作データを使用する際に)カスタムプログラミングなしで展開可能とすることができる。いくつかの実施形態は、ライセンスキーと共に販売され、監視サービスとして組み込むことができる。例えば、送電網内の機器がアップグレードされると、特徴ベクトルおよび/または境界を定期的に更新することができる。
本発明は、説明目的のみのために、いくつかの実施形態の観点から記載されている。当業者であれば、本発明は記載された実施形態に限定されるものではなく、添付の特許請求の範囲の精神および範囲によってのみ限定される修正および改変によって実施できることを認識するであろう。
[実施態様1]
送電網制御システムを保護するシステム(100)であって、
前記送電網制御システムの動作に関連して経時的に一連のデータソースノード(130)値をそれぞれ生成する複数の異種データソースノード(130)と、
前記異種データソースノード(130)に結合されたオフライン異常状態検出モデル作成コンピュータ(140)と、を含み、前記オフライン異常状態検出モデル作成コンピュータ(140)は、
(i)前記一連のデータソースノード(130)値を受信して、特徴抽出プロセスを実行して特徴ベクトルの初期セットを生成し、
(ii)選択された特徴ベクトルサブセットを生成するために、複数モデル複数領域フレームワークを用いて特徴選択を実行し、
(iii)前記選択された特徴ベクトルサブセットに基づいて、異常状態検出モデル(155,1114)のための少なくとも1つの判定境界を自動的に計算して出力する、システム(100)。
[実施態様2]
前記オフライン異常状態検出モデル作成コンピュータ(140)は、前記選択された特徴ベクトルサブセットを生成するために、特徴次元削減プロセスをさらに実行する、実施態様1に記載のシステム(100)。
[実施態様3]
前記特徴次元削減プロセスは、特徴選択技術に関連付けられる、実施態様2に記載のシステム(100)。
[実施態様4]
前記特徴次元削減プロセスは、特徴変換技術に関連付けられる、実施態様2に記載のシステム(100)。
[実施態様5]
前記受信された一連のデータソースノード(130)値は、正常データソースノード(130)値および異常データソースノード(130)値を含む、実施態様1に記載のシステム(100)。
[実施態様6]
前記異種データソースノード(130)のうちの少なくとも1つは、(i)センサデータ、(ii)テキストデータ、(iii)画像データ、(iv)携帯電話データ、(v)衛星データ、(vi)ウェブデータ、(vii)ソーシャルメディアデータ、(viii)無線ネットワークデータ、(ix)気象データ、(x)情報技術入力、(xi)送電網の重要なセンサノード、(xii)送電網のアクチュエータノード、(xiii)送電網のコントローラノード、(xiv)送電網の重要なソフトウェアノード、(xv)スイッチからのデータ、(xvi)電気バスの重要な測定点からのデータ、および(xvii)回路遮断器からのデータのうちの少なくとも1つに関連付けられる、実施態様1に記載のシステム(100)。
[実施態様7]
前記特徴選択は、浅い特徴学習技術にさらに関連付けられる、実施態様1に記載のシステム(100)。
[実施態様8]
前記浅い特徴学習技術は、(i)教師なし学習、(ii)k平均クラスタリング、(iii)多様体学習、(iv)非線形埋め込み、(v)アイソマップ法、(vi)局所線形埋め込み(LLE)、(vii)低次元投影、(viii)主成分解析(PCA)、(ix)独立成分解析(ICA)、(x)ニューラルネットワーク、(xi)自己組織化マップ(SOM)法、(xii)遺伝的プログラミング、および(xiii)スパース符号化のうちの少なくとも1つを利用する、実施態様7に記載のシステム(100)。
[実施態様9]
前記特徴選択は、(i)オートエンコーダ、(ii)ノイズ除去オートエンコーダ、および(iii)制限付きボルツマンマシンのうちの少なくとも1つに関連する深い特徴学習技術にさらに関連付けられる、実施態様1に記載のシステム(100)。
[実施態様10]
前記特徴選択は、知識ベース特徴技術にさらに関連付けられる、実施態様1に記載のシステム(100)。
[実施態様11]
前記知識ベース特徴技術は、(i)最大値、(ii)最小値、(iii)平均値、(iv)分散データ、(v)異なる次数のモーメント、および(vi)高速フーリエ変換スペクトル情報のうちの少なくとも1つを含む統計的記述子を利用する、実施態様10に記載のシステム(100)。
[実施態様12]
前記知識ベース特徴技術は、(i)基底ベクトル分解、(ii)状態推定、(iii)ネットワーク可観測性行列、(iv)トポロジ行列、(v)システムプラント行列、(vi)周波数領域特徴、(vii)システム極、および(viii)システムゼロのうちの少なくとも1つを含む電力システム解析を利用する、実施態様10に記載のシステム(100)。
[実施態様13]
前記選択された特徴ベクトルサブセットは、(i)異常検出、(ii)異常適応、(iii)異常予測、および(iv)システム診断のうちの少なくとも1つと関連してさらに使用される、実施態様1に記載のシステム(100)。
[実施態様14]
経時的な特徴の発展を捕捉するために、前記特徴ベクトルの前記初期セットの最適なサブセットについての動的モデルが特定される、実施態様1に記載のシステム(100)。
[実施態様15]
特徴は動的モデルと関連付けられ、前記動的モデルは、(i)安定性マージン、(ii)可制御性指数、(iii)可観測性指数、(iv)可観測性行列の要素、(v)可制御性行列の要素、(vi)極、および(vii)経時的な特徴の発展の動的モデルのゼロのうちの少なくとも1つからなる、実施態様1に記載のシステム(100)。
[実施態様16]
前記複数の異種データソースノード(130)に結合されたリアルタイム脅威検出コンピュータ(150)をさらに含み、前記リアルタイム脅威検出コンピュータ(150)は、
(i)一連の現在のデータソースノード(130)値を受信し、前記オフライン特徴生成プロセスに基づいて現在の特徴ベクトルのセットを生成し、
(ii)オフラインで作成された前記少なくとも1つの判定境界を有する前記異常状態検出モデル(155,1114)にアクセスし、
(iii)前記異常状態検出モデル(155,1114)を実行し、前記現在の特徴ベクトルのセットおよび前記少なくとも1つの判定境界に基づいて異常状態警告信号を送信する、実施態様1に記載のシステム(100)。
[実施態様17]
前記異常状態検出モデル(155,1114)は、(i)アクチュエータ攻撃、(ii)コントローラ攻撃、(iii)データソースノード攻撃、(iv)プラント状態攻撃、(v)なりすまし、(vi)物理的損傷、(vii)ユニットの利用可能性、(viii)ユニットトリップ、(ix)ユニット寿命の喪失、および(x)少なくとも1つの新しい部品を必要とする資産損害のうちの少なくとも1つに関連付けられる、実施態様16に記載のシステム(100)。
[実施態様18]
前記少なくとも1つの判定境界を含む前記異常状態検出モデル(155,1114)は、(i)線、(ii)超平面、および(iii)正常空間および異常空間を分離する非線形境界、の少なくとも1つに関連付けられる、実施態様16に記載のシステム(100)。
[実施態様19]
送電網制御システムを保護するためのコンピュータ化された方法であって、
複数の異種データソースノード(130)から、前記送電網制御システムの動作に関連して経時的に一連のデータソースノード(130)値を受信するステップと、
オフライン異常状態検出モデル作成コンピュータ(140)により、特徴ベクトルの初期セットを生成するために特徴抽出プロセスを実行するステップと、
選択された特徴ベクトルサブセットを生成するために、複数モデル複数領域フレームワークを用いて特徴選択を実行するステップと、
前記選択された特徴ベクトルサブセットに基づいて、異常状態検出モデル(155,1114)のための少なくとも1つの判定境界を自動的に計算して出力するステップと、
リアルタイム脅威検出コンピュータ(150)において、一連の現在のデータソースノード(130)値を受信するステップと、
前記オフライン特徴生成プロセスに基づいて、現在の特徴ベクトルのセットを生成するステップと、
オフラインで作成された前記少なくとも1つの判定境界を有する前記異常状態検出モデル(155,1114)にアクセスするステップと、
前記異常状態検出モデル(155,1114)を実行するステップと、
前記現在の特徴ベクトルのセットおよび前記少なくとも1つの判定境界に基づいて、異常状態アラート信号を送信するステップと、を含む方法。
[実施態様20]
前記異種データソースノード(130)のうちの少なくとも1つは、(i)センサデータ、(ii)テキストデータ、(iii)画像データ、(iv)携帯電話データ、(v)衛星データ、(vi)ウェブデータ、(vii)ソーシャルメディアデータ、(viii)無線ネットワークデータ、(ix)気象データ、(x)情報技術入力、(xi)送電網の重要なセンサノード、(xii)送電網のアクチュエータノード、(xiii)送電網のコントローラノード、(xiv)送電網の重要なソフトウェアノード、(xv)スイッチからのデータ、(xvi)電気バスの重要な測定点からのデータ、および(xvii)回路遮断器からのデータのうちの少なくとも1つに関連付けられる、実施態様19に記載の方法。
[実施態様21]
前記特徴選択は、(i)浅い特徴学習技術、(ii)深い特徴学習技術、および(iii)知識ベース特徴技術のうちの少なくとも1つを含む、実施態様20に記載の方法。
[実施態様22]
コンピュータプロセッサ(1110)によって実行された場合に、送電網制御システムを保護するための方法を前記コンピュータプロセッサ(1110)に実行させる命令を格納する非一時的なコンピュータ可読媒体であって、前記方法は、
複数の異種データソースノード(130)から、前記送電網制御システム(100)の動作に関連して経時的に一連のデータソースノード(130)値を受信するステップと、
オフライン異常状態検出モデル作成コンピュータ(140)により、特徴ベクトルの初期セットを生成するために特徴抽出プロセスを実行するステップと、
選択された特徴ベクトルサブセットを生成するために、複数モデル複数領域フレームワークを用いて特徴選択を実行するステップと、
前記選択された特徴ベクトルサブセットに基づいて、異常状態検出モデル(155,1114)のための少なくとも1つの判定境界を自動的に計算して出力するステップと、を含む、媒体。
[実施態様23]
前記特徴選択は、(i)浅い特徴学習技術、(ii)深い特徴学習技術、および(iii)知識ベース特徴技術のうちの少なくとも1つを含む、実施態様22に記載の媒体。
100 システム
110 正常空間データソース
120 異常空間データソース
130 データソースノード
140 オフライン異常状態検出モデル作成コンピュータ
150 異常状態検出コンピュータ
155 異常状態検出モデル
170 遠隔監視装置
300 システム
310 正常データ
320 異常データ
332 送電網
334 センサ
336 電子機器およびプロセッサを備えたコントローラ
338 アクチュエータ
342 高忠実度物理に基づくモデル
344 特徴発見コンポーネント
346 判定境界アルゴリズム
350 リアルタイム脅威検出プラットフォーム
352 データソースノード要素
354 正常判定
356 位置特定モジュール、位置特定要素
358 適応要素
360 オフライン異常状態検出システム
370 出力
400 図
410 グラフ
412 ハード境界
414 最大境界
416 最小境界
500 オフラインおよびリアルタイムの異常判定および早期警告ツールアーキテクチャ
510 オフライン部分、オフライン判定境界ツール、オフラインプロセス、オフライン部分、特徴ベースモデル支援学習手法
520 特徴発見要素、深い特徴学習
522 データ生成要素、リアルタイム部分、リアルタイムツール
530 特徴発見要素
532 特徴エンジニアリング要素
534 動的システム識別要素
536 特徴拡張
540 異常判定モデリングシステム
542 正常データ
544 異常データ
546 判定境界計算
550 リアルタイムツール、リアルタイム部分、高速検出プロセス
552 前処理要素
560 MMMD特徴抽出ユニット
562 特徴エンジニアリング
564 特徴拡張
570 状況認識要素
580 事象評価要素
582 正常性判定
584 重要度評価要素
600 オフライン異常判定境界ツール
622 電力システムモデル
630 合成データ収集
642 正常データ
646 異常データ
650 前処理
660 MMMD特徴発見フレームワーク
662 特徴エンジニアリング
664 設計された動的システム特徴ベクトル
672 最適特徴
674 システム識別
676 動的システム特徴
700 早期警告システム
752 前処理
760 特徴抽出ユニット
770 異常予測および状況認識エンジン、異常判定および事象評価エンジン
772 最適特徴
774 システム識別
776 動的システム特徴抽出
778 異常予測要素
780 事象評価ユニット
782 判定プロセッサ
784 後判定プロセッサ事象分離、位置特定、および重要度評価モジュール、事判定処理モジュール
810 送電網
812 多変量時系列情報、データソース
814 テキストデータ、データソース
816 画像、データソース
820 深い特徴学習
830 浅い特徴学習
840 知識ベース特徴
850 MMMD特徴発見
860 初期特徴セット
870 特徴次元削減プロセス
870 特徴次元削減
880 特徴サブセット
960 初期特徴セット
1000 システム
1010 特徴融合プラットフォーム
1020 電力システムモデル
1030 解析機能を備えた特徴エンジン
1040 特徴拡張器
1050 最適特徴選択要素、最適な特徴選択アルゴリズム
1060 動的システム識別
1070 動的システム特徴
1090 データセット
1092 正常データ
1094 異常データ
1100 送電網保護プラットフォーム
1110 プロセッサ
1112 プログラム
1114 異常状態検出モデル
1120 通信装置
1130 記憶装置
1140 入力装置
1150 出力装置
1160 動的システム識別要素
1200 送電網データベース
1202 送電網識別子、フィールド
1204 構成要素識別子、フィールド
1206 説明、フィールド
1300 データソースデータベース
1302 データソース識別子、フィールド
1304 時系列、フィールド
1306 説明、フィールド
1400 特徴ベクトルデータベース
1402 送電網識別子、フィールド
1404 初期特徴セット、フィールド
1406 特徴サブセット、フィールド
1500 ディスプレイ
1510 送電網
1520 特徴ベクトル処理

Claims (14)

  1. 送電網制御システムを保護するシステム(100)であって、
    前記送電網制御システムの動作に関連して経時的に一連のデータソースノード(130)値をそれぞれ生成する複数の異種データソースノード(130)と、
    前記異種データソースノード(130)に結合されたオフライン異常状態検出モデル作成コンピュータ(140)と、を含み、前記オフライン異常状態検出モデル作成コンピュータ(140)は、
    (i)前記一連のデータソースノード(130)値を受信して、特徴抽出プロセスを実行して特徴ベクトルの初期セットを生成し、
    (ii)選択された特徴ベクトルサブセットを生成するために、複数モデル複数領域フレームワークを用いて特徴選択を実行し、
    (iii)前記選択された特徴ベクトルサブセットに基づいて、異常状態検出モデル(155,1114)のための少なくとも1つの判定境界を自動的に計算して出力する、システム(100)。
  2. 前記オフライン異常状態検出モデル作成コンピュータ(140)は、前記選択された特徴ベクトルサブセットを生成するために、特徴次元削減プロセスをさらに実行する、請求項1に記載のシステム(100)。
  3. 前記特徴次元削減プロセスは、特徴選択技術に関連付けられる、請求項2に記載のシステム(100)。
  4. 前記特徴次元削減プロセスは、特徴変換技術に関連付けられる、請求項2に記載のシステム(100)。
  5. 前記受信された一連のデータソースノード(130)値は、正常データソースノード(130)値および異常データソースノード(130)値を含む、請求項1に記載のシステム(100)。
  6. 前記異種データソースノード(130)のうちの少なくとも1つは、(i)センサデータ、(ii)テキストデータ、(iii)画像データ、(iv)携帯電話データ、(v)衛星データ、(vi)ウェブデータ、(vii)ソーシャルメディアデータ、(viii)無線ネットワークデータ、(ix)気象データ、(x)情報技術入力、(xi)送電網の重要なセンサノード、(xii)送電網のアクチュエータノード、(xiii)送電網のコントローラノード、(xiv)送電網の重要なソフトウェアノード、(xv)スイッチからのデータ、(xvi)電気バスの重要な測定点からのデータ、および(xvii)回路遮断器からのデータのうちの少なくとも1つに関連付けられる、請求項1に記載のシステム(100)。
  7. 前記特徴選択は、浅い特徴学習技術にさらに関連付けられる、請求項1に記載のシステム(100)。
  8. 前記浅い特徴学習技術は、(i)教師なし学習、(ii)k平均クラスタリング、(iii)多様体学習、(iv)非線形埋め込み、(v)アイソマップ法、(vi)局所線形埋め込み(LLE)、(vii)低次元投影、(viii)主成分解析(PCA)、(ix)独立成分解析(ICA)、(x)ニューラルネットワーク、(xi)自己組織化マップ(SOM)法、(xii)遺伝的プログラミング、および(xiii)スパース符号化のうちの少なくとも1つを利用する、請求項7に記載のシステム(100)。
  9. 前記特徴選択は、(i)オートエンコーダ、(ii)ノイズ除去オートエンコーダ、および(iii)制限付きボルツマンマシンのうちの少なくとも1つに関連する深い特徴学習技術にさらに関連付けられる、請求項1に記載のシステム(100)。
  10. 前記特徴選択は、(i)最大値、(ii)最小値、(iii)平均値、(iv)分散データ、(v)異なる次数のモーメント、および(vi)高速フーリエ変換スペクトル情報のうちの少なくとも1つを含む統計的記述子を利用する、知識ベース特徴技術にさらに関連付けられる、請求項1に記載のシステム(100)。
  11. 前記知識ベース特徴技術は、(i)基底ベクトル分解、(ii)状態推定、(iii)ネットワーク可観測性行列、(iv)トポロジ行列、(v)システムプラント行列、(vi)周波数領域特徴、(vii)システム極、および(viii)システムゼロのうちの少なくとも1つを含む電力システム解析を利用する、請求項10に記載のシステム(100)。
  12. 前記選択された特徴ベクトルサブセットは、(i)異常検出、(ii)異常適応、(iii)異常予測、および(iv)システム診断のうちの少なくとも1つと関連してさらに使用される、請求項1に記載のシステム(100)。
  13. 特徴は動的モデルと関連付けられ、前記動的モデルは、(i)安定性マージン、(ii)可制御性指数、(iii)可観測性指数、(iv)可観測性行列の要素、(v)可制御性行列の要素、(vi)極、および(vii)経時的な特徴の発展の動的モデルのゼロのうちの少なくとも1つからなる、請求項1に記載のシステム(100)。
  14. 前記複数の異種データソースノード(130)に結合されたリアルタイム脅威検出コンピュータ(150)をさらに含み、前記リアルタイム脅威検出コンピュータ(150)は、
    (i)一連の現在のデータソースノード(130)値を受信し、前記オフライン特徴生成プロセスに基づいて現在の特徴ベクトルのセットを生成し、
    (ii)オフラインで作成された前記少なくとも1つの判定境界を有する前記異常状態検出モデル(155,1114)にアクセスし、
    (iii)前記異常状態検出モデル(155,1114)を実行し、前記現在の特徴ベクトルのセットおよび前記少なくとも1つの判定境界に基づいて異常状態警告信号を送信する、請求項1に記載のシステム(100)。
JP2018037112A 2017-03-09 2018-03-02 送電網におけるサイバー脅威を検出するための複数モデル複数領域の特徴発見 Pending JP2018185794A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/454,219 2017-03-09
US15/454,219 US20180262525A1 (en) 2017-03-09 2017-03-09 Multi-modal, multi-disciplinary feature discovery to detect cyber threats in electric power grid

Publications (1)

Publication Number Publication Date
JP2018185794A true JP2018185794A (ja) 2018-11-22

Family

ID=61683561

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018037112A Pending JP2018185794A (ja) 2017-03-09 2018-03-02 送電網におけるサイバー脅威を検出するための複数モデル複数領域の特徴発見

Country Status (7)

Country Link
US (1) US20180262525A1 (ja)
EP (1) EP3373552A1 (ja)
JP (1) JP2018185794A (ja)
CN (1) CN108574691A (ja)
BR (1) BR102018003437A2 (ja)
CA (1) CA2995864A1 (ja)
MX (1) MX2018002954A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6725928B1 (ja) * 2020-02-13 2020-07-22 東洋インキScホールディングス株式会社 回帰モデル作成方法、回帰モデル作成装置、及び、回帰モデル作成プログラム
JP2020530754A (ja) * 2017-08-10 2020-10-22 ランディス・ギア イノベーションズ インコーポレイテッドLandis+Gyr Innovations, Inc. 下流イベントおよび測定値に基づいた送電網アセットの順位付け
WO2022219685A1 (ja) * 2021-04-12 2022-10-20 日本電信電話株式会社 特徴選択装置、特徴選択方法および特徴選択プログラム

Families Citing this family (82)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10587635B2 (en) 2017-03-31 2020-03-10 The Boeing Company On-board networked anomaly detection (ONAD) modules
US10970647B1 (en) * 2017-08-16 2021-04-06 Facebook, Inc. Deep feature generation for classification
US10489238B2 (en) * 2017-10-28 2019-11-26 Facebook, Inc. Analyzing screenshots to detect application issues
JP6540787B1 (ja) * 2017-12-28 2019-07-10 横河電機株式会社 装置、方法、およびプログラム
JP7006296B2 (ja) * 2018-01-19 2022-01-24 富士通株式会社 学習プログラム、学習方法および学習装置
CN109308548B (zh) * 2018-09-12 2021-01-26 中科绿建(天津)科技发展有限公司 一种基于网格预测的设备安全管理方法及系统
CN109035066A (zh) * 2018-09-30 2018-12-18 国网山西省电力公司阳泉供电公司 基于svm的10千伏配网高掉闸线路成因分析及治理方法
CN109389181B (zh) * 2018-10-30 2020-11-24 全球能源互联网研究院有限公司 电网异常事件的关联规则生成方法及装置
CN109257383B (zh) * 2018-11-09 2021-09-21 中国人民解放军战略支援部队信息工程大学 一种bgp异常检测方法及系统
CN109635563A (zh) * 2018-11-30 2019-04-16 北京奇虎科技有限公司 用于识别恶意应用程序的方法、装置、设备及存储介质
GB2580317B (en) * 2018-12-27 2022-03-16 British Telecomm Threat forecasting
CN109711483B (zh) * 2019-01-08 2020-10-27 西安交通大学 一种基于Sparse Autoencoder的电力系统运行方式聚类方法
CN110033014A (zh) * 2019-01-08 2019-07-19 阿里巴巴集团控股有限公司 异常数据的检测方法及其系统
CN109945988A (zh) * 2019-02-21 2019-06-28 中电科安科技股份有限公司 一种物联网断路器线路温度高精度检测方法及装置
CN111695229B (zh) * 2019-03-12 2023-10-17 宁波大学 一种基于ga-ica的新型分散式非高斯过程监测方法
CN110048884B (zh) * 2019-04-04 2021-11-05 上海大学 抵御随机攻击和蓄意网络攻击的智能配电网通信网络规划方法
US11657148B2 (en) * 2019-05-10 2023-05-23 General Electric Company Event analysis in an electric power system
CN110035090B (zh) * 2019-05-10 2020-09-15 燕山大学 一种智能电网虚假数据注入攻击检测方法
CN110110523A (zh) * 2019-05-10 2019-08-09 极智(上海)企业管理咨询有限公司 一种提升规则代码扫描准确率的方法
CN110213087B (zh) * 2019-05-16 2020-08-25 北京航空航天大学 一种基于动态多层耦合网络的复杂系统故障定位方法
CN110321947A (zh) * 2019-06-27 2019-10-11 和远智能科技股份有限公司 一种基于卷积神经网络的用电异常预判方法
JP2021015573A (ja) * 2019-07-16 2021-02-12 ファナック株式会社 異常判定装置及び異常判定システム
CN110351301B (zh) * 2019-07-26 2021-09-28 长沙市智为信息技术有限公司 一种http请求双层递进式异常检测方法
US11604448B2 (en) * 2019-07-29 2023-03-14 Pacific Gas And Electric Company Electric power grid inspection and management system
US11693763B2 (en) 2019-07-30 2023-07-04 General Electric Company Resilient estimation for grid situational awareness
CN112312427B (zh) * 2019-07-31 2023-09-05 中国移动通信集团广东有限公司 一种优化网络质量的方法和电子设备
US10853728B1 (en) * 2019-08-23 2020-12-01 Capital One Services, Llc Automated data ingestion using an autoencoder
EP3787229A1 (de) 2019-09-02 2021-03-03 Siemens Aktiengesellschaft Verfahren und vorrichtung zur automatischen auswahl von analyseketten zur merkmalsextraktion
US11201893B2 (en) 2019-10-08 2021-12-14 The Boeing Company Systems and methods for performing cybersecurity risk assessments
US11729190B2 (en) * 2019-10-29 2023-08-15 General Electric Company Virtual sensor supervised learning for cyber-attack neutralization
CN110866287B (zh) * 2019-10-31 2021-12-17 大连理工大学 一种基于权重谱生成对抗样本的点攻击方法
CN112910934A (zh) * 2019-11-19 2021-06-04 新汉智能系统股份有限公司 快速部署云服务的方法
US10686810B1 (en) * 2020-02-05 2020-06-16 The Florida International University Board Of Trustees Systems and methods for providing security in power systems
EP3869228B1 (en) * 2020-02-21 2022-07-06 Tata Consultancy Services Limited Edge based sensor actuation and control in iot network for event monitoring
CN111353160B (zh) * 2020-02-25 2022-08-16 融合安全(深圳)信息科技有限公司 软件漏洞异常智能检测系统及方法
CN111460374A (zh) * 2020-04-10 2020-07-28 南方电网科学研究院有限责任公司 一种考虑节点差异性的配电网d-pmu优化配置方法
US11681914B2 (en) * 2020-05-08 2023-06-20 International Business Machines Corporation Determining multivariate time series data dependencies
CN111786979B (zh) * 2020-06-24 2022-07-22 杭州电子科技大学 一种基于多模态学习的电力攻击识别方法
CN111898313B (zh) * 2020-06-30 2022-05-20 电子科技大学 一种基于ica与svm集成学习的故障检测方法
CN112084891B (zh) * 2020-08-21 2023-04-28 西安理工大学 基于多模态特征与对抗学习的跨域人体动作识别方法
CN112068065B (zh) * 2020-10-12 2022-06-21 武汉格蓝若智能技术有限公司 一种电压互感器状态预警方法、装置及存储介质
CN112261041B (zh) * 2020-10-21 2021-08-13 中国科学院信息工程研究所 一种电力终端多级分布式监测与防渗透系统
CN112351010B (zh) * 2020-10-27 2022-05-17 滨州学院 一种基于局域网的网络安全态势感知系统及方法
EP3996224A3 (en) * 2020-11-04 2022-08-17 Abb Schweiz Ag Nuisance trip decision management using data analytics in electrical protection system
KR102458075B1 (ko) * 2020-11-26 2022-10-24 목포대학교산학협력단 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법
CN112367338A (zh) * 2020-11-27 2021-02-12 腾讯科技(深圳)有限公司 恶意请求检测方法及装置
CN112731827B (zh) * 2020-12-11 2022-07-08 国网宁夏电力有限公司吴忠供电公司 一种用于电力设备的智能传感器的监控系统
CN112487658B (zh) * 2020-12-14 2022-09-16 重庆邮电大学 一种电网关键节点的识别方法、装置及系统
AU2021269370A1 (en) 2020-12-18 2022-07-07 The Boeing Company Systems and methods for context aware cybersecurity
CN112751663B (zh) * 2020-12-31 2022-12-23 南方电网科学研究院有限责任公司 一种数据加密方法和装置
CN112822685B (zh) * 2021-02-01 2022-12-23 中国南方电网有限责任公司 一种基于溯源的Android移动攻击防范方法、装置和系统
CN113094975B (zh) * 2021-03-22 2024-04-05 西安交通大学 智能电网节点脆弱性的评估方法、系统、设备及存储介质
CN113051559A (zh) * 2021-03-22 2021-06-29 山西三友和智慧信息技术股份有限公司 基于分布式深度学习的边缘设备web攻击检测系统及方法
CN112907222B (zh) * 2021-03-25 2022-07-08 清华大学 一种多源异构电网运监业务数据融合方法
CN113284000B (zh) * 2021-04-08 2023-04-04 南方电网数字电网研究院有限公司 用户用电数据异常检测方法、装置、计算机设备
CN113156869B (zh) * 2021-05-14 2024-02-23 深圳得讯信息技术有限公司 一种电力物联终端设备的远程维护系统及方法
CN113537280B (zh) * 2021-05-21 2024-07-26 北京中医药大学 一种基于特征选择的智能制造工业大数据分析方法
CN113420290B (zh) * 2021-06-25 2023-04-18 深圳得讯信息技术有限公司 一种电力物联网设备的安全性检测方法及系统
CN113657644B (zh) * 2021-07-09 2024-02-23 南京邮电大学 智能电网中虚假数据检测方法、装置、设备及存储介质
US20230050490A1 (en) * 2021-08-04 2023-02-16 Abb Schweiz Ag Systems and Methods for Malicious Attack Detection in Phasor Measurement Unit Data
CN113783874B (zh) * 2021-09-10 2023-08-29 国网数字科技控股有限公司 基于安全知识图谱的网络安全态势评估方法及系统
KR20240093566A (ko) * 2021-10-15 2024-06-24 제네럴 일렉트릭 테크놀러지 게엠베하 적응형 전력 그리드 관리 시스템
CN114239683A (zh) * 2021-11-12 2022-03-25 国网浙江省电力有限公司宁波供电公司 一种面向电力系统的数据融合处理方法、系统及设备
CN113794742B (zh) * 2021-11-18 2022-02-15 国网浙江浙电招标咨询有限公司 一种电力系统fdia高精度检测方法
CN114499997B (zh) * 2021-12-30 2024-03-15 深圳供电局有限公司 攻击行为检测方法、装置、设备、介质和计算机程序产品
CN114123353B (zh) * 2022-01-26 2022-05-06 南方电网数字电网研究院有限公司 基于安全防护的智慧能源系统及其控制方法
CN115293244B (zh) * 2022-07-15 2023-08-15 北京航空航天大学 一种基于信号处理及数据约简的智能电网虚假数据注入攻击检测方法
CN115221471B (zh) * 2022-07-18 2023-03-31 山东云天安全技术有限公司 一种异常数据的识别方法、装置、存储介质及计算机设备
CN115238234B (zh) * 2022-07-18 2023-04-28 山东云天安全技术有限公司 一种异常数据确定方法、电子设备及存储介质
CN115225533B (zh) * 2022-07-26 2023-09-19 深圳证券通信有限公司 安全分析方法及相关装置
CN115037558B (zh) * 2022-08-10 2022-10-21 军事科学院系统工程研究院网络信息研究所 一种对抗驱动的异常检测进化方法
CN115277249B (zh) * 2022-09-22 2022-12-20 山东省计算中心(国家超级计算济南中心) 一种多层异构网络协同的网络安全态势感知方法
CN115801412B (zh) * 2022-11-18 2023-05-02 国网河北省电力有限公司电力科学研究院 一种电力物联信息网络攻击行为特征的提取方法
CN116846060B (zh) * 2023-03-08 2024-06-21 国网江苏省电力有限公司淮安供电分公司 Iec61850智能变电站工况安全学习系统
CN116306937B (zh) * 2023-03-22 2023-11-10 中航信移动科技有限公司 一种基于时间序列离线数据的规则提取方法、介质及设备
CN116430831B (zh) * 2023-04-26 2023-10-31 宁夏五谷丰生物科技发展有限公司 应用于食用油生产控制系统的数据异常监控方法及系统
CN116708026B (zh) * 2023-08-03 2023-10-24 国网冀北电力有限公司 直流微电网网络攻击检测与全局状态估计方法及装置
CN117293807B (zh) * 2023-09-25 2024-07-26 上海能优网电力科技有限公司 一种配电网信息侧模型多时间尺度优化方法及系统
CN117150417B (zh) * 2023-10-30 2024-02-02 国网山东省电力公司菏泽供电公司 一种离线式检测系统
CN117401578B (zh) * 2023-12-15 2024-04-19 姜文涛 一种起重量称量信号智能管理系统
CN117767299B (zh) * 2023-12-26 2024-07-30 国网吉林省电力有限公司经济技术研究院 基于电网系统的数字化转型体系框架的构建方法
CN118200057B (zh) * 2024-05-16 2024-07-19 江苏国信瑞科系统工程有限公司 网络安全漏洞信息自动扫描预警系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0530684A (ja) * 1991-07-23 1993-02-05 Togami Electric Mfg Co Ltd 送配電線事故診断方法
JP2013533531A (ja) * 2010-05-20 2013-08-22 アクセンチュア グローバル サービスィズ リミテッド 悪意のある攻撃の検出および分析
JP2013226037A (ja) * 2012-04-13 2013-10-31 Boeing Co:The 電力系統のイベント処理システム
WO2014144246A1 (en) * 2013-03-15 2014-09-18 Cyberricade, Inc. Cyber security
US20170024649A1 (en) * 2015-07-24 2017-01-26 General Electric Company Anomaly detection system and method for industrial asset

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7225343B1 (en) * 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
JP3812739B2 (ja) * 2002-05-28 2006-08-23 三菱電機株式会社 モータ異常検出装置及び電動パワーステアリング制御装置
US8655939B2 (en) * 2007-01-05 2014-02-18 Digital Doors, Inc. Electromagnetic pulse (EMP) hardened information infrastructure with extractor, cloud dispersal, secure storage, content analysis and classification and method therefor
US8161550B2 (en) * 2007-01-23 2012-04-17 Knowledge Based Systems, Inc. Network intrusion detection
US8468599B2 (en) * 2010-09-20 2013-06-18 Sonalysts, Inc. System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis
CN102074955B (zh) * 2011-01-20 2015-06-10 中国电力科学研究院 基于知识发现技术的电力系统稳定评估及控制方法
CN104462762A (zh) * 2014-11-04 2015-03-25 西南交通大学 一种输电线路的模糊故障分类方法
CN104794534B (zh) * 2015-04-16 2017-12-15 国网山东省电力公司临沂供电公司 一种基于改进深度学习模型的电网安全态势预测方法
US10147049B2 (en) * 2015-08-31 2018-12-04 International Business Machines Corporation Automatic generation of training data for anomaly detection using other user's data samples
US10365639B2 (en) * 2016-01-06 2019-07-30 Kla-Tencor Corporation Feature selection and automated process window monitoring through outlier detection
US10419458B2 (en) * 2016-01-21 2019-09-17 Cyiot Ltd Distributed techniques for detecting atypical or malicious wireless communications activity
US11005863B2 (en) * 2016-06-10 2021-05-11 General Electric Company Threat detection and localization for monitoring nodes of an industrial asset control system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0530684A (ja) * 1991-07-23 1993-02-05 Togami Electric Mfg Co Ltd 送配電線事故診断方法
JP2013533531A (ja) * 2010-05-20 2013-08-22 アクセンチュア グローバル サービスィズ リミテッド 悪意のある攻撃の検出および分析
JP2013226037A (ja) * 2012-04-13 2013-10-31 Boeing Co:The 電力系統のイベント処理システム
WO2014144246A1 (en) * 2013-03-15 2014-09-18 Cyberricade, Inc. Cyber security
US20170024649A1 (en) * 2015-07-24 2017-01-26 General Electric Company Anomaly detection system and method for industrial asset

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020530754A (ja) * 2017-08-10 2020-10-22 ランディス・ギア イノベーションズ インコーポレイテッドLandis+Gyr Innovations, Inc. 下流イベントおよび測定値に基づいた送電網アセットの順位付け
JP7008798B2 (ja) 2017-08-10 2022-01-25 ランディス・ギア イノベーションズ インコーポレイテッド 下流イベントおよび測定値に基づいた送電網アセットの順位付け
JP6725928B1 (ja) * 2020-02-13 2020-07-22 東洋インキScホールディングス株式会社 回帰モデル作成方法、回帰モデル作成装置、及び、回帰モデル作成プログラム
WO2021162033A1 (ja) * 2020-02-13 2021-08-19 東洋インキScホールディングス株式会社 回帰モデル作成方法、回帰モデル作成装置、及び、回帰モデル作成プログラム
JP2021128042A (ja) * 2020-02-13 2021-09-02 東洋インキScホールディングス株式会社 回帰モデル作成方法、回帰モデル作成装置、及び、回帰モデル作成プログラム
WO2022219685A1 (ja) * 2021-04-12 2022-10-20 日本電信電話株式会社 特徴選択装置、特徴選択方法および特徴選択プログラム
JP7533773B2 (ja) 2021-04-12 2024-08-14 日本電信電話株式会社 特徴選択装置、特徴選択方法および特徴選択プログラム

Also Published As

Publication number Publication date
US20180262525A1 (en) 2018-09-13
CA2995864A1 (en) 2018-09-09
CN108574691A (zh) 2018-09-25
EP3373552A1 (en) 2018-09-12
MX2018002954A (es) 2018-11-09
BR102018003437A2 (pt) 2018-12-04

Similar Documents

Publication Publication Date Title
JP2018185794A (ja) 送電網におけるサイバー脅威を検出するための複数モデル複数領域の特徴発見
US10452845B2 (en) Generic framework to detect cyber threats in electric power grid
JP7071034B2 (ja) 産業資産制御システムにおける脅威検出のための特徴および境界の調整
US10678912B2 (en) Dynamic normalization of monitoring node data for threat detection in industrial asset control system
CN107491057B (zh) 保护工业资产控制系统的系统及方法及计算机可读介质
US10805324B2 (en) Cluster-based decision boundaries for threat detection in industrial asset control system
US10417415B2 (en) Automated attack localization and detection
US10594712B2 (en) Systems and methods for cyber-attack detection at sample speed
US10728282B2 (en) Dynamic concurrent learning method to neutralize cyber attacks and faults for industrial asset monitoring nodes
US11252169B2 (en) Intelligent data augmentation for supervised anomaly detection associated with a cyber-physical system
US11113395B2 (en) System and method for anomaly and cyber-threat detection in a wind turbine
US20190342318A1 (en) Multi-mode boundary selection for threat detection in industrial asset control system
KR20170121717A (ko) 산업 자산 제어 시스템의 도메인 레벨 위협 검출
US11503045B2 (en) Scalable hierarchical abnormality localization in cyber-physical systems
US20200089874A1 (en) Local and global decision fusion for cyber-physical system abnormality detection
US11005870B2 (en) Framework to develop cyber-physical system behavior-based monitoring
EP4075726A1 (en) Unified multi-agent system for abnormality detection and isolation
US11916940B2 (en) Attack detection and localization with adaptive thresholding
WO2023023412A2 (en) Vulnerability-driven cyberattack protection system and method for industrial assets
US12099571B2 (en) Feature extractions to model large-scale complex control systems
US20190219994A1 (en) Feature extractions to model large-scale complex control systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220427

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20221122