JP7071034B2 - 産業資産制御システムにおける脅威検出のための特徴および境界の調整 - Google Patents

産業資産制御システムにおける脅威検出のための特徴および境界の調整 Download PDF

Info

Publication number
JP7071034B2
JP7071034B2 JP2017226395A JP2017226395A JP7071034B2 JP 7071034 B2 JP7071034 B2 JP 7071034B2 JP 2017226395 A JP2017226395 A JP 2017226395A JP 2017226395 A JP2017226395 A JP 2017226395A JP 7071034 B2 JP7071034 B2 JP 7071034B2
Authority
JP
Japan
Prior art keywords
threat
monitoring node
normal
boundary
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017226395A
Other languages
English (en)
Other versions
JP2018139101A (ja
Inventor
コーディー・ジョー・ブシェイ
ラリト・ケシャブ・メスタ
ジャスティン・バーキー・ジョン
ダニエル・フランシス・ホルツハウアー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
General Electric Co
Original Assignee
General Electric Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by General Electric Co filed Critical General Electric Co
Publication of JP2018139101A publication Critical patent/JP2018139101A/ja
Application granted granted Critical
Publication of JP7071034B2 publication Critical patent/JP7071034B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Description

本発明は、産業資産制御システムにおける脅威検出のための特徴および境界の調整に関する。
物理的システム(例えば、動力タービン、ジェットエンジン、機関車、自律車両など)を操作する産業資産制御システムは、インターネットに接続されることが多くなっている。その結果、これらの制御システムは、電力の発生と分布を妨げたり、エンジンを損傷したり、車両の誤動作を招くなどの可能性のあるサイバー攻撃(例えば、コンピュータウイルス、悪意のあるソフトウェアなど)などの脅威に対して脆弱であり得る。現在の方法は、主に、情報技術(「IT」、例えば、データを格納、検索、送信、操作するコンピュータ)および操作技術(「OT」、例えば直接監視装置および通信バスインターフェース)における脅威検出を考慮する。サイバー脅威は、Stuxnet攻撃を受けた2010年に見られるように、これらの保護レイヤーに侵入し、物理的な「ドメイン」に到達する可能性がある。そのような攻撃は、制御システムのパフォーマンスを低下させ、プラントの総停止または破局的な損傷さえも引き起こすおそれがある。現在、FDIA(Fault Detection Isolation and Accommodation)アプローチはセンサデータを解析するだけであるが、他のタイプの脅威監視ノードと関連して脅威が発生する可能性がある。また、FDIAは、一度に1つのセンサにおいて自然に発生する障害にのみ限定されることに留意されたい。FDIAシステムは、悪意のある攻撃の場合のように同時に発生する複数の障害には対処しない。さらに、脅威検出システムの性能を測定するいくつかの方法がある(例えば、脅威が存在しない場合の誤警報、脅威が実際に存在する場合の警報作成の失敗、脅威検出の迅速さなど)。結果として、適切な脅威検出システムの作成が困難になることがあり、特に、かなりの数の異なるタイプの監視ノードが評価され、様々な性能メトリックを考慮する必要がある場合にはそうである。したがって、産業資産制御システムをサイバー脅威から自動的かつ正確に保護するための適切な脅威検出システムの作成を容易にすることが望ましい。
米国特許第9405900号明細書
いくつかの実施形態によれば、脅威検出モデル作成コンピュータは、一連の正常監視ノード値(産業資産制御システムの正常動作を表す)を受信し、一組の正常特徴ベクトルを生成することができる。脅威検出モデル作成コンピュータはまた、一連の脅威監視ノード値(産業資産制御システムの脅威を受けている動作を表す)を受信し、一組の脅威特徴ベクトルを生成することもできる。脅威検出モデルのための少なくとも1つの潜在的判定境界は、一組の正常特徴ベクトル、一組の脅威特徴ベクトル、および少なくとも1つの初期アルゴリズムパラメータに基づいて計算されてもよい。少なくとも1つの潜在的判定境界の性能は、性能メトリックに基づいて評価されてもよい。次に、少なくとも1つの初期アルゴリズムパラメータは、評価の結果に基づいて調整されてもよく、少なくとも1つの潜在的判定境界は再計算されてもよい。
いくつかの実施形態は、一連の正常監視ノード値を受信し、一組の正常特徴ベクトルを生成する手段であって、経時的な一連の正常監視ノード値は、産業資産制御システムの正常動作を表す、手段と、一連の脅威監視ノード値を受信し、一組の脅威特徴ベクトルを生成する手段であって、経時的な一連の脅威監視ノード値は、産業資産制御システムの脅威を受けている動作を表す、手段と、一組の正常特徴ベクトル、一組の脅威特徴ベクトル、および少なくとも1つの初期アルゴリズムパラメータに基づいて、脅威検出モデルのための少なくとも1つの潜在的判定境界を計算する手段と、性能メトリックに基づいて少なくとも1つの潜在的判定境界の性能を評価する手段と、評価の結果に基づいて少なくとも1つの初期アルゴリズムパラメータを調整し、少なくとも1つの潜在的判定境界を再計算する手段と、を含む。
本明細書に開示するいくつかの実施形態のいくつかの技術的利点は、産業資産制御システムをサイバー脅威から自動的かつ正確に保護するための適切な脅威検出システムの作成を容易にする改良されたシステムおよび方法である。
いくつかの実施形態により提供することができるシステムの高レベルブロック図である。 いくつかの実施形態による方法を示す図である。 いくつかの実施形態による脅威警報システムを示す図である。 いくつかの実施形態による様々な監視ノードパラメータの境界および特徴ベクトルを示す図である。 いくつかの実施形態による様々な監視ノードパラメータの境界および特徴ベクトルを示す図である。 いくつかの実施形態による様々な監視ノードパラメータの境界および特徴ベクトルを示す図である。 いくつかの実施形態によるサイバー攻撃検出システムのブロック図である。 いくつかの実施形態によるグローバル脅威保護システムの一例を示す図である。 いくつかの実施形態による三次元のセンサ出力を示す図である。 いくつかの実施形態による脅威検出のための特徴および境界調整の方法を示す図である。 いくつかの実施形態による受信者操作曲線測定を示す図である。 いくつかの実施形態による最適化フローチャートを示す図である。 いくつかの実施形態によるディスプレイを示す図である。 本発明のいくつかの実施形態による産業資産制御システム保護プラットフォームのブロック図である。 いくつかの実施形態によるローカルデータベースのテーブル部分を示す図である。 いくつかの実施形態によるグローバルデータベースのテーブル部分を示す図である。 いくつかの実施形態による監視ノードデータベースのテーブル部分を示す図である。
以下の詳細な説明では、実施形態の完全な理解を提供するために、多数の特定の詳細が述べられる。しかしながら、これらの具体的な詳細なしで実施形態を実施できることは、当業者には理解されるであろう。他の例では、周知の方法、手順、構成要素、および回路は、実施形態を不明瞭にしないように詳細には記載していない。
物理システムを操作する産業制御システムは、インターネットに接続されることが多くなっている。その結果、これらの制御システムは、脅威に対して脆弱になる可能性があり、場合によっては、複数の攻撃が同時に発生するおそれがある。FDIAアプローチなどの産業制御システムを保護する既存のアプローチでは、これらの脅威に適切に対処できない場合があり、特に、かなりの数の異なるタイプの監視ノードが評価され、様々な性能メトリックを考慮する必要がある場合にはそうである。したがって、産業資産制御システムをサイバー脅威から自動的かつ正確に保護するための適切な脅威検出システムの作成を容易にすることが望ましい。図1は、いくつかの実施形態によるシステム100の高レベルアーキテクチャである。システム100は、「正常空間」データソース110および「脅威空間」データソース120を含むことができる。正常空間データソース110は、複数の「監視ノード」130のそれぞれに対して、(例えばモデルによって生成された、または、図1に破線で示すように実際の監視ノード130のデータから収集された)産業資産制御システムの正常動作を表す一連の正常値を経時的に格納することができる。本明細書で使用されるように、「監視ノード」という語句は、例えば、センサデータ、アクチュエータ、モータ、ポンプ、および補助機器に送信される信号、補助機器に送信される信号ではなく直接センサ信号ではない中間パラメータ、および/または制御論理を意味することができる。これらは、例えば、脅威監視システムからのデータを連続的な信号またはデータストリームまたはそれらの組み合わせの形で連続的に受信する脅威監視ノードを表すことができる。さらに、それらのノードは、サイバー脅威または異常事象の発生を監視するために使用されてもよい。このデータパスは、暗号化または他の保護メカニズムで特に指定されるので、情報を保護することができ、サイバー攻撃によって改ざんされることはない。脅威空間データソース120は、監視ノード130のそれぞれに対して、(例えば、システムがサイバー攻撃を受けている場合に)産業資産制御システムの脅威を受けている動作を表す一連の脅威値を格納することができる。
正常空間データソース110および脅威空間データソース120からの情報は、このデータを使用して判定境界(すなわち、正常挙動と脅威挙動とを分離する境界)を生成する脅威検出モデル作成コンピュータ140に提供することができる。その場合、判定境界は、脅威検出モデル155を実行する脅威検出コンピュータ150によって使用することができる。脅威検出モデル155は、例えば、センサノード、アクチュエータノード、および/または任意の他の重要な監視ノード(例えば、監視ノードMN1~MNN)からのデータを含む監視ノード130からのデータストリームを監視し、受信したデータに基づいて各監視ノードについて「特徴」を計算し、適切な場合に(例えば、ユーザへの表示のために)、1つまたは複数の遠隔監視装置170に脅威警報信号を「自動的に」出力することができる。いくつかの実施形態によれば、脅威警報信号は、ユニットコントローラ、プラントヒューマンマシンインターフェース(「HMI」)、またはいくつかの異なる送信方法により顧客に送信することができる。脅威警報信号の1つの受信者は、幅広いプラント資産に対する複数の攻撃を相関させるクラウドデータベースである可能性があることに留意されたい。本明細書で使用する「特徴」という用語は、例えば、データの数学的特徴付けを意味することができる。データに適用される特徴の例としては、最大値および最小値、平均値、標準偏差、分散、整定時間、高速フーリエ変換(「FFT」)スペクトル成分、線形および非線形主成分、独立成分、スパース符号化、ディープラーニングなどを挙げることができる。さらに、「自動的に」という用語は、例えば、人の介入をほとんどまたは全く伴わずに行うことができる動作を意味することができる。いくつかの実施形態によれば、検出された脅威に関する情報は、産業制御システムに送り返すことができる。
本明細書で使用されるように、システム100および本明細書に記載された他の任意のデバイスに関連するデバイスを含むデバイスは、ローカルエリアネットワーク(「LAN」)、メトロポリタンエリアネットワーク(「MAN」)、ワイドエリアネットワーク(「WAN」)、専用ネットワーク、公衆交換電話網(「PSTN」)、無線アプリケーションプロトコル(「WAP」)ネットワーク、ブルートゥース(登録商標)ネットワーク、無線LANネットワーク、および/またはインターネット、イントラネット、もしくはエクストラネットなどのインターネットプロトコル(「IP」)ネットワークの1つまたは複数とすることができる任意の通信ネットワークを介して情報を交換することができる。本明細書で説明する任意のデバイスは、1つまたは複数のそのような通信ネットワークを介して通信することができることに留意されたい
脅威検出モデル作成コンピュータ140は、正常空間データソース110および/または脅威空間データソース120などの、様々なデータストアに情報を格納し、および/または様々なデータストアから情報を検索することができる。様々なデータソースは、脅威検出モデル作成コンピュータ140(例えば、オフラインまたはオンライン学習に関連してもよい)からローカルに格納されてもよいし、遠隔地に存在してもよい。単一の脅威検出モデル作成コンピュータ140が図1に示されているが、任意の数のそのようなデバイスを含めることができる。さらに、本明細書に記載された様々なデバイスは、本発明の実施形態に従って組み合わせることができる。例えば、いくつかの実施形態では、脅威検出モデル作成コンピュータ140および1つまたは複数のデータソース110、120は、単一の装置を含むことができる。脅威検出モデル作成コンピュータ140の機能は、分散処理またはクラウドベースのアーキテクチャにおいて、ネットワーク化された装置の組み合わせによって実行することができる。
ユーザは、本明細書に記載された実施形態のいずれかに従って脅威情報に関する情報を閲覧および/または管理するために、監視装置170(例えば、パーソナルコンピュータ(「PC」)、タブレット、またはスマートフォン)の1つを介してシステム100にアクセスすることができる。場合によっては、インタラクティブなグラフィカル・ディスプレイ・インターフェースにより、ユーザが特定のパラメータ(例えば、脅威検出トリガレベル)を定義および/または調整すること、ならびに/もしくは脅威検出モデル作成コンピュータ140および/または脅威検出コンピュータ150から自動的に生成された勧告または結果を提供または受信することができる。
例えば、図2は、図1に関して記載されたシステム100の要素のいくつかまたは全てによって実行することができる方法を示す。本明細書で説明するフローチャートは、ステップの順序を固定することを意味するものではなく、本発明の実施形態は、実行可能な任意の順序で実施することができる。本明細書で説明する方法のいずれかは、ハードウェア、ソフトウェア、またはこれらの手法の任意の組み合わせによって実行することができることに留意されたい。例えば、コンピュータ可読記憶媒体は、機械によって実行された場合、本明細書に記載の実施形態のいずれかによるパフォーマンスをもたらす命令を格納することができる。
S210において、複数のリアルタイム監視ノード信号入力は、産業資産制御システムの現在の動作を表す経時的な監視ノード信号値のストリームを受信することができる。少なくとも1つの監視ノード(例えば、コントローラノードなど)は、例えば、センサデータ、補助機器入力信号、制御中間パラメータ、および/または制御論理値と関連付けられてもよい。
S220において、脅威検出コンピュータプラットフォームは、監視ノード信号値のストリームを受信し、監視ノード信号値の各ストリームについて、現在の監視ノード特徴ベクトルを生成することができる。いくつかの実施形態によれば、現在の監視ノード特徴ベクトルの少なくとも1つは、主成分、統計的特徴、ディープラーニング特徴、周波数領域特徴、時系列解析特徴、論理的特徴、地理的または位置に基づく場所、および/または相互作用特徴に関連付けられる。
S230において、各生成された現在の監視ノード特徴ベクトルは、その監視ノードの対応する判定境界(例えば、線形境界、非線形境界、多次元境界など)と比較され、判定境界はその監視ノードの異常状態から正常状態を分離することができる。いくつかの実施形態によれば、少なくとも1つの監視ノードが複数の多次元判定境界に関連付けられ、S230での比較がそれらの境界のそれぞれに関連して実行される。判定境界は、例えば、特徴ベースの学習アルゴリズムおよび高忠実度モデル、あるいは産業資産制御システムの正常動作に従って生成されてもよいことに留意されたい。さらに、少なくとも1つの判定境界が多次元空間に存在し、動的モデル、完全な要因設計、田口スクリーニング設計、中央合成手法、Box-Behnken手法、現実の動作条件手法などの実験の設計から生成されたデータと関連付けることができる。さらに、判定境界に関連する脅威検出モデルは、いくつかの実施形態によれば、過渡条件、産業資産制御システムの定常状態モデル、および/または着信データストリームからの自己学習システムにおけるように、システムを動作させている間に取得されたデータセットに基づいて動的に適応させることができる。
S240において、システムは、S230で実行された比較の結果に基づいて脅威警報信号(例えば、通知メッセージなど)を自動的に送信することができる。この脅威は、例えば、アクチュエータ攻撃、コントローラ攻撃、監視ノード攻撃、プラント状態攻撃、なりすまし、金融損害、ユニット利用可能性、ユニットトリップ、ユニット寿命の喪失、および/または少なくとも1つの新しい部品を必要とする資産損害に関連付けることができる。いくつかの実施形態によれば、脅威警報信号が送信されると、1つまたは複数の応答動作を実行することができる。例えば、システムは、(例えば、検出された潜在的なサイバー攻撃をさらに調査させるために)産業資産制御システムの全部または一部を自動的に停止することができる。他の例として、1つまたは複数のパラメータを自動的に変更してもよく、ソフトウェアアプリケーションを自動的にトリガして、データを捕捉してもよく、および/または潜在的な原因などを分離してもよい。脅威警報信号は、PREDIX(商標)フィールドエージェントシステムなどのクラウドベースのシステムを介して送信されてもよいことに留意されたい。いくつかの実施形態によれば、情報をアーカイブし、および/または境界に関する情報を格納するために、クラウドアプローチを使用することもできることに留意されたい。
いくつかの実施形態によれば、システムは、脅威の起点を特定の監視ノードにさらにローカライズすることができる。例えば、1つの監視ノードに関連する判定境界が、別の監視ノードに関連する判定境界が交差した時間と比較して交差した時間に従って、ローカライズを行うことができる。いくつかの実施形態によれば、特定の監視ノードの表示が脅威警報信号に含まれてもよい。
本明細書で説明するいくつかの実施形態は、システムに対する1つまたは複数の同時の敵対的脅威を検出するために、調整された高忠実度機器モデルおよび/または実際の「オンザジョブ」データから先験的に学習することによって、制御システムの物理特性を利用することができる。さらに、いくつかの実施形態によれば、全ての監視ノードデータは、高度な特徴ベースの方法を使用して特徴に変換することができ、制御システムのリアルタイム動作は、実質的にリアルタイムで監視することができる。異常は、監視されたデータを「正常」または障害(もしくは、劣化)として分類することによって検出することができる。この判定境界は、動的モデルを使用して構築することができ、オペレータが制御システムを直ちに正常動作に戻すことを可能にする脆弱性の早期検出(および壊滅的な障害の潜在的回避)を可能にする補助をすることができる。
自動的に(例えば、アルゴリズムを介して)抽出され、および/または手動で入力することができる多次元特徴ベクトルの適切な組は、低次元ベクトル空間における測定データの良好な予測子を含むことができることに留意されたい。いくつかの実施形態によれば、DoE技術に関連する科学的原理を介して得られるデータセットを使用して、多次元空間に適切な判定境界を構築することができる。さらに、複数のアルゴリズム方法(例えば、サポートベクトルマシンまたはマシンラーニング技術)を使用して、判定境界を生成することができる。境界は測定データ(または、高忠実度モデルから生成されたデータ)によって駆動することができるので、定義された境界マージンは、多次元特徴空間に脅威ゾーンを作成するのに役立つことができる。さらに、マージンは、本質的に動的であり、機器の過渡状態または定常状態モデルに基づいて適合され、および/または入力データストリームから自己学習システムのようにシステムを動作させながら得ることができる。いくつかの実施形態によれば、トレーニング方法は、判定境界を教えるための教師付きの学習のために使用されてもよい。このタイプの教師付きの学習は、システム動作(例えば、正常動作と異常動作との間の相違)に関するオペレータの知識を考慮に入れることができる。
主成分(自然基底集合を用いて構築された重み)および統計的特徴(例えば、時系列信号の平均、分散、歪度、尖度、最大値、最小値、最大値および最小値の位置、独立成分など)を含む、本明細書に記載された実施形態のいずれかに従って多くの異なるタイプの特徴を利用できることに留意されたい。他の例には、深層学習特徴(例えば、実験的および/または履歴的データセットを採掘することによって生成される)および周波数領域特徴(例えば、フーリエ変換またはウェーブレット変換の係数に関連する)が含まれる。また、実施形態は、相互相関、自己相関、自己回帰の順序、移動平均モデル、モデルのパラメータ、信号の微分および積分、立ち上がり時間、整定時間、ニューラルネットワークなどの時系列解析特徴に関連付けることができる。さらに、他の例には、論理的な特徴(「はい」および「いいえ」などの意味論的抽象化を含む)、地理的/位置的場所、および相互作用特徴(複数の監視ノードおよび特定の場所からの信号の数学的組み合わせ)が含まれる。実施形態は、任意の数の特徴を組み込むことができ、システムが物理的処理および脅威についてより多くを学習するにつれて、手法がより正確になることを可能にするより多くの特徴を含むことができる。いくつかの実施形態によれば、監視ノードからの異なる値は、単位のない空間に対して正規化され、出力と出力の強度とを簡単な方法で比較することを可能にすることができる。
したがって、いくつかの実施形態は、例えばキーガスタービン制御センサに対するサイバー攻撃を検出する高度な異常検出アルゴリズムを提供することができる。アルゴリズムは、監視ノード特有の判定境界を使用してどの信号が攻撃されているかを特定し、制御システムに適応する動作をとるように通知することができる。特に、検出および位置特定アルゴリズムは、センサ、補助機器入力信号、制御中間パラメータ、または制御論理が正常状態または異常状態にあるかどうかを検出することができる。解析され得るガスタービン監視ノードのいくつかの例には、臨界制御センサ(例えば、発電機出力変換器信号、ガスタービン排気温度熱電対信号、ガスタービン速度信号など)、制御システムの中間パラメータ(例えば、発電機出力、ガスタービン排気温度、圧縮機吐出圧力、圧縮機吐出温度、圧縮機圧力比、燃料流量、圧縮機入口温度、ガイドベーン角、燃料ストローク基準、圧縮機抽気バルブ、入口抽気熱バルブなど)、補助機器の入力信号(例えば、アクチュエータ、モータ、ポンプなどに送られる信号)、および/またはコントローラへの論理コマンドが含まれる。
アルゴリズムのいくつかの実施形態は、高い忠実度の物理モデルおよび/または(アルゴリズムを任意のシステムに配備することを可能にする)機械操作データに基づく特徴ベースの学習技術を使用して、高次元の判定境界を確立することができる。その結果、複数の信号を使用してより正確に検出が行われ、偽陽性の少ない正確な検出を行うことができる。さらに、実施形態は、監視ノードデータに対する複数の攻撃を検出し、根本原因攻撃が起きた場所を合理的に説明することができる。例えば、アルゴリズムは、以前の信号攻撃のために信号が異常であるかどうか、またはそれが代わりに独立して攻撃されているかどうかを判定することができる。これは、例えば、特徴の進化を監視することによって、および攻撃間の時間遅延を考慮することによって達成することができる。
サイバー攻撃検出および位置特定アルゴリズムは、リアルタイムのタービン信号データストリームを処理し、次にセンサ特有の判定境界と比較することができる特徴(複数の識別子)を計算することができる。いくつかの実施形態によるセンサ特有のガスタービンサイバー攻撃検出および位置特定アルゴリズムを利用するシステム300のブロック図が図3に示されている。特に、発電プラント332は、電子機器およびプロセッサを備えたコントローラ336がアクチュエータ338を調整するのを助ける情報をセンサ334に提供する。脅威検出システム360は、正常データ310および/または脅威データ320を生成するために、発電プラント332に関連する1つまたは複数の高忠実度物理に基づくモデル342を含むことができる。正常データ310および脅威データ320は、特徴発見コンポーネント344によってアクセスされ、オフライン(例えば、必ずしも発電プラント332が動作している間ではない)の間に判定境界アルゴリズム346によって処理され得る。判定境界アルゴリズム346は、様々な監視ノードの判定境界を含む脅威モデルを生成することができる。各判定境界は、各監視ノード信号(例えば、センサ334、コントローラ336、および/またはアクチュエータ338からの)に対して正常データ310と脅威データ320を用いたサポートベクトルマシンなどの、バイナリ分類アルゴリズムを実行することによって構築された高次元空間内の2つのデータセットを分離することができる。
リアルタイム脅威検出プラットフォーム350は、監視ノードからのデータストリームと共に境界を受信することができる。プラットフォーム350は、各監視ノード要素352上の特徴抽出と、センサ特有の判定境界を使用して個々の信号内の攻撃を検出し、複数の信号に対する攻撃を合理的に説明し、どの信号が攻撃されたか、および位置特定モジュール356を介したシステムに対する以前の攻撃のためにどれが異常になったかを宣言するアルゴリズムを有する正常判定354と、を含むことができる。収容要素358は、異常判定表示(例えば、脅威警報信号)、コントローラ動作、および/または取り付けられた監視ノードのリストなどの出力370を生成することができる。
リアルタイム検出の間、監視ノードデータの連続バッチがプラットフォーム350によって処理され、正規化され、特徴ベクトルが抽出されてもよい。次に、高次元の特徴空間における各信号のベクトルの位置を、対応する判定境界と比較することができる。それが攻撃領域内にある場合には、サイバー攻撃が宣言され得る。アルゴリズムは、攻撃が最初に発生した場所を決定することができる。攻撃は、時にはアクチュエータ338上にあってもよく、センサ334のデータに現れてもよい。攻撃がセンサ、コントローラ、またはアクチュエータ(例えば、監視ノードのどの部分を示すか)のいずれかに関連しているかどうかを分離するために、攻撃判定が後判定モジュール(例えば、位置特定要素356)において実行されてもよい。これは、判定境界に関する特徴ベクトルの位置を経時的に個別に監視することによって行うことができる。例えば、センサ334が偽装されている場合、攻撃されたセンサ特徴ベクトルは、図4から図6に関して説明したように、残りのベクトルより早く判定境界を横切る。センサが異常であると宣言され、補助機器への負荷コマンドが異常であると後で判定された場合には、信号偽装などの元の攻撃がセンサ334上で発生したと判定することができる。逆に、補助機器への信号が異常であると最初に判定され、その後センサ334のフィードバック信号に現れた場合には、機器への信号が最初に攻撃されたと判定することができる。
いくつかの実施形態によれば、局在化された判定境界の使用および特定の信号特徴のリアルタイム計算を介して信号が正常動作空間(または異常空間)にあるか否かを検出することができる。さらに、アルゴリズムは、攻撃されているセンサと、攻撃されている補助機器への信号とを区別することができる。制御中間パラメータおよび制御論理も同様の方法を用いて解析することができる。アルゴリズムは、異常になる信号を合理的に説明することができることに留意されたい。その後に、信号に対する攻撃を特定することができる。
図4は、いくつかの実施形態による、様々な監視ノードパラメータに対する境界および特徴ベクトルを示す400。特に、各パラメータについて、グラフは、値の重み1(「w1」)、すなわち特徴1を表す第1の軸、および値の重み2(「w2」)、すなわち特徴2を表す第2の軸を含む。w1およびw2の値は、例えば、入力データに対して実行される主成分解析(PCA)からの出力と関連付けられてもよい。PCAは、データを特徴付けるアルゴリズムによって使用され得る機能の1つであってもよいが、他の特徴を活用してもよい。
圧縮機吐出温度410、圧縮機圧力比420、圧縮機入口温度430、燃料流量440、発電機出力450、およびガスタービン排気温度460のグラフが提供される。各グラフは、各監視ノードパラメータについて、ハード境界412(実線の曲線)、最小境界416(点線の曲線)、および最大境界414(破線の曲線)、ならびに現在の特徴位置に関連する表示(グラフ上に「X」で示されている)を含む。図4に示すように、現在の監視ノード位置は、最小境界と最大境界との間にある(すなわち、「X」は点線と破線の間にある)。結果として、システムは、産業資産制御システムの動作が正常である(システムが現在攻撃中であることを示す脅威が検出されていない)と判断することができる。
図5は、これらのパラメータについて、その後の境界および特徴ベクトルを示す500。例えば、圧縮機吐出圧力に対する特徴ベクトルの移動512を考える。特徴ベクトル512が移動したとしても、それは依然として最大および最小境界内にあり、その結果、その監視ノードの正常動作であると判定することができる。これは、図5の最初の5つのグラフの場合である。この例では、ガスタービン排気温度の特徴ベクトルの移動562が最大境界を超えており、その結果、その監視ノードの異常動作が判定される可能性がある。例えば、修正値である排気温度スケールファクタについての脅威が存在する可能性がある。その結果、図5に示す中間監視ノード信号の特徴ベクトルに対する特徴は、それが異常であるように移動する(符号562)。このアルゴリズムはこのサイバー攻撃を検出し、2つの並行動作を開始することができる。1つの動作は、何が攻撃されたかを発見するための信号の後処理であってもよく、この場合、システムが各排気熱電対を監視していれば、いずれも現在異常ではないと結論付けることができる。したがって、この特徴を計算するために使用されたものが攻撃されたと判定することができる。もう1つの動作は、さらなる攻撃を継続的に監視して検出することである。そのようなアプローチは、複数の信号攻撃の検出を容易にすることができる。
図5の例が与えられると、ガスタービン排気温度信号が攻撃されたと仮定する。これにより、システムは他の信号を異常な状態にするように応答する可能性がある。これは、攻撃が既に検出されており、他の信号が異常であることが示されている図6に示されている600。特に、圧縮機吐出圧力612、圧縮機圧力比622、圧縮機入口温度632、および燃料流量642の特徴移動は全て異常になる(ガスタービン排気温度662の特徴ベクトルに加わる)。発電機出力の特徴ベクトルは異常にならないことに留意されたい。これらの信号612、622、632、642が本当に現在攻撃を受けているか否かを判定するために、関連する特徴ベクトル情報を有する履歴バッチを、ある程度の時間持続させることができる。次に、別の信号で攻撃が検出されると、このバッチが検査され、ガスタービン排気温度およびいくつかの後続の要素に対する確認された攻撃の時間が解析される。
1つの信号の合理化は、システムの時間遅延に関連する可能性があることに留意されたい。つまり、センサが攻撃された後に、システムが定常状態に戻るまでの期間があり得る。この遅延の後に、異常になる信号は、システムが応答するのとは対照的に、攻撃によるものである可能性がある。
監視ノードにおける異常状態を検出する現在の方法は、FDIA(それ自体は非常に限定されている)に限定されている。本明細書に記載されているサイバー攻撃検出および位置特定アルゴリズムは、センサの異常信号を検出することができるだけでなく、補助機器に送信された信号、制御中間パラメータおよび/または制御論理を検出することもできる。このアルゴリズムは、複数の信号攻撃を理解することもできる。サイバー攻撃の脅威を正しく識別する1つの課題は、複数のセンサがマルウェアの影響を受けて発生する可能性があることである。いくつかの実施形態によれば、アルゴリズムは、攻撃が発生したこと、どのセンサに影響を与えたかをリアルタイムで識別して、障害応答を宣言することができる。このような結果を得るためには、システムの詳細な物理的応答を知って、許容可能な判定境界を作成する必要がある。これは、例えば、忠実度の高いモデルで実験設計(「DoE」)の実験を実行して、正常領域と異常領域のデータセットを構築することで実現することができる。各センサのデータセットは、所与の脅威値(例えば、タービン速度、熱電対スケールファクタなど)に対する特徴ベクトルを含むことができる。完全な要因、田口スクリーニング、中央合成、Box-Behnkenは、攻撃空間の作成に使用される既知の設計手法の一部である。モデルが利用できない場合、これらのDoE方法は実世界の発電システムからデータを収集するためにも使用される。実験は、同時攻撃の種々の組み合わせで実行することができる。いくつかの実施形態では、システムは、サイバー攻撃とは対照的に、劣化/欠陥動作を検出することができる。そのような判定は、劣化/欠陥動作空間に関連するデータセットを利用することができる。このプロセスの最後に、システムは、判定境界を構築する際に使用するために、「攻撃v/s正常」および「劣化v/s正常」などのデータセットを作成することができる。さらに、特徴空間内のデータセットを使用して各信号について判定境界を作成することができることに留意されたい。様々な分類方法を用いて判定境界を計算することができる。例えば、バイナリ線形および非線形監視分類器は、判定境界を得るために使用できる方法の例である。
場合によっては、複数のベクトル特性を調べることができ、図4~図6に関して説明した情報を処理して、攻撃が検出されたときに信号が特定の方向に動いているかどうか(または、ノイズのために移動したかどうか)を判定することができる。攻撃が行われたときに信号が一様に増加していた場合には、この信号は元の攻撃に対する応答であり、独立した攻撃ではない。
産業資産制御システムは、動作パラメータの範囲(例えば、負荷、温度など)にわたる非線形動作に関連し得ることに留意されたい。その結果、データの変動が大きくなり、サイバー脅威がいつ制御システムの動作に基づいて存在するかを判断することが困難になる可能性がある。図7は、いくつかの実施形態によるサイバー攻撃検出システム700のブロック図を示す。具体的には、システム700は、負荷(例えば、ガスタービン負荷、適応リアルタイムエンジンシミュレーション「ARES」負荷など)に関する情報を、負荷正規化機能720に送信するガスタービン710(例えば、ガスタービンユニットコントローラに関連する)を示す。ガスタービン710はまた、モード処理730(例えば、ガスタービンの報告された動作モード)および特徴処理740(例えば、ガスタービンユニットデータ)に情報を送信してもよい。後述するように、負荷正規化機能720は、正規化された監視ノード信号を特徴処理740に送信することができる。後処理750は、特徴処理740から情報を受信し、判定処理770(正常/攻撃データセット記憶装置760から受信したデータセットに少なくとも部分的に基づいてサイバー攻撃警報を自動的に生成することができる)にデータを送信することができる。したがって、いくつかの実施形態は、タービン負荷もしくは温度レベルおよび時間的な時系列信号に動的に基づいて、正規化された監視ノード信号を計算することができる。この正規化は、異なる負荷条件に対して攻撃検出を実行する能力を提供することができる。
実施形態は、時間的および/または空間的正規化を利用できることに留意されたい。時間的正規化は、時間軸に沿った正規化を提供することができる。空間的正規化を使用して、複数のノード(例えば、センサ軸)に沿って信号を正規化することができる。いずれの場合でも、正規化された信号は、特徴抽出および判定境界との比較を使用して攻撃検出を実行するために使用することができる。センサ、アクチュエータ、およびコントローラノードの時系列データは、実質的にリアルタイムで処理され、このデータから「特徴」を抽出することができる。次に、特徴データを判定境界と比較して、サイバー攻撃がシステムに生じたかどうかを判定することができる。空間的に正規化されたデータにおける攻撃を検出するために同様の手法を用いることができる。
リアルタイムデータの処理は、ガスタービン710の正常動作点を利用することができる。この正常動作点は、例えば、システム動作モード、外部条件、システム劣化要因、燃料入力などに基づいて決定することができる。実際に測定されたセンサデータ、アクチュエータデータ、およびコントローラノードのデータは、実際の値と公称値との間の差が計算され、この差、すなわちデルタが予想動作条件係数で正規化されるように処理することができる。タービン負荷レベル(例えば、メガワット(「MW」)で表される)は、複数の測定値に基づいて計算することができ、負荷は、適応リアルタイムエンジンモデルから推定することができることに留意されたい。
いくつかの実施形態によれば、以下をオフラインで(リアルタイムではなく)実行することができる。所与のタービンモードに対して、ガスタービン710の動作は、高忠実度モデルを用いてシミュレートすることができる。負荷レベルは、最低動作点から最高動作点まで変化させることができる(例えば、予め定められた時間間隔ごとにステップを変化させる)。このシミュレートされたデータは、様々な負荷レベルでいくつかの作動データファイルを生成する。これらのファイルの1つを取ると、負荷レベルは平均化され、予め規定された負荷レベル分解能に分類される(例えば、最も近い0.25MWに平均される)。これらの正規化パケットを時系列信号の処理への入力として使用することにより、リアルタイムで動作するときの動的正規化が容易になる。次いで、動的正規化プロセスからのこれらの出力は、特徴発見プロセスにおいて使用することができる。
図8は、いくつかの実施形態によるグローバル脅威保護システム800の一例である。特に、システムは、3つの発電機(A、B、およびC)を含み、脅威ノードからの値810のバッチが、ある期間(例えば30~50秒)にわたって生成された各々について収集される。いくつかの実施形態によれば、脅威ノードからの値810のバッチは時間的に重複する。脅威ノードからの値810は、例えば、時間(t1、t2など)および脅威ノードのタイプ(S1、S2など)によって配列された行列820に格納することができる。特徴量設計コンポーネント830は、3つの発電機(例えば、発電機Cに対する特徴ベクトル840は、FSC1、FSC2などを含む可能性がある)ごとに特徴ベクトル840を作成するために、各行列820内の情報を使用することができる。次いで、3つの特徴ベクトル840は、システム800に対して単一のグローバル特徴ベクトル850に組み合わせることができる。相互作用特徴860を適用してもよく(例えば、A×B×C、A+B+Cなどに関連付けられる)、異常検出エンジン870は、その結果を判定境界と比較し、適切な場合に脅威警報信号を出力することができる。説明するように、実施形態は、脅威検出システム800の性能を改善するために、ローカル特徴ベクトル840およびグローバル特徴ベクトル850の両方について、特徴および境界パラメータを調整することができる。
図9は、いくつかの実施形態による三次元の脅威ノード出力を示す900。特に、グラフ910は、主要成分特徴(「PCF」)に関連付けられた次元、例えば、w1、w2、およびw3などの3次元の脅威ノード出力(「+」)をプロットする。さらに、グラフ910は、正常動作空間の判定境界920の表示を含む。単一の連続境界920が図9に示されているが、実施形態は複数の領域に関連付けられてもよい。PCF情報は、低下次元で重みとして表すことができることに留意されたい。例えば、各脅威ノードからのデータは、低次元の特徴(例えば、重み)に変換することができる。いくつかの実施形態によれば、脅威ノードデータは、以下のように正規化され、
Figure 0007071034000001
 ここで、Sは、「k」時点の脅威ノード量を表す。さらに、その場合、出力は、以下のように、基底関数の加重線形結合として表現することができ
Figure 0007071034000002
 ここで、S0は全ての脅威を伴う平均脅威ノード出力であり、wjはj番目の重みであり、Ψjはj番目の基底ベクトルである。いくつかの実施形態によれば、脅威ノードのデータ行列の共分散を用いて自然基底ベクトルが得られる。基底ベクトルが分かれば、以下の式を用いて重みを求めることができる(基底集合が直交すると仮定する)。
j=(S-S0TΨj
重みは、特徴ベクトルで使用される特徴の例であり得ることに留意されたい。
いくつかの実施形態によれば、脅威検出のための特徴および境界調整に関連して、脅威ノード出力を使用することができる。例えば、図10は、いくつかの実施形態による脅威検出のための特徴および境界調整の方法1000である。S1010において、一連の正常監視ノード値を、脅威検出モデル作成コンピュータによって受信することができる。次いで、脅威検出モデル作成コンピュータは、一組の正常特徴ベクトルを生成することができ、経時的な一連の正常監視ノード値は、産業資産制御システムの正常動作を表す。S1020において、一連の脅威監視ノード値が受信され、産業資産制御システムの脅威を受けている動作を(表す)一組の脅威特徴ベクトルを生成することができる。いくつかの実施形態によれば、一連の正常監視ノード値および/または一連の脅威監視ノード値は、高忠実度機器モデルと関連付けられてもよい。
S1030において、システムは、一組の正常特徴ベクトル、一組の脅威特徴ベクトル、および少なくとも1つの初期アルゴリズムパラメータに基づいて、脅威検出モデルのための少なくとも1つの潜在的判定境界を計算することができる。いくつかの実施形態によれば、アルゴリズムパラメータは、一組の潜在的アルゴリズムパラメータから自動的に選択される。例えば、予測モデルは、多数の潜在的なアルゴリズムパラメータを検討して、システムの性能を最適化するための「キー」としてパラメータのサブセットを特定することができる。
S1040において、システムは、性能メトリックに基づいて少なくとも1つの潜在的判定境界の性能を評価することができる。図11に関して説明したように、性能メトリックは、例えば、受信者操作曲線メトリックに関連付けられてもよい。いくつかの実施形態によれば、性能メトリックは、脅威検出の速度と関連付けられてもよい。S1050において、システムは、S1040での評価の結果に基づいて少なくとも1つの初期アルゴリズムパラメータを調整し、少なくとも1つの潜在的判定境界を再計算することができる。いくつかの実施形態によれば、S1040およびS1050の自動的な評価、調整、および再計算は、最終調整アルゴリズムパラメータおよび最終判定境界が決定されるまで継続的に実行される。
いくつかの実施形態によれば、S1040およびS1050の自動的な評価、調整、および再計算は、ローカル特徴ベクトルおよびローカル判定境界に関連付けられる。この場合、ローカル特徴ベクトルの抽出は、例えば、最小値、最大値、平均値、分散、整定時間、高速フーリエ変換スペクトル、極、浅い特徴、主成分解析、独立成分解析、k-平均クラスタリング、スパース符号化、および/またはディープラーニングの特徴に関連付けることができる。
いくつかの実施形態によれば、(例えば、図8に関して説明したように)複数のローカル特徴ベクトルおよびローカル判定境界は、結合されてグローバル特徴ベクトルおよびグローバル判定境界を形成する。この場合、S1040およびS1050の自動的な評価、調整、および再計算は、グローバル特徴ベクトルおよびグローバル判定境界に関連付けることができる。さらに、グローバル特徴ベクトルおよびグローバル判定境界の少なくとも一方は、次元縮退、カーネル選択、いくつかのサポートベクトル、正常データに関連するコスト、および/または異常データに関連するコストに使用されるいくつかの重みに関連付けられてもよい。
潜在的判定境界の性能(したがって、脅威検出システムの性能)を評価するために使用される性能メトリックは、いくつかの実施形態によれば、受信者操作曲線(「ROC」)測定であってもよい。本明細書で使用されるROC測定は、識別しきい値が変更されると、バイナリ分類器システムの性能を反映することができる。例えば、図11は、いくつかの実施形態による全母集団のROC測定1100を示す。特に、「陽性」および「陰性」の予測条件は、「陽性」および「陰性」の真の(すなわち実際の)条件と比較することができる(例えば、「陽性」はサイバー脅威を示し、「陰性」)はサイバー脅威を示さない)。このようなシステムの結果には、真陽性1110(脅威が予測され、実際に存在した場合)、真陰性1120(脅威が予測されず、脅威が存在しない場合)、偽陽性1130(脅威が予測されたが実際には脅威が存在しなかった場合)、および偽陰性1140(脅威が予測されなかったが、実際には脅威が存在した場合)が含まれる。
ROC測定1100は、サイバー脅威検出アルゴリズムの最適化および調整に関連して、例えば、低い偽陽性を達成するために使用することができる。そのようなアルゴリズムは、例えば、産業資産の複数の監視ノードからの時系列データを表すために特徴を使用する脅威検出アルゴリズムを含むことができる。特徴は、ローカル監視ノードについて構成することができ、これらの特徴は、次いで、グローバル特徴ベクトルに結合することができる(そして、グローバル特徴境界を計算することができる)。調整パラメータは、グローバル特徴ベクトルおよびグローバル特徴の境界の両方の作成のために選択することができる。最適化は、検出時間メトリックと併せて目的関数である堅牢な統計的ROC出力を用いて実行することができる。最適化は、アルゴリズムのパラメータを、より少ない偽陽性、より少ない偽陰性、または様々な調整パラメータの使用による迅速な検出に向けてバイアスするために実行することができることに留意されたい。
図11に示すように、特定のROC測定1100の例は、脅威検出システムの性能を測定するために使用することができ、ROC精度、陽性予測値、偽発見率、偽省略率、陰性予測値、有病率、真陽性率、偽陽性率、陽性尤度比、陰性尤度比、偽陰性率、真陰性率、および/または診断オッズ比を含むことができる。最適化の目的関数としてROC測定1100を使用することによって、アルゴリズムを様々な所望の結果に最適化する柔軟性を提供することができる。入力は、評価集合の真理値ラベルであってもよく、アルゴリズムは、各評価実行に対してスコアを提供してもよい。
目的関数が所定の位置(例えば、ROC測定1100または検出時間)にある場合、アルゴリズムの調整を行うことができる。アルゴリズムは、最初に監視ノードデータから特徴を抽出する必要があり得る。これは、どの特徴が所望の結果に従って最も有用な情報を抽出するかに関連して、1つの調整パラメータが存在する可能性がある場合である。これらの特徴は、例えば、最大値、最小値、平均値、分散、整定時間、または高速フーリエ変換スペクトルデータ、極などの知識ベースの特徴であってもよい。特徴は、いくつかの実施形態によれば、主成分解析(「PCA」)、独立成分解析(「ICA」)、k-平均クラスタリング、スパース符号化、および/またはディープラーニング特徴に関連する特徴などの「浅い」特徴であってもよい。これは、例えば、最初の調整「ノブ」と考えることができる。適用可能であれば、特徴についてのいくつかの重み付けもあり得る。この場合、次元縮退が行われる場合に使用される重み付けの数の調整もあり得る。実施形態は、グローバルな特徴境界の調整に移動することができ、そこでは、どのモデルが最良に動作するか、どのカーネルか、またはサポートベクトルの数、または正常もしくは異常データに関連するコストなどを見つけるために境界を調整することができる。アルゴリズムは、例えば、調整ノブを選択し、目的関数を設定して性能を測定することによって、調整することができる。その結果、(停滞しているシステムとは対照的に)ユーザのニーズに合わせることができる自己調整型サイバー検出アルゴリズムを提供することができる。
例えば、図12は、いくつかの実施形態による最適化フローチャート1200である。1210において、システムは、パラメータの調整を停止するかどうか(例えば、満足のいくレベルの性能に達しており、プロセスが終了してもよい)を決定することができる。システムが1210で継続することを決定した場合(さらなる最適化が行われるように)には、評価アルゴリズムは、1220でROCメトリックを目的関数として利用することができる。次いで、システムは、ローカル特徴を作成するために使用される特徴のタイプおよび数の調整ノブを使用するなどして、1230で特徴を作成することができる(調整ノブの選択および/または設定は、手動および/または自動であってもよいことに留意されたい)。1240において、境界構築のための調整ノブを使用してローカル境界を作成することができる。1250において、グローバル特徴ベクトルは、次元縮退のタイプおよびグローバル特徴の数についての調整ノブを使用して作成することができる。1260において、グローバル境界構築のための調整ノブを使用して、1つまたは複数のグローバル境界を作成することができる。システムは1220の評価アルゴリズムに戻り、1210で最適化を続行するか否かを決定することができる。したがって、最適化プロセスは、アルゴリズムを一組の定義された要件に合わせることを可能にすることができる。要件は、偽陽性、真陽性、偽陰性、真陰性、特異性、精度、感度、またはグローバル異常を検出する時間、異常を局在化する時間などの検出時間メトリックなどの、ROCメトリックであってもよい。
いくつかの実施形態は、ユーザのニーズに合うようにアルゴリズムの性能および挙動を変更する能力を提供することができる。これは、産業制御システム(「ICS」)セキュリティの成長分野で多くの用途が発生しているサイバーセキュリティ空間において特に重要となり得る。いくつかの製造工場などのサイバー攻撃の影響がより低い用途では、生産を妨げる可能性があるので、ユーザは正常な動作を「異常」として識別することを望まない場合がある。発電や商業輸送などの別の用途では、サイバー攻撃の発生時期を知ることが重要であり得る。この場合、オペレータが状況を確認し修復するためのプロセスを実行することができるので(また、誤って攻撃を逃した結果が相当なものになる可能性があるので)、場合によっては正常動作を攻撃として誤って通知することも許容され得る。いくつかの実施形態では、最適化および調整方法は、単純化のためにアルゴリズムで使用される重み(特徴)の数だけを調整することができる。1つまたは複数のROC測定の曲線下面積(「AUC」)解析は、本明細書に記載の実施形態に従って実施することができることに留意されたい。
調整パラメータは、システムによって自動的に選択されてもよく、および/またはユーザ入力に基づいてもよいことに留意されたい。例えば、図13は、1つまたは複数の調整ノブを選択するために使用できるユーザ入力領域1320と共に監視ノード情報(例えば、現在の特徴ベクトル1310および判定境界を含む)を表示することができる対話型グラフィカル・ユーザ・インターフェース(「GUI」)・ディスプレイ1300を示すディスプレイ1300である。例えば、ユーザは、特徴のタイプ、いくつかのローカル特徴、いくつかのグローバル特徴、次元縮退の方法(例えば、PCA、主成分回帰(「PCR」)、フィッシャーディスクリミネータ解析(「FDA」など)、境界構築方法(例えば、サポートベクトルマシン(「SVM」))、境界方法特定調整器(例えば、カーネル機能、ボックス制約、またはコスト)、入力バッチサイズなどを用いて選択することができる。
本明細書で説明する実施形態は、任意の数の異なるハードウェア構成を使用して実現することができる。例えば、図14は、例えば、図1のシステム100に関連することができる産業資産制御システム保護プラットフォーム1400のブロック図である。産業資産制御システム保護プラットフォーム1400は、通信ネットワーク(図14では図示せず)を介して通信するよう構成される通信デバイス1420に結合される、1チップマイクロプロセッサの形式の1つまたは複数の市販の中央処理装置(「CPU」)などの、プロセッサ1410を含む。通信デバイス1420を使用して、例えば、1つまたは複数の遠隔監視ノード、ユーザプラットフォームなどと通信することができる。産業資産制御システム保護プラットフォーム1400は、入力デバイス1440(例えば、調整ノブ選択および/または予測型モデリング情報を入力するコンピュータマウスおよび/またはキーボード)および/または出力デバイス1450(例えば、表示をレンダリングし、警報を送信し、推奨事項を送信し、および/またはレポートを作成するためのコンピュータモニタ)をさらに含む。いくつかの実施形態によれば、モバイル機器、監視物理システム、および/またはPCを使用して、産業資産制御システム保護プラットフォーム1400と情報を交換することができる。
プロセッサ1410はまた、記憶装置1430と通信する。記憶装置1430は、磁気記憶装置(例えば、ハードディスクドライブ)、光学記憶装置、携帯電話、および/または半導体メモリデバイスの組み合わせを含む、任意の適切な情報記憶装置を含むことができる。記憶装置1430は、プロセッサ1410を制御するためのプログラム1412および/または脅威検出モデル1414を格納する。プロセッサ1410は、プログラム1412、1414の命令を実行し、それにより、本明細書で説明する実施形態のいずれかに従って動作する。例えば、プロセッサ1410は、一連の正常監視ノード値(産業資産制御システムの正常動作を表す)を受信し、一組の正常特徴ベクトルを生成することができる。プロセッサ1410はまた、一連の脅威監視ノード値(産業資産制御システムの脅威を受けている動作を表す)を受信し、一組の脅威特徴ベクトルを生成することもできる。脅威検出モデルのための少なくとも1つの潜在的判定境界は、一組の正常特徴ベクトル、一組の脅威特徴ベクトル、および初期アルゴリズムパラメータに基づいてプロセッサ1410によって計算することができる。少なくとも1つの潜在的判定境界の性能は、性能メトリックに基づいてプロセッサ1410によって評価することができる。その後に、初期アルゴリズムパラメータを評価の結果に基づいてプロセッサ1410によって調整することができ、少なくとも1つの潜在的判定境界を再計算することができる。
プログラム1412、1414は、圧縮フォーマット、未コンパイルフォーマット、および/または暗号化フォーマットで格納することができる。プログラム1412、1414は、さらに、オペレーティングシステム、クリップボードアプリケーション、データベース管理システム、および/または周辺機器とインターフェースするためにプロセッサ1410によって使用されるデバイスドライバなどの、他のプログラム要素を含むことができる。
本明細書で使用される場合、情報は、例えば、(i)別のデバイスから産業資産制御システム保護プラットフォーム1400によって「受信される」か、もしくは別のデバイスから産業資産制御システム保護プラットフォーム1400に「送信する」ことができ、または(ii)別のソフトウェアアプリケーション、モジュール、もしくはソースから産業資産制御システム保護プラットフォーム1400内のソフトウェアアプリケーションもしくはモジュールによって「受信される」か、もしくは別のソフトウェアアプリケーション、モジュール、もしくはソースから産業資産制御システム保護プラットフォーム1400内のソフトウェアアプリケーションもしくはモジュールに「送信する」ことができる。
いくつかの実施形態(図14に示すものなど)では、記憶装置1430は、ローカルデータベース1500、グローバルデータベース1600、および監視ノードデータベース1700をさらに格納する。ここで、産業資産制御システム保護プラットフォーム1400に関連して使用することができるデータベースの一例を、図15~図17に関して詳細に説明する。本明細書で説明するデータベースは例に過ぎず、追加のおよび/または異なる情報をそこに格納してもよいことに留意されたい。さらに、様々なデータベースは、本明細書に記載された実施形態のいずれかに従って分割または結合することができる。
図15を参照すると、いくつかの実施形態による産業資産制御システム保護プラットフォーム1400に格納することができるローカルデータベース1500を表すテーブルが示されている。テーブルは、例えば、産業資産制御システムのローカル特徴および境界に関連するエントリを含むことができる。テーブルはまた、各エントリに対してフィールド1502、1504、1506、1508、1510を定義することもできる。フィールド1502、1504、1506、1508、1510は、いくつかの実施形態によれば、産業資産識別子1502、初期アルゴリズムパラメータ1506、性能メトリック1506、調整されたアルゴリズムパラメータ1508、およびローカル特徴および境界1510を指定することができる。ローカルデータベース1500は、例えば、新しい物理システムが監視またはモデル化されたときに、オフライン(非リアルタイム)で作成および更新することができる。
産業資産識別子1502は、例えば、監視される産業資産(例えば、ジェットタービンシステム、製造プラント、風力発電所など)を識別する固有の英数字コードであってもよい。初期アルゴリズムパラメータ1504は、例えば(例えば、正常特徴ベクトルおよび脅威特徴ベクトルに基づいて)ローカル判定境界を計算するために使用される値を含むことができる。性能メトリック1506は、例えば、判定境界の性能(例えば、ROC測定、検出速度など)を評価するために使用される値であってもよい。調整されたアルゴリズムパラメータ1508は、(例えば、性能メトリック1506に関連付けられた)調整ノブに従って初期アルゴリズムパラメータ1504に対してなされた更新を反映することができる。ローカル特徴および境界1510は、最適化プロセスが完了した後の最終的な解を表すことができる。
図16を参照すると、いくつかの実施形態による産業資産制御システム保護プラットフォーム1400に格納することができるグローバルデータベース1600を表すテーブルが示されている。テーブルは、例えば、産業資産制御システムのグローバル特徴および境界に関連するエントリを含むことができる。テーブルはまた、各エントリに対してフィールド1602、1604、1606、1608、1610を定義することもできる。フィールド1602、1604、1606、1608、1610は、いくつかの実施形態によれば、産業資産識別子1602、初期アルゴリズムパラメータ1606、性能メトリック1606、調整されたアルゴリズムパラメータ1608、およびグローバル特徴および境界1610を指定することができる。グローバルデータベース1600は、例えば、新しい物理システムが監視またはモデル化されたときに、オフライン(非リアルタイム)で作成および更新することができる。
産業資産識別子1602は、例えば、監視される産業資産を識別する固有の英数字コードであってもよく、ローカルデータベース1500の産業資産識別子1502に基づいてもよく、または関連してもよい。初期アルゴリズムパラメータ1604は、例えば、グローバル判定境界を計算するために使用される値を含むことができる。性能メトリック1606は、例えば、判定境界の性能(例えば、ROC測定、検出速度など)を評価するために使用される値であってもよい。調整されたアルゴリズムパラメータ1608は、(例えば、性能メトリック1606に関連付けられた)調整ノブに従って初期アルゴリズムパラメータ1604に対してなされた更新を反映することができる。グローバル特徴および境界1610は、最適化プロセスが完了した後の最終的な解を表すことができる。
図17を参照すると、いくつかの実施形態による産業資産制御システム保護プラットフォーム1400に格納することができる監視ノードデータベース1700を表すテーブルが示されている。テーブルは、例えば、物理システムに関連する監視ノードを識別するエントリを含むことができる。テーブルはまた、各エントリに対してフィールド1702、1704、1706、1708、1710、1712を定義することもできる。フィールド1702、1704、1706、1708、1710、1712は、いくつかの実施形態によれば、監視ノード識別子1702、監視ノード値1704、特徴1706、特徴ベクトル1708、グローバル特徴ベクトル1710、および判定1712を指定することができる。監視ノードデータベース1700は、例えば、新しい物理システムが監視またはモデル化され、脅威ノードが値を報告し、動作条件が変化するなどした場合、作成および更新することができる。
監視ノード識別子1702は、例えば、一連の監視ノード値1704を経時的に(例えば、データの30~50秒のバッチで)検出する産業資産制御システム内の脅威ノードを識別する固有の英数字コードであってもよい。監視ノード値1704は、(例えば、最適化された調整パラメータに従って)特徴1706および特徴ベクトル1708を作成するために使用することができる。複数の監視ノード識別子1702に関連する特徴ベクトル1710は、(例えば、最適化された調整パラメータに従って)産業資産制御システム全体の全体的なグローバル特徴ベクトル1710を生成するために使用することができる。次いで、グローバル特徴ベクトル1710を判定境界と比較して、判定1712(例えば、「攻撃」または「正常」の表示)を生成することができる。
したがって、実施形態は、ユーザの特定のニーズ(例えば、所望の偽陽性率)に従って、産業資産にサイバー攻撃保護を提供することができる。さらに、実施形態は、監視ノードからのリアルタイム信号を使用して、マルチクラス異常動作の指標を受動的に検出することを可能にすることができる。またさらに、検出フレームワークは、複数の地理的位置における様々なシステム(すなわち、ガスタービン、蒸気タービン、風力タービン、航空エンジン、機関車エンジン、電力網など)への本発明の展開を容易にするツールの開発を可能にすることができる。いくつかの実施形態によれば、(複数タイプの機器およびシステムにわたる)この技術によって可能になる分散型検出システムは、多点攻撃を検出するのに役立つ協調データの収集を可能にする。本明細書に記載した特徴ベースの手法は、データの新しい学習および代替的なソースが利用可能になると、拡張された特徴ベクトルを可能にし、および/または既存のベクトルに新しい特徴を組み込むことができることに留意されたい。その結果、実施形態は、システムがそれらの特性についてより多くを学習するにつれて、比較的広い範囲のサイバー脅威(例えば、ステルス、リプレイ、隠密、インジェクション攻撃など)を検出することができる。実施形態はまた、システムが有用で重要な新しい特徴を組み込み、冗長またはそれほど重要でないものを除去するので、偽陽性率を低減する可能性がある。本明細書に記載した検出システムは、攻撃を阻止することができる(または攻撃の影響を鈍化させることができる)ように、産業資産制御システムのオペレータに早期の警報をもたらし、機器の損傷を軽減することができることに留意されたい。
サイバーセキュリティは、発電プラント機器などの資産の保護に必要な重要な機能であることに留意されたい。この空間における動的正規化は、検出の分解能を向上させることができる。産業資産に関連する機械は非常に複雑である可能性があり、本明細書に記載した実施形態は、検出を迅速かつ確実に行うサイバーセキュリティアルゴリズムの実施を可能にすることができる。負荷変動(例えば、真陽性検出、偽陽性検出、真陰性検出および偽陰性検出の表示を含む)に対する動的正規化の使用を評価するために、受信者操作特性(「ROC」)曲線を使用できることに留意されたい。
以下に、本発明の様々な追加の実施形態を示す。これらは全ての可能な実施形態の定義を構成するものではなく、当業者は、本発明が他の多くの実施形態に適用可能であることを理解するであろう。さらに、以下の実施形態は、明瞭にするために簡潔に記載されているが、当業者であれば、これらのおよび他の実施形態ならびに用途に対応するための上述の装置および方法に、必要に応じて任意の変更を加える方法を理解するであろう。
特定のハードウェアおよびデータ構成について本明細書で説明してきたが、本発明の実施形態に従って任意の数の他の構成を提供することができることに留意されたい(例えば、本明細書に記載のデータベースに関連する情報の一部は、外部システムと組み合わせるか、または外部システムに格納することができる)。例えば、いくつかの実施形態はガスタービン発電機に焦点を当てているが、本明細書に記載された実施形態のいずれも、ダム、電力網、軍用機などの他のタイプの資産に適用することができる。
いくつかの実施形態は、予め選択された調整ノブおよび/または調整ノブパラメータの使用を記載している。いくつかの実施形態によれば、調整手法は、アルゴリズムパラメータを最適化し、ROC統計を改善するために、適応調整のためにオンラインデータを使用することができる。このような必要性は、例えば、システム構成要素が交換され、新しい資産が導入され、新しい特徴が導入され、カーネル機能が変更されるなどの場合に生じる可能性がある。最新のモデルを使用してオンラインで調整する場合、評価ランを実行するのに十分なケースが生成され得る。モデルパラメータは、それらがシステムの現在の挙動を表すようにオンライン調整アルゴリズムを使用して調整することができる。このようなアプローチでは、ユーザの目的に応じて性能測定(ROC統計など)を使用することができる。実装されたプラントモデルが実際の産業資産の状態と一致しなくなった場合には、正常動作データだけが消費される「ワンクラス」学習(半監督下の学習)を使用して新しい判定境界を作成することができる。ワンクラスの学習では、他のROC統計ではなく、偽陽性が性能測定として使用されてもよい。
いくつかの実施形態によれば、攻撃状態に関する情報は、異なる産業資産プラント間で織り込まれてもよい。例えば、1つの発電プラントが(他の発電プラントの)他のノードの状態を認識することができ、そのようなアプローチは、協調サイバー脅威を阻止するのにさらに役立つことができる。自動的な脅威検出に加えて、本明細書に記載したいくつかの実施形態は、防衛のさらなるサイバー層をシステムに提供し、(例えば、動作データを使用する際に)カスタムプログラミングなしで展開可能とすることができる。いくつかの実施形態は、ライセンスキーと共に販売され、監視サービスとして組み込むことができる。例えば、工業用資産プラントの機器をアップグレードする場合に、境界を定期的に更新することができる。
本発明は、説明目的のみのために、いくつかの実施形態の観点から記載されている。当業者であれば、本発明は記載された実施形態に限定されるものではなく、添付の特許請求の範囲の精神および範囲によってのみ限定される修正および改変によって実施できることを認識するであろう。
[実施態様1]
産業資産制御システムを保護するシステム(100,300,800)であって、
複数の監視ノード(130)の各々について、前記産業資産制御システムの正常動作を表す経時的な一連の正常監視ノード値(1704)を格納する正常空間データソース(110)と、
前記複数の監視ノード(130)の各々について、前記産業資産制御システムの脅威を受けている動作を表す経時的な一連の脅威監視ノード値(1704)を格納する脅威空間データソース(120)と、
前記正常空間データソース(110)および前記脅威空間データソース(120)に結合された脅威検出モデル作成コンピュータ(140)であって、
(i)前記一連の正常監視ノード値(1704)を受信し、一組の正常特徴ベクトル(512,1708)を生成し、
(ii)前記一連の脅威監視ノード値(1704)を受信し、一組の脅威特徴ベクトル(512,1708)を生成し、
(iii)前記一組の正常特徴ベクトル(512,1708)、前記一組の脅威特徴ベクトル(512,1708)、および少なくとも1つの初期アルゴリズムパラメータ(1504,1604)に基づいて、脅威検出モデル(155,1414)のための少なくとも1つの潜在的判定境界を自動的に計算し、
(iv)性能メトリック(1506,1606)に基づいて前記少なくとも1つの潜在的判定境界の性能を自動的に評価し、
(v)前記評価の結果に基づいて前記少なくとも1つの初期アルゴリズムパラメータ(1504,1604)を自動的に調整し、前記少なくとも1つの潜在的判定境界を再計算する、
脅威検出モデル作成コンピュータ(140)と
を含む、システム(100,300,800)。
[実施態様2]
前記自動的な評価、調整、および再計算は、最終調整アルゴリズムパラメータおよび最終判定境界が決定されるまで実行される、実施態様1に記載のシステム(100,300,800)。
[実施態様3]
前記自動的な評価、調整、および再計算は、ローカル特徴ベクトル(512,1708)およびローカル判定境界に関連付けられる、実施態様1に記載のシステム(100,300,800)。
[実施態様4]
前記ローカル特徴ベクトル(512,1708)の抽出は、最小値、最大値、平均値、分散、整定時間、高速フーリエ変換スペクトル、極、浅い特徴、主成分解析、独立成分解析、k-平均クラスタリング、スパース符号化、およびディープラーニングの特徴のうちの少なくとも1つに関連付けられる、実施態様3に記載のシステム(100,300,800)。
[実施態様5]
複数のローカル特徴ベクトル(512,1708)およびローカル判定境界は、結合されてグローバル特徴ベクトル(850,1710)およびグローバル判定境界を形成し、前記自動的な評価、調整、および再計算は、前記グローバル特徴ベクトル(850,1710)および前記グローバル判定境界に関連付けられる、実施態様1に記載のシステム(100,300,800)。
[実施態様6]
前記グローバル特徴ベクトル(850,1710)および前記グローバル判定境界の少なくとも一方は、次元縮退、カーネル選択、いくつかのサポートベクトル、正常データ(310)に関連するコスト、および異常データに関連するコストに使用されるいくつかの重みに関連付けられる、実施態様5に記載のシステム(100,300,800)。
[実施態様7]
前記性能メトリック(1506,1606)は、受信者操作特性(「ROC」)メトリックを含む、実施態様1に記載のシステム(100,300,800)。
[実施態様8]
前記ROCメトリックは、真陽性(1110)、真陰性(1120)、偽陽性(1130)、偽陰性(1140)、曲線下面積、ROC精度、陽性予測値、偽発見率、偽省略率、陰性予測値、有病率、真陽性率、偽陽性率、陽性尤度比、陰性尤度比、偽陰性率、真陰性率、および診断オッズ比のうちの少なくとも1つに関連付けられる、実施態様7に記載のシステム(100,300,800)。
[実施態様9]
前記性能メトリック(1506,1606)は、脅威検出の速度に関連付けられる、実施態様1に記載のシステム(100,300,800)。
[実施態様10]
前記アルゴリズムパラメータは、一組の潜在的アルゴリズムパラメータから自動的に選択される、実施態様1に記載のシステム(100,300,800)。
[実施態様11]
前記初期アルゴリズムパラメータ(1504,1604)は、特徴(1706)のタイプ、いくつかのローカル特徴、いくつかのグローバル特徴、次元縮退の方法、主成分解析、主成分回帰、フィッシャーディスクリミネータ解析、サポートベクトルマシン、境界構築方法、境界方法特定調整器、カーネル機能、ボックス制約、コスト、および入力バッチサイズのうちの少なくとも1つに関連付けられる、実施態様1に記載のシステム(100,300,800)。
[実施態様12]
前記一連の正常監視ノード値(1704)および前記一連の脅威監視ノード値(1704)のうちの少なくとも一方が、高忠実度機器モデルに関連付けられる、実施態様1に記載のシステム(100,300,800)。
[実施態様13]
前記自動的な計算、評価、および調整の少なくとも1つは、遠隔産業資産制御システム情報源から受信したオンライン更新に少なくとも部分的に基づいて実行される、実施態様1に記載のシステム(100,300,800)。
[実施態様14]
前記産業資産制御システムの現在の動作を表す、経時的な監視ノード信号値のストリームを受信するための複数のリアルタイム監視ノード信号入力と、
前記複数のリアルタイム監視ノード信号入力および前記脅威検出モデル作成コンピュータ(140)に結合された脅威検出コンピュータプラットフォームであって、
(i)監視ノード信号値の前記ストリームを受信し、
(ii)監視ノード信号値の各ストリームについて、現在の監視ノード特徴ベクトル(512,1708)を生成し、
(iii)各監視ノード(130)について適切な判定境界を選択し、前記適切な判定境界は、前記現在の協調モードにおいてその監視ノード(130)の異常状態から正常状態を分離し、
(iv)各生成された現在の監視ノード特徴ベクトル(512,1708)を前記選択された対応する適切な判定境界と比較し、
(v)前記比較の結果に基づいて脅威警報信号を自動的に送信する、
脅威検出コンピュータプラットフォームと
をさらに含む、実施態様1に記載のシステム(100,300,800)。
[実施態様15]
前記脅威警報信号の送信は、クラウドベースのシステム、エッジベースのシステム、無線システム、有線システム、保護されたネットワーク、および通信システムのうちの少なくとも1つを使用して実行される、実施態様14に記載のシステム(100,300,800)。
[実施態様16]
前記脅威は、アクチュエータ攻撃、コントローラ攻撃、監視ノード攻撃、プラント状態攻撃、なりすまし、金融損害、ユニット利用可能性、ユニットトリップ、ユニット寿命の喪失、および少なくとも1つの新しい部品を必要とする資産損害のうちの少なくとも1つに関連付けられる、実施態様14に記載のシステム(100,300,800)。
[実施態様17]
産業資産制御システムを保護するコンピュータ化された方法であって、
脅威検出モデル作成コンピュータ(140)によって、一連の正常監視ノード値(1704)を受信し、一組の正常特徴ベクトル(512,1708)を生成するステップであって、前記経時的な一連の正常監視ノード値(1704)は、前記産業資産制御システムの正常動作を表す、ステップと、
前記脅威検出モデル作成コンピュータ(140)によって、一連の脅威監視ノード値(1704)を受信し、一組の脅威特徴ベクトル(512,1708)を生成するステップであって、前記経時的な一連の脅威監視ノード値(1704)は、前記産業資産制御システムの脅威を受けている動作を表す、ステップと、
前記一組の正常特徴ベクトル(512,1708)、前記一組の脅威特徴ベクトル(512,1708)、および少なくとも1つの初期アルゴリズムパラメータ(1504,1604)に基づいて、脅威検出モデル(155,1414)のための少なくとも1つの潜在的判定境界を計算するステップと、
性能メトリック(1506,1606)に基づいて前記少なくとも1つの潜在的判定境界の性能を評価するステップと、
前記評価の結果に基づいて前記少なくとも1つの初期アルゴリズムパラメータ(1504,1604)を調整し、前記少なくとも1つの潜在的判定境界を再計算するステップと、
を含む方法。
[実施態様18]
前記評価、調整、および再計算は、最終調整アルゴリズムパラメータおよび最終判定境界が決定されるまで実行される、実施態様17に記載の方法。
[実施態様19]
産業資産制御システムを保護する方法を実行するためにプロセッサ(1410)によって実行される命令を格納する非一時的なコンピュータ可読媒体であって、前記方法は、
一連の正常監視ノード値(1704)を受信し、一組の正常特徴ベクトル(512,1708)を生成するステップであって、前記経時的な一連の正常監視ノード値(1704)は、前記産業資産制御システムの正常動作を表す、ステップと、
一連の脅威監視ノード値(1704)を受信し、一組の脅威特徴ベクトル(512,1708)を生成するステップであって、前記経時的な一連の脅威監視ノード値(1704)は、前記産業資産制御システムの脅威を受けている動作を表す、ステップと、
前記一組の正常特徴ベクトル(512,1708)、前記一組の脅威特徴ベクトル(512,1708)、および少なくとも1つの初期アルゴリズムパラメータ(1504,1604)に基づいて、脅威検出モデル(155,1414)のための少なくとも1つの潜在的判定境界を計算するステップと、
性能メトリック(1506,1606)に基づいて前記少なくとも1つの潜在的判定境界の性能を評価するステップと、
前記評価の結果に基づいて前記少なくとも1つの初期アルゴリズムパラメータ(1504,1604)を調整し、前記少なくとも1つの潜在的判定境界を再計算するステップと、
を含む、非一時的なコンピュータ可読媒体。
[実施態様20]
前記評価、調整、および再計算は、最終調整アルゴリズムパラメータおよび最終判定境界が決定されるまで実行される、実施態様19に記載の媒体。
100 システム
110 正常空間データソース
120 脅威空間データソース
130 監視ノード
140 脅威検出モデル作成コンピュータ
150 脅威検出コンピュータ
155 脅威検出モデル
170 遠隔端末
300 システム
310 正常データ
320 脅威データ
332 発電プラント
334 センサ
336 電子機器およびプロセッサを備えたコントローラ
338 アクチュエータ
342 高忠実度物理に基づくモデル
344 特徴発見コンポーネント
346 判定境界アルゴリズム
350 リアルタイム脅威検出プラットフォーム
352 監視ノード要素
354 正常判定
356 位置特定モジュール、位置特定要素
358 収容要素
360 脅威検出システム
370 出力
410 圧縮機吐出温度
412 ハード境界
414 最大境界
416 最小境界
420 圧縮機圧力比
430 圧縮機入口温度
440 燃料流量
450 発電機出力
460 ガスタービン排気温度
512 特徴ベクトル、特徴ベクトルの移動
562 特徴ベクトルの移動
612 圧縮機吐出圧力、信号
622 圧縮機圧力比、信号
632 圧縮機入口温度、信号
642 燃料流量、信号
662 ガスタービン排気温度
700 サイバー攻撃検出システム
710 ガスタービン
720 負荷正規化機能
730 モード処理
740 特徴処理
750 後処理
760 正常/攻撃データセット記憶装置
770 判定処理
800 脅威検出システム、グローバル脅威防止システム
810 値
820 行列
830 特徴量設計コンポーネント
840 ローカル特徴ベクトル
850 グローバル特徴ベクトル
860 相互作用特徴
870 異常検出エンジン
910 グラフ
920 連続境界、判定境界
1100 ROC測定
1110 真陽性
1120 真陰性
1130 偽陽性
1140 偽陰性
1200 最適化フローチャート
1300 対話型グラフィカル・ユーザ・インターフェース・ディスプレイ
1310 現在の特徴ベクトル
1320 ユーザ入力領域
1400 産業資産制御システム保護プラットフォーム
1410 プロセッサ
1412 プログラム
1414 プログラム、脅威検出モデル
1420 通信デバイス
1430 記憶装置
1440 入力デバイス
1450 出力デバイス
1500 ローカルデータベース
1502 産業資産識別子、フィールド
1504 初期アルゴリズムパラメータ、フィールド
1506 性能メトリック、初期アルゴリズムパラメータ、フィールド
1508 調整されたアルゴリズムパラメータ、フィールド
1510 ローカル特徴および境界、フィールド
1600 グローバルデータベース
1602 産業資産識別子、フィールド
1604 初期アルゴリズムパラメータ、フィールド
1606 初期アルゴリズムパラメータ、性能メトリック、フィールド
1608 アルゴリズムパラメータ、フィールド
1610 グローバル特徴および境界、フィールド
1700 監視ノードデータベース
1702 監視ノード識別子、フィールド
1704 監視ノード値、フィールド
1706 特徴、フィールド
1708 特徴ベクトル、フィールド
1710 グローバル特徴ベクトル、フィールド
1712 判定、フィールド

Claims (7)

  1. 産業資産制御システムを保護するシステム(100,300,800)であって、
    複数の監視ノード(130)の各々について、前記産業資産制御システムの正常動作を表す経時的な一連の正常監視ノード値(1704)を格納する正常空間データソース(110)と、
    前記複数の監視ノード(130)の各々について、前記産業資産制御システムの脅威を受けている動作を表す経時的な一連の脅威監視ノード値(1704)を格納する脅威空間データソース(120)と、
    前記正常空間データソース(110)および前記脅威空間データソース(120)に結合された脅威検出モデル作成コンピュータ(140)であって、
    (i)前記一連の正常監視ノード値(1704)を受信し、一組の正常特徴ベクトル(512,1708)を生成し、
    (ii)前記一連の脅威監視ノード値(1704)を受信し、一組の脅威特徴ベクトル(512,1708)を生成し、
    (iii)前記一組の正常特徴ベクトル(512,1708)、前記一組の脅威特徴ベクトル(512,1708)、および少なくとも1つの初期アルゴリズムパラメータ(1504,1604)に基づいて、脅威検出モデル(155,1414)のための少なくとも1つの潜在的判定境界を自動的に計算し、
    (iv)脅威検出の速度に関連付けられる性能メトリック(1506,1606)に基づいて前記少なくとも1つの潜在的判定境界の性能を自動的に評価し、
    (v)前記評価の結果に基づいて前記少なくとも1つの初期アルゴリズムパラメータ(1504,1604)を自動的に調整し、前記少なくとも1つの潜在的判定境界を再計算する、
    脅威検出モデル作成コンピュータ(140)と
    を含む、システム(100,300,800)。
  2. 前記自動的な評価、調整、および再計算は、最終調整アルゴリズムパラメータおよび最終判定境界が決定されるまで実行される、請求項1に記載のシステム(100,300,800)。
  3. 前記自動的な評価、調整、および再計算は、ローカル特徴ベクトル(512,1708)およびローカル判定境界に関連付けられ
    前記ローカル特徴ベクトル(512,1708)の抽出は、最小値、最大値、平均値、分散、整定時間、高速フーリエ変換スペクトル、極、浅い特徴、主成分解析、独立成分解析、k-平均クラスタリング、スパース符号化、およびディープラーニングの特徴のうちの少なくとも1つに関連付けられる、請求項1または2に記載のシステム(100,300,800)。
  4. 複数のローカル特徴ベクトル(512,1708)およびローカル判定境界は、結合されてグローバル特徴ベクトル(850,1710)およびグローバル判定境界を形成し、前記自動的な評価、調整、および再計算は、前記グローバル特徴ベクトル(850,1710)および前記グローバル判定境界に関連付けられ
    前記グローバル特徴ベクトル(850,1710)および前記グローバル判定境界の少なくとも一方は、次元縮退、カーネル選択、いくつかのサポートベクトル、正常データ(310)に関連するコスト、および異常データに関連するコストに使用されるいくつかの重みに関連付けられる、請求項1乃至3のいずれかに記載のシステム(100,300,800)。
  5. 前記性能メトリック(1506,1606)は、受信者操作特性(「ROC」)メトリックを含み、
    前記ROCメトリックは、真陽性(1110)、真陰性(1120)、偽陽性(1130)、偽陰性(1140)、曲線下面積、ROC精度、陽性予測値、偽発見率、偽省略率、陰性予測値、有病率、真陽性率、偽陽性率、陽性尤度比、陰性尤度比、偽陰性率、真陰性率、および診断オッズ比のうちの少なくとも1つに関連付けられる、請求項1乃至4のいずれかに記載のシステム(100,300,800)。
  6. 前記アルゴリズムパラメータは、一組の潜在的アルゴリズムパラメータから自動的に選択され、特徴(1706)のタイプ、いくつかのローカル特徴、いくつかのグローバル特徴、次元縮退の方法、主成分解析、主成分回帰、フィッシャーディスクリミネータ解析、サポートベクトルマシン、境界構築方法、境界方法特定調整器、カーネル機能、ボックス制約、コスト、および入力バッチサイズのうちの少なくとも1つに関連付けられる、請求項1乃至5のいずれかに記載のシステム(100,300,800)。
  7. 前記産業資産制御システムの現在の動作を表す、経時的な監視ノード信号値のストリームを受信するための複数のリアルタイム監視ノード信号入力と、
    前記複数のリアルタイム監視ノード信号入力および前記脅威検出モデル作成コンピュータ(140)に結合された脅威検出コンピュータプラットフォームであって、
    (i)監視ノード信号値の前記ストリームを受信し、
    (ii)監視ノード信号値の各ストリームについて、現在の監視ノード特徴ベクトル(512,1708)を生成し、
    (iii)各監視ノード(130)について適切な判定境界を選択し、前記適切な判定境界は、前記現在の協調モードにおいてその監視ノード(130)の異常状態から正常状態を分離し、
    (iv)各生成された現在の監視ノード特徴ベクトル(512,1708)を前記選択された対応する適切な判定境界と比較し、
    (v)前記比較の結果に基づいて脅威警報信号を自動的に送信する、
    脅威検出コンピュータプラットフォームと
    をさらに含む、請求項1乃至6のいずれかに記載のシステム(100,300,800)。
JP2017226395A 2016-12-07 2017-11-27 産業資産制御システムにおける脅威検出のための特徴および境界の調整 Active JP7071034B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/371,905 2016-12-07
US15/371,905 US10204226B2 (en) 2016-12-07 2016-12-07 Feature and boundary tuning for threat detection in industrial asset control system

Publications (2)

Publication Number Publication Date
JP2018139101A JP2018139101A (ja) 2018-09-06
JP7071034B2 true JP7071034B2 (ja) 2022-05-18

Family

ID=62163810

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017226395A Active JP7071034B2 (ja) 2016-12-07 2017-11-27 産業資産制御システムにおける脅威検出のための特徴および境界の調整

Country Status (3)

Country Link
US (1) US10204226B2 (ja)
JP (1) JP7071034B2 (ja)
DE (1) DE102017128693A1 (ja)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10489584B2 (en) * 2017-02-14 2019-11-26 Microsoft Technology Licensing, Llc Local and global evaluation of multi-database system
US10733533B2 (en) * 2017-03-07 2020-08-04 General Electric Company Apparatus and method for screening data for kernel regression model building
US10686806B2 (en) * 2017-08-21 2020-06-16 General Electric Company Multi-class decision system for categorizing industrial asset attack and fault types
WO2019096545A1 (de) * 2017-11-15 2019-05-23 KSB SE & Co. KGaA Verfahren und vorrichtung zum cyberangriffsschutz von pumpenaggregaten
US10785237B2 (en) * 2018-01-19 2020-09-22 General Electric Company Learning method and system for separating independent and dependent attacks
US11457030B2 (en) * 2018-02-20 2022-09-27 Darktrace Holdings Limited Artificial intelligence researcher assistant for cybersecurity analysis
US11463457B2 (en) * 2018-02-20 2022-10-04 Darktrace Holdings Limited Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance
US10826932B2 (en) * 2018-08-22 2020-11-03 General Electric Company Situation awareness and dynamic ensemble forecasting of abnormal behavior in cyber-physical system
WO2020046260A1 (en) * 2018-08-27 2020-03-05 Siemens Aktiengesellschaft Process semantic based causal mapping for security monitoring and assessment of control networks
WO2020061108A1 (en) * 2018-09-17 2020-03-26 Schneider Electric Systems Usa, Inc. Industrial system event detection and corresponding response
US11171976B2 (en) * 2018-10-03 2021-11-09 Raytheon Technologies Corporation Cyber monitor segmented processing for control systems
US11573561B2 (en) * 2018-12-11 2023-02-07 General Electric Company Methods and systems for automated condition-based maintenance of mechanical systems
CN109767352B (zh) * 2018-12-24 2023-08-01 国网山西省电力公司信息通信分公司 一种电力信息物理融合系统安全态势评估方法
RU2724075C1 (ru) 2018-12-28 2020-06-19 Акционерное общество "Лаборатория Касперского" Система и способ определения источника аномалии в кибер-физической системе, обладающей определенными характеристиками
US11531840B2 (en) 2019-02-08 2022-12-20 Vizit Labs, Inc. Systems, methods, and storage media for training a model for image evaluation
US10467504B1 (en) * 2019-02-08 2019-11-05 Adhark, Inc. Systems, methods, and storage media for evaluating digital images
US10976718B2 (en) * 2019-03-06 2021-04-13 Honeywell Limited System and method for monitoring changes in process dynamic behavior by mapping parameters to a lower dimensional space
US11652839B1 (en) * 2019-05-02 2023-05-16 Architecture Technology Corporation Aviation system assessment platform for system-level security and safety
US11343266B2 (en) 2019-06-10 2022-05-24 General Electric Company Self-certified security for assured cyber-physical systems
EP3757693B9 (en) 2019-06-28 2021-09-08 OMRON Corporation System and method for operating an automated machine, automated machine, and computer-program product
US11487598B2 (en) 2019-09-18 2022-11-01 General Electric Company Adaptive, self-tuning virtual sensing system for cyber-attack neutralization
US11100221B2 (en) 2019-10-08 2021-08-24 Nanotronics Imaging, Inc. Dynamic monitoring and securing of factory processes, equipment and automated systems
US11411983B2 (en) * 2019-10-16 2022-08-09 General Electric Company Dynamic, resilient sensing system for automatic cyber-attack neutralization
US11514275B2 (en) * 2019-10-21 2022-11-29 Sap Se Database instance tuning in a cloud platform
TWI812329B (zh) * 2019-11-20 2023-08-11 美商奈米創尼克影像公司 用於判定網路攻擊及產生警告之製造系統及電腦實施方法
US11140553B1 (en) * 2020-05-21 2021-10-05 Motorola Solutions, Inc. Threat detection and mitigation for remote wireless communication network control systems
CN112819067A (zh) * 2021-01-28 2021-05-18 广东电网有限责任公司广州供电局 一种配电网不良数据的处理方法、装置、设备和存储介质
AU2022246728B2 (en) * 2021-04-01 2024-02-01 Cisco Technology, Inc. Verifying trust postures of heterogeneous confidential computing clusters
CN113114690B (zh) * 2021-04-15 2022-12-13 恒安嘉新(北京)科技股份公司 威胁事件识别方法、装置、设备及存储介质
US20230075736A1 (en) * 2021-08-19 2023-03-09 General Electric Company Systems and Methods for Self-Adapting Neutralization Against Cyber-Faults
CN115134162B (zh) * 2022-07-15 2023-05-05 西南民族大学 一种工业控制系统恶意威胁的检测和补偿方法及电子设备
CN115550064B (zh) * 2022-11-25 2023-04-07 国家工业信息安全发展研究中心 一种工业互联网威胁识别方法、系统及电子设备
CN117579401A (zh) * 2024-01-17 2024-02-20 北京九建科技有限公司 一种基于边缘计算的能源数据分析方法
CN117807893B (zh) * 2024-02-26 2024-05-03 四川省机械研究设计院(集团)有限公司 高速离心泵叶轮多目标优化设计方法
CN117808272B (zh) * 2024-02-29 2024-05-10 南京迅集科技有限公司 一种基于机器学习的工业系统产能优化与调度方法和系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002090267A (ja) 2000-09-21 2002-03-27 Mitsui Eng & Shipbuild Co Ltd 異常診断方法
JP2007503034A (ja) 2003-08-19 2007-02-15 フロインホーファー−ゲゼルシャフト ツール フェルデルング デア アンゲヴァンテン フォルシュング イー ファウ データストリーム中の異常オブジェクトを自動的にオンラインで検出及びクラス分類するための方法及び装置
JP2014096145A (ja) 2012-10-22 2014-05-22 Boeing Co リアルタイム制御システム管理
JP2016192000A (ja) 2015-03-31 2016-11-10 横河電機株式会社 業務支援装置及び業務支援方法

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0692914B2 (ja) * 1989-04-14 1994-11-16 株式会社日立製作所 機器/設備の状態診断システム
WO2008025063A1 (en) 2006-08-28 2008-03-06 Detection Systems Pty Ltd Production line detection apparatus and method
US8706914B2 (en) 2007-04-23 2014-04-22 David D. Duchesneau Computing infrastructure
US20090003699A1 (en) 2007-05-29 2009-01-01 Peter Dugan User guided object segmentation recognition
US8713680B2 (en) * 2007-07-10 2014-04-29 Samsung Electronics Co., Ltd. Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program
US8245295B2 (en) * 2007-07-10 2012-08-14 Samsung Electronics Co., Ltd. Apparatus and method for detection of malicious program using program behavior
US7627454B2 (en) 2007-10-16 2009-12-01 General Electric Company Method and system for predicting turbomachinery failure events employing genetic algorithm
US8474043B2 (en) 2008-04-17 2013-06-25 Sourcefire, Inc. Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing
US9046886B2 (en) 2012-04-30 2015-06-02 General Electric Company System and method for logging security events for an industrial control system
US9405900B2 (en) 2013-03-13 2016-08-02 General Electric Company Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems
WO2015013376A2 (en) 2013-07-23 2015-01-29 Crypteia Networks S.A. Systems and methods for self-tuning network intrusion detection and prevention
US9158926B2 (en) 2014-01-13 2015-10-13 General Electric Company Engine control unit configuration security
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US20150324589A1 (en) 2014-05-09 2015-11-12 General Electric Company System and method for controlled device access
KR20160095856A (ko) * 2015-02-04 2016-08-12 한국전자통신연구원 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법
CN105975857A (zh) * 2015-11-17 2016-09-28 武汉安天信息技术有限责任公司 基于深度学习方法推断恶意代码规则的方法及系统
KR102450834B1 (ko) * 2016-01-04 2022-10-05 한국전자통신연구원 다중 특징벡터를 이용하는 행위기반 악성코드 탐지 장치 및 방법
US9998487B2 (en) * 2016-04-25 2018-06-12 General Electric Company Domain level threat detection for industrial asset control system
US11005863B2 (en) * 2016-06-10 2021-05-11 General Electric Company Threat detection and localization for monitoring nodes of an industrial asset control system
US10678912B2 (en) * 2016-11-15 2020-06-09 General Electric Company Dynamic normalization of monitoring node data for threat detection in industrial asset control system
US10594712B2 (en) * 2016-12-06 2020-03-17 General Electric Company Systems and methods for cyber-attack detection at sample speed

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002090267A (ja) 2000-09-21 2002-03-27 Mitsui Eng & Shipbuild Co Ltd 異常診断方法
JP2007503034A (ja) 2003-08-19 2007-02-15 フロインホーファー−ゲゼルシャフト ツール フェルデルング デア アンゲヴァンテン フォルシュング イー ファウ データストリーム中の異常オブジェクトを自動的にオンラインで検出及びクラス分類するための方法及び装置
JP2014096145A (ja) 2012-10-22 2014-05-22 Boeing Co リアルタイム制御システム管理
JP2016192000A (ja) 2015-03-31 2016-11-10 横河電機株式会社 業務支援装置及び業務支援方法

Also Published As

Publication number Publication date
US20180157838A1 (en) 2018-06-07
US10204226B2 (en) 2019-02-12
DE102017128693A1 (de) 2018-06-07
JP2018139101A (ja) 2018-09-06

Similar Documents

Publication Publication Date Title
JP7071034B2 (ja) 産業資産制御システムにおける脅威検出のための特徴および境界の調整
JP6941965B2 (ja) 産業資産制御システム用のドメインレベル脅威検出
US10678912B2 (en) Dynamic normalization of monitoring node data for threat detection in industrial asset control system
US11005873B2 (en) Multi-mode boundary selection for threat detection in industrial asset control system
US10805324B2 (en) Cluster-based decision boundaries for threat detection in industrial asset control system
CN107491057B (zh) 保护工业资产控制系统的系统及方法及计算机可读介质
US10594712B2 (en) Systems and methods for cyber-attack detection at sample speed
US10671060B2 (en) Data-driven model construction for industrial asset decision boundary classification
US10476902B2 (en) Threat detection for a fleet of industrial assets
EP3804268B1 (en) System and method for anomaly and cyber-threat detection in a wind turbine
US10990668B2 (en) Local and global decision fusion for cyber-physical system abnormality detection
US11252169B2 (en) Intelligent data augmentation for supervised anomaly detection associated with a cyber-physical system
US20200125978A1 (en) Detection and protection against mode switching attacks in cyber-physical systems
US11503045B2 (en) Scalable hierarchical abnormality localization in cyber-physical systems
US11658988B2 (en) Dynamic physical watermarking for attack detection in cyber-physical systems
US11916940B2 (en) Attack detection and localization with adaptive thresholding
CN115202314A (zh) 保护网络物理系统的系统、方法及计算机可读介质
WO2023023412A2 (en) Vulnerability-driven cyberattack protection system and method for industrial assets

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20190528

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201117

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210928

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20211221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220328

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220406

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220504

R150 Certificate of patent or registration of utility model

Ref document number: 7071034

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350