JP7071034B2 - 産業資産制御システムにおける脅威検出のための特徴および境界の調整 - Google Patents
産業資産制御システムにおける脅威検出のための特徴および境界の調整 Download PDFInfo
- Publication number
- JP7071034B2 JP7071034B2 JP2017226395A JP2017226395A JP7071034B2 JP 7071034 B2 JP7071034 B2 JP 7071034B2 JP 2017226395 A JP2017226395 A JP 2017226395A JP 2017226395 A JP2017226395 A JP 2017226395A JP 7071034 B2 JP7071034 B2 JP 7071034B2
- Authority
- JP
- Japan
- Prior art keywords
- threat
- monitoring node
- normal
- boundary
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 103
- 238000012544 monitoring process Methods 0.000 claims description 115
- 239000013598 vector Substances 0.000 claims description 115
- 238000004422 calculation algorithm Methods 0.000 claims description 84
- 238000000034 method Methods 0.000 claims description 51
- 238000011156 evaluation Methods 0.000 claims description 24
- 230000002159 abnormal effect Effects 0.000 claims description 15
- 230000006870 function Effects 0.000 claims description 15
- 230000002547 anomalous effect Effects 0.000 claims description 14
- 238000000513 principal component analysis Methods 0.000 claims description 11
- 230000009467 reduction Effects 0.000 claims description 8
- 238000013135 deep learning Methods 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 5
- 238000012880 independent component analysis Methods 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 4
- 238000012706 support-vector machine Methods 0.000 claims description 4
- 238000012628 principal component regression Methods 0.000 claims description 3
- 238000001228 spectrum Methods 0.000 claims description 3
- 238000005259 measurement Methods 0.000 description 17
- 230000006399 behavior Effects 0.000 description 14
- 238000005457 optimization Methods 0.000 description 13
- 238000010606 normalization Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 12
- 238000003860 storage Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 238000013459 approach Methods 0.000 description 7
- 239000000446 fuel Substances 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000013461 design Methods 0.000 description 5
- 238000013400 design of experiment Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 239000011159 matrix material Substances 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000003044 adaptive effect Effects 0.000 description 3
- 230000015556 catabolic process Effects 0.000 description 3
- 238000006731 degradation reaction Methods 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000012806 monitoring device Methods 0.000 description 3
- 238000012805 post-processing Methods 0.000 description 3
- 238000005284 basis set Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 230000003137 locomotive effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010248 power generation Methods 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000003595 spectral effect Effects 0.000 description 2
- 238000012731 temporal analysis Methods 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 238000000700 time series analysis Methods 0.000 description 2
- 230000001052 transient effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000012152 algorithmic method Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000004615 ingredient Substances 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000002459 sustained effect Effects 0.000 description 1
- 238000001308 synthesis method Methods 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Testing And Monitoring For Control Systems (AREA)
Description
脅威検出モデル作成コンピュータ140は、正常空間データソース110および/または脅威空間データソース120などの、様々なデータストアに情報を格納し、および/または様々なデータストアから情報を検索することができる。様々なデータソースは、脅威検出モデル作成コンピュータ140(例えば、オフラインまたはオンライン学習に関連してもよい)からローカルに格納されてもよいし、遠隔地に存在してもよい。単一の脅威検出モデル作成コンピュータ140が図1に示されているが、任意の数のそのようなデバイスを含めることができる。さらに、本明細書に記載された様々なデバイスは、本発明の実施形態に従って組み合わせることができる。例えば、いくつかの実施形態では、脅威検出モデル作成コンピュータ140および1つまたは複数のデータソース110、120は、単一の装置を含むことができる。脅威検出モデル作成コンピュータ140の機能は、分散処理またはクラウドベースのアーキテクチャにおいて、ネットワーク化された装置の組み合わせによって実行することができる。
重みは、特徴ベクトルで使用される特徴の例であり得ることに留意されたい。
[実施態様1]
産業資産制御システムを保護するシステム(100,300,800)であって、
複数の監視ノード(130)の各々について、前記産業資産制御システムの正常動作を表す経時的な一連の正常監視ノード値(1704)を格納する正常空間データソース(110)と、
前記複数の監視ノード(130)の各々について、前記産業資産制御システムの脅威を受けている動作を表す経時的な一連の脅威監視ノード値(1704)を格納する脅威空間データソース(120)と、
前記正常空間データソース(110)および前記脅威空間データソース(120)に結合された脅威検出モデル作成コンピュータ(140)であって、
(i)前記一連の正常監視ノード値(1704)を受信し、一組の正常特徴ベクトル(512,1708)を生成し、
(ii)前記一連の脅威監視ノード値(1704)を受信し、一組の脅威特徴ベクトル(512,1708)を生成し、
(iii)前記一組の正常特徴ベクトル(512,1708)、前記一組の脅威特徴ベクトル(512,1708)、および少なくとも1つの初期アルゴリズムパラメータ(1504,1604)に基づいて、脅威検出モデル(155,1414)のための少なくとも1つの潜在的判定境界を自動的に計算し、
(iv)性能メトリック(1506,1606)に基づいて前記少なくとも1つの潜在的判定境界の性能を自動的に評価し、
(v)前記評価の結果に基づいて前記少なくとも1つの初期アルゴリズムパラメータ(1504,1604)を自動的に調整し、前記少なくとも1つの潜在的判定境界を再計算する、
脅威検出モデル作成コンピュータ(140)と
を含む、システム(100,300,800)。
[実施態様2]
前記自動的な評価、調整、および再計算は、最終調整アルゴリズムパラメータおよび最終判定境界が決定されるまで実行される、実施態様1に記載のシステム(100,300,800)。
[実施態様3]
前記自動的な評価、調整、および再計算は、ローカル特徴ベクトル(512,1708)およびローカル判定境界に関連付けられる、実施態様1に記載のシステム(100,300,800)。
[実施態様4]
前記ローカル特徴ベクトル(512,1708)の抽出は、最小値、最大値、平均値、分散、整定時間、高速フーリエ変換スペクトル、極、浅い特徴、主成分解析、独立成分解析、k-平均クラスタリング、スパース符号化、およびディープラーニングの特徴のうちの少なくとも1つに関連付けられる、実施態様3に記載のシステム(100,300,800)。
[実施態様5]
複数のローカル特徴ベクトル(512,1708)およびローカル判定境界は、結合されてグローバル特徴ベクトル(850,1710)およびグローバル判定境界を形成し、前記自動的な評価、調整、および再計算は、前記グローバル特徴ベクトル(850,1710)および前記グローバル判定境界に関連付けられる、実施態様1に記載のシステム(100,300,800)。
[実施態様6]
前記グローバル特徴ベクトル(850,1710)および前記グローバル判定境界の少なくとも一方は、次元縮退、カーネル選択、いくつかのサポートベクトル、正常データ(310)に関連するコスト、および異常データに関連するコストに使用されるいくつかの重みに関連付けられる、実施態様5に記載のシステム(100,300,800)。
[実施態様7]
前記性能メトリック(1506,1606)は、受信者操作特性(「ROC」)メトリックを含む、実施態様1に記載のシステム(100,300,800)。
[実施態様8]
前記ROCメトリックは、真陽性(1110)、真陰性(1120)、偽陽性(1130)、偽陰性(1140)、曲線下面積、ROC精度、陽性予測値、偽発見率、偽省略率、陰性予測値、有病率、真陽性率、偽陽性率、陽性尤度比、陰性尤度比、偽陰性率、真陰性率、および診断オッズ比のうちの少なくとも1つに関連付けられる、実施態様7に記載のシステム(100,300,800)。
[実施態様9]
前記性能メトリック(1506,1606)は、脅威検出の速度に関連付けられる、実施態様1に記載のシステム(100,300,800)。
[実施態様10]
前記アルゴリズムパラメータは、一組の潜在的アルゴリズムパラメータから自動的に選択される、実施態様1に記載のシステム(100,300,800)。
[実施態様11]
前記初期アルゴリズムパラメータ(1504,1604)は、特徴(1706)のタイプ、いくつかのローカル特徴、いくつかのグローバル特徴、次元縮退の方法、主成分解析、主成分回帰、フィッシャーディスクリミネータ解析、サポートベクトルマシン、境界構築方法、境界方法特定調整器、カーネル機能、ボックス制約、コスト、および入力バッチサイズのうちの少なくとも1つに関連付けられる、実施態様1に記載のシステム(100,300,800)。
[実施態様12]
前記一連の正常監視ノード値(1704)および前記一連の脅威監視ノード値(1704)のうちの少なくとも一方が、高忠実度機器モデルに関連付けられる、実施態様1に記載のシステム(100,300,800)。
[実施態様13]
前記自動的な計算、評価、および調整の少なくとも1つは、遠隔産業資産制御システム情報源から受信したオンライン更新に少なくとも部分的に基づいて実行される、実施態様1に記載のシステム(100,300,800)。
[実施態様14]
前記産業資産制御システムの現在の動作を表す、経時的な監視ノード信号値のストリームを受信するための複数のリアルタイム監視ノード信号入力と、
前記複数のリアルタイム監視ノード信号入力および前記脅威検出モデル作成コンピュータ(140)に結合された脅威検出コンピュータプラットフォームであって、
(i)監視ノード信号値の前記ストリームを受信し、
(ii)監視ノード信号値の各ストリームについて、現在の監視ノード特徴ベクトル(512,1708)を生成し、
(iii)各監視ノード(130)について適切な判定境界を選択し、前記適切な判定境界は、前記現在の協調モードにおいてその監視ノード(130)の異常状態から正常状態を分離し、
(iv)各生成された現在の監視ノード特徴ベクトル(512,1708)を前記選択された対応する適切な判定境界と比較し、
(v)前記比較の結果に基づいて脅威警報信号を自動的に送信する、
脅威検出コンピュータプラットフォームと
をさらに含む、実施態様1に記載のシステム(100,300,800)。
[実施態様15]
前記脅威警報信号の送信は、クラウドベースのシステム、エッジベースのシステム、無線システム、有線システム、保護されたネットワーク、および通信システムのうちの少なくとも1つを使用して実行される、実施態様14に記載のシステム(100,300,800)。
[実施態様16]
前記脅威は、アクチュエータ攻撃、コントローラ攻撃、監視ノード攻撃、プラント状態攻撃、なりすまし、金融損害、ユニット利用可能性、ユニットトリップ、ユニット寿命の喪失、および少なくとも1つの新しい部品を必要とする資産損害のうちの少なくとも1つに関連付けられる、実施態様14に記載のシステム(100,300,800)。
[実施態様17]
産業資産制御システムを保護するコンピュータ化された方法であって、
脅威検出モデル作成コンピュータ(140)によって、一連の正常監視ノード値(1704)を受信し、一組の正常特徴ベクトル(512,1708)を生成するステップであって、前記経時的な一連の正常監視ノード値(1704)は、前記産業資産制御システムの正常動作を表す、ステップと、
前記脅威検出モデル作成コンピュータ(140)によって、一連の脅威監視ノード値(1704)を受信し、一組の脅威特徴ベクトル(512,1708)を生成するステップであって、前記経時的な一連の脅威監視ノード値(1704)は、前記産業資産制御システムの脅威を受けている動作を表す、ステップと、
前記一組の正常特徴ベクトル(512,1708)、前記一組の脅威特徴ベクトル(512,1708)、および少なくとも1つの初期アルゴリズムパラメータ(1504,1604)に基づいて、脅威検出モデル(155,1414)のための少なくとも1つの潜在的判定境界を計算するステップと、
性能メトリック(1506,1606)に基づいて前記少なくとも1つの潜在的判定境界の性能を評価するステップと、
前記評価の結果に基づいて前記少なくとも1つの初期アルゴリズムパラメータ(1504,1604)を調整し、前記少なくとも1つの潜在的判定境界を再計算するステップと、
を含む方法。
[実施態様18]
前記評価、調整、および再計算は、最終調整アルゴリズムパラメータおよび最終判定境界が決定されるまで実行される、実施態様17に記載の方法。
[実施態様19]
産業資産制御システムを保護する方法を実行するためにプロセッサ(1410)によって実行される命令を格納する非一時的なコンピュータ可読媒体であって、前記方法は、
一連の正常監視ノード値(1704)を受信し、一組の正常特徴ベクトル(512,1708)を生成するステップであって、前記経時的な一連の正常監視ノード値(1704)は、前記産業資産制御システムの正常動作を表す、ステップと、
一連の脅威監視ノード値(1704)を受信し、一組の脅威特徴ベクトル(512,1708)を生成するステップであって、前記経時的な一連の脅威監視ノード値(1704)は、前記産業資産制御システムの脅威を受けている動作を表す、ステップと、
前記一組の正常特徴ベクトル(512,1708)、前記一組の脅威特徴ベクトル(512,1708)、および少なくとも1つの初期アルゴリズムパラメータ(1504,1604)に基づいて、脅威検出モデル(155,1414)のための少なくとも1つの潜在的判定境界を計算するステップと、
性能メトリック(1506,1606)に基づいて前記少なくとも1つの潜在的判定境界の性能を評価するステップと、
前記評価の結果に基づいて前記少なくとも1つの初期アルゴリズムパラメータ(1504,1604)を調整し、前記少なくとも1つの潜在的判定境界を再計算するステップと、
を含む、非一時的なコンピュータ可読媒体。
[実施態様20]
前記評価、調整、および再計算は、最終調整アルゴリズムパラメータおよび最終判定境界が決定されるまで実行される、実施態様19に記載の媒体。
110 正常空間データソース
120 脅威空間データソース
130 監視ノード
140 脅威検出モデル作成コンピュータ
150 脅威検出コンピュータ
155 脅威検出モデル
170 遠隔端末
300 システム
310 正常データ
320 脅威データ
332 発電プラント
334 センサ
336 電子機器およびプロセッサを備えたコントローラ
338 アクチュエータ
342 高忠実度物理に基づくモデル
344 特徴発見コンポーネント
346 判定境界アルゴリズム
350 リアルタイム脅威検出プラットフォーム
352 監視ノード要素
354 正常判定
356 位置特定モジュール、位置特定要素
358 収容要素
360 脅威検出システム
370 出力
410 圧縮機吐出温度
412 ハード境界
414 最大境界
416 最小境界
420 圧縮機圧力比
430 圧縮機入口温度
440 燃料流量
450 発電機出力
460 ガスタービン排気温度
512 特徴ベクトル、特徴ベクトルの移動
562 特徴ベクトルの移動
612 圧縮機吐出圧力、信号
622 圧縮機圧力比、信号
632 圧縮機入口温度、信号
642 燃料流量、信号
662 ガスタービン排気温度
700 サイバー攻撃検出システム
710 ガスタービン
720 負荷正規化機能
730 モード処理
740 特徴処理
750 後処理
760 正常/攻撃データセット記憶装置
770 判定処理
800 脅威検出システム、グローバル脅威防止システム
810 値
820 行列
830 特徴量設計コンポーネント
840 ローカル特徴ベクトル
850 グローバル特徴ベクトル
860 相互作用特徴
870 異常検出エンジン
910 グラフ
920 連続境界、判定境界
1100 ROC測定
1110 真陽性
1120 真陰性
1130 偽陽性
1140 偽陰性
1200 最適化フローチャート
1300 対話型グラフィカル・ユーザ・インターフェース・ディスプレイ
1310 現在の特徴ベクトル
1320 ユーザ入力領域
1400 産業資産制御システム保護プラットフォーム
1410 プロセッサ
1412 プログラム
1414 プログラム、脅威検出モデル
1420 通信デバイス
1430 記憶装置
1440 入力デバイス
1450 出力デバイス
1500 ローカルデータベース
1502 産業資産識別子、フィールド
1504 初期アルゴリズムパラメータ、フィールド
1506 性能メトリック、初期アルゴリズムパラメータ、フィールド
1508 調整されたアルゴリズムパラメータ、フィールド
1510 ローカル特徴および境界、フィールド
1600 グローバルデータベース
1602 産業資産識別子、フィールド
1604 初期アルゴリズムパラメータ、フィールド
1606 初期アルゴリズムパラメータ、性能メトリック、フィールド
1608 アルゴリズムパラメータ、フィールド
1610 グローバル特徴および境界、フィールド
1700 監視ノードデータベース
1702 監視ノード識別子、フィールド
1704 監視ノード値、フィールド
1706 特徴、フィールド
1708 特徴ベクトル、フィールド
1710 グローバル特徴ベクトル、フィールド
1712 判定、フィールド
Claims (7)
- 産業資産制御システムを保護するシステム(100,300,800)であって、
複数の監視ノード(130)の各々について、前記産業資産制御システムの正常動作を表す経時的な一連の正常監視ノード値(1704)を格納する正常空間データソース(110)と、
前記複数の監視ノード(130)の各々について、前記産業資産制御システムの脅威を受けている動作を表す経時的な一連の脅威監視ノード値(1704)を格納する脅威空間データソース(120)と、
前記正常空間データソース(110)および前記脅威空間データソース(120)に結合された脅威検出モデル作成コンピュータ(140)であって、
(i)前記一連の正常監視ノード値(1704)を受信し、一組の正常特徴ベクトル(512,1708)を生成し、
(ii)前記一連の脅威監視ノード値(1704)を受信し、一組の脅威特徴ベクトル(512,1708)を生成し、
(iii)前記一組の正常特徴ベクトル(512,1708)、前記一組の脅威特徴ベクトル(512,1708)、および少なくとも1つの初期アルゴリズムパラメータ(1504,1604)に基づいて、脅威検出モデル(155,1414)のための少なくとも1つの潜在的判定境界を自動的に計算し、
(iv)脅威検出の速度に関連付けられる性能メトリック(1506,1606)に基づいて前記少なくとも1つの潜在的判定境界の性能を自動的に評価し、
(v)前記評価の結果に基づいて前記少なくとも1つの初期アルゴリズムパラメータ(1504,1604)を自動的に調整し、前記少なくとも1つの潜在的判定境界を再計算する、
脅威検出モデル作成コンピュータ(140)と
を含む、システム(100,300,800)。 - 前記自動的な評価、調整、および再計算は、最終調整アルゴリズムパラメータおよび最終判定境界が決定されるまで実行される、請求項1に記載のシステム(100,300,800)。
- 前記自動的な評価、調整、および再計算は、ローカル特徴ベクトル(512,1708)およびローカル判定境界に関連付けられ、
前記ローカル特徴ベクトル(512,1708)の抽出は、最小値、最大値、平均値、分散、整定時間、高速フーリエ変換スペクトル、極、浅い特徴、主成分解析、独立成分解析、k-平均クラスタリング、スパース符号化、およびディープラーニングの特徴のうちの少なくとも1つに関連付けられる、請求項1または2に記載のシステム(100,300,800)。 - 複数のローカル特徴ベクトル(512,1708)およびローカル判定境界は、結合されてグローバル特徴ベクトル(850,1710)およびグローバル判定境界を形成し、前記自動的な評価、調整、および再計算は、前記グローバル特徴ベクトル(850,1710)および前記グローバル判定境界に関連付けられ、
前記グローバル特徴ベクトル(850,1710)および前記グローバル判定境界の少なくとも一方は、次元縮退、カーネル選択、いくつかのサポートベクトル、正常データ(310)に関連するコスト、および異常データに関連するコストに使用されるいくつかの重みに関連付けられる、請求項1乃至3のいずれかに記載のシステム(100,300,800)。 - 前記性能メトリック(1506,1606)は、受信者操作特性(「ROC」)メトリックを含み、
前記ROCメトリックは、真陽性(1110)、真陰性(1120)、偽陽性(1130)、偽陰性(1140)、曲線下面積、ROC精度、陽性予測値、偽発見率、偽省略率、陰性予測値、有病率、真陽性率、偽陽性率、陽性尤度比、陰性尤度比、偽陰性率、真陰性率、および診断オッズ比のうちの少なくとも1つに関連付けられる、請求項1乃至4のいずれかに記載のシステム(100,300,800)。 - 前記アルゴリズムパラメータは、一組の潜在的アルゴリズムパラメータから自動的に選択され、特徴(1706)のタイプ、いくつかのローカル特徴、いくつかのグローバル特徴、次元縮退の方法、主成分解析、主成分回帰、フィッシャーディスクリミネータ解析、サポートベクトルマシン、境界構築方法、境界方法特定調整器、カーネル機能、ボックス制約、コスト、および入力バッチサイズのうちの少なくとも1つに関連付けられる、請求項1乃至5のいずれかに記載のシステム(100,300,800)。
- 前記産業資産制御システムの現在の動作を表す、経時的な監視ノード信号値のストリームを受信するための複数のリアルタイム監視ノード信号入力と、
前記複数のリアルタイム監視ノード信号入力および前記脅威検出モデル作成コンピュータ(140)に結合された脅威検出コンピュータプラットフォームであって、
(i)監視ノード信号値の前記ストリームを受信し、
(ii)監視ノード信号値の各ストリームについて、現在の監視ノード特徴ベクトル(512,1708)を生成し、
(iii)各監視ノード(130)について適切な判定境界を選択し、前記適切な判定境界は、前記現在の協調モードにおいてその監視ノード(130)の異常状態から正常状態を分離し、
(iv)各生成された現在の監視ノード特徴ベクトル(512,1708)を前記選択された対応する適切な判定境界と比較し、
(v)前記比較の結果に基づいて脅威警報信号を自動的に送信する、
脅威検出コンピュータプラットフォームと
をさらに含む、請求項1乃至6のいずれかに記載のシステム(100,300,800)。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/371,905 | 2016-12-07 | ||
US15/371,905 US10204226B2 (en) | 2016-12-07 | 2016-12-07 | Feature and boundary tuning for threat detection in industrial asset control system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018139101A JP2018139101A (ja) | 2018-09-06 |
JP7071034B2 true JP7071034B2 (ja) | 2022-05-18 |
Family
ID=62163810
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017226395A Active JP7071034B2 (ja) | 2016-12-07 | 2017-11-27 | 産業資産制御システムにおける脅威検出のための特徴および境界の調整 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10204226B2 (ja) |
JP (1) | JP7071034B2 (ja) |
DE (1) | DE102017128693A1 (ja) |
Families Citing this family (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10489584B2 (en) * | 2017-02-14 | 2019-11-26 | Microsoft Technology Licensing, Llc | Local and global evaluation of multi-database system |
US10733533B2 (en) * | 2017-03-07 | 2020-08-04 | General Electric Company | Apparatus and method for screening data for kernel regression model building |
US10686806B2 (en) * | 2017-08-21 | 2020-06-16 | General Electric Company | Multi-class decision system for categorizing industrial asset attack and fault types |
WO2019096545A1 (de) * | 2017-11-15 | 2019-05-23 | KSB SE & Co. KGaA | Verfahren und vorrichtung zum cyberangriffsschutz von pumpenaggregaten |
US10785237B2 (en) * | 2018-01-19 | 2020-09-22 | General Electric Company | Learning method and system for separating independent and dependent attacks |
US11457030B2 (en) * | 2018-02-20 | 2022-09-27 | Darktrace Holdings Limited | Artificial intelligence researcher assistant for cybersecurity analysis |
US11463457B2 (en) * | 2018-02-20 | 2022-10-04 | Darktrace Holdings Limited | Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance |
US10826932B2 (en) * | 2018-08-22 | 2020-11-03 | General Electric Company | Situation awareness and dynamic ensemble forecasting of abnormal behavior in cyber-physical system |
WO2020046260A1 (en) * | 2018-08-27 | 2020-03-05 | Siemens Aktiengesellschaft | Process semantic based causal mapping for security monitoring and assessment of control networks |
WO2020061108A1 (en) * | 2018-09-17 | 2020-03-26 | Schneider Electric Systems Usa, Inc. | Industrial system event detection and corresponding response |
US11171976B2 (en) * | 2018-10-03 | 2021-11-09 | Raytheon Technologies Corporation | Cyber monitor segmented processing for control systems |
US11573561B2 (en) * | 2018-12-11 | 2023-02-07 | General Electric Company | Methods and systems for automated condition-based maintenance of mechanical systems |
CN109767352B (zh) * | 2018-12-24 | 2023-08-01 | 国网山西省电力公司信息通信分公司 | 一种电力信息物理融合系统安全态势评估方法 |
RU2724075C1 (ru) | 2018-12-28 | 2020-06-19 | Акционерное общество "Лаборатория Касперского" | Система и способ определения источника аномалии в кибер-физической системе, обладающей определенными характеристиками |
US11531840B2 (en) | 2019-02-08 | 2022-12-20 | Vizit Labs, Inc. | Systems, methods, and storage media for training a model for image evaluation |
US10467504B1 (en) * | 2019-02-08 | 2019-11-05 | Adhark, Inc. | Systems, methods, and storage media for evaluating digital images |
US10976718B2 (en) * | 2019-03-06 | 2021-04-13 | Honeywell Limited | System and method for monitoring changes in process dynamic behavior by mapping parameters to a lower dimensional space |
US11652839B1 (en) * | 2019-05-02 | 2023-05-16 | Architecture Technology Corporation | Aviation system assessment platform for system-level security and safety |
US11343266B2 (en) | 2019-06-10 | 2022-05-24 | General Electric Company | Self-certified security for assured cyber-physical systems |
EP3757693B9 (en) | 2019-06-28 | 2021-09-08 | OMRON Corporation | System and method for operating an automated machine, automated machine, and computer-program product |
US11487598B2 (en) | 2019-09-18 | 2022-11-01 | General Electric Company | Adaptive, self-tuning virtual sensing system for cyber-attack neutralization |
US11100221B2 (en) | 2019-10-08 | 2021-08-24 | Nanotronics Imaging, Inc. | Dynamic monitoring and securing of factory processes, equipment and automated systems |
US11411983B2 (en) * | 2019-10-16 | 2022-08-09 | General Electric Company | Dynamic, resilient sensing system for automatic cyber-attack neutralization |
US11514275B2 (en) * | 2019-10-21 | 2022-11-29 | Sap Se | Database instance tuning in a cloud platform |
TWI812329B (zh) * | 2019-11-20 | 2023-08-11 | 美商奈米創尼克影像公司 | 用於判定網路攻擊及產生警告之製造系統及電腦實施方法 |
US11140553B1 (en) * | 2020-05-21 | 2021-10-05 | Motorola Solutions, Inc. | Threat detection and mitigation for remote wireless communication network control systems |
CN112819067A (zh) * | 2021-01-28 | 2021-05-18 | 广东电网有限责任公司广州供电局 | 一种配电网不良数据的处理方法、装置、设备和存储介质 |
AU2022246728B2 (en) * | 2021-04-01 | 2024-02-01 | Cisco Technology, Inc. | Verifying trust postures of heterogeneous confidential computing clusters |
CN113114690B (zh) * | 2021-04-15 | 2022-12-13 | 恒安嘉新(北京)科技股份公司 | 威胁事件识别方法、装置、设备及存储介质 |
US20230075736A1 (en) * | 2021-08-19 | 2023-03-09 | General Electric Company | Systems and Methods for Self-Adapting Neutralization Against Cyber-Faults |
CN115134162B (zh) * | 2022-07-15 | 2023-05-05 | 西南民族大学 | 一种工业控制系统恶意威胁的检测和补偿方法及电子设备 |
CN115550064B (zh) * | 2022-11-25 | 2023-04-07 | 国家工业信息安全发展研究中心 | 一种工业互联网威胁识别方法、系统及电子设备 |
CN117579401A (zh) * | 2024-01-17 | 2024-02-20 | 北京九建科技有限公司 | 一种基于边缘计算的能源数据分析方法 |
CN117807893B (zh) * | 2024-02-26 | 2024-05-03 | 四川省机械研究设计院(集团)有限公司 | 高速离心泵叶轮多目标优化设计方法 |
CN117808272B (zh) * | 2024-02-29 | 2024-05-10 | 南京迅集科技有限公司 | 一种基于机器学习的工业系统产能优化与调度方法和系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002090267A (ja) | 2000-09-21 | 2002-03-27 | Mitsui Eng & Shipbuild Co Ltd | 異常診断方法 |
JP2007503034A (ja) | 2003-08-19 | 2007-02-15 | フロインホーファー−ゲゼルシャフト ツール フェルデルング デア アンゲヴァンテン フォルシュング イー ファウ | データストリーム中の異常オブジェクトを自動的にオンラインで検出及びクラス分類するための方法及び装置 |
JP2014096145A (ja) | 2012-10-22 | 2014-05-22 | Boeing Co | リアルタイム制御システム管理 |
JP2016192000A (ja) | 2015-03-31 | 2016-11-10 | 横河電機株式会社 | 業務支援装置及び業務支援方法 |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0692914B2 (ja) * | 1989-04-14 | 1994-11-16 | 株式会社日立製作所 | 機器/設備の状態診断システム |
WO2008025063A1 (en) | 2006-08-28 | 2008-03-06 | Detection Systems Pty Ltd | Production line detection apparatus and method |
US8706914B2 (en) | 2007-04-23 | 2014-04-22 | David D. Duchesneau | Computing infrastructure |
US20090003699A1 (en) | 2007-05-29 | 2009-01-01 | Peter Dugan | User guided object segmentation recognition |
US8713680B2 (en) * | 2007-07-10 | 2014-04-29 | Samsung Electronics Co., Ltd. | Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program |
US8245295B2 (en) * | 2007-07-10 | 2012-08-14 | Samsung Electronics Co., Ltd. | Apparatus and method for detection of malicious program using program behavior |
US7627454B2 (en) | 2007-10-16 | 2009-12-01 | General Electric Company | Method and system for predicting turbomachinery failure events employing genetic algorithm |
US8474043B2 (en) | 2008-04-17 | 2013-06-25 | Sourcefire, Inc. | Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing |
US9046886B2 (en) | 2012-04-30 | 2015-06-02 | General Electric Company | System and method for logging security events for an industrial control system |
US9405900B2 (en) | 2013-03-13 | 2016-08-02 | General Electric Company | Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems |
WO2015013376A2 (en) | 2013-07-23 | 2015-01-29 | Crypteia Networks S.A. | Systems and methods for self-tuning network intrusion detection and prevention |
US9158926B2 (en) | 2014-01-13 | 2015-10-13 | General Electric Company | Engine control unit configuration security |
US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
US20150324589A1 (en) | 2014-05-09 | 2015-11-12 | General Electric Company | System and method for controlled device access |
KR20160095856A (ko) * | 2015-02-04 | 2016-08-12 | 한국전자통신연구원 | 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법 |
CN105975857A (zh) * | 2015-11-17 | 2016-09-28 | 武汉安天信息技术有限责任公司 | 基于深度学习方法推断恶意代码规则的方法及系统 |
KR102450834B1 (ko) * | 2016-01-04 | 2022-10-05 | 한국전자통신연구원 | 다중 특징벡터를 이용하는 행위기반 악성코드 탐지 장치 및 방법 |
US9998487B2 (en) * | 2016-04-25 | 2018-06-12 | General Electric Company | Domain level threat detection for industrial asset control system |
US11005863B2 (en) * | 2016-06-10 | 2021-05-11 | General Electric Company | Threat detection and localization for monitoring nodes of an industrial asset control system |
US10678912B2 (en) * | 2016-11-15 | 2020-06-09 | General Electric Company | Dynamic normalization of monitoring node data for threat detection in industrial asset control system |
US10594712B2 (en) * | 2016-12-06 | 2020-03-17 | General Electric Company | Systems and methods for cyber-attack detection at sample speed |
-
2016
- 2016-12-07 US US15/371,905 patent/US10204226B2/en active Active
-
2017
- 2017-11-27 JP JP2017226395A patent/JP7071034B2/ja active Active
- 2017-12-04 DE DE102017128693.4A patent/DE102017128693A1/de active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002090267A (ja) | 2000-09-21 | 2002-03-27 | Mitsui Eng & Shipbuild Co Ltd | 異常診断方法 |
JP2007503034A (ja) | 2003-08-19 | 2007-02-15 | フロインホーファー−ゲゼルシャフト ツール フェルデルング デア アンゲヴァンテン フォルシュング イー ファウ | データストリーム中の異常オブジェクトを自動的にオンラインで検出及びクラス分類するための方法及び装置 |
JP2014096145A (ja) | 2012-10-22 | 2014-05-22 | Boeing Co | リアルタイム制御システム管理 |
JP2016192000A (ja) | 2015-03-31 | 2016-11-10 | 横河電機株式会社 | 業務支援装置及び業務支援方法 |
Also Published As
Publication number | Publication date |
---|---|
US20180157838A1 (en) | 2018-06-07 |
US10204226B2 (en) | 2019-02-12 |
DE102017128693A1 (de) | 2018-06-07 |
JP2018139101A (ja) | 2018-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7071034B2 (ja) | 産業資産制御システムにおける脅威検出のための特徴および境界の調整 | |
JP6941965B2 (ja) | 産業資産制御システム用のドメインレベル脅威検出 | |
US10678912B2 (en) | Dynamic normalization of monitoring node data for threat detection in industrial asset control system | |
US11005873B2 (en) | Multi-mode boundary selection for threat detection in industrial asset control system | |
US10805324B2 (en) | Cluster-based decision boundaries for threat detection in industrial asset control system | |
CN107491057B (zh) | 保护工业资产控制系统的系统及方法及计算机可读介质 | |
US10594712B2 (en) | Systems and methods for cyber-attack detection at sample speed | |
US10671060B2 (en) | Data-driven model construction for industrial asset decision boundary classification | |
US10476902B2 (en) | Threat detection for a fleet of industrial assets | |
EP3804268B1 (en) | System and method for anomaly and cyber-threat detection in a wind turbine | |
US10990668B2 (en) | Local and global decision fusion for cyber-physical system abnormality detection | |
US11252169B2 (en) | Intelligent data augmentation for supervised anomaly detection associated with a cyber-physical system | |
US20200125978A1 (en) | Detection and protection against mode switching attacks in cyber-physical systems | |
US11503045B2 (en) | Scalable hierarchical abnormality localization in cyber-physical systems | |
US11658988B2 (en) | Dynamic physical watermarking for attack detection in cyber-physical systems | |
US11916940B2 (en) | Attack detection and localization with adaptive thresholding | |
CN115202314A (zh) | 保护网络物理系统的系统、方法及计算机可读介质 | |
WO2023023412A2 (en) | Vulnerability-driven cyberattack protection system and method for industrial assets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20190528 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201117 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210818 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210928 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20211221 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220328 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220406 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220504 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7071034 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |