KR102325133B1 - 산업 자산 제어 시스템의 도메인 레벨 위협 검출 - Google Patents

산업 자산 제어 시스템의 도메인 레벨 위협 검출 Download PDF

Info

Publication number
KR102325133B1
KR102325133B1 KR1020170052917A KR20170052917A KR102325133B1 KR 102325133 B1 KR102325133 B1 KR 102325133B1 KR 1020170052917 A KR1020170052917 A KR 1020170052917A KR 20170052917 A KR20170052917 A KR 20170052917A KR 102325133 B1 KR102325133 B1 KR 102325133B1
Authority
KR
South Korea
Prior art keywords
threat
normal
node
control system
asset control
Prior art date
Application number
KR1020170052917A
Other languages
English (en)
Other versions
KR20170121717A (ko
Inventor
라리트 케샤브 메스타
조나단 칼 대처
다니엘 프랜시스 홀자우어
저스틴 바키 존
Original Assignee
제네럴 일렉트릭 컴퍼니
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 제네럴 일렉트릭 컴퍼니 filed Critical 제네럴 일렉트릭 컴퍼니
Publication of KR20170121717A publication Critical patent/KR20170121717A/ko
Application granted granted Critical
Publication of KR102325133B1 publication Critical patent/KR102325133B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

정상 공간 데이터 소스(110)는, 복수의 위협 노드(130) 각각에 대하여, 산업 자산 제어 시스템의 정상 동작을 표시하는 일련의 정상값을 저장하고, 위협 공간 데이터 소스(120)는 일련의 위협 값을 저장한다. 모델 생성 컴퓨터(140)는 정상 피처 벡터의 집합과 위협 피처 벡터의 집합을 발생할 수 있다. 컴퓨터(140)는 또한 정상 피처 벡터와 위협 피처 벡터에 기초하여 위협 검출 모델에 대한 적어도 하나의 결정 경계를 계산하여 출력할 수 있다. 복수의 위협 노드(130)는 그 다음에 자산 제어 시스템의 현재 동작을 표시하는 위협 노드로부터 일련의 현재 값을 발생할 수 있다. 위협 검출 컴퓨터(150)는 위협 노드(130)로부터 일련의 현재 값을 수신하고, 현재 피처 벡터의 집합을 발생하고, 위협 검출 모델(155)을 실행하고, 현재 피처 벡터 및 적어도 하나의 결정 경계에 기초하여 위협 경고 신호를 전송할 수 있다.

Description

산업 자산 제어 시스템의 도메인 레벨 위협 검출{DOMAIN LEVEL THREAT DETECTION FOR INDUSTRIAL ASSET CONTROL SYSTEM}
물리적 시스템(예를 들면, 동력 터빈, 제트 엔진, 기관차, 자율 자동차 등과 관련된 시스템)을 동작시키는 산업 제어 시스템은 점점 인터넷 접속이 증가하고 있다. 그 결과, 이러한 제어 시스템은 발전 및 배전을 중단시키고, 엔진을 손상시키며 자동차 오동작 등을 야기할 수 있는 사이버 공격(예를 들면, 컴퓨터 바이러스, 악성 소프트웨어 등과 관련된 공격)과 같은 위협에 점점 취약해지고 있다. 현재의 방법은 정보 기술("IT", 데이터를 저장, 검색, 전송 및 처리하는 컴퓨터와 같은 것) 및 운영 기술("OT", 직접 감시 장치 및 통신 버스 인터페이스와 같은 것)에서의 위협 검출을 주로 생각한다. 사이버 위협은 이러한 보호층을 통해 여전히 침투할 수 있고 스턱스넷(Stuxnet) 공격에 관한 2010에 나타난 바와 같이 물리적 "도메인"에 도달할 수 있다. 이러한 공격은 제어 시스템의 성능을 떨어뜨리고 플랜트에 대한 총체적인 셧다운 또는 비극적인 손상을 야기할 수 있다. 현재로서는 센서, 제어기 및 액추에이터가 위치하는 도메인 층에서의 위협을 사이버 사건 중에 자동으로 검출하기 위해 이용할 수 있는 방법이 없다. 일부 경우에는 복수의 공격이 동시에 발생할 수 있다(예를 들면, 제어 시스템 장치 내의 2개 이상의 액추에이터, 센서 또는 파라미터가 무권리자에 의해 동시에 악의적으로 변경될 수 있다). 도메인 층에서 발생하는 은밀한 공격과 같은 사이버 공격의 일부 미세한 결과는 쉽게 검출되지 않는다는 점에 주목한다(예를 들면, 센서 노드와 같은 단지 하나의 위협 노드가 검출 알고리즘에서 사용되는 경우). 고장 및 진단 기술과 같은 산업 제어 시스템을 보호하기 위한 기존의 접근법은, 복수의 오류/고장 진단 기술이 은밀한 공격을 자동화 방식으로 검출하도록 설계되어 있지 않기 때문에, 특히 복수의 동시 공격이 발생한 때 이러한 위협을 적절히 다루지 못할 수 있다. 그러므로 공격이 IT 및 OT 층을 통하여 삼투하고 제어 시스템을 직접 손상시키는 경우에도 사이버 위협으로부터 산업 자산 제어 시스템을 자동으로 및 정확한 방식으로 보호하는 것이 바람직할 것이다.
일부 실시형태에 따르면, 사이버 위협으로부터 산업 자산 제어 시스템을 보호하는 시스템은 위협 노드("위협점"이라고도 부른다)로부터의 정상 공간을 포함할 수 있다. 위협 노드는 사이버 위협 또는 비정상적 이벤트의 발생을 감시하기 위해 사용되는 임계 센서, 컨트롤러 노드, 액추에이터 및/또는 키 소프트웨어 노드로부터 신호일 수 있다. 정상 공간 데이터 소스는 복수의 위협 노드(예를 들면, 센서 노드, 액추에이터 노드, 컨트롤러 노드, 소프트웨어 노드 등) 각각에 대한 데이터인 산업 자산 제어 시스템의 정상 동작을 표시하는 위협 노드로부터의 일련의 정상값("데이터 스트림"이라고도 부름)을 저장할 수 있다. 유사하게, 위협 공간 데이터 소스는 위협 노드로부터의 일련의 위협 값(threatened value)을 저장할 수 있다. 위협 값은 비정상 공간 데이터로 간주될 수 있다. 정상적으로, 제어 시스템은 그러한 동작이 손상을 야기하고, 전체적인 셧다운을 야기하며, 및/또는 플랜트 컴포넌트의 비극적인 손상 또는 느린 열화를 생성할 수 있기 때문에 비정상 공간에서 동작하지 않는다. 모델 생성 컴퓨터는 위협 노드로부터의 값을 이용하여 정상 피처 벡터와 위협 피처 벡터의 집합을 발생할 수 있다. 피처는 하나 이상의 측정된 데이터 스트림으로부터 추출된 개별적인 양을 포함할 수 있다. 컴퓨터는 또한 정상 및 위협 피처 벡터에 기초하여 위협 검출 모델에 대한 결정 경계를 계산하여 출력할 수 있다. 복수의 이러한 값은 그 다음에 자산 제어 시스템의 현재 동작을 표시하는 위협 노드로부터 일련의 현재 값을 발생할 수 있다. 위협 검출 컴퓨터는 위협 노드로부터 일련의 현재 값을 수신하고, 이러한 값들로부터 현재 피처 벡터의 집합을 발생하고, 위협 검출 모델을 실행하고, 현재 피처 벡터 및 결정 경계에 기초하여 위협 경고 신호를 전송할 수 있다.
일부 실시형태는 산업 자산 제어 시스템의 정상 동작을 표시하는 시간 경과에 따른 위협 노드로부터의 일련의 정상값을 복수의 위협 노드 각각에 대하여 검색하는 수단과; 산업 자산 제어 시스템의 위협 동작을 표시하는 시간 경과에 따른 위협 노드로부터의 일련의 위협, 즉 비정상값을 복수의 위협 노드 각각에 대하여 검색하는 수단과; 정상 피처 벡터의 집합 및 위협 피처 벡터의 집합에 기초하여 위협 검출 모델에 대한 결정 경계를 자동으로 계산하여 출력하는 수단을 포함한다.
다른 실시형태는 산업 자산 제어 시스템의 현재 동작을 표시하는 시간 경과에 따른 일련의 값을 복수의 위협 노드로부터 검색하는 수단과; 현재 피처 벡터의 집합을 위협 노드로부터의 수신된 일련의 값에 기초하여 위협 검출 컴퓨터에 의해 발생하는 수단과; 현재 피처 벡터의 집합 및 결정 경계에 기초하여 위협 경고 신호를 전송하는 위협 검출 모델을 실행하는 수단을 포함한다.
여기에서 설명하는 일부 실시형태의 일부 기술적 장점은 자동화 및 정확한 방식으로 사이버 위협으로부터 산업 자산 제어 시스템을 보호하는 시스템 및 방법을 개선하는 것이다.
도 1은 일부 실시형태에 따라 제공될 수 있는 시스템의 하이 레벨 블록도이다.
도 2는 일부 실시형태에 따른 모델 생성 방법을 보인 도이다.
도 3은 일부 실시형태에 따른 위협 경고 방법을 보인 도이다.
도 4는 일부 실시형태에 따른 오프라인 처리를 보인 도이다.
도 5는 일부 실시형태에 따른 실시간 처리를 보인 도이다.
도 6은 일부 실시형태에 따른 가스 터빈 엔진과 관련된 예를 보인 도이다.
도 7은 일부 실시형태에 따른 위협 벡터 손상 디스플레이를 보인 도이다.
도 8은 일부 실시형태에 따른 글로벌 위협 보호 시스템의 예를 보인 도이다.
도 9는 일부 실시형태에 따른 3차원 센서 출력을 보인 도이다.
도 10은 일부 실시형태에 따른 결정 경계 디스플레이를 보인 도이다.
도 11은 본 발명의 일부 실시형태에 따른 산업 자산 제어 시스템 보호 플랫폼의 블록도이다.
도 12는 위협 검출 데이터베이스의 표 부분을 보인 도이다.
이하의 상세한 설명에서, 실시형태에 대한 완전한 이해를 제공하기 위해 많은 구체적인 세부들이 설명된다. 그러나 당업자라면 실시형태들은 이러한 구체적인 세부 없이 실시될 수 있다는 것을 이해할 것이다. 다른 예로서, 잘 알려진 방법, 절차, 컴포넌트 및 회로들은 실시형태를 불명료하게 하지 않도록 자세히 설명하지 않았다.
물리적 시스템을 동작시키는 산업 제어 시스템은 점점 인터넷 접속이 증가하고 있다. 그 결과, 이러한 제어 시스템은 위협에 점점 취약해지고 있고, 일부 경우에는 복수의 공격이 동시에 발생할 수 있다. 고장 및 진단 기술과 같은 산업 제어 시스템을 보호하기 위한 기존의 접근법은, 특히 복수의 동시 공격이 발생한 때 이러한 위협을 적절히 다루지 못할 수 있다. 그러므로 사이버 위협으로부터 산업 자산 제어 시스템을 자동으로 및 정확한 방식으로 보호하는 것이 바람직할 것이다. 도 1은 일부 실시형태에 따른 시스템(100)의 하이 레벨 구조도이다. 시스템(100)은 "정상 공간" 데이터 소스(110)와 "위협 공간" 데이터 소스(120)를 포함할 수 있다. 정상 공간 데이터 소스(110)는 복수의 위협 노드(130) 각각에 대하여, (예를 들면, 모델에 의해 발생되거나 또는 도 1에 점선으로 표시된 것처럼 실제 센서(130) 데이터로부터 수집된) 산업 자산 제어 시스템의 정상 동작을 표시하는 시간 경과에 따른 일련의 정상값들을 저장할 수 있다. 위협 공간 데이터 소스(120)는 각각의 위협 노드(130)에 대하여 (예를 들면, 시스템이 사이버 공격을 받을 때) 산업 자산 제어 시스템의 위협 동작을 표시하는 일련의 위협 값들을 저장할 수 있다.
정상 공간 데이터 소스(110) 및 위협 공간 데이터 소스(120)로부터의 정보는 이 데이터를 결정 경계(즉, 정상 행동을 위협 행동으로부터 분리하는 경계)를 생성하기 위해 사용하는 위협 검출 모델 생성 컴퓨터(140)에 제공될 수 있다. 그 다음에, 결정 경계는 위협 검출 모델(155)을 실행하는 위협 검출 컴퓨터(150)에 의해 사용될 수 있다. 위협 검출 모델(155)은 예를 들면 센서 노드, 액추에이터 노드, 및/또는 임의의 다른 임계 감시 노드(예를 들면, 위협 노드(S1-SN))로부터의 데이터를 포함한 위협 노드(130)로부터의 데이터 스트림을 감시하고 적당할 때 하나 이상의 원격 감시 장치(170)에 위협 경고 신호를 자동으로 출력할 수 있다(예를 들면, 사용자에게 디스플레이하기 위해). 여기에서 사용하는 용어 "자동으로"는 예를 들면 인간의 개입이 거의 또는 전혀 없이 수행될 수 있는 동작을 말할 수 있다. 일부 실시형태에 따르면, 검출된 위협에 대한 정보는 개별 제어 시스템에 역으로 전송될 수 있다.
여기에서 사용하는 시스템(100)과 관련된 것을 포함한 장치 및 여기에서 설명하는 임의의 다른 장치는 근거리 통신망("LAN"), 도시 영역 통신망("MAN"), 광역 통신망("WNA"), 사설 통신망, 공중 교환식 전화망("PSTN"), 무선 응용 프로토콜("WAP") 네트워크, 블루투스 네트워크, 무선 LAN 네트워크, 및/또는 인터넷, 인트라넷 또는 익스트라넷과 같은 인터넷 프로토콜("IP") 네트워크 중의 하나 이상일 수 있는 임의의 통신 네트워크를 통해 정보를 교환할 수 있다. 여기에서 설명하는 임의의 장치들은 하나 이상의 이러한 통신 네트워크를 통해 통신할 수 있다는 점에 주목한다.
위협 검출 모델 생성 컴퓨터(140)는 정상 공간 데이터 소스(110) 및/또는 위협 공간 데이터 소스(120)와 같은 각종 데이터 기억부에 정보를 저장하거나 및/또는 데이터 기억부로부터 정보를 검색할 수 있다. 각종 데이터 소스는 국부적으로 저장되거나 또는 위협 검출 모델 생성 컴퓨터(140)로부터 원격에 위치할 수 있다. 비록 도 1에는 단일의 위협 검출 모델 생성 컴퓨터(140)가 도시되어 있지만, 임의 수의 이러한 장치가 포함될 수 있다. 더욱이, 여기에서 설명하는 각종 장치는 본 발명의 실시형태에 따라 결합될 수 있다. 예를 들면, 일부 실시형태에서, 위협 검출 모델 생성 컴퓨터(140) 및 하나 이상의 데이터 소스(110, 120)는 단일 장치를 포함할 수 있다. 위협 검출 모델 생성 컴퓨터(140) 기능은 분산 처리 또는 클라우드 기반 구조로 네트워크 장치들의 배열(constellation)에 의해 수행될 수 있다.
사용자는 여기에서 설명하는 임의의 실시형태에 따라서 위협 정보에 대한 정보를 보거나 및/또는 위협 정보를 관리하기 위해 감시 장치(170)(예를 들면, 퍼스널 컴퓨터("PC"), 태블릿 또는 스마트폰) 중의 하나를 통해 시스템(100)에 접근할 수 있다. 일부 경우에, 대화식 그래픽 디스플레이 인터페이스가 사용자로 하여금 소정 파라미터(예를 들면, 위협 검출 트리거 레벨)를 규정 및/또는 조정하게 하고, 및/또는 자동으로 생성된 권고 또는 위협 검출 모델 생성 컴퓨터(140) 및/또는 위협 검출 컴퓨터(150)로부터의 결과를 제공 또는 수신하게 한다.
예를 들면, 도 2는 도 1과 관련하여 설명한 시스템(100)의 일부 또는 모든 요소에 의해 수행될 수 있는 모델 생성 방법을 보인 것이다. 여기에서 설명하는 흐름도는 단계들에 대한 고정된 순서를 암시하지 않고, 본 발명의 실시형태는 실시 가능한 임의의 순서로 실시될 수 있다. 여기에서 설명하는 임의의 방법은 하드웨어, 소프트웨어, 또는 이 접근법들의 임의 조합에 의해 수행될 수 있다는 점에 주목한다. 예를 들면, 컴퓨터 판독가능 기억 매체는 기계에 의해 실행된 때 여기에서 설명하는 임의의 실시형태에 따른 방법을 수행하는 명령어들을 저장할 수 있다.
단계 S210에서, 시스템은 복수의 위협 노드 각각에 대하여 산업 자산 제어 시스템의 정상 동작을 표시하는 시간 경과에 따른 일련의 정상값들을 검색하고, 정상 피처 벡터들의 집합이 발생될 수 있다. 유사하게, 단계 S220에서, 시스템은 복수의 위협 노드 각각에 대하여 산업 자산 제어 시스템의 위협 동작을 표시하는 시간 경과에 따른 일련의 위협 값들을 검색하고, 위협 피처 벡터들의 집합이 발생될 수 있다. 일련의 정상 및/또는 위협 값들은 예를 들면 동력 터빈, 제트 엔진, 기관차, 자율 자동차 등과 관련된 산업 제어 시스템에서 실험 계획법(Design of Experiment, "DoE")을 구동함으로써 획득될 수 있다. 단계 S230에서, 결정 경계가 정상 피처 벡터들의 집합 및 위협 피처 벡터들의 집합에 기초하여 위협 검출 모델에 대하여 자동으로 계산되어 출력될 수 있다. 일부 실시형태에 따르면, 결정 경계는 선, 초평면, 위협 공간으로부터 정상 공간을 분리하는 비선형 경계, 및/또는 복수의 결정 경계와 관련될 수 있다. 더욱이, 결정 경계는 정상 공간, 위협 공간 및 퇴화한 동작 공간을 분리하는 멀티클래스(multi-class) 결정 경계를 포함할 수 있다. 또한, 위협 검출 모델은 결정 경계, 피처 맵핑 기능 및/또는 피처 파라미터와 관련될 수 있다.
그 다음에 결정 경계가 사이버 공격을 검출하기 위해 사용될 수 있다. 예를 들면, 도 3은 일부 실시형태에 따른 위협 경고 방법을 보인 도이다. 단계 S310에서, 시스템은 산업 자산 제어 시스템의 현재 동작을 표시하는 시간 경과에 따른 일련의 현재 값을 복수의 위협 노드로부터 수신할 수 있다. 단계 S320에서, 위협 검출 컴퓨터는 그 다음에 상기 수신된 일련의 현재 값에 기초하여 현재 피처 벡터의 집합을 발생할 수 있다. 단계 S330에서, 위협 검출 모델은 적당한 때(예를 들면, 사이버 공격이 검출된 때) 현재 피처 벡터의 집합 및 결정 경계에 기초하여 위협 경고 신호를 전송하기 위해 실행될 수 있다. 일부 실시형태에 따르면, 위협 경고 신호가 전송된 때 하나 이상의 응답 동작이 수행될 수 있다. 예를 들면, 시스템은 산업 자산 제어 시스템의 전부 또는 일부를 자동으로 셧다운할 수 있다(예를 들면, 검출된 사이버 공격을 더 조사하기 위해). 다른 예로서, 하나 이상의 파라미터가 자동으로 수정되고, 소프트웨어 애플리케이션이 데이터를 포착하거나 및/또는 가능한 원인을 격리시키기 위해 자동으로 트리거되는 등의 동작이 수행될 수 있다.
여기에서 설명하는 일부 실시형태는 시스템에 대한 단일 또는 복수의 적대적 동시 위협을 검출하기 위해 동조된 고충실도 장비 모델 및/또는 실제 "직업상" 데이터로부터 선험적으로 학습함으로써 제어 시스템의 물리학의 장점을 취할 수 있다. 더욱이, 일부 실시형태에 따르면, 모든 위협 노드 데이터는 진보된 피처 기반 방법을 이용하여 피처들로 변환될 수 있고, 제어 시스템의 실시간 동작을 거의 실시간으로 감시할 수 있다. 비정상은 감시된 데이터를 "비정상" 또는 분열(또는 퇴화)된 것으로서 분류함으로써 검출될 수 있다. 이 결정 경계는 동적 모델을 이용하여 구성될 수 있고 취약성의 조기 검출(및 비극적 고장의 잠재적 피하기)을 도와서 운영자가 제어 시스템을 시기 적절한 방식으로 정상 동작으로 복원하게 할 수 있다.
자동으로 추출되거나(예를 들면, 알고리즘에 의해) 및/또는 수동으로 입력되는 적당한 다차원 피처 벡터들의 집합은 저차원 벡터 공간에서 피측정 데이터의 양호한 예측자를 포함할 수 있다. 일부 실시형태에 따르면, 적당한 결정 경계는 DoE 기술과 관련된 과학적 원리를 통해 획득된 데이터 집합을 이용하여 다차원 공간에서 구성될 수 있다. 더욱이, 결정 경계를 발생하기 위해 복수의 알고리즘적 방법(예를 들면, 지원 벡터 기계 또는 기계 학습 기술)을 사용할 수 있다. 경계가 피측정 데이터(또는 고충실도 모델로부터 발생된 데이터)에 의해 구동될 수 있기 때문에, 규정된 경계 여유는 다차원 피처 공간에서 위협 구역을 생성하는데 도움을 줄 수 있다. 더욱이, 여유는 본래 동적이고, 장비의 과도 상태 또는 정상 상태 모델에 기초하여 적응될 수 있고, 및/또는 시스템을 유입 데이터 스트림으로부터 자기 학습 시스템으로 동작시키는 동안 획득될 수 있다. 일부 실시형태에 따르면, 감독형 학습이 결정 경계를 가르치기 위해 훈련 방법을 사용할 수 있다. 이 유형의 감독형 학습은 시스템 동작에 관한 운영자의 지식(예를 들면, 정상 동작과 비정상 동작 간의 차)을 고려할 수 있다.
도 4는 일부 실시형태에 따른 오프라인 경계 생성 처리(400)를 보인 도이다. 위협, 스푸핑(spoofing), 공격 벡터, 취약성 등(410)에 관한 정보는 모델(420)에 제공되고 및/또는 훈련 및 평가 데이터베이스(450)가 DoE 기술을 이용하여 생성될 수 있다. 모델(420)은 예를 들면 훈련 및 평가 데이터베이스(450)에 저장되는 피처 벡터(430)로 어셈블되는 피처들을 계산하기 위해 사용되는 위협 노드로부터의 데이터(430)를 시뮬레이트할 수 있다. 훈련 및 평가 데이터베이스(450) 내의 데이터는 그 다음에 정상 동작과 위협 동작을 구별하기 위한 결정 경계(460)를 계산하기 위해 사용될 수 있다. 일부 실시형태에 따르면, 처리(400)는 결정 경계를 개발하기 위한 하나 이상의 데이터 집합을 형성하기 위해 위협 노드 및 예상되는 위협 벡터의 우선순위화를 포함할 수 있다. 위협 벡터는 악의적 공격이 시스템을 위협/비정상 공간으로 가게 하는 도메인 레벨에서 생성될 수 있는 임계 입력에서의 비정상값이다. 또한, 모델(420)은 데이터 집합(예를 들면, "위협 노드로부터의 양 대 시스템에서 위협 조건의 레벨"로서 위협 공간을 묘사하는 집합)을 생성하기 위해 사용될 수 있는 고충실도 모델을 포함할 수 있다. 위협 노드로부터의 데이터(430)는 예를 들면 센서 노드, 액추에이터 노드 및/또는 컨트롤러 노드로부터 30-50초의 길이 동안 포착될 수 있는 양일 수 있다(그리고 유사한 데이터 집합이 "위협 노드로부터의 양 대 시스템에서 정상 동작 조건의 레벨"에 대하여 획득될 수 있다). 이 처리는 "위협 공간"과 "정상 공간"에 대한 데이터 집합을 발생할 것이다. 30-50초 길이의 양은 피처 벡터를 생성하기 위해 피처 엔지니어링을 이용하여 피처(440)을 계산하기 위해 사용될 수 있다. 이 피처 벡터들은 그 다음에 (사이버 공격과 같은 변칙을 검출하기 위해 사용되는) 위협 공간의 데이터 집합과 정상 공간의 데이터 집합을 분리하는 결정 경계를 획득하기 위해 사용될 수 있다.
공격이 다면적(예를 들면, 복수의 공격이 한번에 발생할 수 있다)일 수 있기 때문에, DoE 실험은 (예를 들면, 완전 요인(full factorial)법, 다구치 스크리닝법, 중심 합성법, 및/또는 박스-벤켄(Box-Behnken)법을 이용해서) 공격 공간을 포착하도록 설계될 수 있다. 모델을 이용할 수 없을 때, 이러한 DoE법은 실세계 자산 제어 시스템으로부터 데이터를 수집하기 위해 또한 사용될 수 있다. 실험은 예를 들면 동시 공격의 다른 조합을 이용하여 수행될 수 있다. 유사한 실험이 정상 동작 공간의 데이터 집합을 생성하기 위해 수행될 수 있다. 일부 실시형태에 따르면, 시스템은 위협 또는 공격과 다른 "퇴화" 또는 오류 동작을 검출할 수 있다. 이러한 결정은 퇴화 및/또는 오류 동작 공간의 데이터 집합의 사용을 요구할 수 있다.
도 5는 일부 실시형태에 따른 개별 자산 제어 시스템을 보호하는 실시간 처리(500)를 보인 것이다. 단계 510에서, 위협 노드로부터의 현재 데이터가 수집될 수 있다(예를 들면, 30-50초 동안의 배치(batch)으로). 단계 520에서, 시스템이 피처들을 계산하고 피처 벡터를 형성한다. 예를 들면, 시스템은 피처로서 주 컴포넌트 분석으로부터의 가중치를 이용할 수 있다. 단계 530에서, 변칙 검출 엔진이 결정을 하기 위해(및 필요하다면 경고 신호를 출력하기 위해) 피처 벡터의 위치를 결정 경계와 비교할 수 있다. 일부 실시형태에 따르면, 모델(또는 실제 시스템)로부터의 위협 노드 데이터는 피처들이 도메인 지식의 하이 레벨 표시이고 직관적으로 설명될 수 있기 때문에 피처들과 관련하여 표현될 수 있다. 더욱이, 실시형태는 벡터로서 표시되는 복수의 피처들을 취급할 수 있고, 복수의 감지된 양들 간의 상호작용은 "상호작용 피처"와 관련하여 표현될 수 있다.
주 컴포넌트(자연 기반 집합으로 구성된 가중치) 및 통계 피처(예를 들면, 시계열 신호의 평균, 분산, 왜도, 첨도, 최대치, 최소치, 최대치와 최소치의 위치, 독립 컴포넌트 등)를 포함한 많은 다른 유형의 피처가 여기에서 설명하는 실시형태에 따라 활용될 수 있다는 점에 주목한다. 다른 예는 딥 러닝(deep learning) 피처(예를 들면, 실험 및/또는 이력 데이터 집합을 수집함으로써 발생된 것) 및 주파수 도메인 피처(예를 들면, 퓨리에 또는 웨이브릿 변환의 계수와 관련된 것)를 포함한다. 실시형태는 또한 교차 상관, 자동 상관, 자기회귀의 순서, 이동 평균 모델, 모델의 파라미터, 신호의 도출 및 적분, 상승 시간, 세틀링 시간, 신경망 등과 같은 시계열 분석 피처와 관련될 수 있다. 또 다른 예는 논리적 피처("예" 및 "아니오"와 같은 의미 추상화에 의한 것), 지오그래픽/포지션 위치, 및 상호작용 피처(복수의 위협 노드 및 특정 위치로부터의 신호의 수학적 조합)를 포함한다. 실시형태는 임의 수의 피처들을 통합할 수 있고, 더 많은 피처들은 시스템이 물리적 처리 및 위협에 대하여 더 많이 학습하기 때문에 접근법을 더 정확하게 한다. 일부 실시형태에 따르면, 위협 노드로부터의 비유사 값은 유닛리스(unit-less) 공간으로 정상화될 수 있고, 이것은 출력과 출력의 강도를 비교하는 간단한 방법을 가능하게 한다.
도 6은 일부 실시형태에 따른 가스 터빈 엔진과 관련된 예(600)를 보인 것이다. 특히, 이 예는 액추에이터 및 컨트롤러 공격을 받기 쉬운 컨트롤러 및 액추에이터부(610), 플랜트 상태 공격을 받기 쉬운 플래트부(620), 및 위협 노드 공격을 받기 쉬운 위협 노드(630)를 포함한다. 단지 예로서, 위협 노드(630)는 터빈 배기, 주변 온도, 주변 압력, 입구 압력 강하, 콤프레서 입구 온도, 발전기 출력, 연료 압력, 샤프트 속도, 콤프레서 방전 압력 또는 온도, 배기가스 온도, 이미션(emission) 등과 관련된 실제 및/또는 가상 위협 노드를 포함할 수 있다. 액추에이터는 예를 들면 입구 가이드 밸브 커맨드, 블리드 히트(bleed heat) 밸브 커맨드, 연료 또는 정지 밸브 위치, 주변 압력, 입구 또는 배기 압력 델타, 특정 습도 또는 주변 온도, 연료 흐름, 또는 연료 온도와 관련될 수 있다. 가스 터빈 엔진 시스템에서의 정보를 감시함으로써, 위협 검출 플랫폼은 잠재적으로 다량의 손상을 야기할 수 있는 사이버 공격을 (예를 들면, 피처 벡터 및 결정 경계를 이용하여) 검출할 수 있다.
도 7은 일부 실시형태에 따른 위협 벡터 손상 디스플레이(700)를 보인 것이다. 특히, 디스플레이는 더 큰 값이 더 큰 위험을 나타내는 리스크 우선순위 번호(Risk Priority Number, "RPN"), 및 더 큰 값이 더 큰 손상(예를 들면, 금융, 유닛 가용성, 유닛 트립, 유닛 수명의 손실, 새로운 부품을 요구하는 자산 손상 등)과 관련된 손상 부류 값을 도표로 나타낸 그래프(710)를 포함한다. 적어도 하나의 위협 벡터가 도시된 각 그래프(710) 위치에서, 버블(720)은 얼마나 많은 위협이 그 값들과 관련되는지를 표시한다(더 큰 버블(720)은 더 큰 수의 위협과 관련된다). 일부 실시형태에 따르면, 도메인 지식 및/또는 감도 연구는 위협을 적절히 검출하기 위해 필요한 위협 노드의 수를 감소시키기 위해 사용될 수 있다. 더욱이, RPN 분석(예를 들면, 전문기술, 시간, 용이성, 손상 등에 기초하여 RPN을 계산하는 것)은 RPN 대 손상 부류와 같은 일부 기준에 기초하여 많은 위협을 추가로 재편성할 수 있다. 더욱이, 일부 실시형태는 상이한 손상 부류에 대하여 완전 요인 설계, 스크리닝 설계 및/또는 중앙 복합 설계의 조합을 별도로 구동함으로써 또는 모든 손상 부류를 단일 집합으로 조합함으로써 데이터 집합을 생성하기 위한 구조화 DoE법을 이용할 수 있다.
도 8은 일부 실시형태에 따른 글로벌 위협 보호 시스템(800)의 예를 보인 것이다. 특히, 시스템은 3개의 발전기(A, B, C)를 포함하고, 위협 노드로부터의 값(810)들의 배치는 소정 시구간(예를 들면, 30-50초) 동안 발생된 각각에 대하여 수집된다. 일부 실시형태에 따르면, 위협 노드로부터의 값(810)들의 배치는 시간적으로 겹친다. 위협 노드로부터의 값(810)들은 예를 들면 시간(t1, t2 등)에 의해 및 위협 노드(S1, S2 등)의 유형에 의해 배열된 매트릭스(820)에 저장될 수 있다. 피처 엔지니어링 컴포넌트(830)는 각 매트릭스(820) 내의 정보를 이용하여 3개의 발전기 각각에 대한 피처 벡터(840)를 생성한다(예를 들면, 발전기(C)에 대한 피처 벡터(840)는 FSC1, FSC2 등을 포함할 수 있다). 그 다음에, 3개의 피처 벡터(840)는 시스템(800)에 대한 단일 글로벌 피처 벡터(850)로 결합될 수 있다. 상호작용 피처(860)가 적용되고(예를 들면, A*B*C, A+B+C 등과 관련됨), 변칙 검출 엔진(870)이 그 결과를 결정 경계와 비교하고 적당할 때 위협 경고 신호를 출력할 수 있다.
도 9는 일부 실시형태에 따른 3차원 위협 노드 출력의 예(900)를 보인 것이다. 특히 그래프(910)는 위협 노드 출력("+")을 3차원, 예를 들면, 주 컴포넌트 피처("PCF"), 즉 w1, w2 및 w3와 관련된 차원으로 그린 것이다. 더욱이, 그래프(910)는 정상 동작 공간 결정 경계(920)를 포함한다. 비록 도 9에는 단일의 연속적인 경계(920)가 도시되어 있지만, 실시형태는 복수의 영역과 관련될 수 있다. PCF 정보는 감소된 차원의 가중치로 표시될 수 있다는 점에 주목한다. 예를 들면, 각 위협 노드로부터의 데이터는 저차원 피처(예를 들면, 가중치)로 변환될 수 있다. 일부 실시형태에 따르면, 위협 노드 데이터는 다음과 같이 정상화될 수 있다.
Figure 112017040448765-pat00001
상기 식에서 S는 "k"의 시간에 위협 노드 양을 나타낸다. 더욱이, 출력이 그 다음에 다음과 같이 기본 함수의 가중된 선형 조합으로서 표현될 수 있다.
Figure 112017040448765-pat00002
상기 식에서 S0는 모든 위협의 평균 위협 노드 출력이고, wj는 j번째 가중치이며, Ψj는 j번째 기본 벡터이다. 일부 실시형태에 따르면, 자연 기반 벡터는 위협 노드 데이터 매트릭스의 공분산을 이용하여 획득된다. 기본 벡터를 알면, 가중치는 하기 수학식을 이용하여 구할 수 있다(기본 집합들이 직교인 것으로 가정한다).
Figure 112017040448765-pat00003
가중치는 피처 벡터에서 사용하는 피처들의 예일 수 있음에 주목한다.
도 10은 일부 실시형태에 따른 결정 경계 디스플레이(1000)를 보인 것이다. 디스플레이(1000)는 예를 들면 가스 터빈 시뮬레이션 데이터에서 센서 노드로부터의 값과 같은 위협 노드 값으로부터 발생된 글로벌 피처와 관련된 단순 결정 경계(1010)(3차원으로 이것은 0.3 유닛의 반경을 가진 볼 또는 구이다)의 그래픽 표시를 포함한다. 일부 실시형태에 따르면, 다수의 위협 유효 런이 실행되고 그 결과(1020)가 디스플레이(1000)에 제공된다(예를 들면, 런 번호, 반경 값 및 "정상" 또는 "공격"의 결정을 포함함).
따라서, 위협 노드로부터의 관측된 양이 (예를 들면, 많은 피처들을 가진) 피처 벡터와 관련하여 표현된 때, 피처 벡터는 다차원 피처 공간의 점으로서 사용될 수 있다. 실시간 위협 검출 중에, 결정은 2개의 영역(또는 공간), 즉 비정상("공격") 공간과 정상 동작 공간 사이에서 공간을 분리하는 결정 경계와 관련하여 각 점이 있는 곳을 비교함으로써 이루어질 수 있다. 만일 점이 공격 공간 내에 있으면, 산업 자산 제어 시스템은 사이버 공격 동안과 같은 비정상 동작을 받는다. 만일 점이 정상 동작 공간 내에 있으면, 산업 자산 제어 시스템은 사이버 공격 동안과 같은 비정상 동작을 받지 않는다. 경계에 의한 적당한 결정 구역은 고충실도 모델로 여기에서 설명하는 데이터 집합을 이용하여 구성된다. 예를 들면, 지원 벡터 머신이 결정 경계를 구성하기 위해 커널 함수와 함께 사용될 수 있다. 일부 실시형태에 따르면, 딥 러닝 기술을 사용하여 결정 경계를 또한 구성할 수 있다.
일부 실시형태에 따르면, 시스템은 대신에 공간을 3개의 영역, 즉 (1) 공격 공간, (2) 정상 동작 공간, 및 (3) 퇴화 또는 오류 공간으로 나눌 수 있다. 이 유형의 "멀티클래스" 결정에 의해 문제점은 2개의 연결되지 않은 바이너리 문제의 집합으로 분해될 수 있고, "정상 대 공격" 및 "정상 대 퇴화" 데이터 집합으로 바이너리 지원 벡터 머신을 이용하여 해결될 수 있다.
여기에서 설명하는 실시형태는 임의 수의 다른 하드웨어 구성을 이용하여 구현될 수 있다. 예를 들면, 도 11은 도 1의 시스템(100)과 관련될 수 있는 산업 자산 제어 시스템 보호 플랫폼(1100)의 블록도이다. 산업 자산 제어 시스템 보호 플랫폼(1100)은 통신 네트워크(도 11에는 도시 생략됨)를 통해 통신하도록 구성된 통신 장치(1120)에 결합된 원칩 마이크로프로세서 형태의 하나 이상의 상업적으로 이용 가능한 중앙 처리 장치("CPU")와 같은 프로세서(1110)를 포함한다. 통신 장치(1120)는 예를 들면 하나 이상의 원격 위협 노드, 사용자 플랫폼, 디지털 트윈스 등과 통신하기 위해 사용될 수 있다. 산업 자산 제어 시스템 보호 플랫폼(1100)은 입력 장치(1140)(예를 들면, 적응 및/또는 예측 모델링 정보를 입력하기 위한 마우스 및/또는 키보드) 및/또는 출력 장치(1150)(예를 들면, 디스플레이를 연출하고, 경고를 제공하고, 권고를 전송하고 및/또는 보고서를 생성하기 위한 컴퓨터 모니터)를 또한 포함한다. 일부 실시형태에 따르면, 모바일 장치, 감시용 물리 시스템 및/또는 PC를 사용하여 산업 자산 제어 시스템 보호 플랫폼(1100)과 정보를 교환할 수 있다.
프로세서(1110)는 기억 장치(1130)와 또한 통신한다. 기억 장치(1130)는 자기 기억 장치(예를 들면, 하드디스크 드라이브), 광학 기억 장치, 모바일 전화기, 및/또는 반도체 메모리 장치의 조합을 포함한 임의의 적당한 정보 기억 장치를 포함할 수 있다. 기억 장치(1130)는 프로세서(1110)를 제어하기 위한 프로그램(1112) 및/또는 위협 검출 모델(1114)을 저장한다. 프로세서(1110)는 프로그램(1112, 1114)의 명령어를 실행하고, 이것에 의해 여기에서 설명하는 임의의 실시형태에 따라 동작한다. 예를 들면, 프로세서(1110)는 산업 자산 제어 시스템의 정상 동작을 표시하는 일련의 정상 위협 노드 값을 복수의 위협 노드 각각에 대하여 저장하는 정상 공간 데이터 소스에 접근할 수 있다. 프로세서(1110)는 또한 일련의 위협되는 위협 노드 값을 저장하는 위협 공간 데이터 소스에 접근할 수 있다. 프로세서(1110)는 정상 피처 벡터와 위협 피처 벡터의 집합을 발생하고 상기 정상 피처 벡터와 위협 피처 벡터에 기초하여 위협 검출 모델에 대한 결정 경계를 계산하고 출력할 수 있다. 그 다음에, 복수의 위협 노드가 자산 제어 시스템의 현재 동작을 표시하는 일련의 현재 위협 노드 값을 발생할 수 있다. 프로세서(1110)는 상기 일련의 현재 값을 수신하고, 현재 피처 벡터 집합을 발생하고, 위협 검출 모델을 실행하고, 상기 현재 피처 벡터 및 결정 경계에 기초하여 위협 경고 신호를 전송할 수 있다.
프로그램(1112, 1114)은 압축 형태, 컴파일되지 않은 형태 및/또는 암호화 형태로 저장될 수 있다. 프로그램(1112, 1114)은 주변 장치와 인터페이스하기 위해 프로세서(1110)에 의해 사용되는 운영체제, 클립보드 애플리케이션, 데이터베이스 관리 시스템 및/또는 장치 드라이버와 같은 다른 프로그램 요소를 또한 포함할 수 있다.
여기에서 사용되는 것처럼, 정보는 예를 들면 (i) 다른 장치로부터의 산업 자산 제어 시스템 보호 플랫폼(1100); 또는 (ii) 다른 소프트웨어 애플리케이션, 모듈 또는 임의의 다른 소스로부터의 산업 자산 제어 시스템 보호 플랫폼(1100) 내에 있는 소프트웨어 애플리케이션 또는 모듈에 의해 "수신"되거나 이들에게 "전송"될 수 있다.
일부 실시형태(예를 들면, 도 11에 도시된 실시형태)에서, 기억 장치(1130)는 위협 검출 데이터베이스(1200)를 또한 저장한다. 산업 자산 제어 시스템 보호 플랫폼(1100)과 관련하여 사용할 수 있는 데이터베이스의 일 예를 도 12와 관련하여 이제 자세히 설명한다. 여기에서 설명하는 데이터베이스는 단지 일 예이고 추가의 및/또는 다른 정보가 여기에 저장될 수 있다는 점에 주목한다. 더욱이, 각종 데이터베이스가 여기에서 설명하는 임의의 실시형태에 따라 분할되거나 결합될 수 있다.
도 12를 참조하면, 일부 실시형태에 따라 산업 자산 제어 시스템 보호 플랫폼(1100)에 저장될 수 있는 위협 검출 데이터베이스(1200)를 표시하는 표가 도시되어 있다. 표는 예를 들면 물리적 시스템과 관련된 위협 노드를 식별하는 엔트리들을 포함할 수 있다. 표는 각 엔트리에 대한 필드(1202, 1204, 1206, 1208, 1210, 1212)를 또한 규정할 수 있다. 필드(1202, 1204, 1206, 1208, 1210, 1212)는, 일부 실시형태에 따라서, 위협 노드 식별자(1202, 위협 노드 값(1204), 피처(1206), 피처 벡터(1208), 글로벌 피처 벡터(1210), 및 결정(1212)을 특정한다. 위협 검출 데이터베이스(1200)는 예를 들면 새로운 물리적 시스템이 감시 또는 모델링될 때, 위협 노드가 값들을 보고할 때, 동작 조건이 변화한 때 등에 생성 및 갱신될 수 있다.
위협 노드 식별자(1202)는 예를 들면 시간 경과에 따라 (예를 들면, 30-50 초의 데이터 배치로) 일련의 위협 노드 값(1204)을 검출하는 산업 자산 제어 시스템 내의 위협 노드를 식별하는 독특한 영숫자 코드일 수 있다. 위협 노드 값(1204)은 피처(1206) 및 피처 벡터(1208)를 생성하기 위해 사용될 수 있다. 그 다음에 복수의 위협 노드 식별자(1202)와 관련된 피처 벡터(1210)를 이용하여 전체 산업 자산 제어 시스템에 대한 전체 글로벌 피처 벡터(1210)를 생성할 수 있다. 그 다음에, 글로벌 피처 벡터(1210)는 결정(1212)(예를 들면, "공격" 또는 "정상" 표시)을 발생하기 위해 결정 경계와 비교될 수 있다.
따라서, 실시형태는 위협 노드로부터의 실시간 신호를 이용하여 멀티클래스 비정상 동작 표시의 수동 검출을 할 수 있다. 더욱이, 검출 프레임워크는 복수의 지오로케이션 내의 각종 시스템(즉, 가스 터빈, 증기 터빈, 풍력 터빈, 항공 엔진, 기관차 엔진, 전력망 등)에 발명의 확산을 촉진하는 도구의 개발을 가능하게 한다. 일부 실시형태에 따르면, (복수 유형의 장비 및 시스템을 통하여) 이 기술에 의해 이용 가능한 분산형 검출 시스템은 다면적 공격을 검출하는데 도움이 되는 좌표 데이터의 수집을 가능하게 할 것이다. 여기에서 설명하는 피처 기반 접근법은 연장된 피처 벡터를 가능하게 하고 및/또는 데이터의 새로운 학습 및 다른 소스들이 이용 가능일 때 새로운 피처를 기존 벡터에 통합할 수 있다. 그 결과, 실시형태는 시스템이 그들의 특성에 대하여 더 많이 학습하기 때문에 비교적 넓은 범위의 사이버 위협(예를 들면, 스텔스, 리플레이, 코버트, 인젝션 공격 등)을 검출할 수 있다. 실시형태는 또한 시스템이 유용한 핵심적인 새로운 피처들을 통합하고 과다한 것 또는 덜 중요한 것을 제거하기 때문에 위양성률(false positive rate)을 또한 감소시킬 수 있다. 여기에서 설명하는 검출 시스템은 공격이 좌절되어(또는 공격의 효과가 둔화되어) 장비에 대한 손상을 감소시키도록 산업 자산 제어 시스템 운영자에게 조기 경보를 제공할 수 있다.
이하에서는 본 발명의 각종 추가적인 실시형태를 설명한다. 이 실시형태들은 모든 가능한 실시형태의 정의를 구성하지 않고, 당업자라면 본 발명의 많은 다른 실시형태에 적용할 수 있다는 것을 이해할 것이다. 또한, 비록 이하의 실시형태가 명확성을 위해 간단히 설명하지만, 당업자라면 이러한 및 다른 실시형태 및 응용을 수용하도록 전술한 장치 및 방법에 필요에 따라 임의의 변경을 가할 수 있을 것이다.
비록 특정 하드웨어 및 데이터 구성을 여기에서 설명하였지만, 본 발명의 실시형태에 따라 임의 수의 다른 구성이 제공될 수 있다는 점에 주목한다(예를 들면, 여기에서 설명하는 데이터베이스와 관련된 정보 중의 일부가 외부 시스템에 결합 또는 저장될 수 있다). 예를 들면, 비록 일부 실시형태가 가스 터빈 발전기에 초점이 맞추어졌지만, 여기에서 설명하는 임의의 실시형태는 댐, 전력망, 군용 장치 등과 같은 다른 유형의 자산에 적용될 수 있다.
지금까지 본 발명을 설명 목적으로 몇 가지 실시형태와 관련해서만 설명하였다. 당업자라면 본 발명이 여기에서 설명한 실시형태로 제한되지 않고, 첨부된 특허 청구범위의 정신 및 범위에 의해서만 제한되는 수정예 및 변형예와 함께 실시될 수 있다는 것을 상기 설명으로부터 인식할 것이다.
100: 시스템
110: 정상 공간 데이터 소스
120: 위협 공간 데이터 소스
130: 위협 노드(센서)
140: 위협 검출 모델 생성 컴퓨터
150: 위협 검출 컴퓨터
155: 위협 검출 모델
170: 원격 단말
400: 오프라인 프로세스
410: 위협/스푸프/공격 벡터
420: 모델
430: 위협 노드로부터의 값
440: 피처 계산 및 피처 벡터로 어셈블
450: 훈련 및 평가 데이터베이스
460: 계산된 결정 경계
600: 가스 터빈 엔진과 관련된 예
610: 컨트롤러 및 액추에이터
620: 가스 터빈 엔진
630: 센서
700: 위협 벡터 손상 디스플레이
710: 그래프
720: 버블
800: 글로벌 위협 보호 시스템
810: 값들의 배치(batch)
820: 매트릭스
830: 피처 엔지니어링 컴포넌트
840: 피처 벡터
850: 글로벌 피처 벡터
860: 상호작용 피처
870: 변칙 검출 엔진
900: 3차원 센서 출력
910: 그래프
920: 결정 경계
1000: 결정 경계 디스플레이
1010: 단순 결정 경계
1020: 결과
1100: 산업 자산 제어 시스템 보호 플랫폼
1110: 프로세서
1112: 프로그램
1114: 위협 검출 모델
1120: 통신 장치
1130: 기억 장치
1140: 입력 장치
1150: 출력 장치
1200: 위협 검출 데이터베이스
1202: 위협 노드 식별자
1204: 위협 노드 값
1206: 피처
1208: 피처 벡터
1210: 글로벌 피처 벡터
1212: 결정

Claims (10)

  1. 산업 자산 제어 시스템을 보호하는 시스템(100)에 있어서,
    상기 산업 자산 제어 시스템의 현재 동작을 표시하는 시간 경과에 따른 일련의 현재 위협 노드 값을 각각 발생시키는 복수의 위협 노드(130);
    상기 복수의 위협 노드(130)에 결합된 위협 검출 컴퓨터(150)로서,
    (i) 상기 일련의 현재 위협 노드 값을 수신하고 현재 피처 벡터들의 집합을 발생시키고,
    (ii) 정상 피처 벡터의 집합과 위협 피처 벡터의 집합을 이용하여 생성된 적어도 하나의 결정 경계를 가진 위협 검출 모델(155)에 접근하고,
    (iii) 상기 위협 검출 모델(155)을 실행하고 상기 현재 피처 벡터들의 집합 및 상기 적어도 하나의 결정 경계에 기초하여 위협 경고 신호를 전송
    하도록 구성된 것인, 위협 검출 컴퓨터(150);
    상기 산업 자산 제어 시스템의 정상 동작을 표시하는 시간 경과에 따른 일련의 정상 위협 노드 값을 상기 복수의 위협 노드(130) 각각에 대하여 저장하는 정상 공간 데이터 소스(110);
    상기 산업 자산 제어 시스템의 위협 동작을 표시하는 시간 경과에 따른 일련의 위협된 위협 노드 값을 상기 복수의 위협 노드(130) 각각에 대하여 저장하는 위협 공간 데이터 소스(120); 및
    상기 정상 공간 데이터 소스(110) 및 상기 위협 공간 데이터 소스(120)에 결합된 위협 검출 모델 생성 컴퓨터(140)로서,
    (i) 상기 일련의 정상 위협 노드 값을 수신하고 정상 피처 벡터들의 집합을 발생시키고,
    (ii) 상기 일련의 위협된 위협 노드 값을 수신하고 위협 피처 벡터들의 집합을 발생시키고,
    (iii) 상기 정상 피처 벡터들의 집합 및 상기 위협 피처 벡터들의 집합에 기초하여 상기 위협 검출 모델(155)에 대한 적어도 하나의 결정 경계를 자동으로 계산하여 출력
    하도록 구성된 것인, 위협 검출 모델 생성 컴퓨터(140)
    를 포함한, 산업 자산 제어 시스템을 보호하는 시스템.
  2. 제1항에 있어서,
    상기 정상 피처 벡터 집합과 상기 위협 피처 벡터 집합 중 적어도 하나는 (i) 주 컴포넌트, (ii) 통계 피처, (iii) 딥 러닝 피처, (iv) 주파수 도메인 피처, (v) 시계열 분석 피처, (vi) 논리적 피처, (vii) 지오그래픽 또는 포지션 기반 위치, 및 (viii) 상호작용 피처 중 적어도 하나와 관련된 것인, 산업 자산 제어 시스템을 보호하는 시스템.
  3. 제1항에 있어서,
    상기 적어도 하나의 결정 경계를 포함한 상기 위협 검출 모델(155)은 (i) 상기 산업 자산 제어 시스템의 과도 상태 모델, (ii) 상기 산업 자산 제어 시스템의 정상 상태 모델, 및 (iii) 유입되는 데이터 스트림으로부터의 자기 학습 시스템에서와 같이 시스템을 동작시키는 동안 획득된 데이터 집합 중 적어도 하나에 기초하여 동적으로 적응된 것인, 산업 자산 제어 시스템을 보호하는 시스템.
  4. 제1항에 있어서,
    상기 위협 검출 모델(155)은 (i) 액추에이터 공격, (ii) 컨트롤러 공격, (iii) 위협 노드 공격, (iv) 플랜트 상태 공격, (v) 스푸핑(spoofing), (vi) 금융 손상, (vii) 유닛 가용성, (viii) 유닛 트립, (ix) 유닛 수명의 손실, 및 (x) 적어도 하나의 새로운 부품을 요구하는 자산 손상 중 적어도 하나와 관련된 것인, 산업 자산 제어 시스템을 보호하는 시스템.
  5. 제4항에 있어서,
    상기 복수의 위협 노드(130) 각각으로부터의 정보는 정상화되고 출력이 기본 함수의 가중된 선형 조합으로서 표현되는 것인, 산업 자산 제어 시스템을 보호하는 시스템.
  6. 제5항에 있어서,
    자연 기반 벡터(natural basis vector)가 위협 노드 데이터 매트릭스의 공분산을 이용하여 획득되는 것인, 산업 자산 제어 시스템을 보호하는 시스템.
  7. 제1항에 있어서,
    상기 위협 노드(130)는 (i) 임계 센서 노드, (ii) 액추에이터 노드, (iii) 컨트롤러 노드, 및 (iv) 키 소프트웨어 노드 중 적어도 하나와 관련된 것인, 산업 자산 제어 시스템을 보호하는 시스템.
  8. 제1항에 있어서,
    상기 적어도 하나의 결정 경계를 포함한 상기 위협 검출 모델(155)은 (i) 선, (ii) 하이퍼플레인(hyperplane), 및 (iii) 정상 공간과 위협 공간을 분리하는 비선형 경계 중 적어도 하나와 관련된 것인, 산업 자산 제어 시스템을 보호하는 시스템.
  9. 제1항에 있어서,
    상기 적어도 하나의 결정 경계를 포함한 상기 위협 검출 모델(155)은 정상 공간, 위협 공간 및 퇴화 동작 공간을 분리하는 멀티클래스(multi-class) 결정 경계인 것인, 산업 자산 제어 시스템을 보호하는 시스템.
  10. 삭제
KR1020170052917A 2016-04-25 2017-04-25 산업 자산 제어 시스템의 도메인 레벨 위협 검출 KR102325133B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/137,311 2016-04-25
US15/137,311 US9998487B2 (en) 2016-04-25 2016-04-25 Domain level threat detection for industrial asset control system

Publications (2)

Publication Number Publication Date
KR20170121717A KR20170121717A (ko) 2017-11-02
KR102325133B1 true KR102325133B1 (ko) 2021-11-15

Family

ID=58701395

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170052917A KR102325133B1 (ko) 2016-04-25 2017-04-25 산업 자산 제어 시스템의 도메인 레벨 위협 검출

Country Status (5)

Country Link
US (1) US9998487B2 (ko)
EP (1) EP3239884B1 (ko)
JP (1) JP6941965B2 (ko)
KR (1) KR102325133B1 (ko)
CN (1) CN107390567B (ko)

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10156841B2 (en) 2015-12-31 2018-12-18 General Electric Company Identity management and device enrollment in a cloud service
US10142363B2 (en) * 2016-06-23 2018-11-27 Bank Of America Corporation System for monitoring and addressing events based on triplet metric analysis
US10542016B2 (en) * 2016-08-31 2020-01-21 Sap Se Location enrichment in enterprise threat detection
US10630705B2 (en) 2016-09-23 2020-04-21 Sap Se Real-time push API for log events in enterprise threat detection
US10204226B2 (en) * 2016-12-07 2019-02-12 General Electric Company Feature and boundary tuning for threat detection in industrial asset control system
US10530792B2 (en) 2016-12-15 2020-01-07 Sap Se Using frequency analysis in enterprise threat detection to detect intrusions in a computer system
US10530794B2 (en) 2017-06-30 2020-01-07 Sap Se Pattern creation in enterprise threat detection
US10986111B2 (en) 2017-12-19 2021-04-20 Sap Se Displaying a series of events along a time axis in enterprise threat detection
US10681064B2 (en) 2017-12-19 2020-06-09 Sap Se Analysis of complex relationships among information technology security-relevant entities using a network graph
US10841322B2 (en) * 2018-01-18 2020-11-17 General Electric Company Decision system and method for separating faults from attacks
US10819725B2 (en) 2018-01-18 2020-10-27 General Electric Company Reliable cyber-threat detection in rapidly changing environments
US10728282B2 (en) 2018-01-19 2020-07-28 General Electric Company Dynamic concurrent learning method to neutralize cyber attacks and faults for industrial asset monitoring nodes
US10805329B2 (en) 2018-01-19 2020-10-13 General Electric Company Autonomous reconfigurable virtual sensing system for cyber-attack neutralization
US10931687B2 (en) * 2018-02-20 2021-02-23 General Electric Company Cyber-attack detection, localization, and neutralization for unmanned aerial vehicles
JP7219542B2 (ja) * 2018-03-06 2023-02-08 一般財団法人電力中央研究所 電力系統制御装置、電力系統制御システム、電力系統制御方法及び電力系統制御プログラム
US11436537B2 (en) 2018-03-09 2022-09-06 Raytheon Company Machine learning technique selection and improvement
US11340603B2 (en) 2019-04-11 2022-05-24 Raytheon Company Behavior monitoring using convolutional data modeling
US11321462B2 (en) * 2018-04-10 2022-05-03 Raytheon Company Device behavior anomaly detection
US11507847B2 (en) 2019-07-25 2022-11-22 Raytheon Company Gene expression programming
KR102113218B1 (ko) * 2018-03-16 2020-05-20 울산과학기술원 시계열 데이터의 분석 및 예측을 위한 통합적인 딥러닝 시스템
EP3542970A1 (en) * 2018-03-20 2019-09-25 Siemens Aktiengesellschaft Method, device and system for replaying movement of robot
US11381599B2 (en) * 2018-04-10 2022-07-05 Raytheon Company Cyber chaff using spatial voting
US11132923B2 (en) 2018-04-10 2021-09-28 Raytheon Company Encryption using spatial voting
CN111971533B (zh) * 2018-04-24 2022-05-31 三菱电机株式会社 攻击检测装置、计算机能读取的记录介质和攻击检测方法
US10931702B2 (en) * 2018-04-24 2021-02-23 Cyberfortress, Inc. Vulnerability profiling based on time series analysis of data streams
WO2019207653A1 (ja) * 2018-04-24 2019-10-31 三菱電機株式会社 攻撃検知装置、攻撃検知方法及び攻撃検知プログラム
US11113395B2 (en) * 2018-05-24 2021-09-07 General Electric Company System and method for anomaly and cyber-threat detection in a wind turbine
JP7071876B2 (ja) * 2018-05-25 2022-05-19 株式会社東芝 制御システム、および異常要因判定方法
US11159540B2 (en) 2018-09-27 2021-10-26 General Electric Company Dynamic physical watermarking for attack detection in cyber-physical systems
US11627151B2 (en) * 2018-10-31 2023-04-11 General Electric Company Industrial asset cyber-attack detection algorithm verification using secure, distributed ledger
US20220006824A1 (en) * 2018-11-22 2022-01-06 Nec Corporation Information processing apparatus, control method, and program
US11005870B2 (en) * 2018-11-27 2021-05-11 General Electric Company Framework to develop cyber-physical system behavior-based monitoring
KR20200063889A (ko) 2018-11-28 2020-06-05 서울대학교산학협력단 디지털 트윈을 이용한 플랜트 운영 방법, 시스템 및 컴퓨터 프로그램
KR102199695B1 (ko) 2018-12-27 2021-01-07 경희대학교 산학협력단 가중 거리 자기 연상 양방향 커널 회귀를 이용한 온라인 신호 데이터 검증 장치 및 방법
US11227418B2 (en) * 2018-12-28 2022-01-18 General Electric Company Systems and methods for deep learning-based image reconstruction
US10937465B2 (en) 2019-02-21 2021-03-02 Raytheon Company Anomaly detection with reduced memory overhead
US11341235B2 (en) 2019-02-21 2022-05-24 Raytheon Company Anomaly detection with adaptive auto grouping
JP7282195B2 (ja) * 2019-03-05 2023-05-26 シーメンス インダストリー ソフトウェア インコーポレイテッド 組み込みソフトウェアアプリケーションのための機械学習ベースの異常検出
JP7243326B2 (ja) * 2019-03-15 2023-03-22 オムロン株式会社 コントローラシステム
US11048261B1 (en) 2019-04-05 2021-06-29 State Farm Mutual Automobile Insurance Company Systems and methods for evaluating autonomous vehicle software interactions for proposed trips
US11321972B1 (en) 2019-04-05 2022-05-03 State Farm Mutual Automobile Insurance Company Systems and methods for detecting software interactions for autonomous vehicles within changing environmental conditions
US11343266B2 (en) 2019-06-10 2022-05-24 General Electric Company Self-certified security for assured cyber-physical systems
CN110278203B (zh) * 2019-06-18 2021-11-23 浙江工业大学 一种基于单分类支持向量机的燃气scada系统中间人攻击检测方法
CN110454290B (zh) * 2019-07-02 2021-01-29 北京航空航天大学 一种基于数字孪生技术的汽车发动机管控方法
US11562065B2 (en) 2019-08-22 2023-01-24 International Business Machines Corporation Data breach detection
KR102286814B1 (ko) 2020-02-04 2021-08-09 경희대학교 산학협력단 가중 거리 자기 연상 양방향 커널 회귀에서 최적 시간 커널을 서치하는 장치 및 그 방법
US11757919B2 (en) 2020-04-20 2023-09-12 Kovrr Risk Modeling Ltd. System and method for catastrophic event modeling
CN112486139A (zh) * 2020-11-12 2021-03-12 顶象科技有限公司 基于虚拟补丁的工业控制系统保护方法、装置、设备及介质
CN112769815B (zh) * 2021-01-04 2023-04-18 北京蓝军网安科技发展有限责任公司 一种智能工控安全监控与防护方法和系统
US11790081B2 (en) 2021-04-14 2023-10-17 General Electric Company Systems and methods for controlling an industrial asset in the presence of a cyber-attack

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130104236A1 (en) * 2011-10-14 2013-04-25 Albeado, Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002090267A (ja) * 2000-09-21 2002-03-27 Mitsui Eng & Shipbuild Co Ltd 異常診断方法
US7225343B1 (en) 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
US20070289013A1 (en) 2006-06-08 2007-12-13 Keng Leng Albert Lim Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms
CN101252441B (zh) * 2008-02-20 2010-06-02 深圳市永达电子股份有限公司 基于可设定信息安全目标的获得性安全保障方法及系统
JP5689333B2 (ja) * 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
CN102103677A (zh) * 2011-03-09 2011-06-22 天津大学 威胁模型驱动的软件安全评估方法
NL2007180C2 (en) * 2011-07-26 2013-01-29 Security Matters B V Method and system for classifying a protocol message in a data communication network.
CN102594904A (zh) * 2012-03-04 2012-07-18 浙江大学 对无线传感器网络异常事件进行分布式检测的方法
US10098569B2 (en) * 2012-03-29 2018-10-16 The University Of Queensland Method and apparatus for processing patient sounds
US20130275282A1 (en) 2012-04-17 2013-10-17 Microsoft Corporation Anonymous billing
US9046886B2 (en) 2012-04-30 2015-06-02 General Electric Company System and method for logging security events for an industrial control system
WO2014144857A2 (en) 2013-03-15 2014-09-18 Power Fingerprinting Inc. Systems, methods, and apparatus to enhance the integrity assessment when using power fingerprinting systems for computer-based systems
US9245116B2 (en) 2013-03-21 2016-01-26 General Electric Company Systems and methods for remote monitoring, security, diagnostics, and prognostics
KR101977731B1 (ko) 2013-03-29 2019-05-14 한국전자통신연구원 제어 시스템의 이상 징후 탐지 장치 및 방법
US9264444B2 (en) * 2013-05-21 2016-02-16 Rapid7, Llc Systems and methods for determining an objective security assessment for a network of assets
US9436652B2 (en) 2013-06-01 2016-09-06 General Electric Company Honeyport active network security
US10284570B2 (en) 2013-07-24 2019-05-07 Wells Fargo Bank, National Association System and method to detect threats to computer based devices and systems
US9912733B2 (en) 2014-07-31 2018-03-06 General Electric Company System and method for maintaining the health of a control system
GB2529150B (en) 2014-08-04 2022-03-30 Darktrace Ltd Cyber security
CN104657915B (zh) * 2015-03-10 2018-12-18 全球能源互联网研究院 一种动态自适应的电力系统终端安全威胁评估方法
US10015188B2 (en) * 2015-08-20 2018-07-03 Cyberx Israel Ltd. Method for mitigation of cyber attacks on industrial control systems
CN105407090B (zh) * 2015-10-30 2019-01-04 中国船舶重工集团公司第七一六研究所 支持数据处理的传感原数据安全保护方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130104236A1 (en) * 2011-10-14 2013-04-25 Albeado, Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security

Also Published As

Publication number Publication date
US9998487B2 (en) 2018-06-12
JP6941965B2 (ja) 2021-09-29
CN107390567B (zh) 2021-06-15
CN107390567A (zh) 2017-11-24
EP3239884A1 (en) 2017-11-01
EP3239884B1 (en) 2019-06-12
KR20170121717A (ko) 2017-11-02
JP2017199365A (ja) 2017-11-02
US20170310690A1 (en) 2017-10-26

Similar Documents

Publication Publication Date Title
KR102325133B1 (ko) 산업 자산 제어 시스템의 도메인 레벨 위협 검출
JP7071034B2 (ja) 産業資産制御システムにおける脅威検出のための特徴および境界の調整
CN107491057B (zh) 保护工业资产控制系统的系统及方法及计算机可读介质
US10671060B2 (en) Data-driven model construction for industrial asset decision boundary classification
US10678912B2 (en) Dynamic normalization of monitoring node data for threat detection in industrial asset control system
US11005873B2 (en) Multi-mode boundary selection for threat detection in industrial asset control system
US10841322B2 (en) Decision system and method for separating faults from attacks
US10826922B2 (en) Using virtual sensors to accommodate industrial asset control systems during cyber attacks
US10452845B2 (en) Generic framework to detect cyber threats in electric power grid
US11252169B2 (en) Intelligent data augmentation for supervised anomaly detection associated with a cyber-physical system
US20190219994A1 (en) Feature extractions to model large-scale complex control systems
US10686806B2 (en) Multi-class decision system for categorizing industrial asset attack and fault types
US11503045B2 (en) Scalable hierarchical abnormality localization in cyber-physical systems
US11170314B2 (en) Detection and protection against mode switching attacks in cyber-physical systems
US11658988B2 (en) Dynamic physical watermarking for attack detection in cyber-physical systems
US20220357729A1 (en) Systems and methods for global cyber-attack or fault detection model
WO2023023412A2 (en) Vulnerability-driven cyberattack protection system and method for industrial assets

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right