[发明专利]用于保护工业资产控制系统的系统以及方法

说明书

本发明提供一种用于保护工业资产控制系统的系统以及方法。正常空间数据源为多个威胁节点中的每个威胁节点存储表示工业资产控制系统的正常操作的一系列正常值，而受威胁空间数据源存储一系列受威胁值。模型创建计算机可生成正常特征向量和受威胁特征向量的集合。所述计算机还可基于所述正常特征向量和所述受威胁特征向量来为威胁检测模型计算并输出至少一个判定边界。随后，所述多个威胁节点可从表示所述资产控制系统的当前操作的威胁节点生成一系列当前值。威胁检测计算机可从威胁节点接收所述一系列当前值，生成一组当前特征向量，执行所述威胁检测模型以及基于所述当前特征向量和所述至少一个判定边界来发送威胁警报信号。

技术领域

本发明总体上涉及工业资产控制系统(industrial asset control system)，更具体地特别涉及用于保护工业资产控制系统的系统以及方法，及对应的域级威胁检测(domain level threat detection)。

背景技术

操作物理系统的工业控制系统(例如，与动力涡轮机、喷气发动机、机车、自动驾驶车辆(autonomous vehicle)等相关联)越来越多地连接到互联网。因此，这些控制系统越来越容易遭受诸如网络攻击(例如，与计算机病毒、恶意软件等相关联)等威胁，这些威胁可能中断(disrupt)发电和配电、损坏发动机、造成车辆故障等。当前的方法主要考虑信息技术(“IT”(Information Technology)，例如存储、检索、传输、操纵数据的计算机)和操作技术(“OT”(Operation Technology)，例如直接监控装置和通信总线接口)中的威胁检测。从2010年震网(Stuxnet)攻击中可以看出，网络威胁仍然可以穿透这些保护层并达到物理“域”。这种攻击可能降低控制系统的性能，并且可能导致设备(a plant)的完全关机或灾难性损坏。当前，在网络事件期间没有方法可用于在传感器、控制器和致动器(actuators)所在的域层处自动检测威胁。在一些情况下，多个攻击可能同时发生(例如，未授权方可能同时恶意更改控制系统装置内的多个致动器、传感器或参数)。应该注意，例如在域层发生的隐秘(stealthy)攻击的网络攻击的一些不明显后果(subtle consequences)可能不容易检测到(例如，当检测算法中仅使用一个威胁节点，例如传感器节点时)。用于保护工业控制系统的现有方法，例如故障和诊断技术，可能不足以解决(address)这些威胁，尤其是多个攻击同时发生时，因为所述多个错误/故障诊断技术并非设计成以自动方式检测隐秘攻击。因此，需要以自动和准确的方式保护工业资产控制系统免受网络威胁，即使当攻击穿过(percolate)IT和OT层并直接损害控制系统时。

发明内容

根据一些实施例，用于保护工业资产控制系统免受网络威胁的系统可包括来自威胁节点(也称为“威胁点”)的正常空间。威胁节点可以是来自用于监控网络威胁或异常事件的发生的关键传感器(critical sensors)、控制器节点、致动器和/或关键软件节点(keysoftware nodes)的信号。所述正常空间数据源可为多个威胁节点(例如，传感器节点、致动器节点、控制器节点、软件节点等)中的每个威胁节点，存储数据以及表示工业资产控制系统的正常操作的来自威胁节点的一系列正常值(也称为“数据流”)。类似地，受威胁空间数据源可存储来自威胁节点的一系列受威胁值。受威胁值可视作异常空间数据。通常，控制系统不在所述异常空间中操作，因为这种操作可能导致损坏、整体关机和/或产生设备部件的灾难性损坏或缓慢降级。模型创建计算机可使用来自威胁节点的值生成正常和受威胁特征向量的集合(sets of normal and threatened feature vectors)。特征可包括从一个或多个测量数据流提取的各个数量。所述计算机还可基于所述正常特征向量和受威胁特征向量来计算并输出用于威胁检测模型的判定边界。然后，所述多个这些值可从威胁节点生成表示所述资产控制系统的当前操作的一系列当前值。威胁检测计算机可从威胁节点接收所述系列的当前值、从这些当前值生成当前特征向量集合、执行所述威胁检测模型以及基于所述当前特征向量和所述判定边界来发送威胁警报信号。