[发明专利]用于工业控制系统入侵检测的混合无监督机器学习框架

权利要求书

1.一种保护工业系统免受网络攻击的方法，所述方法包括：

从多个传感器收集初始操作数据，每个传感器位于所述工业系统内，并且能够操作以用于监视所述工业系统的操作参数；

分析所述初始操作数据，以开发程序，所述程序包括：时间序列数据库、基于聚类的数据库、以及相关数据库，所述时间序列数据库包括每个操作参数的预期操作范围，所述基于聚类的数据库包括具有相似性的操作参数的聚类，所述相关数据库包括在其初始操作数据中显示相关的成对的操作参数；

在计算机中运行包括所述时间序列数据库、所述基于聚类的数据库和所述相关数据库的所述程序，所述程序能够操作以用于接收当前的操作数据，并且从所述时间序列数据库、所述基于聚类的数据库和所述相关数据库中的每一个的角度，来分析所述当前的操作数据；以及

响应于对所述当前的操作数据的分析触发警报，所述当前的操作数据指示预期的范围外部的操作参数、预期的聚类的改变以及相关的变化中的至少一个。

2.根据权利要求1所述的方法，其中，所述工业系统包括多个边缘设备，每个边缘设备被布置为从所述多个传感器中的一部分收集数据，每个边缘设备能够操作以用于与所述程序进行通信，以从所述多个传感器中的其相应的部分递送所述当前的操作数据。

3.根据权利要求2所述的方法，其中，每个边缘设备包括所述时间序列数据库，并且每个边缘设备进行操作以分析由所述边缘设备接收到的当前的操作数据，以确定任何测量的操作参数是否在预期的范围外部。

4.根据权利要求3所述的方法，其中，每个边缘设备包括所述相关数据库，并且每个边缘设备进行操作以分析由所述边缘设备接收到的当前的操作数据，以确定任何一对测量的操作数据是否偏离所述相关数据库中的已知的相关。

5.根据权利要求4所述的方法，其中，每个边缘设备包括所述基于聚类的数据库，并且每个边缘设备进行操作以分析由所述边缘设备接收到的当前的操作数据，以确定任何测量的数据是否偏离所述基于聚类的数据库中的已知的聚类。

6.根据权利要求1所述的方法，其中，触发警报包括：响应于检测到在所述预期的范围外部的所述操作参数，指示最偏离的操作参数和偏离的时间帧。

7.根据权利要求1所述的方法，其中，触发警报包括：响应于检测到所述预期的聚类的改变，指示最偏离的操作参数。

8.根据权利要求1所述的方法，其中，触发警报包括：响应于检测到所述相关的变化，指示最偏离的操作参数对。

9.根据权利要求1所述的方法，其中，已知所述初始操作数据没有任何受网络攻击影响的数据。

10.根据权利要求1所述的方法，还包括用于存储检测到的安全事件的相关数据库。

11.根据权利要求10所述的方法，还包括：将所述相关数据库中的安全事件与检测到的警报相关，以确定检测到的异常是否是与安全攻击有关、而不是与过程控制异常有关。

12.一种利用处理器可执行的指令编码的非暂时性计算机可读介质，当由至少一个处理器执行时，所述指令使所述至少一个处理器执行根据权利要求1-9中任一项所述的保护工业系统免受网络攻击的方法。