本發明提供一種用于保護工業資產控制系統的系統以及方法。正常空間數據源為多個威脅節點中的每個威脅節點存儲表示工業資產控制系統的正常操作的一系列正常值，而受威脅空間數據源存儲一系列受威脅值。模型創建計算機可生成正常特征向量和受威脅特征向量的集合。所述計算機還可基于所述正常特征向量和所述受威脅特征向量來為威脅檢測模型計算并輸出至少一個判定邊界。隨后，所述多個威脅節點可從表示所述資產控制系統的當前操作的威脅節點生成一系列當前值。威脅檢測計算機可從威脅節點接收所述一系列當前值，生成一組當前特征向量，執行所述威脅檢測模型以及基于所述當前特征向量和所述至少一個判定邊界來發送威脅警報信號。

技術領域

本發明總體上涉及工業資產控制系統(industrial asset control system)，更具體地特別涉及用于保護工業資產控制系統的系統以及方法，及對應的域級威脅檢測(domain level threat detection)。

背景技術

操作物理系統的工業控制系統(例如，與動力渦輪機、噴氣發動機、機車、自動駕駛車輛(autonomous vehicle)等相關聯)越來越多地連接到互聯網。因此，這些控制系統越來越容易遭受諸如網絡攻擊(例如，與計算機病毒、惡意軟件等相關聯)等威脅，這些威脅可能中斷(disrupt)發電和配電、損壞發動機、造成車輛故障等。當前的方法主要考慮信息技術(“IT”(Information Technology)，例如存儲、檢索、傳輸、操縱數據的計算機)和操作技術(“OT”(Operation Technology)，例如直接監控裝置和通信總線接口)中的威脅檢測。從2010年震網(Stuxnet)攻擊中可以看出，網絡威脅仍然可以穿透這些保護層并達到物理“域”。這種攻擊可能降低控制系統的性能，并且可能導致設備(a plant)的完全關機或災難性損壞。當前，在網絡事件期間沒有方法可用于在傳感器、控制器和致動器(actuators)所在的域層處自動檢測威脅。在一些情況下，多個攻擊可能同時發生(例如，未授權方可能同時惡意更改控制系統裝置內的多個致動器、傳感器或參數)。應該注意，例如在域層發生的隱秘(stealthy)攻擊的網絡攻擊的一些不明顯后果(subtle consequences)可能不容易檢測到(例如，當檢測算法中僅使用一個威脅節點，例如傳感器節點時)。用于保護工業控制系統的現有方法，例如故障和診斷技術，可能不足以解決(address)這些威脅，尤其是多個攻擊同時發生時，因為所述多個錯誤/故障診斷技術并非設計成以自動方式檢測隱秘攻擊。因此，需要以自動和準確的方式保護工業資產控制系統免受網絡威脅，即使當攻擊穿過(percolate)IT和OT層并直接損害控制系統時。

發明內容

根據一些實施例，用于保護工業資產控制系統免受網絡威脅的系統可包括來自威脅節點(也稱為“威脅點”)的正常空間。威脅節點可以是來自用于監控網絡威脅或異常事件的發生的關鍵傳感器(critical sensors)、控制器節點、致動器和/或關鍵軟件節點(keysoftware nodes)的信號。所述正常空間數據源可為多個威脅節點(例如，傳感器節點、致動器節點、控制器節點、軟件節點等)中的每個威脅節點，存儲數據以及表示工業資產控制系統的正常操作的來自威脅節點的一系列正常值(也稱為“數據流”)。類似地，受威脅空間數據源可存儲來自威脅節點的一系列受威脅值。受威脅值可視作異常空間數據。通常，控制系統不在所述異常空間中操作，因為這種操作可能導致損壞、整體關機和/或產生設備部件的災難性損壞或緩慢降級。模型創建計算機可使用來自威脅節點的值生成正常和受威脅特征向量的集合(sets of normal and threatened feature vectors)。特征可包括從一個或多個測量數據流提取的各個數量。所述計算機還可基于所述正常特征向量和受威脅特征向量來計算并輸出用于威脅檢測模型的判定邊界。然后，所述多個這些值可從威脅節點生成表示所述資產控制系統的當前操作的一系列當前值。威脅檢測計算機可從威脅節點接收所述系列的當前值、從這些當前值生成當前特征向量集合、執行所述威脅檢測模型以及基于所述當前特征向量和所述判定邊界來發送威脅警報信號。