本申請根據(jù)35U.S.C.119(e)要求在2013年11月1日遞交的美國臨時申請61/898,487的權(quán)益,其公開內(nèi)容通過引用并入本文。
技術(shù)領(lǐng)域
本發(fā)明的實施方案涉及保護(hù)基礎(chǔ)建設(shè)設(shè)備免受網(wǎng)絡(luò)攻擊的方法。
背景
如發(fā)電站、水處理廠、油氣管道分配系統(tǒng)的現(xiàn)代化的基礎(chǔ)建設(shè)裝置以下統(tǒng)稱為基礎(chǔ)設(shè)施,其是生產(chǎn)、控制和/或分配對于現(xiàn)代社會的正常運(yùn)作所必需的大量資源的綜合設(shè)施。每個基礎(chǔ)設(shè)施體現(xiàn)了復(fù)雜的環(huán)境,通常包括人類操作員的網(wǎng)絡(luò)和集成的自動化設(shè)備系統(tǒng)、監(jiān)控系統(tǒng)、以及響應(yīng)于由監(jiān)控系統(tǒng)和人類操作員提供的數(shù)據(jù)來協(xié)同控制設(shè)備的計算機(jī)網(wǎng)絡(luò)。計算機(jī)、監(jiān)控系統(tǒng)、設(shè)備和操作員經(jīng)由可能包括有線和無線通信設(shè)備二者的通信網(wǎng)絡(luò)進(jìn)行通信。計算機(jī)和它們執(zhí)行的指令集及它們訪問的信息系統(tǒng)、監(jiān)控系統(tǒng)以及通信網(wǎng)絡(luò)通常被稱為監(jiān)測控制和數(shù)據(jù)采集(SCADA)系統(tǒng)。SCADA通過人類操作員經(jīng)由人機(jī)接口(HMI)設(shè)備(如,控制臺、鍵盤和語音識別控制設(shè)備)來訪問。
單個給定的基礎(chǔ)設(shè)施可為可能具有相對有限的地理范圍的設(shè)施服務(wù)區(qū)域(比如小城鎮(zhèn)或城鎮(zhèn)的一部分)中的人口提供服務(wù)和資源,,或者為相對擴(kuò)大的地理區(qū)域(比如大城市、城市群體或州)中的人口提供服務(wù)和資源。通常,基礎(chǔ)設(shè)施被整合以合作并且為非常大的地理區(qū)域中的人口提供服務(wù)和資源,該區(qū)域擴(kuò)展到超出合作的基礎(chǔ)設(shè)施中的單一的服務(wù)區(qū)域。
例如,盡管單個發(fā)電站可以給全部鄰近的或全市的人口提供電力,但是多個發(fā)電站可以被整合以形成電網(wǎng),其為包括國家中的一個州或多于一個州的國家區(qū)域中的人口提供電力。并且多個發(fā)電站可以被整合以提供相互依賴的發(fā)電站的電網(wǎng),其為國家或擴(kuò)展到超出單個國家的邊界的地理區(qū)域提供電力。例如,被稱為魁北克互聯(lián)(Quebec Interconnection)的電網(wǎng)為加拿大的魁北克省和美國東北部提供電力。西部互聯(lián)和東部互聯(lián)電網(wǎng)分別為美國西部的州和美國東南部的州提供電力。印度電力系統(tǒng)被分為5個大的區(qū)域電網(wǎng)。一個大的電網(wǎng)為歐洲大陸的大部分提供電力。
各種發(fā)電站和電網(wǎng)集中、使用和控制了巨大價值的物質(zhì)和經(jīng)濟(jì)資產(chǎn),并且對其運(yùn)行或資產(chǎn)的破壞和/或損害能夠?qū)е聦液腿蚪?jīng)濟(jì)的實質(zhì)性的經(jīng)濟(jì)損失,導(dǎo)致人身傷害,并甚至導(dǎo)致生命損失。例如,被稱為2003大停電的電力損失使加拿大東北部和美國的大約5500萬的人陷入停電狀態(tài)持續(xù)大約4個小時?!岸痰摹?個小時的大停電估計損失大約60億美元。
大停電是由俄亥俄州的第一能源公司(FirstEnergy Corporation)的報警系統(tǒng)里的軟件錯誤引起的。在農(nóng)村地區(qū)的超載的輸電線下垂并撞上樹木導(dǎo)致了使下垂的線路故障的閃絡(luò)之后,該錯誤阻止了提出的通知操作員重新分配輸電線路功率的警報。故障線路導(dǎo)致級聯(lián)故障,其中其他輸電線路接連地超載、迅速退出服務(wù),并且產(chǎn)生了大停電。
盡管2003大停電是意外的,但是諸如發(fā)電站和電網(wǎng)的電力設(shè)施都暴露在由網(wǎng)絡(luò)攻擊導(dǎo)致的各種復(fù)雜程度和嚴(yán)重程度的故意損壞中。網(wǎng)絡(luò)攻擊試圖通過利用SCADA系統(tǒng)的易損性造成對電力設(shè)施的損壞,SCADA系統(tǒng)控制設(shè)施到各種類型的可能損壞它們的操作的攻擊。網(wǎng)絡(luò)攻擊可針對破解計算機(jī)指令集、指令集的執(zhí)行、通過執(zhí)行指令集所處理的數(shù)據(jù)和/或計算機(jī)如何在其本身之間、與它們控制的設(shè)備和/或外界進(jìn)行通信。網(wǎng)絡(luò)攻擊的例子包括:拒絕服務(wù);來自操作人員的虛假請求或虛假信息的提交或?qū)Σ僮魅藛T提交虛假請求或虛假信息;輸入偽造數(shù)據(jù)到數(shù)據(jù)庫和/或設(shè)備;設(shè)施設(shè)備的未經(jīng)授權(quán)的操作;通訊中斷;以及指令集被震網(wǎng)(stuxnet)計算機(jī)蠕蟲這樣的惡意軟件誤用。
為了保護(hù)設(shè)施,操作員實施各項安全程序并安裝被設(shè)計成防止和/或減輕網(wǎng)絡(luò)攻擊的后果的各種技術(shù)。但是,用于制作網(wǎng)絡(luò)攻擊的對于個人、組織和國家經(jīng)常容易使用的設(shè)施和技術(shù)和財力資源的復(fù)雜性允許不同形式和危害性的網(wǎng)絡(luò)攻擊的無數(shù)的可能的場景。因此,為電力設(shè)施配置適當(dāng)?shù)谋Wo(hù)是困難的任務(wù),其典型地需要尋址安全問題的大配置文件并且一般需要重復(fù)審查。盡管部署的安全程序和技術(shù)似乎對于尋址相對低水平的、小規(guī)模的網(wǎng)絡(luò)攻擊的固定的相對有效的,設(shè)施經(jīng)常暴露于該網(wǎng)絡(luò)攻擊,但是如果不是不可能的話,例如預(yù)測它們的高效低頻(HILF)的“黑天鵝”網(wǎng)絡(luò)事件也是困難的。
概述
本發(fā)明的實施方案的一方面涉及提供用于防止和/或減輕對基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊的后果的開發(fā)軟件和硬件技術(shù)、協(xié)議和系統(tǒng)(以下通常稱為“網(wǎng)絡(luò)防護(hù)”技術(shù))。在本發(fā)明的實施方案中,基礎(chǔ)設(shè)施包括電力設(shè)施。可選地,該方法幫助提高網(wǎng)絡(luò)攻擊的預(yù)測。
本發(fā)明的實施方案一方面涉及提供包括電力設(shè)施的操作模型的仿真設(shè)施,其模擬“真實的”電力設(shè)施的操作,在其中人類與仿真設(shè)施進(jìn)行交互以生成網(wǎng)絡(luò)防護(hù)技術(shù)??杀环Q為模型設(shè)施的操作模型包括與在真實的電力設(shè)施中的設(shè)備相對應(yīng)且類似地操作的真實的和/或虛擬的設(shè)備。
本發(fā)明的實施方案的一方面涉及配置“交互格式”,根據(jù)交互格式人類在仿真設(shè)施里交互和與仿真設(shè)施交互。
在本發(fā)明的實施方案的交互格式中,第一和第二團(tuán)隊的人員被提供有訪問仿真設(shè)施的權(quán)限來生成網(wǎng)絡(luò)防護(hù)技術(shù)。下文也被稱為“仿真攻擊代理”的第一團(tuán)隊的人類被指示嘗試對模型設(shè)施發(fā)起網(wǎng)絡(luò)攻擊來破壞模型設(shè)施的運(yùn)行。下文也被稱為“仿真防御代理”的第二團(tuán)隊的人員被指示保護(hù)模型設(shè)施免受網(wǎng)絡(luò)攻擊并且保持模型設(shè)施的正常運(yùn)行。
本發(fā)明的實施方案的一方面涉及監(jiān)控模擬攻擊和防御代理在彼此相互競爭和實施和/或創(chuàng)建網(wǎng)絡(luò)戰(zhàn)略來分別破壞和阻止破壞模型設(shè)施的運(yùn)行的活動,以獲取該活動的取證記錄。如下面所討論的,取證記錄可被處理來為模型設(shè)施和實際設(shè)施提供網(wǎng)絡(luò)防護(hù)技術(shù)。
取證記錄可包括由仿真攻擊代理對模型設(shè)施發(fā)起攻擊所采取的活動以及由防御代理在保護(hù)模型設(shè)施免受攻擊中所采取的防御措施以及攻擊和防御措施的結(jié)果的按時間順序排列的歷史。監(jiān)控仿真攻擊和防御代理的活動可包括監(jiān)控代理的HMI活動。監(jiān)控HMI活動可選地包括鍵盤監(jiān)聽以追隨仿真代理的鍵盤的使用以發(fā)起網(wǎng)絡(luò)攻擊和/或從事并使用防御性計算機(jī)指令集以防止網(wǎng)絡(luò)攻擊。監(jiān)控HMI活動可包括監(jiān)控仿真代理和計算機(jī)視頻顯示的交互,可選擇地通過采用眼追蹤技術(shù)來追蹤代理的視線方向,并確定仿真代理的注視點(diǎn)和注視點(diǎn)在顯示的特征之間的運(yùn)動。可選地,監(jiān)控仿真代理的活動包括監(jiān)控代理的生理特征以提供對于例如關(guān)注度、壓力和/或警惕性的水平的指示。
本發(fā)明的實施方案的一個方面涉及處理在取證記錄里的數(shù)據(jù),以提供網(wǎng)絡(luò)攻擊的識別、警報和響應(yīng)系統(tǒng)和/或協(xié)議以用于保護(hù)模型設(shè)施免受由仿真攻擊代理發(fā)起的網(wǎng)絡(luò)攻擊,以及可選地,以保護(hù)真正的電力設(shè)施免受由真正的攻擊代理發(fā)起的網(wǎng)絡(luò)攻擊。提供系統(tǒng)和/或協(xié)議可選地包括處理取證數(shù)據(jù)以生成數(shù)據(jù)庫,下文也被稱為網(wǎng)絡(luò)攻擊與防御數(shù)據(jù)庫(CYBAD數(shù)據(jù)庫),其包括識別和表征網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御的數(shù)據(jù)。
在本發(fā)明的實施方案中,網(wǎng)絡(luò)攻擊通過特征向量在CYBAD里被識別和表征。網(wǎng)絡(luò)攻擊特征向量的分量可選地編碼用于測量對應(yīng)于真實的電力設(shè)施里的設(shè)備的模型電力設(shè)施中的真實和虛擬設(shè)備的性能的參數(shù)的值??蛇x地,特征向量的分量包例如用于傳輸延遲的值和/或用于在發(fā)電廠的SCADA系統(tǒng)中的特定節(jié)點(diǎn)列表之間傳輸?shù)臄?shù)據(jù)的丟包率測量、一組渦輪的溫度,和/或斷路器過電流額定值的最近設(shè)置的時間??蛇x地,網(wǎng)絡(luò)攻擊特征向量對以網(wǎng)絡(luò)攻擊為特征的攻擊樹進(jìn)行編碼。
在本發(fā)明的實施方案中,至少一個狀態(tài)特征向量被定義用于模型設(shè)施并且可選地用于真實的電力設(shè)施。最后的一個狀態(tài)特征向量包括可用于識別和指示模型或真實的設(shè)施遭受網(wǎng)絡(luò)攻擊的概率的分量并且該分量被重復(fù)地評估??蛇x地,在給定時間的攻擊的概率的識別響應(yīng)于在給定時間的狀態(tài)特征向量與包括在CYBAD數(shù)據(jù)庫中的特征向量的標(biāo)量積來確定。
在本發(fā)明的實施方案中,用于防止和/或最小化網(wǎng)絡(luò)攻擊的影響的防御策略被識別并在CYBAD數(shù)據(jù)庫里以“防御特征向量”表征。對于給定的網(wǎng)絡(luò)攻擊的對策可響應(yīng)于網(wǎng)絡(luò)攻擊特征向量和防御特征向量的標(biāo)量積的值來確定。
在本發(fā)明的實施方案中,系統(tǒng)和/或協(xié)議通過在包括在CYBAD數(shù)據(jù)庫中的數(shù)據(jù)訓(xùn)練過的神經(jīng)網(wǎng)絡(luò)被配置并被執(zhí)行。
因此,根據(jù)本發(fā)明的實施方案所提供的網(wǎng)絡(luò)仿真設(shè)施包括:真實的基礎(chǔ)設(shè)施的操作的物理模型設(shè)施,其至少部分地模擬真實的基礎(chǔ)設(shè)施的操作并且包括相應(yīng)于真實的基礎(chǔ)設(shè)施中的設(shè)備且模擬該設(shè)備的操作的設(shè)備;攻擊工具,以供人員對模型設(shè)施發(fā)起網(wǎng)絡(luò)攻擊所使用;操作和管理工具,以供人員在操作和保護(hù)模型設(shè)施免受使用攻擊工具發(fā)起的網(wǎng)絡(luò)攻擊所使用;以及控制器,其具有存儲器,并且可操作以獲取對模型設(shè)施發(fā)起的網(wǎng)絡(luò)攻擊的取證記錄和保護(hù)模型設(shè)施免受網(wǎng)絡(luò)攻擊的防御策略并將其存儲在存儲器中。
可選地,在模型設(shè)施中的設(shè)備包括物理設(shè)備??商娲鼗蚋郊拥兀谀P驮O(shè)施中的設(shè)備可包括虛擬設(shè)備。
在本發(fā)明的實施方案中,網(wǎng)絡(luò)仿真設(shè)施包括采集器代理,其獲取與在模型設(shè)施中的設(shè)備的運(yùn)行相關(guān)的或指示該運(yùn)行的操作狀態(tài)數(shù)據(jù)。可選地,控制器接收操作狀態(tài)數(shù)據(jù)并在存儲器中存儲操作狀態(tài)數(shù)據(jù)作為取證記錄的一部分。網(wǎng)絡(luò)仿真設(shè)施可選地包括模型制造模塊,其處理在取證記錄中的數(shù)據(jù)以生成包括分量的操作狀態(tài)向量,該分量具有響應(yīng)于由多個采集器代理中的每一個提供的操作狀態(tài)數(shù)據(jù)的值。
在本發(fā)明的實施方案中,網(wǎng)絡(luò)仿真設(shè)施包括人類活動傳感器,其獲取表示人員使用攻擊工具以對模型設(shè)施發(fā)起網(wǎng)絡(luò)攻擊的活動,或者人員使用操作和管理工具來操作并保護(hù)模型設(shè)施免受網(wǎng)絡(luò)攻擊的活動的數(shù)據(jù)??蛇x地,控制器接收由人類活動傳感器獲取的數(shù)據(jù)并將接收到數(shù)據(jù)作為取證記錄的一部分存儲在存儲器中。在本發(fā)明的實施方案中,網(wǎng)絡(luò)仿真設(shè)施包括模型制造模塊,其處理在取證記錄中的數(shù)據(jù)以生成具有分量的操作狀態(tài)向量,該分量具有響應(yīng)于由多個人類活動傳感器中的每一個提供的數(shù)據(jù)的值。
在本發(fā)明的實施方案中,模型制造模塊定義響應(yīng)于操作狀態(tài)向量的至少一個分類器,其用于確定在給定時間處的操作狀態(tài)向量是否指示模型設(shè)施受到網(wǎng)絡(luò)攻擊??蛇x地,至少一個分類器包括支持向量分類器??商娲鼗蚋郊拥?,至少一個分類器包括神經(jīng)網(wǎng)絡(luò)。
根據(jù)本發(fā)明的實施方案還提供了真實的基礎(chǔ)設(shè)施,其被配置為根據(jù)本發(fā)明的實施方案使用由網(wǎng)絡(luò)仿真設(shè)施提供的取證記錄以保護(hù)真實的設(shè)施免受網(wǎng)絡(luò)攻擊。
根據(jù)本發(fā)明的實施方案還提供了真實的基礎(chǔ)設(shè)施,其被配置為根據(jù)本發(fā)明的實施方案使用分類器來確定真實的設(shè)施是否受到網(wǎng)絡(luò)攻擊。
在本發(fā)明的實施方案中,真實的基礎(chǔ)設(shè)施包括發(fā)電站。
根據(jù)本發(fā)明的實施方案還提供了一種方法,該方法開發(fā)保護(hù)基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)攻擊的策略,該方法包括:響應(yīng)于人員使用在網(wǎng)絡(luò)仿真設(shè)施中的工具來對網(wǎng)絡(luò)仿真設(shè)施的模型基礎(chǔ)設(shè)施發(fā)起網(wǎng)絡(luò)攻擊以及防御網(wǎng)絡(luò)攻擊,根據(jù)本發(fā)明的實施方案,獲取由網(wǎng)絡(luò)仿真設(shè)施提供的取證記錄;以及處理在取證記錄中的數(shù)據(jù)以生成保護(hù)基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)攻擊的防御策略。
在討論中,除非另外的聲明,修飾本發(fā)明的實施方案的特征或多個特征的條件或關(guān)系特征的比如“實質(zhì)上”和“約”的形容詞被理解成意味著條件或特征被定義在容差內(nèi),其對于目標(biāo)申請的實施方案的操作是可接受的。除非另外的表明,在說明書和權(quán)利要求書中的單詞“或”被認(rèn)為是包括的“或”而不是排外的或,并且指示它連接的項目中的至少一個或任何組合。
本概述被提供來以簡化形式引入選擇的概念,其在下面在詳細(xì)描述中進(jìn)行進(jìn)一步描述。本概述并非旨在標(biāo)識出要求保護(hù)的主題的關(guān)鍵特征或必要特征,亦非旨在用于限定要求保護(hù)的主題的范圍。
附圖簡述
本發(fā)明的實施例的非限制性實例在下面參考隨附的附圖進(jìn)行描述,其在此段落之后列出。在相同特征出現(xiàn)的所有附圖中,出現(xiàn)在多于一幅附圖里的相同特征通常用相同的標(biāo)記來標(biāo)注。在圖中標(biāo)注代表本發(fā)明的實施方案的給定特征的圖標(biāo)的標(biāo)記可用于引用給定特征。在圖中示出的特征的尺寸為描述的方便和清晰起見而被選擇并且沒必要按比例示出。
圖1A示意性示出了根據(jù)本發(fā)明的實施方案的包括發(fā)電站和配電網(wǎng)以及對應(yīng)于發(fā)電站和電網(wǎng)的仿真設(shè)施的基礎(chǔ)設(shè)施;以及
圖1B示意性示出了圖1A中所示的發(fā)電站和配電網(wǎng)的擴(kuò)大的圖像。
詳細(xì)描述
根據(jù)本發(fā)明的實施方案,圖1A示意性示出了真實的電力設(shè)施200和包括模擬真實的設(shè)施的模型設(shè)施22的仿真設(shè)施20。通過例子,電力設(shè)施200包括連接到電網(wǎng)300的一部分的發(fā)電站200,電網(wǎng)300包括電力傳輸電纜302以將電能輸送到工業(yè)和國內(nèi)消費(fèi)者304。發(fā)電站200例如假定為燃煤型發(fā)電站,其包括在圖1A中用圖標(biāo)代表的或示意性示出的發(fā)電和控制設(shè)備。蒸汽發(fā)電站的組件是眾所周知的并且僅僅燃煤型發(fā)電站可能包括的設(shè)備中的一些在圖中被示出,并且示出的設(shè)備中僅有一些被明確地討論。圖1B示意性示出了發(fā)電站200的擴(kuò)大圖像,其中更清楚地看到發(fā)電站的結(jié)構(gòu)細(xì)節(jié)。
發(fā)電站200包括蒸汽生成綜合設(shè)施202,其在爐膛204中燃燒通過給煤系統(tǒng)240輸送的煤以生成用于驅(qū)動渦輪系統(tǒng)260的蒸汽。渦輪系統(tǒng)260使機(jī)電發(fā)電機(jī)270旋轉(zhuǎn)以產(chǎn)生電力。在機(jī)電發(fā)電機(jī)270的輸出電壓處的電力被傳輸?shù)缴龎鹤儔浩?72,升壓變壓器272將電力的電壓提高到用于經(jīng)由配電網(wǎng)300傳輸?shù)较M(fèi)者304的適合的高電壓。降壓變壓器(未示出)將經(jīng)由傳輸電纜302傳輸?shù)母邏弘娏D(zhuǎn)變成適于國內(nèi)和工業(yè)消費(fèi)者304使用的電壓處的電力。
給煤系統(tǒng)240可包括將煤244運(yùn)送到粉碎機(jī)246的運(yùn)煤機(jī)242,粉碎機(jī)246生產(chǎn)和輸送粉碎的煤和空氣的混合物到爐膛204,其中混合物被燃燒以產(chǎn)生用于使保存在鍋的鍋筒206中的水轉(zhuǎn)變成蒸汽的熱。在爐膛204中的煤和空氣的混合物的燃燒由“火焰”208示意性地表示。在鍋爐鍋筒206中生成的蒸汽從蒸汽生成綜合設(shè)施202經(jīng)由在圖1A中有數(shù)字210和211標(biāo)注的通常被稱為“過熱器”和“回?zé)崞鳌钡臒峤粨Q線圈而循環(huán)到渦輪系統(tǒng)260。
渦輪系統(tǒng)260通常包括高壓渦輪261、中壓渦輪262和低壓渦輪263。驅(qū)動高壓渦輪261的蒸汽從蒸汽生成綜合設(shè)施202經(jīng)由過熱器210進(jìn)行循環(huán)。離開高壓渦輪261的蒸汽回到蒸汽生成綜合設(shè)施202,其中蒸汽在回?zé)崞?11中在爐膛204中被再加熱,并且在經(jīng)過回?zé)崞骱蟊惶峁┙o中壓渦輪262。離開中壓渦輪262的蒸汽由中壓渦輪供給以驅(qū)動低壓渦輪263。離開低壓渦輪263的蒸汽經(jīng)由冷凝器212和被稱為“節(jié)約裝置”的熱交換線圈214回到鍋爐鍋筒206。由冷卻塔216為冷凝器212提供冷卻并且來自在爐膛204中的煤的燃燒的廢氣在經(jīng)過沉淀器221后作為煙218通過煙囪220被釋放到空氣中,沉淀器221可從廢氣中除去微粒物質(zhì)。
發(fā)電廠200的操作和發(fā)電廠中的設(shè)備的控制通過由計算機(jī)圖標(biāo)250示意性表示的SCADA系統(tǒng)來協(xié)調(diào)。通過直接或間接耦合到設(shè)備的可被稱為“采集器代理”的傳感器獲取數(shù)據(jù),數(shù)據(jù)在下文中也被稱為操作狀態(tài)數(shù)據(jù),相關(guān)于和/或指示在發(fā)電廠200中的設(shè)備零件(pieces of equipment)和/或支持來自設(shè)備零件和至設(shè)備零件的通信的通信網(wǎng)絡(luò)的運(yùn)行。采集器代理將它們獲取的操作狀態(tài)數(shù)據(jù)傳輸?shù)接糜谔幚淼腟CADA 250以監(jiān)控和控制發(fā)電廠200的設(shè)備和操作的運(yùn)行。在圖1A中,具有指示它們分別被耦合的設(shè)備的指針的采集器代理由標(biāo)注框252示意性地表示。
應(yīng)該注意的是,雖然諸如采集器代理252的采集器代理未示出為用于配電網(wǎng),但是用于監(jiān)控配電網(wǎng)300的運(yùn)行的采集器代理通常分布為遍及配電網(wǎng)以獲取指示電網(wǎng)組件的運(yùn)行狀態(tài)的操作狀態(tài)數(shù)據(jù)。例如,采集器代理可以用于監(jiān)控傳輸電纜302的當(dāng)前負(fù)載和溫度以及降壓變壓器的輸入和輸出電壓。配電網(wǎng)通常也包括或具有SCADA系統(tǒng)的訪問權(quán)限,其接收對于與電網(wǎng)組件的操作相關(guān)的參數(shù)由采集器代理獲取的操作狀態(tài)數(shù)據(jù),并且響應(yīng)于接收到的數(shù)據(jù)控制組件。在以下的討論中,假定配電網(wǎng)300具有對SCADA 250的訪問權(quán)限并由SCADA 250控制。
根據(jù)本發(fā)明的實施方案,仿真設(shè)施20可選地包括發(fā)電站200的物理模型30和配電網(wǎng)300的物理模型40。模型發(fā)電站30模擬發(fā)電站200的操作并由發(fā)電廠200的簡化圖像來示意性地表示。類似地,模型配電網(wǎng)40模擬配電網(wǎng)300和可選的消費(fèi)者304(在下文中也被統(tǒng)稱為配電網(wǎng)300)的操作,并且由配電網(wǎng)300和消費(fèi)者304的簡化圖像示意性地表示。
模型發(fā)電站30包括在圖1A中共同地由數(shù)字31指示的物理和可選地虛擬設(shè)備,其對應(yīng)于包含在發(fā)電站200中的物理設(shè)備。模型發(fā)電站30還包括SCADA系統(tǒng)32,其能以與SCADA 250控制和監(jiān)控在發(fā)電站200中的設(shè)備類似的方式監(jiān)控并控制設(shè)備31??蛇x設(shè)備31包括對應(yīng)于在發(fā)電站200中的采集器代理252的采集器代理33,并獲取與監(jiān)控和控制在設(shè)備31中的裝置的運(yùn)行的有關(guān)的操作狀態(tài)數(shù)據(jù)并提供給SCADA 32。值得注意的是,雖然模型發(fā)電站30由發(fā)電站200的縮圖表示,但是它不一定包括用于包括在發(fā)電廠200中的每個設(shè)備零件的物理和/或虛擬設(shè)備實體,并且可以僅僅模擬發(fā)電站200的一部分或由發(fā)電站200執(zhí)行的功能的一部分。
物理設(shè)備31可包括與包括在發(fā)電站200中的相應(yīng)設(shè)備相同的設(shè)備,以及配置為模擬包括在發(fā)電站200中的相應(yīng)設(shè)備、與相應(yīng)設(shè)備不同的物理設(shè)備。虛擬設(shè)備包括構(gòu)成實體的軟件,其可以包括由軟件配置的物理設(shè)備,其模擬包括在發(fā)電站200中的相應(yīng)設(shè)備。對應(yīng)于發(fā)電站200中的物理設(shè)備的給定零件的給定的虛擬設(shè)備實體實質(zhì)上運(yùn)行就好像其是相應(yīng)物理實體。給定的虛擬設(shè)備實體與模型30中的其他真實和/或虛擬設(shè)備通信和協(xié)作,類似于在發(fā)電站200中的相應(yīng)設(shè)備與在發(fā)電站200中的其他設(shè)備通信和協(xié)作的方式。給定的虛擬設(shè)備實體可以通過SCADA 32被訪問,類似于在發(fā)電廠200中的設(shè)備可通過SCADA 250被訪問的方式。
類似于包括對應(yīng)于包括在發(fā)電站200中的設(shè)備的物理設(shè)備和可選虛擬設(shè)備的模型發(fā)電站30,模型配電網(wǎng)40包括對應(yīng)于包括在配電網(wǎng)300中的物理設(shè)備的物理和可選的虛擬設(shè)備。并且,雖然模型配電網(wǎng)40由配電網(wǎng)300的縮圖表示,但是它不一定需要包括對于被包括在配電網(wǎng)300中的設(shè)備的每件零件的物理和/或虛擬設(shè)備實體。模型配電網(wǎng)可以僅模擬配電網(wǎng)300的一部分或者由配電網(wǎng)300執(zhí)行的功能的一部分??蛇x地,模型配電網(wǎng)40包括對應(yīng)于配電網(wǎng)300中的采集代理(未示出)的采集代理(未示出),并向SCADA 32提供與模型配電網(wǎng)40的組件的操作相關(guān)的操作狀態(tài)數(shù)據(jù)。
仿真設(shè)備20包括集中式或分布式計算機(jī)或計算機(jī)系統(tǒng),在下文由計算機(jī)圖標(biāo)50表示的控制器可選地用于配置SCADA 32,并且響應(yīng)于從發(fā)電站200和配電網(wǎng)300的實際操作接收的數(shù)據(jù)來更新模型30和40的操作。根據(jù)本發(fā)明的實施方案,來自發(fā)電站200的數(shù)據(jù)經(jīng)由安全的單向通信信道53來接收,單向通信信道53傳輸來自發(fā)電站200和配電網(wǎng)300的數(shù)據(jù),但不向發(fā)電站和/或配電網(wǎng)傳輸數(shù)據(jù)。數(shù)據(jù)經(jīng)由通過雙箭頭的塊箭頭55表示的通信信道或網(wǎng)絡(luò)在控制器50和模型30和/或40之間進(jìn)行傳輸。在本發(fā)明的實施方案中,由控制器50生成或獲取的數(shù)據(jù)可以通過書面文件或被認(rèn)為是對抗網(wǎng)絡(luò)攻擊足夠安全的其它通信信道提供給發(fā)電站200和/或配電網(wǎng)300使用。通過書面文件或“足夠安全的”信道提供數(shù)據(jù)由虛線塊箭頭54示意性地表示。
仿真設(shè)施20被配置為提供對模型發(fā)電站30和/或模型配電網(wǎng)40具有訪問權(quán)限的仿真攻擊代理61和仿真防御代理62以參加“網(wǎng)絡(luò)戰(zhàn)斗會話”。在網(wǎng)絡(luò)戰(zhàn)斗會話中,仿真攻擊代理61試圖進(jìn)行損害或削弱發(fā)電站模型30和/或配電網(wǎng)模型40的功能的網(wǎng)絡(luò)攻擊,并且和仿真防御代理作戰(zhàn),仿真防御代理進(jìn)行操作以保護(hù)被攻擊的模型30和/或40并且阻止攻擊的防御代理作戰(zhàn)。
控制器50可選地包括在其中其存儲和管理在CYBAD數(shù)據(jù)庫里的數(shù)據(jù)的存儲器。控制器50進(jìn)行操作以獲取網(wǎng)絡(luò)戰(zhàn)斗會話的取證記錄(forensic record)并存儲在CYBAD里,其可如下面所討論的被處理以響應(yīng)于網(wǎng)絡(luò)戰(zhàn)斗會話而公布用于保護(hù)發(fā)電站200和/或配電網(wǎng)300的網(wǎng)絡(luò)防護(hù)技術(shù)。可選地,控制器50包括處理在取證記錄里的數(shù)據(jù)以提供網(wǎng)絡(luò)防護(hù)技術(shù)的模型制作模塊。在實施方案中,網(wǎng)絡(luò)防護(hù)技術(shù)包括用于在模型30和/或模型40上識別和確認(rèn)網(wǎng)絡(luò)攻擊的分類器。
為仿真攻擊代理61提供訪問模型30和或模型40的權(quán)利可包括為仿真攻擊代理提供各種復(fù)雜程度的級別的計算機(jī)、軟件和虛擬財務(wù)資源,下文通常稱為“攻擊工具”,以用于對模型設(shè)施發(fā)起網(wǎng)絡(luò)攻擊。攻擊工具可選地類似于用于在發(fā)電站200上從事網(wǎng)絡(luò)攻擊的可用于現(xiàn)實生活的攻擊代理的工具。
可選地,攻擊工具的復(fù)雜程度被分級為低、中、或高。低級別復(fù)雜程度指的是通常經(jīng)驗不足的“現(xiàn)實生活”的罪犯、黑客和黑客行動主義者可用的攻擊工具,通常是由于個人利益產(chǎn)生動機(jī)。中等級別復(fù)雜程度指的是通常相對有經(jīng)驗且有技術(shù)的黑客可用的工具,黑客可能例如屬于具有訪問通常超出單個個體可用的財務(wù)資源的財務(wù)資源的權(quán)利的犯罪集團(tuán)或小恐怖組織。高級別復(fù)雜程度指的是民族國家與國家或國際恐怖組織可用的工具。
提供具有訪問模型30和40的權(quán)限的仿真防御代理62可包括給仿真防御代理提供計算機(jī)和軟件,下文的操作和管理(O&M)工具,以用于訪問SCADA 32,操作和維護(hù)模型設(shè)施,以及保護(hù)模型設(shè)施免于通過仿真攻擊代理61發(fā)起的網(wǎng)絡(luò)攻擊。O&M工具至少部分有利地反映了使用O&M工具操作、監(jiān)控、保護(hù)發(fā)電站200和配電網(wǎng)300免受網(wǎng)絡(luò)攻擊。
在本發(fā)明的實施方案中,仿真設(shè)施20包括由圖標(biāo)51表示的人類活動傳感器。人類活動傳感器51可用于監(jiān)控在網(wǎng)絡(luò)戰(zhàn)斗會話期間攻擊代理61和防御代理62在彼此相互作戰(zhàn)并且與仿真設(shè)施20相互作用中的活動,以及獲取數(shù)據(jù)以用于網(wǎng)絡(luò)戰(zhàn)斗會話的取證記錄。控制器50可存儲由傳感器51在CYBAD里提供的人類活動數(shù)據(jù)作為網(wǎng)絡(luò)戰(zhàn)斗會話的取證記錄的一部分。
例如,傳感器51可選地包括攝像機(jī),其錄制在網(wǎng)絡(luò)戰(zhàn)斗會話期間仿真攻擊和防御代理的活動的視頻。傳感器51可以包括各種HMI傳感器中的任意傳感器,如鍵盤監(jiān)聽傳感器,以及攻擊和防御仿真代理61和62對鍵盤的后續(xù)使用以在發(fā)起或防御網(wǎng)絡(luò)攻擊中使用和執(zhí)行軟件指令集的設(shè)備。根據(jù)本發(fā)明的實施方案的本領(lǐng)域中已知用于仿真代理的鍵盤使用的鍵盤監(jiān)聽的鍵盤監(jiān)聽設(shè)備可包括聲音和/或電磁擊鍵傳感器或發(fā)起在由代理61和62使用的計算上的擊鍵跟蹤程序??蛇x地,傳感器51包括眼追蹤技術(shù)以追蹤仿真代理61和62的注視方向,并確定它們的注視點(diǎn)(POR)以及在與仿真代理相互作用的計算機(jī)顯示器的特征之間的POR的運(yùn)動。
在本發(fā)明的實施方案中,傳感器51包括用于監(jiān)控仿真代理的勝利特征的各種可穿戴和/或非接觸身體機(jī)能傳感器中的任意傳感器,以提供在網(wǎng)絡(luò)戰(zhàn)斗期間例如關(guān)注、壓力和/或警惕性水平的指示。例如,可穿戴的身體機(jī)能傳感器可以是用于感測心率和/或血壓的傳感器手鐲。非接觸傳感器可以包括用于感測膚色來推斷壓力或心率的光學(xué)傳感器或用于感測體溫的IR傳感器。
在本發(fā)明的實施方案中,控制器50監(jiān)控直接或經(jīng)由SCADA 32包括在設(shè)備31里的采集代理33,以在網(wǎng)絡(luò)戰(zhàn)斗期間監(jiān)控發(fā)電站模型30中的設(shè)備的單個的真實或虛擬零件的運(yùn)行并且獲取對于設(shè)備的操作狀態(tài)數(shù)據(jù)。操作狀態(tài)數(shù)據(jù)可以作為網(wǎng)絡(luò)戰(zhàn)斗的取證記錄的一部分存儲在CYBAD里。
在本發(fā)明的實施方案中,包括在控制器50中的模型制造模塊處理CYBAD中的操作狀態(tài)數(shù)據(jù)以定義和確定用于模型30時間相關(guān)的操作狀態(tài)向量,其表示在網(wǎng)絡(luò)戰(zhàn)斗會話期間在給定的時間處的發(fā)電站模塊30的操作狀態(tài)。用于模型30的操作狀態(tài)向量可具有分量,其在任何給定的時間處假設(shè)在給定時間處由包括在模型30中的多個采集器代理33中的每個提供的值??蛇x地,操作狀態(tài)向量包括由人類活動傳感器51提供的數(shù)據(jù),其可以例如提供指示HMI設(shè)備(如計算機(jī)的鍵盤)的使用和/或狀態(tài)的數(shù)據(jù)。
可選地,模型制造模塊定義響應(yīng)于用于網(wǎng)絡(luò)戰(zhàn)斗會話的狀態(tài)向量的至少一個分類器來確定在網(wǎng)絡(luò)戰(zhàn)斗期間在給定的時間處狀態(tài)向量是否指示模型30受到由仿真器攻擊代理61發(fā)起的網(wǎng)絡(luò)攻擊??蛇x地,至少一個分類器包括支持向量分類器。在本發(fā)明的實施方案中,至少一個分類器包括在存儲在CYBAD里的在操作狀態(tài)向量上訓(xùn)練的神經(jīng)網(wǎng)絡(luò)??蛇x地,控制器50保持代表操作狀態(tài)向量的庫,以下稱為攻擊ID特征向量,至少一個分類器已經(jīng)確定的事情指示網(wǎng)絡(luò)攻擊,并且可以用于識別網(wǎng)絡(luò)攻擊的特定形式。在本發(fā)明的實施方案中,至少一個分類器和/或攻擊ID特征向量用于確定由用于發(fā)電機(jī)200和/或配電網(wǎng)300的SCADA 250定義的操作狀態(tài)向量是否指示發(fā)電站200和/或配電網(wǎng)受到網(wǎng)絡(luò)攻擊并且可選地確定攻擊的形式。
在本發(fā)明的實施方案中,模型制造模塊處理在CYBAD里的數(shù)據(jù),以確定由仿真防御代理62采取以抵御由仿真攻擊代理61發(fā)起的網(wǎng)絡(luò)攻擊的哪些防御策略成功地阻止了網(wǎng)絡(luò)攻擊或減輕他們遭受的損害??蛇x地,模型制造模塊提供了地圖和在成功的防御策略中執(zhí)行的一些列過程。在本發(fā)明的實施方案中,模型制造模塊對于成功防御策略定義了標(biāo)注和表征防御策略的特征向量,以下稱為防御ID特征向量??蛇x地,模型制造商模型配置防御策略特征向量,使得防御ID特征向量與攻擊ID特征向量的標(biāo)量(點(diǎn))積指示哪些防御策略有利地執(zhí)行以阻止給定的網(wǎng)絡(luò)攻擊。
在本發(fā)明的實施方案中,防御ID特征向量被用來確定待采用以保護(hù)發(fā)電站200和/或配電網(wǎng)300免受網(wǎng)絡(luò)攻擊的有利的防御策略。當(dāng)用于發(fā)電站200和/或配電網(wǎng)300的操作狀態(tài)向量指示該發(fā)電站和/或電網(wǎng)可能受到網(wǎng)絡(luò)攻擊時,計算操作狀態(tài)向量和防御ID特征向量的標(biāo)量積。具有與操作狀態(tài)向量的最大的標(biāo)量積的防御ID特征向量可選地用于避免或盡量最小化來自可能的網(wǎng)絡(luò)攻擊的傷害。
由傳感器51獲取并儲存在CBAD中作為網(wǎng)絡(luò)戰(zhàn)斗會話的取證記錄的一部分的人類活動數(shù)據(jù)可能被用來配置環(huán)境,在該環(huán)境中防御代理62進(jìn)行操作以改善它們防御網(wǎng)絡(luò)攻擊的能力。例如,數(shù)據(jù)可用于在計算機(jī)視頻屏幕上配置屏幕顯示器,以改善呈現(xiàn)在視頻屏幕上的視覺警報的效果,從而警告防御代理網(wǎng)絡(luò)攻擊的概率。人類活動數(shù)據(jù)可能被用來改善對于防御代理的提示以用于采取進(jìn)行適當(dāng)?shù)幕顒右宰柚咕W(wǎng)絡(luò)攻擊。人類活動數(shù)據(jù)也可以用來有利地配置防御代理的空間配置,以改善可能需要加入共同防御任務(wù)的防御代理之間的合作。
應(yīng)當(dāng)注意的是,盡管在本發(fā)明的實施方案的上述討論中網(wǎng)絡(luò)仿真設(shè)施被討論作為配置用于發(fā)電站和電網(wǎng),但是本發(fā)明的實踐并不限于發(fā)電站和電網(wǎng)。網(wǎng)絡(luò)仿真設(shè)備可被配置為用于開發(fā)和分析對于各種基礎(chǔ)設(shè)施中的任何基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊和/或防御策略,比如,例如,水處理廠、石油分配系統(tǒng)和天然氣管道分配系統(tǒng)。
在本申請的說明書和權(quán)利要求書中,動詞“包括”,“包含”和“具有”中的每一個動詞及其同源詞用于指示動詞的對象或多個對象不一定是組件、元件或主語的部分或動詞的主語的完整列表。
在本申請中,本發(fā)明的實施方案的描述是通過示例的方式提供并且不旨在限制本發(fā)明的范圍。所描述實施方案包括不同的特征,并非在本發(fā)明的所有實施方案里都需要全部這些特征。一些實施方案僅利用特征中的一些或特征的可能組合。本領(lǐng)域技術(shù)人員將會想到本發(fā)明所描述的實施方案的變型以及包括在所描述的實施方案中指出的特征的不同組合的本發(fā)明的實施方案。本發(fā)明的范圍僅由權(quán)利要求限制。