使用IOT传感器融合的关键工业解决方案的认知保护转让专利
申请号 : CN201680037351.7
文献号 : CN107864675B
文献日 : 2019-10-11
发明人 : I·A·塔托里安 , A·奈舒图特 , O·波格列里克 , S·亨特
申请人 : 迈克菲有限公司
摘要 :
用于系统的认知保护的技术可包括用于测量或计算系统操作参数的数字和模拟传感器。数字传感器可被用于确定所测量的操作参数或主操作参数。模拟传感器被用于测量与系统操作有关的模拟传感器信息。所测量的模拟传感器信息可被用于计算包括与主操作参数相同的操作参数的次要操作参数。锁步分析可被用于比较主操作参数与次要操作参数以便确定系统中操作参数的差异。
权利要求 :
1.一种机器可读介质,包括指令,所述指令在被至少一个处理器执行时使机器进行以下操作:针对控制系统在第一信道上从数字传感器接收第一监测信息,所述第一监测信息是包含所述控制系统的至少一个主参数的数字信息;
针对所述控制系统在第二信道上从模拟传感器接收第二监测信息,所述第二监测信息是模拟信息,所述第二信道独立于所述第一信道;
响应于接收所述第二监测信息确定所述控制系统的至少一个次要参数,所述至少一个次要参数是数字信息;
检测所述至少一个主参数与所述至少一个次要参数之间的差异;以及响应于检测到所述差异而提供警告;其中所述数字传感器和所述模拟传感器与所述控制系统相关联。
2.如权利要求1所述的机器可读介质,其特征在于,所述指令在被执行时使所述机器对所述第二监测信息执行认知分析。
3.如权利要求1所述的机器可读介质,其特征在于,用于接收所述第二监测信息以及确定所述至少一个次要参数的指令是在受信任的执行环境中被执行的。
4.如权利要求1所述的机器可读介质,其特征在于,所述指令在被执行时使所述机器将所述至少一个次要参数与一个或多个历史操作参数或与一个或多个预定的操作参数进行比较。
5.如权利要求1所述的机器可读介质,其特征在于,所述至少一个次要参数和所述至少一个主参数包括相同的操作参数。
6.如权利要求1所述的机器可读介质,其特征在于,所述至少一个主参数和所述至少一个次要参数中的每一个包含重要系统健康指标。
7.如权利要求1所述的机器可读介质,其特征在于,所述指令在被执行时使所述机器响应于接收所述警告而关闭所述控制系统。
8.一种用于控制系统的认知保护的计算机系统,包括:
一个或多个处理器;
存储器,耦合至所述一个或多个处理器,所述存储器包含指令,所述指令在被执行时使处理器中的一个或多个处理器进行以下操作:针对控制系统在第一信道上从数字传感器接收第一监测信息,所述第一监测信息是包含所述控制系统的至少一个主参数的数字信息;
针对所述控制系统在第二信道上从模拟传感器接收第二监测信息,所述第二监测信息是模拟信息,所述第二信道独立于所述第一信道;
响应于接收所述第二监测信息确定针对所述控制系统的至少一个次要参数,所述至少一个次要参数是数字信息;
检测所述至少一个主参数与所述至少一个次要参数之间的差异;以及响应于检测到所述差异而提供警告;其中所述数字传感器和所述模拟传感器与所述控制系统相关联。
9.如权利要求8所述的计算机系统,其特征在于,所述指令在被执行时使处理器中的一个或多个处理器对所述第二监测信息执行认知分析。
10.如权利要求8所述的计算机系统,其特征在于,用于接收第二监测信息以及确定至少一个次要参数的指令是在受信任的执行环境中被执行的。
11.如权利要求8所述的计算机系统,其特征在于,所述指令在被执行时使处理器中的一个或多个处理器将所述至少一个次要参数与一个或多个历史操作参数或与一个或多个预定的操作参数进行比较。
12.如权利要求8所述的计算机系统,其特征在于,所述至少一个次要参数和所述至少一个主参数包括相同的操作参数。
13.如权利要求8所述的计算机系统,其特征在于,所述至少一个主参数和所述至少一个次要参数中的每一个包含重要系统健康指标。
14.如权利要求8所述的计算机系统,其特征在于,所述指令在被执行时使处理器中的一个或多个处理器响应于接收所述警告而关闭所述控制系统。
15.一种用于控制系统的认知保护的方法,所述方法包括:
针对所述控制系统在第一信道上从数字传感器接收第一监测信息,其中所述第一监测信息是数字信息并包含所述控制系统的至少一个主参数;
针对所述控制系统在第二信道上从模拟传感器接收第二监测信息,所述第二监测信息是模拟信息,并且其中所述第二信道独立于所述第一信道;
响应于接收所述第二监测信息确定针对所述控制系统的至少一个次要参数,其中所述至少一个次要参数是数字信息;
检测所述至少一个主参数与所述至少一个次要参数之间的差异;以及响应于检测到所述差异而提供警告;其中所述数字传感器和所述模拟传感器与所述控制系统相关联。
16.如权利要求15所述的方法,其特征在于,进一步包含:对所述第二监测信息执行认知分析。
17.如权利要求15所述的方法,其特征在于,接收所述第二监测信息的步骤以及确定所述至少一个次要参数发生于受信任的执行环境中。
18.如权利要求15所述的方法,其特征在于,检测所述差异的步骤进一步包含:将所述至少一个次要参数与一个或多个历史操作参数或与一个或多个预定的操作参数进行比较。
19.如权利要求15所述的方法,其特征在于,检测所述差异的步骤进一步包含:确定所述至少一个次要参数包含与所述至少一个主参数相同的操作参数。
20.如权利要求15所述的方法,其特征在于,所述至少一个主参数和所述至少一个次要参数中的每一个包含重要系统健康指标。
21.如权利要求15所述的方法,其特征在于,进一步包含:响应于提供所述警告而关闭所述控制系统。
22.一种用于控制系统的认知保护的设备,所述设备包括:
用于针对所述控制系统在第一信道上从数字传感器接收第一监测信息的装置,其中所述第一监测信息是数字信息并包含所述控制系统的至少一个主参数;
用于针对所述控制系统在第二信道上从模拟传感器接收第二监测信息的装置,所述第二监测信息是模拟信息,并且其中所述第二信道独立于所述第一信道;
用于响应于接收所述第二监测信息确定针对所述控制系统的至少一个次要参数的装置,其中所述至少一个次要参数是数字信息;
用于检测所述至少一个主参数与所述至少一个次要参数之间的差异的装置;以及用于响应于检测到所述差异而提供警告的装置;其中所述数字传感器和所述模拟传感器与所述控制系统相关联。
23.如权利要求22所述的设备,其特征在于,进一步包含:用于对所述第二监测信息执行认知分析的装置。
24.如权利要求22所述的设备,其特征在于,用于接收第二监测信息的装置以及用于确定的装置在受信任的执行环境中实现。
25.如权利要求22所述的设备,其特征在于,进一步包含:用于将所述至少一个次要参数与一个或多个历史操作参数或与一个或多个预定的操作参数进行比较的装置。
说明书 :
使用IOT传感器融合的关键工业解决方案的认知保护
技术领域
[0001] 本文所描述的实施例一般涉及网络安全,并且更具体地涉及通过执行在独立信道上接收的传感器数据的传感器融合来保护物联网(IoT)网络免受高级威胁的技术。
背景技术
[0002] 物联网(IoT)基于以下想法:工业和消费者解决方案,不只计算机和计算机网络,经由IoT通信网络(例如,自组系统或因特网)能成为可读的、可辨认的、可定位的、可寻址的以及可控制的。工业和消费者系统中的IoT设备(例如,IoT传感器和IoT组件)在因特网上也是可访问的,因此也是易受恶意软件攻击的。如若姑息,工业系统中IoT关键基础设施上的网络攻击可导致显著的物理损坏并/或威胁人类生活。例如,使用核电站的IoT公用基础设施上的网络攻击会把关键子系统作为目标并且可能导致停电、核电站爆炸,甚至离心机中的核熔毁。最近,作为工业恶意软件示例的震网病毒曾把核反应堆中的可编程逻辑控制器(PLC)作为目标并且对财产造成严重损害。震网病毒通过利用零日漏洞或脆弱性把控制核反应堆的工业软件作为目标以便获得PLC的控制权并引起核反应堆中的熔毁。震网病毒仅仅是高级恶意软件威胁的一个示例,其中当前的反病毒解决方案不能检测到该恶意软件。类似地,在诸如车载的线控车辆系统中使用的那些非工业系统中,车辆中计算机控制的设备(例如被连接至车载网络的制动器、引擎、锁等等)可被恶意软件攻击以获取对车载网络的访问并危及车辆的安全操作。
[0003] 高级恶意软件威胁能规避传统的防护控制,例如,反病毒软件、侵入防护系统等等,并且修改工业和非工业系统的行为。由于反病毒特征对反病毒软件开发者来说不可获得,所以现存反病毒安全软件无法抵抗这些高级恶意软件威胁。对于工业的和非工业的所有系统,如果它们被连接至网络-不管是内部网络还是外部网络,那么它们都是易受攻击的。当前的安全软件不足以保护这些系统免受高级恶意软件威胁,如以上所例示的。因此,防范关键工业和非工业解决方案中的高级恶意软件威胁将是期望的。
附图说明
[0004] 图1例示出根据一个实施例的被配置成执行被监测系统的认知保护的系统的示意数据流图。
[0005] 图2例示出根据一个实施例的用于执行工业系统的认知保护的系统架构的示意框图。
[0006] 图3是根据一个实施例的用于使用受信任的执行环境执行认知保护的系统架构。
[0007] 图4是例示出根据一个实施例的用于系统的认知保护的技术的流程图。
[0008] 图5是例示出根据一个实施例的与本文所描述的技术一起使用的计算设备的框图。
[0009] 图6是例示出根据另一个实施例的与本文所描述的技术一起使用的计算设备的框图。
[0010] 图7是例示出根据一个实施例的可编程设备的网络的示图。
具体实施方式
[0011] 在下面的描述中,出于解释目的阐述了众多具体细节以便提供对本发明的透彻理解。然而,对本领域技术人员显而易见的是,没有这些具体细节也可实施本发明。在其他情况下,以框图形式示出了多个结构和设备以避免难以理解本发明。对不具有下标或后缀的编号的引用理解为引用对应于所引用编号的下标和后缀的全部实例。此外,已出于可读性和指导性目的大致上选择了本公开中所使用的语言,并且可能未选择该语言来描绘或限定发明主题,而是借助于确定此类发明主题所必需的权利要求书。说明书中对“一个实施例”或“实施例”的引用表示结合实施例所描述的特定特征、结构或特性包括在本发明的至少一个实施例中,而对“一个实施例”或“实施例”的多次引用不应该被理解为都必须指代同一实施例。
[0012] 如本文所使用的,术语“计算机系统”可指代用于执行被描述为如在计算机系统上或被计算机系统执行的功能的单个计算机或一起工作的多个计算机。
[0013] 如本文所使用的,术语“认知分析”可指代使用来自一个或多个传感器的数据或来源于一个或多个传感器的数据以将传感器数据表示为不同的有意义的和可比较的参数。
[0014] 如本文所使用的,术语“物联网(IoT)”可指代嵌有电子器件、软件、传感器和连接的物理对象或“事物”的网络,连接允许该物理对象或“事物”与网络中其他所连接的设备交换数据。网络中的每个事物都是可通过它的嵌入式计算系统被唯一标识的IoT设备但是能够在现存因特网基础设施内进行交互操作。
[0015] 如本文所使用的,术语“受信任的执行环境”可指代向操作系统提供安全执行服务的一组CPU指令。受信任的执行环境允许软件在更大型系统的硬件内定义安全的、孤立的执行空间。执行空间上的控制允许操作被执行而不被诸如恶意软件之类的未授权的软件观察或影响。这些执行空间的多个可同时存在于系统上,并且每一个都具有由处理器、芯片组和OS内核管理的专用资源。
[0016] 用于免受恶意软件攻击的系统的认知保护的技术可包括连接至网络的工业和非工业系统。系统可包括数字和模拟传感器,数字和模拟传感器可被用于确定系统的所测量和/或所计算的操作参数。数字传感器被连接至网络并且可在主信道上传达系统的一个或多个主操作参数。模拟传感器被用于测量与系统操作相关的模拟传感器信息。模拟信息可被转换成数字信息并且在独立的且与主信道隔离的信道上被传达。认知分析可被用于使用模拟传感器信息来确定系统的次要操作参数。次要操作参数包括与主操作参数的那些相同的操作参数,但是使用其他方式(诸如,例如使用模拟传感器数据)来确定的。此外,锁步分析可被用于比较主操作参数与次要操作参数以便确定系统中的差异。
[0017] 图1例示出根据本发明的实施例的用于实现认知保护以使用IOT传感器的融合来检测高级恶意软件威胁的系统100的示意数据流图。系统100可包括IOT机械系统102、模拟监测系统104、IOT数字传感器106、转换模块108、网络110、应急致动器系统112以及命令与控制(C&C)仪表板116。系统100还可包括可选的锁步模块114。IOT机械系统102、IOT数字传感器106、网络110以及C&C仪表板116可包括传统安全软件,例如,用于抵抗对于系统100的恶意软件和病毒威胁的反病毒软件或反恶意软件机制,在一个示例中,恶意软件和病毒威胁可把IOT网络110上的数字传感器106作为目标以便隐藏实际的IOT机械系统102的操作条件或参数。网络110不限于诸如因特网之类的使用因特网协议(TCP/IP)的互连计算机网络的网络,并且还可包括被配置成与系统100来回传递信息的其他数据网络和/或电信网络。
[0018] 如图1中所示,IOT机械系统102可代表具有可被用于工业系统或非工业系统中的多个IOT设备的被监测系统。具有多个IOT设备的IOT机械系统102可以是在网络110上可寻址的和可访问的。在实施例中,IOT机械系统102被连接至多个IOT数字传感器106,多个IOT数字传感器106可确定用于IOT机械系统102的一组主重要系统健康指标或所测量的重要系统健康指标(“VSHI”)的数字信息。IOT数字传感器106还可以是在网络110上可寻址的和可访问的。在实施例中,IOT数字传感器106是可确定一个或多个不同操作参数和/或操作变量的主传感器。在示例中,IOT传感器106可在网络110(下文称为“主信道”)上向IOT机械系统102提供主VSHI或所测量的VSHI。如本文所使用的,VSHI是与IOT机械系统102的健康和操作相关的IOT机械系统的被监测功能的最小集合,对其加以利用可对IOT机械系统102造成严重损害并且/或者可能对在IOT机械系统102附近的用户或环境造成伤害。在实施例中,IOT数字传感器106可确定数字形式的主VSHI或所测量的VSHI。IOT数字传感器106可经由网络
110在一个或多个主通信信道(下文称之为“主信道”)上将主VSHI或所测量的VSHI提供给命令与控制(C&C)仪表板116。
110在一个或多个主通信信道(下文称之为“主信道”)上将主VSHI或所测量的VSHI提供给命令与控制(C&C)仪表板116。
[0019] 系统100还可包括模拟监测系统104。模拟监测系统104可包括与受监测设备102相关联的多个模拟传感器。模拟传感器可包括被配置成感测IOT机械系统102的操作参数和/或变量并将所感测的参数存储为模拟传感器数据的音频传感器、视频传感器、压力传感器、超声传感器等等。模拟监测系统104被配置成在一个或多个独立信道上(下文的“次要信道”)将模拟传感器数据传达给转换模块108。次要信道还可被连接至网络110,然而,可与主信道隔离。在另一个实施例中,模拟传感器数据可在与网络110隔离的另一个网络上传达模拟数据。在实施例中,次要独立信道可以是硬连线的以传达模拟数据或者可在网络110中无线地传达模拟数据。由于次要信道与传达主VSHI或所测量的VSHI的主信道隔离,因此,它不能被可能已获得对网络110访问权的高级恶意软件检测到。
[0020] 来自模拟监测系统104的模拟传感器数据可被发送到转换模块108以供处理。转换模块108使用认知分析创建并导出源于模拟传感器数据的一组次要VSHI或所计算的VSHI。次要VSHI或所计算的VSHI代表与IOT机械系统102的操作参数或变量相关联的所计算的VSHI信息。在实施例中,转换模块108可将次要VSHI或所计算的VSHI发送至可选锁步模块
114以供比较。次要VSHI包括与主VSHI或所测量的VSHI类似的参数、变量或测量值。在实施例中,转换模块108可包括用于确定次要VSHI或所计算的VSHI是否错误的逻辑并且警告可被提供。所提供的警告可以是IOT机械系统102上恶意软件攻击的指示,该指示可被标记并发送到应急致动器系统112以用于关闭IOT机械系统102。在另一个实施例中,可选的锁步模块可被用来对照主VSHI或所测量的VSHI比较次要VSHI或所计算的VSHI以便确定IOT机械系统102内的差异。
114以供比较。次要VSHI包括与主VSHI或所测量的VSHI类似的参数、变量或测量值。在实施例中,转换模块108可包括用于确定次要VSHI或所计算的VSHI是否错误的逻辑并且警告可被提供。所提供的警告可以是IOT机械系统102上恶意软件攻击的指示,该指示可被标记并发送到应急致动器系统112以用于关闭IOT机械系统102。在另一个实施例中,可选的锁步模块可被用来对照主VSHI或所测量的VSHI比较次要VSHI或所计算的VSHI以便确定IOT机械系统102内的差异。
[0021] 可选的锁步模块114可从转换模块108接收次要VSHI或所计算的VSHI。锁步模块114可包括用于处理在网络110上接收的主VSHI和次要VSHI的硬件和算法。锁步硬件包括处理在存在差异的情形中被接收和标记错误的VSHI的一个或多个处理器、存储器和算法。在一个实施例中,锁步模块114可比较在主信道和次要信道上(“信道匹配”)接收的相应的测得的VSHI和所计算的VSHI以便确定差异。锁步模块114可被配置成比较主VSHI与次要VSHI以便确定在VSHI中是否存在差异,该差异可指示IOT机械系统102上的潜在的恶意软件攻击。在另一个实施例中,锁步模块114可对照存储在一个或多个存储器中的预定的VSHI来比较次要VSHI以便确定系统中的差异。系统中的差异可被标记并且响应于差异,警告可从锁步模块114被传达到C&C仪表板116,这会导致IOT机械系统102的关闭以作进一步分析。警告可以指示通过隐藏主VSHI或所测量的VSHI的准确值而在IOT机械系统102上的恶意软件威胁。因此,使用次要VSHI和主VSHI提供抵抗对网络110的任意恶意软件威胁的保护。对网络
110的任意恶意软件威胁可能必须把在系统100中计算的所有VSHI信息作为目标,这对现存的恶意软件来说是极其困难的。恶意软件可能必须把在主信道和次要信道两者上传达的所有VSHI作为目标。危及主VSHI的主信道上的恶意软件攻击可能必须同样把次要信道作为目标以危及被传达的任何次要VSHI。然而,认知分析被用于使用所测量的传感器数据来确定这些次要VSHI,攻击所测量的传感器数据的任何恶意软件威胁会发现很难生成可被用来攻击系统100的类似的次要VSHI,因此,次要VSHI或所计算的VSHI的值可代表用于IOT机械系统102的未被危及的操作参数,这可被用于检测对网络110的恶意软件威胁。
110的任意恶意软件威胁可能必须把在系统100中计算的所有VSHI信息作为目标,这对现存的恶意软件来说是极其困难的。恶意软件可能必须把在主信道和次要信道两者上传达的所有VSHI作为目标。危及主VSHI的主信道上的恶意软件攻击可能必须同样把次要信道作为目标以危及被传达的任何次要VSHI。然而,认知分析被用于使用所测量的传感器数据来确定这些次要VSHI,攻击所测量的传感器数据的任何恶意软件威胁会发现很难生成可被用来攻击系统100的类似的次要VSHI,因此,次要VSHI或所计算的VSHI的值可代表用于IOT机械系统102的未被危及的操作参数,这可被用于检测对网络110的恶意软件威胁。
[0022] 应急致动器系统112可包括可响应于从IOT机械系统102接收的次要VSHI中的差异被致动以关闭IOT机械系统102的一个或多个致动器,例如,可编程逻辑控制器(PLC)或可编程自动化控制器(PAC)。
[0023] C&C仪表板116被配置成由被C&C仪表板接收的VSHI来管理、命令、指导或调整IOT机械系统102的行为。在实施例中,C&C仪表板116可包括使用从锁步模块114接收的数据来将监督命令传达到IOT机械系统102的可编程自动化控制器(PAC)、可编程逻辑控制器(PLC)、监督控制和数据采集(SCADA)系统、分布式控制系统(DCS)或其他更小的控制系统配置。
[0024] 图2例示出根据本发明的实施例的用于执行对于工业系统200(诸如,例如核电站中的离心机)的免受恶意软件威胁的关键设备的认知保护的示意框图。虽然系统200在下方被例示为与工业系统中的关键设备一起使用,但以下所描述的原则等同地适用于工业系统或非工业系统中的非关键系统,诸如,例如车辆系统中的引擎控制单元(ECU)。在实施例中,系统200可使用多个传感器模态来检测被监测设备202(例如,离心机)的操作参数并且对传感器数据使用认知分析以防范高级恶意软件威胁。
[0025] 系统200被连接至网络216并且可包括被监测设备202、比较器系统208和控制系统210。在实施例中,被监测系统202可以是核反应堆中的离心机,该离心机的各种安全相关的参数或变量都被监测。被监测设备202可包括可感测被监测设备202的一个或多个操作参数的传感器204,例如,感测用于在被监测设备202的一个或多个参数或变量的监测中使用的压力、每分钟转数(RPM)、温度等。
[0026] 在实施例中,传感器204可包括连接至被监测设备202的数字传感器。数字传感器可测量被监测设备202的一个或多个参数并且将所感测的数字信息提供给微控制器或处理器205以供处理。微控制器205可被配置成处理所测量的传感器数据并且确定主VSHI或所测量的VSHI(也称为“主参数或所测量的参数”)。主信道212可与诸如LAN、WAN等之类的网络216相关联并且可被用于与被监测设备202通信和/或控制被监测设备202。微控制器205可包括用于处理传感器信息并在主信道212上将主VSHI发送给比较器系统208和控制系统210的处理硬件和逻辑。在实施例中,主信道212可以是用于将主VSHI发送给比较器系统208和控制系统210的无线连接。
[0027] 传感器204还可包括与被监测设备202相关联的模拟传感器。模拟传感器可包括被配置成独立测量被监测设备202的传感器参数的音频传感器、视频传感器、压力传感器、超声传感器等。在一些非限制性示例中,超声传感器可测量被监测设备202的声音振动,模拟红外图像传感器可获取被监测设备202的静止图像或视频图像,定向麦克风可测量模拟声波信号,以及激光传感器可被用于触发光子计数器以便确定例如、被监测设备202中离心机的旋转。来自传感器204的模拟传感器数据可在次要信道214上被传达给转换器206。次要信道214可以是独立并与主信道212隔离的物理连接。次要信道214可提供一般不用于测量主VSHI并且因而不会成为可能已获取对网络216访问权的恶意软件攻击目标的模拟传感器数据。模拟感测信息可被提供给转换器206以供模拟数据到次要VSHI或所计算的VSHI的转换。例如,激光传感器数据可被用于确定离心机的RPM或者静止或视频图像可被软件处理以便计算离心机的转速和温度。
[0028] 转换器206可被配置成处理通过认知分析从模拟传感器在次要信道214上接收的模拟传感器数据以便创建次要VSHI或所计算的VSHI(也称为“次要参数或所计算的参数”)。例如,来自超声传感器的模拟数据可被数字化并转换成RPM,这代表被使用不同方式计算的用于被监测设备202的RPM数据的次要源。转换器206可包括用于将模拟传感器信息转换成用于被监测设备202的次要操作参数或次要VSHI的硬件和逻辑。次要操作参数可以是用于被监测设备202的VSHI的另一个源,它包括与主VSHI或所测量的VSHI中的那些相同的操作参数。次要VSHI确定在次要信道214上传达的被监测设备202的类似的操作参数。由于次要信道214与主VSHI信息不相关联,因此次要信道214可与任何恶意软件攻击隔绝。
[0029] 比较器系统208可被配置成分析和比较分别在主信道212和次要信道214上接收的主VSHI与次要VSHI以便确定被监测设备202的操作中的差异。基于主VSHI与次要VSHI的比较,警告218可被提供给控制系统210。警告可指示对被监测设备202的恶意软件威胁,恶意软件威胁可能在主信道212上隐藏和修改主VSHI或所测量的VSHI的实际值。
[0030] 在实施例中,比较器系统208可包括以上结合图1所讨论的类似的锁步硬件以便处理在主信道212和次要信道214上接收的VSHI并确定在所接收的信息中差异是否存在。如果次要信道214上的次要VSHI大于或小于存储在一个或多个存储器中的预定VSHI的可接受范围,则警告可被提供给控制系统210。替代地,或除了确定值的可接受范围,如果主VSHI与次要VSHI之间的差异大于阈值,则警告218也可被提供。警告可指示对被监测设备202的恶意软件威胁。
[0031] 控制系统210被配置成管理、命令、指导或调节被监测设备202的行为。在实施例中,控制系统210可包括可控制被监测设备202的操作的监督控制和数据采集(SCADA)系统。控制系统210可在被监测设备202的操作期间在主信道212上接收主VSHI并且可响应于主VSHI调节被监测设备202的行为。控制系统210还可从比较器系统208接收警告并响应于从比较器系统208接收的警告而关闭被监测设备202或在被监测设备202上采取其他活动。
[0032] 图3例示出根据实施例的可用于工业系统的认知保护(诸如,例如在图1-2中所描述的系统100和200的保护)的概念性系统架构300。系统架构300可被用于监测基于SCADA的工业系统并可包括主监测系统(PMS)302、次要监测系统(SMS)304、中央管理单元(CMU)310以及备份管理系统(BMU)324。
[0033] PMS 302可包括用于控制、指导以及调节工业系统(未示出)的操作的SCADA系统。PMS 302可包括用于测量工业系统的操作参数并且将一组主VSHI或所测量的VSHI 306提供给CMU 310的主传感器。所测量的VSHI 306可在一个或多个主信道上被发送。在实施例中,主信道可被连接至网络(未示出)。
[0034] SMS 304可包括与监测工业系统(未示出)的一个或多个操作参数相关联的模拟传感器。在实施例中,模拟传感器可包括被配置成测量工业系统的操作参数并且将如模拟数据308之类的传感器数据传达至CMU 310的音频传感器、视频传感器、压力传感器、超声传感器等。模拟数据308可在连接至网络的一个或多个独立次要信道上被传达给CMU 310。在实施例中,主信道和次要信道可被线连到CMU 310或者可以是无线的。
[0035] CMU 310包括带有处理器、一个或多个存储器以及算法的硬件以便处理分别从SMS 304和PMS 302接收的模拟数据308和所测量的VSHI 306。CMU 310可独立地确定从SMS 304接收的所计算的VSHI 318并且比较所测量的与所计算的VSHI 306,318以便确定是否存在差异。在实施例中,CMU 310包括可与比较与警告模块320通信的可选的受信任的执行环境(TEE)312以及可编程自动化控制器(PAC)322。TEE 312在CMU 310内定义了安全、隔离的执行空间,该执行空间提供了抵抗可能已攻击网络的恶意软件威胁的增强级别的安全性。TEE
312可包括模拟数据处理模块314和认知分析模块316。模拟数据处理模块314可处理模拟数据308以便将信息转换为数字格式。例如,来自超声传感器的模拟数据308可在模块314中被数字化。同样,认知分析模块316可从模拟数据处理模块314接收数字信息并确定一组所计算的或次要VSHI 318。所计算的VSHI代表工业系统(未示出)的操作参数,该操作参数包括与主VSHI的那些相同的操作参数,但是该操作参数是使用认知分析计算出的。如以上参考图1所讨论的,任何恶意软件威胁会发现很难把系统300内的这些主信道和次要信道两者作为目标并危及其中的信息。
312可包括模拟数据处理模块314和认知分析模块316。模拟数据处理模块314可处理模拟数据308以便将信息转换为数字格式。例如,来自超声传感器的模拟数据308可在模块314中被数字化。同样,认知分析模块316可从模拟数据处理模块314接收数字信息并确定一组所计算的或次要VSHI 318。所计算的VSHI代表工业系统(未示出)的操作参数,该操作参数包括与主VSHI的那些相同的操作参数,但是该操作参数是使用认知分析计算出的。如以上参考图1所讨论的,任何恶意软件威胁会发现很难把系统300内的这些主信道和次要信道两者作为目标并危及其中的信息。
[0036] 比较与警告模块320可被配置成分析和比较所测量的VSHI 306与所计算的VSHI 318以便确定工业系统操作参数中的差异。基于所测量的与所计算的VSHI 306,318的比较,比较与警告模块320可将警告328提供给BMU324。警告328可指示把所测量的VSHI 306作为目标的对工业系统的恶意软件威胁。在实施例中,比较与警告模块320可确定所计算的VSHI
318是否大于或小于所测量的VSHI 306或者在值的范围内,或者,替代地,所计算的VSHI
318是否大于或小于预定的或存储的历史测得的VSHI。响应于此确定,警告328可被提供给BMU 324。
318是否大于或小于所测量的VSHI 306或者在值的范围内,或者,替代地,所计算的VSHI
318是否大于或小于预定的或存储的历史测得的VSHI。响应于此确定,警告328可被提供给BMU 324。
[0037] PAC 322包括被配置成从比较与警告模块320接收警告326的处理器和软件。在实施例中,PAC 322可包括控制工业系统的操作的容差阈值,包括响应于超过容差阈值的工业系统的关闭。
[0038] BMU 324被配置成响应于接收警告和/或来自CMU 310的所计算的和所测量的VSHI 318,306来管理、命令、指导或调节工业系统的行为。在实施例中,BMU 324可将信号和/或数据传达给PAC 322和PMS 302以便将监督命令传达给工业系统。
[0039] 图4是例示出根据本发明的实施例的处理400的流程图,处理400可被用于图1-3中所描述的工业和非工业系统100-300的认知保护。
[0040] 处理400开始于步骤405。在410中,连接至系统的数字传感器可确定系统的主参数或变量。在实施例中,系统可以是被连接至网络并且具有与数字传感器相关联的多个IOT设备的被监测的关键或非关键的系统。主参数可包括主VSHI,该主VSHI被数字传感器测得并在一个或多个主信道上被发送给比较模块,例如,比较与警告模块320(图3)。
[0041] 在415中,连接至系统的模拟传感器可测量系统的次要传感器参数和/或变量。传感器参数在一个或多个次要信道上作为模拟传感器数据被发送给认知分析模块,例如,图3的认知分析模块316。
[0042] 在420中,认知分析可被用在模拟传感器数据上以便计算或获得系统的一组次要参数或所计算的参数。次要参数可包括次要VSHI,该次要VSHI代表与主VSHI的那些相同的操作参数但次要VSHI是通过使用独立传感器和认知分析计算出的。如此所计算的次要参数被发送给比较模块。
[0043] 在425中,比较模块,例如,比较与警告模块320(图3)处理主参数和次要参数以便确定从系统中接收的主参数与次要参数中是否存在差异。由于对工业或非工业系统100-300的任何恶意软件威胁可把用于测量系统的主VSHI的数字传感器和/或主信道作为目标,所以次要信道不被用于传达主VSHI并因此不能被恶意软件威胁危及。
[0044] 在430中,如果存在差异(即,步骤430=“Y”),则,在步骤440中,该差异被标记并且警告可被发送给致动器系统,例如,给PAC 322(图3)和/或发送给备份管理系统,诸如,例如BMU 324(图3)。在实施例中,PAC 322可响应于接收警告322关闭系统。除了关闭系统之外或代替关闭系统,其他活动也可被PAC 322采取。
[0045] 然而,在430中,如果主参数与次要参数中不存在差异(即,步骤430=“N”),则在435中,数字传感器和模拟传感器可继续监测系统的操作。步骤440在步骤445中结束。
[0046] 现参考图5,框图例示了根据一个实施例的可在图1-3的系统100-300内使用的可编程设备500。图5中所例示的可编程设备500是包括第一处理元件570和第二处理元件580的多处理器可编程设备。虽然两个处理元件570和580被示出,可编程设备500的实施例还可仅包括一个此类处理元件。
[0047] 可编程设备500被例示为点到点互连系统,其中第一处理元件570和第二处理元件580经由点到点互连550被耦合。图5中所例示的任何或所有互连可被实现为多分支总线而不是点到点互连。
[0048] 如在图5中所例示的,处理元件570和580中的每一个可以是多核处理器,包括第一和第二处理器核(即,处理器核574a和574b以及处理器核584a和584b)。此类核754a、574b、584a、584b可被配置成以与以上结合图1-4所讨论的方式类似的方式执行指令代码。然而,其他实施例可按所期望的那样使用是单核处理器的处理元件。在具有多个处理元件570、
580的实施例中,每个处理元件可按所期望的那样由用不同数量的核实现。
580的实施例中,每个处理元件可按所期望的那样由用不同数量的核实现。
[0049] 每个处理元件570、580可包括至少一个共享高速缓存546。共享高速缓存546a、546b可以存储被处理元件的一个或多个组件(诸如核574a、574b和584a、584b)分别利用的数据(例如指令)。例如,共享高速缓存可以本地地高速缓存存储器532、534中存储的数据以供处理元件570、580的组件更快速的访问。在一个或多个实施例中,共享高速缓存546a、
546b可以包括一个或多个中级高速缓存,诸如,等级2(L2)、等级3(L3)、等级4(L4),或其他级的高速缓存,末级高速缓存(LLC),或其组合。
546b可以包括一个或多个中级高速缓存,诸如,等级2(L2)、等级3(L3)、等级4(L4),或其他级的高速缓存,末级高速缓存(LLC),或其组合。
[0050] 尽管图5为了附图的清楚示出了具有两个处理元件570、580的可编程设备,本发明的范围不限于此,并且可以存在任何数量的处理元件。替代地,处理元件570、580中的一个或多个可以是处理器之外的元件,诸如图形处理单元(GPU)、数字信号处理(DSP)单元、现场可编程门阵列、或者任何其他可编程处理元件。处理元件580相对于处理元件570可以是异构的或者非对称的。按照包括架构、微架构、热、功耗特征等优点的度量谱,处理元件570、580之间可能存在各种差异。这些差异可以有效显示为处理器570和580之间的不对称性和异构性。在一些实施例中,各种处理元件570、580可驻留在同一管芯封装中。
[0051] 第一处理元件570可以进一步包括存储器控制器逻辑(MC)572和点对点(P-P)互连576和578。类似地,第二处理元件580可以包括MC 582与P-P互连586和588。如图5所示,MC
572和582将处理元件570、580耦合至相应的存储器,即存储器532和存储器534,这些存储器可以是本地地附连到相应处理器的主存储器的部分。尽管MC逻辑572和582被例示为被整合到处理元件570、580中,但在一些实施例中,存储器控制器逻辑可以是处理元件570、580外部的分立逻辑,而不是被整合于其中。
572和582将处理元件570、580耦合至相应的存储器,即存储器532和存储器534,这些存储器可以是本地地附连到相应处理器的主存储器的部分。尽管MC逻辑572和582被例示为被整合到处理元件570、580中,但在一些实施例中,存储器控制器逻辑可以是处理元件570、580外部的分立逻辑,而不是被整合于其中。
[0052] 处理元件570和处理元件580可通过链路552和554经由各自的P-P互连576和586被耦合到I/O子系统590。如在图5中所例示的,I/O子系统590包括P-P互连594和598。此外,I/O子系统590包括将I/O子系统590与高性能图形引擎538耦合的接口592。在一个实施例中,总线(未示出)可以被用来将图形引擎538耦合到I/O子系统590。替代地,点对点互连539可以耦合这些组件。
[0053] 进而,I/O子系统590可以经由接口596被耦合到第一链路516。在一个实施例中,第一链路516可以是外围组件互连(PCI)总线,或者例如PCI快速总线或者另一个I/O互连总线的总线,但本发明的范围并不限于此。
[0054] 如在图5中所例示的,各种I/O设备514、524可以与桥518一起被耦合到第一链路515,该桥518可以将第一链路516耦合到第二链路520。在一个实施例中,第二链路520可以是低引脚计数(LPC)总线。各种设备可以被耦合至第二链路520,在一个实施例中,这些设备包括例如键盘/鼠标512、通信设备526(其进而可以与计算机网络503通信),以及可包括代码530的诸如盘驱动器或者其他大容量存储设备的数据存储单元528。代码530可以包括用于执行以上所描述技术中的一种或多种的实施例的指令。此外,音频I/O 524可以被耦合到第二总线520。
[0055] 注意,构想了其他实施例。例如,系统可实现多分支总线或者另一此类通信拓扑,而不是图5的点对点架构。尽管在图4中链路516和520被例示为总线,但可使用任何所期望类型的链路。另外,替换地,可使用比图5中所例示的更多或更少的整合芯片来划分图5的各元件。
[0056] 现参考图6,框图例示出根据另一个实施例的可编程设备600。图5的某些方面已被省略以避免模糊图6的其他方面。
[0057] 图6例示出处理元件670、680可分别包括整合存储器和I/O控制逻辑(“CL”)672和682。在一些实施例中,672、682可包括诸如以上结合图5所描述的存储器控制逻辑(MC)。此外,CL 672、682还可包括I/O控制逻辑。图6例示出不仅存储器632、634可以被耦合到672、
682,而且I/O设备644也可被耦合到控制逻辑672、682。传统I/O设备615可通过接口696被耦合到I/O子系统690。每个处理元件670、680可包括在图5中被例示为处理器核674A、674B、
684A和684B的多个处理器核。如在图6中所例示的,I/O子系统690包括通过链路652和654连接到处理元件670和680的P-P互连676和686的P-P互连694和698。处理元件670和680也可分别通过链路650以及互连678和688来互连。
682,而且I/O设备644也可被耦合到控制逻辑672、682。传统I/O设备615可通过接口696被耦合到I/O子系统690。每个处理元件670、680可包括在图5中被例示为处理器核674A、674B、
684A和684B的多个处理器核。如在图6中所例示的,I/O子系统690包括通过链路652和654连接到处理元件670和680的P-P互连676和686的P-P互连694和698。处理元件670和680也可分别通过链路650以及互连678和688来互连。
[0058] 在图5和6中所描绘的可编程设备是可被用来实现本文所讨论的各种实施例的可编程设备的实施例的示意性说明。在图5和6中所描绘的可编程设备的各种组件可以在片上系统(SoC)架构中组合。
[0059] 现参考图7,在其中可以实现以上所描述的技术的示例基础结构700被示意性例示出。基础结构700包括计算机网络702。计算机网络702可包括当今可用的许多不同类型的计算机网络,诸如,因特网、企业网络或局域网(LAN)。这些网络中的每一个可以包含有线或无线的可编程设备,并且使用任意数量的网络协议(例如,TCP/IP)来进行操作。网络702可被连接到网关和路由器(由708表示)、最终用户计算机706以及计算机服务器704。基础结构700还包括用于和移动通信设备一起使用的蜂窝网络703。移动蜂窝网络支持移动电话和许多其他类型的设备。基础结构700中的移动设备被例示为移动电话710、膝上电脑712,和平板电脑714。诸如移动电话710之类的移动设备可在移动设备移动时与一个或多个移动供应商网络交互,典型地与用于连接到蜂窝网络703的多个移动网络塔720、730、和740交互。尽管在图7中被称为蜂窝网络,但移动设备可以与多于一个供应商网络塔交互,以及与多个诸如无线接入点和路由器708之类的非蜂窝设备交互。此外,移动设备710、712、和714可与诸如计算机704和706之类的非移动设备交互以用于所期望的服务,该服务可以包括上文所描述的模拟传感器数据的认知分析。系统100-300(图1-3)的功能可在图7中所例示的任何设备或设备的组合中实现;然而,最常见的是在网关或者路由器中的防火墙或入侵保护系统中实现。
[0060] 以下各示例涉及进一步的实施例。
[0061] 示例1是一种用于控制系统的认知保护的计算机系统,包括:一个或多个处理器;耦合至一个或多个处理器的一个或多个存储器,指令被存储在一个或多个存储器上,包括在执行时使处理器中的一个或多个进行以下操作的指令:在控制系统的第一信道上从数字传感器接收第一监测信息,其中第一监测信息是数字信息并包括控制系统的至少一个主参数;在控制系统的第二信道上从模拟传感器接收第二监测信息,第二监测信息是模拟信息,并且其中第二信道独立于第一信道;响应于接收第二监测信息确定针对控制系统的至少一个次要参数,其中至少一个次要参数是数字信息;确定至少一个主参数中的差异;以及响应于至少一个主参数中差异的肯定判定提供警告;其中数字传感器和模拟传感器与控制系统相关联。
[0062] 在示例2中,示例1的主题可任选地包括,其中指令进一步包括在执行时使处理器中的一个或多个对第二监测信息执行认知分析的指令。
[0063] 在示例3中,示例1-2的主题可任选地包括,其中指令进一步包括在执行时使处理器中的一个或多个确定至少一个主参数与至少一个次要参数之间差异的指令。
[0064] 在示例4中,示例1-3的主题可任选地包括,其中指令进一步包括在被执行时使处理器中的一个或多个比较至少一个次要参数与一个或多个历史或预定的操作参数的指令。
[0065] 在示例5中,示例1-4的主题可任选地包括,其中至少一个次要参数和至少一个主参数包括相同的操作参数。
[0066] 在示例6中,示例1-5的主题可任选地包括,其中至少一个主参数和至少一个次要参数中的每一个包括重要系统健康指标。
[0067] 在示例7中,示例1-6的主题可任选地包括,其中指令进一步包括在执行时使处理器中的一个或多个响应于接收通知而关闭控制系统的指令。
[0068] 示例8是一种用于控制系统的认知保护的方法,包括:在第一信道上从主传感器接收第一监测信息,其中第一监测信息包括控制系统的至少一个主参数;针对控制系统在第二信道上从次要传感器接收第二监测信息,其中第二信道独立于第一信道;响应于接收第二监测信息确定针对控制系统的至少一个次要参数;确定至少一个主参数中的差异;以及在至少一个主参数中存在差异时提供警告;其中主传感器和次要传感器与控制系统相关联。
[0069] 在示例9中,示例8的主题可任选地包括,进一步包括对第二监测信息执行认知分析。
[0070] 在示例10中,示例8-9的主题可任选地包括,进一步包括确定至少一个主参数与至少一个次要参数之间的差异。
[0071] 在示例11中,示例8-10的主题可任选地包括,进一步包括比较至少一个次要参数与一个或多个历史或预定的操作参数。
[0072] 在示例12中,示例8-11的主题可任选地包括,进一步包括确定至少一个次要参数,至少一个次要参数包括与至少一个主参数相同的操作参数。
[0073] 在示例13中,示例8-12的主题可任选地包括,其中至少一个主参数和至少一个次要参数中的每一个包括重要系统健康指标。
[0074] 在示例14中,示例8-13的主题可任选地包括,进一步包括响应于提供警告关闭控制系统。
[0075] 示例15是一种用于控制系统的认知保护的方法,包括:接收第一监测信息,其中第一监测信息包括控制系统的至少一个主参数;确定第二监测信息,其中第二监测信息包括针对控制系统的至少一个次要参数;确定至少一个主参数中的差异;在至少一个主参数中存在差异时传达警告;响应于接收警告发送命令以关闭控制系统;其中主传感器和次要传感器与控制系统相关联。
[0076] 在示例16中,示例15的主题可任选地包括,进一步包括通过对针对控制系统所获取的模拟传感器数据的认知分析确定第二信息。
[0077] 在示例17中,示例15-16的主题可任选地包括,进一步包括确定作为至少一个主参数与至少一个次要参数之间差异的值。
[0078] 在示例18中,示例15-17的主题可任选地包括,进一步包括基于至少一个次要参数与一个或多个历史或预定的操作参数的比较确定差异。
[0079] 在示例19中,示例15-18的主题可任选地包括,其中至少一个次要参数和至少一个主参数包括相同的操作参数。
[0080] 在示例20中,示例15-19的主题可任选地包括,其中至少一个主参数和至少一个次要参数中的每一个包括重要系统健康指标。
[0081] 在示例21中,示例15-20的主题可任选地包括,其中至少一个主参数和至少一个次要参数包括数字信息。
[0082] 示例22是一个或多个机器可读介质,指令被存储在机器可读介质上,包括在被处理器执行时使机器进行以下操作的指令:针对控制系统在第一信道上从数字传感器接收第一监测信息,其中第一监测信息是数字信息并包括控制系统的至少一个主参数;针对控制系统在第二信道上从模拟传感器接收第二监测信息,第二监测信息是模拟信息,并且其中第二信道独立于第一信道;响应于接收第二监测信息确定针对控制系统的至少一个次要参数,其中至少一个次要参数是数字信息;确定至少一个主参数中的差异;以及响应于至少一个主参数中差异的肯定判定提供警告;其中数字传感器和模拟传感器与控制系统相关联。
[0083] 在示例23中,示例22的主题可任选地包括,其中用于确定至少一个次要参数的指令进一步包括在被执行时使机器对第二监测信息执行认知分析的指令。
[0084] 在示例24中,示例22-23的主题可任选地包括,其中用于确定差异的指令进一步包括在执行时使机器确定至少一个主参数与至少一个次要参数之间差异的指令。
[0085] 在示例25中,示例22-24的主题可任选地包括,其中用于确定差异的指令进一步包括在被执行时使机器比较至少一个次要参数与一个或多个历史或预定的操作参数的指令。
[0086] 在示例26中,示例22-25的主题可任选地包括,其中至少一个次要参数和至少一个主参数包括相同的操作参数。
[0087] 在示例27中,示例22-26的主题可任选地包括,其中至少一个主参数和至少一个次要参数中的每一个包括重要系统健康指标。
[0088] 在示例28中,示例22-27的主题可任选地包括,其中主传感器是数字传感器而次要传感器是模拟传感器。
[0089] 在示例29中,示例22-28的主题可任选地包括,其中指令进一步包括在执行时使机器响应于接收通知而关闭控制系统的指令。
[0090] 应当理解,以上描述旨在是说明性的而非限制性的。例如,上述实施例可以彼此相结合地使用。在回顾了以上描述之后,许多其他实施例对本领域技术人员将是显而易见的。因此,应当参照所附权利要求书以及被授予权利的此类权利要求的等效方案的完整范围来确定本发明的范围。