[发明专利]恶意攻击检测和分析

说明书

优先权要求

本申请要求于2010年5月20日提交的第61/346,787号美国临时申请的优先权，在此通过引用将其全部内容并入本文。

技术领域

本发明一般涉及一种用于检测和识别智能公用电网系统中的非希望事件的系统和方法，并且更具体地涉及一种用于检测和识别对智能公用电网系统的恶意攻击的系统和方法。

背景技术

对智能电网的网际协议(IP)、工业控制系统(ICS)、物理控制系统以及监督控制和数据采集(SCADA)攻击的目标是通过利用一个或者多个漏洞(vulnerability)(例如电网上的射频(RF)有干扰无线节点、密钥推导、快闪固件、来自不适当实体的匿名输入、物理硬件篡改)来绕过电网的正常操作。这些风险中的许多风险具有为ICS/SCADA安全控制、物理安全控制或者企业信息技术、操作或者物理安全控制所缓解的限定好的解决方案。残留风险是在已经应用安全控制之后的剩余风险。多数系统从未完全安全并且残留风险总是存在。当面临智能电网的网络安全挑战时，超出为SCADA、企业IT、操作或者物理安全控制所缓解的典型风险之外的残留安全风险犹存。

发明内容

根据公开内容的一个方面，一种表征智能公用电网系统中的恶意活动的方法可以包括从智能电网系统接收包括信息技术(IT)相关活动的IT数据。该方法还可以包括从多个电子来源接收包括位置特定事件数据的非IT数据。如后文将更具体说明的那样，非IT数据包括电力网传统上未使用的与信息技术相关的信息(或者数据)以及例如高价值目标的历史数据和地址或位置这样的信息。该方法还可以包括预处理非IT数据，预处理包括：忽略无法满足预定水平的相关性的非IT数据，该相关性是与多个风险相关事件之一的相关性。该方法还可以包括将多个规则应用于预处理的非IT数据以：参照IT相关活动关联非希望事件；并且确定非希望事件指示恶意活动的概率。事件可以已经出现或者可以尚未出现。该方法还可以包括基于概率和IT相关活动将风险表征应用于非希望事件。

根据公开内容的另一方面，一种用于表征智能公用电网中的恶意活动的系统可以包括系统储存器，在系统储存器中存储包括多个规则的数据库。收集器可操作以从智能电网系统收集并且在系统储存器中存储包括信息技术(IT)相关活动的IT数据。复杂事件处理(CEP)总线可操作以从多个电子来源接收包括位置特定事件数据的非IT数据，CEP总线还可操作以忽略无法满足与多个风险相关事件之一的预定水平的相关性的非IT数据。处理器可操作以将多个规则应用于相关的非IT数据以：参照IT相关活动关联非希望事件；并且确定非希望事件指示恶意活动的概率。处理器还可操作以基于概率和IT相关活动将风险表征应用于非希望事件。风险表征可以例如包括可以针对其分派维修团队的工程风险，或者它可以是向执法当局报警的安全风险。

其它系统、方法、特征和优点将在考察以下附图和具体实施方式时变得为本领域技术人员所清楚。旨在于所有这样的附加系统、方法、特征和优点包含于本说明书内、在本发明的范围内并且为所附权利要求所保护。

附图说明

图1是用于电力网的总体架构的一个示例的框图。

图2是图1中描绘的智能网络数据企业(INDE)核心的框图。

图3是用于电力网的总体架构的另一示例的框图。

图4是图1和图3中描绘的INDE变电站的框图。

图5是图1和图3中描绘的INDE设备的框图。

图6是用于电力网的总体架构的又一示例的框图。

图7是用于电力网的总体架构的又一示例的框图。

图8是包括可观测性过程的一些示例的列表的框图。

图9示出了电网状态测量和操作过程的流程图。

图10示出了非操作数据过程的流程图。

图11示出了事件管理过程的流程图。

图12示出了需求响应(DR)信令过程的流程图。

图13示出了断电智能过程的流程图。

图14示出了缺陷智能过程的流程图。

图15示出了元数据管理过程的流程图。

图16示出了通知代理过程的流程图。

图17示出了收集电表数据(AMI)过程的流程图。

图18A-D是可以用来代表基线连接性数据库的实体关系图的示例。

图19示出了蓝图进度流程图形的示例。