[发明专利]工业系统事件检测和对应的响应

说明书

描述了提供工业系统网络安全事件检测和对应的响应的系统和方法。该系统和方法利用工业控制系统中已经可用的各种端点传感器和相关联的监控过程，基于传感器收集的数据来检测网络安全和其他安全威胁。网络安全监控过程可以用已知威胁的传感器数据模式和行为来训练，以识别潜在恶意活动。这样的过程还可以学习识别新的威胁并在新的威胁上进行训练，还可以合并每个新的威胁以跟上演变的工业威胁。这允许企业在很少或没有现有工业过程的干扰或中断的情况下利用其现有的工业基础设施来检测和应对工业系统的各种威胁。

相关申请的交叉引用

本专利申请要求2018年9月17日提交的题为“Systems and Methods ofIndustrial System Event Detection and Corresponding Response”的美国临时申请第62/732394号的优先权，并通过引用将其并入本文。

技术领域

根据本公开的至少一个实施例总体上涉及用于提供工业系统网络安全事件检测的系统和方法，更具体地，涉及提供工业系统网络安全事件检测和对应的响应的系统和方法。

背景技术

目前的过程控制系统是从之前的气动和电子模拟控制系统演变而来。这些早期控制系统被设计成以自主但协调的方式为生产过程的控制回路或多个相关控制回路提供过程控制功能，其中协调通常通过对多个控制器的设置点进行适当设置来实现。因此，早期控制系统的架构与生产过程的工艺流程相一致，其中每个控制通常限于对操作的整个生产流程的一小部分或组件的控制。因此，每个过程控制器都可以合理地应用于其负责控制的操作的部分或组件，但在其他方面受到限制。

因此，尽管在工业系统和过程控制领域中已经取得了许多进步，但是很容易理解，仍然需要不断的改进。

发明内容

描述了提供工业系统网络安全事件检测和对应的响应的系统和方法。该系统和方法利用工业控制系统中已经可用的各种端点传感器和相关联的监控过程，基于传感器收集的数据来检测网络安全和其他安全威胁。网络安全监控过程可以用已知威胁的传感器数据模式和行为来训练，以识别潜在恶意(malicious)活动。这样的过程还可以学会识别新的威胁并在新的威胁上进行训练，还可以合并每个新的威胁以跟上演变的工业威胁。这允许企业在很少或没有现有工业过程的干扰或中断的情况下利用其现有的工业基础设施来检测和应对工业系统的各种威胁。

总的来说，在一个方面，本公开涉及提供工业系统网络安全事件检测和对应的响应的方法。此外，方法包括从工业系统中的一个或多个工业传感器接收传感器输出，该工业传感器用于监控和控制工业系统中的工业过程，并从传感器输出中导出传感器数据，该传感器数据反映工业过程的一个或多个工业处理方面。该方法还包括使用一个或多个模式识别算法处理传感器数据，该一个或多个模式识别算法被训练成识别指示工业系统上的潜在网络攻击的潜在可疑/恶意模式。该方法还包括确定一个或多个模式识别算法是否将传感器数据识别为潜在可疑/恶意模式；以及响应于传感器数据被识别为潜在可疑/恶意模式，执行恶意模式响应过程。

根据前述实施例中的任何一个或多个，恶意模式响应过程包括一个或多个过程控制动作，该一个或多个控制动作基于每个模式、基于一组模式或针对所有模式来定义，和/或该一个或多个过程控制动作包括不做任何事情、通知一组用户、监控工业过程的一个或多个方面的进一步变化、停止工业过程的一个或多个方面的部分或停止工业过程。

根据前述实施例中的任何一个或多个，该方法还包括响应于传感器数据被识别为潜在可疑/恶意模式，将传感器数据存储在模式识别储存库中，和/或响应于传感器数据未被识别为潜在可疑/恶意模式，执行补救响应过程。

根据前述实施例中的任何一个或多个，一个或多个模式识别算法是机器学习算法，通过在工业系统中的预定义点将一个或多个训练模式注入工业系统来训练机器学习算法，和/或将注入工业系统的一个或多个训练模式存储在训练模式库中。