ОРГАНИЗАЦИЯ СИСТЕМЫ УПРАВЛЕНИЯ В РЕЖИМЕ РЕАЛЬНОГО ВРЕМЕНИ Российский патент 2018 года по МПК G05B19/00 G05B23/02 

Описание патента на изобретение RU2658392C2

ОБЛАСТЬ ТЕХНИКИ

[0001] Настоящее изобретение относится к встроенным системам управления и, в частности, к системам и способам осуществления отслеживания поведения и обнаружения аномалий встроенных систем управления в режиме реального времени.

УРОВЕНЬ ТЕХНИКИ

[0002] Встроенные системы управления являются неотъемлемой частью производственных операций и приложений для авиакосмической области, таких как для функционирования систем самолета и систем обеспечения целевых задач. Объединенные в сеть встроенные датчики, управляющие устройства и исполнительно-приводные средства увеличивают уровень производительности, что является результатом большего количества собранной информации и использования компьютерной системы управления. Однако с течением времени характеристики, или параметры, этих систем могут существенно отклоняться от номинального состояния или ухудшаться вследствие различных причин, таких как обычное использование, повреждение или даже кибератаки. Кроме того, из-за глобализации цепи поставок встроенных устройств и усовершенствования кибератак, также увеличилось присутствие эксплойтов, или программных средств кибернетических атак, "нулевого дня" (zero-day exploit) и увеличилась возможность злонамеренного использования уязвимых мест атакуемой конструкции.

[0003] Отказ этих встроенных систем управления или их снижение их эффективности может быть незаметным и сложным для обнаружения. Соответственно, это подтверждает необходимость в системах и способах обнаружения аномального поведения сетевых встроенных систем управления в режиме реального времени.

РАСКРЫТИЕ ИЗОБРЕТЕНИЯ

[0004] Раскрыты системы и способы организации системы управления в режиме реального времени в сетевых средах. В одном варианте осуществления изобретения основанный на применении компьютера способ отслеживания поведения и обнаружения аномалий встроенных систем управления в режиме реального времени включает создание поведенческой обучающей последовательности для встроенной системы управления, причем поведенческая обучающая последовательность соотносит входные сигналы в указанную встроенную систему управления с выходными сигналами из нее во время обучающего процесса для определения поведенческих характерных признаков для указанной встроенной системы управления; отслеживание входных сигналов в указанную встроенную систему управления и выходных сигналов из нее в режиме реального времени во время работы указанной встроенной системы управления; и создание тревожного сигнала, когда по меньшей мере один из входных сигналов в указанную встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, представляет аномалию.

[0005] В другом варианте осуществления изобретения основанная на применении компьютера система для отслеживания поведения и обнаружения аномалий встроенной системы управления в режиме реального времени содержит обрабатывающее устройство и логические инструкции, хранящиеся на материальном носителе, читаемом с помощью компьютера и соединенном с обрабатывающим устройством, которые при выполнении их указанным обрабатывающим устройством конфигурируют его с обеспечением возможности создания поведенческой обучающей последовательности для встроенной системы управления, причем поведенческая обучающая последовательность соотносит входные сигналы в указанную встроенную систему управления с выходными сигналами из нее во время обучающего процесса для определения поведенческих характерных признаков для указанной встроенной системы управления; возможности отслеживания входных сигналов в указанную встроенную систему управления и выходных сигналов из нее в режиме реального времени во время работы указанной встроенной системы управления; и возможности создания тревожного сигнала, когда по меньшей мере один из входных сигналов в указанную встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, представляет аномалию.

[0006] В другом варианте осуществления изобретения компьютерный программный продукт, содержащий логические инструкции, хранящиеся на материальном носителе, читаемом с помощью компьютера и соединенном с обрабатывающим устройством, которые при выполнении их указанным обрабатывающим устройством конфигурируют его с обеспечением возможности создания поведенческой обучающей последовательности для встроенной системы управления, причем поведенческая обучающая последовательность связывает входные сигналы в указанную встроенную систему управления с выходными сигналами из нее во время обучающего процесса для определения поведенческих характерных признаков для указанной встроенной системы управления; возможностью отслеживания входных сигналов в указанную встроенную систему управления и выходных сигналов из нее в реальном времени во время работы указанной встроенной системы управления; и возможности создания тревожного сигнала, когда по меньшей мере один из входных сигналов в указанную встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, представляют аномалию.

[0007] Дополнительные области применимости будут очевидны из описания, предоставленного в настоящем документе. Следует понимать, что указанное описание и конкретные примеры предназначены только для иллюстративных целей, но не для ограничения объема настоящего раскрытия.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

[0008] Варианты осуществления способов, систем и компьютерных программных продуктов в соответствии с идеями настоящего раскрытия подробно описаны ниже со ссылкой на следующие чертежи.

[0009] На фиг.1А-1В представлены схематичные иллюстрации системы для осуществления отслеживания поведения и обнаружения аномалий встроенных систем управления в режиме реального времени в соответствии с вариантами осуществления изобретения.

[0010] На фиг.2 представлена схематичная иллюстрация компьютерного устройства, которое может быть выполнено с обеспечением возможности отслеживания поведения и обнаружения аномалий встроенных систем управления в режиме реального времени в соответствии с вариантами осуществления изобретения.

[0011] На фиг.3 представлена блок-схема, иллюстрирующая способ отслеживания поведения и обнаружения аномалий встроенных систем управления в режиме реального времени в соответствии с вариантами осуществления изобретения.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ

[0012] В настоящем документе описаны системы и способы отслеживания поведения и обнаружения аномалий встроенных систем управления в режиме реального времени. Для обеспечения полного понимания таких вариантов осуществления в следующем описании и на чертежах изложены конкретные признаки некоторых вариантов осуществления изобретения. Однако специалистам в области техники будет понятно, что могут применяться альтернативные варианты осуществления изобретения без признаков, описанных в следующем описании.

[0013] Описанные здесь различные варианты осуществления изобретения показаны в контексте по меньшей мере одной основанной на применении компьютера системы, которая может реализовывать этапы создания поведенческой обучающей последовательности для встроенной системы управления. Например, в некоторых вариантах осуществления изобретения основанная на применении компьютера система может создавать обучающую последовательность, которая соотносит входные сигналы во встроенную систему управления с выходными сигналами из нее во время обучающего процесса для определения поведенческих характерных признаков для указанной встроенной системы управления, работающей при нормальных или устойчивых условиях. Поведенческие характерные признаки могут быть сохранены в подходящем хранилище данных, например, базе данных, в форме, которая связывает входные сигналы во встроенную систему управления с выходными сигналами из нее.

[0014] В режиме реального времени основанная на применении компьютера система может отслеживать входные сигналы во встроенную систему управления и выходные сигналы из нее во время работы указанной встроенной системы управления. В некоторых вариантах осуществления изобретения выходные сигналы, собранные из указанной системы, могут сравнивать по меньшей мере с одним выходным сигналом, собранным во время обучающего процесса. Если расхождение между указанными по меньшей мере одним из входных сигналов во встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени и по меньшей мере одним выходным сигналом, собранным во время обучающего процесса, превышает пороговое значение, то указанные по меньшей мере один входной сигнал во встроенную систему управления или выходной сигнал, собранный из нее во время работы в режиме реального времени, может быть охарактеризован, как аномалия. Когда по меньшей мере один входной сигнал во встроенную систему управления или по меньшей мере один из выходных сигналов, собранных из нее во время работы в режиме реального времени, представляет аномалию, система может создавать тревожный сигнал.

[0015] На фиг.1А-1В изображены схематичные иллюстрации системы для осуществления отслеживания поведения и обнаружения аномалий встроенных систем управления в режиме реального времени в соответствии с вариантами осуществления изобретения. Как показано на фиг.1А, в одном варианте осуществлении изобретения система 100 может быть выполнена в обучающем режиме, в котором система 100 выполнена с возможностью создания обучающей последовательности по меньшей мере для одной встроенной системы управления. В некоторых вариантах осуществления изобретения система 100 принимает входной сигнал по меньшей мере от одной сетевой встроенной системы 110 управления. Сетевые встроенные системы 110 управления могут содержать по меньшей мере одно встроенное управляющее устройство в составе оборудования на производственном участке. К примеру, сетевые встроенные системы 110 управления могут содержать по меньшей мере одно встроенное управляющее устройство, которое отслеживает или автоматизирует производственный процесс. Выходные данные из сетевых встроенных систем управления могут содержать по меньшей мере один параметр процесса, измерение оборудования, замер условия окружающей среды или тому подобное.

[0016] Система 100 содержит по меньшей мере одно приложение 120 поведенческого входного атрибута, приложение 125 классифицирующего корреляционного устройства и поведенческого входного сигнала, хранилище 130 данных для классификационных данных и поведенческого входного сигнала, хранилище 140 данных для параметров вычислительного резервуара и хранилище 145 данных для поведенческой обучающей последовательности. В некоторых вариантах осуществления изобретения приложения 120, 125, 135 могут быть реализованы, как логические инструкции, хранящиеся на не кратковременном носителе, читаемом с помощью компьютера, которые при исполнении их обрабатывающим устройством конфигурируют это обрабатывающее устройство с обеспечением возможности реализации этапов создания поведенческой обучающей последовательности, которая соотносит входные сигналы в сетевую встроенную систему 110 управления с выходными сигналами из нее при устойчивых и/или заранее определенных рабочих условиях.

[0017] Как показано на фиг.1В, в некоторых вариантах осуществления изобретения система 100 может быть выполнена с возможностью отслеживания входных сигналов во встроенную систему управления и выходных сигналов из нее в в режиме реального времени во время работы встроенной системы 100 управления. Входные данные в сетевую встроенную систему 110 управления могут содержать управляющие параметры по меньшей мере от одной системы управления и сигналы обратной связи по меньшей мере от одной отслеживающей системы, связанной с сетевой встроенной системой 110 управления. Выходные данные от сетевых встроенных систем могут содержать по меньшей мере один параметр процесса, измерение оборудования, замер условия окружающей среды или тому подобное.

[0018] При отслеживании, выполненная так, как показано на фиг.1 В, система 100 содержит по меньшей мере одно приложение 120 поведенческого входного атрибута, приложение 125 классифицирующего корреляционного устройства и поведенческого входного сигнала, хранилище 130 данных для классификационных данных и поведенческого входного сигнала, хранилище 140 данных для параметров вычислительного резервуара, хранилище 145 данных для поведенческой обучающей последовательности, приложения 165 поведенческой модели, приложения 170 классификатора аномального поведения и приложения 175 выпуска поведенческого тревожного сигнала. В некоторых вариантах осуществления изобретения приложения 120, 125, 135, 165, 170, 175 могут быть реализованы, как логические инструкции, хранящиеся на не кратковременном носителе, читаемом с помощью компьютера, которые при исполнении их обрабатывающим устройством конфигурируют это обрабатывающее устройство с обеспечением возможности реализации этапов создания поведенческой обучающей последовательности, которая соотносит входные сигналы в сетевую встроенную систему 110 управления с выходными сигналами из нее при устойчивых и/или заранее определенных рабочих условиях.

[0019] В некоторых вариантах осуществления изобретения оба различных компонента системы 100, изображенные на фиг.1, могут быть реализованы в среде компьютерных систем. На фиг.2 представлена схематичная иллюстрация вычислительной системы 200, которая может быть выполнена с возможностью реализации частей системы 100 в соответствии с некоторыми вариантами осуществления изобретения. В одном варианте осуществления изобретения система 200 содержит вычислительное устройство 208 и по меньшей мере одно сопутствующее устройство ввода/вывода, содержащее отображающее устройство 202, имеющее экран 204, по меньшей мере один динамик 206, клавиатуру 210, по меньшей мере одно другое устройство 212 ввода/вывода и манипулятор «мышь» 214. Другое устройство 212 ввода/вывода может содержать сенсорный экран, устройство речевого ввода, шаровой манипулятор и любое другое устройство, обеспечивающее системе 200 возможность приема ввода от пользователя.

[0020] Вычислительное устройство 208 содержит системное аппаратное обеспечение 220 и запоминающее устройство 230, которое может быть реализовано, как оперативное запоминающее устройство и/или постоянное запоминающее устройство. Хранилище 280 файлов может быть соединено с вычислительным устройством 208 с возможностью осуществления связи. Хранилище 280 может быть встроено в вычислительное устройство 208 так, что, например, может представлять собой по меньшей мере один жесткий диск, накопитель на компакт-диске, накопитель на DVD-диске или другой тип устройств хранения. Хранилище 280 файлов может быть также внешним по отношению к компьютеру 208, таким как, например, по меньшей мере один внешний жесткий диск, хранилище, присоединенное посредством сети, или отдельная сеть для хранения данных.

[0021] Системное аппаратное обеспечение 220 может содержать по меньшей мере одно обрабатывающее устройство 222, по меньшей мере одно графическое обрабатывающее устройство 224, сетевой интерфейс 226 и шинную структуру 228. В настоящем документе термин «обрабатывающее устройство» означает любой тип вычислительного элемента, такой как среди прочего микрообрабатывающее устройство, микроуправляющее устройство, микрообрабатывающее устройство архитектуры CISC (complex instruction set computing, вычисление со сложным набором команд), микрообрабатывающее устройство архитектуры RISC (reduced instruction set, уменьшенный набор инструкций), микрообрабатывающее устройство архитектуры VLIW (very long instruction word, команды сверхбольшой разрядности) или любой другой тип обрабатывающего устройства или обрабатывающей схемы.

[0022] Графическое обрабатывающее устройство 224 может функционировать в качестве вспомогательного обрабатывающего устройства, которое управляет графическими и/или видео операциями. Графическое обрабатывающее устройство 224 может быть встроено в системную плату вычислительной системы 200 или может быть связано с системной платой через расширительное гнездо.

[0023] В одном варианте осуществления изобретения сетевой интерфейс 226 может представлять собой проводной интерфейс, такой как интерфейс Ethernet (см, например, стандарта IEEE 802.3-2002 (Institute of Electrical and Electronics Engineers, институт инженеров по электротехнике и электронике)) или беспроводной интерфейс, такой как интерфейс, соответствующий стандарту IEEE 802.11а, b или g (см. IEEE стандарт ИТ - телекоммуникаций и информационного обмена между системами LAN/MAN (Local Area Network/Metropolitan area network, локальные вычислительные сети/сети мегаполисов) часть II: спецификации управления доступом к среде (MAC, Medium Access Control) и физического уровня (PHY, Physical Layer) для беспроводных ЛВС, Дополнение 4: Дальнейшее расширение высокоскоростной передачи данных в частотном диапазоне 2,4 ГГц, 802.11G-2003). Другим примером беспроводного интерфейса может являться интерфейс GPRS (general packet radio service, пакетная радиосвязь общего пользования) (см., например, Руководство по требованиям к переносным телефонам GPRS, Ассоциация GSM (Global System for Mobile Communications, глобальная система мобильной связи), вер. 3.0.1, декабрь 2002).

[0024] Шинные структуры 228 соединяют различные компоненты системного аппаратного обеспечения 220. В одном варианте осуществления изобретения шинные структуры 228 могут являться по меньшей мере одним из нескольких типов шинных структур, содержащих шину памяти, периферийную шину или внешнюю шину и/или локальную шину, использующую любой ассортимент доступных шинных архитектур, включая среди прочего 11-разрядную шину, архитектуру промышленного стандарта (ISA, Industrial Standard Architecture), микроканальную архитектуру (MSA, Micro-Channel Architecture), расширенную ISA (EISA), интерфейс IDE (Intelligent Drive Electronics), локальную шину VESA (VLB), шину PCI (Peripheral Component Interconnect, шина соединения периферийных компонентов), шину USB (Universal Serial Bus, универсальная последовательная шина), разъем AGP (Advanced Graphics Port, усовершенствованный графический разъем), шину PCMCIA (Personal Computer Memory Card International Association, международная ассоциация производителей карт памяти для персональных компьютеров) и интерфейс SCSI (Small Computer Systems Interface, интерфейс малых компьютерных систем).

[0025] Запоминающее устройство 230 может содержать операционную систему 240 для управления работой вычислительного устройства 208. В одном варианте осуществления изобретения операционная система 240 содержит интерфейсный модуль 254 аппаратного обеспечения, который обеспечивает интерфейс для системного аппаратного обеспечения 220. Дополнительно, операционная система 240 может содержать файловую систему 250, которая управляет файлами, использованными в работе вычислительного устройства 208, и подсистему 252 управления процессом, которая управляет процессом, выполняющимся на вычислительном устройстве 208.

[0026] Операционная система 240 может содержать (или организовывать) по меньшей мере один интерфейс связи, который может работать во взаимодействии с системным аппаратным обеспечением 220 для передачи пакетов данных и/или потоков данных от удаленного источника. Операционная система 240 может дополнительно содержать интерфейсный модуль 242 системного вызова, который обеспечивает интерфейс между операционной системой 240 и по меньшей мере одним прикладным модулем, расположенном в запоминающем устройстве 130. Операционная система 240 может быть осуществлена, как операционная система товарной марки Windows®, операционная система типа UNIX или любые ее модификации (например, Linux, Solaris и т.п.) или другие операционные системы.

[0027] Как было описано выше, в некоторых вариантах осуществления изобретения различные приложения системы 100 могут содержать зашифрованные логические инструкции на материальном носителе, читаемом с помощью компьютера, таком как запоминающее устройство 230, которые при выполнении их обрабатывающим устройством 222 инициируют обрабатывающее устройство 222 осуществлять определенные этапы. Таким образом, в некоторых вариантах осуществления изобретения запоминающее устройство 230 может содержать по меньшей мере одно приложение 120 поведенческого входного атрибута, приложение 125 классифицирующего корреляционного устройства и поведенческого входа, хранилище 130 данных для классификационных данных и поведенческого входа, хранилище 140 данных для параметров вычислительного резервуара, хранилище 145 данных для поведенческой обучающей последовательности, приложения 165 поведенческой модели, приложения 170 классификатора аномального поведения и приложения 175 выпуска поведенческого тревожного сигнала.

[0028] После описания структурных компонентов системы 100 будут описаны действия системы 100 со ссылкой на фиг.3, которая представляет собой блок-схему, иллюстрирующую этапы в способе отслеживания поведения и обнаружения аномалий встроенных систем управления в режиме реального времени в соответствии с вариантами осуществления изобретения.

[0029] Ссылаясь на фиг.3, на этапе 310 создают поведенческую обучающую последовательность. Ссылаясь на фиг.1А, в обучающем режиме работы приложение 120 поведенческого входного атрибута принимает входные данные в сетевую встроенную систему 110 управления и выходные данные их нее, когда система 110 работает при стабильных и/или известных условиях. К примеру, в некоторых вариантах осуществления изобретении обучающая последовательность входных сигналов в сетевую встроенную систему 110 управления может быть сохранена в хранилище 145 данных для поведенческой обучающей последовательности. Приложение 120 поведенческого входного атрибута может обеспечивать обучающую последовательность входных сигналов по меньшей мере в одну сетевую встроенную систему 110 управления и может принимать выходные данные, созданные указанной по меньшей мере одной сетевой встроенной системой 110 управления в ответ на указанные входные сигналы. Приложение 120 поведенческого входного атрибута может передавать принятые выходные сигналы приложению 125 классифицирующего корреляционного устройства и поведенческого входа.

[0030] Приложение 125 классифицирующего корреляционного устройства и поведенческого входа принимает выходные сигналы, созданные указанной по меньшей мере одной сетевой встроенной системой 110 управления, соотносит эти выходные сигналы с указанным входным сигналом, обеспеченным сетевой встроенной системе 110 управления, и сохраняет указанные выходные сигналы и соотношение в хранилище 130 данных для классификационных данных и поведенческого входного сигнала. Далее, приложение 125 классифицирующего корреляционного устройства и поведенческого входного сигнала принимает нормальный поведенческий классификационный входной сигнал 115, который может быть обеспечен посредством внешнего источника, для указанной по меньшей мере одной сетевой встроенной системы 110 управления и использует нормальный поведенческий классификационный входной сигнал 115 для классификации выходных сигналов из указанной по меньшей мере одной сетевой встроенной системы 110 управления.

[0031] Поведенческое обучающее приложение 135 обеспечивает пользователю указанной системы возможность осуществления доступа к обучающим последовательностям в хранилище 145 данных для поведенческой обучающей последовательности и соотнесенным параметрам из базы данных для параметров вычислительного резервуара. Кроме того, поведенческое обучающее приложение 135 может применять по меньшей мере один параметр вычислительного резервуара к обучающей последовательности для регулировки этой обучающей последовательности для достижения уровня чувствительности. В некоторых вариантах осуществления изобретения для регулировки доступны шесть параметров, а именно:

[0032] Размер резервуара: параметр, который задает количество узлов внутри сети на основе вычислительного резервуара, основанный на теории изучения статистики, этот параметр влияет на глубину моделирования.

[0033] Входное масштабирование: параметр, который взвешивает входные атрибуты, непосредственно воздействующие на динамику резервуара, который помогает нормализовать динамику резервуара, предназначенную в равной степени как для небольших входных амплитуд, так и для больших входных амплитуд, и определяет степень нелинейности указанного резервуара.

[0034] Масштабирование выходного сигнала обратной связи: параметр, который задает величину сигнала обратной связи для сети на основе вычислительного резервуара для управления стабильностью, способствует выявлению степени колебаний поведенческих шаблонов, и определяет, насколько независимым является компонент создания шаблонов управляющих устройств 120 обученной сетевой встроенной системы управления.

[0035] Радиус спектра весовой матрицы резервуара: параметр, который управляет ответами на импульсы сети на основе вычислительного резервуара и входным значением диапазона взаимодействий, способствует определениям поведенческой чувствительности и зависит от того, требует или нет задача в вопросе длинной или короткой памяти для обеспечения возможности влияния прошлых входных сигналов на будущие выходные сигналы.

[0036] Скорость рассеяния: параметр, который управляет чувствительностью сети на основе вычислительного резервуара к помехонасыщенному поведению, поведенческим шаблонам, искаженным по времени, и/или очень медленной динамической системе.

[0037] Масштабирование помех: параметр, который управляет значимостью интеграторов помех для сети на основе вычислительного резервуара, которая влияет на классификационную чувствительность стабильных/хаотических аспектов поведенческого шаблона.

[0038] Таким образом, в тренировочной/обучающей конфигурации, показанной на фиг.1А, система 100 конструирует профильный файл входных сигналов и связанных выходных сигналов по меньшей мере для одной сетевой встроенной системы 110 управления при условиях, являющихся стабильными и/или обычными рабочими условиями, и может классифицировать указанные выходные сигналы в соответствии с классификационной схемой. Результаты сохраняют в хранилище 145 данных для поведенческой обучающей последовательности.

[0039] Ссылаясь снова на фиг.3, оставшиеся этапы реализованы системой 100, когда она находится в отслеживающей конфигурации, как изображено на фиг.1В. На этапе 315 система 100 отслеживает входные сигналы в указанную по меньшей мере одну сетевую встроенную систему 110 управления и выходные сигналы из нее во время работы в реальном времени указанной сетевой встроенной системы 110 управления. К примеру, как изображено на фиг.1В, в некоторых вариантах осуществления изобретения приложение 120 поведенческого входного атрибута отслеживает указанную по меньшей мере одну сетевую встроенную систему 110 управления для приема входных сигналов в указанную систему 110 управления и выходных сигналов, созданных ею. В других вариантах осуществления изобретения приложение 120 поведенческого входного атрибута заранее запрашивает входные сигналы в указанную по меньшей мере одну сетевую встроенную систему 110 управления и выходные сигналы из нее.

[0040] Данные, собранные приложением 120 поведенческого входного атрибута, передают приложению 165 поведенческой модели. В некоторых вариантах осуществления изобретения приложение 165 поведенческой модели может быть реализовано, как обученная и развернутая сеть на основе вычислительного резервуара. Приложение 165 поведенческой модели обучено при помощи поведенческого обучающего приложения 135. Таким образом, приложение 165 поведенческой модели будет иметь свои сконфигурированные параметры вычислительного резервуара и матрицу сети на основе вычислительного резервуара. Приложение 165 поведенческой модели отслеживает поведенческие выходные атрибуты и выводит классификацию на основании изученных конфигурации и обучающих последовательностей.

[0041] Выходные сигналы, созданные посредством приложения 165 поведенческой модели, передают приложению 170 классификатора аномального поведения, которое интерпретирует результаты приложения 165 поведенческой модели и определяет, является ли результат аномалией. К примеру, в некоторых вариантах осуществления изобретения по меньшей мере один выходной сигнал, собранный из сетевой встроенной системы 110 управления в режиме реального времени сравнивают (этап 320) по меньшей мере с одним выходным сигналом, собранным во время обучающего процесса, и характеризуют, как аномалию, когда расхождение между указанными по меньшей мере одним выходным сигналом, собранным из встроенной системы управления во время работы в режиме реального времени, и по меньшей мере одним выходным сигналом, собранным во время обучающего процесса, превышает пороговое значение (этапы 325, 330). Пороговое значение может являться постоянным значением, пропорциональным амплитуде выхода, или может быть динамическим. В некоторых вариантах осуществления изобретения приложение 170 классификатора аномального поведения может также определять степень критичности этой аномалии (этап 335).

[0042] Выходной сигнал, созданный посредством приложения 170 классификатора аномального поведения, передают приложению 175 выпуска поведенческого тревожного сигнала так, что тревожный сигнал может быть создан и выпущен (этап 340) по меньшей мере в одно внешнее приложение 180. Кроме того, результаты могут передавать для обработки приложению 125 классифицирующего корреляционного устройства и поведенческого входа. В некоторых вариантах осуществления изобретения приложение 125 классифицирующего корреляционного устройства и поведенческого входного сигнала сохраняет указанный по меньшей мере один выходной сигнал, собранный из встроенной системы управления во время работы в режиме реального времени, в запоминающем устройстве (этап 345) и обновляет поведенческую обучающую последовательность (этап 350), используя указанный по меньшей мере один выходной сигнал, собранный из встроенной системы управления во время работы в режиме реального времени, в запоминающем устройстве, например, посредством обновления хранилища 130 данных для классификационных данных и поведенческого входного сигнала.

[0043] Хотя вариант осуществления изобретения, изображенный на фиг.1А и 1В, показывает одно приложение 165 поведенческой модели и одно приложение 170 классификатора аномального поведения, специалистам в области техники будет понятно, что система 100 может содержать многочисленные приложения 165 поведенческой модели и приложения 170 классификатора аномального поведения для применения в многоуровневой системе обнаружения аномалий.

[0044] В вышеприведенном обсуждении были описаны конкретные реализации примерных процессов, однако, следует понимать, что в альтернативных реализациях некоторые этапы не обязательно должны быть выполнены в вышеописанном порядке. В альтернативных вариантах осуществления изобретения некоторые этапы могут быть изменены, выполнены в различном порядке, или могут быть полностью пропущены в зависимости от обстоятельств. Кроме того, в различных альтернативных реализациях описанные этапы могут быть реализованы посредством компьютера, управляющего устройства, обрабатывающего устройства, программируемого устройства, программно-аппаратных средств или любого другого подходящего устройства, а также могут быть основаны на инструкциях, хранящихся по меньшей мере на одном читаемом с помощью компьютера носителе, или иным образом сохраненных или запрограммированных в таких устройствах (например, включая передачу читаемых с помощью компьютера инструкций в режиме реального времени на такие устройства). В контексте программного обеспечения этапы, описанные выше, могут представлять компьютерные инструкции, которые при выполнении их по меньшей мере одним обрабатывающим устройством выполняют изложенные этапы. В случае, когда используют читаемый с помощью компьютера носитель, этот носитель может являться любым доступным носителем, к которому может быть осуществлен доступ посредством устройства для реализации инструкций, хранящихся на нем.

[0045] Хотя были описаны различные варианты осуществления изобретения, специалистам в области техники будут понятны изменения и модификации, которые могли бы быть выполнены без отклонения от настоящего раскрытия. Указанные примеры иллюстрируют различные варианты осуществления изобретения и не предполагаются ограничительными для настоящего раскрытия. Следовательно, настоящее описание и формула изобретения следует интерпретировать свободно с только такими ограничениями, какие являются необходимыми ввиду применимого уровня техники.

Похожие патенты RU2658392C2

название год авторы номер документа
Способ защиты систем управления транспортных средств от вторжений 2019
  • Михайлов Дмитрий Михайлович
  • Долгих Артем Дмитриевич
  • Проничкин Алексей Сергеевич
  • Багров Сергей Валерьевич
  • Педанов Владимир Александрович
RU2737229C1
СИСТЕМЫ И СПОСОБЫ ДЕТЕКТИРОВАНИЯ ПОВЕДЕНЧЕСКИХ УГРОЗ 2019
  • Дикью Даньел
  • Никулаэ Стефан
  • Босинчану Элена А.
  • Замфир Сорина Н.
  • Динку Андрея
  • Апостоае Андрей А.
RU2803399C2
Способ обнаружения аномалии в поведении доверенного процесса и система для его реализации 2022
  • Иванов Андрей Александрович
RU2790329C1
СИСТЕМЫ И СПОСОБЫ ДЕТЕКТИРОВАНИЯ ПОВЕДЕНЧЕСКИХ УГРОЗ 2019
  • Дикью Даньел
  • Никулаэ Стефан
  • Босинчану Элена А.
  • Замфир Сорина Н.
  • Динку Андрея
  • Апостоае Андрей А.
RU2778630C1
СИСТЕМЫ И СПОСОБЫ ДЕТЕКТИРОВАНИЯ ПОВЕДЕНЧЕСКИХ УГРОЗ 2019
  • Дикью Даньел
  • Никулаэ Стефан
  • Босинчану Элена А.
  • Замфир Сорина Н.
  • Динку Андрея
  • Апостоае Андрей А.
RU2772549C1
Способ обнаружения аномальной работы сетевого сервера (варианты) 2016
  • Елисеев Владимир Леонидович
  • Шабалин Юрий Дмитриевич
RU2630415C2
Компьютерная система и способ для обнаружения вредоносных программ с использованием машинного обучения 2021
  • Дикью Даньел
  • Динку Андрея
  • Ботарляну Роберт-Михаил
  • Замфир Сорина Н.
  • Босинчану Элена А.
  • Прежбяну Разван
RU2802860C1
Способ поиска пользователей, соответствующих требованиям 2019
  • Ефремов Андрей Анатольевич
RU2739873C2
Способ выявления аномалий в киберфизической системе в реальном времени 2023
  • Мамаев Максим Александрович
  • Травов Александр Викторович
  • Лаврентьев Андрей Борисович
RU2824318C1
Способ определения источников аномалии в кибер-физической системе 2020
  • Лаврентьев Андрей Борисович
  • Воронцов Артем Михайлович
  • Филонов Павел Владимирович
  • Шалыга Дмитрий Константинович
  • Шкулев Вячеслав Игоревич
  • Демидов Николай Николаевич
  • Иванов Дмитрий Александрович
RU2749252C1

Иллюстрации к изобретению RU 2 658 392 C2

Реферат патента 2018 года ОРГАНИЗАЦИЯ СИСТЕМЫ УПРАВЛЕНИЯ В РЕЖИМЕ РЕАЛЬНОГО ВРЕМЕНИ

Группа изобретений относится к способу отслеживания поведения и обнаружения аномалий встроенных систем управления, компьютерной системе и обрабатывающему устройству. Для отслеживания и обнаружения аномалий создают поведенческую обучающую последовательность определенным образом, отслеживают входные сигналы, создают тревожный сигнал, при обнаружении аномалии во входном или выходных сигналах. Система содержит обрабатывающее устройство и логические инструкции, хранящиеся на материальном носителе для реализации способа. Обеспечивается обнаружение аномалий встроенных систем управления в режиме реального времени. 3 н. и 17 з.п. ф-лы, 4 ил.

Формула изобретения RU 2 658 392 C2

1. Основанный на применении компьютера способ отслеживания поведения и обнаружения аномалий встроенных систем управления в режиме реального времени, согласно которому:

создают поведенческую обучающую последовательность для встроенной системы управления, причем поведенческая обучающая последовательность соотносит входные сигналы в указанную встроенную систему управления с выходными сигналами из нее во время обучающего процесса для определения поведенческих характерных признаков для указанной встроенной системы управления;

отслеживают входные сигналы в указанную встроенную систему управления и выходные сигналы из нее в режиме реального времени во время работы указанной встроенной системы управления; и

создают тревожный сигнал, когда по меньшей мере один из входных сигналов в указанную встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, представляет аномалию.

2. Способ по п. 1, в котором создание поведенческой обучающей последовательности для встроенной системы управления включает настройку указанной поведенческой обучающей последовательности с использованием по меньшей мере одного параметра.

3. Способ по п. 2, в котором указанный по меньшей мере один параметр выбран из группы параметров, содержащей:

параметр размера резервуара, который задает количество узлов внутри сети на основе вычислительного резервуара;

параметр входного масштабирования, который взвешивает атрибуты входных сигналов, поступающих во встроенную систему управления;

параметр масштабирования выходного сигнала обратной связи, который задает величину сигнала обратной связи для сети на основе вычислительного резервуара;

параметр весовой матрицы резервуара, который управляет по меньшей мере одним импульсным откликом в сети на основе вычислительного резервуара;

параметр скорости рассеяния, который управляет чувствительностью сети на основе вычислительного резервуара к помехонасыщенному поведению и поведению, искаженному по времени; и

параметр масштабирования помех, который управляет по меньшей мере одним интегратором помех в сети на основе вычислительного резервуара.

4. Способ по п. 1, в котором создание тревожного сигнала, когда по меньшей мере один из выходных сигналов, собранных из встроенной системы управления в режиме реального времени, представляет аномалию, включает:

сравнивание указанного по меньшей мере одного из входных сигналов во встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, по меньшей мере с одним выходным сигналом, собранным во время обучающего процесса; и

характеризуют указанный по меньшей мере один из входных сигналов во встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, как аномалию, когда расхождение между указанными по меньшей мере одним выходным сигналом, собранным из встроенной системы управления во время работы в режиме реального времени, и по меньшей мере одним выходным сигналом, собранным во время обучающего процесса, превышает пороговое значение.

5. Способ по п. 4, дополнительно включающий определение степени критичности указанной аномалии.

6. Способ по п. 1, дополнительно включающий выпуск указанного тревожного сигнала по меньшей мере в одно приложение, связанное с указанной встроенной системой управления.

7. Способ по п. 6, дополнительно включающий:

сохранение указанного по меньшей мере одного из входных сигналов во встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, в запоминающем устройстве; и

обновление поведенческой обучающей последовательности, используя указанный по меньшей мере один из входных сигналов во встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, в запоминающем устройстве.

8. Основанная на применении компьютера система для отслеживания поведения и обнаружения аномалий встроенной системы управления в режиме реального времени, содержащая:

обрабатывающее устройство и

логические инструкции, хранящиеся на материальном носителе, читаемом с помощью компьютера и соединенном с обрабатывающим устройством, которые при исполнении их указанным обрабатывающим устройством обеспечивают возможность:

создания им поведенческой обучающей последовательности для встроенной системы управления, причем поведенческая обучающая последовательность соотносит входные сигналы в указанную встроенную систему управления с выходными сигналами из нее во время обучающего процесса для определения поведенческих характерных признаков для указанной встроенной системы управления;

отслеживания им входных сигналов в указанную встроенную систему управления и выходных сигналов из нее в режиме реального времени во время работы указанной встроенной системы управления; и

создания им тревожного сигнала, когда по меньшей мере один из входных сигналов в указанную встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, представляет аномалию.

9. Система по п. 8, дополнительно содержащая логические инструкции, хранящиеся на материальном носителе, читаемом с помощью компьютера и соединенном с обрабатывающим устройством, которые при исполнении их указанным обрабатывающим устройством обеспечивают возможность настройки им поведенческой обучающей последовательности с использованием по меньшей мере одного параметра.

10. Система по п. 9, в которой указанный по меньшей мере один параметр выбран из группы параметров, содержащей:

параметр размера резервуара, который задает количество узлов внутри сети на основе вычислительного резервуара;

параметр входного масштабирования, который взвешивает входные атрибуты для встроенной системы управления;

параметр масштабирования выходного сигнала обратной связи, который задает величину сигнала обратной связи для сети на основе вычислительного резервуара;

параметр весовой матрицы резервуара, который управляет по меньшей мере одним импульсным откликом в сети на основе вычислительного резервуара;

параметр скорости рассеяния, который управляет чувствительностью сети на основе вычислительного резервуара к помехонасыщенному поведению и поведению, искаженному по времени; и

параметр масштабирования помех, который управляет по меньшей мере одним интегратором помех в сети на основе вычислительного резервуара.

11. Система по п. 8, дополнительно содержащая логические инструкции, хранящиеся на материальном носителе, читаемом с помощью компьютера и соединенном с обрабатывающим устройством, которые при исполнении их указанным обрабатывающим устройством обеспечивают возможность:

сравнивания им указанного по меньшей мере одного из входных сигналов во встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени по меньшей мере с одним выходным сигналом, собранным во время обучающего процесса; и

охарактеризования им указанного по меньшей мере одного из входных сигналов во встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, как аномалии, когда расхождение между указанными по меньшей мере одним выходным сигналом, собранным из встроенной системы управления во время работы в режиме реального времени, и по меньшей мере одним выходным сигналом, собранным во время обучающего процесса, превышает пороговое значение.

12. Система по п. 11, дополнительно содержащая логические инструкции, хранящиеся на материальном носителе, читаемом с помощью компьютера и соединенном с обрабатывающим устройством, которые при исполнении их указанным обрабатывающим устройством обеспечивают возможность определения им степени критичности указанной аномалии.

13. Система по п. 8, дополнительно содержащая логические инструкции, хранящиеся на материальном носителе, читаемом с помощью компьютера и соединенном с обрабатывающим устройством, которые при исполнении их указанным обрабатывающим устройством обеспечивают возможность выпуска им тревожного сигнала по меньшей мере в одно приложение, связанное с указанной встроенной системой управления.

14. Система по п. 8, дополнительно содержащая логические инструкции, хранящиеся на материальном носителе, читаемом с помощью компьютера и соединенном с обрабатывающим устройством, которые при исполнении их указанным обрабатывающим устройством обеспечивают возможность:

сохранения им указанного по меньшей мере одного из входных сигналов во встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, в запоминающем устройстве; и

обновления им поведенческой обучающей последовательности, используя указанный по меньшей мере один из входных сигналов во встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, в запоминающем устройстве.

15. Обрабатывающее устройство, соединенное с материальным носителем, на котором хранятся логические инструкции, при исполнении которых обеспечена возможность:

создания поведенческой обучающей последовательности для встроенной системы управления, причем поведенческая обучающая последовательность связывает входные сигналы в указанную встроенную систему управления с выходными сигналами из нее во время обучающего процесса для определения поведенческих характерных признаков для указанной встроенной системы управления;

отслеживания входных сигналов в указанную встроенную систему управления и выходных сигналов из нее в режиме реального времени во время работы указанной встроенной системы управления; и

создания тревожного сигнала, когда по меньшей мере один из входных сигналов в указанную встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, представляют аномалию.

16. Обрабатывающее устройство по п. 15, соединенное с материальным носителем, на котором дополнительно хранятся логические инструкции, которые при их исполнении обеспечивают возможность настройки поведенческой обучающей последовательности с использованием по меньшей мере одного параметра.

17. Обрабатывающее устройство по п. 16, в котором указанный по меньшей мере один параметр выбран из группы параметров, содержащей:

параметр размера резервуара, который задает количество узлов внутри сети на основе вычислительного резервуара;

параметр входного масштабирования, который взвешивает входные атрибуты для встроенной системы управления;

параметр масштабирования выходного сигнала обратной связи, который задает величину сигнала обратной связи для сети на основе вычислительного резервуара;

параметр весовой матрицы резервуара, который управляет по меньшей мере одним импульсным откликом в сети на основе вычислительного резервуара;

параметр скорости рассеяния, который управляет чувствительностью сети на основе вычислительного резервуара к помехонасыщенному поведению и поведению, искаженному по времени; и

параметр масштабирования помех, который управляет по меньшей мере одним интегратором помех в сети на основе вычислительного резервуара.

18. Обрабатывающее устройство по п. 15, соединенное с материальным носителем, на котором дополнительно хранятся логические инструкции, которые при их исполнении обеспечивают возможность:

сравнивания указанного по меньшей мере одного из входных сигналов во встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, по меньшей мере с одним выходным сигналом, собранным во время обучающего процесса; и

охарактеризования указанного по меньшей мере одного из входных сигналов во встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, как аномалии, когда расхождение между указанными по меньшей мере одним выходным сигналом, собранным из встроенной системы управления во время работы в режиме реального времени и по меньшей мере одним выходным сигналом, собранным во время обучающего процесса, превышает пороговое значение.

19. Обрабатывающее устройство по п. 18, соединенное с материальным носителем, на котором дополнительно хранятся логические инструкции, которые при их исполнении обеспечивают возможность определения степени критичности указанной аномалии.

20. Обрабатывающее устройство по п. 15, соединенное с материальным носителем, на котором дополнительно хранятся логические инструкции, которые при их исполнении обеспечивают возможность:

сохранения указанного по меньшей мере одного из входных сигналов во встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, в запоминающем устройстве; и

обновления поведенческой обучающей последовательности, используя указанный по меньшей мере один из входных сигналов во встроенную систему управления или выходных сигналов, собранных из нее во время работы в режиме реального времени, в запоминающем устройстве.

Документы, цитированные в отчете о поиске Патент 2018 года RU2658392C2

US 20070028219 A1, 01.02.2007
СПОСОБ МОНИТОРИНГА БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ 2007
  • Евстигнеев Александр Сергеевич
  • Зорин Кирилл Михайлович
  • Карпов Михаил Алексеевич
  • Костырев Андрей Леонидович
  • Максимов Роман Викторович
  • Орлов Евгений Васильевич
  • Павловский Антон Владимирович
RU2355024C2
US 20090187344 A1, 23.07.2009
US 8051484 B2, 01.11.2011
US 7472413 B1, 30.12.2008.

RU 2 658 392 C2

Авторы

Ли Уинфен

Кхот Моника М.

Айягари Арун

Блэйр Рик Н.

Даты

2018-06-21Публикация

2013-09-17Подача