用于无人机的网络攻击检测、定位以及中和制造技术

在一些实施方式中，无人机(“UAV”)系统可以与多个监测节点相关联，每个监测节点随时间生成表示UAV系统的操作的一系列监测节点值。攻击检测计算机平台可以接收该系列当前监测节点值并生成一组当前特征向量。攻击检测计算机平台可以访问具有(例如，使用一组正常特征向量、一组受攻击特征向量创建的)至少一个决策边界的攻击检测模型。然后可以执行攻击检测模型，并且平台可以基于该组当前特征向量和至少一个决策边界发送攻击警报信号。根据一些实施方式，还可以提供攻击定位和/或中和功能。

【技术实现步骤摘要】
【国外来华专利技术】用于无人机的网络攻击检测、定位以及中和
本专利技术是在由能源部授予的合同号为DEOE0000833的政府支持下完成的。政府在本专利技术中具有一定的权利。
技术介绍
无人机(“UAV”)系统(例如，执行调查功能的无人机(drones)、检查UAV系统的一队UAV等)越来越多地连接到互联网。因此，这些控制系统越来越容易受到威胁，诸如网络攻击(例如，与计算机病毒、恶意软件等相关联)，该威胁可能破坏UAV系统的操作。当前方法主要考虑信息技术(“IT”，诸如存储、检索、传输、操作数据的计算机)和操作技术(“OT”，诸如直接监测装置和通信总线接口)中的攻击检测。网络攻击仍然可以穿透这些保护层，并且到达物理“域”，如2010年Stuxnet攻击所看到的。这样的攻击可以降低控制系统的性能，并且可能对UAV造成完全关闭或灾难性的损坏。目前，没有方法可用于在网络事件期间自动检测传感器、控制器和致动器所位于的域层的攻击。在一些情况下，可能同时发生多个攻击(例如，控制系统装置内部的一个以上的致动器、传感器或参数可能同时由未经授权方恶意地改变)。注意，网络攻击的一些细微后果(诸如在域层发生的隐形攻击)可能不容易被检测到(例如，当在检测算法中仅使用一个监测节点(诸如传感器节点)时)。用于保护UAV系统的现有方法(诸如故障和诊断技术)可能无法充分地解决这些问题-尤其是当发生多个同时攻击时，因为这样的多个故障/故障诊断技术未被设计用于以自动方式检测隐形攻击。在攻击期间维护UAV系统功能性可能是重要的。例如，即使当一个或多个传感器、致动器等是网络攻击的对象时，操作员可能希望无人机继续操作。此外，在不需要冗余组件(例如，UAV系统)和/或控制器的任何重大改变和/或重新设计的情况下为UAV系统提供保护可能是有利的。
技术实现思路
根据一些实施方式，无人机(“UAV”)系统可以与多个监测节点相关联，每个监测节点随时间生成表示UAV系统的操作的一系列监测节点值。攻击检测计算机平台可以接收该系列当前监测节点值并生成一组当前特征向量。攻击检测计算机平台可以访问具有(例如，使用一组正常特征向量、一组受攻击特征向量创建的)至少一个决策边界的攻击检测模型。然后可以执行攻击检测模型，并且平台可以基于该组当前特征向量和至少一个决策边界发送攻击警报信号。根据一些实施方式，还可以提供攻击定位和/或中和功能。一些实施方式包括：用于针对UAV系统执行网络攻击检测的方法；用于针对UAV系统执行网络攻击定位的方法；和/或用于针对UAV系统执行网络攻击中和的方法。本文公开的一些实施方式的一些技术优点是以自动和精确的方式保护一个或多个UAV免受网络攻击的改进的系统和方法。附图说明图1是根据一些实施方式的UAV系统的高级(high-level)概述。图2示出了根据一些实施方式的UAV系统可能受到损害的一些方式。图3示出了根据一些实施方式的保护一个或多个UAV的方法。图4是根据一些实施方式可以提供的系统的高级框图。图5是根据一些实施方式的模型创建方法。图6是根据一些实施方式的威胁警报方法。图7示出了根据一些实施方式的离线过程。图8示出了根据一些实施方式的实时过程。图9是根据一些实施方式的与UAV发动机相关联的示例。图10是当系统中涉及多个无人机时根据一些实施方式的全局威胁保护系统的示例。图11示出了根据一些实施方式的传感器输出的三个维度。图12是根据一些实施方式的威胁警报系统。图13至图15示出了根据一些实施方式的用于各种参数的特征向量的边界和位置。图16至图21包括根据一些实施方式的参数值随时间变化的曲线图。图22是根据一些实施方式的方法。图23示出了根据一些实施方式的网络攻击检测系统的框图视图。图24是根据一些实施方式的可以与用于自动攻击定位系统的离线训练过程相关联的方法。图25示出了根据一些实施方式的残差平方和(“RSS”)与模型参数的数量、针对特征驱动的动态模型的每不同滞后数量(即，模型的阶数)与滞后之间的关系。图26示出了根据一些实施方式的VAR(p)模型转换到标准状态空间结构。图27是根据一些实施方式的可以与在线操作过程相关联的方法。图28是根据一些实施方式的确定攻击是独立攻击还是相关攻击的方法。图29示出了根据一些实施方式的将监测节点的实时特征与监测节点的建模特征进行比较的攻击的特征时间序列。图30示出了根据一些实施方式的将监测节点的实时特征与监测节点的建模特征进行比较的隐形攻击的特征时间序列。图31是根据一些实施方式的多攻击场景中的攻击定位的示例。图32是根据一些实施方式的监测节点的因果相关性矩阵。图33是根据一些实施方式的与两个独立攻击相关联的攻击相关性一致性测试的示例。图34是根据一些实施方式的用于保护UAV系统的系统的高级框图。图35是根据一些实施方式的UAV系统保护方法。图36是根据一些实施方式的用于中和的虚拟传感器的高级框图。图37包括根据一些实施方式的虚拟传感器查找表的一部分。图38示出了根据一些实施方式的虚拟传感器实现的示例。图39是根据一些实施方式的与用于网络物理系统的基于特征的多节点虚拟感测系统相关联的组件的高级框图。图40是根据一些实施方式的基于特征的多节点虚拟传感器训练阶段过程的更详细的示图。图41是根据一些实施方式的与用于基于特征的多节点虚拟传感器的算法相关联的方法的示例。图42示出了根据一些实施方式的用于实时测量的滑动窗口技术。图43是根据一些实施方式的系统级保护单元功能说明。图44是根据一些实施方式的方法的示例。图45至图47示出了根据一些实施方式的结合自适应保护单元的各种架构。图48是示出根据示例实施方式的与UAV系统相关联的云计算环境的示图。图49是示出根据示例实施方式的用于滤波输入信号的威胁中和器的示图。图50是示出根据示例实施方式的用于威胁检测的边界和性能估计过程的示图。图51是示出根据示例实施方式的用于中和基于网络的威胁的方法的示图。图52是示出根据示例实施方式的用于中和基于网络的威胁的计算装置的示图。图53示出了根据一些实施方式的具有离线学习和实时执行的弹性估计器。图54是根据一些实施方式的UAV系统显示器。图55是根据一些实施方式的UAV保护平台。图56是根据一些实施方式的表格式虚拟传感器数据库的一部分。具体实施方式在下面的详细描述中，阐述了许多具体细节以便提供对实施方式的透彻理解。然而，本领域普通技术人员将理解，可以在没有这些具体细节的情况下实践实施方式。在其他实例中，没有详细描述公知的方法、过程、组件和电路，以免模糊实施方式。UAV系统可以包括一个或多个UAV(例如，无人机)，每个UAV使用多个传感器、致动器和本文档来自技高网...

【技术保护点】
1.一种用于保护无人机(“UAV”)系统的系统，包括：/n多个监测节点，每个监测节点随时间生成表示所述UAV系统的当前操作的一系列当前监测节点值；以及/n攻击检测计算机平台，耦接到所述多个监测节点，用于：/n接收所述一系列当前监测节点值并生成一组当前特征向量，/n访问具有使用一组正常特征向量、一组受攻击特征向量创建的至少一个决策边界的攻击检测模型，并且/n执行所述攻击检测模型，并且基于所述一组当前特征向量和所述至少一个决策边界发送攻击警报信号。/n

【技术特征摘要】
【国外来华专利技术】20180220 US 15/899,9031.一种用于保护无人机(“UAV”)系统的系统，包括：
多个监测节点，每个监测节点随时间生成表示所述UAV系统的当前操作的一系列当前监测节点值；以及
攻击检测计算机平台，耦接到所述多个监测节点，用于：
接收所述一系列当前监测节点值并生成一组当前特征向量，
访问具有使用一组正常特征向量、一组受攻击特征向量创建的至少一个决策边界的攻击检测模型，并且
执行所述攻击检测模型，并且基于所述一组当前特征向量和所述至少一个决策边界发送攻击警报信号。


2.根据权利要求1所述的系统，其中，所述一组正常特征向量和所述一组受攻击特征向量中的至少一个与以下各项中的至少一项相关联：(i)主分量、(ii)统计特征、(iii)深度学习特征、(iv)频域特征、(v)时间序列分析特征、(vi)逻辑特征、(vii)基于地理或方位的位置以及(viii)交互特征。


3.根据权利要求1所述的系统，其中，来自所述多个监测节点中的每一个监测节点的信息被归一化，并且输出被表示为基函数的加权线性组合。


4.根据权利要求1所述的系统，其中，所述监测节点与以下各项中的至少一项相关联：(i)决定性传感器节点、(ii)致动器节点、(iii)控制器节点以及(iv)关键软件节点。


5.根据权利要求1所述的系统，其中，包括所述至少一个决策边界的所述攻击检测模型与以下各项中的至少一项相关联：(i)线、(ii)超平面以及(iii)将正常空间与受攻击空间分开的非线性边界。


6.根据权利要求1所述的系统，还包括：
正常空间数据源，针对所述多个监测节点中的每一个监测节点，随时间存储表示所述UAV系统的正常操作的一系列正常监测节点值；
受攻击空间数据源，针对所述多个监测节点中的每一个监测节点，随时间存储表示所述UAV系统的受攻击操作的一系列受攻击节点值；以及
攻击检测模型创建计算机，耦接到所述正常空间数据源和所述受攻击空间数据源，用于：
接收所述一系列正常监测节点值并生成所述一组正常特征向量，
接收所述一系列受攻击监测节点值并生成所述一组受攻击特征向量，并且
基于所述一组正常特征向量和所述一组受攻击特征向量自动计算并输出所述攻击检测模型的所述至少一个决策边界。


7.根据权利要求6所述的系统，其中，所述一系列正常攻击节点值和所述一系列受攻击节点值中的至少一个与高保真设备模型相关联。


8.根据权利要求6所述的系统，其中，所述至少一个决策边界存在于多维空间中，并且与以下各项中的至少一项相关联：(i)动态模型、(ii)实验数据的设计、(iii)机器学习技术、(iv)支持向量机、(v)全析因过程、(vi)田口筛选、(vii)中心组合方法、(viii)Box-Behnken方法、(ix)真实世界操作条件、(x)全析因设计、(xi)筛选设计以及(xii)中心组合设计。


9.根据权利要求1所述的系统，其中，所述攻击检测计算机平台还用于：
将攻击的起源定位到特定监测节点，并且所述攻击警报信号与所述特定监测节点的指示一起发送。


10.根据权利要求9所述的系统，其中，根据与跨与另一监测节点相关联的决策边界的时间相比与跨与一个监...

【专利技术属性】
技术研发人员：拉利特·克沙夫·美斯特哈，奥卢本加·阿努比，贾斯廷·瓦拉奇·约翰，
申请(专利权)人：通用电气公司，
类型：发明
国别省市：美国;US