一种检测与物理系统相关联的异常动作的计算机实现的方法,包括:由计算设备开发多个矢量,每个矢量指示在系统内特定时间处出现的事件;利用计算设备将在预定义的持续时间内出现的每个矢量组合到多个主矢量之一中;以及利用计算设备执行聚类分析,以将该多个主矢量中的每个主矢量分组到多个状态之一中。该方法还包括:利用计算设备至少部分地基于在预定义的持续时间内出现的一个或多个事件来确定实时主矢量,利用计算设备将实时主矢量分类为实时状态,以及当该实时状态不匹配多个状态之一时指示该实时状态是异常的。指示该实时状态是异常的。指示该实时状态是异常的。
【技术实现步骤摘要】
【国外来华专利技术】用于检测系统的异常操作的方法
技术介绍
[0001]存在应用于工业系统和过程的许多异常检测解决方案。然而,一般来说,它们要么应用于网络通信领域(realm),要么应用于过程数据领域,这使得每个系统在它能够检测什么方面,以及尤其是在它能够诊断什么方面受到限制(例如,区分安全问题与故障)。一个代表性示例是NIST报告NISTIR 8219(美国国家标准和技术研究所题为“保护制造业工业控制系统:行为异常检测(Securing Manufacturing Industrial Control Systems: Behavioral Anomaly Detection)”的报告),其中提出了应用于工业控制系统的三个行为异常检测解决方案。它们中的两个聚焦于网络通信,并且另一个基于过程数据。
技术实现思路
[0002]在一个方面中,利用计算机系统检测与物理系统相关联的异常动作的计算机实现的方法包括:由计算设备开发多个矢量,该多个矢量中的每个矢量指示系统内特定时间处出现(occur)的事件,利用计算设备将预定义的持续时间内出现的每个矢量组合到多个主矢量之一中,以及利用计算设备执行聚类分析,以将该多个主矢量中的每个主矢量分组到多个状态之一中。该方法还包括:利用计算设备至少部分地基于在预定义的持续时间内出现的一个或多个事件来确定实时主矢量,利用计算设备将该实时主矢量分类为实时状态,以及当该实时状态不匹配多个状态之一时指示该实时状态是异常的。
[0003]在另一方面中,一种利用引擎控制系统检测与引擎相关联的异常动作的计算机实现的方法包括:由计算设备开发多个矢量,该多个矢量中的每个矢量指示引擎内特定时间处出现的操作状况、状态、警报状况、网络数据和过程数据之一,利用计算设备将在预定义的持续时间内出现的每个矢量组合到多个主矢量之一中,以及利用计算设备执行聚类分析,以将该多个主矢量中的每个主矢量分组到多个状态之一中。该方法还包括:使用计算设备至少部分地基于在预定义的持续时间内出现的一个或多个事件来确定实时主矢量,使用计算设备将该实时主矢量与多个主矢量进行比较,使用计算设备将该实时主矢量分类为实时状态,以及当该实时状态不匹配多个状态之一时指示该实时状态是异常的。
[0004]在另一方面中,一种计算装置包括处理器。该计算装置还包括:存储指令的存储器,当被处理器执行时,该指令将该装置配置成开发多个矢量,该多个矢量中的每个矢量指示在该系统内特定时间处出现的事件,将在预定义的持续时间内出现的每个矢量组合到多个主矢量之一中,以及执行聚类分析,以将该多个主矢量中的每个主矢量分组到多个状态之一中。该装置还操作来将相关联的用户动作与多个状态中的每个状态相关联,至少部分地基于在预定义的持续时间内出现的一个或多个事件来确定实时主矢量,将该实时主矢量分类为从多个状态中选择的实时状态,将实时用户动作与关联于实时状态的相关联的用户动作进行比较,以及当该实时用户动作不匹配该相关联的用户动作时指示异常用户动作已经出现。
附图说明
[0005]为了容易地标识对任一个特定元素或行为(act)的讨论,参考数字中的一个或多个最高有效数字指代那个元素在其中首次引入的图号。
[0006]图1图示了便于异常检测系统的操作的示例计算机系统的功能框图。
[0007]图2图示了其中可以实现异常检测系统的数据处理系统的框图。
[0008]图3是图示了异常检测系统的一部分的流程图。
[0009]图4是多个主矢量的三维图,其示出了那些主矢量到状态中的聚类。
[0010]图5是图示了适合于针对异常检测系统训练分类器中使用的模型训练流水线的操作的流程图。
[0011]图6是图示了异常检测系统的流程图。
[0012]图7是图示了图6的异常检测系统的操作的流程图。
具体实施方式
[0013]如本文中使用的,术语“部件”和“系统”旨在涵盖硬件、软件或硬件和软件的组合。因此,例如,系统或部件可以是过程(process)、在处理器上执行的过程或处理器。另外地,部件或系统可以定位在单个设备上,或者跨若干设备来分布。
[0014]另外,在被配置成执行多于一个功能/过程的元素(例如,处理器)之前的短语“至少一个”可以对应于一个或多个元素(例如,处理器),其每个执行功能/过程,并且也可以对应于分别执行一个或多个不同功能/过程中的不同功能/过程的两个或更多元素(例如,处理器)。
[0015]而且,应该理解的是,本文中使用的词语或短语应该被广义地解释,除非在某些示例中明确地限制。例如,术语“包括”和“包含”以及其派生词意指没有限制的包括。单数形式“一”、“一个”和“该”也旨在包括复数形式,除非上下文另有明确指示。另外,本文中使用的术语“和/或”指代并涵盖一个或多个相关联的所列项目的任何和所有可能的组合。术语“或”是包含性的,意指和/或,除非上下文另有明确指示。短语“与
……
相关联”和“与之相关联”以及其派生词可以意指包括、被包括在
……
之内、与
……
相互连接、包含、被包含在
……
之内、和或与
……
连接、和或与
……
耦合、与
……
可通信、与
……
合作、交错、并置、接近、被绑定到
……
或与
……
绑定、具有、具有
……
的特性等等。
[0016]而且,虽然术语“第一”、“第二”、“第三”等可以在本文中用来指代各种元素、信息、功能或行为,但是这些元素、信息、功能或行为不应该受这些术语的限制。更确切地说,这些数字形容词用来将不同的元素、信息、功能或行为彼此区分开。例如,在不脱离本公开的范围的情况下,第一元素、信息、功能或行为可以被称为第二元素、信息、功能或行为,并且类似地,第二元素、信息、功能或行为可以被称为第一元素、信息、功能或行为。
[0017]此外,术语“邻近”可以意指:元素相对靠近另外的元素,但是不与其接触;或者该元素与另外的部分接触,除非上下文另有明确指示。另外,短语“基于”旨在意指“至少部分地基于”,除非另有明确地声明。
[0018]参照图1,描述了示例系统100,其使得能够实现本文中描述的异常检测系统300、600的操作。系统100采用至少一个数据处理系统102。数据处理系统可以包括至少一个处理器116(例如,微处理器/CPU)。处理器116可以被配置成通过从存储器126执行对应于一个或
多个应用130(例如,软件和/或固件)或其各部分的计算机/处理器可执行指令128来执行本文中所描述的各种过程和功能,所述指令128被编程为使至少一个处理器执行本文中所描述的各种过程和功能。
[0019]此类存储器126可以对应于内部或外部易失性或非易失性处理器存储器118(例如,主存储器、RAM和/或CPU缓存),其包括在处理器中和/或与处理器进行操作连接。此类存储器也可以对应于与处理器进行操作连接的非暂时性非易失性存储设备120(本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种利用计算机系统检测与物理系统相关联的异常用户动作的计算机实现的方法,所述方法包括:由计算设备开发多个矢量,所述多个矢量中的每个矢量指示在所述系统内特定时间处出现的事件;利用所述计算设备将在预定义的持续时间内出现的每个矢量组合到多个主矢量之一中;利用所述计算设备执行聚类分析,以将所述多个主矢量中的每个主矢量分组到多个状态之一中;利用所述计算设备至少部分地基于在所述预定义的持续时间内出现的一个或多个事件来确定实时主矢量;利用所述计算设备将所述实时主矢量分类为实时状态;当所述实时状态不匹配所述多个状态之一时指示所述实时状态是异常的。2.根据权利要求1所述的计算机实现的方法,其中每个事件是操作状况、状态、警报状况、网络数据和过程数据之一。3.根据权利要求1所述的计算机实现的方法,还包括:使用自然语言过程将与事件相关联的数据转换成矢量。4.根据权利要求1所述的计算机实现的方法,还包括:使用来自先前系统操作的日志数据来开发所述多个状态。5.根据权利要求1所述的计算机实现的方法,其中所述预定的预定义的持续时间小于五分钟。6.根据权利要求1所述的计算机实现的方法,其中所述相关联的用户动作包括从一个状态转变到另一状态的概率。7.根据权利要求1所述的计算机实现的方法,还包括:将相关联的用户动作与所述多个状态中的每个状态相关联;将实时用户动作与关联于所述实时状态的相关联的用户动作进行比较;以及当所述实时用户动作不匹配所述相关联的用户动作时指示异常用户动作已经出现。8.根据权利要求7所述的计算机实现的方法,其中,所述相关联的用户动作包括至少一个状态的两个不同的特定动作的概率。9.一种利用引擎控制系统检测与引擎相关联的异常用户动作的计算机实现的方法,所述方法包括:由计算设备开发多个矢量,所述多个矢量中的每个矢量指示在所述引擎内特定时间处出现的操作状况、状态、警报状况、网络数据和过程数据之一;利用所述计算设备将在预定义持续时间内出现的每个矢量组合到多个主矢量之一中;利用所述计算设备执行聚类分析,以将所述多个主矢量中的每个主矢量分组到多个状态之一中;使用所述计算设备至少部分地基于在所述预定义的持续时间内出现的一个或多个事件来确定实时主矢量;使用所述计算设备将所述实时主矢量分类为实时状态;以及当所述实时状态不匹配所述多个状态之一时指示所述实时状态异常。
【专利技术属性】
技术研发人员:B,
申请(专利权)人:西门子能源美国公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。