恶意攻击检测和分析制造技术

一种用于表征智能公用电网系统中的恶意活动的系统包括，包括系统储存器，系统储存器存储包括多个规则的数据库。收集器从智能电网系统收集并且在系统储存器中存储包括信息技术(IT)相关活动的IT数据。复杂事件处理(CEP)总线从多个电子来源接收包括位置特定事件数据的非IT数据，CEP总线忽略无法满足与多个与风险的事件之一的预定水平的相关性的非IT数据。处理器将多个规则应用于相关的非IT数据以：参照IT相关活动关联非希望事件；并且确定非希望事件指示恶意活动的概率。处理器还基于概率和IT相关活动将风险表征应用于非希望事件。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般涉及一种用于检测和识别智能公用电网系统中的非希望事件的系统和方法，并且更具体地涉及一种用于检测和识别对智能公用电网系统的恶意攻击的系统和方法。
技术介绍
对智能电网的网际协议(IP)、工业控制系统(ICS)、物理控制系统以及监督控制和数据采集(SCADA)攻击的目标是通过利用一个或者多个漏洞(vulnerability)(例如电网上的射频(RF)有干扰无线节点、密钥推导、快闪固件、来自不适当实体的匿名输入、物理硬件篡改)来绕过电网的正常操作。这些风险中的许多风险具有为ICS/SCADA安全控制、物理安全控制或者企业信息技术、操作或者物理安全控制所缓解的限定好的解决方案。残留风险是在已经应用安全控制之后的剩余风险。多数系统从未完全安全并且残留风险总是存在。当面临智能电网的网络安全挑战时，超出为SCADA、企业IT、操作或者物理安全控制所缓解的典型风险之外的残留安全风险犹存。
技术实现思路
根据公开内容的一个方面，一种表征智能公用电网系统中的恶意活动的方法可以包括从智能电网系统接收包括信息技术(IT)相关活动的IT数据。该方法还可以包括从多个电子来源接收包括位置特定事件数据的非IT数据。如后文将更具体说明的那样，非IT数据包括电力网传统上未使用的与信息技术相关的信息(或者数据)以及例如高价值目标的历史数据和地址或位置这样的信息。该方法还可以包括预处理非IT数据，预处理包括忽略无法满足预定水平的相关性的非IT数据，该相关性是与多个风险相关事件之一的相关性。该方法还可以包括将多个规则应用于预处理的非IT数据以参照IT相关活动关联非希望事件；并且确定非希望事件指示恶意活动的概率。事件可以已经出现或者可以尚未出现。该方法还可以包括基于概率和IT相关活动将风险表征应用于非希望事件。根据公开内容的另一方面，一种用于表征智能公用电网中的恶意活动的系统可以包括系统储存器，在系统储存器中存储包括多个规则的数据库。收集器可操作以从智能电网系统收集并且在系统储存器中存储包括信息技术(IT)相关活动的IT数据。复杂事件处理(CEP)总线可操作以从多个电子来源接收包括位置特定事件数据的非IT数据，CEP总线还可操作以忽略无法满足与多个风险相关事件之一的预定水平的相关性的非IT数据。处理器可操作以将多个规则应用于相关的非IT数据以参照IT相关活动关联非希望事件；并且确定非希望事件指示恶意活动的概率。处理器还可操作以基于概率和IT相关活动将风险表征应用于非希望事件。风险表征可以例如包括可以针对其分派维修团队的工程风险，或者它可以是向执法当局报警的安全风险。其它系统、方法、特征和优点将在考察以下附图和具体实施方式时变得为本领域技术人员所清楚。旨在于所有这样的附加系统、方法、特征和优点包含于本说明书内、在本专利技术的范围内并且为所附权利要求所保护。附图说明图I是用于电力网的总体架构的一个示例的框图。图2是图I中描绘的智能网络数据企业(INDE)核心的框图。图3是用于电力网的总体架构的另一示例的框图。图4是图I和图3中描绘的INDE变电站的框图。 图5是图I和图3中描绘的INDE设备的框图。图6是用于电力网的总体架构的又一示例的框图。图7是用于电力网的总体架构的又一示例的框图。图8是包括可观测性过程的一些示例的列表的框图。图9示出了电网状态测量和操作过程的流程图。图10示出了非操作数据过程的流程图。图11示出了事件管理过程的流程图。图12示出了需求响应(DR)信令过程的流程图。图13示出了断电智能过程的流程图。图14示出了缺陷智能过程的流程图。图15示出了元数据管理过程的流程图。图16示出了通知代理过程的流程图。图17示出了收集电表数据(AMI)过程的流程图。图18A-D是可以用来代表基线连接性数据库的实体关系图的示例。图19示出了蓝图进度流程图形的示例。图20是示例性风险评价系统的框图。图21是智能公用电网的示例的框图。图22是示例性风险评价系统的操作流程图。具体实施例方式作为概述，下文描述的优选实施方式涉及一种用于管理电力网的方法和系统。如下文更具体讨论的那样，某些方面涉及电力网本身(包括电功率传输和/或电力分布中的硬件和软件)。另外，某些方面涉及电力网的中心管理的功能能力。这些功能能力可以分组成操作和应用这两个类别。操作服务使公用事业公司能够监视和管理智能电网基础结构(例如应用、网络、服务器、传感器等)。这里公开的方法和系统与通过引用而整体并入本文的以下专利申请相关 第12/378，102号美国专利申请(公布为第2009/0281674 Al号美国公布申请)；以及第12/378,091号美国专利申请(公布为第2009/0281673 Al号美国公布申请)。如下文更具体讨论的那样，应用能力可以涉及电网本身的测量和控制。具体而言，应用服务实现可能对于智能电网而言重要的功能并且可以包括(I)数据收集过程；(2)数据分类和持续性过程；以及(3)可观测性过程。如下文更具体讨论的那样，使用这些过程允许“观测”电网、分析数据并且推导关于电网的信息。在一个实施方式中，公用事业系统可以包括智能安全系统以避免对公用事业系统的智能的恶意攻击引起非希望结果。为了避免这样的恶意攻击或者至少快速检测这样的攻击，公用事业系统需要能够检测和表征非希望事件，以便以有用方式对这样的事件归类。一种这样的公用事业系统是智能电网公用事业系统。攻击可以包括对网际协议(IP)以及监督控制和数据采集(SCADA)系统的攻击并且可以具有特定目标。这样的目的可以包括通过利用一个或者多个漏洞、例如通过电网上的射频(RF)有干扰无线节点、密钥推导、来自不适当实体的匿名输入、物理硬件篡改来绕过智能电网的正常操作。这些风险中的许多风险具有为SCADA安全控制或者企业和操作安全控制所缓解的解决方案。“残留风险”可以视为 是在已经应用安全控制之后的剩余风险。当面临智能电网的网络安全挑战时，可以超出为SCADA、企业IT、操作或者物理安全控制所缓解的典型风险之外的残留安全风险犹存。在一个实施方式中，意外事件(I)可以是非希望事件的出现。偶发事件的概率(Pd))可以是偶发事件的出现以威胁的存在和威胁可以利用的漏洞的存在为基础的概率或者可能性。威胁事件(T)可以是故意恶意攻击或者意外危险。以下等式I用于偶发事件的出现概率，该概率为恶意攻击的出现概率(P(A))和针对每个攻击的漏洞的存在与出现意外危险的概率(P(H))加上与每个意外危险关联的漏洞的概率之和。式I是相互独立事件、例如相互独立故意攻击(A)和意外危险(H)造成的偶发事件的概率。等式I P(I) =TI i P(Ai)* Π j P(Hj)其中i、j是整数。残留风险(RR)可以是安全控制未缓解故意恶意攻击和意外危险的概率结果。等式2是故意或者非故意安全偶发事件由于缺乏充分保护(“控制间隙”)而出现的残留风险(RR),即安全控制将未防止、检测和防止独立故意攻击和意外危险事件的风险。等式2 RR = P (I) *P (控制间隙)按照等式1，可以用企业、操作和ICS推导安全偶发事件的概率。等式4至6描绘了这些等式。等式3 P(IEnterpriseIT) =Hi P(Ai，EnterpriseIT )*Π,· P (H j 本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】2010.05.20 US 61/346,7871.一种表征智能公用电网系统中的恶意活动的方法，所述方法可由具有至少一个处理器和至少一个存储器的计算机执行，所述方法包括 通过所述至少一个处理器从所述智能电网系统接收包括信息技术(IT)相关活动的IT数据； 通过所述至少一个处理器从多个电子来源接收包括位置特定事件数据的非IT数据； 通过所述至少一个处理器预处理所述非IT数据，所述预处理包括忽略无法满足预定水平的相关性的所述非IT数据，所述相关性是与多个风险相关事件之一的相关性； 通过所述至少一个处理器将多个规则应用于预处理的所述非IT数据以 参照所述IT相关活动关联非希望事件；以及 确定所述非希望事件指示恶意活动的概率；以及 通过所述至少一个处理器基于所述概率和所述IT相关活动将风险表征应用于所述非希望事件。2.根据权利要求I所述的方法，其中所述非希望事件尚未出现。3.根据权利要求I所述的方法，其中所述风险表征包括工程风险或者安全风险。4.根据权利要求I所述的方法，其中应用所述多个规则包括比较预定标准与针对其生成多个不同概率水平之一的所述非IT数据。5.根据权利要求4所述的方法，其中基于威胁和对应漏洞的共存来生成所述概率水平，所述对应漏洞是在所述威胁可利用的所述IT相关数据或者非IT数据中发现的。6.根据权利要求4所述的方法，其中所述概率水平被生成为以下各项之和(I)具体恶意攻击的出现概率和所述具体恶意攻击可利用的漏洞的存在概率的乘积；以及(2)意外危险的出现概率和与所述意外危险关联的漏洞的存在概率的乘积。7.根据权利要求I所述的方法，其中所述非IT数据还包括从事件日志、与所述智能公用电网系统的对应部分关联的地理位置和操作数据取回的历史数据；并且其中应用所述多个规则包括比较所述IT相关活动与所述历史数据。8.根据权利要求I所述的方法，其中所述IT相关活动的至少部分包括来自智能电表的事件消息；并且应用所述风险表征包括确定所述智能公用电网系统内的其中出现所述恶意活动的区域。9.根据权利要求I所述的方法，其中所述非IT数据还包括电网模拟测量值、以及高价值目标和对应地理位置的列表，其中所述电网模拟测量值包括相量测量值。10.根据权利要求I所述的方法，其中所述非IT数据的电子来源包括以下输入中的一个输入或者其组合天气馈送；扰动记录器馈送；数字缺陷记录器馈送；谐波记录器馈送；电力质量监视器馈送；设备状态；连接性状态；控制限制；us CERT馈送；GPS馈送；电源管理单元(PMU)馈送；传感器馈送；负载预报；以及可再生发电预报。11.一种用于表征智能公用电网系统中的恶意活动的系统，包括 系统储存器，在所述系统储存器中存储包括多个规则的数据库； 收集器，可操作以从所述智能电网系统收集包括信息技术(IT)相关活动的IT数据并且在所述系统储存器中存储所述IT数据； 复杂事件处理(CEP)总线，可操作以从多个电子来源接收包括位置特定事件数据的非IT数据，所述CEP总线还可操作以忽略无法满足预定水平的相关性的所述非IT数据，所述相关性是与多个风险相关事件之一的相关性； 处理器，可操作以将所述多个规则应用于相关的非IT数据以参照所述IT相关活动关联非希望事件，以及确定所述非希望事件指示恶意活动的概率；并且 所述处...

【专利技术属性】
技术研发人员：A·D·斯科特，
申请(专利权)人：埃森哲环球服务有限公司，
类型：
国别省市：