EP3042284A1 - Moyens de protection pour systèmes informatiques industriels - Google Patents

Moyens de protection pour systèmes informatiques industriels

Info

Publication number
EP3042284A1
EP3042284A1 EP14786996.0A EP14786996A EP3042284A1 EP 3042284 A1 EP3042284 A1 EP 3042284A1 EP 14786996 A EP14786996 A EP 14786996A EP 3042284 A1 EP3042284 A1 EP 3042284A1
Authority
EP
European Patent Office
Prior art keywords
information
functional elements
deviation
module
information relating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP14786996.0A
Other languages
German (de)
English (en)
Inventor
Frédéric PLANCHON
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fpc Ingenierie
Original Assignee
Fpc Ingenierie
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fpc Ingenierie filed Critical Fpc Ingenierie
Publication of EP3042284A1 publication Critical patent/EP3042284A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0709Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0224Process history based detection method, e.g. whereby history implies the availability of large amounts of data
    • G05B23/0227Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions
    • G05B23/0235Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions based on a comparison with predetermined threshold or range, e.g. "classical methods", carried out during normal operation; threshold adaptation or choice; when or how to compare with the threshold
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0267Fault communication, e.g. human machine interface [HMI]
    • G05B23/027Alarm generation, e.g. communication protocol; Forms of alarm
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Definitions

  • the present invention relates to protection means for computer systems deployed in an industrial context. It relates more particularly to means capable of identifying abnormal behaviors within an industrial infrastructure, without prior knowledge of any signature of a malicious program at the origin of these malfunctions.
  • Industrial infrastructures include many equipment supervised, controlled, and / or interconnected by industrial computer systems.
  • the vulnerability of these installations to cyber attacks is very real, and the risks incurred are very significant.
  • Known threats include programs designed to intercept, destroy and / or modify data, or computer programs intended to modify or compromise the behavior of the system.
  • One of the objects of the invention is to provide means for detecting anomalies in an industrial computer system, said anomalies potentially resulting from unknown threats. Another object of the invention is to identify the abnormal behaviors that may result from an attack or the effects of a malicious program. Another object of the invention is to identify anomalies in the behavior of industrial equipment, even when the latter perform their functions correctly. Another object of the invention is to enable the identification of precursor symptoms, in particular the symptoms preceding the appearance of malfunctions in industrial equipment. Another object of the invention is to identify anomalies that may jeopardize the reliability and dependability of industrial equipment. Another object of the invention is to inform identified anomalies and to propose and / or automatically implement an appropriate treatment. Another object of the invention is to provide means adapted to adapt to changes and variations in the industrial infrastructure and industrial computer system in which the means are deployed, while limiting the risk of false detection.
  • the invention relates to a protection module for detecting anomalies in a computer system deployed in an industrial infrastructure.
  • the industrial infrastructure is for example a factory, a management center of an energy network, etc.
  • the industrial infrastructure has functional elements to implement processes.
  • the functional elements are intended to implement the processes to ensure the production of products, manage flows, and / or provide services.
  • the functional elements are, for example, supervisory systems, controllers, and / or remote monitoring and data acquisition systems.
  • the computer system may further include sensors or actuators driven by autonomous controllers and executing embedded functions.
  • the computer system is typically used to interconnect, control and automate the management of functional elements that enable the industrial infrastructure to fulfill its mission.
  • the computer system may comprise one or more communication networks, for example a network of type "Ethernet", to allow the exchange of information between the functional elements.
  • the computer system may further comprise processing means, such as computer equipment, storage means and servers, for executing the software necessary for the tasks of interconnection, control and automation of management.
  • the protection module includes an input interface adapted to be coupled to the computer system, and a collection module, coupled to the input interface, and configured to collect behavior information relating to the state and behavior of the functional elements as well as system information relating to the computer system.
  • the collection module can acquire said information by:
  • Means for receiving data relating to the functional elements for example software capable of sending or intercepting management requests - for example SNMP requests - or software capable of collecting or accessing historical files and / or newspapers;
  • the system information collected by the collection module includes, for example, at least one of the following information:
  • At least one information relating to a topography of a communication network of the computer system may also comprise at least one and in particular several information or data relating to the configuration of the exchanges between the functional elements of the system, in particular to the configuration of the exchanges at the application level.
  • This information thus defines the exchanges between the equipments which have a functional interest.
  • the protection module can thus be arranged to track and / or validate the messages between functional elements or equipment. Indeed, if these messages are not provided in the configuration, they are illegitimate and probably false, erroneous, usurped ....
  • Information from the configuration database can be integrated into the protection module so as to track the communication network (s) by monitoring compliance with the initial configuration.
  • the behavior information collected by the collection module includes, for example, at least one of the following information:
  • information relating to the performance of the computer system functions it may be useful in particular to collect information on which elements of the system are operating, whether or not they are nominal; in addition, he can It may also be useful to collect the dynamic signature of an information, that is, changes in the typical values of an activity over time for that activity.
  • the protection module includes an analysis module, coupled to the collection module, and configured to:
  • the protection module can detect anomalies in the computer system, by identifying a deviation from a reference state considered healthy. If malicious software is at the origin of said deviation, the protection module will identify this deviation, without knowing the characteristics or the signature of said software. In addition, the deviation from the reference state will be able to be identified, even if the functional elements still fulfill their function. For example, if a PLC performs the requested task correctly, but an overvoltage is observed compared to the nominal voltage corresponding to the reference state, this deviation will be able to be identified.
  • the analysis module may be configured to check whether the identified deviation corresponds to an acceptable drift, and if so, to update the behavior reference information and reference system information associated with the reference state, so to take into account this deviation.
  • Verification can be done by requesting, through a user interface, an operator to indicate whether this deviation is acceptable.
  • the protection module may also include a learning module, coupled to the collection module, and configured for, during a study phase:
  • the learning module can implement artificial intelligence algorithms, for example algorithms using neural networks.
  • the protection module can thus adapt to the industrial infrastructure and the industrial computer system in which the means are deployed, and changes in the latter, while limiting the risk of false detection.
  • the protection module may also include an output interface and a feedback module coupled to the output interface and to the analysis module, the analysis module being configured to transmit the identified deviation to the reaction module, the module of reaction being configured to transmit, via the output interface, an alert including information relating to the identified deviation. It is thus possible to inform security operators and system operators of the risks and anomalies identified and to propose and / or automatically implement appropriate processing.
  • the reaction module may include a reality search module configured to allow the sending of the alert only after checking whether the identified deviation corresponds to an anomaly in:
  • the reality research module thus makes it possible to increase the level of security while limiting the risks of false detection.
  • the security module thus makes it possible to react as soon as possible to threats or imminent risks, endangering the equipment and / or the infrastructure. If the processing of applications is automated, it is still possible to improve responsiveness and further reduce risks.
  • the invention relates to a protection method for detecting anomalies in a computer system deployed in an industrial infrastructure, the industrial infrastructure comprising functional elements intended to implement processes.
  • the method comprises the following steps:
  • the step of identifying the deviation it can be verified whether the identified deviation corresponds to an acceptable drift: where appropriate, the behavior reference information and reference system information associated with the reference state. are updated to take this deviation into account.
  • the method may further comprise a step of transmitting an alert comprising information relating to the identified deviation.
  • the step of transmitting the alert is implemented only if, during a verification step, it has been established that the identified deviation corresponds to an anomaly in:
  • the method may also include a security step following the issuance of the alert, during which is transmitted:
  • the invention relates to a computer program comprising instructions for performing the steps of the method according to the second aspect, when said program is executed by a processor.
  • the invention relates to a computer-readable recording medium on which is recorded a computer program comprising instructions for executing the steps of the method according to the second aspect.
  • FIG. 1 is a block diagram illustrating an industrial computer system
  • FIG. 4 is a sequence diagram of a protection method.
  • FIG. 1 schematically illustrates an industrial computer system 10 according to one embodiment of the invention.
  • the computer system 10 is for example deployed in an industrial infrastructure, such as a plant or a management center of an energy network. It is typically used to interconnect, control and automate the management of functional elements that enable the industrial infrastructure to fulfill its mission.
  • the functional elements are intended to implement the processes to ensure the production of products, manage flows, and / or provide services, etc.
  • the functional elements are, for example, supervisory systems 12, controllers 14, and / or remote monitoring and data acquisition systems 16 (generally designated by the acronym "SCADA" for "supervisory control and data acquisition" .
  • the computer system further comprises a communication network 18, for example an "Ethernet” type network, to enable the exchange of information between the functional elements of the industrial infrastructure.
  • the computer system 10 further comprises processing means 20, for example computer equipment, storage means and servers, for executing the software necessary for the tasks of interconnection, control and automation of the management.
  • the computer system also includes a protection module 22, and a security
  • FIG. 2 illustrates, by a block diagram, the protection module 22 according to one embodiment of the invention.
  • the protection module 22 comprises an input interface 30, to enable the collection of information on the computer system 10 and on the functional elements of the industrial infrastructure, in particular information relating to the supervisory systems 12, to the controllers 14 , and remote monitoring and data acquisition systems 16.
  • the input interface 30 comprises for example a network interface capable of being coupled to the communication network 18.
  • the input interface 30 may also comprise additional means coupling to automata or systems via a dedicated interface using a shared communication protocol with these systems, in particular when they are not directly coupled to the computer system 10.
  • the protection module includes an output interface 32 to enable the sending of information to the security center 24 and the SCADA 16.
  • the output interface 32 includes p For example, a network interface capable of being coupled to the communication network 18.
  • the protection module 22 comprises a module of gathering information 34, coupled to the input interface 34.
  • the collection module 34 is configured to obtain behavior information relating to the state and the operating behavior of the functional elements of the industrial infrastructure, as well as system information relating to the computer system 10 and the communication network 18.
  • the system information relating to the computer system 10 and the communication network 18 may in particular comprise:
  • the data relating to a topography of a communication network of the computer system can comprise data relating to the configuration of the exchanges between the functional elements of the system, in particular to the configuration of exchanges at the application level.
  • a basic configuration mode for a simple Modbus type protocol includes an address list with the content data type.
  • the behavior information may include information relating to:
  • the state and characteristics of the architecture and topology of the industrial infrastructure for example the activation of redundant equipment, the presence or absence of one or more equipment, the state of activation of particular modes as isolated modes;
  • operators / users for example the list of operators / users, open sessions, rights and permissions of operators / users, equipment used by users;
  • the protection module 22 comprises a learning module 36 configured to identify a set of reference states of the computer system 10 and the functional elements, during a study phase. For that, it is by possible example to use the system information and behaviors collected.
  • Each reference state is, for example, a function of the activities of the computer system 10 and / or of the functional elements, and of an operating context.
  • Each reference state is associated with behavior reference information and system reference information.
  • some reference states can be grouped, in order to limit the total number of reference states, in particular by identifying the dominant reference states - that is to say in particular the states of reference. references that occur systematically in relation to other non-dominant reference states - and / or by identifying reference states whose influence on the industrial infrastructure is limited.
  • the analysis phase when doubts exist about the effective influence of a reference state or if the dominant aspect is uncertain, it is then preferable not to group these reference states.
  • the supervisory system comprises a PC supervisory device, a remote RTU terminal, a PROT protection device and a network.
  • the PC supervisory device, the RTU remote terminal, the PROT protection device may be in a functional or non-functional operating state.
  • the users of the supervision system may be: a local operator, a telecontrol operator or a maintenance person.
  • the main functions of the supervision system are as follows:
  • the RTU remote terminal has the function of controlling an automation (re-engagement function);
  • the purpose of the supervision device is to enable the implementation of voluntary commands, if the remote terminal RTU is functional.
  • a first sequence during which the supervision system is in an inactive state
  • sequences are mutually exclusive, the supervision system being able at a given moment to be only in one of these sequences.
  • the sequences are in the following order: second sequence, third sequence, fourth sequence, first sequence.
  • the learning module 36 is configured to take into account the operating sequences, the modes of operation of the equipment (for example operational / non-operational), the use of the system by a local operator (detected during the opening of a session by the latter) or by a telecontrol operator (assumed to be active as soon as the communication with the telecontrol is established) or by a maintenance staff (operator or manufacturer, detected at the time of the opening of a session by the latter, locally or remotely).
  • a local operator detected during the opening of a session by the latter
  • a telecontrol operator assumed to be active as soon as the communication with the telecontrol is established
  • a maintenance staff operator or manufacturer, detected at the time of the opening of a session by the latter, locally or remotely.
  • the following table shows an example of a first subset of reference states ER of the supervisory system of a substation, in a matrix form, according to the different operating sequences and the operating state. elements of the supervision system.
  • the following table shows an example of a second subset of reference states ER of the supervisory system of a substation, in a matrix form, according to the different operating sequences and the users having logged in. in the system.
  • the following table shows an example of a third subset of reference states ER of the supervisory system of a substation, in a matrix form, depending on the operating state of the elements of the supervision system and users logged on to the system.
  • person operator operator telelocal operator operator personal operator telelocal driving conduct only driving and driving and personal maintenance personnel maintenance
  • the set of reference states ER of the supervision system of a substation corresponds to the matrix comprising the first subset, the second subset and the third subset.
  • the learning module 36 may in particular be configured to validate, during a validation step, the reference states identified during the study phase. For this, the industrial infrastructure is actually used to create situations that reproduce these reference states. The module This ensures that the reference states identified during the study phase are effectively reproduced and correctly identified.
  • the validation step may further be conducted during trials on a platform before deployment in the industrial site infrastructure for a new system, or in situation for an existing industrial infrastructure.
  • the learning module 36 can implement artificial intelligence algorithms, for example algorithms using neural networks, to identify the reference states.
  • the protection module 22 comprises an analysis module 38 configured to:
  • the analysis module makes it possible to identify any deviations between the reference state in which the functional elements and the computer system are supposed to be based on the current context, and the state actually observed.
  • the analysis module 38 collects system information and behavior information to determine the current context in which the industrial infrastructure is located.
  • the analysis module 38 seeks, in an analysis database, the reference state corresponding to the context. Then, the analysis module 38 compares the behavior information and the collected system information and on the other hand behavior reference information and reference system information associated with the reference state, to identify the deviations.
  • the analysis module 38 can implement artificial intelligence algorithms, for example algorithms using neural networks, especially for comparing the current state to the reference state.
  • the analysis module 38 may also include a training mode and an automatic mode.
  • drive mode when a deviation is noted, the analysis module 38 is programmed to ask if the deviation is indeed an anomaly to be treated or if the deviation corresponds to a normal drift of the industrial infrastructure. If the deviation is not an anomaly, but a normal drift, the analysis database is updated.
  • the analysis module 38 includes a user interface adapted to display the detected deviation and to allow an operator to indicate whether it is an anomaly or a normal drift.
  • the study mode allows the adjustment of the analysis module 38, especially over time, to take into account the changes and updates.
  • automatic mode when a deviation is identified, an alert is transmitted to the reaction module 40.
  • the reaction module 40 comprises a reality search module 42, an alert module 44, security module 46.
  • the reality search module seeks to determine whether the detected deviation corresponds to an actual anomaly.
  • the reality search module can make sure of the existence of a problem in the processes implemented by the functional elements (overvoltage, zero or too high flow rate, out-of-range speed, etc.).
  • the reality search module can further verify whether the behavior information received corresponds to that used by the functional elements (is the value of a bar voltage received by the protection module 22 substantially equal to that received by the module? corresponding functional element?).
  • the reality search module can in particular compare the behavioral information relating to the characteristics of the functional elements, and the information relating to the processes implemented by the functional elements. Through these verifications, the reality search module can check for the occurrence of a real anomaly, and possibly determine a severity level.
  • the alert module When a real anomaly has been detected by the reality search module, the alert module is configured to send, via the output interface 32, an alert message including information about the anomaly. observed, in particular the observed deviations and the estimated level of severity.
  • the alert message is for example transmitted to the security center 24 to allow operators, operators and / or personnel in charge of computer security to take emergency measures or to trigger backup or release procedures. safe.
  • the alert message may also include recommendations on the actions to be taken in response to the anomaly found.
  • the security module is configured to attempt to terminate the anomaly, and / or substantially reduce or eliminate these effects.
  • the security module can for example be configured to: • perform a retreat of the processes implemented by the functional elements concerned by the anomaly; the fallback corresponds to existing and normal procedures, to stop the equipment or to put it in a mode in which the abnormality can not cause damage;
  • Figure 4 is a sequence diagram of a method according to an embodiment of the invention.
  • the method detects anomalies in the computer system deployed in the industrial infrastructure.
  • the method comprises the following steps:
  • step 130 of identifying the deviation it can be verified, in a step 140, if the identified deviation corresponds to an acceptable drift: where appropriate, the behavior reference information and the system reference information. associated with the reference state are updated to take this deviation into account.
  • the method may further comprise a step 150 of transmitting an alert comprising information relating to the identified deviation.
  • step 150 of transmitting the alert is implemented only if, during a verification step, it has been established that the identified deviation corresponds to an anomaly in:
  • the method may also comprise a step 160 of setting in security, during which is transmitted:

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Human Computer Interaction (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

L'invention se rapporte à des moyens de protection pour détecter des anomalies dans un système informatique déployé dans une infrastructure industrielle. L'infrastructure industrielle comporte des éléments fonctionnels destinés à mettre en œuvre des processus. Pour cela, on collecte des informations de comportement relatives à l'état et au comportement des éléments fonctionnels ainsi que d'informations système relatives au système informatique. Puis on détermine un état de référence,parmi une liste d'états précédemment définis,à partir des informations de comportement. On identifie une déviation entre d'une part les informations de comportement et les informations système collectées et d'autre part des informations de référence de comportement et des informations de référence systèmes associés à l'état de référence.

Description

Moyens de protection pour systèmes informatiques industriels
La présente invention se rapporte à des moyens de protection pour systèmes informatiques déployés dans un contexte industriel. Elle concerne plus particulièrement des moyens capables d'identifier des comportements anormaux au sein d'une infrastructure industrielle, sans connaissance a priori d'une quelconque signature d'un programme malveillant à l'origine de ces dysfonctionnements.
Les infrastructures industrielles comportent de nombreux équipements supervisés, pilotés, et/ou interconnectés par des systèmes informatiques industriels. La vulnérabilité de ces installations à des attaques informatiques est bien réelle, et les risques encourus très significatifs. Parmi les menaces connues, on peut notamment citer les programmes destinés à intercepter, détruire et/ou modifier des données, ou encore les programmes informatiques destinés à modifier ou compromettre le comportement du système.
Les solutions pour prévenir ces menaces fonctionnent sur un principe similaire à celui utilisé pour protéger les systèmes d'informations conventionnelles. Par exemple, il est connu d'utiliser, dans des systèmes informatiques industriels, des logiciels basés sur la reconnaissance d'une signature propre à un programme malveillant, appelé logiciel antivirus. Des systèmes de détection d'intrusion, communément désignés par l'acronyme anglais «IDS» pour «intrusion détection System», ont aussi été utilisés afin de repérer des activités suspectes au niveau de l'infrastructure de communication. Toutefois, ces solutions ne sont efficaces que pour les menaces connues et clairement identifiées, ou bien provoquent un taux de fausse alarme rédhibitoire lors de la mise en œuvre, et nécessitent des mises à jour constantes.
La solution, décrite dans le document de brevet WO 2009/128 905, repose sur l'utilisation de tels systèmes de détection conventionnels, en particulier sur l'utilisation d'un système antivirus et d'un système de détection d'intrusion pour remonter des alertes à une console centrale. Ainsi, seules les menaces connues de la base de données des signatures du système antivirus et du système de détection d'intrusion peuvent être interceptées.
C'est pourquoi il existe un besoin pour des moyens de détection d'anomalies dans un système informatique industrielle utilisé pour superviser, piloter, et/ou interconnecter des équipements dans une infrastructure industrielle, lesdites anomalies résultant potentiellement de menaces inconnues des moyens de détection. Il existe aussi un besoin pour des moyens d'alerte et/ou de protection pour systèmes informatiques industriels efficaces contre des attaques inconnues a priori.
Un des objets de l'invention est de fournir des moyens de détection d'anomalies dans un système informatique industriel, lesdites anomalies résultant potentiellement de menaces inconnues. Un autre objet de l'invention est d'identifier les comportements anormaux pouvant résulter d'une attaque ou des effets d'un programme malveillant. Un autre objet de l'invention est d'identifier les anomalies dans le comportement des équipements industriels, y compris lorsque ces derniers s'acquittent correctement de leurs fonctions. Un autre objet de l'invention est de permettre l'identification de symptômes précurseurs, en particulier les symptômes précédant l'apparition de dysfonctionnements dans les équipements industriels. Un autre objet de l'invention est d'identifier des anomalies pouvant mettre en cause la fiabilité et la sûreté de fonctionnement des équipements industriels. Un autre objet de l'invention est d'informer des anomalies identifiées et de proposer et/ou mettre en œuvre automatiquement un traitement approprié. Un autre objet de l'invention est de fournir des moyens aptes à s'adapter aux évolutions et aux variations de l'infrastructure industrielle et du système informatique industriel dans lesquels les moyens sont déployés, tout en limitant les risques de fausse détection.
Un ou plusieurs de ces objets sont remplis par le module et le procédé selon les revendications indépendantes. Les revendications dépendantes fournissent en outre des solutions à ces objets et/ou d'autres avantages.
Plus particulièrement, selon un premier aspect, l'invention se rapporte à un module de protection, pour détecter des anomalies dans un système informatique déployé dans une infrastructure industrielle. L'infrastructure industrielle est par exemple une usine, un centre de gestion d'un réseau énergétique, etc. L'infrastructure industrielle comporte des éléments fonctionnels destinés à mettre en œuvre des processus. Typiquement, les éléments fonctionnels sont destinés à mettre en œuvre les processus permettant d'assurer la production de produits, de gérer des flux, et/ou de fournir des services. Les éléments fonctionnels sont par exemple des systèmes de supervision, des automates, et/ou des systèmes de télésurveillance et d'acquisition de données. Le système informatique peut comprendre en outre des capteurs ou actionneurs pilotés par des automates autonomes et exécutant des fonctions embarquées. Le système informatique est typiquement employé pour interconnecter, contrôler et automatiser la gestion des éléments fonctionnels permettant à l'infrastructure industrielle d'assurer sa mission. Le système informatique peut comporter un ou plusieurs réseaux de communication, par exemple un réseau de type «Ethernet», pour permettre l'échange d'informations entre les éléments fonctionnels. Le système informatique peut encore comporter des moyens de traitement, comme des équipements informatiques, des moyens de stockage et des serveurs, pour exécuter les logiciels nécessaires aux tâches d'interconnexion, de contrôle et d'automatisation de la gestion.
Le module de protection comporte une interface d'entrée adaptée à être couplée au système informatique, ainsi qu'un module de collecte, couplé à l'interface d'entrée, et configuré pour collecter des informations de comportement relatives à l'état et au comportement des éléments fonctionnels ainsi que des informations système relatives au système informatique.
Le module de collecte peut acquérir lesdites informations au moyen:
• de logiciels et/ou matériels de collecte de données sur le réseau de communications du système informatique, par exemple un logiciel dit « espion » permettant d'intercepter l'activité sur les ports de communication ouverts, et d'identifier les protocoles de communication utilisés;
• de moyens de réception de données relatives aux éléments fonctionnels, par exemple des logiciels capables d'envoyer ou d'intercepter des requêtes de gestion - par exemple des requêtes SNMP— ou des logiciels capables de collecter ou accéder à des fichiers d'historique et/ou des journaux;
· de programme de supervision,
• d'outils d'administration réseau.
Les informations système collectées par le module de collecte comprennent, par exemple, au moins l'une des informations suivantes:
• une information relative à une charge, à un flux et/ou à un trafic de données;
• une information relative à une topographie d'un réseau de communication du système informatique, par exemple, des listes de sous réseaux, des adresses des membres du réseau, des numéros de ports utilisés, des protocoles utilisés.
Au moins une information relative à une topographie d'un réseau de communication du système informatique peut également comprendre au moins une et notamment plusieurs informations ou données relatives à la configuration des échanges entre les éléments fonctionnels du système, en particulier à la configuration des échanges au niveau applicatif.
Il apparaît en effet que les différents éléments fonctionnels sont de façon usuelle configurés au moyen de fichiers ou de base de données qui indiquent par exemple à propos des messages échangés entre éléments fonctionnels les adresses des données, leur sémantique, des attributs fonctionnels. Cette configuration peut notamment être réalisée hors-ligne, par exemple avant la mise en exploitation.
Ces informations définissent ainsi les échanges entre les équipements qui ont un intérêt fonctionnel.
Le module de protection peut ainsi être agencé pour réaliser un suivi et/ou valider les messages entre éléments fonctionnels ou équipements. En effet, si ces messages ne sont pas prévus dans la configuration, ils sont illégitimes et probablement faux, erronés, usurpés....
Des informations de la base de configuration peuvent être intégrées au module de protection de façon à réaliser un suivi sur le ou les réseaux de communication en surveillant la conformité à la configuration initiale.
Les informations de comportement collectées par le module de collecte comprennent, par exemple, au moins l'une des informations suivantes:
· une information relative à un état de fonctionnement et/ou à des ressources utilisées, pour un des éléments fonctionnels - par exemple en service/hors service, en phase d'initialisation, en maintenance, en mode dégradé, les ressources utilisées, les tâches actives, les processus, des informations journalisées («log» en anglais);
· une information relative à un événement survenant lors de l'exécution des processus - par exemple la réception de commandes ou l'activation d'une information particulière;
• une information relative à un état et/ou à des caractéristiques de l'infrastructure industrielle - par exemple, l'activation d'équipements redondants, la présence ou l'absence d'un ou plusieurs équipements, l'état d'activation de modes particuliers comme des modes isolés;
• une information relative à un utilisateur ou à un opérateur— par exemple la liste des opérateurs, les sessions ouvertes, les droits et autorisations des opérateurs, les équipements employés par les opérateurs;
· une information relative à un des processus mis en œuvre par les éléments fonctionnels — par exemple des mesures et/ou informations physiques relatives aux processus.
• une information relative à l'exécution des fonctions du système informatique - il peut être utile en particulier de collecter des informations sur les éléments du système qui fonctionnent, de façon nominale ou non ; en outre, il peut également être utile de collecter la signature dynamique d'une information, c'est-à-dire les changements de valeurs typiques d'une activité dans le temps de cette activité.
Le module de protection comporte un module d'analyse, couplé au module de collecte, et configuré pour:
· déterminer, à partir des informations de comportement, un état de référence;
• identifier une déviation entre d'une part les informations de comportement et les informations système collectées et d'autre part des informations de référence de comportement et des informations de référence systèmes associés à l'état de référence.
Ainsi le module de protection peut détecter des anomalies dans le système informatique, en identifiant une déviation par rapport à un état de référence considéré comme sain. Si un logiciel malveillant est à l'origine de ladite déviation, le module de protection va identifier cette déviation, sans pour autant connaître les caractéristiques ou la signature dudit logiciel. En outre, la déviation par rapport à l'état de référence va pouvoir être repérée, même si les éléments fonctionnels remplissent encore leur fonction. Par exemple, si un automate réalise la tâche demandée correctement, mais qu'une surtension est observée comparativement à la tension nominale correspondant à l'état de référence, cette déviation va pouvoir être identifiée.
Le module d'analyse peut être configuré pour vérifier si la déviation identifiée correspond à une dérive acceptable, et le cas échéant, mettre à jour les informations de référence de comportement et les informations de référence systèmes associés à l'état de référence, de sorte à prendre en compte cette déviation. Ainsi, il est possible de mettre à jour efficacement l'état de référence, notamment pour prendre en compte des dérives acceptables, dues par exemple à l'usure de composants ou encore à des modifications des équipements ou des processus. La vérification peut être faite en demandant, par l'intermédiaire d'une interface utilisateur, à un opérateur d'indiquer si cette déviation est acceptable.
Le module de protection peut encore comporter un module d'apprentissage, couplé au module de collecte, et configuré pour, au cours d'une phase d'étude:
• déterminer l'état actuel à partir des informations de comportement;
• enregistrer, dans un ensemble d'états de référence, l'état actuel ainsi qu'au moins une partie des informations de comportement et des informations de systèmes collectés. Avantageusement, lors de la phase d'étude, le module d'apprentissage peut mettre en œuvre des algorithmes d'intelligence artificielle, par exemple des algorithmes utilisant des réseaux de neurones.
Il est possible d'identifier les différents états de référence pour un système donné, y compris lorsque la complexité de ce dernier est grande. Le module de protection peut ainsi s'adapter à l'infrastructure industrielle et au système informatique industriel dans lequel les moyens sont déployés, ainsi qu'aux évolutions de ce dernier, tout en limitant les risques de fausse détection.
Le module de protection peut également comporter une interface de sortie et un module de réaction couplé à l'interface de sortie et au module d'analyse, le module d'analyse étant configuré pour transmettre la déviation identifiée au module de réaction, le module de réaction étant configuré pour transmettre, par l'intermédiaire de l'interface de sortie, une alerte comportant des informations relatives à la déviation identifiée. Il est ainsi possible d'informer des opérateurs de sécurité et les exploitants du système des risques et anomalies identifiés et de proposer et/ou mettre en œuvre automatiquement un traitement approprié.
Le module de réaction peut comporter un module de recherche de réalité configuré de sorte à autoriser l'envoi de l'alerte seulement après avoir vérifié si la déviation identifiée correspond à une anomalie en:
· observant les processus mis en œuvre par les éléments fonctionnels; et/ou,
• comparant les informations de comportement collectées, à des informations de comportement relatives aux éléments fonctionnels obtenues d'au moins un autre fournisseur d'informations.
Le module de recherche de réalité permet ainsi d'augmenter le niveau de sécurité tout en limitant les risques de fausse détection.
Le module de réaction peut comporter un module de mise en sécurité configuré, lorsque l'alerte a été émise, de sorte à transmettre:
• une demande de repli des processus mis en œuvres par les éléments fonctionnels concernés par la déviation, pour arrêter lesdits éléments fonctionnels ou les mettre dans un mode dans lequel la déviation identifiée ne peut engendrer de dommages; et/ou,
• une demande de redémarrage des éléments fonctionnels concernés par la déviation.
Le module de mise en sécurité permet ainsi de réagir dans les meilleurs délais à des menaces ou des risques imminents, mettant en danger les équipements et/ou l'infrastructure. Si le traitement des demandes est automatisé, il est encore possible d'améliorer la réactivité et de réduire encore les risques.
Selon un deuxième aspect, l'invention se rapporte à un procédé de protection pour détecter des anomalies dans un système informatique déployé dans une infrastructure industrielle, l'infrastructure industrielle comportant des éléments fonctionnels destinés à mettre en œuvre des processus. Le procédé comporte les étapes suivantes:
• une étape de collecte d'informations de comportement relatives à l'état et au comportement des éléments fonctionnels ainsi que d'informations système relatives au système informatique;
• une étape de détermination, à partir des informations de comportement, d'un état de référence;
• une étape d'identification d'une déviation entre d'une part les informations de comportement et les informations système collectées et d'autre part des informations de référence de comportement et des informations de référence systèmes associés à l'état de référence.
Au cours de l'étape d'identification de la déviation, il peut être vérifié si la déviation identifiée correspond à une dérive acceptable : le cas échéant, les informations de référence de comportement et les informations de référence systèmes associées à l'état de référence sont mises à jour de sorte à prendre en compte cette déviation.
Le procédé peut encore comporter une étape de transmission d'une alerte comportant des informations relatives à la déviation identifiée. Dans un mode de réalisation, l'étape de transmission de l'alerte est mise en œuvre seulement si, au cours d'une étape de vérification il a été établi que la déviation identifiée correspond à une anomalie en:
• observant les processus mis en œuvre par les éléments fonctionnels; et/ou,
• comparant les informations de comportement collectées, à des informations de comportement relatives aux éléments fonctionnels obtenues d'au moins une autre source d'informations.
Le procédé peut aussi comporter une étape de mise en sécurité suite à l'émission de l'alerte, au cours de laquelle est transmise:
• une demande de repli des processus mis en œuvre par les éléments fonctionnels concernés par la déviation, pour arrêter lesdits éléments fonctionnels ou les mettre dans un mode dans lequel la déviation identifiée ne peut engendrer de dommages; et/ou,
• une demande de redémarrage des éléments fonctionnels concernés par la déviation.
Selon un troisième aspect, l'invention se rapporte à un programme d'ordinateur comportant des instructions pour l'exécution des étapes du procédé selon le deuxième aspect, lorsque ledit programme est exécuté par un processeur.
Chacun de ces programmes peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable. En particulier, il est possible d'utiliser des langages de script, tels que notamment tel, javascript, python, perl qui permettent une génération de code « à la demande » et ne nécessitent pas de surcharge significative pour leur génération ou leur modification.
Selon un quatrième aspect, l'invention se rapporte à un support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes du procédé selon le deuxième aspect.
Le support d'informations peut être n'importe quelle entité ou n'importe quel dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD-ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette ou un disque dur. D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé par un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau Internet ou Intranet. Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
Brève description des figures
D'autres particularités et avantages de la présente invention apparaîtront, dans la description ci-après de modes de réalisation, en référence aux dessins annexés, dans lesquels:
• la figure 1 est un schéma bloc illustrant un système informatique industriel;
• la figure 2 est un schéma bloc du module de protection; • la figure 3 est un schéma bloc du module de réaction ;
• la figure 4 est un diagramme de séquence d'un procédé de protection.
La figure 1 illustre schématiquement un système informatique 10 industriel, selon un mode de réalisation de l'invention. Le système informatique 10 est par exemple déployé dans une infrastructure industrielle, comme une usine ou un centre de gestion d'un réseau énergétique. Il est typiquement employé pour interconnecter, contrôler et automatiser la gestion d'éléments fonctionnels permettant à l'infrastructure industrielle d'assurer sa mission. Typiquement, les éléments fonctionnels sont destinés à mettre en œuvre les processus permettant d'assurer la production de produits, de gérer des flux, et/ou de fournir des services, etc. Les éléments fonctionnels sont par exemple des systèmes de supervision 12, des automates 14, et/ou des systèmes de télésurveillance et d'acquisition de données 16 (généralement désigné par l'acronyme anglais «SCADA» pour «supervisory control and data acquisition»). Le système informatique comporte en outre un réseau de communication 18, par exemple un réseau de type «Ethernet», pour permettre l'échange d'informations entre les éléments fonctionnels de l'infrastructure industrielle. Le système informatique 10 comporte encore des moyens de traitement 20, par exemple des équipements informatiques, des moyens de stockage et des serveurs, pour exécuter les logiciels nécessaires aux tâches d'interconnexion, de contrôle et d'automatisation de la gestion. Le système informatique comporte aussi un module de protection 22, et un centre de sécurité 24.
La figure 2 illustre, par un schéma bloc, le module de protection 22 selon un mode de réalisation de l'invention. Le module de protection 22 comporte une interface d'entrée 30, pour permettre la collecte d'informations sur le système informatique 10 et sur les éléments fonctionnels de l'infrastructure industrielle, en particulier des informations relatives aux systèmes de supervision 12, aux automates 14, et aux systèmes de télésurveillance et d'acquisition de données 16. L'interface d'entrée 30 comprend par exemple une interface réseau apte à être couplée au réseau de communication 18. L'interface d'entrée 30 peut aussi comporter des moyens supplémentaires de couplage à des automates ou systèmes par l'intermédiaire d'une interface dédiée utilisant un protocole de communication partagé avec ces systèmes, en particulier lorsque ces derniers ne sont pas directement couplés au système informatique 10. Le module de protection comporte une interface de sortie 32 pour permettre l'envoi d'informations au centre de sécurité 24 et au SCADA 16. L'interface de sortie 32 comprend par exemple une interface réseau apte à être couplée au réseau de communication 18. Le module de protection 22 comporte un module de collecte 34 d'informations, couplé à l'interface d'entrée 34. Le module de collecte 34 est configuré de manière à obtenir des informations de comportement relatives à l'état et au comportement en fonctionnement des éléments fonctionnels de l'infrastructure industrielle, ainsi que des informations système relatives au système informatique 10 et au réseau de communication 18. Les informations système relatives au système informatique 10 et au réseau de communication 18 peuvent notamment comporter:
• des informations relatives à la charge, au flux et au trafic des données;
• des données relatives à la topographie du réseau de communication 18, comme des listes de sous-réseaux, les adresses des membres du réseau, les numéros de ports utilisés, les protocoles utilisés.
Les données relatives à une topographie d'un réseau de communication du système informatique peuvent comprendre des données relatives à la configuration des échanges entre les éléments fonctionnels du système, en particulier à la configuration des échanges au niveau applicatif. A titre d'exemple un mode de configuration basique pour un protocole simple de type Modbus comprend une liste d'adresse avec le type de données de contenu.
Les informations de comportement peuvent notamment comporter des informations relatives:
• aux caractéristiques des éléments fonctionnels, par exemple leur état de fonctionnement - en service/hors service, en phase d'initialisation, en maintenance, en mode dégradé — , les ressources utilisées, les tâches actives, les processus, des informations journalisées («log» en anglais);
• aux événements survenant lors de l'exécution des processus, tels que la réception de commandes ou l'activation d'une information particulière;
« à l'état et aux caractéristiques de l'architecture et de la topologie de l'infrastructure industrielle, par exemple l'activation d'équipements redondants, la présence ou l'absence d'un ou plusieurs équipements, l'état d'activation de modes particuliers comme des modes isolés;
• aux opérateurs/utilisateurs, par exemple la liste des opérateurs/utilisateurs, les sessions ouvertes, les droits et autorisations des opérateurs/utilisateurs, les équipements employés par les utilisateurs;
• aux processus mis en œuvre par les éléments fonctionnels, par exemple des mesures et/ou informations physiques relatives aux processus.
Le module de protection 22 comporte un module d'apprentissage 36 configuré pour identifier un ensemble d'états de référence du système informatique 10 et des éléments fonctionnels, au cours d'une phase d'étude. Pour cela, il est par exemple possible d'utiliser les informations système et de comportements collectés. Chaque état de référence est par exemple fonction des activités du système informatique 10 et/ou des éléments fonctionnels, et d'un contexte d'exploitation. A chaque état de référence est associé des informations de référence de comportement et des informations de référence systèmes.
Au cours de la phase d'étude, certains états de référence peuvent être regroupés, afin de limiter le nombre total d'états de référence, en particulier en identifiant les états de référence dominants - c'est-à-dire notamment les états de référence qui se produisent systématiquement par rapport à d'autres états de référence non dominants - et/ou en identifiant les états de référence dont l'influence sur l'infrastructure industrielle est limitée. Au cours de la phase d'analyse, lorsque des doutes existent sur l'influence effective d'un état de référence ou si l'aspect dominant est incertain, il est alors préférable de ne pas regrouper ces états de référence.
Un exemple pour un système de supervision d'un poste électrique, va maintenant être décrit. Le système de supervision comprend un dispositif de supervision PC, un terminal distant RTU, un dispositif de protection PROT et un réseau. Le dispositif de supervision PC, le terminal distant RTU, le dispositif de protection PROT peuvent être dans un état de fonctionnement fonctionnel ou non fonctionnel. Les utilisateurs du système de supervision peuvent être : un opérateur local de conduite, un opérateur de téléconduite ou un personnel de maintenance. Les fonctions principales du système de supervision sont les suivantes:
• le terminal distant RTU a pour fonction de piloter un automatisme (fonction ré-enclencheur);
• le dispositif de protection PROT a pour fonction d'éliminer un éventuel défaut;
• le dispositif de supervision a pour fonction de permettre la mise en œuvre de commandes volontaires, si le terminal distant RTU est fonctionnel.
Au cours de l'exploitation du système de supervision, quatre séquences peuvent se présenter:
• une première séquence, au cours de laquelle le système de supervision est dans un état inactif;
• une deuxième séquence d'élimination d'un défaut;
• une troisième séquence de prise en compte de commandes volontaires; · une troisième séquence de ré-enclenchement. Ces séquences sont mutuellement exclusives, le système de supervision ne pouvant à un instant donné être que dans une seule de ces séquences. Typiquement, les séquences se présentent dans l'ordre suivant: deuxième séquence, troisième séquence, quatrième séquence, première séquence.
Pour identifier l'ensemble d'états de référence du système de supervision d'un poste électrique, au cours de la phase d'étude, le module d'apprentissage 36 est configuré pour prendre en compte les séquences d'exploitation, les modes de fonctionnement des équipements (par exemple opérationnel/non opérationnel), l'utilisation du système par un opérateur local de conduite (détecté lors de l'ouverture d'une session par ce dernier) ou par un opérateur de téléconduite (supposé actif dès que la communication avec la téléconduite est établie) ou par un personnel de maintenance (exploitant ou constructeur, détecté lors de l'ouverture d'une session par ce dernier, localement ou à distance).
Le tableau suivant représente un exemple d'un premier sous-ensemble d'états de référence ER du système de supervision d'un poste électrique, sous une forme de matrice, en fonction des différentes séquences d'exploitation et de l'état de fonctionnement des éléments du système de supervision.
Le tableau suivant représente un exemple d'un deuxième sous-ensemble d'états de référence ER du système de supervision d'un poste électrique, sous une forme de matrice, en fonction des différentes séquences d'exploitation et des utilisateurs ayant ouvert une session dans le système. Personne opérateur opérateur personnel de opérateur de opérateur local de télélocal de maintenance télé-conduite de conduite et conduite conduite seulement et personnel personnel de de maintenance maintenance
Première ER(2-1-1) ER(2-l-2) ER(2-l-3) ER(2-l-4) ER(2-l-5) ER(2-l-6) séquence
Deuxième ER(2-2-l) ER(2-2-2) ER(2-2-3) ER(2-2-4) ER(2-2-5) ER(2-2-6) séquence
Troisième Impossible ER(2-3-2) ER(2-3-3) ER(2-3-4) ER(2-3-5) ER(2-3-6) séquence
Quatrième ER(2-4-l) ER(2-4-2) ER(2-4-3) ER(2-4-4) ER(2-4-5) ER(2-4-6) séquence
Le tableau suivant représente un exemple d'un troisième sous-ensemble d'états de référence ER du système de supervision d'un poste électrique, sous une forme de matrice, en fonction de l'état de fonctionnement des éléments du système de supervision et des utilisateurs ayant ouvert une session dans le système.
personne opérateur opérateur personnel de opérateur de opérateur de télélocal de maintenance télélocal de conduite conduite seulement conduite et conduite et personnel personnel de de maintenance maintenance
Système Impossible ER(3-l-2) ER(3-l-3) Impossible ER(3-l-5) ER(3-l-6) fonctionnel
Dispositif ER(3-2-l) ER(3-2-2) Impossible ER(3-2-4) ER(3-2-5) Impossible de
supervision
PC non
fonctionnel
Terminal ER(3-3-l) ER(3-3-2) ER(3-3-3) ER(3-3-4) ER(3-3-5) ER(3-3-6) distant
RTU non
fonctionnel
Dispositif ER(3-4-l) ER(3-4-2) ER(3-4-3) ER(3-4-4) ER(3-4-5) ER(3-4-6) de
protection
non
fonctionnel
L'ensemble d'états de référence ER du système de supervision d'un poste électrique correspond à la matrice réunissant le premier sous-ensemble, le deuxième sous-ensemble et le troisième sous-ensemble.
Le module d'apprentissage 36 peut en particulier être configuré pour valider, au cours d'une étape de validation, les états de référence, identifiés au cours de la phase d'étude. Pour cela, l'infrastructure industrielle est effectivement utilisée pour créer des situations aboutissant à reproduire ces états de référence. Le module d'apprentissage 36 s'assure alors que les états de référence identifiés au cours de la phase d'étude sont effectivement reproduits et correctement identifiés. L'étape de validation peut en outre être conduite lors d'essais sur une plateforme avant déploiement dans l'infrastructure industrielle site pour un nouveau système, ou en situation pour une infrastructure industrielle existante.
Lors des phases d'étude et/ou de validation, le module d'apprentissage 36 peut mettre en œuvre des algorithmes d'intelligence artificielle, par exemple des algorithmes utilisant des réseaux de neurones, pour identifier les états de référence.
Le module de protection 22 comporte un module d'analyse 38 configuré pour:
• déterminer, à partir des informations de comportement collectées, un état de référence;
• identifier une déviation entre d'une part les informations de comportement et les informations système collectées et d'autre part des informations de référence de comportement et des informations de référence systèmes associés à l'état de référence.
Ainsi le module d'analyse permet d'identifier les éventuelles déviations entre l'état de référence dans lequel les éléments fonctionnels et le système informatique sont supposés être en fonction du contexte actuel, et l'état effectivement constaté.
Dans un mode de réalisation, le module d'analyse 38 collecte des informations système et des informations de comportements, pour déterminer le contexte actuel dans lequel se trouve l'infrastructure industrielle. Le module d'analyse 38 cherche, dans une base de données d'analyse, l'état de référence correspondant au contexte. Puis, le module d'analyse 38 compare les informations de comportement et les informations système collectées et d'autre part des informations de référence de comportement et des informations de référence systèmes associés à l'état de référence, pour identifier les déviations. Le module d'analyse 38 peut mettre en œuvre des algorithmes d'intelligence artificielle, par exemple des algorithmes utilisant des réseaux de neurones, notamment pour comparer l'état actuel à l'état de référence.
Le module d'analyse 38 peut également comprendre un mode d'entraînement et un mode automatique. En mode entraînement, lorsqu'une déviation est constatée, le module d'analyse 38 est programmé de sorte à demander si la déviation est effectivement une anomalie à traiter ou si la déviation correspond à une dérive normale de l'infrastructure industrielle. Si la déviation n'est pas une anomalie, mais une dérive normale, la base de données d'analyse est mise à jour. Dans un mode de réalisation, le module d'analyse 38 comporte une interface utilisateur adaptée pour afficher la déviation constatée et pour permettre à un opérateur d'indiquer s'il s'agit d'une anomalie ou une dérive normale. Le mode d'étude permet le réglage du module d'analyse 38, en particulier au cours du temps, pour pouvoir prendre en compte les évolutions et mises à jour. En mode automatique, lorsqu'une déviation est identifiée, une alerte est transmise au module de réaction 40. Comme illustré sur la figure 3, le module de réaction 40 comporte un module de recherche de réalité 42, un module d'alerte 44, un module de mise en sécurité 46.
Lorsqu'une alerte est reçue du module d'analyse 38, le module de recherche de réalité cherche à déterminer si la déviation constatée correspond à une anomalie réelle. En particulier, le module de recherche de réalité peut s'assurer de l'existence d'un problème au niveau des processus mis en œuvre par les éléments fonctionnels (surtension, débit nul ou trop important, vitesse hors gamme, etc.). Le module de recherche de la réalité peut encore vérifier si les informations de comportement reçues correspondent à celles utilisées par les éléments fonctionnels (la valeur d'une tension barre reçue par le module de protection 22 est-elle sensiblement égale à celle reçue par l'élément fonctionnel correspondant?). Pour procéder à ces vérifications, le module de recherche de réalité peut en particulier comparer les informations de comportement relatives aux caractéristiques des éléments fonctionnels, et les informations relatives aux processus mis en œuvre par les éléments fonctionnels. Grâce à ces vérifications, le module de recherche de réalité peut s'assurer de la survenance d'une anomalie réelle, et éventuellement déterminer un niveau de gravité.
Lorsqu'une anomalie réelle a été constatée par le module de recherche de réalité, le module d'alerte est configuré pour envoyer, par l'intermédiaire de l'interface de sortie 32, un message d'alerte comportant des informations sur l'anomalie constatée, en particulier les déviations constatées et le niveau de gravité estimé. Le message d'alerte est par exemple transmis au centre de sécurité 24 pour permettre à des opérateurs, des exploitants et/ou des personnels en charge de la sécurité informatique de prendre des dispositions d'urgence ou de déclencher des procédures de sauvegarde ou de mise en sécurité. Le message d'alerte peut aussi comporter des recommandations sur les actions à entreprendre en réaction à l'anomalie constatée.
Lorsqu'une anomalie réelle a été constatée par le module de recherche de réalité, le module de mise en sécurité est configuré pour tenter de mettre fin à l'anomalie, et/ou de réduire sensiblement ou supprimer ces effets. Le module de mise en sécurité peut par exemple être configuré de sorte à: • effectuer un repli des processus mis en œuvre par les éléments fonctionnels concernés par l'anomalie; le repli correspond à des procédures existantes et normales, pour arrêter les équipements ou les mettre dans un mode dans lequel l'anomalie constatée ne peut engendrer de dommages;
· ordonner un redémarrage des éléments fonctionnels concernés par l'anomalie, en particulier pour les éléments fonctionnels pilotés par un programme chargé au démarrage depuis une mémoire en lecture seule non réinscriptible.
La figure 4 est un diagramme de séquence d'un procédé selon un mode de réalisation de l'invention. Le procédé permet de détecter des anomalies du système informatique déployé dans l'infrastructure industrielle. Le procédé comporte les étapes suivantes:
• une étape 110 de collecte d'informations de comportement relatives à l'état et au comportement des éléments fonctionnels ainsi que d'informations système relatives au système informatique;
· une étape 120 de détermination d'un état de référence à partir des informations de comportement;
• une étape 130 d'identification d'une déviation entre d'une part les informations de comportement et les informations système et d'autre part des informations de référence de comportement et des informations de référence systèmes associés à l'état de référence.
Au cours de l'étape 130 d'identification de la déviation, il peut être vérifié, dans une étape 140, si la déviation identifiée correspond à une dérive acceptable: le cas échéant, les informations de référence de comportement et les informations de référence systèmes associées à l'état de référence sont mises à jour de sorte à prendre en compte cette déviation.
Le procédé peut encore comporter une étape 150 de transmission d'une alerte comportant des informations relatives à la déviation identifiée. Dans un mode de réalisation, l'étape 150 de transmission de l'alerte est mise en œuvre seulement si, au cours d'une étape de vérification il a été établi que la déviation identifiée correspond à une anomalie en:
• observant les processus mis en œuvre par les éléments fonctionnels; et/ou,
• comparant les informations de comportement collectées, à des informations de comportement relatives aux éléments fonctionnels obtenues d'au moins un autre fournisseur d'informations. Le procédé peut aussi comporter une étape 160 de mise en sécurité, au cours de laquelle est transmise:
• une demande de repli des processus mis en œuvres par les éléments fonctionnels concernés par la déviation, pour arrêter lesdits éléments fonctionnels ou les mettre dans un mode dans lequel la déviation identifiée ne peut engendrer de dommages; et/ou,
• une demande de redémarrage des éléments fonctionnels concernés par la déviation.

Claims

REVENDICATIONS
1. Module de protection (22), pour détecter des anomalies dans un système informatique (10) déployé dans une infrastructure industrielle, l'infrastructure industrielle comportant des éléments fonctionnels (12, 14, 16) destinés à mettre en œuvre des processus, caractérisé en ce qu'il comporte:
• une interface d'entrée (30) adaptée à être couplée au système informatique (10);
• un module de collecte (34), couplé à l'interface d'entrée, et configuré pour collecter des informations de comportement relatives à l'état et au comportement des éléments fonctionnels ainsi que des informations système relatives au système informatique;
• un module d'analyse (38), couplé au module de collecte, et configuré pour:
• déterminer, à partir des informations de comportement, un état de référence;
• identifier une déviation entre d'une part les informations de comportement et les informations système collectées et d'autre part des informations de référence de comportement et des informations de référence systèmes associés à l'état de référence.
2. Module de protection selon la revendication 1, dans lequel les informations système collectées par le module de collecte (34) comprennent au moins l'une des informations suivantes:
• une information relative à une charge, à un flux et/ou à un trafic de données;
· une information relative à une topographie d'un réseau de communication (18) du système informatique (10).
3. Module de protection selon l'une quelconque des revendications 1 à 2, dans lequel les informations de comportement collectées par le module de collecte (34) comprennent au moins l'une des informations suivantes:
· une information relative à un état de fonctionnement et/ou à des ressources utilisées, pour un des éléments fonctionnels;
• une information relative à un événement survenant lors de l'exécution des processus;
• une information relative à un état et/ou à des caractéristiques de l'infrastructure industrielle;
• une information relative à un utilisateur ou à un opérateur; • une information relative à un des processus mis en œuvre par les éléments fonctionnels ;
• une information relative à l'exécution des fonctions du système informatique.
4. Module de protection selon l'une quelconque des revendications
1 à 3, comportant en outre un module d'apprentissage (36), couplé au module de collecte, et configuré pour, au cours d'une phase d'étude:
• déterminer un état actuel à partir des informations de comportement;
• enregistrer, dans un ensemble d'états de référence, l'état actuel ainsi qu'au moins une partie des informations de comportement et des informations de systèmes collectés.
5. Module de protection selon l'une quelconque des revendications précédentes, dans lequel le module d'analyse (38) est configuré pour vérifier si la déviation identifiée correspond à une dérive acceptable, et le cas échéant, pour mettre à jour les informations de référence de comportement et les informations de référence systèmes associés à l'état de référence, de sorte à prendre en compte cette déviation.
6. Module de protection selon l'une quelconque des revendications précédentes, comportant en outre une interface de sortie (32) et un module de réaction (40) couplé à l'interface de sortie et au module d'analyse (38), le module d'analyse (38) étant configuré pour transmettre la déviation identifiée au module de réaction, le module de réaction étant configuré pour transmettre, par l'intermédiaire de l'interface de sortie (32), une alerte comportant des informations relatives à la déviation identifiée.
7. Module de protection selon la revendication 6, dans lequel le module de réaction comporte un module de recherche de réalité (42), le module de recherche de réalité (42) étant configuré de sorte à autoriser l'envoi de l'alerte seulement après avoir vérifié si la déviation identifiée correspond à une anomalie en:
• observant les processus mis en œuvre par les éléments fonctionnels; et/ou,
· comparant les informations de comportement collectées, à des informations de comportement relatives aux éléments fonctionnels obtenues d'au moins un autre fournisseur d'informations.
8. Module de protection selon l'une quelconque des revendications 6 à 7, dans lequel le module de réaction comporte un module de mise en sécurité (46), le module de mise en sécurité (46) étant configuré, lorsque l'alerte a été émise, de sorte à transmettre: • une demande de repli des processus mis en œuvres par les éléments fonctionnels concernés par la déviation, pour arrêter lesdits éléments fonctionnels ou les mettre dans un mode dans lequel la déviation identifiée ne peut engendrer de dommages; et/ou,
· une de demande de redémarrage des éléments fonctionnels concernés par la déviation.
9. Procédé de protection pour détecter des anomalies dans un système informatique (10) déployé dans une infrastructure industrielle, l'infrastructure industrielle comportant des éléments fonctionnels (12, 14, 16) destinés à mettre en œuvre des processus, caractérisé en ce qu'il comporte les étapes suivantes:
• une étape de collecte (110) d'informations de comportement relatives à l'état et au comportement des éléments fonctionnels ainsi que d'informations système relatives au système informatique;
• une étape de détermination d'un état de référence (120) à partir des informations de comportement;
• une étape d'identification (130) d'une déviation entre d'une part les informations de comportement et les informations système collectées et d'autre part des informations de référence de comportement et des informations de référence systèmes associés à l'état de référence.
10. Procédé selon la revendication 9, dans lequel, au cours de l'étape d'identification (130) de la déviation, il est vérifié si la déviation identifiée correspond à une dérive acceptable ; le cas échéant, les informations de référence de comportement et les informations de référence systèmes associées à l'état de référence sont mises à jour de sorte à prendre en compte cette déviation.
11. Procédé selon l'une quelconque des revendications 9 à 10, comportant en outre une étape de transmission d'une alerte (150) comportant des informations relatives à la déviation identifiée.
12. Procédé selon la revendication 11 , dans lequel l'étape de transmission de l'alerte (150) est mise en œuvre seulement si, au cours d'une étape de vérification (140) il a été établi que la déviation identifiée correspond à une anomalie en:
• observant les processus mis en œuvre par les éléments fonctionnels; et/ou,
• comparant les informations de comportement collectées, à des informations de comportement relatives aux éléments fonctionnels obtenues d'au moins une autre source d'informations.
13. Procédé selon la revendication 11 ou 12, comportant une étape de mise en sécurité (160) suite l'émission de l'alerte, au cours de laquelle est transmise:
• une demande de repli des processus mis en œuvres par les éléments fonctionnels concernés par la déviation, pour arrêter lesdits éléments fonctionnels ou les mettre dans un mode dans lequel la déviation identifiée ne peut engendrer de dommages; et/ou,
• une de demande de redémarrage des éléments fonctionnels concernés par la déviation.
14. Programme d'ordinateur comportant des instructions pour l'exécution des étapes du procédé selon l'une quelconque des revendications 9 à 13, lorsque ledit programme est exécuté par un processeur.
15. Support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes du procédé selon l'une quelconque des revendications 9 à 13.
EP14786996.0A 2013-09-04 2014-09-02 Moyens de protection pour systèmes informatiques industriels Withdrawn EP3042284A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1358455A FR3010202B1 (fr) 2013-09-04 2013-09-04 Moyens de protection pour systemes informatiques industriels
PCT/FR2014/052157 WO2015033049A1 (fr) 2013-09-04 2014-09-02 Moyens de protection pour systèmes informatiques industriels

Publications (1)

Publication Number Publication Date
EP3042284A1 true EP3042284A1 (fr) 2016-07-13

Family

ID=49949792

Family Applications (1)

Application Number Title Priority Date Filing Date
EP14786996.0A Withdrawn EP3042284A1 (fr) 2013-09-04 2014-09-02 Moyens de protection pour systèmes informatiques industriels

Country Status (3)

Country Link
EP (1) EP3042284A1 (fr)
FR (1) FR3010202B1 (fr)
WO (1) WO2015033049A1 (fr)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016172514A1 (fr) * 2015-04-24 2016-10-27 Siemens Aktiengesellschaft Amélioration de la résilience d'un système de commande par couplage fort de fonctions de sécurité avec la commande
EP3211493A1 (fr) * 2016-02-24 2017-08-30 Siemens Aktiengesellschaft Systeme d'automatisation destine a commander un processus, un appareil et/ou une installation
FR3052882A1 (fr) * 2016-06-15 2017-12-22 Fpc Ingenierie Moyens de pilotage de processus de controle-commande deployes dans un site industriel
FR3079948B1 (fr) 2018-04-05 2022-03-04 Ip Leanware Dispositif et procede de securisation et transfert de donnees de parametres industriels entre un reseau industriel a securiser et une cible
EP3889711A1 (fr) * 2020-03-31 2021-10-06 Siemens Aktiengesellschaft Moteurs d'exécution de cybersécurité portables
CN116915500B (zh) * 2023-09-05 2023-11-17 武汉万数科技有限公司 一种接入设备的安全检测方法及***

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070050777A1 (en) * 2003-06-09 2007-03-01 Hutchinson Thomas W Duration of alerts and scanning of large data stores
US8271838B2 (en) * 2004-11-16 2012-09-18 Siemens Corporation System and method for detecting security intrusions and soft faults using performance signatures
WO2009128905A1 (fr) 2008-04-17 2009-10-22 Siemens Energy, Inc. Procédé et système pour la gestion de la cyber-sécurité de systèmes de surveillance industrielle

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2015033049A1 *

Also Published As

Publication number Publication date
WO2015033049A1 (fr) 2015-03-12
FR3010202A1 (fr) 2015-03-06
FR3010202B1 (fr) 2016-03-11

Similar Documents

Publication Publication Date Title
EP3042284A1 (fr) Moyens de protection pour systèmes informatiques industriels
Fillatre et al. Security of SCADA systems against cyber–physical attacks
US20170214708A1 (en) Detecting security threats by combining deception mechanisms and data science
US20210021636A1 (en) Automated Real-time Multi-dimensional Cybersecurity Threat Modeling
US9124626B2 (en) Firewall based botnet detection
JP5926491B2 (ja) ネットワークにおけるセキュリティ保全のための方法及び、プロセッサにセキュリティ保全のための方法を遂行させるようなコンピュータ・プログラムのコンピュータ読取り可能な命令を有しているコンピュータ読取り可能な媒体
AU2016333461B2 (en) Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system
US10628587B2 (en) Identifying and halting unknown ransomware
CN102577305A (zh) 网络中的异常检测的方法
CN107070889B (zh) 一种基于云平台的统一安全防御***
Rodofile et al. Process control cyber-attacks and labelled datasets on S7Comm critical infrastructure
CN102684944A (zh) 入侵检测方法和装置
FR2962826A1 (fr) Supervision de la securite d'un systeme informatique
CN113240116B (zh) 基于类脑平台的智慧防火云***
CN111212035A (zh) 一种主机失陷确认及自动修复方法及基于此的***
CN110166420A (zh) 反弹shell阻断方法及装置
CN107809321B (zh) 一种安全风险评估和告警生成的实现方法
EP3785158B1 (fr) Systeme de securisation de procede cyber-physique
CN113904920B (zh) 基于失陷设备的网络安全防御方法、装置及***
CN114006719B (zh) 基于态势感知的ai验证方法、装置及***
CN113660223B (zh) 基于告警信息的网络安全数据处理方法、装置及***
EP3205068A1 (fr) Procede d'ajustement dynamique d'un niveau de verbosite d'un composant d'un reseau de communications
EP2911362B1 (fr) Procédé et système de détection d'intrusions dans des réseaux et des systèmes, sur la base de la spécification de processus opérationnels
FR3052882A1 (fr) Moyens de pilotage de processus de controle-commande deployes dans un site industriel
CN114006802B (zh) 失陷设备的态势感知预测方法、装置及***

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20160309

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20200603