JP2016163352A - 産業用通信ネットワークにおける異常検出、異常検出システム、及び異常検出を行う方法 - Google Patents

産業用通信ネットワークにおける異常検出、異常検出システム、及び異常検出を行う方法 Download PDF

Info

Publication number
JP2016163352A
JP2016163352A JP2016038847A JP2016038847A JP2016163352A JP 2016163352 A JP2016163352 A JP 2016163352A JP 2016038847 A JP2016038847 A JP 2016038847A JP 2016038847 A JP2016038847 A JP 2016038847A JP 2016163352 A JP2016163352 A JP 2016163352A
Authority
JP
Japan
Prior art keywords
network
metadata
detection system
communication network
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016038847A
Other languages
English (en)
Other versions
JP6749106B2 (ja
JP2016163352A5 (ja
Inventor
エー. ミキサー ロバート
A Mixer Robert
エー. ミキサー ロバート
ケー. ロウ ギャリー
K Law Gary
ケー. ロウ ギャリー
イー. カッチン アンドリュー
E Cutchin Andrew
イー. カッチン アンドリュー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fisher Rosemount Systems Inc
Original Assignee
Fisher Rosemount Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fisher Rosemount Systems Inc filed Critical Fisher Rosemount Systems Inc
Publication of JP2016163352A publication Critical patent/JP2016163352A/ja
Publication of JP2016163352A5 publication Critical patent/JP2016163352A5/ja
Application granted granted Critical
Publication of JP6749106B2 publication Critical patent/JP6749106B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B1/00Comparing elements, i.e. elements for effecting comparison directly or indirectly between a desired value and existing or anticipated values
    • G05B1/01Comparing elements, i.e. elements for effecting comparison directly or indirectly between a desired value and existing or anticipated values electric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Small-Scale Networks (AREA)
  • Selective Calling Equipment (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】プロセスおよび産業用制御システムにおいて用いられるような通信ネットワークの制御および保守への侵入を検出する。【解決手段】異常検出システム10は、ノードへのおよびノードからのメッセージトラフィックを調べ、かつ、メッセージトラフィックに関連するメタデータを発生するよう動作するネットワーク20の各ノード22A〜22Nに、様々なデータの収集モジュール30、32を含む。ノードにある通信モジュール33は、論理ルールの集合およびトラフィックパターンベースラインデータを用いてメタデータを解析するルールエンジンを用いてメタデータを処理し、1つまたは複数のネットワークノードで現在のトラフィックパターンが異常であるかどうかを判定するものである異常解析エンジン34へ、トラフィックメタデータを送信する。【選択図】図1

Description

この出願は、概して、プロセスまたは産業用プラントの通信システムに関するものであり、より詳細には、プラント通信ネットワーク内のメッセージトラフィックの異常検出に基づく、例えばプロセスおよび産業用制御システムにおいて用いられるような通信ネットワークの制御および保守への侵入を検出することに関する。
発電、化学、石油または他の製造プロセスで用いられるものであるような分散または拡張性のあるプロセス制御システムなどの、プロセスまたは産業用制御および保守システムは、ふつう、お互いに、プロセス制御ネットワークを介して少なくとも1つのホストまたはオペレータワークステーションに、そしてアナログ、デジタルまたはアナログ/デジタル複合バスを介して1つまたは複数のフィールド機器に、通信可能に接続された1つまたは複数のコントローラを含む。例えばバルブ、バルブポジショナ、スイッチ、伝送器(例えば、温度、圧力および流量センサ)でありうるフィールド機器は、例えばバルブの開閉、装置のオンならびにオフの切り替え、およびプロセスパラメータの測定などのプロセスまたはプラント内で機能する。コントローラは、フィールド機器によりなされたプロセスまたはプラントの測定を示す信号および/またはフィールド機器に関する他の情報を受信し、この情報を用いて1つまたは複数の制御ルーチンを実行し、その後プラントネットワークのバスまたは通信チャネルを通じてフィールド機器に送信される制御信号を発生してプロセスまたはプラントの動作を制御する。フィールド機器およびコントローラからの情報は、ふつう、オペレータワークステーションによって実行される1つまたは複数のアプリケーションにおいて、通信ネットワークを介して利用可能になされ、オペレータまたは保守担当者に、例えばプラントの現状を調査すること、プラントの動作を変更すること、装置を較正すること、欠陥のある装置を検出することなどのプロセスまたはプラントに関するあらゆる所望の機能を行うことを可能にする。
プロセスプラント環境内に通常配置されるプロセスコントローラは、構成図に従って構成されて、動作中、フィールド機器により作成されたもしくはフィールド機器に関連するプロセス測定値またはプロセス変数を示す信号および/またはフィールド機器に関する他の情報を、周期的にまたは規則正しく受信して、この情報を用いてコントローラのアプリケーションを実行する。コントローラのアプリケーションは例えば、プロセス制御の決定をする、受信した情報に基づいて制御信号を生成する、および、例えばフィールド機器であるHART(登録商標)やFOUNDATION(登録商標) Fieldbusなどのフィールド機器における制御モジュールまたはブロックと連携するものである異なる制御モジュールを実行する。さらに、プロセスコントローラにおける制御モジュールは、再び構成図に従って、制御信号を通信線または他の信号パスを通じてフィールド機器に送信し、それによりプロセスの動作を制御する。
フィールド機器およびプロセスコントローラからの情報はまた、ふつう、プラント内またはプラント外の1つまたは複数のハードウェア装置、例えば、オペレータワークステーション、保守ワークステーション、サーバ、パーソナルコンピュータ、携帯用デバイス、データヒストリアンまたは事象ヒストリアン(historian)、リポートジェネレータ、集中型データベースなどにおいて、1つまたは複数の保護されたプロセス制御または保守ネットワークを介して、利用可能であるようになされる。プロセス制御または保守通信ネットワークを通じて伝達される情報は、オペレータまたは保守担当者に対して、プロセスに関して所望の機能を行うことおよび/またはプラントの動作もしくはプラント内の装置を調査することを可能にさせる。例えば、制御情報は、オペレータに対して、プロセス制御ルーチンの設定を変更すること、プロセスコントローラまたはスマートフィールド機器内の制御モジュールの動作を変更すること、プロセスの現状またはプロセスプラント内の特定の装置の現状を観察すること、フィールド機器やプロセスコントローラにより発生された警報およびまたはアラートを調査すること、人員の訓練目的またはプロセス制御ソフトウェアの試験のためにプロセス動作をシミュレートすること、プロセスプラント内の問題やハードウェアの故障を診断することなどを許可する。
フィールド機器およびコントローラは、一般に、例えばイーサネット(登録商標)で構成されたLANとして実行されうる1つまたは複数の保護されたプロセス制御または保守の通信ネットワークを通じて他のハードウェア装置と通信する。このプロセス制御または保守通信ネットワークは、プロセスパラメータ、ネットワーク情報および他のプロセス制御データを様々なネットワーク装置を介して、プロセス制御システム内の様々な実体へ送信する。代表的なネットワーク装置は、ネットワークインタフェースカード、ネットワークスイッチ、ルータ、サーバ、ファイアウォール、コントローラ、オペレータワークステーションおよびデータベースを含む。ネットワーク装置は、普通、そのルーティング、フレーム率、タイムアウト、および他のネットワークパラメータを制御することによってネットワークを介したデータの流れが促進されるが、プロセスデータ自体は変更されない。プロセス制御ネットワークは大きさや複雑さが増しているため、ネットワーク装置の数や種類は対応して増加している。システムおよびネットワークの増加の結果として、これら複雑なシステム内の保護および管理が徐々に難しくなっている。しかしながら、まずはこれらネットワークを他の外部ネットワークから隔離し、1つまたは複数のファイアウォールによって外部攻撃から保護することが一般的である。
通常、典型的な産業用制御システムでは、ネットワークへの侵入を制限するために、制御システム内に、戦略的に、プラント制御システムのワークステーション/サーバが、プラントと連携して様々な機能を行う外部プラントネットワークと制御およびデータ取得機能を行う組み込み制御装置(例えば、コントローラ、PLC、RTU)との間に配置されている。制御ワークステーション/サーバにおける主要なセキュリティ対策としては、マルウェアが、制御および保守システムへの侵入し、組み込み装置へ悪影響を及ぼすのを防ぐこと、ならびにマルウェアがプラントプロセス制御データベース内に格納された構成および履歴のデータを変更するのを防ぐことである。さらにまた、これらワークステーション/サーバは、制御システムへの不正なアクセスを防いで、プラント構成の不正な変更、プラントデータへの不正なアクセスなどを防ぐ。ファイアウォール、「アンチウィルス」ソフトウェアおよび「ホワイトリスト(white listing)」などの多くのセキュリティ機能は、これらセキュリティ対策に取り組むことに用いられるが、これらのセキュリティ機能は概して十分でない。例えば、アンチウィルスソフトウェアは、「ゼロデイ」ウィルスを防ぐことができず、ホワイトリストは不正なアプリケーションが実行するのを防ぐだけである。また、いくつかのこれらの機能は、プロセス制御システムにおいて邪魔となり操作上実用的でないことから、これらのセキュリティ機能は、プラントオペレータの業務を妨げる可能性を有する。
一般的な意味では、例えばゼロデイ攻撃の核心にあるマルウェアは、ふつう、外部ネットワークとの認証された通信接続を介して、プロセス制御ネットワーク内の記憶装置、ネットワークポートまたはダイレクトなデータリンクにアクセスする特権または認証を有するアプリケーションまたはサービスの動作によって保護された制御システムネットワークに導入される。あるいは、マルウェアはまた、感染した携帯用デバイスおよび/または媒体を制御システム装置に接続するローカルな人員を介して保護された制御システムネットワークに導入されうる。それによってマルウェアは他の装置に広められること(例えば通信を介して)、および/またはマルウェアに感染する可能性があるアプリケーションまたはサービスのセキュリティ特権を利用してプロセス制御ネットワーク内の装置内で実行されることが可能である。さらに、マルウェアはそれ自体がローカルに生き残り、ネットワーク装置の再起動後に、マルウェアが再び実行されることを可能にしうる。いくつかの場合では、マルウェアは、アプリケーションまたはサービスの実行下でアカウントの特権を利用して、例えば、感染したアプリケーションまたはサービスといったホストの特権を拡大しうるものであり、そうする際に、マルウェアは、より高い特権を要求するプロセス制御装置またはネットワーク装置内で動きまたは動作を行うことが可能となりうるものであって、そのようにして制御システム動作に対してより有害となるのが通常である。これらの攻撃がプラント制御システムの実行中の動作を中断させる場合、これらの攻撃はプロセスプラント内において、深刻で、かつ、潜在的に破壊的または致命的である影響となることが可能である。
プロセスまたは産業用制御および保守ネットワークにおける攻撃を防御または制限するように動作するハードウェアおよびソフトウェア構成の決定および構築については、相当量の研究活動がなされている。しかしながら、十分に防御された産業用制御システム(ICS:industrial control system)ネットワークや監視制御システム(SCADA:supervisory control and data acquisition)ネットワークでさえも、例えば、セキュリティ防御の設定ミス、悪意を伴う合法なアクセスをするユーザおよび一般には知られていないが外部の攻撃者に代わって動く悪質なソフトウェアなどのセキュリティ上の脅威をいまだ受けやすい。さらに、ひとたびネットワークが感染すると、単に、プロセス制御もしくは産業用制御装置内またはプラント通信ノード内において、ウィルスまたはマルウェアの存在を自動的に検出することに限られた能力となってしまう。概して、ひとたびプラント環境内で攻撃が成功すると、通常、プラント通信ノードまたは装置が感染していることを検出することが、オペレータ、保守担当者などに求められる。通信ネットワークの各ノードにおいてウィルススキャンソフトをバックグラウンドで実行することは可能であるが、こうしたソフトウェアはたくさんのメモリおよび処理リソースを使い、定期的な更新を必要(重要なネットワーク保守リソースおよび時間を要求)とするが、それでもゼロデイウィルスを検出する能力はない。
多くの場合では、プラント装置またはネットワークノードにおけるウィルスまたは不正なソフトウェアは、装置またはネットワークのパフォーマンスの低下を引き起こしうるものであり、正常のプラント動作に対してネットワーク内のそのノードまたは他のノードにおいてエラーまたは警報の発生を引き起こすに足る妨害をしうるものであり、または、他の深刻で注目すべき問題を引き起こしうるものである。これらのいくつかの場合では、オペレータまたは他のプラント人員にとってウィルスの存在を検出することは比較的容易であるかもしれないが、ウィルスの場所を検出することはいまだ難しいであろう。さらに、他の多くの場合では、ウィルスまたは攻撃は、有意な期間を未検出で動作しうるが、それはわずかにネットワーク動作を低下させるものの、プラント動作におけるこの低下または他の影響は無視できるものでありうるという理由からであり、そのため検出することは大変難しいものでありうる。結果として、多くの場合では、ウィルスは有意な期間が未検出で経過しうることとなり、こうした期間の間に、これらウィルスは、プラント効率を減少させる、プラントデータの窃取を許容する、さらに深刻な侵入を可能とする、ネットワーク装置を深刻な攻撃や害にさらすなどの動作をしうる。
例えば、産業用もしくはプロセスプラント制御または保守システムなどの制御システムは、ネットワークを介して送信される通信の異常検出を用いて感染のおそれがあるネットワークノードを検出する通信ネットワークの脅威検出システムを実行する。概して、異常検出システムは、通信ネットワークによってトラフィックパターン内の期待されない変更や異常を検出し、感染したノードまたは感染のおそれがあるノードを検出する。そうした異常検出を、標準である開放型通信ネットワークにおいて実行することは、それらネットワーク上のノードは常に変化する構成であることから難しいが、プロセスプラントまたは産業用制御ネットワークでは、比較的動きのない構成のネットワークノードであることと同様にプラントまたはネットワーク内で使用されるプロセスまたは産業用制御または保守システム構成の先天的な性質から、異常検出をより効果的に用いることが可能である。
本明細書に記載する異常検出システムは、概して、通信システムのネットワークノードを通じてデータ収集処理の作業負荷を分散し、それにより各ノードにおける異常検出作業負荷を軽減する。さらに、本明細書に記載する異常検出システムは、ネットワーク構成の知識に基づいて、かつ、独立した監視ネットワークを必要とする代わりに解析のためにネットワークを通じてネットワークトラフィックについてのメタデータを報告することによって、異常解析作業負荷を軽減する。本明細書に記載する異常検出システムはまた、認証されたネットワークの構成変更または自動化された再構成のアクティビティ(例えば、高可用性機構による)の通知および説明を受信することによって、異常検出解析の誤検出率(false positive rate)を軽減する。さらにまた、本明細書に記載する異常検出システムは、複数の種類の異常解析(例えば、セキュリティや保守)を行うために同じデータを用いてよく、事前定義のルールおよび機械学習の任意の組み合わせを通して産業用制御システム内の任意のネットワークノードで実行される階層的な解析/報告を可能にさせうる。
図1は、その内部に搭載された異常検出システムを有するプロセス制御ネットワークの例示的な通信のフロー図である。 図2は、図1のような1つまたは複数のネットワーク異常検出システムを実行することが可能な複数の相互接続された通信ネットワークを有するプロセスまたは産業用プラントの例示的なブロック図である。 図3は、オペレータならびに保守ワークステーション、サーバ、およびコントローラノードを含む様々なノードを有する分散プロセス制御システムおよびプロセスオートメーションネットワークの形態の、図2のプラントネットワークのひとつの例示的な図であり、図1の異常検出システムが感染のおそれがある、または感染したノードの検出を行う。 図4は、本明細書に記載する異常検出システムの例である様々なコンポーネント間の通信フロー、および様々なコンポーネントにおいて行われる処理を説明するフロー図を描いている。
概して、本明細書に記載するネットワークセキュリティシステムは、産業用システムまたはプロセス制御ネットワーク構成の先験的特徴が、測定されたトラフィックパターンに対して期待されるまたは既知のパターンと比較するようにさせるため、産業用システムまたはプロセス制御ネットワークのノードにおいて、または産業用システムまたはプロセス制御ネットワークのノードを通じて、ネットワークトラフィックパターン中の異常(例えば、トラフィックまたはメッセージの内容、頻度、時間、長さなど)を検出することにより脅威の検出を実行し、効果的に行う。すなわち、プロセス制御、産業用システムまたはプラントオートメーションのネットワークにおけるネットワーク通信の構成は、通信ネットワークの実行または動作に先立って一般に広くよく知られているため、ネットワークトラフィックパターンは、これらのネットワークの使用または動作を通じて大きく変わる傾向がない。代わりに、ネットワーク通信のトラフィックパターンは通信ネットワークの動作中ほぼ変更のない傾向(統計的な意味で)にあるため、ネットワークパターンの変更というのは、特に統計的な意味では、ネットワークへの侵入を示唆しうるものであって、当初の構成または所望の構成の一部ではない。
異常検出システムに基づくネットワークの代表的な問題は、メッセージまたはトラフィックを分析してトラフィックパターンにおける変更を検出するエンジンである解析エンジンが、各ネットワークノードにおいて受信した、および送信されたメッセージにアクセスしなければならないことである。この要求は、独立した解析エンジンが、各ネットワークノードにおいて実行されなければならないこと、または、各ノードにおけるメッセージトラフィックが解析のためにネットワークを通じて集中型異常検出エンジンに対して送信されなければならないことを意味している。前者の場合では、各ノードにおける解析エンジンは単一のノードでのメッセージトラフィックの分析または解析が制限されているものであって、ネットワーク全体を通じてメッセージトラフィックを解析可能な解析エンジンよりも解析エンジンの効果を低下させる。さらに、この場合において、解析エンジンはノードから非常に多くの処理能力を奪うことが可能であり、他のタスクを実行している場合にはノードが制限されるか、または遅くなりうる。後者の場合では、各ノードがすべてのメッセージを集中型解析エンジンへ送信しなければならず、ネットワーク上の各ノードで受信された各メッセージが重複して集中型解析エンジンのノードへ送信される(ネットワークバスまたは通信チャネルを通じて)ことを要求するために、ネットワークはトラフィックで難航することになりうる
効果的な異常検出のため、すべてのネットワークトラフィックが、解析エンジンで明らかでなければならないため(このことは分割型ネットワークにおいては深刻な問題である)、集中型の収集では数百あるネットワークの端点まで十分に及ばない。さらに、プロセスプラントネットワークにおけるほぼリアルタイムの端点は、セキュリティタスクのための計算リソースを制限する傾向があり、高性能にトラフィック異常検出システムを実行、または行うためのこれら端点装置の能力を制限する。さらに、ネットワークリンクは、変動する容量および性能特性を具備しうるので、途中での制御システム構成の変更は大量数の誤検出を発生させることになりうる。
図1は、例であるネットワークの異常検出システム10を示しており、これらの問題を軽減または取り除くように動作する。概して、異常検出システム10は、分散システムであり、その内部にメッセージトラフィックに関する情報をより集中型の解析エンジンに送信するように動作するネットワークノードのそれぞれに配置されたデータ収集モジュールを含む。データ収集モジュールは、ネットワークノードで着信および発信するメッセージトラフィックを収集して解析するように動作するが、データ収集モジュールは、メッセージそれら自体は解析エンジンに送信せず、代わりにこのメッセージトラフィックを説明するものであるメタデータを作成して解析エンジンに該メタデータを送信する。集中型解析エンジンは各ネットワークノードにおいて収集されたトラフィックメタデータを受信し、このメタデータを解析するように動作して、ネットワークへの侵入を示唆しうるメッセージトラフィックの異常を検出する。
より詳細には、図1に示すように、異常検出システム10は、通信リンク24を介して共につながる複数の分散ネットワークノード22A〜22Nを有するネットワーク20(プロセスプラントネットワーク、プロセス制御および/または保守のネットワーク、産業用制御システムネットワーク、オートメーションネットワークまたは任意の他の種類のネットワークでありうる)内で動作する。通信リンク24は、有線または無線の通信リンク(またはそれらの組み合わせ)であって、任意の所望の種類の通信プロトコルを用いて通信を行ってよいものであり、通常、パケットベースの通信となる。異常検出システム10は、ネットワーク20の異なるノードに配置された様々なモジュールまたはコンポーネントを含み、メッセージ収集モジュール30および32と、図1にノード22Kとして示す少なくとも1つのノードに配置される異常検出解析エンジン34とを含む。特に図1に示すように、各ネットワークノード22は、1つまたは複数のメッセージ解析収集モジュール30および32を具備してよく、それに配置される着信メッセージ収集モジュール30と発信メッセージ収集モジュール32とを含む。概して、各ネットワークノード22におけるメッセージ収集モジュール30および32は、着信(incoming)または発信(outgoing)の各メッセージをそれぞれ受信して(調べて)解析し、それらのメッセージのうちのいくつかまたはすべてに関するメタデータを収集または発生する。メタデータは、メッセージの時刻印、メッセージの長さ、メッセージ内の1つまたは複数のデータフィールドの長さ、受信者または発行者(例えば、送信者および/または受信者)、パリティ情報、メッセージの種類(例えばフォーマット)などを含みうるが、限定されるものではない。もちろん、モジュール30および32は、ネットワークノードで受信した、またはネットワークノードから送信された各メッセージについての他のメタデータを発生または収集しうるものであり、収集モジュール30および32は、ネットワークノードにおいて、一時的に、または他のメモリ31にメタデータを格納しうる。
周期的に、非周期的に、またはリアルタイムで、任意のネットワークノード22のメッセージ収集モジュール30および32は、ネットワークリンク24を通じてそのノードについての収集されたメタデータを、ノードの通信フロントエンド33を介して異常検出解析エンジン34に伝達しうる。図1に示すように、概して異常検出解析エンジン34は、異常検出制御部40、エキスパートまたは論理エンジン42、ルールデータベースまたはメモリ44、メッセージトラフィックパターン格納データベース46、アラート発生部48とも称される警報または通知エンジン、およびメタデータ格納部50を含む。特に、検出制御部40は、例えばネットワークリンク24を介してネットワークノード22の様々なメッセージ収集モジュール30および32より与えられるメタデータを受信する。検出制御部40はメタデータ格納部50内に、このメタデータ(メタデータが関連するネットワークノードの表示とともに)を格納する。ネットワークノード22から検出エンジン34への収集メタデータの伝達は、ネットワークリンク24(例えば、ネットワーク20のプライマリネットワークバスまたは通信チャネル)を利用して生じさせることが好ましいが、異常検出エンジン34は、例えば検出エンジン34に対して収集メタデータに関する伝達をもたらすことに特化した独立した通信リンクを介してネットワークノード22に接続されてよい。
従って、メッセージそれら自体を解析エンジンに送信して解析される従来技術によるシステムとは異なり、異常検出システム10はネットワークリンク24を利用してノード22から検出エンジン34へ、全メッセージの代わりに、メッセージメタデータを伝達する。メッセージそれら自体に比べて、通常、メタデータは比較的小さいサイズであるため、概して異常検出システム10が必要とするのは、きわめて低いネットワーク帯域幅またはネットワークリンクの帯域幅の最小限の使用となる。結果として、ネットワークリンク24を通じて送信されるノード22間のメッセージトラフィックは、図1の線60で示されるように通信リンク24の全帯域幅に入る権利を有するが、通信またはネットワークリンク24を通じて行われるメタデータの伝達は、図1の線62で示されるようにリンク24の低帯域幅の使用のみを要する。
いずれの事象においても、検出エンジン34の制御部40は、周期的、継続的、異なる予め設定された時間、ユーザのリクエストまたは指令に応じて、検出した事象に応じてなどで、エキスパートまたは論理エンジン42を動かし、収集メタデータを解析する。こうした解析サイクルの間、論理エンジン42は、ルールデータベース44に格納された論理ルールの集合を実行することによって、ノード22から収集メタデータ(メタデータ記憶部50に記憶されている)を解析し、各ネットワークノード22で着信する、または発信されるメッセージトラフィック内の異常を検出しうる。特に、解析または論理エンジン42は、格納されたメタデータとトラフィックパターン格納データベース46に格納された1つまたは複数のトラフィックパターンパラメータとに基づいてルールデータベース44に格納された1つまたは複数(またはすべて)の論理ルールを実行しうる。
通常では、トラフィックパターンデータベース46に格納されたトラフィックパターンパラメータは、ネットワーク20のノード22へのメッセージトラフィックおよびネットワーク20のノード22からのメッセージトラフィックの期待される、または正常の振る舞いを反映する。より詳細には、トラフィックパターンデータベース46に格納されたトラフィックパターンデータは、特定の時間の間に、例えばネットワーク20が稼動しているが立ち上がった直後であるときや、ネットワークが稼動していないことが比較的確実であるときに、ネットワーク20のノード22からのメッセージまたはトラフィックメタデータを収集および解析することにより発生されうるものである。この時間の間、統計的な意味では、発生または収集されたメタデータは、ネットワークの「正常」または「期待される」動作を反映している。様々なトラフィックパターンパラメータまたは統計値が、この時間の間に収集されたメッセージメタデータから収集または発生されることが可能であり、このデータはネットワークの期待される、または正常の動作を反映する基準または参照のデータの集合としてトラフィックパターンデータベース46に格納されうる。収集または生成されて、かつ、データベース46に格納されたトラフィックパターンパラメータは、例えば、任意の特定のノードまたは任意に分けたノード群におけるトラフィックの統計的な測定値を含む。すなわち、格納されたトラフィックパターンパラメータは、例えば時間枠、ノードまたはノード群、着信または発信、送信者受信、長さなどのあらゆる種類のデータでグループ化または実行された任意の統計的な測定データ(例えば、中間値、標準偏差、平均、中央値など)を示してよく、例えばネットワークの構成上の階層を反映する階層である任意の所望の階層に格納されうる。トラフィックパターンパラメータはまた、ノードもしくはノード群への、またはノードもしくはノード群からの任意の種類または群の伝達について、超えた場合には異常または潜在的な異常の検出を反映する、またはきっかけとなるであろう、範囲または制限を含みうる。これらの範囲または制限は、例えば固定の数値の形をとる明白な制限値であってよく、または、例えば平均値の3倍、第1もしくは第2の標準偏差の範囲以下、中央値もしくは中間値の予め定めた量より上か下か、などの他の統計的測定値に基づいた、または関連した相対的な制限であってよい。
理解されるように、ルールデータベース44内のルールは、現状の、または収集されたメタデータが解析されてネットワーク内の異常を検出することとなるような手法を規定するように作成されて利用される。より詳細には、ルールデータベース44のルールは、例えば、収集メタデータまたは収集メタデータについての統計値をデータベース46内に格納されたトラフィックパターンデータと比較することによって、および/またはトラフィックパターンデータベース46内に格納されるトラフィックパターンの制限または範囲を利用することによって、収集メタデータが分析されることとなるような手法を特定する。通常では、ルールエンジン42はルールデータベース44に格納されたルールを実行して、収集メタデータ(例えば、収集メタデータについての統計値)とベースラインデータとしてトラフィックパターンデータベース46に格納されるトラフィックパターンパラメータとを比較する
同様に、図1に示すように、検出エンジン34は、ルールエンジンまたは論理エンジン42によって行われた解析の結果に基づいて、1つまたは複数のアラート、警報またはメッセージを発生しうるアラート発生部48を含む。アラート発生部48によって作成されたアラート、警報またはメッセージは、例えばオペレータ、セキュリティ担当者、IT担当者などの任意の所望の人員に、ネットワークリンク24(図1に示す)を介して、またはその目的のために提供、または使用されるその他の通信リンクを介していずれか一方で送信されうる。例として、アラート、警報またはメッセージは、指定された人員のメールアカウント、プラントについて他のデータを説明するものでもあるオペレータインタフェースまたはセキュリティインタフェースへ送信されてもよく、プライベートまたはパブリックネットワークを介して、指定された人員またはグループの人々に対して、モバイル機器などの任意の所望の装置に届けられる電話の呼び出しまたはテキストメッセージとして送られてもよい。同様に、これらのアラート、警報またはメッセージは、ネットワーク20への潜在的な侵入についての対応および調査に責任がある任意の指定された人員の、例えば電話、時計、ウェアラブルデバイス、ラップトップコンピュータ、タブレットコンピュータなどの携帯用デバイスにおいて警報または通知が発せられてもよい。いくつかの場合では、警報またはアラート発生部48は、感染した、または感染のおそれがあるノードへのアクセスを制限するように動作してよく、ノードを一時的に停止してよく、またきわめて危機的な状況においては、通信ネットワーク20それ自体を一時的に停止するか、または隔離し、侵入によってプラントに対してもしくはプラント内のサブシステムに対してなされる損害を制限するようによい。もちろん、アラート発生部48は、ネットワーク20内の他の装置と通信して、自動的にそうした動作を生じさせうるソフトウェアまたは論理を含んでよい。いくつかの場合では、アラート発生部20は、プラントネットワーク20におけるそのような自動的な動きをとる前にユーザからの認証を求めてもよいが、他の場合では、侵入または潜在的な侵入のユーザへの通知より前または同時に、プラントネットワーク20における該動きを動作してよい。さらに、自動的な動きをとる際には、アラート発生部48は、例えば、そのノードからの特定の種類のメッセージを制限または停止し、そのノードにおける特定のアプリケーションの動作(異常なメッセージトラフィックを発生しているおそれがあるもの)を停止または制限し、装置の特定のポートを介しての通信を停止または制限するなど、そのノードからの(そのノード内への、および/またはそのノードから出る)通信を制限するように、感染した、または感染のおそれがあるノードとの通信を行ってよい。代わりに、または代替として、アラート発生部48は、例えば他のネットワークに接続されたゲートウェイノードなどの他のノードと通信して、ネットワーク20と他のネットワークとの間におけるメッセージを制限または停止してもよい。この動きは、ネットワーク20を外部のソースから隔離して、少なくとも一時的に、異常なメッセージトラフィックが、ネットワーク20に出入りすることを防ぎながら、重要な動作(例えば制御動作)がネットワーク20上で発生することを許可しうるものであって、データの窃取を制限しうるものであり、他の感染ネットワークからネットワーク20内へのウィルスを止めうるものであり、感染したノードを介したネットワーク20へのさらなる侵入を止めうるなどする。例えば、アラート発生部48は、施設内でセキュリティ担当者によって異常が査定されることとなるまでは、外部のビジネスシステムおよび影響を受けた産業用制御システムネットワークの間のすべての通信を切断しうる。もちろん、アラート発生部48は、これらの機能を動作するために、例えばセキュリティシステムなどの他のシステムにつなげられうる(通信可能に接続される)。
ルールデータベース44は、1人または複数のセキュリティ担当者、構成担当者、ユーザ、オペレータなどによって作成または発生された任意の所望のルールの集合を格納しうるものであって、通信ネットワークノード22から受信したメッセージトラフィックまたはメッセージメタデータにおいて行われる解析を規定して、メッセージトラフィックまたはトラフィックパターン内に異常があるかどうか、その後アラートまたは警報を発生すべきかどうかを判定する。ルールエンジン42はまた、システムが最初にセットアップまたは構成された期間で、かつ、それによりネットワーク20内に侵入またはマルウェアが存在しないことがわかっている、またはその可能性があるときに、これらルールを実行して、現状のメッセージまたはトラフィックメタデータとネットワーク20の様々なノード22で収集モジュール30および32によって収集された標準データまたはベースラインデータの集合とを比較する。この格納されたメッセージまたはトラフィックパターンのメタデータは、本明細書においてベースラインと称される、ネットワークまたはネットワークノードの「正常」動作を規定するメタデータの集合である。そのため、ルールエンジン42で用いられるルールは、ノードまたはノード群から収集されたメタデータとノードまたはノード群についての標準またはベースラインメタデータとを比較して、それらの間に、例えば制限または差異の変数などの、トラフィックパターンデータベース46に格納された他のトラフィックパターンパラメータによって規定される重要な差異があるかどうかを判定するように動作しうる。ルールデータベース44の論理ルールによって決定される重要なまたは統計上の関連する差異は、ネットワーク20内への、またはそれらのノード22においての侵入を示唆しうる。そうした差異が検出されれば、その後制御部40はアラート発生部48にアラートまたは警報を発生させうる。アラートまたは警報の種類、そうした警報の受信者、およびアラートまたは警報の他のパラメータ(例えば、優先度など)は、現在のメッセージトラフィックとベースラインメッセージトラフィックとの間の検出された差異の種類や、差異の程度などに基づいて構成されてよい。
任意の所望の種類のメタデータは、ノード22においてメッセージまたはトラフィックについて作成または取得されうること、およびルールデータベース44のルールは、このメタデータまたはこのメタデータについての統計値を用いて任意の所望の手法により解析エンジン34でメタデータを解析するために作成されうることが理解されるであろう。例えば、メタデータは、(1)メッセージであって、メッセージ数およびメッセージ数統計値など、例えば最小数、最大数、平均等;(2)接続情報および統計値であって、例えばソース(例えば例えば構成されたノードと構成されていないノードの比較、ソースポートなど)、アドレス(ソースおよび送信先アドレスおよびポートなど)、領域(ユニキャスト、マルチキャスト、ブロードキャストなど)、ペイロードの種類(例えばTCP、UDP、その他など)、およびタイミング(時刻、相対時間、試行速度など)等;(3)通信情報であって、例えばメッセージのタイミング(速度、時刻、シーケンスエラーなど)、セキュリティエラー(完全性、認証または解読の失敗など)、メッセージ内容(サイズ、フォーマットエラーなど)等;(4)スプリアス情報であって、例えば速度制限情報(制限の状態、方法、速度など)および接続試行(シーケンスなし、異常状態でない、掃引でない、などの)、についての全般の情報または統計を含みうる。もちろん、同様にまたは代わりに、その他の種類のメッセージメタデータが取得されて用いられてもよく、本明細書がもたらす列挙が包括的でないことは理解されるであろう。
さらに、メッセージメタデータは、例えば送信または受信ノードの役割など(例えば、これらノードがワークステーション、サーバ、ゲートウェイ、コントローラ、I/Oサーバ、リモートターミナルユニット(RTU)などであるか。)の、ネットワークまたはノード内の他の因子またはパラメータに基づいて収集および格納されうる。従って、メッセージおよびトラフィックメタデータは、例えば装置もしくはノード基準で、装置もしくはノードの役割基準で、メッセージ基準でなど、様々な異なる階層レベルのネットワークにおいて、または様々な異なる階層レベルのネットワークについて、または、任意の他の階層レベルのネットワークに関して作成されてよいことが理解されるであろう。さらにまた、制御または通信ネットワーク20の構成情報を用いて、トラフィックメタデータを解析するためのルールを最初に作成もしくは修正しうる、またはメタデータ解析を編成しうるものである。概して、ネットワークに関する構成情報は、各ノード(装置)におけるアプリケーション、モジュール、制御ルーチンなどの数と、これらの様々な論理構成要素、ソフトウェア構成要素およびハードウェア構成要素が互いに通信する際の手法とに関する情報を含むものであって、通信ペア(送信者/受信者ペア)、通信タイミング、頻度、メッセージタイプ、制御システムの役割または装置タイプなどを含む。この構成情報を用いて、任意のノードからのトラフィックメタデータの解析に用いられるルールを作成または修正しうる。すなわち、構成階層情報(例えば、どの装置およびモジュールがネットワーク上の他のどのモジュールおよび装置と関連しているか)を含む構成情報を用いて、メッセージメタデータの解析のためのルールのパラメータを作成、修正、または補充しうる。例として、構成情報を用いて、例えば、トラフィックメタデータの解析のための全般的なルールのサブセット(すなわちプロファイル)を選択しうる。構成情報をまた用いて、1つまたは複数の全般的なルールパラメータ内の特定の値に組み込みうる(例えば、〈加入者(subscriber)〉に関する位置設定記号(placeholder)をルールが所有している場所で、構成情報を用いて、構成内にリスト化された特定の加入者についてのアドレスおよびポート情報を補充しうる)。このようにして、有効な論理ルールを、より大きな全般的なルールの集合から装置またはノードの制御システム構成に基づく特定のルールのサブセットにまで合わせることができる。
さらに、図1に示すように、異常検出システム10は、例えば、ネットワーク構成データベースまたはサーバ装置72に格納されうるネットワーク構成変更モジュール70を含む。概して、構成変更モジュール70は、通信ネットワーク20についてのネットワーク構成における変更を検出すると、例えばネットワークリンク24を介して検出エンジン34にこれら変更および/またはこれら変更の通知を送信するように動作する。本明細書で用いる場合、構成変更は、ネットワーク上の装置または装置一式の動作になされるあらゆる変更を含みうるものであり、新しい装置、アプリケーション、モジュールなどの追加、任意の装置、アプリケーション、モジュールなどの除去、および装置、アプリケーション、モジュールなどにおけるパラメータ、設定、または他の構成の変更(任意のハードウェア、ソフトウェアまたはファームウェア設定の変更を含む)を含み、例えばバッチ処理などで用いられるレシピの変更などの通信およびプロセス制御設定の変更を含む。この場合、構成エンジニアまたは他のユーザは、例えばネットワークへの新しいアプリケーションまたはモジュールの追加、ネットワークにおけるアプリケーションまたはモジュールの互いの通信手法の変更によってネットワーク構成を変更するときはいつでも、ネットワーク構成変更モジュール70は、そうした変更を検出し、ネットワーク構成における変更を制御部40に知らせる通知を検出エンジン34に送信する。もちろん、変更モジュール70は、構成データベース72に配置されるように示しているが、構成モジュール70は、構成アプリケーション(ネットワーク20の構成を変更する、またはユーザがネットワーク20の構成を変更できるようにするものである)に入る権利を有するもしくは実行する、またはそれ以外では構成変更が通知される任意の装置またはコンピュータ(例えば、オペレータインタフェース装置またはサーバなど)に配置されることが可能であり、任意の所望の手法で動作してネットワーク構成変更を検出しうる。
いずれにしても、ネットワーク20の構成に変更がなされるときはいつでも(例えば、ネットワーク20上の、またはネットワーク20に接続された装置のいずれかで任意のソフトウェア、機能ブロック、モジュールなどの通信態様の追加、削除または変更を生じさせること)、変更検出モジュール70は、解析エンジン34に通知を送信して、解析エンジン34に知らせ、ネットワークトラフィックパターンまたは詳細における変更または潜在的な変更を予想する。この通知は、トラフィックパターンにおける変更が、実際の侵入ではなくネットワーク構成における変更によるものであった場合に、解析エンジン34に誤検出(例えば、侵入を検出すること)を回避させることを可能にする。
さらに、ネットワーク構成変更の検出については、制御部40は、ネットワークノード22からのメタデータを収集し(構成変更の後で)、かつ、新しく収集されたメタデータを用いてトラフィックパターンデータベース46に格納された新しいベースラインメタデータの集合またはベースラインメタデータの統計値を発生する手順を実行または実施しうる。その後新しいベースラインメタデータの集合を用いて、ネットワークの構成状態に基づいてトラフィックパターンにおけるその後の異常を検出しうる。さらにまた、いくつかの場合では、制御部40はまた、もしくは代わりに、ルールデータベース44に格納されたルールを変更し、および/またはネットワークの新しい構成に基づいてトラフィックパターンデータベース46に格納された制限または他のパラメータを変更し、異常検出システム10に対して、新しいまたは変更されたネットワーク構成の観点でよりよく動作させることを可能としうる。
従って、理解されるように、ネットワーク構成の変更は、例えばネットワークトラフィックを増加または減少すること、特定の種類のネットワーク通信を変更すること(例えば、ネットワーク22における様々な装置間またはネットワーク20のノード22における様々な装置内で実行されるアプリケーション間の、特定の種類の通信のパラメータまたは量を変更すること)によってネットワークトラフィックパターンを変更しうる。いずれにしても、ネットワーク構成の変更は、ベースラインネットワーク構成について不正確に発生および格納されるベースラインメタデータおよびメタデータの統計値を引き起こしうる。これらの状況で、検出エンジン34の制御部40は、新しい構成下で新しいネットワークトラフィックメタデータの収集し、メタデータに基づいてネットワークトラフィックについての統計値または他のデータを決定し、新しいベースラインメタデータとしてベースラインデータベース46内にデータを格納することを開始しうる。いくつかの状況では、例えばルールデータベースの1つまたは複数のルール内に組み込まれるプロファイルを実行して新しい構成のパラメータを適合または反映することによって、新しい構成の結果として、例えばルールを新しい構成に合わせるようにルールデータベースにおけるルールを変更、追加または削除することは望ましいものとしてよい。例えば、新しい種類の通信は、新しい構成によって追加されてよく、ルールは新しい通信に基づいて組み込まれるプロファイルで更新されてよく、その後このルールを用いて、通信の新しい送信者および/または受信者に基づくこれら新しい種類の通信と連携したメタデータを解析しうる。
いずれにしても、新しいベースラインの統計値データの集合を作成した後で、ルールエンジン42はその後、ルールデータベース44に格納された新しいベースラインの統計値データとルールとに基づいて侵入の検出を積極的に開始する。理解されるように、構成変更検出モジュール70の使用は、ネットワーク構成の変更によって引き起こされる誤検出(すなわち、侵入の誤検出)を軽減または制限しうるものである。さらに、ネットワークが再構成された場合に、構成変更検出モジュール70を用いて異常検出エンジン10を調整しうるものであり、それによりネットワーク構成を変更した後でさえも、異常検出エンジン10を正しく動作させることを可能としうる。
わかるように、図1の異常検出システム10は、ネットワークノード22を通じてデータ収集処理の作業負荷を分散し、そのため様々なノード22おいて大容量の処理力を要求しない。さらに、このシステムは、システムネットワーク構成の知識を介してネットワークノードおよび異常検出分析の作業負荷を軽減し、独立した監視ネットワークを必要とする代わりに、解析のためにネットワークトラフィックについてのメタデータを報告する。さらにまた、このシステムは、認証されたネットワーク構成変更または認証された再構成の通知を介して、異常検出解析の誤検出率を軽減して(例えば、高可用性メカニズムによる)、同じデータを用いて多様な種類の異常解析(例えば、セキュリティまたは保守)を動作しうる。さらにまた、このシステムは、予め定義されたルールおよび機械学習の任意の組み合わせを介して、プラント制御または産業用制御システムにおける任意のネットワークノードで動作される階層的な解析/報告を可能にしうる。
さらにまた、異常検出システム10は、ネットワークノードにおけるプラントネットワーク構成を使用してメタデータ収集作業負荷を軽減しうるものであり、解析エンジン34における既知のシステムネットワーク構成を使用してルールの集合を規定して解析エンジン34のための学習プロセスを与えうるものであり、ネットワークノードによって観察されたネットワークトラフィックについてのメタデータのみ(ネットワークフレーム、ログの完全なコピー、またはSNMPアラートのみの報告に代わるものとして)を報告しうる。同様に、異常検出システム10はシステムネットワーク構成の変更通知を使用して異常検出解析の誤検出率を軽減し、または、結果として生じる通知を再分類しうるものであって、かつ、集中型のサーバ/機器に代わるものとしてネットワークインフラストラクチャー装置(例えば、スイッチ、ルータ、ファイアウォール)におけるメタデータ収集および/または解析を実行しうる。さらにまた、このシステム10は、集中型サーバ/機器に代わるものとして端点装置(例えば、コントローラ、RTU、I/Oサーバ、ワークステーション、サーバ)におけるメタデータの収集および/または解析を実行しうる。
いくつかの場合では、異常検出システム10はFPGA、TCPオフロードエンジン、または他のプログラマブルハードウェアを用いてメタデータの収集および/または解析を実行しうるものであり、ネットワークノード22内で、またはネットワークノードを通じて階層メタデータの収集を実行しうる。同様に、異常検出システム10は、集中型のサーバ/機器に代わるものとして端点装置(例えば、コントローラ、RTU、I/Oサーバ、ワークステーション、サーバ)で、送信トラフィックに基づいたメタデータの収集および/または解析を実行しうるものであり、かつ、システムネットワーク構成に基づいて、端点装置(例えば、コントローラ、RTU、I/Oサーバ、ワークステーション、サーバ)でトラフィックなしでメタデータの収集および/または解析を実行しうる。さらに、いくつかの場合では、所望であれば、異常検出システム10は、スイッチを通過するすべてのネットワークトラフィックにアクセスするために、すべてのネットワークスイッチと接続するように組み立てられることが可能である。しかしながら、この構成は、この構成が各スイッチの最大容量を制限し、監視トラフィックのためだけに動作される追加のケーブル/ネットワークを必要とするという理由により、多階層スイッチトポロジに良好に適さない。
例として、図2および3は、図1の異常検出システム10が搭載されて用いられることが可能であるプラントネットワークの例を示している。特に、図2に、異なるが相互に接続された、それぞれネットワークノードを有するいくつかの通信ネットワーク112、114、116および118を含み、プラントまたは産業用の通信システム110を示している。特に図2の通信ネットワーク112は、例えば、イーサネットバス、または他の有線もしくは無線の通信バスもしくはネットワークでありうる通信バス124によって相互に接続された複数のノード122A〜122Hを含むビジネス通信ネットワークであってもよい。ノード122A、122Bは、ビジネスアプリケーションまたはプログラムが動作される、例えば、コンピュータ、サーバ、ワークステーションなどを含みうるものであり、ノード122Cは、プラント110に関して、例えば、ビジネスデータ、産業用プラント構成データ、または他の所望のデータを格納するデータベースでありうる。同様に、ノード122D、122Eおよび122Fは、ネットワーク112を他の通信ネットワーク114、116、118とそれぞれ接続し、相互接続ネットワーク通信を可能にするゲートウェイノードでありうる。同様に、ノード122Gは、ネットワーク112をインターネット、クラウドまたは他の広域ネットワークに接続してネットワーク112をリモートサーバ、プラントまたは他のコンピュータと通信可能にするゲートウェイノードでありうる。
この例では、ネットワーク114、116および118は、有線もしくは無線通信バスまたはネットワークリンクによって相互に接続した様々なノードを含むプラント(例えばプロセスプラントまたは産業用プラント)制御ネットワークである。各プラント制御ネットワーク114、116、118は、それらのノードにおいて任意の様々な種類の装置を含みうる。例えば、プラント制御ネットワーク114および116は、それぞれ、1つまたは複数のユーザインタフェースデバイス130、ネットワーク114および/または116のプラント制御ネットワーク構成データを格納しうるデータベースまたはヒストリアン132、この場合においてはイーサネット通信バスの形状で通信バス136を介して相互に接続された1つまたは複数のプロセス制御ノード134、および1つまたは複数のサーバまたはプロセッサノード138を含む有線の通信ネットワークである。プロセス制御ノード134は、1つまたは複数の有線または無線のサブネットワーク140を介して、I/Oおよびフィールド機器などの他の装置(例えば、センサー、バルブ、被制御装置)に通信可能に接続された1つまたは複数のプロセス制御部を含みうる。サブネットワーク140におけるフィールド機器は、例えば、バルブ、センサー、伝送器、またはプラント内のいくつかのパラメータまたはプロセス変数を測定する、もしくはプラント内における材料の動きまたは材料の流れに関連するいくつかの物理的制御の動きを実行する他の測定もしくは制御装置の形を取りうる。フィールド機器サブネットワーク140は、例えば、Highway addressable Remote Transmitter (HART(登録商標))プロトコル、FOUNDATION(登録商標) Fieldbusプロトコル、Profibusプロトコル、CANプロトコルなどの任意の所望のプロセス制御通信プロトコルまたはパラダイムを用いうる。さらにまた、フィールド機器サブネットワーク140は、例えばWirelessHART(登録商標)ネットワークなどの有線または無線のネットワークとして実行されうる。ネットワーク114および116はまた、ネットワーク114および116をネットワーク112に、インターネットに、または他のWANなどに接続するノード122D、122Fにおけるゲートウェイデバイスを含みうる。もちろん、これらのゲートウェイデバイスは、ファイアウォールおよび他のセキュリティ機能もしくはアプリケーションを提供しうる。
同様の手法では、通信ネットワーク118は、例えば無線イーサネットプロトコル、WirelessHART(登録商標)プロトコル、ISA100無線プロトコルなどの無線通信プロトコルを用いうる無線通信ネットワークとして示される。通信ネットワーク118は、例えば、ユーザインタフェースデバイス、またはワークステーション130、データベース132、プロセスコントローラ134、サーバ136、フィールド機器サブネットワーク140、ゲートウェイデバイス139などの様々な装置を含むものとして示される。もちろん、通信ネットワーク114、116および118の様々なノードにおいては、これらの種類の装置および他の種類の装置をいくらでも配置してよい。ネットワーク112、114、116、118内の任意またはすべてのネットワーク装置は、様々なソフトウェアモジュール上に1つまたは複数のコンピュータ読み取り可能なメモリおよびプロセッサを含みうるものであって、本明細書に記載される異常検出システム10と連携するあらゆるモジュールを含み、格納されて実行されうる。
重要なことには、図1に記載された異常検出システム10は、図2の任意およびすべてのネットワーク112、114、116および118において実行されて、例えば、マルウェアまたはこれらのネットワークにおいて動作する他の不正なアプリケーションなどの形状をとるこれらのネットワークへの侵入を検出しうる。概して、各ネットワーク112、114、116および118について独立した異常検出システムとしてもよいが、いくつかの場合では、単一の異常検出システムを用いて、例えば、ネットワーク114と116またはネットワーク112と114などのネットワーク112〜118のうちの複数のネットワークをカバーしうる。同様に、例えばネットワーク118などの1つのネットワークについての異常検出システムのコンポーネントは、例えばネットワーク112内などのネットワークのうちの他のひとつにおける装置内に格納されうる。
例としては、図2のネットワーク114、116および118において概ね示されるように、これらの各ノードに対する異常検出システムは、通信ネットワーク114、116、118の各ネットワークノード(または少なくともいくつかのネットワークノードに)に配置された収集アプリケーション150(図1のメッセージ収集ブロック30および32を含みうる)を含みうるものであり、異常検出システムが保護するように構成されているネットワーク114、116および118のノードのうちのひとつに配置された解析エンジン154(図1の検出エンジン34でありうる)を含みうる。ネットワーク118の場合では、解析エンジン154は、ネットワーク112のノード内、例えばワークステーション122Aに配置されて、そのネットワーク外の装置に配置されうる特定のネットワークの異常検出システムのコンポーネントを説明するものとして示されている。
概して、各収集アプリケーションまたはモジュール150は、ノードのネットワークリンクで発生されてネットワークリンクを通じて送信されたネットワークメッセージトラフィックおよび/またはネットワークノードで受信された(ネットワークノードへ送信された)メッセージトラフィックを観測または解析して、これらの収集アプリケーションまたはモジュール150はメッセージトラフィックについてのメタデータを発生する。収集アプリケーション150は、概してネットワークの各ノードで単独で動作して各ノードでネットワークトラフィックメタデータを収集してから、そのネットワークの解析エンジン154へメタデータを送信するものであって、解析エンジン154は、このメタデータを解析してネットワークトラフィックパターンにおける異常を判定する。その後これらの検出された異常を用いて、マルウェア、スパイプログラムなどを含む、ネットワークへの潜在的な侵入または実際の侵入を検出しうる。所望であれば、収集アプリケーション150は、ネットワークそれ自体を通じてネットワークノードにおける(ネットワークノードへの、およびネットワークノードからの)メッセージトラフィックに関してメタデータを送信しうるものであって、そのように所望する場合には通信ネットワークと独立して、分離してまたは並行して用いられる。しかしながら、概して、メッセージそれら自体の代わりにメッセージトラフィックに属しているメタデータのみを解析エンジン154へ送信すればよいため、データ収集アプリケーション150とそれぞれの解析エンジン154との間の通信は、ネットワークリンクのトラフィック負荷を有意に増加させない。さらに、データ収集アプリケーション150はリアルタイムでメタデータを送信しうるものであるが、所定の時間で、所定の事象に応じてなど、あるノードで特定の量のメタデータが収集されたら、それらはこのメタデータを格納し、周期的にそれぞれの解析エンジン154へメタデータ群を送信することが好ましく、それにより、データ収集アプリケーション150および解析エンジン154間の通信によって生じたネットワークトラフィックを軽減しうる。説明の便宜上、構成変更検出モジュール170の集合はまた、様々なネットワーク112、114、116、118において示され、上記において示した手法において、これらのモジュールはそれぞれのネットワークの構成変更についてそれぞれの解析エンジン154に警報を出すように動作する。
同様に、再び説明の便宜上、図2はネットワーク114内部(すなわち、ネットワーク114のネットワークリンクに直接連結された装置内)に完全に配置されているネットワーク114の異常検出システムを示しており、同時にネットワーク118の異常検出システムは、ネットワーク118内の装置に配置された構成要素(例えば、収集モジュール150)を含み、同時にこのネットワークの解析エンジン154(ノード122A内)および構成変更検出モジュール170(ノード122C内)が配置されて、ネットワーク118に通信可能に接続されている他のネットワーク(ネットワーク112)内の装置で実行される。このように、メッセージ収集モジュール150は、ネットワーク118のメタデータを実際にはネットワーク118外の装置(例えば、ネットワーク112におけるノード122Aの装置)において実行されるネットワーク118の解析アプリケーション154に送信する。さらにまた、特に図示はしないが、単一の解析エンジン154を用いて多数のネットワーク内で、または多数のネットワークを通じてトラフィック異常を検出しうる。例えば、ネットワーク112のノード122Aの装置内の解析エンジン154は動作して、ネットワーク112および116内、ネットワーク118および116内またはネットワーク112、116および118内の装置からのメタデータを受信しうる。この場合、同じ解析エンジン154が、例えば、これらのネットワークの構成データベースが配置されている場所によるものであるが、ネットワーク112、116または118のうちの1つまたは他のネットワーク内の装置に配置されうる1つまたは複数の構成変更検出モジュール170からの変更通知を受信しようとするものである。従って、単一の異常検出システムを用いて単一のネットワーク内または複数のネットワークを通じてメッセージまたはトラフィックの異常を検出しうる。さらに、異常検出システムは各ネットワークに単一異常検出エンジン154を有するように記載されているが、同様の異常検出システムは、例えば、ネットワークの異なる装置内の複数の検出エンジン154を有しうる。そうした構成は、任意の特定のエンジン154に必要な処理力の軽減、分散処理の提供などをしうる。
さらなる例として、図3は、図2の通信ネットワーク114をより詳細に示している。この例では、通信ネットワーク114は、例えば他のネットワークへのゲートウェイ226、例えばインターネット、もう1つのユーザインタフェースデバイスまたはワークステーション230などの外部システムへのゲートウェイ228、構成データベース232、サーバ23および2つのプロセス制御ノード234Aおよび234Bなどの様々な装置を相互に接続する1つまたは複数のスイッチ202を含みうる有線イーサネットバス200を含む。ここで、第1のプロセス制御ノード234Aは、入力/出力(I/O)カード226および228を介して有線フィールド機器215〜222に通信可能に接続され、無線ゲートウェイ235およびネットワークバックボーン200を介して無線フィールド機器240〜258に通信可能に接続される1つまたは複数の冗長なプロセスコントローラ260を含む。この場合では、無線ゲートウェイ235はネットワーク114の第2の制御ノード234Bである。しかしながら、他の実施形態では、ノード234Aのコントローラ260は、例えば他の有線または無線通信リンクまたはI/Oモジュールを用いるなど、バックボーン200以外の通信ネットワークを用いて無線ゲートウェイ235に通信可能に接続されうる。
例として、Emerson Process Managementより販売されているDeltaV(商標)コントローラでありうるコントローラ260を動作して、少なくともいくつかのフィールド機器215〜222および240〜258を使用して、1つまたは複数のバッチ処理または連続処理、保守アプリケーション、安全システムアプリケーションなどを実行しうる。コントローラ260は、例えば、4−20mA規格の装置(standard 4-20 mA device)、入力/出力(I/O)カード236、238および/またはFOUNDATION(登録商標) Fieldbusプロトコル、HART(登録商標)プロトコル、WirelessHART(登録商標)プロトコルなどの任意のスマート通信プロトコルと連携した任意の所望のハードウェアおよびソフトウェアを用いて、フィールド機器215〜222および240〜258に通信可能に接続されうる。コントローラ260は、付加的にまたは代替的に、他の接続を介して少なくともいくつかのフィールド機器215〜222および240〜258と通信可能に接続されうる。図3に示すネットワーク114では、コントローラ260、フィールド機器215〜222およびI/Oカード236、238は有線装置であり、フィールド機器240〜258は無線フィールド機器である。もちろん、有線フィールド機器215〜222および無線フィールド機器240〜258は、今後開発される任意の規格またはプロトコルを含む任意の有線または無線プロトコルなどである、他の所望の標準またはプロトコルに従いうる。
図3のコントローラ260は、1つまたは複数のプロセス制御ルーチン(メモリ272に格納されている)を実行するまたは管理するプロセッサ270を含み、制御ループを含みうる。プロセッサ270は、フィールド機器215〜222および240〜258と、制御業務、または保守、監視および安全システム業務などの他の業務を実行するためにバックボーン200と通信可能に接続された他のノードと、通信しうる。なお、本明細書に記載された任意の制御ルーチンまたはモジュールは、そのように所望する場合には異なるコントローラまたは他の装置によって実行される、または実施されるそれらの部位を有しうる。同様に、処理制御システム内で実行されるためのものである本明細書に記載した制御ルーチンまたはモジュールは、ソフトウェア、ファームウェア、ハードウェアなどの任意の形態を取りうる。制御ルーチンは、例えば、オブジェクト指向プログラミング、ラダーロジック、シーケンシャルファンクションチャート、機能ブロック図を用いる、または他のソフトウェアプログラミング言語または設計パラダイムを用いるなどの任意の所望のソフトウェアフォーマットで実行されうる。制御ルーチンは、例えばランダムアクセスメモリ(RAM)またはリードオンリメモリ(ROM)などの任意の所望の種類のメモリに格納されうる。同様に、制御ルーチンは、例えば、1つまたは複数のEPROM、EEPROM、特定用途半導体集積回路(ASIC)、または他のハードウェアもしくはファームウェア構成要素にハードコードされうる。従って、コントローラ260は、任意の所望の手法で制御ストラテジまたは制御ルーチンを実行するように構成されうる。
いくつかの実施形態では、コントローラ260は、一般に機能ブロックとして称されるものを用いて制御ストラテジを実行するものであり、各機能ブロックは、制御ルーチン全体のうちのオブジェクトまたは他の部分(例えば、サブルーチン)であり、他の機能ブロックと関連して(リンクと呼ばれる通信を介して)動作してプロセス制御システム内のプロセス制御ループを実行する。機能ブロックに基づく制御は、通常、伝送器、センサーまたは他のプロセスパラメータ測定装置と連携するなどの入力機能、PID、ファジーロジックなどの制御を実行する制御ルーチンと連携するなどの制御機能、または、バルブなどのいくつかの装置の動作を制御する出力機能のうちのひとつを実行して、プロセス制御システム内のいくつかの物理的な機能を実行する。もちろん、複合型および他種の機能ブロックが存在する。機能ブロックは、通常、これらの機能ブロックが4−20mA規格の装置およびHARTデバイスなどのいくつかの種類のスマートフィールド機器のために用いられる、または連携される場合にコントローラ260内に格納されて、コントローラ260により実行されうるものであり、またはFieldbusデバイスとともにあることが可能な場合はフィールド機器それら自体に格納されてフィールド機器それら自体によって実行されうる。コントローラ260は、1つまたは複数の制御ループを実行しうる1つまたは複数の制御ルーチン280を含みうる。各制御ループは、通常、制御モジュールと称され、1つまたは複数の機能ブロックを実行することによって動作されうる。
有線フィールド機器215〜222はセンサー、バルブ、伝送器、ポジショナなどの任意の種類の装置であってよく、同時に、I/Oカード236および238は、任意の所望の通信またはコントローラプロトコルに従う任意の種類のI/Oデバイスであってよい。図3に示す実施形態においては、フィールド機器215〜218は、アナログ配線またはアナログとデジタル配線との組み合わせを通じてI/Oカード236と通信する4−20mA規格の装置またはHART装置であり、同時にフィールド機器219〜222は、Fieldbus通信プロトコルを使用してデジタルバスを通じてI/Oカード238と通信する、FOUNDATION(登録商標) Fieldbusフィールド機器などのスマートデバイスである。しかしながら、いくつかの実施形態では、少なくともいくつかの有線フィールド機器215〜222および/または少なくともいくつかのI/Oカード236、238は、ビッグデータネットワークを使用してコントローラ260と通信しうる。いくつかの実施形態では、少なくともいくつかの有線フィールド機器215〜222および/または少なくともいくつかのI/Oカード236、238は、プロセス制御システムネットワーク114のノードでありうる。
図3に示した実施形態では、無線フィールド機器240〜258は、例えばWirelessHART(登録商標)プロトコルなどの無線プロトコルを使用して無線ネットワーク290に通じる。そうした無線フィールド機器240〜258は、同様に無線で通信するように構成されている(例えば、無線プロトコルを使用して)ネットワーク114の1つまたは複数のノードと直接通信しうる。無線で通信するように構成されていない1つまたは複数の他のノードと通信するために、無線フィールド機器140〜158は、通信バックボーン200に、または他のプロセス制御通信ネットワークに連結された無線ゲートウェイ235を利用しうる。いくつかの実施形態では、少なくともいくつかの無線フィールド機器240〜258は、プロセス制御システムネットワーク114のノードでありうる。
無線ゲートウェイ235は、無線機器240〜258、有線機器215〜222および/またはプロセス制御ネットワーク114の他のノード間における通信可能な接続を提供する。いくつかの場合では、無線ゲートウェイ235は、共有層または有線および無線プロトコルスタックの層をトンネリングしながら、有線および無線プロトコルスタックのより下層でのルーティング、バッファリングおよびタイミングサービスを使用することにより(例えば、アドレス変換、ルーティング、パケット分割、優先度付けなど)、通信可能な接続を提供する。他の場合では、無線ゲートウェイ235は、任意のプロトコル層を共有しない有線および無線プロトコル間のコマンドを変換しうる。プロトコルおよびコマンドの変換に加えて、無線ゲートウェイ235は、無線ネットワーク290において実行された無線プロトコルと連携したスケジューリング方式のタイムスロットおよびスーパーフレーム(時間的に等しい間隔をあけた一連の通信タイムスロット)によって用いられた同期された計時を提供しうる。さらに、無線ゲートウェイ235は、無線ネットワーク290のために、例えばリソース管理、性能調整、ネットワーク障害の軽減、トラフィック監視、セキュリティなどのネットワーク管理および管理機能を提供しうる。
有線フィールド機器215〜222と同様に、無線ネットワーク290の無線フィールド機器240〜258は、例えばバルブの開閉であるプロセスプラント内での物理的な制御機能を動作し、プロセスパラメータの測定値を取得または他の機能を動作しうる。しかしながら、無線フィールド機器240〜258は、ネットワーク290の無線プロトコルを用いることによって通信するよう構成されている。このように、無線フィールド機器240〜258、無線ゲートウェイ235および無線ネットワーク290における他の無線ノードは、普通、無線通信パケットを生産し、消費する。
いくつかの場面では、無線ネットワーク290は、非無線装置を含みうる。例えば、図3のフィールド機器248は、4−20mAのレガシーデバイスおよび慣例的な有線HART装置でありうるフィールド機器250でありうる。ネットワーク290内で通信するために、フィールド機器248および250は、無線アダプタ(WA)252aまたは252bを介して無線通信ネットワーク290に連結されうる。さらに、無線アダプタ252a、252bは、例えばFOUNDATION(登録商標) Fieldbus、PROFIBUS、DeviceNetなどの他の通信プロトコルを支持しうる。さらに、無線ネットワーク290は、1つまたは複数のネットワークアクセスポイント255a、255bを含みうるものであって、無線ゲートウェイ235に有線接続する独立した物理的デバイスでありうるか、または、積分装置として無線ゲートウェイ235内に具備されうる。無線ネットワーク290はまた、1つまたは複数のルータ258を含んで、無線通信ネットワーク290内の1つの無線装置から他の無線装置へパケットを転送しうる。無線装置240〜258は、図3に点線で示した無線通信ネットワーク290の無線リンクを通じて、互いと、および無線ゲートウェイ235と通信しうる。
図3のネットワーク114は、単に、有限数のフィールド機器215〜222および240〜258とともに単一のコントローラ260を示しているが、これは単なる例示であって実施形態の限定ではない。ネットワーク114には任意の数のコントローラが含まれてよく、かつ、コントローラ260は任意の数の有線または無線のフィールド機器215〜222、240〜258と通信して、例えばプラント内のプロセスを制御しうる。さらに、プロセスプラントはまた、任意の数の無線ゲートウェイ235、ルータ258、アクセスポイント255および無線プロセス制御通信ネットワーク290を含みうる。
概して、脅威検出システムは、図1の開示に続く任意の所望の手法で、ネットワーク114に搭載または実装されうる。特に、図3に示すように、異常検出システム10は、各ネットワークノード226、228、230、232、233、234A、234Bおよび235に、およびスイッチ202またはネットワーク114の他の端点装置のいずれかに配置される通信モジュール330(図1の通信モジュール30および32でありうる)を含む。図3において全詳細を示していないが、通信モジュール330は、例えばI/Oデバイス236および238内などの任意のサブノードデバイス内、有線フィールド機器215〜222内もしくはすべての有線フィールド機器215〜222内、または任意のもしくはすべての無線機器240〜258内に搭載されうる。図3において、サブノードデバイス内の各通信モジュール330は参照符号330aで表示されて、ネットワーク114のより大きなノードのサブノードであることを示している。図1に示すように、通信モジュール330および330aは、各ノードへのトラフィックおよび各ノードからのトラフィックを解析して、トラフィックについてのメタデータを編集する。
例であるこのシステムでは、通信モジュール230および230aはネットワークリンク200を通じて、ユーザインタフェースデバイス230のひとつに搭載されるように示される異常検出エンジン334と通信する。しかしながら、異常検出エンジン334は、ネットワーク114上の任意の他のコンピュータデバイス内であって、例えばネットワーク上の構成データベース232、ゲートウェイデバイス226、228、スイッチ202などの内部に搭載されうる。さらに、異常検出エンジン334は、ネットワーク114外のコンピュータデバイス内であって、図2のネットワーク112、116、118のうちのひとつの内部などに配置されうる。この場合、ネットワーク114の様々なノードまたはサブノードで収集されたメタデータは、ネットワークリンク200およびゲートウェイ226、228のうちのひとつ(ファイアウォールを含んでもよく、または含まなくてもよい)を介して他のネットワークと通信されうる。さらに、例えばフィールド機器215〜222、I/Oデバイス236、238および無線フィールド機器240〜258などのサブネットワークデバイスからの通信は、例えばコントローラ260またはゲートウェイデバイス235などのプライマリネットワークのノードデバイスまで送信されうるものであり、これらの装置は、その後それら通信を検出エンジン334へ転送しうる。さらにまた、図3に示すように、構成データベース232は、任意の所望の手法で、構成変更を検出して検出エンジン234へ伝達する構成変更モジュール370を含む。図3の少なくともいくつかのノードに示すように、各ノードデバイスは、様々な異常検出システムモジュール330、334および370を実装して実行するマイクロプロセッサ、ASIC、または他のプロセッサでありうるプロセッサ309を含み、プロセッサ309上での実行のためのこれらのモジュールを格納するコンピュータ読み取り可能なメモリ311を含む。
図4は、本明細書に記載される例である異常検出システムを実行する通信ネットワークの様々なノード間の通信フローおよび様々なノードにおける処理を示す例であるフロー図を描いている。特に、ルーチン400は、ネットワークの、またはネットワーク上での異なる装置で実行されうる様々な異なるコンポーネントを含むものであって、各装置またはネットワークノードで実行されうるものでありメッセージトラフィックメタデータが発生されて収集されるコンポーネント402と、構成モジュール、構成データベースまたは他の構成ルーチンとともに格納されて、構成モジュール、構成データベースもしくは他の構成ルーチン内で、または構成モジュール、構成データベースもしくは他の構成ルーチンの一部として実行されて、ノードの構成になされる構成変更を検出することが可能であるコンポーネント404と、解析されるネットワーク内の異常を検出するためのエキスパートまたは異常検出エンジンにおいて用いられうるコンポーネント406とを含む。
コンポーネントまたはルーチン402は、ノードにおける着信メッセージおよび発信メッセージを収集して調べる、かつ、ノードにおける着信メッセージおよび発信メッセージのすべてを利用できるようにノードの通信層内にまたはノードの通信層に対して動作可能に配置されうる第1のブロック410を含む。図1のブロック30および31を実行させ、メッセージを調べて、少なくとも一時的にメッセージを格納しうる、ブロック410。メッセージ収集後、ブロック412では、メッセージに関するメタデータを作成して格納するものであり、本明細書に記載したメタデータのいずれかまたは解析エンジンによって要求もしくは必要とされたその他のメタデータを含む。もちろん、収集および発生されるメタデータの特定の性質は、ルールエンジンに格納されるルールの構成に基づいて、ときおり変更されることが可能である。次に、ブロック414では、メタデータを解析エンジンに送信するときであるかどうかを判定するものであり、周期的であったり、ユーザの要求に応じてであったり、作成または格納されているメタデータがある量となるときであったり、解析されているメッセージがある量となるときなどに発生しうる。メタデータを送信する必要がなければ、ブロック414は制御をブロック410に移す。しかし、メタデータを送信する必要があれば、ブロック416で、格納されたメタデータを、そのエンジンが配置されているノード内にあればいずれでもよいが、解析エンジンまたは異常検出エンジンのいずれかへ送信する。ブロック416ではまた、解析エンジンによって用いられうるノード、発生したメタデータおよび他のコンテキスト情報についての詳細を送りうる。ブロック416では、このメタデータを通信リンクもしくはネットワークのバスを通じて、または、独立した外部通信ネットワークを介して送信しうるが、ルーチン402が解析エンジンと同じ装置におけるものとする場合、通信は、装置間通信を介して行われうる。メタデータは、図4の点線で、異常検出エンジン内でブロック416からネットワーク解析ルーチン406へ送信されるものとして示されている。
もちろん、必要な場合には、ルーチン402は、ネットワークの動作中、継続的にネットワークのノードのそれぞれで動作して、着信メッセージおよび発信メッセージのすべてを解析して、メタデータを作成および格納し、そしてそのメタデータを異常検出エンジンへ送信することを続ける。
ネットワーク構成に対して構成変更をなす構成データベースまたは構成ルーチン内で動作しうるルーチン404は、構成変更があるかどうかを検出して、ない場合にはそれ自体にループバックし、構成変更がなされている場合には解析を続けるブロック420を含む。構成変更がなされるとき、例えば構成データベースに構成変更が格納されたとき、構成変更が構成ルーチンによって発生されてネットワークにダウンロードされたとき、新しい構成または構成変更が構成データベースにダウンロードされたときなどには、ブロック422では、ブロック422からの点線で示されているように、検出エンジンへ、構成変更の通知を送信するおよび/または新しい構成の詳細もしくは新しい構成の全てを送信する。この通信は、所望であれば、ネットワークリンクを通じて生じうる。もちろん、必要な場合には、ルーチン404は動作して、構成変更を検出して、構成変更の詳細ならびにそれら変更の通知を、ルーチン406を実行する異常検出エンジンへ送信することを続ける。
図4に示すように、ルーチン406は、後の解析のために、様々なノードからのメタデータを受信および格納し、例えば図1のメタデータ記憶部50などのメモリにメタデータを格納するブロック430を含みうる。メタデータは、任意の所望の種類の通信を用いて任意の所望の手法で、受信および格納されてよく、さらに任意の所望のデータベース格納ルーチンおよび/またはシステムを用いて格納されうる。メタデータは、それが生じたノードに基づいて、ならびにメタデータの特定の種類、ソースなどを相互に参照する手法で格納されうる。例えば、このメタデータは、格納されるメタデータの種類、メタデータのパラメータ、メタデータのソース、時間などに基づく多くの異なる手法に利用されることが可能であるリレーショナルデータベースに格納されうる。
いずれにしても、実行中、ブロック432は、異常検出エンジンによる使用のために作成された何らかの新しいルール(変更されたルールを含む)があるかどうかを判定する。そうした新しいルールは、例えば、異常検出エンジンでルールを変更しうるユーザから、または新しいルールをダウンロードし、ルールの変更または新しいルールによって使用されるパラメータもしくは制限を再構築しうるセキュリティ担当者からもたらされる。新しいもしくは変更されたルールまたは制限データが取得された場合、ブロック432からブロック450へ制御がもたらされ、その後、例えば図1のルールデータベース44などの異常検出エンジンのルールデータベース内に新しいルールを格納および/または図1のトラフィックパターンデータベース46内に新しい制限もしくはパラメータデータを格納する。さらに、ブロック452では、任意のルール変更に基づいて、ルールデータベース内の有効なルールを修正する、または任意のルール変更を実行するようにルールデータベース内の有効なルールを修正する。いずれにしても、新しいルールもしくはルール変更が検出されない場合、または新しいルールもしくはデータが保存された後には、ブロック434では、構成変更ルーチン404によって示されるように、任意の新しい構成が、ネットワークに格納および/または保存されているかどうかを判定する。新しい構成または構成変更が検出されない場合には、異常検出システムは現在のルールの集合および現在のトラフィックパラメータデータの集合に従って動作してよく、制御はブロック436へもたらされる。ブロック436では、メタデータデータベースに現在格納されているメタデータを処理するときかどうかを判定する。例えば、ブロック436では、例えば1秒に1回、1分に1回、1時間に1回など周期的に、もしくは任意の他の時間枠でメタデータを処理する必要があることを判定してよく、またはユーザの要求に応じて、もしくは例えば警報が発生されるなどのいくつかの所定の事象の発生に応じてその動作をしてもよい。いずれにしても、メタデータを処理する時間ではない場合には、異常検出ルーチン406の次の繰り返しのために、ブロック436ではブロック430へ制御を戻す。
しかしながら、ブロック436でメタデータを処理するときであると判定する場合には、その後ブロック438で、図1のルールデータベース44内の1つまたは複数の格納されたルールおよび図1のトラフィックパラメータデータベース46内に格納されたベースラインメタデータならびにトラフィックパラメータを用いてメタデータを解析する。図1のルールエンジン42によって実行されることが可能であるブロック438は、任意の所望の手法で論理ルールを解析または処理することが可能である。1つまたは複数のルールまたはすべてのルール内の、メタデータのすべてもしくはメタデータのいくつかの部分の解析については、その後ブロック440で、例えば潜在的な異常がルールデータベース内のルールの動作に基づいて検出されている場合に、アラートを発生する必要があるか否かを判定する。もしそうであれば、その後ブロック442で、検出された異常の種類または他の情報に基づいたアラートを、指定されているであろうユーザに対して、検出された異常の種類に基づいた、または異常検出解析に基づく破られたルールの詳細に基づいた任意の手法で実際に送信する。ブロック442では、彼らの身元に基づいて、またはどの種類の異常検出をどのユーザが取得すべきかを予め構成したリストに基づいて、1人または複数のユーザへ、アラートを送信しうる。さらに、ブロック442では、例えばネットワークをシャットダウンする、異常が検出されているノードに対してメッセージを送信してそれ自体をネットワークから分断する、ノード内の特定のアプリケーションを停止するなどの自動的な動きを誘導または開始しうる。制御はその後、新しいサイクルのため、またはルーチン406の繰り返しのためにブロック430に戻る。
ブロック434で新しい構成変更がなされていると判定する場合、ブロック460で構成変更に基づいてルールの集合を変更する必要があるか否かを判定する。もしそうであれば、その後ブロック452で、自動的かまたはユーザの入力に応じてのいずれかで、ルールデータベースに格納されている有効なルールを変更して、新しいまたは変更されたルールをルールデータベース(例えば、図1のデータベース44)に格納する。いずれにしても、特定のノードもしくはネットワーク全体へのトラフィックフロー、または特定のノードもしくはネットワーク全体からのトラフィックフローの観点から、例えば、構成がネットワークの期待される動作を変更するおそれがあるために、ブロック462では、構成変更に基づいて、ベースライントラフィックデータパラメータを変更する必要があるかどうかを判定する。もしそうであれば、ブロック464で、予め決められた時間の間に1つまたは複数のノードからメタデータを収集し、ブロック466で、その時間で十分なメタデータが収集されたかどうかを判定する。そうでなければ、制御はブロック464に戻り、新しい構成下でノードからメタデータの収集を続ける。ブロック466で、十分なメタデータが収集されていることを検出する場合には、その後ブロック468で、例えば、メタデータについて新しい統計値を編集することによって、または他の所望の手法でメタデータを処理することによって収集メタデータから新しいベースライントラフィックデータパラメータを発生する。処理の最後で、制御は、新しい構成下でのネットワーク動作から決定されたルールおよび新しいトラフィックデータパラメータを用いた異常検出の動作のために、ブロック430へ戻る。
理解されるように、本明細書に記載した異常検出システムは、ネットワークノードにおけるシステムネットワーク構成を用いて、メタデータ収集の作業負荷を軽減し、解析エンジンで既知のシステムネットワーク構成を用いてルールの集合を規定し、かつ、同様に学習エンジンでありうる解析エンジンのための学習プロセスを与えるものである。解析エンジンが学習エンジンである場合では、解析エンジンのルールエンジンは、例えばユーザからのフィードバックを受信し、異常が検出されるかどうか、または検出された異常がネットワークへの侵入を示唆するものではなかったかどうかを判定しうるものであり、それに応じてルールを変更してこのフィードバックを組み込む、または反映する。異常検出エンジンはまた、ネットワークノードによって観察されたネットワークトラフィックについてのメタデータ(ネットワークフレーム、ログの完全なコピー、またはSNMPアラートのみと比べて)を報告し、システムネットワーク構成変更通知を用いて、異常検出解析の誤検出率を軽減する、または結果として生じる通知を再分類する。さらにまた、このシステムは、集中型のサーバ/機械に対してネットワークインフラストラクチャー装置(例えば、スイッチ、ルータ、ファイアウォール)でメタデータの収集および/または解析を行いうるものであり、集中型のサーバ/機械に対して端点装置(例えば、コントローラ、RTU、I/Oサーバ、ワークステーション、サーバ)でメタデータの収集および/または解析を行いうるものであり、かつ、FPGA、TCPオフロードエンジンまたは他のプログラマブルハードウェアを用いてメタデータの収集および/または解析を行いうる。さらにまた、システムは、ネットワークノード内で、またはネットワークノードを通じて収集する階層メタデータを用いうるものであり、システムネットワーク構成に基づいて、端点装置(例えば、コントローラ、RTU、I/Oサーバ、ワークステーション、サーバ)でトラフィックなしでのメタデータの収集および解析を行いうるものである。
本明細書に記載したセキュリティ技術はネットワーク化されたプロセス制御装置およびイーサネット(登録商標)ならびに例えばFieldbus、HARTならびに4−20mA規格のプロトコルなどの様々な既知のプロセス制御プロトコルを用いたシステムと関連して用いられるように記載しているが、本明細書に記載のセキュリティ技術は、もちろん他のプロセス制御通信プロトコルまたはプログラミング環境を用いて任意の種類の制御装置で実施されることが可能であり、他の種類の装置、機能ブロックまたはコントローラとともに用いられうる。本明細書に記載のセキュリティ機能は、ソフトウェア内で実行されることが好ましいが、ハードウェア、ファームウェアなどで実行されてよく、そしてコンピュータデバイスと連携した他のプロセッサによって実行されうる。従って、そのように所望する場合には本明細書に記載した方法およびルーチンおよびシステムは、標準の多目的CPU内で、または例えばASICなどの特別に設計されたハードウェアまたはファームウェア上で実行されうる。ソフトウェア内で実行される場合、ソフトウェアは、例えば磁気ディスク、レーザーディスク(登録商標)、光学ディスク、もしくは他の記憶媒体上などの任意のコンピュータ読み取り可能なメモリ内、またはコンピュータもしくはプロセッサのRAMもしくはROM内などに格納されうる。同様に、このソフトウェアは、例えば、コンピュータ読み取り可能なディスクもしくは他のトランスポータブルコンピュータ記憶機構上を含む、または電話線、インターネットなどの通信チャネルを通じて調整された任意の既知または所望の伝達方法を介して、ユーザへまたはプロセス制御システムへ伝達されうる。
さらに、本発明は、単なる説明であることと、発明を限定するものではないことを意図した特定の例を参照して記載されているが、発明の意図および範囲から逸脱することなく、記載された実施形態に対して変更、付加、または削除がなされうることは、当業者にとって明らかである。

Claims (47)

  1. 通信リンクによって通信可能に接続された複数のネットワークノードを有する通信ネットワークで使用する、異常検出システムであって、
    複数のメッセージモジュールのそれぞれが、前記ネットワークノードのうちのひとつにあるプロセッサ上で実行して、前記ネットワークノードでメッセージトラフィックを検出して、前記ネットワークノードで前記メッセージトラフィックについてのメタデータを発生する前記複数のメッセージモジュールと、
    前記通信ネットワークに接続された処理装置内に格納されて、前記処理装置で実行される解析エンジンであって、
    メタデータ記憶部と、
    前記処理装置のプロセッサ上で実行して、前記複数のメッセージモジュールからの前記ネットワークノードのそれぞれについてのメタデータを受信し、かつ、該受信したメタデータを前記メタデータ記憶部に格納する制御部と、
    論理ルールの集合を格納するルールデータベースと、
    前記処理装置のプロセッサ上で実行して、前記ルールデータベースに格納された前記論理ルールを用いて前記メタデータ記憶部に格納された前記メタデータを処理して、前記通信ネットワーク内のトラフィックパターンの異常を検出するルールエンジンと、
    前記処理装置のプロセッサ上で実行して、検出された異常の通知をユーザに対して送信する通知モジュールとを含む前記解析エンジンと
    を含む異常検出システム。
  2. 前記解析エンジンは、前記通信ネットワークの動作中の前記通信ネットワークについて、ベースライン時間の間で収集されたメタデータに関するベースライン情報を格納するメタデータベースラインデータベースをさらに含むものであり、前記ルールエンジンは、前記処理装置のプロセッサ上で実行して、前記ルールデータベースに格納された前記論理ルールと前記メタデータベースラインデータベース内に格納された前記ベースライン情報とを用いて前記メタデータ記憶部内に格納された前記メタデータを処理して前記通信ネットワーク内のトラフィックパターンの異常を検出するものである、請求項1記載の異常検出システム。
  3. 前記通信ネットワークに接続されたさらなる処理装置に格納された構成変更検出モジュールをさらに含むものであって、前記構成変更検出モジュールは、前記さらなる処理装置のプロセッサ上で実行して前記通信ネットワークの構成に対する構成変更を検出して、前記解析エンジンに検出された構成変更の通知を送信する、請求項2記載の異常検出システム。
  4. 前記解析エンジンの前記制御部は、前記検出された構成変更に基づいて前記ルールデータベース内の論理ルールを変更する、請求項3記載の異常検出システム。
  5. 前記制御部は、前記ルールデータベース内の論理ルールの変更の前に、ユーザから新しい論理ルールを受信する、請求項4記載の異常検出システム。
  6. 前記制御部は、構成変更の種類に基づいて論理ルールを変更する、請求項4記載の異常検出システム。
  7. 構成変更検出モジュールは、構成変更の種類を前記解析エンジンへ伝達する、請求項4記載の異常検出システム。
  8. 前記解析エンジンの制御部は、前記検出された構成変更に応じてメタデータデータベース内の前記通信ネットワークについて新しいベースラインメタデータの集合を収集して、新しい構成で実行する通信ネットワークについて、前記新しいベースラインメタデータの集合から新しいベースライン情報の集合を発生する、請求項4記載の異常検出システム。
  9. 前記構成変更検出モジュールは、構成データベース内に格納される、請求項3記載の異常検出システム。
  10. 前記メタデータベースラインデータベースは、1つまたは複数の前記論理ルールによって用いられて、前記メタデータ記憶部内に格納された前記メタデータを用いて異常を検出する、制限または範囲を反映する1つまたは複数のメタデータパラメータを格納する、請求項2記載の異常検出システム。
  11. 前記ルールエンジンは、学習エンジンである、請求項1記載の異常検出システム。
  12. 前記通知モジュールはプロセッサ上で実行して、前記通信ネットワークの1つまたは複数のネットワークノード内で通信パラメータを設定する、請求項1記載の異常検出システム。
  13. 前記通知モジュールは実行して、前記通信ネットワークの前記1つまたは複数のネットワークノードのうちのひとつが、前記通信ネットワークで通信することを防ぐものである通信パラメータを設定する、請求項12記載の異常検出システム。
  14. 前記通知モジュールは実行して、前記通信ネットワークの1つまたは複数のネットワークノードが、他のネットワークと通信することを防ぐものである通信パラメータを設定する、請求項12記載の異常検出システム。
  15. 前記通知モジュールは実行して、前記通信ネットワークの前記1つまたは複数のネットワークノードのうちのひとつが、特定のアプリケーションに対して前記通信リンクで通信することを許可することを防ぐものである通信パラメータを設定する、請求項12記載の異常検出システム。
  16. 前記通知モジュールは実行して、前記通信ネットワークの前記1つまたは複数のネットワークノードのうちのひとつが、前記通信リンクで特定の種類のメッセージと通信することを防ぐものである、通信パラメータを設定する、請求項12記載の異常検出システム。
  17. 前記解析エンジンは、前記通信ネットワークの前記通信リンクに直接接続されている前記ネットワークノードのうちのひとつにある処理装置内に配置される、請求項1記載の異常検出システム。
  18. 前記解析エンジンは、前記通信ネットワークの前記通信リンクに直接接続されていない処理装置内に配置される、請求項1記載の異常検出システム。
  19. 前記複数のメッセージモジュールのうちの少なくともひとつが、前記通信ネットワークのサブネットワーク内の処理装置内に配置される、請求項1記載の異常検出システム。
  20. 前記メッセージモジュールのうちのひとつが、1つまたは複数のフィールド機器に接続されてプロセスまたは産業用プラントを制御するプロセスコントローラ装置内に配置される、請求項1記載の異常検出システム。
  21. 前記メッセージモジュールのそれぞれは、前記通信リンクを介してネットワークノードで受信されたメッセージを解析する着信メッセージモジュールを含む、請求項1記載の異常検出システム。
  22. 前記メッセージモジュールのそれぞれは、ネットワークノードからの前記通信リンクで伝送されたメッセージを解析する発信メッセージモジュールを含む、請求項1記載の異常検出システム。
  23. 前記通知モジュールは前記通信ネットワークの前記通信リンクを介して前記通知を送信する、請求項1記載の異常検出システム。
  24. プラント環境で使用する、異常検出システムであって、
    プロセッサおよびコンピュータ読み取り可能なメモリをそれぞれ有する複数のネットワークノードであって、通信リンクによって相互に接続される前記複数のネットワークノードを含む通信ネットワークと、
    メッセージモジュールのそれぞれが、前記ネットワークノードのうちの異なるひとつにある前記プロセッサで実行して、前記ネットワークノードでメッセージトラフィックを検出して、前記ネットワークノードで前記メッセージトラフィックについてメタデータを発生する、複数のメッセージモジュールと、
    前記複数のメッセージモジュールのそれぞれに通信可能に接続されて、前記通信ネットワークに接続された処理装置で実行する解析エンジンであって、
    メタデータ記憶部と、
    前記処理装置のプロセッサで実行して、前記複数のメッセージモジュールからの前記ネットワークノードのそれぞれについての前記メタデータを受信し、該受信したメタデータを前記メタデータ記憶部に格納する制御部と、
    論理ルールの集合を格納するルールデータベースと、
    前記処理装置のプロセッサで実行して、前記ルールデータベースに格納された前記論理ルールを用いて前記メタデータ記憶部に格納された前記メタデータを処理して、前記通信ネットワーク内のトラフィックパターンの異常を検出するルールエンジンと、
    前記処理装置のプロセッサで実行して、検出された異常の通知を送信する通知モジュールとを含む前記解析エンジンと
    を含む異常検出システム。
  25. 前記通信ネットワークに接続されたさらなる処理装置に格納された構成変更検出モジュールをさらに含むものであって、前記構成変更検出モジュールは、前記さらなる処理装置のプロセッサで実行して、前記通信ネットワークの構成に対する構成変更を検出して、かつ、前記解析エンジンに検出された構成変更の通知を送信する、請求項24記載の異常検出システム。
  26. 前記構成変更検出モジュールは、構成変更の種類を前記解析エンジンへ伝達する、請求項25記載の異常検出システム。
  27. 前記解析エンジンの前記制御部は、検出された構成変更に応じてメタデータデータベース内の前記通信ネットワークについて、ベースラインメタデータの集合を収集して、新しい構成の前記通信ネットワークについて、前記ベースラインメタデータの集合からベースライン情報の集合を発生するものであり、前記ルールエンジンは、前記論理ルールの実行に前記ベースライン情報の集合を用いて異常を検出するものである、請求項25記載の異常検出システム。
  28. 前記構成変更検出モジュールは、前記通信リンクに接続された構成データベース内に格納される、請求項25記載の異常検出システム。
  29. 前記構成変更検出モジュールは、前記通信リンクに直接接続されていない処理装置内に格納される、請求項25記載の異常検出システム。
  30. 前記解析エンジンは、さらに、前記通信ネットワークの動作中の前記通信ネットワークについて、ベースライン時間の間で収集されたメタデータに関するベースライン情報を格納するメタデータベースラインデータベースを含むものであり、前記ルールエンジンは、前記処理装置のプロセッサ上で実行して、前記ルールデータベースに格納された前記論理ルールと前記メタデータベースラインデータベース内に格納された前記ベースライン情報とを用いて前記メタデータ記憶部内に格納された前記メタデータを処理して前記通信ネットワーク内のトラフィックパターンの異常を検出するものである、請求項24記載の異常検出システム。
  31. 前記メタデータベースラインデータベースは、1つまたは複数の前記論理ルールによって用いられて、前記メタデータ記憶部内に格納された前記メタデータを用いての異常の検出をする、制限または範囲を反映する1つまたは複数のメタデータパラメータを格納する、請求項30記載の異常検出システム。
  32. 前記通知モジュールは、前記処理装置のプロセッサ上で実行して、前記通信ネットワークの1つまたは複数のネットワークノード内に通信パラメータを設定する、請求項24記載の異常検出システム。
  33. 前記通知モジュールは実行して、前記通信ネットワークの前記1つまたは複数のネットワークノードのうちのひとつが、前記通信リンクで通信することを防ぐものである通信パラメータを設定する、請求項32記載の異常検出システム。
  34. 前記解析エンジンは、前記通信ネットワークの前記通信リンクに直接接続されている前記ネットワークノードのうちのひとつにある処理装置内に配置される、請求項24記載の異常検出システム。
  35. 前記複数のメッセージモジュールのうちの少なくともひとつが、前記通信ネットワークのサブネットワーク内の処理装置内に配置される、請求項24記載の異常検出システム。
  36. 通信リンクによって相互に接続された複数のネットワークノードを有するプラントの通信ネットワークで異常検出を行う方法であって、
    2つまたはそれ以上の前記複数のネットワークノードのそれぞれにあるプロセッサを用いて、前記2つまたはそれ以上の前記複数のネットワークノードのメッセージトラフィックを解析して、前記2つまたはそれ以上の前記複数のネットワークノードのそれぞれにおいて前記メッセージトラフィックについてのメタデータを作成することと、
    前記2つまたはそれ以上の前記複数のネットワークノードのそれぞれからの作成されたメタデータを前記通信ネットワークに接続されたコンピュータ処理装置内に配置された解析エンジンへ電子的に送信することと、
    前記コンピュータ処理装置にあるコンピュータ読み取り可能なメモリ上で、前記2つまたはそれ以上の前記複数のネットワークノードのそれぞれからの前記メタデータを格納することと、
    ベースラインメタデータパラメータの集合を、前記コンピュータ処理装置にあるコンピュータ読み取り可能なメモリに格納することと、
    前記コンピュータ処理装置のプロセッサを用いて、前記解析エンジンにおいて、論理ルールの集合および格納されたベースラインメタデータパラメータを用いて格納されたメタデータを解析して、前記通信ネットワークの前記ネットワークノードのうちの1つまたは複数にあるトラフィックパターン内に異常があるかどうかを判定することと、
    前記通信ネットワークの前記ネットワークノードのうちの1つまたは複数にある前記トラフィックパターン内に異常が検出された場合に、前記トラフィックパターン内の前記異常を修正する動きを行うことと
    を含む、異常検出を行う方法。
  37. 作成されたメタデータを送信することは、前記作成されたメタデータを前記2つまたはそれ以上の前記複数のネットワークノードから、前記通信リンクを通じて前記解析エンジンへ送信することを含む、請求項36記載の方法。
  38. 前記通信ネットワークの構成に対する構成変更を検出すること、および検出された構成変更の通知を前記解析エンジンへ送信することをさらに含む、請求項36記載の方法。
  39. 検出された構成変更に基づいて、格納されたメタデータの解析に用いられる前記論理ルールのうちのひとつを変更することをさらに含む、請求項38記載の方法。
  40. 前記検出された構成変更の種類を前記解析エンジンに伝達すること、および構成変更の種類に基づいて前記格納されたメタデータの解析に用いられる前記論理ルールのうちのひとつを変更することをさらに含む、請求項38記載の方法。
  41. 構成変更の検出に応じて、前記構成変更の後の前記通信ネットワークの動作に基づいて新しいメタデータの集合を収集すること、および前記通信ネットワークの1つまたは複数の前記ネットワークノードからのメタデータを解析することにおいて、前記解析エンジンによる使用のために、前記新しいメタデータの集合からの新しいベースラインメタデータパラメータの集合を発生することをさらに含む、請求項38記載の方法。
  42. 前記通信ネットワークの前記通信リンクに直接接続されたコンピュータデバイスのプロセッサ上で、解析する工程を行うことをさらに含む、請求項36記載の方法。
  43. 前記検出された異常を修正する動きを行うことは、検出された異常のユーザへの通知を送信することを含む、請求項36記載の方法。
  44. 前記検出された異常を修正する動きを行うことは、前記通信ネットワークの前記ネットワークノードのうちのひとつが、前記通信リンクで通信することを防ぐことを含む、請求項36記載の方法。
  45. 前記検出された異常を修正する動きを行うことは、前記通信ネットワークの前記ネットワークノードのうちのひとつが、特定のアプリケーションに対して前記通信リンクで通信することを許可することを防ぐことを含む、請求項36記載の方法。
  46. 前記異常を修正する動きを行うことは、前記通信ネットワークの前記ネットワークノードのうちのひとつが、前記通信リンクで特定の種類のメッセージを通信することを防ぐことを含む、請求項36記載の方法。
  47. 前記2つまたはそれ以上の前記複数のネットワークノードのうちのひとつにおいてメッセージトラフィックを解析することは、前記2つまたはそれ以上の前記複数のネットワークノードのうちのひとつにおける複数のサブノードのそれぞれでメッセージトラフィックを解析すること、および前記複数のサブノードのそれぞれにおいて前記メッセージトラフィックについてメタデータを作成することを含む、請求項36記載の方法。
JP2016038847A 2015-03-04 2016-03-01 産業用通信ネットワークにおける異常検出、異常検出システム、及び異常検出を行う方法 Active JP6749106B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/638,904 US10291506B2 (en) 2015-03-04 2015-03-04 Anomaly detection in industrial communications networks
US14/638,904 2015-03-04

Publications (3)

Publication Number Publication Date
JP2016163352A true JP2016163352A (ja) 2016-09-05
JP2016163352A5 JP2016163352A5 (ja) 2019-04-11
JP6749106B2 JP6749106B2 (ja) 2020-09-02

Family

ID=55641871

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016038847A Active JP6749106B2 (ja) 2015-03-04 2016-03-01 産業用通信ネットワークにおける異常検出、異常検出システム、及び異常検出を行う方法

Country Status (5)

Country Link
US (1) US10291506B2 (ja)
JP (1) JP6749106B2 (ja)
CN (1) CN105939334B (ja)
DE (1) DE102016103521A1 (ja)
GB (2) GB2537457B (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018074465A (ja) * 2016-11-01 2018-05-10 株式会社日立製作所 ログ解析システムおよびその方法
JP2018538737A (ja) * 2015-11-25 2018-12-27 シマンテック コーポレーションSymantec Corporation 産業制御システム内の危殆化されたデバイスを識別するためのシステム及び方法
WO2019004101A1 (ja) 2017-06-27 2019-01-03 三菱電機ビルテクノサービス株式会社 侵入検知装置および侵入検知方法ならびに侵入検知システム
JP2021052256A (ja) * 2019-09-24 2021-04-01 株式会社日立製作所 通信制御装置およびシステム
JP2021071850A (ja) * 2019-10-30 2021-05-06 横河電機株式会社 プラントシステムおよび方法
JP2021141481A (ja) * 2020-03-06 2021-09-16 Kddi株式会社 モデル学習装置、モデル学習方法及びコンピュータプログラム
JP2022053152A (ja) * 2020-09-24 2022-04-05 Kddi株式会社 インフラ検証コード生成装置、方法およびプログラム
US20220417120A1 (en) * 2021-06-24 2022-12-29 Hewlett Packard Enterprise Development Lp Communicating node events in network configuration
KR20230101072A (ko) * 2021-12-29 2023-07-06 빅오 주식회사 산업 제어 시스템 보안을 위한 외부 원격 접속 관리 시스템 및 방법
JP7483004B2 (ja) 2019-11-26 2024-05-14 インターナショナル・ビジネス・マシーンズ・コーポレーション IoTにおけるプライバシを保護する異常検知のための方法

Families Citing this family (124)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10866952B2 (en) 2013-03-04 2020-12-15 Fisher-Rosemount Systems, Inc. Source-independent queries in distributed industrial system
US9558220B2 (en) 2013-03-04 2017-01-31 Fisher-Rosemount Systems, Inc. Big data in process control systems
US9665088B2 (en) 2014-01-31 2017-05-30 Fisher-Rosemount Systems, Inc. Managing big data in process control systems
US9823626B2 (en) 2014-10-06 2017-11-21 Fisher-Rosemount Systems, Inc. Regional big data in process control systems
US10223327B2 (en) 2013-03-14 2019-03-05 Fisher-Rosemount Systems, Inc. Collecting and delivering data to a big data machine in a process control system
US10649424B2 (en) 2013-03-04 2020-05-12 Fisher-Rosemount Systems, Inc. Distributed industrial performance monitoring and analytics
US10649449B2 (en) 2013-03-04 2020-05-12 Fisher-Rosemount Systems, Inc. Distributed industrial performance monitoring and analytics
US9397836B2 (en) 2014-08-11 2016-07-19 Fisher-Rosemount Systems, Inc. Securing devices to process control systems
US10386827B2 (en) 2013-03-04 2019-08-20 Fisher-Rosemount Systems, Inc. Distributed industrial performance monitoring and analytics platform
US10282676B2 (en) 2014-10-06 2019-05-07 Fisher-Rosemount Systems, Inc. Automatic signal processing-based learning in a process plant
US10909137B2 (en) 2014-10-06 2021-02-02 Fisher-Rosemount Systems, Inc. Streaming data for analytics in process control systems
US10678225B2 (en) 2013-03-04 2020-06-09 Fisher-Rosemount Systems, Inc. Data analytic services for distributed industrial performance monitoring
US11573672B2 (en) 2013-03-15 2023-02-07 Fisher-Rosemount Systems, Inc. Method for initiating or resuming a mobile control session in a process plant
EP2973242B1 (en) 2013-03-15 2020-12-23 Fisher-Rosemount Systems, Inc. Modelling and adjustment of process plants
US10938650B1 (en) * 2018-03-07 2021-03-02 Amdocs Development Limited System, method, and computer program for improving a quality of experience based on artificial intelligence
US10432720B1 (en) 2014-06-25 2019-10-01 Symantec Corporation Systems and methods for strong information about transmission control protocol connections
US10728040B1 (en) * 2014-08-08 2020-07-28 Tai Seibert Connection-based network behavioral anomaly detection system and method
US10168691B2 (en) 2014-10-06 2019-01-01 Fisher-Rosemount Systems, Inc. Data pipeline for process control system analytics
US10601766B2 (en) * 2015-03-13 2020-03-24 Hewlett Packard Enterprise Development Lp Determine anomalous behavior based on dynamic device configuration address range
US10133614B2 (en) * 2015-03-24 2018-11-20 Ca, Inc. Anomaly classification, analytics and resolution based on annotated event logs
US9268938B1 (en) * 2015-05-22 2016-02-23 Power Fingerprinting Inc. Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection
US20160359695A1 (en) * 2015-06-04 2016-12-08 Cisco Technology, Inc. Network behavior data collection and analytics for anomaly detection
US10721154B2 (en) 2015-06-12 2020-07-21 At&T Intellectual Property I, L.P. Virtual probes
US10955810B2 (en) * 2015-11-13 2021-03-23 International Business Machines Corporation Monitoring communications flow in an industrial system to detect and mitigate hazardous conditions
JP6759572B2 (ja) 2015-12-15 2020-09-23 横河電機株式会社 統合生産システム
JP6693114B2 (ja) * 2015-12-15 2020-05-13 横河電機株式会社 制御装置及び統合生産システム
US10503483B2 (en) 2016-02-12 2019-12-10 Fisher-Rosemount Systems, Inc. Rule builder in a process control network
US10104100B1 (en) 2016-03-03 2018-10-16 Symantec Corporation Systems and methods for detecting anomalies that are potentially indicative of malicious attacks
US10027699B2 (en) * 2016-03-10 2018-07-17 Siemens Aktiengesellschaft Production process knowledge-based intrusion detection for industrial control systems
US10237295B2 (en) * 2016-03-22 2019-03-19 Nec Corporation Automated event ID field analysis on heterogeneous logs
US20170310700A1 (en) * 2016-04-20 2017-10-26 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. System failure event-based approach to addressing security breaches
DE102016207423A1 (de) * 2016-04-29 2017-11-02 Siemens Aktiengesellschaft Verfahren zur Wegredundanzbewertung in einem Backbone-Netzwerk
US10193903B1 (en) 2016-04-29 2019-01-29 Symantec Corporation Systems and methods for detecting suspicious microcontroller messages
US10091077B1 (en) 2016-06-27 2018-10-02 Symantec Corporation Systems and methods for detecting transactional message sequences that are obscured in multicast communications
US11050768B1 (en) * 2016-09-21 2021-06-29 Amazon Technologies, Inc. Detecting compute resource anomalies in a group of computing resources
US10200259B1 (en) 2016-09-21 2019-02-05 Symantec Corporation Systems and methods for detecting obscure cyclic application-layer message sequences in transport-layer message sequences
EP3504597B1 (en) * 2016-09-30 2023-12-20 Siemens Aktiengesellschaft Identification of deviant engineering modifications to programmable logic controllers
US9906545B1 (en) 2016-11-22 2018-02-27 Symantec Corporation Systems and methods for identifying message payload bit fields in electronic communications
US10623266B2 (en) * 2016-12-08 2020-04-14 Honeywell International Inc. Cross entity association change assessment system
CN108243232B (zh) * 2016-12-27 2020-09-04 中国科学院沈阳自动化研究所 一种工业网络信息互联方法与***
US10936955B1 (en) 2017-01-13 2021-03-02 Amazon Technologies, Inc. Computationally and network bandwidth-efficient technique to determine network-accessible content changes based on computed models
US10367832B2 (en) * 2017-01-27 2019-07-30 Rapid7, Inc. Reactive virtual security appliances
US10963797B2 (en) * 2017-02-09 2021-03-30 Caterpillar Inc. System for analyzing machine data
US10868832B2 (en) 2017-03-22 2020-12-15 Ca, Inc. Systems and methods for enforcing dynamic network security policies
US10050987B1 (en) * 2017-03-28 2018-08-14 Symantec Corporation Real-time anomaly detection in a network using state transitions
US20180287987A1 (en) * 2017-03-29 2018-10-04 NURO Secure Messaging Ltd. System and method thereof for contextual customization of notifications
US10951503B1 (en) 2017-04-21 2021-03-16 Amazon Technologies, Inc. Determining the validity of data collected by experiments performed at a network accessible site
US10185970B1 (en) * 2017-04-21 2019-01-22 Amazon Technologies, Inc. Determining a run time for experiments performed at a network accessible site
US10326788B1 (en) 2017-05-05 2019-06-18 Symantec Corporation Systems and methods for identifying suspicious controller area network messages
US10432647B2 (en) * 2017-06-27 2019-10-01 Honeywell International Inc. Malicious industrial internet of things node activity detection for connected plants
US10917435B2 (en) * 2017-08-17 2021-02-09 Acronis International Gmbh Cloud AI engine for malware analysis and attack prediction
FR3071637B1 (fr) * 2017-09-25 2019-09-13 Schneider Electric Industries Sas Module de commande pour systeme de dialogue homme-machine
US10659390B2 (en) * 2017-09-29 2020-05-19 Xilinx, Inc. Network interface device
CN111448783B (zh) * 2017-12-15 2021-11-19 松下电器(美国)知识产权公司 车载网络异常检测***及车载网络异常检测方法
RO133453A2 (ro) * 2017-12-28 2019-06-28 Siemens Aktiengesellschaft Motor de procesare a semnalelor şi evenimentelor
DE102018100627B4 (de) * 2018-01-12 2019-10-10 Krohne Messtechnik Gmbh Elektrisches Gerät mit einer abgesicherten und einer ungesicherten Funktionseinrichtung
DE102018100629A1 (de) 2018-01-12 2019-07-18 Krohne Messtechnik Gmbh System mit einem elektrischen Gerät
US10922412B2 (en) * 2018-01-22 2021-02-16 The Boeing Company Automatic tampering detection in networked control systems
US10554518B1 (en) 2018-03-02 2020-02-04 Uptake Technologies, Inc. Computer system and method for evaluating health of nodes in a manufacturing network
US10169135B1 (en) * 2018-03-02 2019-01-01 Uptake Technologies, Inc. Computer system and method of detecting manufacturing network anomalies
CN112232717A (zh) * 2018-04-18 2021-01-15 费希尔-罗斯蒙特***公司 采用插件的质量检查***
CN109029543A (zh) * 2018-06-26 2018-12-18 深圳市威富智能设备有限公司 一种异常检测***及方法
DE102018212657A1 (de) * 2018-07-30 2020-01-30 Robert Bosch Gmbh Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
CN109164786B (zh) * 2018-08-24 2020-05-29 杭州安恒信息技术股份有限公司 一种基于时间相关基线的异常行为检测方法、装置及设备
US11405373B2 (en) * 2018-09-07 2022-08-02 Honeywell International, Inc. Blockchain-based secured multicast communications
JP6724960B2 (ja) * 2018-09-14 2020-07-15 株式会社安川電機 リソース監視システム、リソース監視方法、及びプログラム
US10466220B1 (en) 2018-09-21 2019-11-05 Pace Analytical Services, LLC Alerting for instruments that transfer physical samples
DE102018217026A1 (de) * 2018-10-04 2020-04-09 Robert Bosch Gmbh Vorrichtung und Verfahren für regelbasierte Anomalieerkennung
CN109582485B (zh) * 2018-10-26 2022-05-03 创新先进技术有限公司 一种配置变更异常检测方法及装置
RU2696296C1 (ru) * 2018-11-01 2019-08-01 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") Способ обнаружения аномалий в трафике магистральных сетей Интернет на основе мультифрактального эвристического анализа
CN111198902B (zh) * 2018-11-16 2023-06-16 长鑫存储技术有限公司 元数据管理方法、装置、存储介质及电子设备
US11025657B2 (en) 2018-12-13 2021-06-01 Imperva, Inc. Selective database logging with smart sampling
CN111555896B (zh) * 2019-02-12 2023-01-20 昆山纬绩资通有限公司 数据传输监控方法与***
US10699556B1 (en) * 2019-03-01 2020-06-30 Honeywell International Inc. System and method for plant operation gap analysis and guidance solution
US11265336B2 (en) * 2019-03-28 2022-03-01 Red Hat, Inc. Detecting anomalies in networks
US11676063B2 (en) * 2019-03-28 2023-06-13 International Business Machines Corporation Exposing payload data from non-integrated machine learning systems
WO2020209837A1 (en) * 2019-04-09 2020-10-15 Siemens Aktiengesellschaft Industrial process system threat detection
EP3726785A1 (en) * 2019-04-16 2020-10-21 Nxp B.V. Network node
US11645234B2 (en) 2019-04-17 2023-05-09 International Business Machines Corporation Rule-based collections of subset(s) of metadata in response to a trigger event occurring
CN110096421B (zh) * 2019-04-30 2022-11-29 中国人民解放军海军大连舰艇学院 一种通信数据的采集与管理***
EP3742322A1 (en) * 2019-05-22 2020-11-25 Siemens Aktiengesellschaft Operational policies or industrial field devices and distributed databases
US11934183B2 (en) 2019-06-13 2024-03-19 Tata Consultancy Services Limited Method and system for industrial anomaly detection
US11347207B2 (en) * 2019-06-14 2022-05-31 Honeywell International Inc. System for operator messages with contextual data and navigation
CN110266735B (zh) * 2019-07-30 2021-08-27 北京中投安能科技有限公司 基于时序的工业通讯协议白名单访问控制方法
CN110597649B (zh) * 2019-09-06 2023-06-27 创新先进技术有限公司 一种数据处理方法、***及装置
CN110650064B (zh) * 2019-09-09 2022-05-03 电子科技大学 一种通用且可配置的网络流量测量***
US11768877B2 (en) * 2019-09-20 2023-09-26 Fisher-Rosemount Systems, Inc. Smart search capabilities in a process control system
US11768878B2 (en) * 2019-09-20 2023-09-26 Fisher-Rosemount Systems, Inc. Search results display in a process control system
US20210092097A1 (en) * 2019-09-23 2021-03-25 Fisher-Rosemount Systems, Inc. Whitelisting for HART Communications in a Process Control System
US11252030B2 (en) * 2019-10-02 2022-02-15 Cisco Technology, Inc. Network scale emulator
CN112799903B (zh) * 2019-11-14 2024-07-16 北京沃东天骏信息技术有限公司 一种业务***健康状态的评估方法和装置
CN111049805B (zh) * 2019-11-21 2022-02-25 中国联合网络通信集团有限公司 一种网络环境监测方法及装置
RU2737229C1 (ru) * 2019-11-25 2020-11-26 Общество с ограниченной ответственностью "ПОСЕЙДОН" Способ защиты систем управления транспортных средств от вторжений
CN110890983B (zh) * 2019-11-26 2022-04-05 北京杰思安全科技有限公司 一种基于大数据的流处理预警的方法
CN112866047A (zh) * 2019-11-27 2021-05-28 中国石油天然气股份有限公司 无线数据的检测装置
CN110972210B (zh) * 2019-12-06 2023-02-24 深圳大学 基于农业物联网的LoRa网关断网决策方法及装置
CN111078757B (zh) * 2019-12-19 2023-09-08 武汉极意网络科技有限公司 一种自主学习的业务风控规则引擎***及风险评估方法
US11300950B2 (en) * 2020-02-03 2022-04-12 Rockwell Automation Technologies, Inc. Systems and methods for automatic configuration of intelligent electronic devices
CN111338837B (zh) * 2020-03-02 2023-08-25 支付宝(杭州)信息技术有限公司 数据处理方法、装置、设备及介质
CN111327710A (zh) * 2020-03-16 2020-06-23 合肥亚辰机械制造有限公司 波轮不锈钢内桶生产线网络***
US11811641B1 (en) * 2020-03-20 2023-11-07 Juniper Networks, Inc. Secure network topology
CN111600863B (zh) * 2020-05-08 2022-09-13 杭州安恒信息技术股份有限公司 网络入侵检测方法、装置、***和存储介质
US11831664B2 (en) 2020-06-03 2023-11-28 Netskope, Inc. Systems and methods for anomaly detection
CN111752936B (zh) * 2020-06-30 2024-04-26 中国科学院西北生态环境资源研究院 数据检测管理方法、装置、服务器及可读存储介质
US11601457B2 (en) * 2020-08-26 2023-03-07 Bank Of America Corporation Network traffic correlation engine
CN112153020A (zh) * 2020-09-10 2020-12-29 深圳供电局有限公司 一种工控流量分析方法及装置
US20220103591A1 (en) * 2020-09-30 2022-03-31 Rockwell Automation Technologies, Inc. Systems and methods for detecting anomolies in network communication
US11457012B2 (en) * 2020-11-03 2022-09-27 Okta, Inc. Device risk level based on device metadata comparison
CN112528200A (zh) * 2020-12-10 2021-03-19 中国农业科学院农业信息研究所 一种网站后台安全管控方法及***
US11765188B2 (en) * 2020-12-28 2023-09-19 Mellanox Technologies, Ltd. Real-time detection of network attacks
US11757736B2 (en) * 2021-01-08 2023-09-12 Vmware , Inc. Prescriptive analytics for network services
CN112818307B (zh) * 2021-02-25 2024-05-28 深信服科技股份有限公司 用户操作处理方法、***、设备及计算机可读存储介质
CN113189943B (zh) * 2021-03-30 2022-06-21 中国人民解放军海军工程大学 一种工控***现场测点模拟数据生成方法及***
CN113315771B (zh) * 2021-05-28 2023-06-27 苗叶 一种基于工业控制***的安全事件告警装置和方法
US11508234B1 (en) * 2021-06-29 2022-11-22 Honeywell International Inc. Reducing false alarms in security system
US11902829B2 (en) * 2021-07-15 2024-02-13 Rakuten Mobile, Inc. Traffic pattern identification and network function control method and apparatus
US11669617B2 (en) 2021-09-15 2023-06-06 Nanotronics Imaging, Inc. Method, systems and apparatus for intelligently emulating factory control systems and simulating response data
CN114221862A (zh) * 2021-12-08 2022-03-22 深圳绿米联创科技有限公司 设备的网络配置方法、装置、电子设备以及存储介质
CN114282795B (zh) * 2021-12-21 2022-09-16 北京永信至诚科技股份有限公司 网络靶场人员技能评估方法、装置、设备及可读存储介质
TWI789219B (zh) * 2022-01-21 2023-01-01 友訊科技股份有限公司 用於網路設備之監控分析輔助及引導方法、其終端設備及可讀儲存介質
CN114500232A (zh) * 2022-01-24 2022-05-13 上海华力微电子有限公司 一种工厂网络中间件监控***
CN114884708B (zh) * 2022-04-25 2024-04-16 浙江清捷智能科技有限公司 一种工业总线网络安全监测方法
EP4372589A1 (de) * 2022-11-16 2024-05-22 Siemens Aktiengesellschaft Überwachungssystem zum nachgelagerten prüfen einer systemintegrität
CN115829192B (zh) * 2023-02-23 2023-04-21 中建安装集团有限公司 一种用于实现工程信息***的数字化管理***及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011509561A (ja) * 2007-12-18 2011-03-24 ソーラーウインズ ワールドワイド エルエルシー ネットワーク機器のネットワークフロー内のホスト名にネットワークアドレスを変換する方法
WO2013123441A1 (en) * 2012-02-17 2013-08-22 Tt Government Solutions, Inc. Method and system for packet acquisition, analysis and intrusion detection in field area networks
JP2015502060A (ja) * 2011-11-07 2015-01-19 ネットフロー ロジック コーポレーション ネットワークメタデータを処理するストリーミング方法およびシステム

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7043759B2 (en) 2000-09-07 2006-05-09 Mazu Networks, Inc. Architecture to thwart denial of service attacks
US20050262237A1 (en) * 2004-04-19 2005-11-24 Netqos, Inc. Dynamic incident tracking and investigation in service monitors
CA2467603A1 (en) * 2004-05-18 2005-11-18 Ibm Canada Limited - Ibm Canada Limitee Visualization firewall rules in an auto provisioning environment
WO2006021943A1 (en) * 2004-08-09 2006-03-02 Nice Systems Ltd. Apparatus and method for multimedia content based
US8548964B1 (en) * 2007-09-28 2013-10-01 Emc Corporation Delegation of data classification using common language
US8612573B2 (en) * 2008-08-28 2013-12-17 Ca, Inc. Automatic and dynamic detection of anomalous transactions
US8938533B1 (en) * 2009-09-10 2015-01-20 AppDynamics Inc. Automatic capture of diagnostic data based on transaction behavior learning
US8554699B2 (en) * 2009-10-20 2013-10-08 Google Inc. Method and system for detecting anomalies in time series data
EP2328315A1 (en) 2009-11-30 2011-06-01 BAE Systems PLC Processing network traffic
JP5088403B2 (ja) 2010-08-02 2012-12-05 横河電機株式会社 不正通信検出システム
US20150120914A1 (en) * 2012-06-13 2015-04-30 Hitachi, Ltd. Service monitoring system and service monitoring method
WO2014155650A1 (ja) 2013-03-29 2014-10-02 株式会社日立製作所 情報制御装置、情報制御システム、及び情報制御方法
US9674042B2 (en) * 2013-11-25 2017-06-06 Amazon Technologies, Inc. Centralized resource usage visualization service for large-scale network topologies
CN103824069A (zh) * 2014-03-19 2014-05-28 北京邮电大学 一种基于多主机日志关联的入侵检测方法
US20160191549A1 (en) 2014-10-09 2016-06-30 Glimmerglass Networks, Inc. Rich metadata-based network security monitoring and analysis

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011509561A (ja) * 2007-12-18 2011-03-24 ソーラーウインズ ワールドワイド エルエルシー ネットワーク機器のネットワークフロー内のホスト名にネットワークアドレスを変換する方法
JP2015502060A (ja) * 2011-11-07 2015-01-19 ネットフロー ロジック コーポレーション ネットワークメタデータを処理するストリーミング方法およびシステム
WO2013123441A1 (en) * 2012-02-17 2013-08-22 Tt Government Solutions, Inc. Method and system for packet acquisition, analysis and intrusion detection in field area networks

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018538737A (ja) * 2015-11-25 2018-12-27 シマンテック コーポレーションSymantec Corporation 産業制御システム内の危殆化されたデバイスを識別するためのシステム及び方法
JP2018074465A (ja) * 2016-11-01 2018-05-10 株式会社日立製作所 ログ解析システムおよびその方法
WO2019004101A1 (ja) 2017-06-27 2019-01-03 三菱電機ビルテクノサービス株式会社 侵入検知装置および侵入検知方法ならびに侵入検知システム
CN114342321A (zh) * 2019-09-24 2022-04-12 株式会社日立制作所 通信控制装置以及***
JP2021052256A (ja) * 2019-09-24 2021-04-01 株式会社日立製作所 通信制御装置およびシステム
WO2021059632A1 (ja) * 2019-09-24 2021-04-01 株式会社日立製作所 通信制御装置およびシステム
CN114342321B (zh) * 2019-09-24 2024-03-22 株式会社日立制作所 通信控制装置以及***
JP7337627B2 (ja) 2019-09-24 2023-09-04 株式会社日立製作所 通信制御装置およびシステム
JP2021071850A (ja) * 2019-10-30 2021-05-06 横河電機株式会社 プラントシステムおよび方法
JP7095671B2 (ja) 2019-10-30 2022-07-05 横河電機株式会社 プラントシステムおよび方法
US11595844B2 (en) 2019-10-30 2023-02-28 Yokogawa Electric Corporation Plant system and method
JP7483004B2 (ja) 2019-11-26 2024-05-14 インターナショナル・ビジネス・マシーンズ・コーポレーション IoTにおけるプライバシを保護する異常検知のための方法
JP7234173B2 (ja) 2020-03-06 2023-03-07 Kddi株式会社 モデル学習装置、モデル学習方法及びコンピュータプログラム
JP2021141481A (ja) * 2020-03-06 2021-09-16 Kddi株式会社 モデル学習装置、モデル学習方法及びコンピュータプログラム
JP7296349B2 (ja) 2020-09-24 2023-06-22 Kddi株式会社 インフラ検証コード生成装置、方法およびプログラム
JP2022053152A (ja) * 2020-09-24 2022-04-05 Kddi株式会社 インフラ検証コード生成装置、方法およびプログラム
US20220417120A1 (en) * 2021-06-24 2022-12-29 Hewlett Packard Enterprise Development Lp Communicating node events in network configuration
US11848838B2 (en) * 2021-06-24 2023-12-19 Hewlett Packard Enterprise Development Lp Communicating node events in network configuration
KR20230101072A (ko) * 2021-12-29 2023-07-06 빅오 주식회사 산업 제어 시스템 보안을 위한 외부 원격 접속 관리 시스템 및 방법
KR102666836B1 (ko) * 2021-12-29 2024-05-20 빅오 주식회사 산업 제어 시스템 보안을 위한 외부 원격 접속 관리 시스템 및 방법

Also Published As

Publication number Publication date
GB202113105D0 (en) 2021-10-27
JP6749106B2 (ja) 2020-09-02
US10291506B2 (en) 2019-05-14
CN105939334B (zh) 2021-03-09
GB201602098D0 (en) 2016-03-23
CN105939334A (zh) 2016-09-14
GB2537457B (en) 2021-12-22
US20160261482A1 (en) 2016-09-08
GB2537457A (en) 2016-10-19
DE102016103521A1 (de) 2016-09-08

Similar Documents

Publication Publication Date Title
JP6749106B2 (ja) 産業用通信ネットワークにおける異常検出、異常検出システム、及び異常検出を行う方法
CN106168757B (zh) 工厂安全***中的可配置鲁棒性代理
US11843628B2 (en) Cyber security appliance for an operational technology network
US8949668B2 (en) Methods and systems for use in identifying abnormal behavior in a control system including independent comparisons to user policies and an event correlation model
US11038887B2 (en) Enhanced smart process control switch port lockdown
Flaus Cybersecurity of industrial systems
Settanni et al. Protecting cyber physical production systems using anomaly detection to enable self-adaptation
Januário et al. A distributed multi-agent framework for resilience enhancement in cyber-physical systems
EP2767057B1 (en) Process installation network intrusion detection and prevention
Mantere et al. Challenges of machine learning based monitoring for industrial control system networks
CN112738125A (zh) 一种网络安全协同防御***
Settanni et al. Countering targeted cyber-physical attacks using anomaly detection in self-adaptive Industry 4.0 Systems.
Colelli et al. Securing connection between IT and OT: the Fog Intrusion Detection System prospective
CA3232592A1 (en) Methods and systems for assessing and enhancing cybersecurity of a network
Negi et al. Intrusion Detection & Prevention in Programmable Logic Controllers: A Model-driven Approach
Karthika et al. Safeguarding Scada Network by Captious State Based Filter
Meshram Anomaly Detection in Industrial Networks: An Introduction
Shikhaliyev Cybersecurity analysis of industrial control systems
Krimmling et al. 18 Intrusion Detection Systems for (Wireless) Automation Systems
Krimmling et al. 18 Intrusion Detection
GB2567556A (en) Enhanced smart process control switch port lockdown

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190228

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190228

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191113

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191119

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20200219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200518

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200714

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200811

R150 Certificate of patent or registration of utility model

Ref document number: 6749106

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250