CN103443727A - 异常检测系统、异常检测方法以及用于异常检测的程序 - Google Patents
异常检测系统、异常检测方法以及用于异常检测的程序 Download PDFInfo
- Publication number
- CN103443727A CN103443727A CN2012800150563A CN201280015056A CN103443727A CN 103443727 A CN103443727 A CN 103443727A CN 2012800150563 A CN2012800150563 A CN 2012800150563A CN 201280015056 A CN201280015056 A CN 201280015056A CN 103443727 A CN103443727 A CN 103443727A
- Authority
- CN
- China
- Prior art keywords
- ics
- data
- analysis device
- integrated analysis
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 20
- 238000012544 monitoring process Methods 0.000 claims abstract description 32
- 230000005540 biological transmission Effects 0.000 claims abstract description 17
- 238000012351 Integrated analysis Methods 0.000 claims description 65
- 230000002159 abnormal effect Effects 0.000 claims description 59
- 238000000034 method Methods 0.000 claims description 26
- 230000005856 abnormality Effects 0.000 claims description 22
- 230000004044 response Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims 2
- 238000001119 image correlation spectroscopy Methods 0.000 abstract 3
- 230000009471 action Effects 0.000 description 11
- 238000007726 management method Methods 0.000 description 8
- 241001269238 Data Species 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000013499 data model Methods 0.000 description 4
- 238000013500 data storage Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000003203 everyday effect Effects 0.000 description 3
- 238000006116 polymerization reaction Methods 0.000 description 3
- 101000840483 Neosartorya fumigata (strain ATCC MYA-4609 / Af293 / CBS 101355 / FGSC A1100) Isocyanide synthase A Proteins 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000002354 daily effect Effects 0.000 description 2
- 239000011087 paperboard Substances 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- 101000840481 Neosartorya fumigata (strain ATCC MYA-4609 / Af293 / CBS 101355 / FGSC A1100) Isocyanide synthase B Proteins 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0262—Confirmation of fault detection, e.g. extra checks to confirm that a failure has indeed occurred
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B11/00—Automatic controllers
- G05B11/01—Automatic controllers electric
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0267—Fault communication, e.g. human machine interface [HMI]
- G05B23/027—Alarm generation, e.g. communication protocol; Forms of alarm
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/12—Digital output to print unit, e.g. line printer, chain printer
- G06F3/1201—Dedicated interfaces to print systems
- G06F3/1202—Dedicated interfaces to print systems specifically adapted to achieve a particular effect
- G06F3/121—Facilitating exception or error detection and recovery, e.g. fault, media or consumables depleted
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/12—Digital output to print unit, e.g. line printer, chain printer
- G06F3/1201—Dedicated interfaces to print systems
- G06F3/1223—Dedicated interfaces to print systems specifically adapted to use a particular technique
- G06F3/1229—Printer resources management or printer maintenance, e.g. device status, power levels
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/12—Digital output to print unit, e.g. line printer, chain printer
- G06F3/1201—Dedicated interfaces to print systems
- G06F3/1223—Dedicated interfaces to print systems specifically adapted to use a particular technique
- G06F3/1237—Print job management
- G06F3/1273—Print job history, e.g. logging, accounting, tracking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/12—Digital output to print unit, e.g. line printer, chain printer
- G06F3/1201—Dedicated interfaces to print systems
- G06F3/1278—Dedicated interfaces to print systems specifically adapted to adopt a particular infrastructure
- G06F3/1285—Remote printer device, e.g. being remote from client or server
- G06F3/1288—Remote printer device, e.g. being remote from client or server in client-server-printer device configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00127—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Human Computer Interaction (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Manufacturing & Machinery (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
- Alarm Systems (AREA)
- Automatic Analysis And Handling Materials Therefor (AREA)
Abstract
本发明是一种用于检测网络内的异常的异常检测系统。作为第一实施例,提供一种异常检测系统、异常检测方法及用于异常检测的程序。提供一种异常检测系统,该系统具有:连接到网络的多个工业控制系统(下文为“ICS”);集成分析器,接收每个ICS的运行状态作为监视数据以便识别被怀疑异常的ICS,从而执行异常评估;为每个ICS提供的接收单元,用于从其他ICS接收数据;发送单元,向其他ICS发送数据并且向集成分析器发送监视数据;安全策略,包括数据记录和生成规则;以及包装器,其参考安全策略以便控制数据从而向其他ICS发送数据。
Description
技术领域
本发明涉及异常检测技术,并且具体地涉及一种用于防止被识别为具有异常的系统影响其他系统的异常检测方法、系统和程序。
背景技术
现代社会是计算机化的社会。作为使用计算机的系统类型有:主要在办公室等中使用的信息系统;以及在发电厂、流水线、化工厂等中使用的工业控制系统(下文称为“ICS”)。每个个体ICS由特定于对应行业的独立系统组成。
多数ICS是主要提供基础结构的系统,因而故障或者异常可能引起严重的人身和经济损害。也存在如下系统,在该系统中多个ICS经由网络来连接并且相互交换信息。希望存在如下技术,其中在运行多个ICS的这种环境中具有异常的ICS的数据被发往其他ICS的情况下,通过该技术防止显著地影响进行接收的ICS。
在运行多个ICS时,对特定ICS是否具有异常的确定给IT资源施加负荷并且也需要处理时间,从而ICS系统本身不能执行异常确定。对于通常的信息系统,有可能不断地执行异常确定,或者如果有任何可疑系统则在系统可疑之时隔离系统并且运行其他系统。然而这对于被假设连续地运行的ICS有困难。
例如在专利文献1中,配置控制装置执行如下过程,该过程在监视的设备具有异常的情况下根据异常信息来最小化它自己的设备的功能损失。然而专利文献1中的技术在异常的情况下以两个相似系统、即主控和从属系统为前提而不适用于如下多个ICS,这些ICS是经由网络连接的不同独立系统。
现有技术文献
专利文献
专利文献1:日本待审专利公开号2000-214919
发明内容
本发明待解决的问题
本发明已经鉴于以上提到的问题而做出并且具有如下目的,该目的为提供一种用于控制在ICS之间的数据传送,检测被怀疑具有异常的ICS以及防止ICS影响任何其他ICS的异常检测系统、方法和程序。
本发明也具有如下目的,该目的为提供一种用于在执行通过通常的ICS运行来检测被怀疑具有异常的ICS的最小过程之时,确定ICS是否实际上具有异常而不影响每个ICS的异常检测系统、方法和程序。
用于解决问题的手段
为了解决以上描述的常规技术的问题,本发明提供一种具有以下特征的异常检测系统。根据本发明的一种异常检测系统包括连接到网络的多个工业控制系统(ICS)。该系统包括:集成分析器,用于接收每个ICS的运行状态作为监视数据,指定被怀疑具有异常的ICS,以及执行异常确定,其中该系统在每个ICS中包括:接收单元,用于从其他ICS接收数据;发送单元,用于向其他ICS发送数据并且向集成分析器发送监视数据;安全策略,包括数据记录和生成规则;以及包装器,用于参考安全策略进行控制和向其他ICS发送数据。
该系统包括用于集成分析器的用于向指定的ICS的包装器发送用于向伪正常模式转变的通知的装置,其中该系统在包装器中包括:数据控制器,用于控制向其他ICS发送的数据;数据记录器,用于参考安全策略记录来自发送单元的数据作为模式数据;以及数据生成器,用于参考安全策略从记录的数据生成发送数据,并且其中该系统包括:响应于接收到用于向伪正常模式转变的通知,用于数据记录器记录来自发送单元的数据作为实际数据的装置;用于数据生成器从模式数据生成发送数据的装置;以及用于数据控制器向其他ICS发送生成的发送数据的装置。
这里,该系统包括用于集成分析器在确定指定的ICS具有异常的情况下向指定的ICS发送用于停止运行的通知的装置。
另外,该系统包括用于集成分析器在确定指定的ICS无异常的情况下向指定的ICS发送用于向正常模式转变的通知的装置。
另外,该系统包括:用于接收到用于向正常模式转变的通知的ICS向其他ICS同时发送在伪正常模式中记录的实际数据的装置;以及用于接收到用于向正常模式转变的通知的ICS在完成同时发送之后删除实际数据的装置。
附图说明
图1是根据本发明的一个实施例的系统的示意图;
图2是常规典型ICS的功能框图;
图3是根据本发明的ICS的功能框图;
图4是用于描述在正常时间时的ICS运行的图;
图5是示出从ICS向其他ICS发送的数据的示例的图;
图6是示出从ICS向其他ICS发送的数据的另一示例的图;
图7是示出由ICS参考的在怀疑异常的情况下的安全策略380的示例的图;
图8是示出模式数据360的记录内容的图;
图9是示出ICS140正在执行表现为异常的操作的情形的图;
图10是每个ICS的操作流程图;
图11是集成分析器170的操作流程图;
图12是常规典型ICS的物理机器的图;
图13是示出集成分析器170检测ICS的异常的方法的图;
图14是示出被怀疑具有异常的ICS的操作的图;
图15是示出在确定ICS无异常的情况下的操作的图;
图16是ICS从集成分析器170接收伪正常模式的操作流程图;
图17是ICS从集成分析器170接收非异常通知的操作流程图;以及
图18是每个其他ICS从集成分析器170接收异常确定通知的操作流程图。
具体实施方式
下文通过一个实施例描述本发明,但是本发明不限于这一实施例。
图1是根据本发明的实施例的系统的示意图。ICS110至160是工业控制系统,每个工业控制系统利用独立的硬件和独立的OS运行。每个ICS不仅具有按照独立协议的网络而且具有按照通用设备的通用网络,该ICS经由防火墙连接到其他ICS和集成分析器170。每个ICS向集成分析器170定期地发送包括ICS的运行状态的分析数据作为监视数据。集成分析器170分析监视数据并且指定被怀疑具有异常的ICS,并且该集成分析器连接到安全策略180,该安全策略定义在确定ICS具有异常的情况下的动作。安全策略180由集成分析器170参考。
图12是常规典型ICS的物理机器的图。管理服务器1220经由防火墙1210与外部网络通信。在管理服务器1220存在故障的情况下也提供冗余管理服务器1230。ICS的内部大致地划分成通用网络区域1270和专用网络区域1280,该通用网络区域包括根据TCP/IP的LAN和以太网TM(EthernetTM),在该专用网络区域中按照专用协议连接根据独立硬件和独立OS的专用设备。
连接到管理服务器1220的HMI(人机接口)1250显示监视和分析器针对各种数据的结果。EWS(工程工作站)1240执行运行管理并且与每个PLC1250通信以用于控制各种设备。专用网络1280由称为定序器的可编程逻辑控制器(PLC1250)连接。
不同于冯·诺伊曼计算机,PLC是状态机。其运行程序利用用于继电器电路的编程语言进行编写。程序是对电子电路进行编码的结果,因此不能由通常的计算机程序员创建。
PLC1250与专用设备1260连接,并且专用设备1260与致动器、控制器和各种传感器连接。这些装置的示例包括测量仪器,诸如温度传感器、湿度传感器、压强传感器、空气调节传感器、流量计、水表、照度计、瓦特计、功率使用量计数器、打印计数器和人类传感器、阀开关、热功率控制器、压缩机、泵、马达和打印鼓。
ICS不仅被使用于基础结构系统,诸如化工厂、热电厂、水电厂、核电厂、反应堆控制系统等,而且被用于控制作为更为熟悉的示例的电梯、自动门、锅炉、主题公园、各种吸引物、打印系统等。在本发明的实施例中描述打印系统作为示例。
图2是常规典型ICS的功能框图。ICS110包括:接收器210(接收单元),用于从其他ICS接收数据;设备访问290,用于从控制器/传感器295获取数据以用于监视和分析来自接收器210的数据;协议抽象化280,用于聚合和抽象化来自各种数据访问290的数据;数据模型抽象化270,用于抽象化来自协议抽象化280的数据作为数据模型;监视和分析器230,用于监视和分析来自数据模型抽象化270的数据和来自用于从其他ICS接收数据的接收器210的数据;动作队列250,用于存储根据监视和分析器230的结果判决的动作;数据贮存库260,用于记录监视和分析器230的各种数据;报告数据240,用于记录监视和分析器230的报告;以及发送器220(发送单元),用于发送报告数据240的数据。应当注意,以上提到的结构是典型结构,并且每个ICS还具有独立的数据结构和唯一接口。
图3是根据本发明的ICS的功能框图。与图2中的结构不同的专属于本发明的结构是包装器310、集成分析器170、安全策略180和安全策略380。包装器310是用于在ICS异常地运行时最小化它对其他ICS的影响的结构。
包装器310包括:数据记录器240,用于将ICS的正常运行(正常模式)期间的数据记录到模式数据360以作为原始数据,聚合数据和统计数据;以及数据生成器330,用于在怀疑异常的状态中的运行(伪正常模式)期间从模式数据360生成正常数据。数据控制器320判决这些部件的运行。数据控制器320控制向其他ICS发送的数据。数据控制器320从发送器220接收数据,并且控制发送数据以免影响其他ICS。根据来自集成分析器170的通知执行这一控制。
发送器220参考报告数据240——该报告数据是监视和分析器230分析ICS运行状态的结果——和从其他ICS接收的数据,并且如果任何其他ICS被怀疑具有异常则通过在监视数据中包括信息来向集成分析器170发送信息。
集成分析器170分析来自多个ICS的包装器的监视数据,指定表现为具有异常的ICS,以及向ICS的数据控制器320发出用于向伪正常模式转变的指令。伪正常模式是如下模式,在该模式中,在有ICS异常地运行这样的可能性的情况下,ICS如同ICS正常一样向其他ICS发送数据。
在分析来自多个ICS的包装器的监视数据时,集成分析器参考安全策略180执行给定的动作。在每个个体ICS中包括相似的安全策略。图3中的ICS300包括安全策略380,在该安全策略中包括由包装器310执行的给定动作以及数据记录和生成规则。安全策略380由集成分析器170根据需要进行更新。
图4是用于描述在正常时间时的ICS运行的图。首先,数据控制器320接收从发送器220输出的事件数据并且向其他ICS直接发送事件数据。同时,数据记录器340存储事件数据作为模式数据360。通过用于原始数据、聚合数据、采样数据等的记录方法中的任何记录方法执行这一存储。这些记录方法专属于ICS并且在安全策略380中被定义。
数据控制器320参考安全策略380、基于事件数据的类型来选择存储方法,并且向数据记录器340通知该存储方法。从集成分析器170通知并且根据需要更新安全策略380。
下文使用图14来描述被怀疑具有异常的ICS的运行。首先,集成分析器170从每个ICS的发送单元接收监视数据。集成分析器170通知基于监视数据被怀疑具有异常的ICS的包装器310以向伪正常模式转变。
这里优选地,集成分析器170也向其他ICS的包装器发送关于被怀疑具有异常的ICS的信息(例如ICS编号)。这使得正从被怀疑具有异常的ICS接收数据的每个ICS能够识别随后接收的数据作为伪正常数据。集成分析器170然后分析该ICS是否实际地具有异常。监视数据优选地包括关于其他ICS的异常可疑信息。
图9是示出ICS140正在执行表现为异常的操作的情形的图。从ICS140向ICS110至130发送与在正常时间内的数据不同的数据。ICS110至130中的每个ICS通过在向集成分析器发送的监视数据中包括关于ICS140的异常检测信息来发送该信息。集成分析器170分析来自每个ICS的监视数据,并且通知被怀疑具有异常的ICS140以向伪正常模式转变。集成分析器170然后分析ICS140是否实际地具有异常并且参考安全策略180执行必需动作。
响应于接收到用于向伪正常模式转变的通知,ICS根据安全策略执行以下操作中的任何操作,但是根据ICS的特征而不同。
(A)发送与在正常时间内相同的仿真数据。
(B)发送原始数据。
(C)完全不发送数据。
以下使用图14来更具体描述情况(A)。被怀疑具有异常的ICS的数据记录器340记录来自发送单元的数据作为实际数据350。数据生成器330根据安全策略380从在模式数据360中记录的原始数据、聚合数据和统计数据生成仿真数据,并且向每个ICS发送仿真数据。这使得每个ICS能够正常地运行而无阻碍。
在集成分析器170向该ICS和每个其他ICS发送作为分析结果的无异常这样的通知时,该ICS返回到在正常时间内的状态。
图15是示出在确定ICS无异常的情况下(在接收到用于向正常模式转变的通知的情况下)的操作的图。数据记录器340在模式数据360中记录原始数据、聚合数据和统计数据。包装器向每个数据发送目的地通知数据替换。数据生成器330从实际数据350——该实际数据是在伪正常模式中记录的原始数据——读取数据并且同时发送读取的数据。在完成发送之后,数据生成器330放弃实际数据350。响应于接收到数据替换通知,每个ICS回滚并且用同时发送的数据替换在伪正常模式中接收的数据。
在集成分析器170确定有异常作为分析结果的情况下,集成分析器170向ICS的包装器和每个其他ICS的包装器通知异常确定并且也根据安全策略180执行给定动作。异常地运行的ICS在被带到紧急停止之后等待人工或者机器修复过程。在伪正常模式中接收数据的每个ICS回滚并且删除在伪正常模式中接收的数据。
引起ICS的异常的因素包括传感器或者计数器的故障、操控、数据篡改、物理攻击和被恶意用户或者恶意软件窃取等。多种方法(阈值、规则和情况)可用作检测它们的方法。
图13是示出集成分析器170检测ICS的异常的方法的图。在图13中示出主要使用阈值的示例。在与统计数据比较时检测到不寻常值的情况下,确定存在异常。
例如确定如下情况作为异常,在该情况中,每天打印页数不少于10,000,卡纸数不少于10,恢复时间不少于2小时,或者功率使用量不少于5kw。也有通过比较相关数据的异常检测方法。这一点的示例包括异常调色剂使用量的情况或者其中一个用户在多个位置操作的情况。
也有根据攻击征兆的异常检测。这一点的示例包括预定数目或者更多的安全事故出现,包括电源接通/关断和网络断开的设置改变数目,以及软件安装/卸载数目。集成分析器170从每个个体ICS的发送单元接收监视数据,并且在统计上和聚合地计算是否超过图13中的任何阈值以确定是否存在异常。这些阈值包括在安全策略180中。
安全策略180与每个个体ICS的安全策略380之间的不同在于提供以上提到的统计异常确定信息并且安全策略380包括专属于每个ICS的系统的策略。
图5示出从ICS向其他ICS发送的数据的示例。例如在事件ID1001中指示在设备ID MFP0001中在时间2010/10/0109:05:40恢复卡纸作为原始数据的事件。关于用于聚合数据和统计数据的日志,在日志ID2001中指示用户B在设备ID MFP0001中执行5页的单色单面打印作为打印作业。
图6示出从ICS向其他ICS发送的另一数据。图6中示出的控制命令也由监视和分析器230记录在动作队列250中。同时,分析数据被记录于数据贮存库260并且也用于报告数据240。
图7示出由每个ICS参考的在怀疑异常的情况下的安全策略380的示例。目标ICS字段示出ICS的唯一名称,目标数据字段示出哪个数据是目标数据,必需数据字段示出将发送哪个数据,数据存储字段示出是否需要数据存储和将存储哪个数据,数据生成字段示出数据生成器330的数据生成方法,并且仿真数据字段示出实际发送的数据的发送频率。
也就是说,除了专属于ICS的安全策略之外,安全策略380还包括对在伪正常模式中发送什么种类的仿真数据和为了发送仿真数据而记录什么的定义。包括这样的数据记录和生成规则的安全策略380由集成分析器170适当地更新。
例如存在如下仿真数据生成的变体。
(A)不发送数据,因为对于过程立即地出现的事件或者控制无意义。
(B)在其中在正常时间内的数据本身为必需的情况下发送原始数据。
(C)发送过滤(最小、最大、平均、最新、随机生成)的数据。
(D)发送以时间单位、每天、每周平均聚合/统计数据。
以这一方式,根据每个ICS的特征判决在正常时间内记录/存储的数据,以判决数据生成器330如何从存储的数据生成仿真数据。
图8示出模式数据360的记录内容。基于用于每个ICS的安全策略380来记录模式数据360。如图8中所示,记录/存储的目标数据根据ICS而不同。在ICS A中记录打印总页数和统计值,而在ICSB中记录原始打印数据。这是因为在图7中的ICS A的安全策略中指明打印作业作为数据存储目标并且对应数据生成为每天。注意控制数据是在数据生成时随机生成的,因此未被记录。
在另一方面,在图7中的ICS B的安全策略中指明原始数据作为数据存储目标并且对应数据生成是实时的。因此,基于根据每个ICS的特征的安全策略380来记录模式数据。
图10是每个ICS的操作流程图。在步骤1010中,接收器从其他ICS接收数据。在步骤1020中,监视和分析器分析其他ICS的数据是否显示出异常。在步骤1030中,在异常的情况下,ICS向集成分析器170发送监视数据,该监视数据不仅包括它自己的运行状态信息而且包括显示出异常的ICS的信息。
图11是集成分析器170的操作流程图。首先在步骤1110中,集成分析器170从每个ICS接收监视数据。接着在步骤1120中,集成分析器170从监视数据确定是否怀疑异常。监视数据包括被怀疑具有异常的ICS的编号和各种数据值。在异常怀疑确定中,在其中在ICS的监视数据中包括显示出异常的ICS的信息的情况下,集成分析器170确定怀疑异常。在其中在单个ICS的监视数据中未包括显示出异常的ICS的信息并且监视数据显著地超过阈值的情况下,集成分析器170同样地确定怀疑异常。
在其中在步骤1120中未怀疑异常的情况下,集成分析器170结束过程。在其中在步骤1120中怀疑异常的情况下,在步骤1130中,集成分析器170指定被怀疑具有异常的ICS的ICS编号。接着在步骤1140中,集成分析器170通知被怀疑具有异常的ICS的数据控制器以向伪正常模式转变。优选地,集成分析器170也向其他ICS发送信息。其他ICS识别来自被怀疑的ICS的数据作为在伪正常模式中发送的数据。
在步骤1150中,集成分析器170分析被怀疑具有异常的ICS是否实际地具有异常。在步骤1160中,集成分析器170检查是否异常被确定存在于ICS中。在其中异常被确定存在于ICS中的情况下,在步骤1180中,集成分析器170参考安全策略180执行给定动作。在其中异常未确定存在于ICS中的情况下,在步骤1170中,集成分析器170通知被怀疑具有异常的ICS以向正常模式转变并且结束过程。优选地,集成分析器170也向其他ICS发送非异常通知。
图16是ICS接收伪正常模式的操作流程图。首先在步骤1610中,ICS接收用于向伪正常模式转变的通知。接着在步骤1620中,数据记录器340记录实际数据350。另外,在步骤1630中,数据生成器330从模式数据360生成仿真数据。在步骤1640中,数据控制器320发送生成的仿真数据。
图17是ICS从集成分析器170接收用于向正常模式转变的通知的操作流程图。首先在步骤1710中,ICS从集成分析器170接收正常模式转变通知。接着在步骤1720中,包装器向每个数据发送目的地发送数据替换通知。在步骤1730中,数据生成器330从实际数据350读取数据,该实际数据是在伪正常模式中记录的原始数据。在步骤1740中,数据控制器320同时发送数据。最后在步骤1750中,删除实际数据350。
优选地,数据控制器320向每个发送目的地ICS通知将同时发送实际数据。接着在步骤1740中,数据控制器320向每个发送目的地ICS同时发送仿真数据。每个发送目的地ICS用同时发送的实际数据替换(回滚并且替换)在伪正常模式中接收的数据。在步骤1750中,放弃实际数据350。
从集成分析器170接收异常确定通知的异常ICS进入运行停止状态。图18是每个其他ICS从集成分析器170接收异常确定通知的操作流程。首先在步骤1810中,ICS接收异常确定通知。接着在步骤1820中,ICS回滚并且删除在异常ICS的伪正常模式中接收的数据。
如以上描述的那样,根据本发明的实施例,有可能提供一种用于高效地检测系统中的被怀疑具有异常的ICS并且使给定动作被执行以免影响其他ICS的异常检测系统、异常检测设备、异常检测方法、程序和记录介质。
根据本发明的实施例的ICS中的通用网络区域中的计算机EWS和HMI以及集成分析器可以具有与在信息系统中用作硬件结构的计算机相同的结构,也就是说,可以由包括CPU、存储器、外部存储设备、总线和通信接口的典型计算机来实施。
另外,通过向计算机设备中加载计算机可执行程序以实现每个功能单元来提供异常检测设备。这样的程序可以由用编程语言、诸如FORTRAN、COBOL、PL/I、C、C++、
、Perl、Ruby等编写的计算机可执行程序来实现并且存储于设备可读记录介质中并且被分发。
虽然已经通过附图中所示实施例和示例描述本发明,但是本发明不限于附图中所示实施例。只要实现本发明的操作优点,本领域技术人员可设想的任何修改和模式就包括在本发明的范围中。
参考标记的描述
110至160,300 ICS
100 异常检测系统
102 网络
110 管理服务器
170 集成分析器
180 安全策略
210 接收器(接收单元)
220 发送器(发送单元)
230 分析器
240 报告数据
250 动作队列
260 数据贮存库
270 数据模型抽象化
280 协议抽象化
290 设备访问
295 传感器
310 包装器
320 数据控制器
330 数据生成器
340 数据记录器
350 实际数据
350 发送的实际数据
360 模式数据
380 安全策略
1210 防火墙
1220 管理服务器
1230 冗余管理服务器
1250 PLC
1270 通用网络区域
1280 专用网络区域
Claims (9)
1.一种用于检测网络中的异常的异常检测系统,所述系统包括:
连接到所述网络的多个工业控制系统(ICS);以及
集成分析器,用于接收每个ICS的运行状态作为监视数据,指定被怀疑具有异常的ICS,以及执行异常确定,
其中所述系统在每个ICS中包括:
接收单元,用于从其他ICS接收数据;
发送单元,用于向所述其他ICS发送数据并且向所述集成分析器发送所述监视数据;
安全策略,包括数据记录和生成规则;以及
包装器,用于参考所述安全策略进行控制并向所述其他ICS发送所述数据。
2.根据权利要求1所述的系统,包括:
用于所述集成分析器向所述指定的ICS的所述包装器发送用于向伪正常模式转变的通知的装置,
其中所述系统在所述包装器中包括:
数据控制器,用于控制向所述其他ICS发送的所述数据;
数据记录器,用于参考所述安全策略记录来自所述发送单元的所述数据作为模式数据;以及
数据生成器,用于参考所述安全策略从所述记录的数据生成发送数据,并且
其中所述系统包括:响应于接收到用于向所述伪正常模式转变的通知,
用于所述数据记录器记录来自所述发送单元的所述数据作为实际数据的装置;
用于所述数据生成器从所述模式数据生成所述发送数据的装置;以及
用于所述数据控制器向所述其他ICS发送所生成的发送数据的装置。
3.根据权利要求2所述的系统,包括:
用于所述集成分析器在确定所述指定的ICS具有异常的情况下向所述指定的ICS发送用于停止运行的通知的装置。
4.根据权利要求2所述的系统,包括:
用于所述集成分析器在确定所述指定的ICS无异常的情况下向所述指定的ICS发送用于向正常模式转变的通知的装置。
5.根据权利要求4所述的系统,包括:
用于接收到用于向正常模式转变的所述通知的所述ICS向所述其他ICS同时发送在所述伪正常模式中记录的所述实际数据的装置;以及
用于接收到用于向正常模式转变的所述通知的所述ICS在完成所述同时发送之后删除所述实际数据的装置。
6.根据权利要求5所述的系统,包括:
用于所述其他ICS利用所述同时发送的实际数据替换在所述伪正常模式中从所述指定的ICS发送的所述数据的装置。
7.一种用于在经由网络连接的计算机系统中检测异常的方法,所述方法包括:
连接到所述网络的多个工业控制系统(ICS);以及
集成分析器,用于接收每个ICS的运行状态作为监视数据,指定被怀疑具有异常的ICS,以及执行异常确定,
其中所述方法在每个ICS中包括:
从其他ICS接收数据的步骤;
向所述其他ICS发送数据并且向所述集成分析器发送所述监视数据的步骤;
安全策略,包括数据记录和生成规则;以及
参考所述安全策略进行控制并向所述其他ICS发送所述数据的步骤。
8.一种用于在连接到网络的多个工业控制系统(ICS)中检测异常的计算机程序,所述程序包括:集成分析器,用于接收每个ICS的运行状态作为监视数据,指定被怀疑具有异常的ICS以及执行异常确定;以及安全策略,在每个ICS中被提供并且包括数据记录和生成规则,所述程序使得每个ICS的计算机执行:
从其他ICS接收数据的功能;
向所述其他ICS发送数据并且向所述集成分析器发送所述监视数据的功能;以及
参考所述安全策略进行控制并向所述其他ICS发送所述数据的功能。
9.一种记录介质,其计算机可读地存储根据权利要求8所述的计算机程序。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011-070278 | 2011-03-28 | ||
| JP2011070278 | 2011-03-28 | ||
| PCT/JP2012/051668 WO2012132527A1 (ja) | 2011-03-28 | 2012-01-26 | 異常検知システム、異常検知方法、およびそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103443727A true CN103443727A (zh) | 2013-12-11 |
| CN103443727B CN103443727B (zh) | 2016-04-13 |
Family
ID=46930294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280015056.3A Active CN103443727B (zh) | 2011-03-28 | 2012-01-26 | 异常检测系统以及异常检测方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US9529690B2 (zh) |
| JP (1) | JP5480447B2 (zh) |
| KR (1) | KR20130124357A (zh) |
| CN (1) | CN103443727B (zh) |
| DE (1) | DE112012000772B4 (zh) |
| GB (1) | GB2505340A (zh) |
| MX (1) | MX2013011129A (zh) |
| WO (1) | WO2012132527A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105425739A (zh) * | 2014-09-17 | 2016-03-23 | Ls产电株式会社 | 使用plc日志数据来预测异常发生的系统 |
| US9921938B2 (en) | 2011-03-28 | 2018-03-20 | International Business Machines Corporation | Anomaly detection system, anomaly detection method, and program for the same |
| CN109074031A (zh) * | 2016-04-08 | 2018-12-21 | 伊顿智能动力有限公司 | 总线节点和总线节点的操作方法 |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7933890B2 (en) * | 2006-03-31 | 2011-04-26 | Google Inc. | Propagating useful information among related web pages, such as web pages of a website |
| US8458172B2 (en) * | 2009-12-24 | 2013-06-04 | At&T Intellectual Property I, L.P. | Method and apparatus for automated end to end content tracking in peer to peer environments |
| SG194695A1 (en) * | 2011-05-13 | 2013-12-30 | Ibm | Fault sensing system for sensing fault in plurality of control systems |
| US9292690B2 (en) * | 2011-12-12 | 2016-03-22 | International Business Machines Corporation | Anomaly, association and clustering detection |
| US9141623B2 (en) | 2012-08-03 | 2015-09-22 | International Business Machines Corporation | System for on-line archiving of content in an object store |
| US9165006B2 (en) | 2012-10-25 | 2015-10-20 | Blackberry Limited | Method and system for managing data storage and access on a client device |
| US8943110B2 (en) * | 2012-10-25 | 2015-01-27 | Blackberry Limited | Method and system for managing data storage and access on a client device |
| US8930328B2 (en) * | 2012-11-13 | 2015-01-06 | Hitachi, Ltd. | Storage system, storage system control method, and storage control device |
| US20150295944A1 (en) * | 2013-07-01 | 2015-10-15 | Hitachi, Ltd. | Control system, control method, and controller |
| WO2016055939A1 (en) * | 2014-10-06 | 2016-04-14 | Brightsource Ics2 Ltd. | Systems and methods for enhancing control system security by detecting anomalies in descriptive characteristics of data |
| JP6759572B2 (ja) | 2015-12-15 | 2020-09-23 | 横河電機株式会社 | 統合生産システム |
| JP6693114B2 (ja) * | 2015-12-15 | 2020-05-13 | 横河電機株式会社 | 制御装置及び統合生産システム |
| US10152596B2 (en) * | 2016-01-19 | 2018-12-11 | International Business Machines Corporation | Detecting anomalous events through runtime verification of software execution using a behavioral model |
| US10326790B2 (en) * | 2016-02-12 | 2019-06-18 | Shape Security, Inc. | Reverse proxy computer: deploying countermeasures in response to detecting an autonomous browser executing on a client computer |
| US10432650B2 (en) * | 2016-03-31 | 2019-10-01 | Stuart Staniford | System and method to protect a webserver against application exploits and attacks |
| US11005863B2 (en) * | 2016-06-10 | 2021-05-11 | General Electric Company | Threat detection and localization for monitoring nodes of an industrial asset control system |
| WO2018136088A1 (en) * | 2017-01-20 | 2018-07-26 | Hitachi, Ltd. | OTxIT NETWORK INSPECTION SYSTEM USING ANOMALY DETECTION BASED ON CLUSTER ANALYSIS |
| JP6862615B2 (ja) * | 2018-11-16 | 2021-04-21 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム |
| EP3984172B1 (en) * | 2019-06-13 | 2024-03-06 | Tata Consultancy Services Limited | Method and system for industrial anomaly detection |
| KR102191169B1 (ko) * | 2019-11-26 | 2020-12-16 | 주식회사 오비고 | 이종 dcu의 출력 값을 사용하는 ads를 통해 자율 주행에서 발생할 수 있는 dcu들의 오판 상황을 방지하는 방법 및 이를 이용한 장치 |
| CN111935189B (zh) * | 2020-10-12 | 2021-02-05 | 中国航空油料集团有限公司 | 工控终端策略控制系统及工控终端策略控制方法 |
| US20240078440A1 (en) | 2022-08-24 | 2024-03-07 | AO Kaspersky Lab | Method for identifying patterns and anomalies in the flow of events from a cyber-physical system |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10313537A (ja) * | 1997-05-07 | 1998-11-24 | Toshiba Corp | 水力発電所の監視制御装置 |
| JPH11175103A (ja) * | 1997-12-11 | 1999-07-02 | Shimadzu Corp | 制御演算装置 |
| CN1573709A (zh) * | 2003-05-22 | 2005-02-02 | 微软公司 | 用于检测异常的自学习方法和系统 |
| CN101170455A (zh) * | 2007-11-20 | 2008-04-30 | 中兴通讯股份有限公司 | 异常信息自动上报方法和装置 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7127328B2 (en) * | 1994-12-30 | 2006-10-24 | Power Measurement Ltd. | System and method for federated security in an energy management system |
| JPH1196031A (ja) | 1997-09-24 | 1999-04-09 | Toshiba Tec Corp | 情報処理システム |
| JP2000214919A (ja) | 1999-01-22 | 2000-08-04 | Toshiba Corp | 分散型プラント監視システム及びそのシステムの処理プログラムを記録する記録媒体 |
| US6654648B2 (en) * | 2000-04-03 | 2003-11-25 | Toyota Jidosha Kabushiki Kaisha | Technique of monitoring abnormality in plurality of CPUs or controllers |
| JP4052983B2 (ja) | 2002-06-28 | 2008-02-27 | 沖電気工業株式会社 | 警戒システム及び広域ネットワーク防護システム |
| JP2004054706A (ja) | 2002-07-22 | 2004-02-19 | Sofutekku:Kk | セキュリティリスク管理システム、そのプログラムおよび記録媒体 |
| JP2004246438A (ja) | 2003-02-12 | 2004-09-02 | Mitsubishi Electric Corp | 時系列データの収集システム |
| JP2005227982A (ja) | 2004-02-12 | 2005-08-25 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティ監視機能を備えたネットワークシステム、ログデータ解析端末及び情報端末 |
| EP1811387A4 (en) | 2004-08-25 | 2016-04-13 | Nec Corp | INFORMATION COMMUNICATION DEVICE AND PROGRAMMING ENVIRONMENTAL CONTROL METHOD |
| JP4482816B2 (ja) * | 2005-09-27 | 2010-06-16 | 日本電気株式会社 | ポリシ処理装置、方法、及び、プログラム |
| JP3974150B2 (ja) | 2006-01-19 | 2007-09-12 | 富士通株式会社 | 資産情報の一元管理を行うコンピュータシステム |
| EP1883033B1 (en) * | 2006-07-21 | 2017-11-01 | BlackBerry Limited | Method and system for providing a honeypot mode for an electronic device |
| US7953016B2 (en) * | 2008-03-03 | 2011-05-31 | Nortel Networks Limited | Method and system for telecommunication apparatus fast fault notification |
| JP5348489B2 (ja) * | 2009-07-31 | 2013-11-20 | オムロン株式会社 | コントローラ |
| US8886746B2 (en) * | 2009-09-09 | 2014-11-11 | Rockwell Automation Technologies, Inc. | Diagnostic module for distributed industrial network including industrial control devices |
| JP5480447B2 (ja) | 2011-03-28 | 2014-04-23 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 異常検知システム、異常検知方法、およびそのプログラム |
-
2012
- 2012-01-26 JP JP2013507220A patent/JP5480447B2/ja active Active
- 2012-01-26 CN CN201280015056.3A patent/CN103443727B/zh active Active
- 2012-01-26 WO PCT/JP2012/051668 patent/WO2012132527A1/ja active Application Filing
- 2012-01-26 DE DE112012000772.7T patent/DE112012000772B4/de active Active
- 2012-01-26 GB GB1318332.2A patent/GB2505340A/en not_active Withdrawn
- 2012-01-26 MX MX2013011129A patent/MX2013011129A/es active IP Right Grant
- 2012-01-26 US US13/988,485 patent/US9529690B2/en not_active Expired - Fee Related
- 2012-01-26 KR KR1020137019791A patent/KR20130124357A/ko not_active Application Discontinuation
-
2014
- 2014-09-11 US US14/483,221 patent/US9921938B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10313537A (ja) * | 1997-05-07 | 1998-11-24 | Toshiba Corp | 水力発電所の監視制御装置 |
| JPH11175103A (ja) * | 1997-12-11 | 1999-07-02 | Shimadzu Corp | 制御演算装置 |
| CN1573709A (zh) * | 2003-05-22 | 2005-02-02 | 微软公司 | 用于检测异常的自学习方法和系统 |
| CN101170455A (zh) * | 2007-11-20 | 2008-04-30 | 中兴通讯股份有限公司 | 异常信息自动上报方法和装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9921938B2 (en) | 2011-03-28 | 2018-03-20 | International Business Machines Corporation | Anomaly detection system, anomaly detection method, and program for the same |
| CN105425739A (zh) * | 2014-09-17 | 2016-03-23 | Ls产电株式会社 | 使用plc日志数据来预测异常发生的系统 |
| CN105425739B (zh) * | 2014-09-17 | 2018-12-21 | Ls产电株式会社 | 使用plc日志数据来预测异常发生的系统 |
| US10254753B2 (en) | 2014-09-17 | 2019-04-09 | Lsis Co., Ltd. | System for predicting abnormality occurrence using PLC log data |
| CN109074031A (zh) * | 2016-04-08 | 2018-12-21 | 伊顿智能动力有限公司 | 总线节点和总线节点的操作方法 |
| CN109074031B (zh) * | 2016-04-08 | 2022-07-22 | 伊顿智能动力有限公司 | 总线节点和总线节点的操作方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9921938B2 (en) | 2018-03-20 |
| MX2013011129A (es) | 2013-10-30 |
| KR20130124357A (ko) | 2013-11-13 |
| US20130245793A1 (en) | 2013-09-19 |
| US9529690B2 (en) | 2016-12-27 |
| US20150033076A1 (en) | 2015-01-29 |
| JPWO2012132527A1 (ja) | 2014-07-24 |
| DE112012000772B4 (de) | 2014-11-20 |
| JP5480447B2 (ja) | 2014-04-23 |
| GB201318332D0 (en) | 2013-11-27 |
| CN103443727B (zh) | 2016-04-13 |
| WO2012132527A1 (ja) | 2012-10-04 |
| GB2505340A (en) | 2014-02-26 |
| DE112012000772T5 (de) | 2013-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103443727B (zh) | 异常检测系统以及异常检测方法 | |
| US11853049B2 (en) | Integrity monitoring in automation systems | |
| US7720639B2 (en) | Automatic remote monitoring and diagnostics system and communication method for communicating between a programmable logic controller and a central unit | |
| CN105262210A (zh) | 一种变电站网络安全性分析预警系统和方法 | |
| CN110247800A (zh) | 一种智能变电站交换机在线监测系统 | |
| CN106462137A (zh) | 用于保障工业控制系统的系统和方法 | |
| CN2894106Y (zh) | 基于事件注入的计算机网络可信性评测装置 | |
| CN117615070B (zh) | 一种人工智能技术的AIoT数智化云打印系统 | |
| CN117833464A (zh) | 一种用电信息采集终端在线运行状态安全监测方法 | |
| CN113330381A (zh) | 控制系统 | |
| US11595409B2 (en) | Method for monitoring an industrial network | |
| CN115987621A (zh) | 一种基于区块链的岸电网络靶场系统 | |
| Li et al. | Graded security forensics readiness of SCADA systems | |
| CN101741654B (zh) | 操作系统的监控装置与方法 | |
| Guilian et al. | Research and Application of Remote Intelligent Operation and Maintenance System for Digital Instrument and Control Equipment in Nuclear Power Plant | |
| WO2023206521A1 (en) | Method, apparatus and device for hardening assets in ot system and storage medium and computer program product | |
| CN111524053B (zh) | 空气质量预报系统的信息采集方法、装置、设备及介质 | |
| CN107196797A (zh) | 通过短信关停异常监控项报警的方法、装置和系统 | |
| US20200280569A1 (en) | Method for Detecting Attacks on a Network Component of an Industrial Network | |
| Black et al. | Operational Technology Behavioral Analytics (OTBA)(Final Technical Report DE-FE0031640) | |
| de Moura et al. | Non-IP Industrial Networks: An Agnostic Anomaly Detection System | |
| CN118188347A (zh) | 一种基于大数据的风电场运维优化方法及系统 | |
| CN117527001A (zh) | 配电通信网络侦测方法、装置、设备、存储介质和产品 | |
| Li et al. | Method for Locating Communication Device Faults | |
| CN118175126A (zh) | 一种变电站交换机的数据处理方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |