CN105939334B - 工业通信网络中的异常检测 - Google Patents

工业通信网络中的异常检测 Download PDF

Info

Publication number
CN105939334B
CN105939334B CN201610124522.1A CN201610124522A CN105939334B CN 105939334 B CN105939334 B CN 105939334B CN 201610124522 A CN201610124522 A CN 201610124522A CN 105939334 B CN105939334 B CN 105939334B
Authority
CN
China
Prior art keywords
metadata
network
communication network
anomaly detection
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610124522.1A
Other languages
English (en)
Other versions
CN105939334A (zh
Inventor
R·A·米克瑟
G·K·劳
A·E·卡特钦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fisher Rosemount Systems Inc
Original Assignee
Fisher Rosemount Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fisher Rosemount Systems Inc filed Critical Fisher Rosemount Systems Inc
Publication of CN105939334A publication Critical patent/CN105939334A/zh
Application granted granted Critical
Publication of CN105939334B publication Critical patent/CN105939334B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B1/00Comparing elements, i.e. elements for effecting comparison directly or indirectly between a desired value and existing or anticipated values
    • G05B1/01Comparing elements, i.e. elements for effecting comparison directly or indirectly between a desired value and existing or anticipated values electric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Small-Scale Networks (AREA)
  • Selective Calling Equipment (AREA)
  • Computer And Data Communications (AREA)

Abstract

安装在工厂通信网络中的异常检测系统检测该通信网络上的业务模式中的非预期变化或异常,以检测被感染或者潜在被感染的节点。该异常检测系统包括布置在网络的各个节点处的数据采集模块,其用于查看进入和离开本节点的消息业务,并生成关于该消息业务的元数据。各个节点处的通信模块向异常分析引擎发送该业务元数据,异常分析引擎使用规则引擎对该元数据进行处理,规则引擎利用逻辑规则集和业务模式基线数据对该元数据进行分析,以判断一个或多个网络节点处的当前业务模式是否异常。如果异常,分析引擎就向用户产生报警或消息以便向用户通知潜在被感染的节点,可以自动地将该节点与网络断开,或者采取某种其它动作来使被感染节点的影响减到最小。

Description

工业通信网络中的异常检测
技术领域
概括地说,本申请涉及过程或工业工厂通信系统,具体地说,本申请涉及基于工厂通信网络中的消息业务异常检测来检测控制和维护通信网络(如,在过程和工业控制系统中使用的那些)的入侵。
背景技术
诸如分布式或可扩展的过程控制系统(如,发电、化工、石油或者其它制造过程中使用的那些过程控制系统)之类的过程或工业控制和维护系统通常包括彼此之间通信耦合的一个或多个控制器,这些控制器经由过程控制网络来通信耦合到至少一个主机或操作者工作站,经由模拟、数字或组合的模拟/数字总线来通信耦合到一个或多个现场设备。现场设备(其可以例如是阀门、阀门定位器、开关和发送器(例如,温度、压力和流速传感器))在过程或工厂中执行一些功能,例如,打开或关闭阀门,打开和关闭设备,以及测量过程参数。控制器接收用于指示现场设备所执行的过程或工厂测量值和/或关于该现场设备的其它信息的信号,使用该信息来实施一个或多个控制例程,随后生成通过该工厂网络的总线或通信信道来向现场设备发送的控制信号,以控制该过程或工厂的操作。来自于现场设备和控制器的信息通常经由通信网络而可用于由操作者工作站执行的一个或多个应用,以使操作者或维护人员关于该过程或工厂执行任何期望的功能,例如,查看工厂的当前状态、改变工厂的操作、对设备进行校准、检测故障设备等等。
在操作期间,过程控制器(其通常位于过程工厂环境之中)根据某种配置方案进行配置,以便周期地或定期地接收用于指示现场设备所执行的或者与其相关联的过程测量值或过程变量和/或关于该现场设备的其它信息的信号,并使用该信息来执行控制器应用。进行过程控制判断的控制器应用实施(例如,不同的控制模块),基于所接收的信息来生成控制信号,并与在现场设备(例如,
Figure BDA0000934743340000021
Figure BDA0000934743340000022
Fieldbus现场设备)中的控制模块或者控制块进行协调。过程控制器中的控制模块同样根据配置方案,通过通信线路或者其它信号路径向现场设备发送这些控制信号,从而控制该过程的操作。
此外,来自于现场设备和过程控制器的信息通常经由一个或多个安全的过程控制或维护网络而可用于该工厂之内或之外的一个或多个其它硬件设备,例如,操作工作站、维护工作站、服务器、个人计算机、手持设备、数据或事件历史库(historian)、报表生成器、中央数据库等等。通过过程控制或维护通信网络传输的信息使操作者或维护人员能够关于该过程执行期望的功能,和/或查看该工厂的操作或该工厂中的设备的操作。例如,该控制信息能够使操作者改变过程控制例程的设置,修改过程控制器或者智能现场设备中的控制模块的操作,查看过程的当前状态或者该过程工厂中的特定设备的状态,查看现场设备和过程控制器所产生的警报和/或报警,模拟该过程的操作以便训练人员或者测试过程控制软件,诊断该过程工厂中的问题或硬件故障等等。
现场设备和控制器通常通过一个或多个安全的过程控制或维护通信网络来与其它硬件设备进行通信,其中这些过程控制或维护通信网络可以例如实施成具备以太网配置的LAN。过程控制或维护通信网络通过各种网络设备,向过程控制系统中的各个实体发送过程参数、网络信息和其它过程控制数据。典型网络设备包括网络接口卡、网络交换机、路由器、服务器、防火墙、控制器、操作者工作站和数据库。通常,这些网络设备通过控制数据的路由、帧速率、超时和其它网络参数,但不改变过程数据自身,来促进数据通过网络流动。随着过程控制网络规模和复杂度的增加,网络设备的数量和类型也相应地增加。作为系统和网络增长的结果,这些复杂系统中的安全以及其管理变得越来越困难。然而作为开始,这些网络通常与外部网络相隔离,并通过一个或多个防火墙来防止外部攻击。
通常,在典型的工业控制系统中,为了限制该网络被入侵,在该控制系统中的执行与本工厂相关联的各种功能的外部工厂网络和执行控制和数据获取功能的嵌入的控制设备(例如,控制器、PLC、RTU)之间,策略性地布置工厂控制系统工作站/服务器。控制工作站/服务器的主要安全目标是防止恶意软件进入本控制和维护系统和负面地影响嵌入的设备,以及防止恶意软件改变本工厂过程控制数据库中存储的配置和历史数据。另外,这些工作站/服务器防止未授权地访问本控制系统,以防止未授权地改变本工厂配置、未授权地访问工厂数据等等。虽然可以使用诸如防火墙、“防病毒”软件和“白名单”之类的多种安全特征来解决这些安全目标,但这些安全特征通常是不足够的。例如,防病毒不能预防“零日”病毒,而白名单只阻止未授权的应用进行运行。此外,这些特征中的一些太具有侵入性,而无法在过程控制系统中实际操作,这是由于这些安全特征潜在地阻碍工厂操作者的活动。
在一般意义上,通常具有权利或权限来访问过程控制网络中的存储器设备、网络端口或直接数据链路的应用或服务的操作,会经由与外部网络的授权通信连接,将诸如位于零日攻击的核心之类的恶意软件带入到安全的控制系统网络。替代地,还可能通过将被感染便携式设备和/或介质连接到控制系统设备的本地人员,将恶意软件带入到安全的控制系统网络中。其后,恶意软件能够传播到其它设备(例如,经由通信),和/或使用变得被该恶意软件感染的应用或服务的安全权限来在过程控制网络中的设备里进行执行。此外,该恶意软件可能在本地保存本身,以允许在网络设备重新启动后,再次重新执行。在一些情况下,恶意软件可能利用正在执行的应用或服务的帐户的权限,升级一个主机(例如,被感染应用或服务)的权限,这样做,恶意软件能够执行需要更高权限的过程控制设备或网络设备中的动作或操作,并因此而通常更不利于本控制系统操作。当这些攻击破坏该工厂控制系统的正在进行的操作时,这些攻击可能对于过程工厂具有严重和潜在的破坏性或者甚至致命的影响。
有大量的研究活动来规定和构建用于防止或限制对于过程或工业控制和维护网络的攻击的硬件和软件配置。但是,即使严密防御的工业控制系统(ICS)网络或监控和数据采集(SCADA)网络仍然受到安全威胁,比如,安全防御的错误配置、具有合法访问权限的用户的恶意行为、以及公开未知但代表外部攻击者的恶意软件行为。此外,一旦网络受到感染,则只有有限的能力来自动地检测在过程控制或工业控制设备中或者在工厂通信节点中存在病毒或恶意软件。通常来说,一旦攻击在工厂环境下获得成功,则其通常需要操作者、维护人员等等检测工厂通信节点或设备是否被感染。虽然可以在通信网络的每一个节点都运行后台病毒扫描软件,但该软件占用大量的存储空间和处理资源,需要进行定期地更新(其需要显著的网络维护资源和时间),但仍然不能检测到零日病毒。
在很多情况下,工厂设备或网络节点处的病毒或未授权软件可能造成该设备或网络的性能下降,可能中断正常的工厂操作以至于在该网络中的该节点或其它节点处产生错误或警报,或者可能造成其它严重和明显的问题。在这些情况中的一些,操作者或其它工厂人员可能可以相对容易地检测到病毒的存在,但仍然很难检测到病毒的位置。此外,在很多其它情况下,病毒或攻击可能不被检测地操作一段很长的时间,同时其可以使网络操作稍微地性能下降,这种下降或者关于工厂操作的其它影响可能是可以忽略的,所以非常难进行检测。结果,在很多情况下,病毒可能会在很长的一段时间不被发现,在此时间期间,这些病毒可能进行操作以降低工厂效率,允许窃取工厂数据,进行更严重的入侵,将网络设备暴露在严重攻击或伤害之下等等。
发明内容
诸如工业或过程工厂控制或维护系统之类的控制系统实施通信网络威胁检测系统,该系统使用在网络上发送的通信的异常检测来检测潜在被感染的网络节点。通常来说,该异常检测系统检测通信网络上的业务模式的非预期变化或异常,来检测被感染或潜在被感染的节点。虽然很难在标准的、开放通信网络上执行这种异常检测(这是由于这些网络上的节点的配置不断变化),但在过程工厂或工业控制网络中,可以更有效地使用异常检测,这是由于这些网络节点的相对静态配置,以及在工厂或网络中使用的过程或工业控制或维护系统配置的先验性。
本文所描述的异常检测系统通常将数据采集处理工作负载分配到通信系统的整个网络节点上,从而减少各个节点处的异常检测工作负载。此外,本文所描述的异常检测系统基于网络配置的知识,并通过在网络中报告关于网络业务的元数据来进行分析(而不需要单独的监测网络),来减少异常分析工作负载。此外,本文所描述的异常检测系统还通过接收通知和说明授权网络配置改变或自动化重新配置活动(例如,由于高可用性机制),来减少异常检测分析的假阳性率。另外,本文所描述的异常检测系统可以使用相同的数据来执行多种类型的异常分析(例如,安全或维护),通过预先规定的规则和机器学习的任意组合,来实施在工业控制系统中的任何网络节点上执行的分层分析/报告。
附图说明
图1是过程控制网络的示例性通信流程图,该过程控制网络之中安装有异常检测系统。
图2是具有多个互连的通信网络的过程或工业工厂的示例性框图,其中在这些过程或工业工厂中,可以实施一个或多个网络异常检测系统(如,图1中的系统)。
图3是具有分布式过程控制系统和过程自动化网络形式的图2中的工厂网络之一的示例性图,其具有包括操作者和维护工作站、服务器和控制器节点的各种节点,其中图1中的异常检测系统用于检测潜在被感染或受损害节点。
图4描述了用于示出在本文所描述的示例性异常检测系统的各个部件之间的通信流以及在各个部件处执行的处理的流程图。
具体实施方式
通常来说,本文所描述的网络安全系统通过对工业系统或过程控制网络的节点处或跨节点的网络业务模式(例如,业务或消息内容、频率、时间、长度等等)中的异常进行检测来实施威胁检测,由于工业系统或过程控制网络配置的先验性能实施测量的业务模式与期望的或已知的模式进行比较,因此其能有效地执行。也就是说,过程控制、工业系统或工厂自动化网络中的网络通信的配置,通常在该通信网络的实施或操作之前就是相当清楚地知道的,因此网络业务模式在这些网络的使用或操作期间并不会趋向于显著改变。相反,网络通信业务模式在该通信网络的操作期间趋向于是相对静态的(在统计意义上),因此网络模式的改变(特别是在统计意义上)可以指示对于该网络的侵入,其不是原始或期望的配置的一部分。
基于网络的异常检测系统的典型问题在于:分析引擎(其是对于消息或业务进行解析以检测业务模式的变化的引擎)必须可以利用在各个网络节点处接收和发送的消息。这种需求意味着必须在每一个网络节点处执行单独的分析引擎,或者必须通过网络将每一个节点处的消息业务发送到中央异常检测引擎进行分析。在第一情况下,各个节点处的分析引擎被限于仅对单一节点处的消息业务进行解析或分析,这使得与分析横跨整个网络的消息业务的引擎相比,该分析引擎不太有效。此外,在该情况下,该分析引擎可能会花费节点的大量处理能力,这种情形可能限制或减慢该节点执行其它任务。在第二情况下,由于各个节点必须向中央分析引擎发送所有消息,因此网络可能变得陷于流量拥塞的泥沼之中,这种情形需要网络上的各个节点所接收的每一个消息都冗余地(通过网络总线或通信信道)发送到中央分析引擎节点。
由于为了实施有效的异常检测,所有网络业务都必须是分析引擎可见的(这在分段的网络中是一个严重的问题),因此集中采集并不能很好地适应数百的网络端点。另外,过程工厂网络中的几乎实时端点趋向于具有有限的计算资源用于安全任务,这种情形限制了这些端点设备运行或执行强大的业务异常检测系统的能力。此外,网络链路可能具有变化的容量和性能特性,中间流(mid-stream)控制系统配置改变可能会产生大量的假阳性(false positive)。
图1描述了用于减少或消除这些问题的一种示例性网络异常检测系统10。通常来说,异常检测系统10是一种分布式系统,因为其包括布置在各个网络节点处用于向更加中央的分析引擎发送关于消息业务的信息的数据采集模块。虽然这些数据采集模块用于采集和分析进入和离开相应网络节点的消息业务,但这些数据采集模块并不向分析引擎发送这些消息本身,而是生成用于描述该消息业务的元数据,并将元数据发送到分析引擎。中央分析引擎接收在各个网络节点处采集的业务元数据,进行操作以分析该元数据,从而检测可以指示该网络被入侵的消息业务异常。
具体而言,如图1中所示,异常检测系统10在网络20(其可以是过程工厂网络、过程控制和/或维护网络、工业控制系统网络、自动化网络或者任何其它类型的网络)中运行,网络20具有经由通信链路24来连接在一起的各个分布式网络节点22A-22N。通信链路24可以是有线或无线通信链路(或者其组合),并且可以使用任何期望类型的通信协议或协议集来执行通信(其通常是基于分组的通信)。异常检测系统10包括布置在网络20的不同节点处的各种模块或组件,其包括消息采集模块30和32以及布置在至少一个节点(在图1中示出成节点22K)中的异常分析引擎34。如图1中所具体示出的,每一个网络节点22可以具有一个或多个消息分析采集模块30和32,它们包括布置在其中的进入消息采集模块30和外出消息采集模块32。通常来说,各个网络节点22处的消息采集模块30和32分别接收(查看)和分析每一个进入或外出消息,采集或生成关于这些消息中的一些或全部的元数据。该元数据可以包括,但不限于:消息的时间戳、消息长度、该消息中的一个或多个数字字段的长度、地址或地址器(如,发送器和/或接收器)、奇偶信息、消息类型(例如,格式)等等。当然,模块30和32可以生成或采集关于在网络节点处接收的或者从网络节点发送的每一个消息的任何其它元数据,采集模块30和32可以将该元数据存储在本网络节点处的临时存储器或其它存储器31中。
定期地(按照非周期时间或者以实时的方式),任何网络节点22的消息采集模块30和32可以经由本节点的通信前端33,向异常检测分析引擎34传输在网络链路24上针对本节点所采集的元数据。通常来说,如图1中所示,异常检测分析引擎34包括异常检测控制器40、专家或逻辑引擎42、规则数据库或存储器44、消息业务模式存储数据库46、报警或通知引擎(其还称为警报发生器48)和元数据存储单元50。具体而言,检测控制器40例如经由网络链路24,接收从网络节点22的各个消息采集模块30和32提供的元数据。检测控制器40将该元数据(连同与该元数据有关的网络节点的指示)存储在元数据存储单元50中。虽然优选的是使用网络链路24(例如,网络20的主网络总线或通信信道)来实施将所采集的元数据从网络节点22传输到检测引擎34,但异常检测引擎34可以经由单独的通信链路(例如,其专用于向检测引擎34提供与所采集的元数据有关的通信)来连接到网络节点22。
因此,不同于将消息本身发送给分析引擎来进行分析的现有技术系统,异常检测系统10使用网络链路24来从节点22向检测引擎34传输消息元数据,而不是传输整个消息。由于与消息本身相比,该元数据通常在尺寸上相对较小,因此异常检测系统10通常只需要很低的网络带宽,或者最少地使用网络链路带宽。结果,当在网络链路24上发送的节点22之间的消息业务占用了通信链路24的全部带宽时(如图1中的线60所指示的),在通信或网络链路24上执行的该元数据通信通常只需要该链路24的较低带宽使用(如图1中的线62所指示的)。
无论如何,检测引擎34的控制器40定期地、连续地、按照各种预先配置的时间、响应于用户请求或命令、响应于检测到的事件等等,发起专家或逻辑引擎42对所采集的元数据进行分析。在这种分析循环期间,逻辑引擎42可以通过实施规则数据库44中存储的逻辑规则集,来分析从节点22所采集的元数据(如元数据存储器50中所存储的),检测进入或离开各个网络节点22的消息业务中的异常。具体而言,分析或逻辑引擎42可以基于所存储的元数据和业务模式存储数据库46中存储的一个或多个业务模式参数,实施规则数据库44中存储的逻辑规则里的一种或多种(或全部)。
在通常意义上,在业务模式数据库46中存储的业务模式参数反映了进入和离开网络20的节点22的消息业务的预期或正常行为。具体而言,通过在一段特定的时间期间(例如,当网络20启动并正确运行时(在其建立之后),当相对地确定网络没有受到损害时),对来自网络20的节点22的消息或业务元数据进行采集和分析,来生成业务模式数据库46中存储的业务模式数据。在该时间期间,所生成的或采集的元数据在统计意义上反映该网络的“正常”或“预期”操作。可以对在该时间期间采集的消息元数据进行采集或根据在该时间期间采集的消息元数据来生成各种业务模式参数或统计量,并将该数据作为反映该网络的预期或正常操作的基础或参考数据集,存储在业务模式数据库46中。在数据库46中采集或生成和存储的业务模式参数可以包括:例如,在任何特定节点或者节点组以任何粒度来对业务的统计测量。也就是说,所存储的业务模式参数可以指示关于任何类型的数据进行分组或执行的数据统计测量值(例如,均值、标准偏差、平均值、中值等等)、时间帧、节点或组节点、进入或外出、发送器接收、长度等等,它们可以存储在任何期望的层级中(例如,反映网络的配置层次的层级)。业务模式参数还可以包括:针对进入或离开节点或节点组的任何类型或任何组的通信的范围或限制,当超过该范围或限制时,将反映或触发异常检测或潜在的异常检测。这些范围或限制可以是绝对限制(例如,具有固定数的形式),也可以是基于或相对于其它统计测量值的相对限制(例如,三倍的平均值、落入在第一或第二标准偏差之内、高于或低于中值或均值的预定数量等等)。
应当理解的是,生成规则数据库44中的规则,并使用其来规定应当对当前或采集的元数据进行分析以检测网络中的异常的方式。具体而言,规则数据库44中的规则指定应当对采集的元数据进行分析的方式,例如,将所采集的元数据或者关于所采集的元数据的统计量与数据库46中存储的业务模式数据进行比较,和/或使用如业务模式数据库46中所存储的业务模式极限或范围。在通常意义上,规则引擎42实施规则数据库44中存储的规则,以将所采集的元数据(例如,关于所采集的元数据的统计量)与业务模式数据库46中所存储的作为基线数据的业务模式参数进行比较。
同样,如图1中所指示的,检测引擎34包括警报发生器48,后者基于规则或逻辑引擎42所执行的分析的结果,来生成一个或多个告警、警报或消息。警报发生器48所生成的这些告警、警报或消息可以经由网络链路24(如图1中所示)或经由任何其它通信链路(针对该目的而提供或者用于该目的),发送给任何期望的人员(例如,操作者、安全人员、IT人员等等)。举例而言,可以将告警、警报或消息发送到指定人员的电子邮箱账号、发送到还示出了关于该工厂的其它数据的操作者或安全界面、可以发送成电话呼叫或短消息(其经由专用或公共网络,传送到指定人员或人群的任何期望设备(如,移动设备等等))。同样,可以将这些告警、警报或消息设置成任何指定人员(其负责响应和调查网络20的被入侵)的手持设备(例如,电话、手表、可穿戴设备、膝上型计算机、平板计算机等等)上的离线警报或通知。在一些情况下,告警或警报发生器48可以进行操作以限制对于被感染或潜在被感染节点的访问,可以关闭节点,或者在非常紧急情形下,可以关闭或隔离通信网络20本身,以限制该入侵对于该工厂或者该工厂中的子系统所造成的损害。当然,警报发生器48可以包括用于与网络20中的其它设备进行通信以影响这些自动操作的软件或逻辑。在一些情况下,警报发生器48可以在工厂网络20中采取这些自动动作之前,要求来自用户的授权,但在其它情况下,在向用户通知入侵或者潜在的入侵之前(或者与之同时),在网络20中执行这些动作。此外,当采取自动动作时,警报发生器48可以与被感染的节点或潜在被感染节点进行通信,以限制来自(进入和/或离开)该节点的通信,例如以便限制或者暂停来自该节点的特定类型的消息,暂停或限制该节点处的特定应用的操作(其可能产生异常消息业务),暂停或限制经由设备的某些端口的通信等等。替代地或另外地,警报发生器48可以与其它节点(例如,连接到其它网络的网关节点)进行通信,以限制或暂停网络20和其它网络之间的消息。这种动作可以允许在网络20上发生紧急操作(例如,控制操作),同时将网络20与外部源进行隔离,以便至少临时地防止异常消息业务离开或者进入网络20,这可以限制数据窃取,可以停止网络20中的病毒感染其它网络,可以停止经由被感染节点而进一步入侵网络20等等。例如,警报发生器48可以切断外部商业系统和受影响工业控制系统网络之间的所有通信,直到现场安全人员评估完该异常情形为止。当然,警报发生器48可以联结到(通信连接到)其它系统(例如,安全系统)来执行这些功能。
规则数据库44可以存储一个或多个安全人员、配置人员、用户、操作者等等所生成或产生的任何期望的规则集,这些规则集规定用于对从通信网络节点22接收的消息业务或消息元数据所执行的分析,以判断在该消息业务或业务模式中是否存在异常,并因此判断是否应当生成告警或警报。此外,规则引擎42还可以执行这些规则,以便将当前消息或业务元数据与标准或基线数据集进行比较,其中标准或基线数据集是网络20的各个节点22在系统进行首次建立或者配置的时间以及因此知道或者可能在网络20中不存在入侵或恶意软件的时间期间所采集的。本文将该存储的消息或业务模式元数据称为基线元数据集合,其规定了该网络或网络节点的“正常”操作。因此,规则引擎42所使用的规则可以用于将从节点或节点组采集的元数据与用于该节点或节点组的标准或基线元数据进行比较,以判断在其之间是否存在显著的差异,如业务模式数据库46中存储的其它业务模式参数所规定的(例如,限制或差异变量)。显著的或统计相关的差异(如规则数据库44中的逻辑规则所确定的),可以指示网络20的被入侵或者其的节点22被入侵。如果检测到差异,则控制器40可以使得警报发生器48产生告警或警报。可以基于检测到的当前消息业务和基线消息业务之间的差异的类型、该差异的严重性等等,来配置告警或警报的类型、这些警报的接收者、以及这些告警或警报的其它参数(例如,优先级等等)。
应当理解的是,可以针对节点22处的消息或业务,生成或者获得任何期望的类型的元数据,可以生成规则数据库44中的规则,以便在分析引擎34中,使用该元数据或者关于该元数据的统计,以任何期望的方式来对该元数据进行分析。例如,该元数据可以包括关于下面的通用信息或统计:(1)消息,如消息计数和消息计数统计,例如,最小值、最大值、平均值等等;(2)连接信息和统计,例如,源(如,配置的与非配置的节点、源端口等等)、地址(如,源地址、目的地址、源端口和目的端口)、范围(如,单播、多播、广播)、负载类型(如,TCP、UDP、其它)、以及时间(如,日期时间、相对时间、尝试率等等);(3)通信信息,例如,消息时序(如,速率、日期时间、序列错误等等)、安全错误(如,完整性失败、认证或解密)、消息内容(如,大小、格式错误等等);(4)欺骗信息,例如,速率限制信息(例如,状态、方法、限制的速率等等);以及连接尝试(如,乱序、残缺、扫描等等)。当然,也可以获得和使用任何其它类型的消息元数据,应当理解的是,本文所提供的列表并不是全面的。
此外,可以基于网络或节点中的其它因素或参数,诸如发送节点或接收节点的角色(例如,这些节点是工作站、还是服务器、网关、控制器、I/O服务器、远程终端单元(RTU)等等),来采集和存储消息元数据。因此,应当理解的是,可以在网络各个不同的层级水平(例如,以设备或节点为基础、以设备或节点角色为基础、以消息为基础等等),或者相对于该网络的任何其它层级水平,来生成消息和业务元数据。另外,可以使用控制或通信网络20的配置信息,来初始地生成或者修改用于对业务元数据进行分析,或者对元数据分析进行组织的规则。通常来说,用于网络的配置信息包括:关于这些节点(设备)中的每一个节点处的应用、模块、控制例程等等的数量的信息、以及其中的这些各种逻辑单元、软件单元和硬件单元彼此之间进行通信的方式(其包括:通信对(发送器/接收器对、通信时序、频率、消息类型、控制系统角色或设备类型等等)的信息。该配置信息可以用于生成或修改在对来自任何节点的业务元数据进行分析时所使用的规则。也就是说,可以使用包括配置层级信息的配置信息(例如,什么设备和模块与网络中的什么其它模块和设备有关),来生成修改或者填充用于对消息元数据进行分析的规则参数。举例而言,可以使用该配置信息来例如选择用于对业务元数据进行分析的通用规则的一个子集(即,属性)。此外,还可以使用该配置信息来在一个或多个通用规则参数中插入特定的值(例如,在规则中具有<用户>占位符的地方,可以使用该配置信息来填充在该配置中列出的特定用户的地址和端口信息)。用此方式,可以基于设备或节点的控制系统配置,从更大的通用规则集合中定制有效的逻辑规则,以获得特定规则的子集。
另外,如图1中所示,异常检测系统10包括网络配置改变模块70,后者可以例如存储在网络配置数据库或服务器设备72中。通常来说,配置改变模块70进行操作,以检测用于通信网络20的网络配置的改变,随后经由例如网络链路24,向检测引擎34发送表示这些改变和/或这些改变的通知。如本文所使用的,配置改变可以包括对于网络上的设备或者设备集的操作的任何改变(其包括:增加新设备、应用、模块等等;删除任何设备、应用、模块等等;以及设备、应用、模块的改变等等)、以及参数、设置或其它配置的改变(其包括任何硬件、软件或固件设置的改变),其包括改变通信和过程控制设置(例如,改变在诸如批处理中使用的配方等等)。在该情况下,只要配置工程师或其它用户例如通过向网络增加新的应用或模块、改变网络中的应用或模块彼此之间进行通信的方式等等,来改变网络配置,则网络配置改变模块70检测这种改变,并向检测引擎34发送通知(其向控制器40通知该网络配置的改变)。当然,虽然将改变模块70示出为位于配置数据库72之中,但配置模块70可以位于访问或者实施配置应用(其中该应用改变网络20的配置或者使用户能够改变网络20的配置)或者被通知配置发生改变的任何设备或计算机(例如,操作者界面设备或服务器)之中,并且配置模块70可以以任何期望的方式进行操作来检测网络配置改变。
无论如何,只要对网络20的配置进行了改变(例如,在网络20上的任何设备中或者连接到网络20的任何设备中,实施对任何软件、功能块、模块等等的通信方面的增加、删除或改变),则改变检测模块70可以向分析引擎34发送通知,以通知分析引擎34预期网络业务模式或细节的改变或潜在改变。当业务模式的改变是由于网络配置的改变,而不是实际入侵时,该通知可以使分析引擎34避免假阳性率(例如,检测到入侵)。
此外,在检测到网络配置改变时,控制器40可以运行或实施用于对来自网络节点22的元数据进行采集的过程(在配置发生改变之后),并使用新采集的元数据来生成新的基线元数据集合或基线元数据统计量,以存储在业务模式数据库46中。随后,可以使用该新的基线元数据集合,以基于网络的配置状态来检测业务模式中的未来异常。另外,在一些情况下,控制器40可以另外地或替代地基于网络的新配置,改变规则数据库44中存储的规则,和/或改变业务模式数据库46中存储的限制或其它参数,以便在了解了新的或改变的网络配置之后,使异常检测系统10能够更佳地操作。
因此,应当理解的是,网络配置的改变可以通过例如增加或减少网络流量,改变网络通信的特定类型(例如,通过改变网络22上的各个设备之间的某些类型的通信的属性或者量,或者改变在网络20的节点22处的各个设备之中运行的应用之间的某些类型的通信的属性或者量),来改变网络业务模式。无论如何,网络配置的改变可能造成已针对基线网络配置所开发和存储的基线元数据和元数据统计量是不正确的。在这些环境下,检测引擎34的控制器40可以开始对该新配置下的新网络业务元数据进行采集,基于该元数据来确定统计性或其它数据,并将该数据作为新的基线元数据存储在基线数据库46中。在一些环境下,作为新配置的结果,可能期望改变、增加或删除规则数据库中的规则,以便例如针对该新配置来裁剪规则(例如,通过在规则数据库的一个或多个规则中实施属性插件,以匹配或反映新配置的参数)。例如,可以根据新配置来增加新类型的通信,基于新通信,利用属性插件来更新规则,随后,可以基于通信的新发送器和/或接收器,使用该规则来分析与这些新类型的通信相关联的元数据。
无论如何,在生成新的基线统计数据集合之后,规则引擎42可以随后基于该新的基线统计数据和规则数据库44中存储的规则,开始活动地检测入侵。应当理解的是,配置改变检测模块70的使用可以减少或限制网络配置的改变所造成的假阳性率(即,入侵的不正确检测)。此外,当网络被重新配置时,配置改变检测模块70可以用于重新调整异常检测引擎10,从而使异常检测引擎10甚至在网络配置改变之后也能够正确地操作。
可以查看到,图1的异常检测系统10在网络节点22之中分配数据采集处理工作负载,因此在各个节点22处不需要很大量的处理能力。此外,该系统通过系统网络配置的知识,来减少网络节点和异常检测分析工作负载,并报告关于网络业务的元数据来进行分析,而不需要单独的监测网络。另外,该系统通过通知授权的网络配置改变或者自动化重新配置(例如,由于高可用性机制),减少了异常检测分析的假阳性率,并可以使用相同的数据来执行多种类型的异常分析(例如,安全或维护)。另外,该系统通过预先规定的规则和机器学习的任意组合,实施在工厂控制或工业控制系统中的任何网络节点上执行的分层分析/报告。
此外,异常检测系统10可以使用网络节点处的工厂网络配置来减少元数据采集工作负载,可以使用分析引擎34处的已知系统网络配置来规定规则集,并来进行用于分析引擎34的学习过程,并且可以只报告关于网络节点所查看到的网络业务的元数据(与报告完全复制的网络帧、日志相比,或者只报告SNMP警报相比)。同样,异常检测系统10可以使用系统网络配置改变通知来减少异常检测分析的假阳性率或者对所获得的通知进行重新分类,与集中式服务器/设备相比,在网络基础设施设备(例如,交换机、路由器、防火墙)处执行元数据收集和/或分析。此外,与集中式服务器/设备相比,该系统10可以在端点设备(例如,控制器、RTU、I/O服务器、工作站、服务器)处执行元数据收集和/或分析。
在一些情况下,异常检测系统10可以使用FPGA、TCP卸载引擎或者其它可编程硬件来执行元数据收集和/或分析,可以在网络节点22之中或者横跨网络节点来执行分层元数据收集。同样,与集中式服务器/设备相比,异常检测系统10可以基于端点设备(例如,控制器、RTU、I/O服务器、工作站、服务器)处的出站业务和/或分析来执行元数据收集,并可以基于系统网络配置,根据端点设备(例如,控制器、RTU、I/O服务器、工作站、服务器)处的业务缺失和/或分析来执行元数据收集。此外,在一些情况下,如果期望的话,可以建立异常检测系统10以挖掘所有网络交换机,以访问流经这些交换机的所有网络业务。但是,该配置并不能很好地扩展到多层交换机拓扑,这是由于该配置限制每一个交换机的最大容量,并需要运行另外的电缆/网络来仅仅用于监测业务。
举例而言,图2和图3示出了可以在其中安装和使用图1的异常检测系统10的示例性工厂网络。具体而言,图2示出了包括多个不同的但相互连接的通信网络112、114、116和118的工厂或工业通信系统110,其中每一个通信网络都具有多个网络节点。具体而言,图2的通信网络112可以是商业通信网络,其包括通过通信总线124来相互连接的多个节点122A-122H,例如,通信总线124可以是以太网总线或者任何其它有线或无线通信总线或网络。例如,节点122A、122B可以包括运行商业应用或程序的计算机、服务器、工作站等等,节点122C可以是例如数据库(其存储商业数据、工业工厂配置数据或者关于工厂110的任何其它期望的数据)。同样,节点122D、122E和122F可以分别是用于将网络112连接到其它通信网络114、116、118,以允许网络间通信的网关节点。同样,节点122G可以是用于将网络112连接到互联网、云或者其它广域网,以使网络112与远程服务器、工厂或其它计算机进行通信的网关节点。
在该例子中,网络114、116和118是工厂(例如,过程工厂或工业工厂)控制网络,其包括通过有线或无线通信总线或网络链路来互连的各种节点。工厂控制网络114、116和118中的每一个可以包括位于其节点处的各种类型的设备的任何一种。例如,工厂控制网络114和116是有线通信网络,其每一个都包括一个或多个用户接口设备130、数据库或历史库132(其可以存储用于网络114和/或116的工厂控制网络配置数据)、经由通信总线136(在该情况下,具有以太网通信总线的形式)进行互连的一个或多个过程控制器节点134、以及一个或多个服务器或处理器节点138。过程控制节点134可以包括一个或多个过程控制器,该一个或多个过程控制器经由一个或多个有线或无线子网络140,通信地耦合到诸如I/O设备和现场设备之类的其它设备(例如,传感器、阀门、受控设备等等)。子网络140中的现场设备可以采用例如阀门、传感器、发射器或其它测量或控制设备的形式,其中这些测量或控制设备对工厂中的某个参数或过程变量进行测量,或者执行与工厂中的材料操作或材料流动有关的某种物理控制动作。例如,现场设备子网络140可以使用诸如高速可寻址远程传感器
Figure BDA0000934743340000151
协议、
Figure BDA0000934743340000152
Fieldbus协议、Profibus协议、CAN协议等等之类的任何期望的过程控制通信协议或范例。此外,可以将现场设备子网络140实施成有线或无线网络,比如
Figure BDA0000934743340000161
网络。此外,网络114和116还可以包括节点122D、122F处的网关设备,其将网络114和116连接到网络112、互联网或其它WAN等等。当然,这些网关设备可以提供防火墙和其它安全特征或应用。
用类似的方式,将通信网络118示出成可以使用诸如无线以太网协议、
Figure BDA0000934743340000162
协议、ISA 100无线协议等等之类的无线通信协议的无线通信网络。将通信网络118示出成包括各种节点,例如,用户接口设备或工作站130、数据库132、过程控制器134、服务器136、现场设备子网络140、网关设备139等等。当然,任意数量的这些和其它类型的设备可以位于通信网络114、116和118的各个节点处。应当理解的是,网络112、114、116、118中的任何或所有网络设备都可以包括一个或多个计算机可读存储器和处理器,其中在这些部件上可以存储和执行各种软件模块(其包括与本文所描述的异常检测系统10相关联的模块中的任何一个)。
重要的是,可以将参照图1所描述的异常检测系统10实施在图2的网络112、114、116和118中的任何一个和全部之中,以检测具有例如恶意软件或者在这些网络中运行的其它非授权应用形式的对这些网络的入侵。通常来说,针对网络112、114、116和118中的每一个,可以存在单独的异常检测系统,但在一些情况下,可以使用单一的异常检测系统来覆盖网络112-118中的多个(例如,网络114和116或者网络112和114等等)。同样,可以将用于一个网络(例如,网络118)的异常检测系统的组件,存储在这些网络中的另一个网络(例如,网络112)里的设备中。
举例而言,如通常在图2的网络114、116和118中所示出的,用于这些节点中的每一个节点的异常检测系统可以包括位于通信网络114、116、118中的每一个网络节点(或者这些网络节点中的至少一些)处的采集应用150(其可以包括图1的消息采集模块30和32),并可以包括:位于配置异常检测系统进行保护的网络114、116和118中的一个节点处的分析引擎154(其可以包括图1的检测引擎34)。在网络118的情况下,将分析引擎154示出为位于网络112的节点之中(例如,位于工作站122A),以说明用于特定网络的异常检测系统的组件可以位于该网络之外的设备之中。
通常来说,采集应用或采集模块150中的每一个观测或分析在节点处生成并通过网络链路来发送的网络消息业务,和/或在该网络节点处接收(发送到该网络节点)的消息业务,这些采集应用或模块150生成关于该消息业务的元数据。通常,采集应用150在网络的每一个节点处独立地操作,采集各个节点处的网络业务元数据,并随后将该元数据发送到用于该网络的分析引擎154,其中分析引擎154对该元数据进行分析以确定网络业务模式中的异常。随后,可以使用这些检测到的异常来检测对于网络的潜在或实际入侵(其包括恶意软件、窥探程序等等)。如果期望的话,采集应用150可以通过该网络本身,也可以使用独立的、单独的或并行的通信网络(如果期望的话),来发送关于(进入和离开)网络节点处的消息业务的元数据。但是,由于通常只需要向分析引擎154发送关于消息业务的元数据(而不是这些消息本身),因此数据采集应用150和相应的分析引擎154之间的通信并不会显著地增加网络链路的流量负载。此外,虽然数据采集应用150可以实时地发送元数据,但它们也可以优选地存储该元数据,并定期地、只要采集到某个数量的一个节点的元数据、按照指定的时间、响应于指定的事件等等,向相应的分析引擎154发送批量的元数据,从而减少数据采集应用150和分析引擎154之间的通信所造成的网络流量。为了便于说明起见,还在各个网络112、114、116、118中示出了一组配置改变检测模块170,这些模块以上面所描述的方式进行操作,以向相应的分析引擎154警告在相应网络中发生了配置改变。
同样,再次为了便于说明起见,图2示出了用于网络114的异常检测系统完全地布置在该网络114之中(即,布置在直接连接到网络114的网络链路的设备之中),而用于网络118的异常检测系统包括布置在网络118中的设备里的组成元素(例如,采集模块150),同时用于该网络的分析引擎(位于节点122A中)和配置改变检测模块170(位于节点122C中)布置在该网络118通信耦合到的另一个网络(网络112)中的设备里,并在其中进行执行。用此方式,消息采集模块150向实际实施在网络118之外的设备中(例如,位于网络112的节点122A处的设备中)的网络118的分析引擎154发送针对网络118的元数据。另外,虽然没有特别地示出,但可以使用单一分析引擎154来检测多个网络中的业务异常或者跨多个网络来检测业务异常。例如,位于网络112的节点122A处的设备中的分析引擎154可以进行操作,以便从网络112和116中的设备、网络118和116中的设备、或者网络112、116和118中的设备接收元数据。在该情况下,同一个分析引擎154将从一个或多个配置改变检测模块170(例如,根据用于网络112、116或118等等的配置数据库所处的位置,它们可以位于网络112、116或118中的一个网络里的设备中或者甚至位于其它网络中的设备里)接收改变通知。因此,可以使用单一异常检测系统来检测单一网络或者横跨多个网络的消息或业务异常。此外,虽然将异常检测系统描述成具有用于每一个网络的单一异常检测引擎154,但相同的异常检测系统可以在网络的例如不同设备中具有多个检测引擎154。这种配置可以降低任何特定引擎154的处理能力需求,提供分布式处理等等。
再举一个例子,图3更详细地示出了图2中的通信网络114。在该例子中,通信网络114包括有线以太网总线200,后者可以包括用于互连各个设备的一个或多个交换机202,例如,到其它网络226的网关、到诸如互联网、一个或多个用户接口设备或工作站230、配置数据库232、服务器23和两个过程控制节点234A和234B之类的外部系统228的网关。这里,第一过程控制节点234A包括经由输入/输出(I/O)卡226和228来通信地连接到有线现场设备215-222,经由无线网关235和网络骨干网200来通信地连接到无线现场设备240-258的一个或多个冗余过程控制器260。在该情况下,无线网关235是网络114的第二控制节点234B。在另一个实施例中,节点234A处的控制器260可以使用不同于骨干网200的通信网络(例如,通过使用另一个有线或无线通信链路或I/O模块),来通信地连接到无线网关235。
控制器260(举例而言,其可以是Emerson(艾默生)过程管理所出售的DeltaVTM控制器)可以进行操作,以使用现场设备215-222和240-258中的至少一些来实施一个或多个批量过程或者连续过程、维护应用、安全系统应用等等。控制器260可以使用任何期望的硬件和与其相关联的软件(例如,标准4-20mA设备、输入/输出(I/O)卡236、238)和/或诸如
Figure BDA0000934743340000181
Fieldbus协议、
Figure BDA0000934743340000182
协议、
Figure BDA0000934743340000183
协议等等之类的任何智能通信协议,通信地连接到现场设备215-222和240-258中的至少一些。另外地或替代地,控制器260可以经由其它连接,与现场设备215-222和240-258中的至少一些进行通信地相连。在图3所示的网络中,控制器260、现场设备215-222和I/O卡236、238是有线设备,现场设备240-258是无线现场设备。当然,有线现场设备215-222和无线现场设备240-258可以遵循任何其它期望的标准或协议,例如,包括未来开发的任何标准或者协议的任何有线或无线协议。
图3的控制器260包括实施或者监督一个或多个过程控制例程(例如,其存储在存储器272中)的处理器270,其中这些过程控制例程可以包括控制环。处理器270可以与现场设备215-222和240-258进行通信,与通信地连接到骨干网200的其它节点进行通信,以便执行控制活动,或者诸如维护、监测和安全系统活动之类的其它活动。应当注意的是,本文所描述的任何控制例程或者模块可以具有通过不同的控制器或者其它设备来实施或执行的部分(如果期望的话)。同样,实施在过程控制系统中的本文所描述的控制例程或模块可以采用包括软件、固件、硬件等等的任何形式。可以以任何期望的软件格式(例如,使用面向对象的编程、梯形逻辑,顺序功能图,功能框图,或者使用任何其它软件编程语言或者设计范例),来实施控制例程。可以将这些控制例程存储在任何期望的类型的存储器(例如,随机存取存储器(RAM)或者只读存储器(ROM))中。同样,可以将控制例程硬编码到例如一个或多个EPROM、EEPROM、专用集成电路(ASIC)或者任何其它硬件或固件单元中。因此,控制器260可以被配置为以任何期望的方式来实施控制策略或控制例程。
在一些实施例中,控制器260使用通常称为功能模块的方式来实施控制策略,其中每一个功能模块是整个的控制例程的一个对象或者其它部件(例如,子例程),并结合其它功能模块(经由称为链路的通信)进行操作以实施过程控制系统中的过程控制环。基于控制的功能模块通常执行下面中的一种:输入功能,例如与发射机、传感器或者其它过程参数测量设备相关联;控制功能,例如与执行PID、模糊逻辑等等控制的控制例程相关联;或者输出功能,其控制诸如阀门之类的一些设备的操作,以执行过程控制系统中的某种物理功能。当然,也存在混合的功能模块和其它类型的功能模块。功能模块可以存储在控制器260中并由控制器260执行,通常这是下面的情形,这些功能模块用于或者关联到标准的4-20mA设备和某种类型的智能现场设备(例如,HART设备),或者可以存储在这些现场设备自身中并由其实施(这可以是与Fieldbus设备的情形)。控制器260可以包括能实施一个或多个控制环的一个或多个控制例程280。每一个控制环通常称为一个控制模块,其可以通过执行这些功能模块中的一个或多个来执行。
有线现场设备215-222可以是任何类型的设备(例如,传感器、阀门、发射机、定位器等等),而I/O卡236和238可以是遵循任何期望的通信或控制器协议的任何类型的I/O设备。在图3所示的实施例中,现场设备215-218是通过模拟线路或者组合的模拟和数字线路来向I/O卡236进行通信的标准4-20mA设备或者HART设备,而现场设备219-222是使用Fieldbus通信协议,通过数字总线向I/O卡238进行通信的智能设备(例如,
Figure BDA0000934743340000201
Fieldbus现场设备)。但是,在一些实施例中,有线现场设备215-222中的至少一些和/或I/O卡236、238中的至少一些可以使用大数据网络,与控制器260进行通信。在一些实施例中,有线现场设备215-222中的至少一些和/或I/O卡236、238中的至少一些,可以是过程控制系统网络114中的节点。
在图3所示的实施例中,无线现场设备240-258使用诸如
Figure BDA0000934743340000202
协议之类的无线协议,在无线网络290中进行通信。该无线现场设备240-258可以直接与网络114的一个或多个其它节点进行通信,其中网络114还被配置为实施无线通信(例如,使用无线协议)。为了与没有被配置为无线通信的一个或多个其它节点进行通信,无线现场设备140-158可以使用连接到通信骨干网200或者另一个过程控制通信网络的无线网关235。在一些实施例中,无线现场设备240-258中的至少一些可以是过程控制系统网络114中的节点。
无线网关235提供无线设备240-258、有线设备215-222和/或过程控制网络114的其它节点之间的通信耦合。在一些情况下,无线网关235通过使用有线和无线协议栈的底层中的路由、缓存和定时服务(例如,地址转换、路由、分组分割、优先级等等),同时对有线和无线协议栈的共享层或一些共享层进行隧道化,来提供通信耦合。在其它情况下,无线网关235可以在不共享任何协议层的有线和无线协议之间转换命令。除了协议和命令转换之外,无线网关235还可以提供与该无线网络290中实施的无线协议相关联的调度方案的时隙和超帧(时间上均匀间隔的通信时隙的集合)所使用的同步时钟。此外,无线网关235可以提供针对无线网络290的网络管理和监管功能,例如,资源管理、性能调整、网络故障缓解、监测流量、安全性等等。
类似于有线现场设备215-222,无线网络290的无线现场设备240-258可以执行过程工厂中的物理控制功能,例如,打开或者关闭阀门或者对过程参数进行测量,或者执行其它功能。但是,无线现场设备240-258被配置为使用网络290的无线协议进行通信。因此,无线网络290的无线现场设备240-258、无线网关235和其它无线节点通常是无线通信分组的制造者和消费者。
在一些场景下,无线网络290可以包括非无线设备。例如,图3的现场设备248可以是传统的4-20mA设备,现场设备250可以是传统的有线HART设备。为了在网络290中进行通信,现场设备248和250可以经由无线适配器(WA)252a或252b,连接到无线通信网络290。另外,无线适配器252a、252b可以支持诸如
Figure BDA0000934743340000211
Fieldbus、PROFIBUS、DeviceNet等等之类的其它通信协议。此外,无线网络290可以包括一个或多个网络接入点255a、255b,它们可以是与无线网关235进行有线通信的单独的物理设备,或者在无线网关235提供成集成设备。此外,无线网络290还可以包括一个或多个路由器258,以便将分组从一个无线设备转发到无线通信网络290中的另一个无线设备。无线设备240-258可以通过无线通信网络290的无线链路来彼此之间进行通信,与无线网关235进行通信,如图3中的虚线所示。
虽然图3中的网络114只示出了单一控制器260与有限数量的现场设备215-222和240-258,但这只是示例性的和非限制性的实施例。在网络114上可以包括任意数量的控制器,控制器260可以与任意数量的有线或无线现场设备以及网络215-222、240-258进行通信,以便例如控制工厂中的过程。此外,过程工厂还可以包括任意数量的无线网关235、路由器258、接入点255和无线过程控制通信网络290。
通常来说,威胁检测系统可以以遵循图1的公开内容的任何期望方式,安装或者实施在网络114中。具体而言,如图3中所示,异常检测系统10包括通信模块330(其可以是图1中的通信模块30和32),其布置在网络节点226、228、230、232、233、234A、234B和235中的每一个里,以及交换机202或者网络114的其它端点设备中的任何一个里。虽然图3中没有完全详细地示出,但通信模块330可以安装在任何子节点设备中,例如,安装在I/O设备236和238中、安装在任何或全部的有线现场设备215-222中或者任何或全部的无线设备240-258。在图3中,利用附图标记330a来标记子节点设备中的通信模块330里的每一个,以显示其位于网络114的较大节点的子节点之中。如参照图1所指示的,通信模块330和330a分析进入和离开每一个节点的业务,并编译关于该业务的元数据。
在该示例性系统中,通信模块230和230a通过网络链路200向异常检测引擎334进行通信,其中将异常检测引擎334示出为安装在用户接口设备230中的一个里。但是,异常检测引擎334可以安装在网络114上的其它计算机设备中的任何一个里,例如,安装在网络上的配置数据库232、网关设备226、228、交换机202等等中。此外,异常检测引擎334可以布置在网络114之外的计算机设备中,例如,布置在图2的网络112、116、118中的一个里。在该情况下,可以经由网络链路200和网关设备226、228中的一个(其可以包括防火墙,也可以不包括防火墙),将网络114的各个节点或者子节点采集的元数据传输到另一个网络。另外,来自子网络设备(例如,现场设备215-222、I/O设备236、238和无线现场设备240-258)的通信可以向上发送到主网络节点设备(例如,控制器260或网关设备235),转而,这些设备可以将这些通信转发到检测引擎334。另外,如图3中所示,配置数据库232包括配置改变模块370。后者以任何期望的方式来检测配置改变,并将其传输给检测引擎234。如图3的节点中的至少一些所示,这些节点设备中的每一个都包括处理器309(其可以是微处理器、ASIC、或者实施和执行各种异常检测系统模块330、334和370的其它处理器),并包括用于存储这些模块以在处理器309上执行的计算机可读存储器311。
图4描述了用于示出在通信网络的各个节点之间的通信流以及各个节点处的处理的示例性流程图,其中这些节点实现如本文所描述的示例性异常检测系统。具体而言,例程400包括可以在网络的不同设备中实施的各种不同组件,包括:组件402,其可以在生成和采集消息业务元数据的每一个设备或网络节点中实施;组件404,其可以连同配置模块、配置数据库或其它配置例程一起存储,并实施在它们之中或者实施成它们一部分,以检测针对节点的配置所做出的配置改变;组件406,其可以用于专家或异常检测引擎之中,以检测正在被分析的网络中的异常。
组件或例程402包括第一框410,其采集和查看一个节点处的进入消息和外出消息,其可以位于该节点的通信层之中或者可结合该通信层进行操作,使得其能访问进入和离开该节点的所有消息。框410(其可以实施图1的模块30和31)用于对这些消息进行查看,并至少临时地存储这些消息。在采集消息之后,框412生成并存储关于该消息的元数据,其包括本文所描述的元数据中的任何一个或者分析引擎请求或需要的任何其它元数据。当然,采集和生成的元数据的特定本质可以基于在规则引擎中存储的规则的配置,而随时间发生改变。接着,框414判断是否到了向分析引擎发送该元数据的时间,这可以按照下面时间发生:定期地、或响应于用户请求、或当生成或存储某个数量的元数据时、或当分析了某个数量的消息时等等。如果不需要发送该元数据,则框414将控制转回到框410。但是,如果需要发送该元数据,则框416向分析引擎或者异常检测引擎发送所存储的元数据(无论该引擎位于哪个节点)。此外,框416还可以发送关于该节点生成该元数据的细节,以及分析引擎可以使用的其它上下文信息。虽然框416可以通过本网络的通信链路或总线,或者经由单独的外部通信网络(在这些情况下,例程402位于与分析引擎相同的设备之中)来发送该元数据,但这些通信也可以经由设备间通信来发生。通过图4中的虚线来将元数据示出为从框416发送到异常检测引擎中的网络分析例程406。
当然,在网络的操作期间,例程402连续地在该网络的各个节点处运行,以分析所有的进入和外出消息,生成和存储元数据,并在需要时向异常检测引擎发送该元数据。
例程404(其可以在配置数据库或者对网络配置做出配置改变的配置例程中操作)包括框420,在框420处检测是否发生了配置改变,如果没有,则自身进行循环返回,并继续分析是否进行了配置改变。当进行了配置改变时,例如,当一个配置存储在配置数据库中时,当配置例程生成一个配置并下载到网络时,当新配置或配置改变下载到配置数据库中时等等,框422向检测引擎发送配置改变的通知和/或发送新配置细节或者甚至整个新配置,如框422中的虚线所指示的。如果期望的话,这种通信可以在网络链路上发生。当然,例程404继续进行操作以检测配置改变,如果需要的话,向实施例程406的异常检测引擎发送这些改变的通知以及配置改变细节。
如图4中所示,例程406包括框430,其从各个节点接收和存储元数据,并将元数据存储在存储器(例如,图1的元数据存储器50)中,以便以后进行分析。可以使用任何类型的期望通信,以任何期望的方式来接收和存储该元数据,另外也可以使用任何期望的数据库存储例程和/或系统来进行存储。可以基于元数据所来自的节点、以及交叉引用元数据的特定类型、源等等的方式,来存储元数据。例如,可以将该元数据存储在关系数据库中,以便能够基于存储的元数据的类型、元数据的参数、元数据的源、时间等等,以多种不同的方式进行访问。
无论如何,在执行期间,框432判断是否生成了由异常检测引擎进行使用的任何新规则(包括改变的规则)。例如,这些新规则可以源自于对异常检测引擎中的规则进行改变的用户,或者源自于安全人员,其中安全人员可以下载新规则,改变规则或者重新配置当前规则所使用的参数或限制。如果获得了新的或改变的规则或者限制数据,则框432将控制提供到框450,转而框450将这些新规则存储在异常检测引擎的规则数据库中(例如,图1的规则数据库44),和/或将新限制或参数数据存储在图1的业务模式数据库46中。此外,框452基于任何规则改变或者将要实施任何规则改变,对规则数据库中的有效规则进行修正。无论如何,如果没有检测到新规则或规则改变,或者在保存了新规则或数据之后,框434判断在网络中是否存在如配置改变例程404所指示的存储和/或保存了任何新配置。如果没有检测到新配置或配置改变,则异常检测系统可以根据当前规则集和当前业务参数数据集进行操作,并将控制提供到框436。框436判断是否到了对元数据数据库中当前存储的元数据进行处理的时间。例如,框436可以确定其需要定期地(例如,一秒一次、一分钟一次、一小时一次等等)、或者按照任何其它时间帧来处理元数据,或者可以响应于用户请求、或者响应于某个预定的事件发生(例如,产生了某个警报)来这样做。无论如何,如果没有到处理元数据的时间,则框436将控制返回到框430,以进行异常检测例程406的下一次迭代。
但是,如果框436确定到了对元数据进行处理的时间,则转而,框438使用图1的规则数据库44中存储的规则里的一个或多个规则以及图1的业务参数数据库46中存储的基线元数据和业务参数,来对元数据进行分析。框438(其可以通过图1的规则引擎42来实施)可以以任何期望的方式,对逻辑规则进行分析和处理。在利用规则中的一个或多个或者所有规则对所有的元数据或者元数据的某一部分进行了分析之后,转而,框440判断是否需要例如当基于规则数据库中的规则的操作时检测到了潜在异常生成警报。如果需要,转而,框442基于检测到的异常的类型或者基于异常检测分析而得到的违反的规则的细节,向用户实际发送基于异常检测的类型的警报或者其它信息,其中可以以任何方式来指定该用户。框442可以基于用户的身份,或者基于什么用户应当获得什么类型的异常检测的预先配置列表,来向一个或多个用户发送警报。另外,框442可以造成或发起自动动作,例如,关闭网络,向检测到异常的节点发送消息以将其与网络断开、关闭该节点中的某些应用等等。随后,控制返回到框430,以进行例程406的新循环或迭代。
当框434确定发生了新的配置改变时,框460基于该配置改变来判断是否需要对规则集进行改变。如果需要,则框452随后改变规则数据库中所存储的有效规则(自动地,或者响应于用户输入),并将新的规则或者改变后的规则存储在规则数据库中(例如,图1的数据库440)。无论如何,框462都基于配置改变,来判断是否需要对基线业务数据参数进行改变,例如,这是由于新的配置可能改变网络的预期操作(就整体上,业务流进或离开特定的节点或网络而言)。如果需要,则框464对来自一个或多个节点的元数据采集一段预定的时间,框466判断在该时间段上是否采集了足够的元数据。如果没有,则控制返回到框464,继续对来自新的配置下的节点的元数据进行采集。当框466检测到已采集了足够的元数据时,转而,框468根据所采集的元数据来生成新的基线业务数据参数(例如,通过关于该元数据来编译新的统计量,或者以任何其它期望的方式来处理该元数据)。在该过程结束时,将控制返回到框430,以便使用这些规则和新的业务数据参数(如根据新的配置下的网络操作所确定的)来进行异常检测的操作。
应当理解的是,本文所描述的异常检测系统使用网络节点处的系统网络配置来减少元数据采集工作负载,使用分析引擎处的已知系统网络配置来规定规则集,以及进行用于分析引擎的学习过程(其中分析引擎也可以是学习引擎)。在分析引擎是学习引擎的情况下,该分析引擎的规则引擎可以从例如用户接收反馈,以判断是否应当检测到异常,或者判断检测到的异常是否并不指示该网络的被入侵,并相应地改变这些规则以合并或反映该反馈。此外,异常检测引擎还可以报告关于网络节点所查看到的网络业务的元数据(与报告完全复制的网络帧、日志相比,或者只报告SNMP警报相比),使用系统网络配置改变通知,来减少异常检测分析的假阳性率或者对所获得的通知进行重新分类。另外,与集中式服务器/设备相比,该系统可以在网络基础设施设备(例如,交换机、路由器、防火墙)处执行元数据收集和/或分析,与集中式服务器/设备相比,可以在端点设备(例如,控制器、RTU、I/O服务器、工作站、服务器)处执行元数据收集和/或分析,并且可以使用FPGA、TCP卸载引擎或者其它可编程硬件来执行元数据收集和/或分析。另外,该系统可以在网络节点之中或者横跨网络节点来使用分层元数据收集,可以基于系统网络配置,根据端点设备(例如,控制器、RTU、I/O服务器、工作站、服务器)处的业务缺失和/或分析来执行元数据收集。
虽然本文所描述的安全技术是结合使用以太网和各种已知的过程控制协议(例如,Fieldbus、HART和标准4-20ma协议)的网络化过程控制设备和系统来描述的,但是当然,本文所描述的这些安全技术也可以在使用任何其它过程控制通信协议或编程环境的任何类型的控制设备中实施,并可以结合任何其它类型的设备、功能模块或控制器来使用。虽然本文所描述的安全特征优选地利用软件来实施,但它们也可以利用硬件、固件等等来实施,可以由与计算机设备相关联的任何其它处理器来执行。因此,本文所描述的方法和例程和系统可以在标准的多用途CPU中实施,也可以在专门设计的硬件或固件(例如,ASIC)上实施(如果这样期望的话)。当利用软件来实施时,可以将该软件存储在任何计算机可读存储器中,比如存储在磁盘、激光盘、光盘或者其它存储介质上,存储在计算机或处理器的RAM或ROM中等等。同样,可以经由任何已知的或者期望的传输方法,将该软件传送给用户或者过程控制系统,例如其包括:通过计算机可读盘或者其它可传输计算机存储机制来传送,或者在诸如电话线、互联网等等之类的通信信道上进行调制。
因此,虽然参照特定的示例来描述了本发明,其中这些特定的示例仅仅旨在是示例性的,而不是对本发明进行限制,但对于本领域普通技术人员来说显而易见的是,在不脱离本发明的精神和保护范围的基础上,可以对所公开的实施例进行改变、增加或者删除。

Claims (47)

1.一种在具有多个网络节点的通信网络中使用的异常检测系统,所述多个网络节点通过通信链路来通信地耦合,所述异常检测系统包括:
多个消息模块,其中所述多个消息模块中的每一个消息模块在所述网络节点中的一个网络节点处的处理器上执行,以检测所述网络节点处的消息业务,并生成关于所述网络节点处的所述消息业务的元数据;
分析引擎,所述分析引擎存储在耦合到所述通信网络的处理设备中并在所述处理设备处被执行,所述分析引擎包括:
元数据存储器,
控制器,其在所述处理设备的处理器上进行执行以从所述多个消息模块接收关于所述网络节点中的每一个网络节点的所述元数据,并将所接收的元数据存储在所述元数据存储器中,
规则数据库,其存储用于处理所述元数据的逻辑规则集,所存储的逻辑规则集包括基于所述通信网络的配置规定的一个或多个规则,
其中,所述通信网络的所述配置规定来自所述多个网络节点的一个或多个节点操作以产生关于生成所述元数据的所述消息业务的方式,并且其中,在所述分析引擎接收所述元数据之前,至少选择基于所述通信网络的所述配置的所述一个或多个规则,以用于处理所述元数据,
规则引擎,其在所述处理设备的处理器上进行执行,以使用所述规则数据库中所存储的所述逻辑规则集来对所述元数据存储器中所存储的所述元数据进行处理,以检测所述通信网络中的业务模式异常,以及
通知模块,其在所述处理设备的处理器上进行执行,以向用户发送表示检测到的异常的通知。
2.根据权利要求1所述的异常检测系统,其中,所述分析引擎还包括元数据基线数据库,所述元数据基线数据库在基线时间段期间,存储关于在所述通信网络的操作期间针对所述通信网络所采集的元数据的基线信息,并且其中所述规则引擎在所述处理设备的处理器上进行执行,以使用所述规则数据库中所存储的所述逻辑规则和所述元数据基线数据库中所存储的所述基线信息来对所述元数据存储器中所存储的所述元数据进行处理,以检测所述通信网络中的业务模式异常。
3.根据权利要求2所述的异常检测系统,还包括:
存储在耦合到所述通信网络的另外处理设备中的配置改变检测模块,所述配置改变检测模块在所述另外的处理设备的处理器上进行执行以检测所述通信网络的所述配置的配置改变,并向所述分析引擎发送表示检测到的配置改变的通知。
4.根据权利要求3所述的异常检测系统,其中,所述分析引擎的所述控制器基于所述检测到的配置改变来改变所述规则数据库中的逻辑规则。
5.根据权利要求4所述的异常检测系统,其中,所述控制器在改变所述规则数据库中的逻辑规则之前,从用户接收新的逻辑规则。
6.根据权利要求4所述的异常检测系统,其中,所述控制器基于配置改变的类型来改变逻辑规则。
7.根据权利要求4所述的异常检测系统,其中,配置改变检测模块向所述分析引擎传输配置改变的类型。
8.根据权利要求4所述的异常检测系统,其中,所述分析引擎的控制器响应于所述检测到的配置改变,在所述元数据数据库中采集针对所述通信网络的新的基线元数据集合,并且所述控制器根据所述新的基线元数据集合来生成新的基线信息集合,以便所述通信网络利用新配置来运行。
9.根据权利要求3所述的异常检测系统,其中,所述配置改变检测模块存储在配置数据库中。
10.根据权利要求2所述的异常检测系统,其中,所述元数据基线数据库存储一个或多个元数据参数,其中所述一个或多个元数据参数反映所述逻辑规则集中的一个或多个逻辑规则在使用所述元数据存储器中存储的所述元数据来检测异常时将使用的限制或范围。
11.根据权利要求1所述的异常检测系统,其中,所述规则引擎是学习引擎。
12.根据权利要求1所述的异常检测系统,其中,所述通知模块在处理器上进行执行,以设置所述通信网络的一个或多个网络节点中的通信参数。
13.根据权利要求12所述的异常检测系统,其中,所述通知模块进行执行以设置防止所述通信网络中的所述一个或多个网络节点中的一个网络节点在所述通信网络上进行通信的通信参数。
14.根据权利要求12所述的异常检测系统,其中,所述通知模块进行执行以设置防止所述通信网络中的一个或多个网络节点与另一个网络进行通信的通信参数。
15.根据权利要求12所述的异常检测系统,其中,所述通知模块进行执行以设置防止所述通信网络中的所述一个或多个网络节点中的一个网络节点允许特定的应用在所述通信链路上进行通信的通信参数。
16.根据权利要求12所述的异常检测系统,其中,所述通知模块进行执行以设置防止所述通信网络的所述一个或多个网络节点中的一个网络节点在所述通信链路上传输特定类型的消息的通信参数。
17.根据权利要求1所述的异常检测系统,其中,所述分析引擎位于在所述网络节点中一个网络节点处的并且直接连接到所述通信网络的所述通信链路的处理设备中。
18.根据权利要求1所述的异常检测系统,其中,所述分析引擎位于未直接地连接到所述通信网络的所述通信链路的处理设备中。
19.根据权利要求1所述的异常检测系统,其中,所述多个消息模块中的至少一个消息模块位于所述通信网络的子网络中的处理设备中。
20.根据权利要求1所述的异常检测系统,其中,所述消息模块中的一个消息模块布置在耦合到一个或多个现场设备以控制过程或工业工厂的过程控制器设备中。
21.根据权利要求1所述的异常检测系统,其中,所述消息模块中的每一个消息模块都包括进入消息模块,所述进入消息模块对在网络节点处经由所述通信链路接收的消息进行分析。
22.根据权利要求1所述的异常检测系统,其中,所述消息模块中的每一个消息模块都包括外出消息模块,所述外出消息模块对来自网络节点的、在所述通信链路上发送的消息进行分析。
23.根据权利要求1所述的异常检测系统,其中,所述通知模块经由所述通信网络的所述通信链路来发送所述通知。
24.一种在工厂环境下使用的异常检测系统,包括:
通信网络,其包括多个网络节点,所述多个网络节点中的每一个网络节点都具有处理器和计算机可读存储器,所述多个网络节点通过通信链路进行互连;
多个消息模块,其中所述多个消息模块中的每一个消息模块在所述网络节点中的不同网络节点处的所述处理器上进行执行,以检测所述网络节点处的消息业务,并生成关于所述网络节点处的所述消息业务的元数据;
通信耦合到所述多个消息模块中的每一个消息模块的分析引擎,其中所述分析引擎在耦合到所述通信网络的处理设备上进行执行,所述分析引擎包括:
元数据存储器,
控制器,其在所述处理设备的处理器上进行执行,以从所述多个消息模块接收关于所述网络节点中的每一个网络节点的所述元数据,并将所接收的元数据存储在所述元数据存储器中,
规则数据库,其存储用于处理所述元数据的逻辑规则集,所存储的逻辑规则集包括基于所述通信网络的配置规定的一个或多个规则,
其中,所述通信网络的所述配置规定来自所述多个网络节点的一个或多个节点操作以产生关于生成所述元数据的所述消息业务的方式,并且其中,在所述分析引擎接收所述元数据之前,至少选择基于所述通信网络的所述配置的所述一个或多个规则,以用于处理所述元数据,
规则引擎,其在所述处理设备的处理器上进行执行,以使用所述规则数据库中所存储的所述逻辑规则集来对所述元数据存储器中所存储的所述元数据进行处理,以检测所述通信网络中的业务模式异常,以及
通知模块,其在所述处理设备的处理器上执行,以发送表示检测到的异常的通知。
25.根据权利要求24所述的异常检测系统,还包括:
在耦合到所述通信网络的另外处理设备中存储的配置改变检测模块,所述配置改变检测模块在所述另外的处理设备的处理器上进行执行以检测所述通信网络的所述配置的配置改变,并向所述分析引擎发送表示检测到的配置改变的通知。
26.根据权利要求25所述的异常检测系统,其中,所述配置改变检测模块向所述分析引擎传输配置改变的类型。
27.根据权利要求25所述的异常检测系统,其中,所述分析引擎的所述控制器响应于所述检测到的配置改变,在所述元数据数据库中采集针对所述通信网络的新的基线元数据集合,并且所述控制器根据所述基线元数据集合来生成基线信息集合,以便所述通信网络利用新配置来运行,并且其中所述规则引擎使用所述基线信息集合来实施所存储的逻辑规则集以检测异常。
28.根据权利要求25所述的异常检测系统,其中,所述配置改变检测模块存储在连接到所述通信链路的配置数据库中。
29.根据权利要求25所述的异常检测系统,其中,所述配置改变检测模块存储在未直接地连接到所述通信链路的处理设备中。
30.根据权利要求24所述的异常检测系统,其中,所述分析引擎还包括元数据基线数据库,所述元数据基线数据库在基线时间段期间,存储关于在所述通信网络的操作期间针对所述通信网络所采集的元数据的基线信息,并且其中所述规则引擎在所述处理设备的处理器上进行执行,以使用所述规则数据库中所存储的所述逻辑规则集和所述元数据基线数据库中存储的所述基线信息来对所述元数据存储器中存储的所述元数据进行处理,以检测所述通信网络中的业务模式异常。
31.根据权利要求30所述的异常检测系统,其中,所述元数据基线数据库存储一个或多个元数据参数,其中所述一个或多个元数据参数反映所存储的所述逻辑规则中的一个或多个逻辑规则在使用所述元数据存储器中存储的所述元数据来检测异常时将使用的限制或范围。
32.根据权利要求24所述的异常检测系统,其中,所述通知模块在所述处理设备的处理器上进行执行,以设置所述通信网络的一个或多个网络节点中的通信参数。
33.根据权利要求32所述的异常检测系统,其中,所述通知模块进行执行以设置防止所述通信网络的所述一个或多个网络节点中的一个网络节点在所述通信链路上进行通信的通信参数。
34.根据权利要求24所述的异常检测系统,其中,所述分析引擎位于在所述网络节点中的一个网络节点处的并且直接连接到所述通信网络的所述通信链路的处理设备中。
35.根据权利要求24所述的异常检测系统,其中,所述多个消息模块中的至少一个消息模块位于所述通信网络的子网络中的处理设备中。
36.一种在具有多个网络节点的工厂通信网络中执行异常检测的方法,所述多个网络节点通过通信链路进行互连,所述方法包括:
使用所述多个网络节点中的两个或更多网络节点中的每一个网络节点处的处理器来对所述多个网络节点中的所述两个或更多网络节点处的消息业务进行分析,以生成关于所述多个网络节点中的所述两个或更多网络节点中每一个网络节点处的所述消息业务的元数据;
用电子方法将所生成的元数据从所述多个网络节点中的所述两个或更多网络节点的每一个网络节点发送给分析引擎,所述分析引擎位于耦合到所述通信网络的计算机处理设备中;
将来自所述多个网络节点中的所述两个或更多网络节点中的每一个网络节点的所述元数据存储在所述计算机处理设备处的计算机可读存储器上;
将基线元数据参数集存储在所述计算机处理设备处的计算机可读存储器中;
使用所述计算机处理设备处的处理器、利用逻辑规则集和所存储的基线元数据参数来分析所述分析引擎对所存储的元数据,以判断在所述通信网络的所述网络节点中的一个或多个处的所述业务模式中是否存在异常,
其中,所述逻辑规则集包括基于所述通信网络的配置规定的一个或多个规则,其中,所述通信网络的所述配置规定来自所述多个网络节点的一个或多个节点操作以产生关于生成所述元数据的所述消息业务的方式,并且其中,在将所创建的元数据发送到所述分析引擎之前,至少选择基于所述通信网络的所述配置的所述一个或多个规则,以用于分析所述元数据;以及
当在所述通信网络的所述网络节点中的一个或多个网络节点处的所述业务模式中检测到异常时,执行用于纠正所述业务模式中的所述异常的动作。
37.根据权利要求36所述的方法,其中,发送所生成的元数据包括:通过所述通信链路,从所述多个网络节点中的所述两个或更多网络节点向所述分析引擎发送所生成的元数据。
38.根据权利要求36所述的方法,还包括:
检测所述通信网络的所述配置的配置改变,并向所述分析引擎发送表示检测到的配置改变的通知。
39.根据权利要求38所述的方法,还包括:
基于所述检测到的配置改变,改变用来对所存储的元数据进行分析的所述逻辑规则集中的一个逻辑规则。
40.根据权利要求38所述的方法,还包括:
向所述分析引擎传输所检测到的配置改变的类型,并基于配置改变的所述类型来改变用来对所存储的元数据进行分析的所述逻辑规则集中的一个逻辑规则。
41.根据权利要求38所述的方法,还包括:
响应于对配置改变的检测,在所述配置改变之后,基于所述通信网络的操作来采集新的元数据集,并根据所述新的元数据集来生成新的基线元数据参数集,以便所述分析引擎在对来自所述通信网络中的所述网络节点的一个或多个的元数据进行分析时使用。
42.根据权利要求36所述的方法,还包括:
在直接地连接到所述通信网络的所述通信链路的计算机设备的处理器上执行所述分析步骤。
43.根据权利要求36所述的方法,其中,执行用于纠正所检测到的异常的动作包括:向用户发送表示所述检测到的异常的通知。
44.根据权利要求36所述的方法,其中,执行用于纠正所检测到的异常的动作,包括:防止所述通信网络中的所述网络节点中的一个网络节点在所述通信链路上进行通信。
45.根据权利要求36所述的方法,其中,执行用于纠正所检测到的异常的动作,包括:防止所述通信网络中的所述网络节点中的一个网络节点允许特定的应用在所述通信链路上进行通信。
46.根据权利要求36所述的方法,其中,执行用于纠正所检测到的异常的动作,包括:防止所述通信网络中的所述网络节点里的一个网络节点在所述通信链路上传输特定类型的消息。
47.根据权利要求36所述的方法,其中,对所述多个网络节点中的所述两个或更多网络节点里的一个网络节点处的消息业务进行分析,包括:对所述多个网络节点中的所述两个或更多网络节点中的一个所述网络节点的多个子节点中的每一个子节点处的消息业务进行分析,并针对所述多个子节点中的每一个子节点处的所述消息业务来生成元数据。
CN201610124522.1A 2015-03-04 2016-03-04 工业通信网络中的异常检测 Active CN105939334B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/638,904 2015-03-04
US14/638,904 US10291506B2 (en) 2015-03-04 2015-03-04 Anomaly detection in industrial communications networks

Publications (2)

Publication Number Publication Date
CN105939334A CN105939334A (zh) 2016-09-14
CN105939334B true CN105939334B (zh) 2021-03-09

Family

ID=55641871

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610124522.1A Active CN105939334B (zh) 2015-03-04 2016-03-04 工业通信网络中的异常检测

Country Status (5)

Country Link
US (1) US10291506B2 (zh)
JP (1) JP6749106B2 (zh)
CN (1) CN105939334B (zh)
DE (1) DE102016103521A1 (zh)
GB (2) GB202113105D0 (zh)

Families Citing this family (137)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10649424B2 (en) * 2013-03-04 2020-05-12 Fisher-Rosemount Systems, Inc. Distributed industrial performance monitoring and analytics
US10282676B2 (en) 2014-10-06 2019-05-07 Fisher-Rosemount Systems, Inc. Automatic signal processing-based learning in a process plant
US10866952B2 (en) 2013-03-04 2020-12-15 Fisher-Rosemount Systems, Inc. Source-independent queries in distributed industrial system
US10909137B2 (en) 2014-10-06 2021-02-02 Fisher-Rosemount Systems, Inc. Streaming data for analytics in process control systems
US10649449B2 (en) 2013-03-04 2020-05-12 Fisher-Rosemount Systems, Inc. Distributed industrial performance monitoring and analytics
US9397836B2 (en) 2014-08-11 2016-07-19 Fisher-Rosemount Systems, Inc. Securing devices to process control systems
US9823626B2 (en) 2014-10-06 2017-11-21 Fisher-Rosemount Systems, Inc. Regional big data in process control systems
US10678225B2 (en) 2013-03-04 2020-06-09 Fisher-Rosemount Systems, Inc. Data analytic services for distributed industrial performance monitoring
US9558220B2 (en) 2013-03-04 2017-01-31 Fisher-Rosemount Systems, Inc. Big data in process control systems
US10223327B2 (en) 2013-03-14 2019-03-05 Fisher-Rosemount Systems, Inc. Collecting and delivering data to a big data machine in a process control system
US10386827B2 (en) 2013-03-04 2019-08-20 Fisher-Rosemount Systems, Inc. Distributed industrial performance monitoring and analytics platform
US9665088B2 (en) 2014-01-31 2017-05-30 Fisher-Rosemount Systems, Inc. Managing big data in process control systems
DE112014001381T5 (de) 2013-03-15 2016-03-03 Fisher-Rosemount Systems, Inc. Emerson Process Management Datenmodellierungsstudio
US10691281B2 (en) 2013-03-15 2020-06-23 Fisher-Rosemount Systems, Inc. Method and apparatus for controlling a process plant with location aware mobile control devices
US11153333B1 (en) * 2018-03-07 2021-10-19 Amdocs Development Limited System, method, and computer program for mitigating an attack on a network by effecting false alarms
US10432720B1 (en) 2014-06-25 2019-10-01 Symantec Corporation Systems and methods for strong information about transmission control protocol connections
US10728040B1 (en) * 2014-08-08 2020-07-28 Tai Seibert Connection-based network behavioral anomaly detection system and method
US10168691B2 (en) 2014-10-06 2019-01-01 Fisher-Rosemount Systems, Inc. Data pipeline for process control system analytics
WO2016148676A1 (en) * 2015-03-13 2016-09-22 Hewlett Packard Enterprise Development Lp Determine anomalous behavior based on dynamic device configuration address range
US10133614B2 (en) * 2015-03-24 2018-11-20 Ca, Inc. Anomaly classification, analytics and resolution based on annotated event logs
US9268938B1 (en) * 2015-05-22 2016-02-23 Power Fingerprinting Inc. Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection
US20160359695A1 (en) * 2015-06-04 2016-12-08 Cisco Technology, Inc. Network behavior data collection and analytics for anomaly detection
US10721154B2 (en) 2015-06-12 2020-07-21 At&T Intellectual Property I, L.P. Virtual probes
US10955810B2 (en) * 2015-11-13 2021-03-23 International Business Machines Corporation Monitoring communications flow in an industrial system to detect and mitigate hazardous conditions
US9967274B2 (en) * 2015-11-25 2018-05-08 Symantec Corporation Systems and methods for identifying compromised devices within industrial control systems
JP6693114B2 (ja) * 2015-12-15 2020-05-13 横河電機株式会社 制御装置及び統合生産システム
JP6759572B2 (ja) 2015-12-15 2020-09-23 横河電機株式会社 統合生産システム
US10503483B2 (en) 2016-02-12 2019-12-10 Fisher-Rosemount Systems, Inc. Rule builder in a process control network
US10104100B1 (en) 2016-03-03 2018-10-16 Symantec Corporation Systems and methods for detecting anomalies that are potentially indicative of malicious attacks
US10027699B2 (en) * 2016-03-10 2018-07-17 Siemens Aktiengesellschaft Production process knowledge-based intrusion detection for industrial control systems
US10237295B2 (en) * 2016-03-22 2019-03-19 Nec Corporation Automated event ID field analysis on heterogeneous logs
US20170310700A1 (en) * 2016-04-20 2017-10-26 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. System failure event-based approach to addressing security breaches
DE102016207423A1 (de) * 2016-04-29 2017-11-02 Siemens Aktiengesellschaft Verfahren zur Wegredundanzbewertung in einem Backbone-Netzwerk
US10193903B1 (en) 2016-04-29 2019-01-29 Symantec Corporation Systems and methods for detecting suspicious microcontroller messages
US10091077B1 (en) 2016-06-27 2018-10-02 Symantec Corporation Systems and methods for detecting transactional message sequences that are obscured in multicast communications
US11050768B1 (en) * 2016-09-21 2021-06-29 Amazon Technologies, Inc. Detecting compute resource anomalies in a group of computing resources
US10200259B1 (en) 2016-09-21 2019-02-05 Symantec Corporation Systems and methods for detecting obscure cyclic application-layer message sequences in transport-layer message sequences
WO2018063296A1 (en) * 2016-09-30 2018-04-05 Siemens Industry, Inc. Identification of deviant engineering modifications to programmable logic controllers
JP6793524B2 (ja) * 2016-11-01 2020-12-02 株式会社日立製作所 ログ解析システムおよびその方法
US9906545B1 (en) 2016-11-22 2018-02-27 Symantec Corporation Systems and methods for identifying message payload bit fields in electronic communications
US10623266B2 (en) * 2016-12-08 2020-04-14 Honeywell International Inc. Cross entity association change assessment system
CN108243232B (zh) * 2016-12-27 2020-09-04 中国科学院沈阳自动化研究所 一种工业网络信息互联方法与系统
US10936955B1 (en) 2017-01-13 2021-03-02 Amazon Technologies, Inc. Computationally and network bandwidth-efficient technique to determine network-accessible content changes based on computed models
US10367832B2 (en) * 2017-01-27 2019-07-30 Rapid7, Inc. Reactive virtual security appliances
US10963797B2 (en) * 2017-02-09 2021-03-30 Caterpillar Inc. System for analyzing machine data
US10868832B2 (en) 2017-03-22 2020-12-15 Ca, Inc. Systems and methods for enforcing dynamic network security policies
US10050987B1 (en) * 2017-03-28 2018-08-14 Symantec Corporation Real-time anomaly detection in a network using state transitions
US20180287987A1 (en) * 2017-03-29 2018-10-04 NURO Secure Messaging Ltd. System and method thereof for contextual customization of notifications
US10185970B1 (en) * 2017-04-21 2019-01-22 Amazon Technologies, Inc. Determining a run time for experiments performed at a network accessible site
US10951503B1 (en) 2017-04-21 2021-03-16 Amazon Technologies, Inc. Determining the validity of data collected by experiments performed at a network accessible site
US10326788B1 (en) 2017-05-05 2019-06-18 Symantec Corporation Systems and methods for identifying suspicious controller area network messages
US10432647B2 (en) * 2017-06-27 2019-10-01 Honeywell International Inc. Malicious industrial internet of things node activity detection for connected plants
WO2019003300A1 (ja) 2017-06-27 2019-01-03 三菱電機ビルテクノサービス株式会社 侵入検知装置および侵入検知方法
US10917435B2 (en) * 2017-08-17 2021-02-09 Acronis International Gmbh Cloud AI engine for malware analysis and attack prediction
FR3071637B1 (fr) * 2017-09-25 2019-09-13 Schneider Electric Industries Sas Module de commande pour systeme de dialogue homme-machine
US10659390B2 (en) * 2017-09-29 2020-05-19 Xilinx, Inc. Network interface device
CN111448783B (zh) * 2017-12-15 2021-11-19 松下电器(美国)知识产权公司 车载网络异常检测系统及车载网络异常检测方法
RO133453A2 (ro) * 2017-12-28 2019-06-28 Siemens Aktiengesellschaft Motor de procesare a semnalelor şi evenimentelor
DE102018100627B4 (de) * 2018-01-12 2019-10-10 Krohne Messtechnik Gmbh Elektrisches Gerät mit einer abgesicherten und einer ungesicherten Funktionseinrichtung
DE102018100629A1 (de) 2018-01-12 2019-07-18 Krohne Messtechnik Gmbh System mit einem elektrischen Gerät
US10922412B2 (en) * 2018-01-22 2021-02-16 The Boeing Company Automatic tampering detection in networked control systems
US10169135B1 (en) 2018-03-02 2019-01-01 Uptake Technologies, Inc. Computer system and method of detecting manufacturing network anomalies
US10554518B1 (en) 2018-03-02 2020-02-04 Uptake Technologies, Inc. Computer system and method for evaluating health of nodes in a manufacturing network
US11442428B2 (en) * 2018-04-18 2022-09-13 Fisher-Rosemount Systems, Inc. Quality review management system
CN109029543A (zh) * 2018-06-26 2018-12-18 深圳市威富智能设备有限公司 一种异常检测系统及方法
DE102018212657A1 (de) * 2018-07-30 2020-01-30 Robert Bosch Gmbh Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
CN109164786B (zh) * 2018-08-24 2020-05-29 杭州安恒信息技术股份有限公司 一种基于时间相关基线的异常行为检测方法、装置及设备
US11405373B2 (en) * 2018-09-07 2022-08-02 Honeywell International, Inc. Blockchain-based secured multicast communications
JP6724960B2 (ja) * 2018-09-14 2020-07-15 株式会社安川電機 リソース監視システム、リソース監視方法、及びプログラム
US10466220B1 (en) 2018-09-21 2019-11-05 Pace Analytical Services, LLC Alerting for instruments that transfer physical samples
DE102018217026A1 (de) * 2018-10-04 2020-04-09 Robert Bosch Gmbh Vorrichtung und Verfahren für regelbasierte Anomalieerkennung
CN109582485B (zh) * 2018-10-26 2022-05-03 创新先进技术有限公司 一种配置变更异常检测方法及装置
RU2696296C1 (ru) * 2018-11-01 2019-08-01 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") Способ обнаружения аномалий в трафике магистральных сетей Интернет на основе мультифрактального эвристического анализа
CN111198902B (zh) * 2018-11-16 2023-06-16 长鑫存储技术有限公司 元数据管理方法、装置、存储介质及电子设备
US11025657B2 (en) * 2018-12-13 2021-06-01 Imperva, Inc. Selective database logging with smart sampling
CN111555896B (zh) * 2019-02-12 2023-01-20 昆山纬绩资通有限公司 数据传输监控方法与系统
US10699556B1 (en) * 2019-03-01 2020-06-30 Honeywell International Inc. System and method for plant operation gap analysis and guidance solution
US11265336B2 (en) * 2019-03-28 2022-03-01 Red Hat, Inc. Detecting anomalies in networks
US11676063B2 (en) * 2019-03-28 2023-06-13 International Business Machines Corporation Exposing payload data from non-integrated machine learning systems
WO2020209837A1 (en) * 2019-04-09 2020-10-15 Siemens Aktiengesellschaft Industrial process system threat detection
EP3726785A1 (en) * 2019-04-16 2020-10-21 Nxp B.V. Network node
US11645234B2 (en) 2019-04-17 2023-05-09 International Business Machines Corporation Rule-based collections of subset(s) of metadata in response to a trigger event occurring
CN110096421B (zh) * 2019-04-30 2022-11-29 中国人民解放军海军大连舰艇学院 一种通信数据的采集与管理系统
EP3742322A1 (en) 2019-05-22 2020-11-25 Siemens Aktiengesellschaft Operational policies or industrial field devices and distributed databases
US11934183B2 (en) 2019-06-13 2024-03-19 Tata Consultancy Services Limited Method and system for industrial anomaly detection
US11347207B2 (en) * 2019-06-14 2022-05-31 Honeywell International Inc. System for operator messages with contextual data and navigation
CN110266735B (zh) * 2019-07-30 2021-08-27 北京中投安能科技有限公司 基于时序的工业通讯协议白名单访问控制方法
CN110597649B (zh) * 2019-09-06 2023-06-27 创新先进技术有限公司 一种数据处理方法、系统及装置
CN110650064B (zh) * 2019-09-09 2022-05-03 电子科技大学 一种通用且可配置的网络流量测量系统
US11768878B2 (en) * 2019-09-20 2023-09-26 Fisher-Rosemount Systems, Inc. Search results display in a process control system
US11768877B2 (en) * 2019-09-20 2023-09-26 Fisher-Rosemount Systems, Inc. Smart search capabilities in a process control system
US20210092097A1 (en) * 2019-09-23 2021-03-25 Fisher-Rosemount Systems, Inc. Whitelisting for HART Communications in a Process Control System
JP7337627B2 (ja) * 2019-09-24 2023-09-04 株式会社日立製作所 通信制御装置およびシステム
US11252030B2 (en) * 2019-10-02 2022-02-15 Cisco Technology, Inc. Network scale emulator
JP7095671B2 (ja) * 2019-10-30 2022-07-05 横河電機株式会社 プラントシステムおよび方法
CN112799903B (zh) * 2019-11-14 2024-07-16 北京沃东天骏信息技术有限公司 一种业务系统健康状态的评估方法和装置
CN111049805B (zh) * 2019-11-21 2022-02-25 中国联合网络通信集团有限公司 一种网络环境监测方法及装置
RU2737229C1 (ru) * 2019-11-25 2020-11-26 Общество с ограниченной ответственностью "ПОСЕЙДОН" Способ защиты систем управления транспортных средств от вторжений
US11349859B2 (en) * 2019-11-26 2022-05-31 International Business Machines Corporation Method for privacy preserving anomaly detection in IoT
CN110890983B (zh) * 2019-11-26 2022-04-05 北京杰思安全科技有限公司 一种基于大数据的流处理预警的方法
CN112866047A (zh) * 2019-11-27 2021-05-28 中国石油天然气股份有限公司 无线数据的检测装置
CN110972210B (zh) * 2019-12-06 2023-02-24 深圳大学 基于农业物联网的LoRa网关断网决策方法及装置
CN111078757B (zh) * 2019-12-19 2023-09-08 武汉极意网络科技有限公司 一种自主学习的业务风控规则引擎系统及风险评估方法
US11300950B2 (en) * 2020-02-03 2022-04-12 Rockwell Automation Technologies, Inc. Systems and methods for automatic configuration of intelligent electronic devices
CN111338837B (zh) * 2020-03-02 2023-08-25 支付宝(杭州)信息技术有限公司 数据处理方法、装置、设备及介质
JP7234173B2 (ja) * 2020-03-06 2023-03-07 Kddi株式会社 モデル学習装置、モデル学習方法及びコンピュータプログラム
CN111327710A (zh) * 2020-03-16 2020-06-23 合肥亚辰机械制造有限公司 波轮不锈钢内桶生产线网络系统
US11811641B1 (en) * 2020-03-20 2023-11-07 Juniper Networks, Inc. Secure network topology
CN111600863B (zh) * 2020-05-08 2022-09-13 杭州安恒信息技术股份有限公司 网络入侵检测方法、装置、系统和存储介质
US11831664B2 (en) 2020-06-03 2023-11-28 Netskope, Inc. Systems and methods for anomaly detection
CN111752936B (zh) * 2020-06-30 2024-04-26 中国科学院西北生态环境资源研究院 数据检测管理方法、装置、服务器及可读存储介质
US11601457B2 (en) 2020-08-26 2023-03-07 Bank Of America Corporation Network traffic correlation engine
CN112153020A (zh) * 2020-09-10 2020-12-29 深圳供电局有限公司 一种工控流量分析方法及装置
JP7296349B2 (ja) * 2020-09-24 2023-06-22 Kddi株式会社 インフラ検証コード生成装置、方法およびプログラム
US12088614B2 (en) * 2020-09-30 2024-09-10 Rockwell Automation Technologies, Inc. Systems and methods for detecting anomalies in network communication
US11457012B2 (en) * 2020-11-03 2022-09-27 Okta, Inc. Device risk level based on device metadata comparison
CN112528200A (zh) * 2020-12-10 2021-03-19 中国农业科学院农业信息研究所 一种网站后台安全管控方法及系统
US11765188B2 (en) * 2020-12-28 2023-09-19 Mellanox Technologies, Ltd. Real-time detection of network attacks
US11757736B2 (en) * 2021-01-08 2023-09-12 Vmware , Inc. Prescriptive analytics for network services
CN112818307B (zh) * 2021-02-25 2024-05-28 深信服科技股份有限公司 用户操作处理方法、系统、设备及计算机可读存储介质
CN113189943B (zh) * 2021-03-30 2022-06-21 中国人民解放军海军工程大学 一种工控系统现场测点模拟数据生成方法及系统
CN113315771B (zh) * 2021-05-28 2023-06-27 苗叶 一种基于工业控制系统的安全事件告警装置和方法
US11848838B2 (en) * 2021-06-24 2023-12-19 Hewlett Packard Enterprise Development Lp Communicating node events in network configuration
US11508234B1 (en) * 2021-06-29 2022-11-22 Honeywell International Inc. Reducing false alarms in security system
US11902829B2 (en) * 2021-07-15 2024-02-13 Rakuten Mobile, Inc. Traffic pattern identification and network function control method and apparatus
US11669617B2 (en) * 2021-09-15 2023-06-06 Nanotronics Imaging, Inc. Method, systems and apparatus for intelligently emulating factory control systems and simulating response data
CN114221862A (zh) * 2021-12-08 2022-03-22 深圳绿米联创科技有限公司 设备的网络配置方法、装置、电子设备以及存储介质
CN114282795B (zh) * 2021-12-21 2022-09-16 北京永信至诚科技股份有限公司 网络靶场人员技能评估方法、装置、设备及可读存储介质
KR102666836B1 (ko) * 2021-12-29 2024-05-20 빅오 주식회사 산업 제어 시스템 보안을 위한 외부 원격 접속 관리 시스템 및 방법
TWI789219B (zh) * 2022-01-21 2023-01-01 友訊科技股份有限公司 用於網路設備之監控分析輔助及引導方法、其終端設備及可讀儲存介質
CN114500232A (zh) * 2022-01-24 2022-05-13 上海华力微电子有限公司 一种工厂网络中间件监控系统
CN114615036B (zh) * 2022-03-01 2024-08-30 奇安信科技集团股份有限公司 异常行为检测方法、装置、设备和存储介质
CN114884708B (zh) * 2022-04-25 2024-04-16 浙江清捷智能科技有限公司 一种工业总线网络安全监测方法
CN115454015B (zh) * 2022-07-28 2024-09-13 重庆长安汽车股份有限公司 控制器节点检测方法、装置、控制系统、车辆及存储介质
US20240129324A1 (en) * 2022-10-18 2024-04-18 Bank Of America Corporation Systems, methods, and apparatuses for tracking network traffic data and identifying rogue access patterns in an electronic network
EP4372589A1 (de) * 2022-11-16 2024-05-22 Siemens Aktiengesellschaft Überwachungssystem zum nachgelagerten prüfen einer systemintegrität
CN115829192B (zh) * 2023-02-23 2023-04-21 中建安装集团有限公司 一种用于实现工程信息安全监管的数字化管理系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006021943A1 (en) * 2004-08-09 2006-03-02 Nice Systems Ltd. Apparatus and method for multimedia content based
CN101933313A (zh) * 2007-12-18 2010-12-29 太阳风环球有限责任公司 将针对网络设备的网络流中的网络地址解析为主机名称的方法
WO2013123441A1 (en) * 2012-02-17 2013-08-22 Tt Government Solutions, Inc. Method and system for packet acquisition, analysis and intrusion detection in field area networks
CN103824069A (zh) * 2014-03-19 2014-05-28 北京邮电大学 一种基于多主机日志关联的入侵检测方法
CN104115463A (zh) * 2011-11-07 2014-10-22 网络流逻辑公司 用于处理网络元数据的流式传输方法和系统

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7043759B2 (en) 2000-09-07 2006-05-09 Mazu Networks, Inc. Architecture to thwart denial of service attacks
US20050262237A1 (en) * 2004-04-19 2005-11-24 Netqos, Inc. Dynamic incident tracking and investigation in service monitors
CA2467603A1 (en) * 2004-05-18 2005-11-18 Ibm Canada Limited - Ibm Canada Limitee Visualization firewall rules in an auto provisioning environment
US8548964B1 (en) * 2007-09-28 2013-10-01 Emc Corporation Delegation of data classification using common language
US8612573B2 (en) * 2008-08-28 2013-12-17 Ca, Inc. Automatic and dynamic detection of anomalous transactions
US8938533B1 (en) * 2009-09-10 2015-01-20 AppDynamics Inc. Automatic capture of diagnostic data based on transaction behavior learning
US20110119100A1 (en) * 2009-10-20 2011-05-19 Jan Matthias Ruhl Method and System for Displaying Anomalies in Time Series Data
EP2328315A1 (en) 2009-11-30 2011-06-01 BAE Systems PLC Processing network traffic
JP5088403B2 (ja) 2010-08-02 2012-12-05 横河電機株式会社 不正通信検出システム
WO2013186870A1 (ja) * 2012-06-13 2013-12-19 株式会社日立製作所 サービス監視システム、及び、サービス監視方法
US9874869B2 (en) 2013-03-29 2018-01-23 Hitachi, Ltd. Information controller, information control system, and information control method
US9674042B2 (en) * 2013-11-25 2017-06-06 Amazon Technologies, Inc. Centralized resource usage visualization service for large-scale network topologies
US20160191549A1 (en) 2014-10-09 2016-06-30 Glimmerglass Networks, Inc. Rich metadata-based network security monitoring and analysis

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006021943A1 (en) * 2004-08-09 2006-03-02 Nice Systems Ltd. Apparatus and method for multimedia content based
CN101933313A (zh) * 2007-12-18 2010-12-29 太阳风环球有限责任公司 将针对网络设备的网络流中的网络地址解析为主机名称的方法
CN104115463A (zh) * 2011-11-07 2014-10-22 网络流逻辑公司 用于处理网络元数据的流式传输方法和系统
WO2013123441A1 (en) * 2012-02-17 2013-08-22 Tt Government Solutions, Inc. Method and system for packet acquisition, analysis and intrusion detection in field area networks
CN103824069A (zh) * 2014-03-19 2014-05-28 北京邮电大学 一种基于多主机日志关联的入侵检测方法

Also Published As

Publication number Publication date
CN105939334A (zh) 2016-09-14
DE102016103521A1 (de) 2016-09-08
GB2537457A (en) 2016-10-19
GB201602098D0 (en) 2016-03-23
JP6749106B2 (ja) 2020-09-02
US20160261482A1 (en) 2016-09-08
US10291506B2 (en) 2019-05-14
GB202113105D0 (en) 2021-10-27
GB2537457B (en) 2021-12-22
JP2016163352A (ja) 2016-09-05

Similar Documents

Publication Publication Date Title
CN105939334B (zh) 工业通信网络中的异常检测
CN106168757B (zh) 工厂安全系统中的可配置鲁棒性代理
US11843628B2 (en) Cyber security appliance for an operational technology network
Radoglou-Grammatikis et al. Securing the smart grid: A comprehensive compilation of intrusion detection and prevention systems
US8949668B2 (en) Methods and systems for use in identifying abnormal behavior in a control system including independent comparisons to user policies and an event correlation model
US20210194815A1 (en) Telemetry collection and policy enforcement using asset tagging
Flaus Cybersecurity of industrial systems
Januário et al. A distributed multi-agent framework for resilience enhancement in cyber-physical systems
WO2021119140A1 (en) Centralized knowledge repository and data mining system
GB2604036A (en) Poisoning protection for process control switches
JP2021057894A (ja) 保護されたプロセスプラントのデータ配信のためのデータタイピングを備えるエッジゲートウェイシステム
Mantere et al. Challenges of machine learning based monitoring for industrial control system networks
Corbò et al. Smart behavioural filter for industrial internet of things: A security extension for plc
Cruz et al. Improving cyber-security awareness on industrial control systems: The cockpitci approach
Jung et al. Anomaly Detection in Smart Grids based on Software Defined Networks.
Colelli et al. Securing connection between IT and OT: the Fog Intrusion Detection System prospective
US20230412603A1 (en) Industrial device mac authentication bypass bootstrapping
Iqbal et al. Augmenting security of internet-of-things using programmable network-centric approaches: a position paper
Rao et al. Industrial control systems security and supervisory control and data acquisition (SCADA)
Cruz et al. A distributed IDS for industrial control systems
US20230379213A1 (en) Intelligent closed-loop device profiling for proactive behavioral expectations
Chiu SDN-Based Critical Infrastructure Resilience: A Smart Grid Perspective
Krok How industrial automation systems met the Internet–on SCADA communication protocols and security
Krimmling et al. 18 Intrusion Detection Systems for (Wireless) Automation Systems
JP2024515738A (ja) プロセス自動化ノード間で帯域外通信チャネルを活用すること

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant