CN107526349A - 异常配置更改的检测 - Google Patents
异常配置更改的检测 Download PDFInfo
- Publication number
- CN107526349A CN107526349A CN201710461420.3A CN201710461420A CN107526349A CN 107526349 A CN107526349 A CN 107526349A CN 201710461420 A CN201710461420 A CN 201710461420A CN 107526349 A CN107526349 A CN 107526349A
- Authority
- CN
- China
- Prior art keywords
- iacs
- anomalous event
- configuration
- generation
- assess
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000008859 change Effects 0.000 title claims description 45
- 238000001514 detection method Methods 0.000 title claims description 15
- 230000002159 abnormal effect Effects 0.000 title description 9
- 230000002547 anomalous effect Effects 0.000 claims abstract description 66
- 230000000694 effects Effects 0.000 claims abstract description 21
- 238000000034 method Methods 0.000 claims abstract description 20
- 238000004590 computer program Methods 0.000 claims abstract description 5
- 238000011022 operating instruction Methods 0.000 claims abstract 2
- 238000009434 installation Methods 0.000 claims description 23
- 238000004458 analytical method Methods 0.000 claims description 10
- 238000007689 inspection Methods 0.000 claims description 6
- 238000013433 optimization analysis Methods 0.000 claims 1
- 238000004891 communication Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 230000000454 anti-cipatory effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 235000013399 edible fruits Nutrition 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000004224 protection Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/18—Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
- G05B19/406—Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by monitoring or safety
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0208—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
- G05B23/0213—Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24065—Real time diagnostics
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/34—Director, elements to supervisory
- G05B2219/34465—Safety, control of correct operation, abnormal states
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明涉及用于分析在工业自动化和控制系统IACS中异常事件的方法,包括以下步骤:识别异常事件;检测异常事件的根本原因;以及如果根本原因不是用户活动,则生成通知,并且如果根本原因是用户活动,则评估由异常事件造成的对IACS的可能影响,并且如果可能影响的评估不匹配可允许行为的预定义列表,则生成通知。本发明也涉及包括具有用于执行方法的步骤的计算机可运行指令的一个或更多计算机可读媒体的对应系统和对应计算机程序产品。
Description
技术领域
本发明涉及用于检测在工业自动化和控制系统IACS中的异常配置更改的方法、对应的IACS及对应的计算机程序产品。具体而言,本发明涉及在工业自动化和控制系统中的网络安全和维护方面。
背景技术
工业控制装置现今设计成包含基本网络安全机制,例如认证、授权和登录(logging)。这强加了对要在装置中执行一些更改的用户需要的认证。
对于任何经认证的用户,装置将向相应的用户授权一定的许可。另外,采用登录机制,装置能够记录所有用户活动,并且将事件日志发送到集中的收集系统。
IACS的配置现今主要以机器可读格式进行良好的文档记录。例如,在IEC 61850的域中,IACS的配置通常在系统配置描述中很好地描述。
因此,一旦IEC 61850变电站被委托(commission),对配置的更改便不可能发生。
参考文献[1]涉及用于验证工业自动化和控制系统的通信网络的单元和验证工业自动化和控制系统的通信网络的方法。具体而言,参考文献[1]涉及用于验证工业自动化和控制系统的通信网络的单元,其包括配置成存储定义工业自动化和控制系统的设计的通信网络的计划数据的计划器模块、配置成收集定义工业自动化和控制系统的部署的通信网络的有效数据的收集器模块以及配置成使用计划数据和有效数据,检测在设计的通信网络与部署的通信网络之间差别的差别检测器。
参考文献[2]是IBM白皮书,并且涉及以IBM解决方案增强用于多协议标签交换网络的管理。
发明内容
因此,本发明的目的是检测在工业自动化和控制系统IACS中的异常配置更改。
本发明还有的目的是通过针对工业自动化和控制系统的记录和/或委托配置(commissioned configuration)而将在工业控制装置上执行的动作相关,识别可能的即将到来的事件(例如,对IACS操作的干扰)、网络安全事件或维护事件。
本发明还有的目的是识别可能是来自有目标的攻击的动作的某些异常配置更改。
本发明还有的目的是识别未适当完成的某些配置更改。
这些和其它目的通过根据独立权利要求项的方法、系统和计算机程序产品而得以实现。从从属专利权利要求,优选实施例是明白的。
本发明涉及用于分析在工业自动化和控制系统IACS中异常事件的方法,包括以下步骤:识别异常事件;检测异常事件的根本原因;以及如果根本原因不是用户活动,则生成通知,并且如果根本原因是用户活动,则评估由异常事件造成的对IACS的可能影响,并且如果可能影响的评估不匹配可允许行为的预定义列表,则生成通知。
优选的是,使用可允许事件类型和/或异常事件类型的预定义列表,识别异常事件。
优选的是,使用监控诊断数据,创建可允许事件类型和/或异常事件类型的预定义列表。
优选的是,通过评估IACS的配置中与识别的异常事件有关的至少一个更改,执行评估对IACS的可能影响。
优选的是,通过比较IAGS的预定义配置和由异常事件造成的IACS的配置中的至少一个更改,执行评估由异常事件造成的IACS的配置中的更改。
优选的是,IACS的配置中的至少一个更改由来自IACS或连接到IACS的至少一个工业控制装置的意外事件(incident event)造成。
优选的是,预定义配置是委托配置。优选的是,预定义配置是以前在IACS上运行的配置。优选的是,预定义配置是当前在IACS上运行的配置。
优选的是,使用有关已受IACS的配置中的至少一个更改影响的至少一个电子装置的信息,执行评估对IACS的可能影响的步骤。优选的是,使用有关至少一个电子装置的功能性的信息,执行评估对IACS的可能影响的步骤。优选的是,至少一个电子装置的功能性是至少一个电子装置为IACS中的发送器。优选的是,至少一个电子装置的功能性是至少一个电子装置为IACS中的接收器。优选的是,使用有关至少一个电子装置与IACS的至少一个其他电子装置的互连的信息,执行评估对IACS的可能影响的步骤。优选的是,在IACS的两个电子装置之间的互连是两个电子装置中的一个是接收器,并且两个电子装置的另一电子装置是发送器。
优选的是,方法还包括检测在IACS的配置中由意外事件造成的至少一个更改的步骤。
优选的是,使用IACS或IACS的至少一个部分的至少一个状态监测信息,执行检测IACS的配置中的至少一个更改的步骤。优选的是,使用IACS或例如IACS的至少一个IED的IACS的至少一个部分的简单网络管理协议SNMP,执行检测IACS的配置中的至少一个更改的步骤。
优选的是,分析上载到IACS的至少一个装置的配置文件,执行评估对IACS的可能影响,该配置文件包含用于IACS的配置中更改的信息和/或指令。
优选的是,分析至少一个电子装置是否为在IACS内的指令发送器和/或接收器,执行评估对IACS的可能影响的步骤。优选的是,分析是否存在发送器和/或接收器的功能性中的更改,执行评估对IACS的可能影响的步骤。
优选的是,分析用户的证书的有效性,执行评估对IACS的可能影响的步骤。优选的是,分析用户的凭证的有效性,执行评估对IACS的可能影响的步骤。
优选的是,有关评估由异常事件造成的对IACS的可能影响的结果的信息和有关异常事件的信息被联合,并且联合的信息被存储在记录中。
优选的是,检查记录,执行评估对IACS的可能影响,该记录包括有关评估由以前异常事件造成的对IACS的可能影响的至少一个以前结果和有关所述至少一个以前异常事件的信息的联合的信息。
优选的是,生成的通知被发送到IACS的操作员。优选的是,生成的通知包括时间警告。此时间警告能够是用来提示IACS的操作员检查某些配置更改的完成度的指示符,未完成的配置更改将优选导致IACS的不可允许的行为。
本发明也涉及用工业自动化和控制系统IACS,包括:识别单元,配置成识别异常事件;检测单元,配置成检测异常事件的根本原因;以及生成和评估单元,配置成如果根本原因不是用户活动,则生成通知,并且如果根本原因是用户活动,则配置成评估由异常事件造成的对IACS的可能影响,并且如果可能影响的评估不匹配可允许行为的预定义列表,则生成通知。
优选的是,识别单元配置成通过使用可允许事件类型和/或异常事件类型的预定义列表,识别异常事件。
优选的是,生成和评估单元配置成通过使用有关下列中至少一个的信息,评估对IACS的可能影响:已受异常事件影响的至少一个电子装置、该至少一个电子装置的功能性和至少一个电子装置与IACS的至少一个其他电子装置的互连。
优选的是,生成和评估单元配置成通过分析上载到IACS的至少一个装置的配置文件,评估对IACS的可能影响,该配置文件包含用于IACS的配置中更改的信息和/或指令。
优选的是,生成和评估单元配置成通过分析至少一个装置是否为在IACS内的指令发送器和/或接收器,并且分析是否存在发送器和/或接收器的功能性中的更改,评估对IACS的可能影响。
优选的是,生成和评估单元配置成通过分析用户的证书的有效性,评估对IACS的可能影响。
优选的是,系统还包括配置成联合评估由异常事件造成的对IACS的可能影响的结果和有关异常事件的信息,并且配置成在记录中存储联合的信息。优选的是,记录包括在系统中。
优选的是,生成和评估单元配置成通过检查记录,评估对IACS的可能影响,该记录包括有关评估由以前异常事件造成的对IACS的可能影响的至少一个以前结果和有关所述至少一个以前异常事件的信息的联合的信息。
本发明也涉及包括具有用于执行任何上面讨论的方法的步骤的计算机可运行指令的一个或更多计算机可读媒体的计算机程序产品。
由技术人员理解,上面提及的方法/方法步骤也适用于IACS的至少一个部分或多个部分。
借助于IACS中的全面联网,本发明实现收集在相同位置(例如,IACS的提供商的服务器)上的IACS的完整描述和登录信息,以及执行能够预测最可能即将到来的事件的相关分析,这些即将到来的事件能够由于对工业控制装置的一些更改而发生。
附图说明
参照在附图中图示的优选示范实施例,在下文中将更详细解释本发明的主题,其中:
图1以示意方式示出根据本发明的实施例的流程图;
图2以示意方式示出根据本发明的实施例的工业自动化和控制系统。
图3以示意方式示出根据本发明的另一实施例的工业自动化和控制系统。
图形中使用的参考符号及其主要含意在标号列表中以概要形式列出。大体上,在图形中为相同的部分提供相同的参考符号。
具体实施方式
在第一步骤S101中,识别异常事件。事件能够是用户活动事件或者例如由IACS或例如IED的IACS的一部分本身造成,或者由例如骇客的外部源造成的意外事件。根据此实施例,通过查找可允许事件类型的预定义列表,即,可允许事件/事件类型的白名单,和/或异常事件类型的预定义列表,即,异常事件/事件类型的黑名单,确定异常性。在本上下文中,对于记录的每个事件,能够检查已由用户执行的活动,并且系统识别在其上进行了活动的装置、在活动中已修改的内容及它在何时由谁修改。
在第二步骤S102中,检查异常事件的根本原因,例如,如果用户更改保护参数,则此更改被归类为用户事件。
随后,对异常事件的根本原因是为用户活动,还是根本原因不是用户活动进行分类。
如果异常事件的根本原因不是用户活动,则在步骤S103A中,生成通知,并且向IACS的操作员报告通知。
如果异常事件的根本原因是用户活动,则在步骤S103B中,评估由异常事件造成的对IACS的可能影响。换而言之,分析由异常事件造成的IED和/或IACS的可能行为。例如,通过识别什么装置已被更改,该装置在整体IACS中的作用是什么以及在IACS内该装置如何被互连,能够进行影响分析。例如,如果在某个IED上上载新CCF/CID文件,则通过分析SCD文件,有可能识别该IED是指令发送器还是接收器,并且也识别连接/有关的装置。此类更改可对变电站自动化系统中的总体数据流有影响。另一示例示出在网络交换器上执行的更改,例如,将端口从全双工更改成半双工。随后,能够预期由于冲突而将存在消息丢失或延迟。在此情况下,影响能够是可能的装置崩溃、意外、网络安全事件或甚至维护事件。通过某些文档记录/编程的专业知识或简单的逻辑推理,能够帮助影响分析。到分析引擎的输入例如能够是:SCD文件、基于知识的评估、专业技能或进行维护活动的用户的证书有效性。
在下一步骤S104中,如果可能影响的评估公开预期行为不匹配可允许行为的预定义列表,则生成通知。另外,通过组合有关异常事件的信息,优选地也是由异常事件造成的IACS或例如IED的IACS的至少一部分的配置更改和可能影响,创建可能的影响记录。另外,基于评估,例如,如果评估预期行为不匹配可允许行为的预定义列表,则能够设置将来进行(go off)的时间通知,即警告。此警告能够是用来提示IACS的操作员检查由异常事件造成的某些配置更改的完成度的指示符,例如,配置更改如果未完成的话,则将导致不可允许的行为,但如果完成,则将导致可允许行为。另外,检查记录,执行评估对IACS或像IED的IACS的一部分的可能影响,该记录包括有关评估由至少一个以前异常事件造成的对IACS的可能影响的至少一个以前结果和有关至少一个以前异常事件的信息的联合的信息。换而言之,能够基于过去的某个用户活动,检查是否存在记录的可能影响。如果存在一个影响,则系统能够迅速识别意外(incident)的可能原因和也识别造成此意外发生的可能用户。
图2以示意方式示出根据本发明的实施例的工业自动化和控制系统100。系统100包括控制单元110和多个智能电子装置IED 120。控制单元包括识别单元101、检测单元102、生成和评估单元103及生成单元104。
如果用户例如上载新配置文件到IED中的一个,例如根据IEC 61850规范的新CCF/CID文件,则识别单元101识别此上载是否为异常事件。在此优选实施例中,事件是否指异常事件的确定基于查找可允许事件的相应列表,即事件的白名单。
在下一步骤中,检测单元102检测异常事件的根本原因。换而言之,检测单元102确定异常事件是否由用户造成。如果根本原因不是用户事件,则生成和评估单元103生成通知,并且将此通知发送到IACS的操作员。
然而,如果根本原因是用户事件,则生成和评估单元103评估由异常事件对IED和/或整个IACS 100的可能影响。例如,生成和评估单元103分析CCF文件,并且识别所述IED是否为IACS 100中的指令发送器或接收器,并且也识别IACS 100中连接和/或有关的装置。换而言之,生成和评估单元103使用有关已受由异常事件造成的IED/IACS 100的配置中更改影响的IED的信息,使用IED本身的信息,例如IED是否为IACS 100中的发送器或接收器,并且也评估所述IED与例如多个IED 120的其它IED的IACS 100的其它装置的互连。如果可能影响的评估不匹配由异常事件造成的IACS 100的可允许行为的预定义列表,则生成和评估单元103生成通知。换而言之,如果由异常事件造成的配置中的更改的可能影响造成IED/IACS 100的行为,其不匹配IACS 100的可允许行为的预定义列表,则生成到IACS 100的操作员的警告和/或通知。
在根据本发明的另一实施例中,生成和评估单元103评估由异常用户事件造成的例如CCF文件的配置文件中的更改。生成和评估单元103能够触发IED以检查IED和IACS的作用是什么,以及是否存在发送器中的更改。如果无更改,则配置中的更改可只是只影响那个特定IED的更改。然而,如果IED的发送器已更改,则生成和评估单元103能够确定IACS的所有可能接收器/接收IED。此信息例如能够从IEC 61850 SCD文件检索。在知道接收器时,生成和评估单元103能够设置在一定量的时间后进行的警报。该时间量能够从维护记录/以前运行的配置文件确定,或者只通过假设配置更改要在相同营业日内完成来确定。在发送器和接收器被更新时,则最可能数据流已正确更改,并且警报能够被重置。如果只部分更改数据流,并且在系统中不存在进一步维护的通知,则这可能是需要进一步调查的有目标的攻击,或者是通过他/她的凭证识别的维护工程师的错误。
图3以示意方式示出根据本发明的另一实施例的工业自动化和控制系统100。系统100包括控制单元110、多个智能电子装置IED 120及包括网络交换器131的变电站130。而且,在本实施例中,控制单元包括识别单元101、检测单元102及生成和评估单元103。
用户被委托到变电站130以便更新网络交换器131的固件。在到达网络交换器后,用户使用他/她的凭证登录到网络交换器131中。用户随后执行网络交换器131的固件更新。网络交换器131记录此动作,并且将用户事件日志和配置中的更改发送到识别单元101。备选地,识别单元101自动检测网络交换器131的配置中的更改。
在执行网络交换器131的固件更新后,用户执行某些合理检查。在此情况下,用户将端口行为从全双工交换到半双工。在检查后,用户应已将端口行为交换回全双工。然而,用户忘记将交换器131的端口行为交换回来。网络交换器131记录此动作/更改配置,并且将事件发送到识别单元101。备选地,识别单元101自动检测所述异常事件和网络交换器131的配置中的相应的更改。检测单元102检测所述异常事件的根本原因是用户事件,并且生成和评估单元103比较由异常用户事件造成的网络交换器131的配置中的上面提及的更改和委托配置,并且断定存在与网络交换器的委托考虑(commission consideration)的偏差。生成和评估单元103评估改变端口行为的影响,并且断定端口行为的所述更改导致缺失的业务。此缺失的业务是IACS 100的交换器131的不可允许行为,并且生成单元104生成到IACS100的操作员的相应的通知。
另一示例是用户清除网络交换器131的过滤器,并且随后业务不再被过滤。在此情况下,生成和评估单元103评估清除网络交换器131的过滤器的影响,并且断定所述清除导致业务的未过滤,可能造成IACS 100的至少一部分,可能是多个IED 120中的至少一个过载。此过载是IACS 100的交换器131的不可允许行为,并且生成和评估单元103生成到IACS100的操作员的相应的通知。
虽然本发明已在图形和前面描述中详细描述,但此种描述要视为是说明性或示范性而不是限制性的。从研究图形、公开和随附权利要求,本领域熟练的并且实践要求保护的发明的技术人员能够理解和实现公开实施例的变化。在权利要求中,词语“包括”不排除其它元件或步骤,并且不定冠词“一”或“一个”不排除多个。在相互不同的权利要求中阐述某些元件或步骤的简单事实并不是指示不能有利地使用这些元件的组合,具体而言,除实际权利要求相关性外,任何另外的有意义的权利要求组合还将被视为已公开。
标号列表
100 - 工业自动化和控制系统IACS
110 - 控制单元
101 - 识别单元
102 - 检测单元
103 - 生成和评估单元
120 - 多个智能电子装置IED
130–变电站
131 - 网络交换器。
参考文献:
。
Claims (15)
1.一种用于分析工业自动化和控制系统IACS中异常事件的方法,包括以下步骤:
a)识别所述异常事件;
b)检测所述异常事件的根本原因;以及
c)如果所述根本原因不是用户活动,则生成通知,并且如果所述根本原因是用户活动,则评估由所述异常事件造成的对所述IACS的可能影响,并且如果所述可能影响的评估不匹配可允许行为的预定义列表,则生成通知。
2.如权利要求1所述的方法,其中使用可允许事件类型和/或异常事件类型的预定义列表,识别所述异常事件。
3.如权利要求1或2中的任何所述的方法,其中通过评估所述IACS的配置中与所识别的异常事件有关的至少一个更改,执行评估对所述IACS的所述可能影响。
4.如权利要求3所述的方法,其中通过比较所述IAGS的预定义配置和由所述异常事件造成的所述IACS的所述配置中的所述至少一个更改,执行评估由所述异常事件造成的所述IACS的所述配置中的所述更改。
5.如权利要求4所述的方法,所述预定义配置是下列中的至少一个:委托配置、以前在所述IACS上运行的配置和当前在所述IACS上运行的配置。
6.如权利要求1到5中的任何所述的方法,其中使用有关下列中至少一个的信息,执行评估对所述IACS的所述可能影响:已受所述异常事件影响的至少一个电子装置、所述至少一个电子装置的功能性和所述至少一个电子装置与所述IACS的至少一个其他电子装置的互连。
7.如权利要求3到5中的任何所述的方法,其中分析上载到所述IACS的至少一个装置的配置文件,执行评估对所述IACS的所述可能影响,所述配置文件包含用于所述IACS的所述配置中所述更改的信息和/或指令。
8.如权利要求6或7所述的方法,其中分析所述至少一个装置是否为在所述IACS内的指令发送器和/或接收器,并且优选分析是否存在所述发送器和/或接收器的所述功能性中的更改,执行评估对所述IACS的所述可能影响。
9.如权利要求1到8中的任何所述的方法,其中有关评估由所述异常事件造成的对所述IACS的所述可能影响的结果的信息和有关所述异常事件的信息被联合,并且所联合的信息被存储在记录中。
10.如权利要求1到9中的任何所述的方法,其中检查记录,执行评估对所述IACS的所述可能影响,所述记录包括有关评估由以前异常事件造成的对所述IACS的可能影响的至少一个以前结果和有关所述至少一个以前异常事件的信息的联合的信息。
11.一种工业自动化和控制系统IACS,包括:
识别单元,配置成识别异常事件;
检测单元,配置成检测所述异常事件的根本原因;以及
生成和评估单元,配置成如果所述根本原因不是用户活动,则生成通知,并且如果所述根本原因是用户活动,则配置成评估由所述异常事件造成的对所述IACS的可能影响,并且如果所述可能影响的评估不匹配可允许行为的预定义列表,则生成通知。
12.如权利要求11所述的系统,其中所述识别单元配置成通过使用可允许事件类型和/或异常事件类型的预定义列表,识别所述异常事件。
13.如权利要求11或12所述的系统,其中所述生成和评估单元配置成通过使用有关下列中的至少一个的信息,评估对所述IACS的所述可能影响:已受所述异常事件影响的至少一个电子装置、所述至少一个电子装置的功能性和所述至少一个电子装置与所述IACS的至少一个其他电子装置的互连。
14.如权利要求11或13所述的系统,其中所述生成和评估单元配置成通过分析至少一个装置是否为在所述IACS内的指令发送器和/或接收器,并且分析是否存在所述发送器和/或接收器的所述功能性中的更改,评估对所述IACS的所述可能影响。
15.一种包括一个或更多计算机可读媒体的计算机程序产品,所述计算机可读媒体具有用于执行如权利要求1到10中的任何所述的任何方法的步骤的计算机可运行指令。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP16174838.9 | 2016-06-16 | ||
| EP16174838.9A EP3258661B1 (en) | 2016-06-16 | 2016-06-16 | Detection of abnormal configuration changes |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107526349A true CN107526349A (zh) | 2017-12-29 |
| CN107526349B CN107526349B (zh) | 2022-03-01 |
Family
ID=56148174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710461420.3A Active CN107526349B (zh) | 2016-06-16 | 2017-06-16 | 用于分析异常事件的方法及工业自动化和控制系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11243508B2 (zh) |
| EP (1) | EP3258661B1 (zh) |
| CN (1) | CN107526349B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109886833A (zh) * | 2019-01-21 | 2019-06-14 | 广东电网有限责任公司信息中心 | 一种面向智能电网服务器流量异常检测的深度学习方法 |
| CN113312626A (zh) * | 2020-02-26 | 2021-08-27 | 卡巴斯基实验室股份制公司 | 评估软件对工业自动化和控制系统的影响的系统和方法 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10516579B2 (en) * | 2016-12-14 | 2019-12-24 | Infinera Corporation | Techniques for reconciliation of planned network with deployed network |
| US20180181762A1 (en) * | 2016-12-28 | 2018-06-28 | Intel Corporation | Techniques for persistent firmware transfer monitoring |
| US11050780B2 (en) * | 2017-12-06 | 2021-06-29 | International Business Machines Corporation | Methods and systems for managing security in computing networks |
| JP7103197B2 (ja) * | 2018-12-14 | 2022-07-20 | トヨタ自動車株式会社 | 通信システム |
| EP3745667B1 (en) * | 2019-05-31 | 2023-01-25 | ABB Schweiz AG | Detection of harmful process intent in an intent-based production process |
| DE102020111450A1 (de) * | 2020-04-27 | 2021-10-28 | Bayerische Motoren Werke Aktiengesellschaft | Erkennen von Fehlern in einem Computernetzwerk |
| JP2022155174A (ja) * | 2021-03-30 | 2022-10-13 | 横河電機株式会社 | 診断装置、診断方法および診断プログラム |
| US20230136570A1 (en) * | 2021-11-04 | 2023-05-04 | Bell Textron Inc. | Managing access for a manufacturing system |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1420317A2 (en) * | 2002-10-21 | 2004-05-19 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis, validation, and learning in an industrial controller environment |
| CN101035030A (zh) * | 2007-03-07 | 2007-09-12 | 中控科技集团有限公司 | 工业以太网数据监控的检测方法和装置 |
| CN101159523A (zh) * | 2007-11-26 | 2008-04-09 | 中控科技集团有限公司 | 基于工业以太网的故障处理方法、系统及一种交换设备 |
| US20110039237A1 (en) * | 2008-04-17 | 2011-02-17 | Skare Paul M | Method and system for cyber security management of industrial control systems |
| US20110288692A1 (en) * | 2010-05-20 | 2011-11-24 | Accenture Global Services Gmbh | Malicious attack detection and analysis |
| US20160085986A1 (en) * | 2005-05-31 | 2016-03-24 | Kurt James Long | System and method of fraud and misuse detection using event logs |
| EP3002648A2 (en) * | 2014-09-30 | 2016-04-06 | Schneider Electric USA, Inc. | Scada intrusion detection systems |
| EP3024192A1 (en) * | 2014-11-24 | 2016-05-25 | ABB Technology AG | Analysing security risks of an industrial automation and control system |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060034305A1 (en) * | 2004-08-13 | 2006-02-16 | Honeywell International Inc. | Anomaly-based intrusion detection |
| US9955352B2 (en) * | 2009-02-17 | 2018-04-24 | Lookout, Inc. | Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such |
| US8510615B2 (en) * | 2009-10-22 | 2013-08-13 | Xerox Corporation | Virtual repair of digital media |
| EP2608450B1 (en) | 2011-12-20 | 2016-11-30 | ABB Research Ltd. | Validation of a communication network of an industrial automation and control system |
| US9225737B2 (en) * | 2013-03-15 | 2015-12-29 | Shape Security, Inc. | Detecting the introduction of alien content |
| KR101977731B1 (ko) * | 2013-03-29 | 2019-05-14 | 한국전자통신연구원 | 제어 시스템의 이상 징후 탐지 장치 및 방법 |
| US10223530B2 (en) * | 2013-11-13 | 2019-03-05 | Proofpoint, Inc. | System and method of protecting client computers |
| US9930058B2 (en) * | 2014-08-13 | 2018-03-27 | Honeywell International Inc. | Analyzing cyber-security risks in an industrial control environment |
| US10116488B2 (en) * | 2014-10-09 | 2018-10-30 | Rockwell Automation Technologies, Inc. | System for analyzing an industrial control network |
| US10469523B2 (en) * | 2016-02-24 | 2019-11-05 | Imperva, Inc. | Techniques for detecting compromises of enterprise end stations utilizing noisy tokens |
| US10498744B2 (en) * | 2016-03-08 | 2019-12-03 | Tanium Inc. | Integrity monitoring in a local network |
| US20170289191A1 (en) * | 2016-03-31 | 2017-10-05 | Acalvio Technologies, Inc. | Infiltration Detection and Network Rerouting |
| JP6683399B2 (ja) * | 2016-05-25 | 2020-04-22 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | データサービス制御方法および関連するデバイス |
| US10805325B2 (en) * | 2016-08-09 | 2020-10-13 | Imperva, Inc. | Techniques for detecting enterprise intrusions utilizing active tokens |
| US11270001B2 (en) * | 2016-10-03 | 2022-03-08 | Nippon Telegraph And Telephone Corporation | Classification apparatus, classification method, and classification program |
| US10678907B2 (en) * | 2017-01-26 | 2020-06-09 | University Of South Florida | Detecting threats in big data platforms based on call trace and memory access patterns |
| CN106993303A (zh) * | 2017-04-11 | 2017-07-28 | 百度在线网络技术(北京)有限公司 | 配置以及维保智能wifi设备的方法、装置、设备和计算机存储介质 |
| US10505966B2 (en) * | 2017-06-06 | 2019-12-10 | Sap Se | Cross-site request forgery (CSRF) vulnerability detection |
| CN111356964A (zh) * | 2017-09-30 | 2020-06-30 | 西门子股份公司 | 一种数控机床的故障诊断方法和装置 |
| US11165802B2 (en) * | 2017-12-05 | 2021-11-02 | Schweitzer Engineering Laboratories, Inc. | Network security assessment using a network traffic parameter |
| JP2019206133A (ja) * | 2018-05-30 | 2019-12-05 | キヤノン株式会社 | 画像印刷装置、画像印刷装置の制御方法、及びプログラム |
| US11023582B2 (en) * | 2018-12-19 | 2021-06-01 | EMC IP Holding Company LLC | Identification and control of malicious users on a data storage system |
| US10986121B2 (en) * | 2019-01-24 | 2021-04-20 | Darktrace Limited | Multivariate network structure anomaly detector |
-
2016
- 2016-06-16 EP EP16174838.9A patent/EP3258661B1/en active Active
-
2017
- 2017-06-16 US US15/625,405 patent/US11243508B2/en active Active
- 2017-06-16 CN CN201710461420.3A patent/CN107526349B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1420317A2 (en) * | 2002-10-21 | 2004-05-19 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis, validation, and learning in an industrial controller environment |
| US20160085986A1 (en) * | 2005-05-31 | 2016-03-24 | Kurt James Long | System and method of fraud and misuse detection using event logs |
| CN101035030A (zh) * | 2007-03-07 | 2007-09-12 | 中控科技集团有限公司 | 工业以太网数据监控的检测方法和装置 |
| CN101159523A (zh) * | 2007-11-26 | 2008-04-09 | 中控科技集团有限公司 | 基于工业以太网的故障处理方法、系统及一种交换设备 |
| US20110039237A1 (en) * | 2008-04-17 | 2011-02-17 | Skare Paul M | Method and system for cyber security management of industrial control systems |
| US20110288692A1 (en) * | 2010-05-20 | 2011-11-24 | Accenture Global Services Gmbh | Malicious attack detection and analysis |
| EP3002648A2 (en) * | 2014-09-30 | 2016-04-06 | Schneider Electric USA, Inc. | Scada intrusion detection systems |
| EP3024192A1 (en) * | 2014-11-24 | 2016-05-25 | ABB Technology AG | Analysing security risks of an industrial automation and control system |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109886833A (zh) * | 2019-01-21 | 2019-06-14 | 广东电网有限责任公司信息中心 | 一种面向智能电网服务器流量异常检测的深度学习方法 |
| CN113312626A (zh) * | 2020-02-26 | 2021-08-27 | 卡巴斯基实验室股份制公司 | 评估软件对工业自动化和控制系统的影响的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3258661A1 (en) | 2017-12-20 |
| CN107526349B (zh) | 2022-03-01 |
| US20170364053A1 (en) | 2017-12-21 |
| US11243508B2 (en) | 2022-02-08 |
| EP3258661B1 (en) | 2020-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107526349A (zh) | 异常配置更改的检测 | |
| Alcaraz et al. | Critical infrastructure protection: Requirements and challenges for the 21st century | |
| US11075819B2 (en) | Identifying unauthorized changes to network elements and determining the impact of unauthorized changes to network elements on network services | |
| US20180367553A1 (en) | Cyber warning receiver | |
| Zhu et al. | SCADA-specific intrusion detection/prevention systems: a survey and taxonomy | |
| CN111355703A (zh) | 整合型设备故障和网络攻击检测布置 | |
| CN105159964A (zh) | 一种日志监控方法及系统 | |
| CN112799358B (zh) | 一种工业控制安全防御系统 | |
| CN108170566A (zh) | 产品故障信息处理方法、系统、设备和协同工作平台 | |
| CN104168144A (zh) | 一种对sdn网络进行审计的方法 | |
| CN105591816A (zh) | It运维服务器的运行状态检测方法 | |
| CN106055984A (zh) | 一种应用于安全基线软件的分级管理方法 | |
| Faisal et al. | Modeling Modbus TCP for intrusion detection | |
| Skopik et al. | synERGY: Cross-correlation of operational and contextual data to timely detect and mitigate attacks to cyber-physical systems | |
| Soldatos et al. | Cyber-physical threat intelligence for critical infrastructures security: a guide to integrated cyber-physical protection of modern critical infrastructures | |
| Manson et al. | Cybersecurity for protection and control systems: An overview of proven design solutions | |
| Ginter | Secure operations technology | |
| KR101719698B1 (ko) | 스마트그리드 기기의 침해사고 탐지 장치 및 방법 | |
| CN113328996A (zh) | 一种基于目标感知的安全策略智能配置方法 | |
| US20230188408A1 (en) | Enhanced analysis and remediation of network performance | |
| KR102649648B1 (ko) | 방화벽 정책적용 자동화서버, 이를 포함하는 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법 | |
| JP7278561B2 (ja) | マシンラーニングセルフチェック機能を利用する非対面認証基盤ウェブファイアウォールメンテナンス方法および装置 | |
| Hutton et al. | Deploying Software-Defined Networking in Operational Technology Environments | |
| CZ36587U1 (cs) | Systém pro detekci a analýzu kybernetických útoků v datových sítích průmyslových, energetických a dopravních oborů | |
| Adamos et al. | Enhancing attack resilience of cyber-physical systems through state dependency graph models |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200513 Address after: Baden, Switzerland Applicant after: ABB grid Switzerland AG Address before: Baden, Switzerland Applicant before: ABB Switzerland Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Swiss Baden Applicant after: Hitachi energy Switzerland AG Address before: Swiss Baden Applicant before: ABB grid Switzerland AG |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20231219 Address after: Zurich, SUI Patentee after: Hitachi Energy Co.,Ltd. Address before: Swiss Baden Patentee before: Hitachi energy Switzerland AG |