-
Technisches Gebiet
-
Die vorliegende Erfindung betrifft ein Sicherheitsüberwachungssystem und ein Sicherheitsüberwachungsverfahren, die insbesondere in einem Steuerungssystem angewandt werden, welches zur Steuerung von Kraftwerksanlagen und Ähnlichem verwendet wird.
-
Stand der Technik
-
In dem insbesondere zur Steuerung von Kraftwerksanlagen und Ähnlichem verwendeten Steuerungssystem kann es schwierig sein, Sicherheitsmaßnahmen wie Antivirensoftware zu verwenden, wie sie normalerweise verwendet werden, da Zeitbeschränkungen für die Ausführung von Steueroperationen, Beschränkungen einer Datenverarbeitungskapazität eines Steuergeräts, welches das Steuerungssystem bildet, und andere Beschränkungen vorliegen.
-
Andererseits ist im Patentdokument 1 ein Verfahren zum Detektieren einer Abnormalität in einem Netzwerk auf der Grundlage einer statistischen Analyse von Traffic-Daten als ein Verfahren. zum Detektieren einer abnormalen Kommunikation aus Kommunikationspaketen, die auf dem Netzwerk gesammelt werden, offenbart. Zudem ist in Patentdokument 2 ein Verfahren zum Detektieren einer Abnormalität in einem Netzwerk durch Detektion eines Datenverkehrsflusses, der sich von dem in Datenverkehrsregeln Definierten unterscheidet, offenbart.
-
Zitateliste
-
Patentliteratur
-
- Patentdokument 1 Japanische Patentanmeldungsoffenlegungsschrift Nr. 2009-049490
- Patentdokument 2 Japanische Patentanmeldungsoffenlegungsschrift Nr. 2008-085819
-
Zusammenfassung der Erfindung
-
Technisches Problem
-
Wenn jedoch nur das Verfahren zum Detektieren einer Abnormalität auf der Grundlage von statistischen Analysen für die Sicherheitsüberwachung des Steuerungssystems angewandt wird, wie dies in Patentdokument 1 beschrieben ist, kann nicht ermittelt werden, ob eine als abnormal erkannte Kommunikation tatsächlich die Folge eines unautorisierten Zugangs oder der Aktivität eines schädliches Programms ist. Beispielsweise kann eine Kommunikation, die übergangsweise oder lokal zu Wartungsarbeiten durchgeführt wird oder Ähnliches, irrtümlich als abnormal erkannt werden. Wenn Vorgänge wie die Unterbrechung der Kommunikation oder ein Sicherheitsstopp des Steuerungssystems als Folge der Fehlerdetektion durchgeführt werden, wird ein normaler Betrieb des Steuerungssystems unterbrochen. Andererseits steigt die Schwierigkeit der Herstellung von Sicherheit an, wenn nur das Verfahren zum Detektieren der Abnormalität auf der Grundlage von definierten Regeln in der Sicherheitsüberwachung des Steuerungssystems verwendet werden, da eine Anzahl von zu definierenden und einzustellenden Regelsätzen ansteigt, wenn die Größe des Steuerungssystems als Überwachungsziel wächst. Einige der unautorisierten Zugriffe von der Art, die Sicherheitslücken von Software ausnutzen und unautorisierte Zugriffe durch Manipulationen erfolgen gemäß einem normalen Protokoll und können durch Überprüfen der Regeldefinitionen nicht detektiert werden.
-
Die vorliegende Erfindung wurde im Hinblick auf diesen Hintergrund gemacht und eine Aufgabe der vorliegenden Erfindung liegt darin, ein Sicherheitsüberwachungssystem und ein Sicherheitsüberwachungsverfahren bereitzustellen, die schnell Maßnahmen ergreifen können, wenn ein unautorisierter Zugriff, ein Schadprogramm oder Ähnliches detektiert werden, während der Normalbetrieb des Steuerungssystems durch die Fehlerdetektion nicht unterbrochen wird.
-
Lösung des Problems
-
Um die oben genannten Probleme zu lösen, ermittelt ein Aspekt des Sicherheitsüberwachungssystems nach der vorliegenden Erfindung Kommunikationspakete in Abschnitten, welche das Steuerungssystem bilden, und extrahiert ein Kommunikationspaket, welches einen charakteristischen Wert hat, der sich von einem normalen Wert aus den ermittelten Kommunikationspaketen unterscheidet, um Kommunikationsereignis-Informationen zu erzeugen. Das Sicherheitsüberwachungssystem sagt einen Grad des Einflusses des extrahierten Kommunikationspakets auf das Steuerungssystem als die Kommunikationsereignis-Information voraus, indem die Kommunikationsereignis-Informationen mit Ereignismustern verglichen werden, welche die Charakteristika eines unautorisierten Zugriffs oder Ähnlichem zeigen.
-
Vorteilhafte Wirkungen der Erfindung
-
Nach der vorliegenden Erfindung können ein Sicherheitsüberwachungssystem und ein Sicherheitsüberwachungsverfahren bereitgestellt werden, die im Fall der Detektion eines unautorisierten Zugriffs, eines Schadprogramms oder dergleichen schnell eingreifen können, während ein Normalbetrieb des Steuerungssystems durch die Fehlerdetektion nicht unterbrochen wird.
-
Kurze Beschreibung der Figuren
-
1 ist ein Diagramm, welches einen Gesamtaufbau des Sicherheitsüberwachungssystems nach einem ersten Ausführungsbeispiel der vorliegenden Erfindung zeigt.
-
2 ist ein funktionales Blockdiagramm, welches ein Konfigurationsbeispiel eines Ereignisextraktionsgeräts nach dem ersten Ausführungsbeispiel der Erfindung zeigt.
-
3 ist ein Diagramm, welches ein Beispiel einer Datenstruktur einer Kommunikationsereignis-Information nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung zeigt.
-
4 ist ein funktionales Blockdiagramm, welches ein Konfigurationsbeispiel eines Überwachungsgeräts gemäß eines ersten Ausführungsbeispiels der vorliegenden Erfindung zeigt.
-
5A und 5B sind Diagramme, die Beispiele von Ereignismustern nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung zeigen.
-
6 ist ein funktionales Blockdiagramm, welches ein Konfigurationsbeispiel eines Betätigungsbefehlsgeräts nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung zeigt.
-
7 ist ein Flussdiagramm, welches den Ablauf eines Prozesses zum Erzeugen von Informationen von dem Ereignisextraktionsgerät gelernten Werten nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung zeigt.
-
8 ist ein Flussdiagramm, welches einen Ablauf eines Prozesses zum Erzeugen von Kommunikationsereignis-Informationen zeigt, der von dem Ereignisextraktionsgerät nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung ausgeführt wird.
-
9 ist ein Flussdiagramm, welches den Ablauf eines Prozesses zum Ermitteln eines Einflussniveaus durch das Überwachungsgerät nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung zeigt.
-
10 ist ein Diagramm, welches einen Gesamtaufbau eines Sicherheitsüberwachungssystems nach einem zweiten Ausführungsbeispiel der vorliegenden Erfindung zeigt.
-
11 ist ein Blockdiagramm, welches ein Konfigurationsbeispiel eines Ereignisextraktionsgeräts nach einem zweiten Ausführungsbeispiel der vorliegenden Erfindung zeigt.
-
12A und 12B sind Diagramme, die Beispiele von Datenstrukturen einer Kommunikationsfrequenzinformation nach dem zweiten Ausführungsbeispiel der vorliegenden Erfindung zeigen.
-
13 ist ein funktionales Blockdiagramm, welches ein Konfigurationsbeispiel eines Überwachungsgeräts nach dem zweiten Ausführungsbeispiel der vorliegenden Erfindung zeigt.
-
14 ist ein Diagramm, welches ein Beispiel einer Datenstruktur von Kommunikationsfrequenzinformationen (gesamt) nach dem zweiten Ausführungsbeispiel der vorliegenden Erfindung zeigt.
-
15A und 15B sind Diagramme zum Erläutern eines Beispiels einer Datenstruktur einer Gerätekorrelationsabbildung nach dem zweiten Ausführungsbeispiel der vorliegenden Erfindung.
-
16A und 16B sind Diagramme zum Erläutern eines Erzeugungsprozesses für Informationen zum vorhergesagten Einflussbereich, der von einer Erzeugungseinheit für Informationen zum vorhergesagten Einflussbereich nach dem zweiten Ausführungsbeispiel der vorliegenden Erfindung ausgeführt wird.
-
17 ist ein funktionales Blockdiagramm, welches ein Konfigurationsbeispiel eines Betätigungsbefehlsgeräts nach dem zweiten Ausführungsbeispiel der vorliegenden Erfindung zeigt.
-
Beschreibung von Ausführungsbeispielen
-
Als nächstes wird ein Ausführungsbeispiel (im Folgenden als ”vorliegendes Ausführungsbeispiel” bezeichnet) zur Ausführung der vorliegenden Erfindung detailliert mit geeigneter Bezugnahme auf die beiliegenden Zeichnungen erläutert.
-
Erstes Ausführungsbeispiel
-
Als erstes wird ein Sicherheitsüberwachungssystem 100 nach einem ersten Ausführungsbeispiel der vorliegenden Erfindung erläutert. Das Sicherheitsüberwachungssystem 100 nach der vorliegenden Erfindung ist mit einem Steuerungssystem 1 verbunden, welches ein Überwachungsziel ist, und erhält Kommunikationspakete, die von dem Steuerungssystem 1 gesendet und empfangen werden. Wenn das Sicherheitsüberwachungssystem 100 einen unautorisierten Zugriff, ein Schadprogramm oder Ähnliches detektiert, führt das Sicherheitsüberwachungssystem 100 einen Prozess aus, in dem ein Betätigungsbefehl abhängig von einem Grad des Einflusses durch den unautorisierten Zugriff, das Schadprogramm oder Ähnliches an das Steuerungssystem 1 übermittelt wird.
-
Gesamtkonfiguration des Sicherheitsüberwachungssystems
-
1 ist ein Diagramm, welches eine Gesamtkonfiguration eines Sicherheitsüberwachungssystems nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung zeigt. Wie in 1 dargestellt ist das Sicherheitsüberwachungssystem jeweils mit jedem der Segmente 3 verbunden, die das Steuerungssystem 1 bilden. Hier bedeutet Segment 3 ein Steuerungsnetzwerk, welches von einem oder mehreren Steuerungsgeräten 2 gebildet wird. Zudem bilden ein oder mehrere Segmente 3 das Steuerungssystem 1 und sind so wie nötig miteinander verbunden. Zusätzlich zu den Geräten wie eine Steuerung und ein PLC (Programmable Logic Controller), welche die tatsächlichen Steuervorgänge durchführen, umfassen die Geräte 2 andere Geräte wie einen Server, ein Betätigungsterminal und ein Entwicklungsgerät, welche das Steuerungssystem 1 bilden.
-
Wie in 1 dargestellt, ist das Sicherheitsüberwachungssystem 100 so aufgebaut, dass es Ereignisextraktionsgeräte 10 (#1 bis #n), die jeweils für jedes der Segmente 3 (#1 bis #n) des Steuerungssystems 1 vorgesehen sind, ein Überwachungsgerät 20 und ein Betätigungsbefehlsgerät 30 umfasst. Das Ereignisextraktionsgerät 10 empfängt die Kommunikationspakete von dem jeweils angeschlossenen Segment 3 des Steuerungssystems 1 und extrahiert die Kommunikationspakete, die sich von den normalerweise gesendeten und empfangenen Kommunikationspaketen unterscheiden, um die extrahierten Kommunikationspakete als Kommunikationsereignis-Information 150 an das Überwachungsgerät 20 zu schicken. Das Überwachungsgerät 20 sagt einen Grad des Einflusses vorher, welchen der unautorisierte Zugriff oder Ähnliches durch die Kommunikationspakete auf das Steuerungssystem hat, und zwar aufgrund der empfangenen Kommunikationsereignis-Informationen 150, und versendet den Grad des Einflusses als Information zum vorhergesagten Grad des Einflusses 250 an das Betätigungsbefehlsgerät 30. Wenn das Betätigungsbefehlsgerät 30 den vorhergesehenen Grad des Einflusses 250 empfängt, verschickt das Betätigungsbefehlsgerät 30 einen Befehl wie beispielsweise einen kompletten Stopp des Steuerungssystems 1 oder einen Stopp der Steuerungsgeräte 2 in den Segmenten 3 als Betätigungsbefehlsinformation 350, die von dem Steuerungssystem 1 durchgeführt werden sollen, abhängig von einer Schwere des Einflussgrads an das Steuerungssystem 1. Die Details des Verfahrens, die jedes Gerät durchführt, und die Details der Informationen, die jedes Gerät versendet und empfängt, werden später beschrieben. Als Nächstes wird ein spezieller Aufbau jedes Geräts in dem Sicherheitsüberwachungssystem 100 erläutert.
-
Ereignisextraktionsgerät
-
2 ist ein funktionales Blockdiagramm, welches ein Konfigurationsbeispiel des Ereignisextraktionsgeräts nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung zeigt. Das Ereignisextraktionsgerät 10 ist mit einem Segment 3 in dem Steuerungssystem 1 über eine Kommunikationsleitung verbunden. Ferner ist das Ereignisextraktionsgerät 10 mit dem Überwachungsgerät 20 in dem Sicherheitsüberwachungssystem 100 verbunden. Wie in 2 dargstellt ist das Ereignisextraktionsgerät 10 so aufgebaut, dass es eine Steuereinheit 11, eine Eingabe/Ausgabeeinheit 12, eine Arbeitsspeichereinheit 13 und eine Speichereinheit 14 aufweist. Das Ereignisextraktionsgerät 10 empfängt die Kommunikationspakete von dem Segment 3 und extrahiert Kommunikationspakete, die sich von den üblicherweise gesendeten und empfangenen Kommunikationspaketen unterscheiden, um die extrahierten Kommunikationspakete als Kommunikationsereignis-Information 150 an das Überwachungsgerät 20 zu senden.
-
Die Steuereinheit 11 steuert die gesamten Prozesse, die von dem Ereignisextraktionsgerät 10 durchgeführt werden, und ist so aufgebaut, dass sie eine Paketempfangseinheit 111, eine Lernwert-Informationserzeugungseinheit 112, eine Kommunikationsereignis-Extraktionseinheit 113, eine Kommunikationsereignis-Informationserzeugungseinheit 114 und eine Ausgabeverarbeitungseinheit 115 umfasst.
-
Die Paketempfangseinheit 111 empfängt die Kommunikationspakete über die Eingabe/Ausgabeeinheit 12 von dem Segment 3.
-
Die Lernwert-Informationserzeugungseinheit 112 erhält die Kommunikationspakete von der Paketempfangseinheit 111 und extrahiert charakteristische Werte, die eine gemeinsame Information in den erhaltenen Kommunikationspaketen ist, beispielsweise eine Zieladresse, eine Ursprungsadresse, eine Datenlänge und ein Protokolltyp, um Datenproben für den Normalbetrieb zu erzeugen. Die Lernwert-Informationserzeugungseinheit 112 verarbeitet die Probedaten während des Normalbetriebs durch einen vorgegebenen Lernalgorithmus und speichert die ermittelten Ergebnisse als Lernwertinformation 110 in der Speichereinheit 14. Algorithmen wie eine Supportvektormaschine und Vektorquantisierungsclustering werden als der vorgegebene Lernalgorithmus eingesetzt. Der Erzeugungsprozess der Lernwertinformation 110 wird im Voraus durchgeführt, bevor der unautorisierte Zugriff, das Schadprogramm oder Ähnliches von dem Steuerungssystem 1 durchgeführt wird, und erfolgt durch das Sicherheitsüberwachungssystem 100. Beispielsweise wird der Erzeugungsprozess für die Lernwertinformation 110 in einer Phase durchgeführt, wenn Kommunikationstrends während des Normalbetriebs, eines Testbetriebs oder Ähnlichem vor dem tatsächlichen Betrieb des Steuerungssystems 1 durchgeführt werden. Die Lernwert-Informationserzeugungseinheit 112 lernt die charakteristischen Eigenschaften der Kommunikationspakete des Steuerungssystems 1 während des Normalbetriebs während des Erzeugungsprozesses der Lernwert Information 110. Die Details des Erzeugungsprozesses (des Lernwert-Informationserzeugungsprozesses) für die Lernwert-Information 110 wird später mit Bezugnahme auf 7 beschrieben.
-
Die Kommunikationsereignisextraktionseinheit 113 erhält die Kommunikationspakete von der Paketempfangseinheit 111 und extrahiert einen charakteristischen Wert, der eine üblicherweise mit den erhaltenen Kommunikationspaketen verbundene Information ist, um zu ermitteln, ob der charakteristische Wert sich von einem Normalwert unterscheidet oder nicht, indem der charakteristische Wert mit einer Vergleichsinformation 120 für den charakteristischen Wert verglichen wird, die auf der Grundlage der Lernwert-Information 110 voreingestellt ist. Die Kommunikationsereignisextraktionseinheit 113 extrahiert ein Kommunikationspaket, welches charakteristische Werte enthält, für die ermittelt wurde, dass sich die charakteristischen Werte sich von dem Normalwert unterscheiden. Als die charakteristischen Werte werden beispielsweise eine Zieladresse, eine Ursprungsadresse, eine Datenlänge und ein Protokolltyp verwendet.
-
Bedingungen für jeden charakteristischen Wert zur Entscheidung, ob sich das Kommunikationspaket von einem normalen Paket unterscheidet, werden im Voraus eingestellt, bevor die Überwachung des unautorisierten Zugriffs und dergleichen durchgeführt wird, und zwar in der Charakteristikwert-Entscheidungsinformation 120 und durch einen Administrator oder Ähnliches des Sicherheitsüberwachungssystems 100 auf der Grundlage der Lernwert-Information 110, die von der Lernwert-Informationserzeugungseinheit 112 erzeugt wurde. Die Lernwert-Informationserzeugungseinheit 112 speichert die Charakteristikwert-Entscheidungsinformation 120 in der Speichereinheit 14.
-
Die Kommunikationsereignisextraktionseinheit 113 ermittelt, ob sich der von dem Kommunikationspaket extrahierte charakteristische Wert von dem Normalwert unterscheidet oder nicht, und zwar auf der Grundlage der für jeden in der Charakteristikwert-Entscheidungsinformation 120 enthaltenen charakteristischen Wert eingestellten Bedingungen, die auf der Grundlage der Lernwert-Information 110 eingestellt wurden.
-
Beispielsweise entscheidet die Kommunikationsereignisextraktionseinheit 113 wenn der charakteristische Wert die Zieladresse ist, dass die Zieladresse normal ist, wenn die Zieladresse innerhalb eines Bereichs von ”192. 168.xx.yy” (beispielsweise ”192.168.10.1”) liegt, so dass dies die für die Charakteristikwert-Entscheidungsinformation 120 eingestellte Bedingung ist, das der Adressbereich, der in dem gleichen Segment 3 verwendet wird, normalerweise im Voraus eingestellt wird. Andererseits entscheidet die Kommunikationsextraktionseinheit 113, aufgrund der eingestellten Bedingungen, dass der charakteristische Wert (die Zieladresse) sich von dem normalen Wert unterscheidet, wenn die Zieladresse des erhaltenen Kommunikationspakets außerhalb dieses Bereichs von Adressen liegt. Wenn der charakteristische Wert die Ursprungsadresse ist, entscheidet die Kommunikationsextraktionseinheit 113 ebenfalls, ob der charakteristische Wert (die Ursprungsadresse) sich von dem normalen Wert unterscheidet oder nicht, und zwar abhängig davon, ob die Ursprungsadresse innerhalb eines Bereichs für die Adresse liegt und aufgrund der voreingestellten Bedingungen.
-
Wenn der charakteristische Wert eine Datenlänge ist, lernt die Kommunikationsereignisextraktionseinheit 113 die Datenlänge des Kommunikationspakets während des Normalbetriebs aufgrund der Lernwert-Information 110, um die gelernten Datenlängen als Charakteristikwert-Entscheidungsinformation 120 im Voraus einzustellen, und entscheidet, dass der charakteristische Wert (die Datenlänge) sich von dem Normalwert unterscheidet, wenn das Kommunikationspaket eine Datenlänge hat, die länger als ein vorgegebener Schwellenwert oder kürzer als ein vorgegebener Schwellenwert ist.
-
Wenn der charakteristische Wert ein Protokolltyp ist, speichert die Kommunikationsereignis-Extraktionseinheit 130 Protokolltypen (beispielsweise UDP (User Datagram Protocol), TCP (Transmission Control Protocol)), die normalerweise verwendet werden, als für die Charakteristikwert-Entscheidungsinformationen 120 eingestellte Bedingung aufgrund der Lernwert-Information 110 und entscheidet, dass der charakteristische Wert (Protokolltyp), sich von dem Normalwert unterscheidet, wenn das Kommunikationspaket einen Protokolltyp hat (beispielsweise FTP (File Transfer Protocol), TELNET), der sich von dem normalen und als vorgegebene Bedingung gespeicherten Protokolltyp unterscheidet.
-
Die Kommunikationsereignis-Informationserzeugungseinheit 114 erzeugt die Kommunikationsereignis-Information 150 für das Kommunikationspaket, welches den charakteristischen Wert umfasst, der sich von dem Normalwert unterscheidet, und das von der Kommunikationsereignis-Extraktionseinheit 113 extrahiert wird. Die Kommunikationsereignis-Informationserzeugungseinheit 114 sendet die Kommunikationsereignis-Information 150 über die Ausgabeverarbeitungseinheit 115 an das Überwachungsgerät 20.
-
3 ist ein Diagramm, welches ein Beispiel einer Datenstruktur der Kommunikationsereignis-Information 150 nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung zeigt. Wie in 3 dargestellt, ist die Kommunikationsereignis-Information 150 so aufgebaut, dass sie einen Header 151, Verwaltungsinformation 152 und charakteristische Wert 153 bis 156 enthält. Der Header 151 enthält Informationen, die anzeigen, dass diese Information die Kommunikationsereignis-Information 150 ist. Die Managementinformation 152 hat eine Ereignis-ID (Identifikation), eine Ursprungs-ID und eine Erzeugungszeit, die von der Kommunikationsereignis-Informationserzeugungseinheit 114 bestimmt werden. In diesem Zusammenhang ist die Ereignis-ID eine spezielle ID für ein Kommunikationsereignis. Die Ursprungs-ID ist eine spezifische ID und das Ereignis-Extraktionsgerät 10, welches die Kommunikationsereignis-Information 150 hat. Die Erzeugungszeit zeigt den Zeitpunkt an, in dem die Kommunikationsereignis-Information 150 von der Kommunikationsereignis-Informationserzeugungseinheit 114 erzeugt wurde. In den charakteristischen Werten 153 bis 156 sind beispielsweise charakteristische Werte ”1” (Zieladresse) 153, charakteristische Werte ”2” (Ursprungsadresse) 154, charakteristische Werte ”3” (Datenlänge) 155 und ein charakteristischer Wert ”4” (Protokolltyp) 156 als Informationen für jeden charakteristischen Wert beschrieben, der von der Kommunikationsereignis-Extraktionseinheit 113 aus dem Kommunikationspaket extrahiert wurde. Auf diese Weise enthält die Kommunikationsereignis-Information 150 Informationen für jeden charakteristischen Wert, der von der Kommunikationsereignis-Extraktionseinheit 113 extrahiert und ermittelt wurde. Es sollte bemerkt werden, dass die Kommunikationsereignis-Information 150 zumindest einen charakteristischen Wert hat, für den entschieden wurde, dass der Wert sich von dem Normalwert unter den charakteristischen Werten unterscheidet, da die Kommunikationsereignis-Informationserzeugungseinheit 114 die Kommunikationsereignis-Information 150 für solche Kommunikationspakete erzeugt, die charakteristische Werte enthalten, die sich von dem Normalwert unterscheiden.
-
Wieder zurückkehrend zu 2 gibt die Ausgabeverarbeitungseinheit 115 die Kommunikationsereignis-Information 150 (siehe 3), die von der Kommunikationsereignis-Informationserzeugungseinheit 114 erzeugt wurde, über die Eingabe/Ausgabeeinheit 12 an das Überwachungsgerät 20 aus.
-
Die Eingabe/Ausgabeeinheit 12 wird von Kommunikationsschnittstellen zum Senden und Empfangen von Informationen zu und von anderen Geräten sowie Eingabe/Ausgabeschnittstellen zum Senden und Empfangen von Informationen zu und von Ausgabegeräten wie Monitoren und Eingabegeräten wie Tastaturen gebildet.
-
Die Arbeitsspeichereinheit 13 ist aus einer Arbeitsspeichervorrichtung wie beispielsweise einem RAM (Random Access Memory) gebildet und speichert Informationen, die für die Arbeit der Steuereinheit 11 benötigt werden, übergangsweise.
-
Die Speichereinheit 14 ist aus einem Speichermedium wie beispielsweise einer HDD (Hard Disk Drive) und einem Flash-Speicher gebildet. Die Speichereinheit 14 speichert die Lernwert-Information 110 und die Charakteristikwert-Entscheidungsinformation 120. Wie oben beschrieben wird die voreingestellte Bedingung zur Entscheidung durch die Kommunikationsereignis-Extraktionseinheit 113, ob der jeweilige charakteristische Wert sich von dem Normalwert unterscheidet wird von dem Administrator oder dergleichen in der Charakteristikwert-Entscheidungsinformation 120 durch die der Lernwert-Information 110 eingestellt.
-
Die Steuereinheit 11 wird von einer CPU (Central Processing Unit, nicht dargestellt), die in dem Ereignisextraktionsgerät 10 vorgesehen ist, durch einen Programmausführungsprozess implementiert oder wird durch spezielle Schaltkreise oder Ähnliches implementiert. Wenn die Funktion der Steuereinheit 11 durch einen Programmausführungsprozess implementiert ist, speichert die Speichereinheit 14 das Programm, welches dann von der CPU ausgelesen und ausgeführt wird.
-
Überwachungsgerät
-
4 ist ein funktionales Blockdiagramm, welches ein Konfigurationsbeispiel des Überwachungsgeräts 20 nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung zeigt. Das Überwachungsgerät 20 ist mit jedem der Ereignisextraktionsgeräte 10 (#1 bis #n) sowie den Betätigungsbefehlsgerät 30 über Kommunikationsleitungen verbunden. Wie in 4 dargestellt ist das Überwachungsgerät 20 so aufgebaut, dass es eine Steuereinheit 21, eine Eingabe/Ausgabeeinheit 22, eine Arbeitsspeichereinheit 23, eine Speichereinheit 24 und einen Ereignispuffer 25 umfasst. Das Überwachungsgerät 20 sagt den Grad des Einflusses eines unautorisierten Zugangs oder dergleichen durch das Kommunikationspaket auf das Steuerungssystem 1 auf der Grundlage der Kommunikationsereignis-Information 150 voraus, die von dem Ereignisextraktionsgerät 10 empfangen wurde, und sendet den Grad des Einflusses als vorhergesagte Einflussgradinformation 250 an das Betätigungsbefehlsgerät 30.
-
Die Steuereinheit steuert insgesamt die Prozesse, die von dem Überwachungsgerät 20 ausgeführt werden, und ist so ausgelegt, dass sie eine Kommunikationsereignis-Informationsempfangseinheit 211, eine Einflussgradvorhersage-Verarbeitungseinheit 212 und eine Ausgabeverarbeitungseinheit 213 umfasst.
-
Die Kommunikationsereignis-Informationsempfangseinheit 211 empfängt die Kommunikationsereignis-Information 150 über die Eingabe/Ausgabeeinheit 22 und speichert die Information in dem Ereignispuffer 25. Hier ist der Ereignispuffer 25 eine Speichereinheit, welche die Kommunikationsereignis-Information 150 speichert. Die Kommunikationsereignis-Information 150, die in den Ereignispuffer 25 eingegeben wird, wird beispielsweise in der Reihenfolge der Eingangszeit für jedes der Ereignisextraktionsgeräte 10 (#1 bis #n) gespeichert, welche die Kommunikationsereignis-Information 150 ausgegeben haben, und wird als Eingabehistorie gespeichert, so dass die Kommunikationsereignis-Information 150 einfach für einen Einflussgrad-Vorhersageprozess verwendet werden kann, der später beschrieben wird. Die Kommunikationsereignis-Informationsempfangseinheit 211 kann die gespeicherte Kommunikationsereignis-Information 150 aus dem Ereignispuffer 25 löschen, wenn keine neue Kommunikationsereignis-Information 150 innerhalb eines vorgegebenen Zeitraums eingegeben wird, da die Kommunikationsereignis-Information 150 in dem Ereignispuffer 25 gespeichert wurde.
-
Die Einflussgradvorhersage-Verarbeitungseinheit 212 führt den Einflussgradvorhersage-Prozess durch, der im Folgenden beschrieben wird, und sendet die vorhergesagte Einflussgradinformation 250, die als Ergebnis des Prozesses erzeugt wurde, über die Ausgabeverarbeitungseinheit 213 an das Betätigungsbefehlsgerät 30. Genauer gesagt überwacht die Einflussgradvorhersage-Verarbeitungseinheit 212, dass die Kommunikationsereignis-Informationsempfangseinheit 211 die Kommunikationsereignis-Information 150 in dem Ereignispuffer 25 speichert. Wenn die Einflussgradvorhersage-Verarbeitungseinheit 212 detektiert, dass die Kommunikationsereignis-Information 150 in den Ereignispuffer 25 eingegeben wurde, ermittelt die Einflussgradvorhersage-Verarbeitungseinheit 212 die Eingabehistorie mitsamt der Kommunikationsereignis-Information 150, die in den Ereignispuffer 25 eingegeben wurde. Die Einflussgradvorhersage-Verarbeitungseinheit 212 ermittelt die Eingabehistorie der Kommunikationsereignis-Information 150, die von dem Kommunikationspaket aus dem Ereignisextraktionsgerät 10 mit der gleichen Ursprungs-ID erzeugt wurde, also von dem gleichen Segment 3, wobei der Bezug zu der die Ursprungs-ID als die Verwaltungsinformation 152 der Kommunikationsereignis-Information 150 hinzugefügt wurde, welche in den Ereignispuffer 25 eingegeben wurde.
-
Als Nächstes überprüft die Einflussgradvorhersage-Verarbeitungseinheit 212 die ermittelte Eingabehistorie durch Vergleich mit jedem Ereignismuster 200, welches in einer Ereignismuster DB (Datenbank) 241 in der Speichereinheit 24 gespeichert wurde, und überprüft, ob ein Ereignismuster 200 detektiert wurde, das der Eingabehistorie gleicht, indem ein Grad der Ähnlichkeit zwischen der Eingabehistorie und dem Ereignismuster 200 mit einem vorgegebenen Schwellenwert verglichen wird. In diesem Zusammenhang bezeichnet ein Ereignismuster 200 Informationen, die mit einer Reihe von Kommunikationspaketen zusammenhängen und die mit einer Bedingung kombiniert sind, welche für jeden unautorisierten Zugriff, der eine normale Verarbeitung stört, jedes Element aus einer Serie von unautorisierten Kommunikationspaketen charakterisiert, in dem die Reihe von unautorisierten Kommunikationspaketen gesendet wird. Insbesondere wird das Ereignismuster 200 im Folgenden bezugnehmend auf 5A und 5B erläutert.
-
5A und 5B sind Diagramme, die Beispiele der Ereignismuster 200 nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung zeigen. 5A ist ein Beispiel eines Ereignismusters 200A, welches einen unautorisierten Zugriff durch eine Attacke mittels eines Verarbeitungsvorgangs anzeigt, welcher eine Mehrzahl von Kommunikationspaketen nutzt. 5B ist ein Beispiel eines Ereignismusters 200B, welches einen unautorisierten Zugriff von einer Art anzeigt, die eine sogenannte DoS (Denial of Service) Attacke ist, welche den Server durch Senden einer großen Anzahl von bedeutungslosen Daten an den Server sehr stark belastet.
-
5A bedeutet, dass das Ereignismuster 200A als erstes Kommunikationspaket ein Kommunikationspaket sendet, welches ein charakteristisches Ereignismuster (A-1) aufweist, welches ein als erstes Ereignismuster in dem Ereignismuster 200A enthaltenes Element ist, und als ein zweites Kommunikationspaket ein Kommunikationspaket verschickt, welches ein charakteristisches Ereignismuster (A-2) hat. Auf diese Weise wird der unautorisierte Zugriff oder Ähnliches allgemein durch das Senden einer Mehrzahl von Kommunikationspaketen realisiert. Daher wird ein charakteristischer Wert (beispielsweise eine Zieladresse, eine Ursprungsadresse, eine Datenlänge und ein Protokolltyp) jedes Kommunikationspakets, welches mit dem Ereignismuster 200A des unautorisierten Zugriffs verschickt wird, mit einer Bedingung verglichen, die für eine Sendesequenz vorgegeben ist. Hier kann als Bedingung für den charakteristischen Wert beispielsweise eine charakteristische Wertbedingung ”1” (Zieladresse), eine charakteristische Wertbedingung ”2” (Ursprungsadresse), eine charakteristische Wertbedingung ”3” (Datenlänge) und eine charakteristische Wertbedingung ”4” (Protokolltyp) eingestellt werden. Die folgenden Bedingungen, die sich von den charakteristischen Wertbedingungen unterscheiden, können für das Ereignismuster 200 eingestellt werden. Beispielsweise kann für ein Ereignismuster 200A von diesem Typ eine Wiederholungszählerbedingung 201 eingestellt werden, da ein Prozess, der wiederholt die Kommunikationspakete von dem gleichen Typ versendet, ausgeführt werden könnte. Zudem kann ferner eine Zeitverzögerungsbedingung 202 für das Ereignismuster 200A eingestellt werden, da das zweite und die nachfolgenden Kommunikationspakete Charakteristika im Hinblick auf die Zeit (das Sendeintervall) nach dem Senden des ersten Kommunikationspakets haben können.
-
Für die Charakteristikwertbedingungen wird für jeden charakteristischen Wert ein Bereich als vorgegebene Bedingung eingestellt, wobei die charakteristischen Werte beispielsweise die Zieladresse, die Ursprungsadresse, die Datenlänge und der von den Kommunikationspaketen verwendete Protokolltyp für den unautorisierten Zugriff oder Ähnliches sein können, die in dem Ereignismuster 200 angegeben sind. Beispielsweise wird als Bedingung zum Entscheiden, dass das Kommunikationspaket durch den unautorisierten Zugriff oder das Schadprogramm nach dem Ereignismuster (A-1) verschickt wurde, welches dem ersten Paket des Ereignismusters 200A entspricht, eingestellt, dass die charakteristischen Wertbedingung ”1” (Zieladresse) außerhalb des Bereichs von ”192.168.xx.yy” liegt, welcher den normalerweise verwendeten Zieladressen entspricht. Im Hinblick auf die charakteristische Wertbedingung ”2” (Ursprungsadresse) wird die zum Entscheiden, ob das Kommunikationspaket von dem unautorisierten Zugriff oder dem Schadprogramm gesendet wurde, verwendete Bedingung in ähnlicher Weise so eingestellt, dass die charakteristische Wertbedingung ”2” (Ursprungsadresse) außerhalb des Bereichs von ”192.168.xx.yy” liegt. Was die charakteristische Wertbedingung ”3” (Datenlänge) betrifft, beispielsweise die einen vorgegebenen Schwellenwert übertreffende Datenlänge, so wird diese auf der Grundlage der Charakteristika der Kommunikationspakete des unautorisierten Zugriffs oder Ähnlichem eingestellt. Was die charakteristische Wertbedingung ”4” (Protokolltyp) betrifft, so wird der von dem unautorisierten Zugriff oder Ähnlichem verwendete Protokolltyp (auch mehrere) eingestellt.
-
Die Einflussgradvorhersage-Verarbeitungseinheit 212 überprüft die neu eingegebene Kommunikationsereignis-Information 150 in der in der Eingabehistorie angegebenen Reihenfolge aufgrund des entsprechenden Elements (eines der Ereignismuster (A-1) bis (A-m)) des Ereignismusters 200. Beispielsweise vergleicht die Einflussgradvorhersage-Verarbeitungseinheit 212 die Kommunikationsereignis-Information 150, die als erstes eingegeben wird, mit dem Ereignismuster (A-1). Die Einflussgradvorhersage-Verarbeitungseinheit 212 überprüft die Kommunikationsereignis-Information 150, die als zweites eingegeben wurde, mit Hilfe des Ereignismusters (A-2). Hier entscheidet die Einflussgradvorhersage-Verarbeitungseinheit 212, dass die Überprüfung der Kommunikationsereignis-Information 150 aufgrund jedes der Ereignismusters (A1) bis (A-m) erfolgreich ist, wenn alle in den Ereignismustern (A-1) bis (A-m) eingestellten Bedingungen erfüllt sind. Wenn die Überprüfung für die eingestellten Ereignismuster (A-1) bis (A-m) abgeschlossen ist, berechnet die Einflussgradvorhersage-Verarbeitungseinheit 212 einen Ähnlichkeitsgrad, der angibt, wie viele Ereignismuster aus den m einzelnen Ereignismustern mit der entsprechenden Kommunikationsereignis-Information 150 übereinstimmen. Beispielsweise kann der Ähnlichkeitsgrad ”1” sein, wenn entschieden wird, dass alle die Überprüfungen der Ereignismuster (A-1) bis (Am) mit der Kommunikationsereignis-Information 150 übereinstimmen, und der Ähnlichkeitsgrad kann ”0,5” sein, wenn entschieden wird, dass die Hälfte der Überprüfungen mit dem Kommunikationsereignismuster 150 übereinstimmen. Die Einflussgradvorhersage-Verarbeitungseinheit 212 entscheidet, dass die Kommunikationspakete dem unautorisierten Zugriff durch das Ereignismuster 200A entsprechen, wenn der berechnete Ähnlichkeitsgrad einen vorgegebenen Schwellenwert übertrifft. Wenn eine Mehrzahl von Ereignismustern 200, die den vorgegebenen Schwellenwert übertreffen, detektiert werden, kann die Einflussgradvorhersage-Verarbeitungseinheit 212 dasjenige Ereignismuster 200 übernehmen, welches unter den detektierten Ereignismustern 200 den höchsten Ähnlichkeitsgrad zeigt.
-
Das Ereignismuster 200B aus 5B zeigt eine Bedingung des Ereignismusters 200 an, wenn die Kommunikationspakete von gleicher Art zur einem Ziel in der Art einer DoS-Attacke verschickt werden, wobei die Wiederholungszählerbedingung 201 und auch die charakteristischen Wertbedingungen entsprechend eingestellt sind. Die Einflussgradvorhersage-Verarbeitungseinheit 212 entscheidet aufgrund des Ereignismusters 200B, dass die Kommunikationspakete eine DoS-Attacke sind, wenn die Anzahl von Kommunikationsereignis-Informationen 150, die mit jeder charakteristischen Wertbedingung des Ereignismusters 200B übereinstimmen, den Zählerstand übertreffen, welcher für die Wiederholungszählerbedingung 201 eingestellt ist.
-
Anschließend ermittelt die Einflussgradvorhersage-Verarbeitungseinheit 212 einen Einflussgrad des Ereignismusters 200 bezugnehmend auf die Einflussgradinformation 242, die in der Speichereinheit 24 gespeichert wurde, als ein ähnliches Ereignismuster 200 detektiert wurde. Hier soll der Einflussgrad eine Stärke eines Einflussgrads auf das Steuerungssystem 1 anzeigen. Beispielsweise sind in der Einflussgradinformation 242 die Einflussniveaus in vier Stufen ”4” bis ”1” in absteigender Reihenfolge des Einflusses (des Risikos) für das Steuerungssystem 1 im Zusammenhang mit dem Ereignismuster 200 gespeichert, welches den unautorisierten Zugriff, das Schadprogramm oder Ähnliches charakterisisert. Selbst wenn ein ähnliches Ereignismuster 200 nicht detektiert wurde, kann die Einflussgradvorhersage-Verarbeitungseinheit 212 entscheiden, dass der Einflussgrad dem geringsten Einflussgrad entspricht. Zudem kann die Einflussgradvorhersage-Verarbeitungseinheit 212 als Einflussgrad für das Ereignismuster das Produkt des Einflussgrads, der bezugnehmend auf die Einflussgradinformation 242 ermittelt wurde, multipliziert mit dem Ähnlichkeitsgrad, annehmen. Die Einflussgradvorhersage-Verarbeitungseinheit 212 erzeugt die vorhergesagte Einflussgradinformation 250 inklusive der Information über die Stärke des Einflusses und übersendet die vorhergesagte Einflussgradinformation 250 über die Ausgabeverarbeitungseinheit 213 an das Betätigungsbefehlsgerät 30.
-
Die Ausgabeverarbeitungseinheit 213 gibt die von der Einflussgradvorhersage-Verarbeitungseinheit 212 vorhergesagte Einflussgradinformation 250 über die Eingabe/Ausgabeeinheit 22 an das Betätigungsbefehlsgerät 30 aus.
-
Die Eingabe/Ausgabeeinheit 22 wird durch Kommunikationsschnittstellen zum Senden und Empfangen von und zu anderen Geräten gebildet sowie Eingabe/Ausgabeschnittstellen zum Senden und Empfangen von Informationen zu und von Geräten wie Monitoren und Eingabegeräten wie Tastaturen.
-
Die Arbeitsspeichereinheit 23 ist aus einer primären Arbeitsspeichereinheit wie einem RAM gebildet und speichert vorübergehend Informationen, die für die Datenverarbeitung in der Steuereinheit 21 nötig sind.
-
Die Speichereinheit 24 ist aus einem Speichermedium wie einer HDD oder einem Flash-Speicher gebildet. Die Speichereinheit 24 speichert eine Ereignismuster DB 241, welche für jedes der Ereignismuster 200 (siehe 5A, 5B) wie oben beschrieben die Einflussgradinformation 242 speichert, welche die jedem Ereignismuster 200 entsprechenden Einflussniveaus umfasst.
-
Der Ereignispuffer 25 ist aus einem Speichermedium wie einem RAM gebildet und speichert in sich die oben genannte Kommunikationsereignis-Information 150 als die Eingabehistorie für jedes Ereignisextraktionsgerät 10.
-
Die Steuereinheit 21 ist durch einen Programmausführungsprozess durch eine CPU (nicht dargestellt) implementiert, die in dem Überwachungsgerät 20 vorgesehen ist, oder ist durch spezielle Schaltkreise oder Ähnliches implementiert. Wenn die Steuereinheit 21 durch den Programmausführungsprozess implementiert ist, speichert die Speichereinheit 24 das von der CPU ausgelesene und ausgeführte Programm.
-
Betätigungsbefehlsgerät
-
6 ist ein funktionales Bockdiagramm, welches ein Beispiel für den Aufbau des Betätigungsbefehlsgeräts 30 nach einem ersten Ausführungsbeispiel der Erfindung zeigt. Das Betätigungsbefehlsgerät 30 ist mit dem Überwachungssystem 20 und jedem der Steuergeräte 2 in dem Steuerungssystem 1 über Kommunikationsleitungen verbunden.
-
Wie in 6 dargestellt ist das Betätigungsbefehlsgerät 30 so ausgelegt, dass es eine Steuereinheit 31, eine Eingabe/Ausgabeeinheit 32, eine Arbeitsspeicheinheit 33 und eine Speichereinheit 34 umfasst. Das Betätigungsbefehlsgerät 30 übermittelt einen Vorgang, den das jeweilige Gerät 2 im Steuerungssystem 1 ausführen soll, als Betätigungsbefehlsinformation 350 an das Steuerungssystem 1, und zwar entsprechend dem der vorhergesagten Einflussgradinformation 250 beigefügten Einflussgrad, der von dem Überwachungsgerät 20 empfangen wurde.
-
Die Steuereinheit 31 steuert die von dem Betätigungsbefehlsgerät 30 durchgeführten Gesamtprozesse und ist so aufgebaut, dass sie eine Informationsempfangseinheit 311 für den vorhergesagten Einflussgrad, eine Erzeugungseinheit 312 für eine Betätigungsbefehlsinformation und eine Ausgabeverarbeitungseinheit 313 umfasst.
-
Die Empfangseinheit 311 für die Information zum vorhergesagten Einflussgrad empfängt die Information zum vorhergesagten Einflussgrad von dem Überwachungsgerät 20 über die Eingabe/Ausgabeeinheit 33.
-
Die Erzeugungseinheit 312 für die Betätigungsbefehlsinformation erhält die Information 250 zum vorhergesagten Einflussgrad von der Empfangseinheit 311 für die vorhergesagte Einflussgradinformation. Die Erzeugungseinheit 312 für die Betätigungsbefehlsinformation ermittelt aufgrund des der Information 250 für den vorhergesagten Einflussgrad beigefügten Einflussgrads einen Betätigungsbefehl wobei die „Einflussgrade in Betätigungsbefehl” der Umwandlungsinformation 300 in der Speichereinheit 34 berücksichtigt wird.
-
Wie in 6 dargestellt wird in der „Einflussgrad in Betätigungsbefehl”-Umwandlungsinformation 300 der Betätigungsbefehl im Voraus dem Einflussgrad entsprechend durch den Administrator oder ähnliches vorgegeben. Beispielsweise wird der Betätigungsbefehl so eingestellt, dass das gesamte Steuerungssystem 1 gestoppt wird, wenn der Einflussgrad „4” ist, da ein hohes Risiko für einen unautorisierten Zugriff oder ähnliches besteht. Wenn der Einflussgrad „3” ist, wird der Betätigungsbefehl so eingestellt, dass das entsprechende Segment 3 (alle Steuergeräte 2 in dem entsprechenden Segment 3) gestoppt wird. Wenn der Einflussgrad „2” ist, wird der Betätigungsbefehl so eingestellt, dass das entsprechende Steuergerät 2 gestoppt wird. Wenn der Einflussgrad „1” ist, wird der Betätigungsbefehl so eingestellt, dass eine Alarminformation an das Steuerungssystem 1 gesendet wird. Die Betätigungsbefehlsinformationserzeugungseinheit 312 ermittelt das entsprechende Segment 3, das entsprechende Steuergerät 2 oder Ähnliches berücksichtigt auf die „Einflussgrad in Betätigungsbefehl”-Umwandlungsinformation 300 und erzeugt aufgrund des Betätigungsbefehls die Betätigungsbefehlsinformation 350.
-
Die Ausgabeverarbeitungseinheit 313 gibt die von der Betätigungsbefehlsinformationserzeugungseinheit 312 erzeugte Betätigungsbefehlsinformation 350 an das entsprechende Steuergerät 2 in dem Steuerungssystem 1 über die Eingabeausgabeeinheit 32 aus. Gleichzeitig kann die Ausgabeverarbeitungseinheit 313 die Betätigungsbefehlsinformation 350 an sämtliche Steuergeräte in dem Steuerungssystem 1 versenden oder dem Inhalt des Betätigungsbefehls ausgeben, der unter Berücksichtigung beispielsweise eines Typs, einer Funktion oder anderer Attribute des unautorisierten Zugriffs oder Schadprogramms angepasst wurde, an sämtliche oder einen Teil der Steuergeräte 2 im Segment 3 als den Einfluss auf das Steuerungssystem aus. In diesem Fall kann das Überwachungsgerät 20 die vorhergesagte Einflussgradinformation 250 durch Hinzufügen einer eindeutigen ID für das Ereignismuster 200 versenden, sodass die Ausgabeverarbeitungseinheit 313 des Betätigungsbefehlsgeräts 30 die Zieladresse oder die Inhalte der Betätigungsbefehlsinformation 350 auf der Grundlage der Eigenschaften des unautorisierten Zugriffs oder Ähnlichem, der durch das Ereignismuster 200 angezeigt wurde, anpassen kann. Zudem kann die Ausgabeverarbeitungseinheit 313 die Betätigungsbefehlsinformation 350 versenden, welche die Kommunikation (Senden verboten, nur Empfang) auf die Steuergeräte 2 in einem Segment 3 beschränkt.
-
Die Eingabe/Ausgabeeinheit 32 ist aus Kommunikationsschnittstellen zum Senden und Empfangen von Information zu und von anderen Geräten sowie Eingabe/Ausgabeschnittstellen zum Senden und Empfangen von Information und von anderen Geräten wie Monitoren und Eingabegeräten wie beispielsweise Tastaturen aufgebaut.
-
Die Arbeitsspeichereinheit 33 ist aus einer Hauptarbeitsspeichereinheit wie beispielsweise einem RAM aufgebaut und speichert übergangsweise Informationen, die zur Verarbeitung in der Steuereinheit 31 notwendig ist.
-
Die Speichereinheit 34 ist aus einem Speichermedium wie beispielsweise einer HDD oder einem FLASH-Speicher gebildet. Die Speichereinheit 34 speichert die „Einflussgrad in Betätigungsbefehl”-Umwandlungsinformation 300.
-
Die Speichereinheit 31 ist durch einen Programmausführungsprozess durch einen CPU (nicht dargestellt) implementiert, die in dem Betätigungsbefehlsgerät 30 vorgesehen ist, und ist durch spezielle Schaltkreise und ähnliches implementiert. Wenn die Steuereinheit 31 durch den Programmausführungsvorgang implementiert ist, speichert die Speichereinheit 34 das Programm, welches von der CPU ausgelesen und ausgeführt ist.
-
Verfahren des Prozesses
-
Als nächstes wird der Fluss eines Prozesses nach einem ersten Ausführungsbeispiel der vorliegenden Erfindung detailliert beschrieben, der von dem Sicherheitsüberwachungssystem 100 ausgeführt wird. Der Gesamtprozess, der von dem Sicherheitsüberwachungssystem 100 ausgeführt wird, wird als erstes beschrieben, anschließend der Lernwertinformationserzeugungsprozess und ein Kommunikationsereignisinformationsprozess, wie von dem das Sicherheitsüberwachungssystem 100 bildendenden Ereignisextraktionsgerät 10 ausgeführt werden, und auch ein Einflussgradbestimmungsprozess, der von dem Überwachungsgerät 20 ausgeführt wird, detailliert erläutert.
-
Ablauf des Gesamtprozesses
-
Der Ablauf des Gesamtprozesses wird vorwiegend mit Bezug auf 1 beschrieben. Wie in 1 dargestellt empfängt jedes Ereignisextraktionsgerät 10 des Sicherheitsüberwachungssystems 100 die Kommunikationspakete von dem entsprechenden Segment 3 des Steuerungssystems 1. Das Ereignisextraktionsgerät 10 extrahiert ein Kommunikationspaket, welches charakteristische Werte hat, die sich von den Normalwerten unterscheiden, auf der Grundlage der Entscheidungsinformation 120 für charakteristische Werte, die durch die Lernwertinformation 10 (siehe 2) bestimmt ist und im Voraus erzeugt wurde. Das Ereignisextraktionsgerät 10 erzeugt (durch den Kommunikationsereignisinformationserzeugungsprozess) die Kommunikationsereignisinformation 150 (s. 3) und übersendet die Kommunikationsereignisinformation 150 an das Überwachungsgerät 20 (siehe 1, 2). Als nächstes überprüft das Überwachungsgerät 20 die Eingabehistorie inklusive der Information 150 zu empfangenden Kommunikationsereignissen durch Vergleich mit jedem Ereignismuster 200 (5), die in der Ereignismusterdatenbank 251 (siehe 4) gespeichert sind. Das Überwachungsgerät 20 übermittelt (durch den Einflussgradermittlungsprozess) einen Einflussgrad des Ereignismusters 200 auf das Steuerungssystem 1 bezugnehmend auf die Einflussgradinformation 242 (siehe 4), wenn ein der Kommunikationsereignisinformation 150 ähnliches Ereignismuster 200 detektiert wurde.
-
Das Überwachungsgerät 20 erzeugt die der Einflussgradinformation beigefügte vorhergesagte Einflussgradinformation 150 und sendet die vorhergesagte Einflussgradinformation 250 an das Betätigungsbefehlsgerät 30 (siehe 1, 4). Wenn das Betätigungsbefehlsgerät 30 die vorhergesagte Einflussgradinformation 250 empfängt, sendet das Betätigungsbefehlsgerät 30 den Arbeitsschritt (Stoppen des Steuerungssystems 1 oder Ähnliches), der von dem Steuerungssystem 1 entsprechend dem Einflussgrad durchgeführt werden sollte, als die Betätigungsbefehlsinformation 350 an das Steuerungssystem 1 (siehe 1, 6), wobei auf die ”Einflussgrad in Betätigungsbefehl”-Umwandlungsinformation 300 (siehe 6) bezuggenommen wird.
-
Lernwertinformations-Erzeugungsprozess durch das Ereignis-Extraktionsgerät
-
Als Nächstes wird der Lernwertinformations-Erzeugungsprozess bezugnehmend auf 7 erläutert, der von der Lernwertinformations-Erzeugungseinheit 112 (siehe 2) des Ereignisextraktionsgeräts 10 durchgeführt wird. 7 ist ein Flussdiagramm, welches den Fluss eines Lernwertinformations-Erzeugungsprozesses zeigt, der von dem Ereignisextraktionsgerät 10 nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung ausgeführt wird. Die Lernwertinformations-Erzeugungseinheit 112 erzeugt die Lernwertinformation 110 durch Ausführen des Lernwertinformations-Erzeugungsprozesses im Voraus, bevor das Sicherheitsüberwachungssystem 100 die Überwachung bezüglich des unautorisierten Zugriffs oder Ähnlichem für das Steuerungssystem 1 durchführt. Die Entscheidungsinformation 120 für den charakteristischen Wert wird auf der Grundlage der erzeugten Lernwertinformation 110 vom Administrator oder Ähnlichem eingestellt.
-
Wie in 7 gezeigt entscheidet die Lernwertinformations-Erzeugungseinheit 112 des Ereignisextraktionsgeräts 10 zunächst, ob die Lernwertinformations-Erzeugungseinheit 112 das Kommunikationspaket über die Paketempfangseinheit 110, welche die Kommunikationspakete in dem Segment 3 empfängt, erhält oder nicht (Schritt S10). Wenn die Lernwertinformations-Erzeugungseinheit 112 das Kommunikationspaket nicht empfängt (”Nein” in Schritt S10), wartet der Prozess, bis die Lernwertinformations-Erzeugungseinheit 112 das Kommunikationspaket empfängt. Wenn die Lernwertinformations-Erzeugungseinheit 112 andererseits das Kommunikationspaket (”Ja” in Schritt S10), schreitet der Prozess zu Schritt S10 fort. Es sollte bemerkt werden, dass der Prozess, in welchem die Kommunikationspakete empfangen werden, vor der Aufnahme des vollen Betriebs des Steuerungssystems 1 durchgeführt wird, und er Kommunikationspakete in einem Zustand des Normalbetriebs sammelt, in welchem Kommunikation erfolgt, die den Normalbetrieb simuliert.
-
Die Lernwertinformations-Erzeugungseinheit 112 extrahiert den charakteristischen Wert, der in dem empfangenen Kommunikationspaket enthalten ist (Schritt S10). Der charakteristische Wert ist beispielsweise Information, die eine Zieladresse, eine Absenderadresse, eine Datennummer und ein Protokolltyp ist.
-
Anschließend verarbeitet die Lernwertinformations-Erzeugungseinheit 112 Informationen zu jedem extrahierten charakteristischen Wert durch einen vorgegebenen Lernalgorithmus, um die Lernwertinformation 110 zu erzeugen (Schritt S12) und speichert die Lernwertinformation 110 in der Speichereinheit 14. Algorythmen wie eine Supportvektormaschine und Vektorquantisierungsclustering werden als der vorgegebene Lernalgorithmus verwendet.
-
Die Lernwertinformations-Erzeugungseinheit 112 entscheidet, ob das Lernen beendet wird oder nicht (Schritt S13). Die Entscheidung, ob das Lernen endet oder nicht, hängt entscheidend davon ab, ob eine ausreichende Zahl von Kommunikationspaketen verarbeitet wurde, um Daten für einen vorgegebenen Betriebsmodus im Steuerungssystem 1 zu gewinnen. Beispielsweise kann die Lernwertinformations-Erzeugungseinheit 112 entscheiden, dass die Lernwertinformations-Erzeugungseinheit 112 eine ausreichende Zahl von Kommunikationspaketen mit Bezug auf einen vorgegebenen Betriebsmodus verarbeitet hat, wenn die Anzahl der verarbeiteten Kommunikationspakete einen vorgegebenen Schwellenwert übertrifft. Die Lernwertinformations-Erzeugungseinheit 112 kann entscheiden, dass die Kommunikationspakete hinreichend verarbeitet wurden, wenn die Lernwertinformations-Erzeugungseinheit 112 die Kommunikationspakete vom Beginn bis zum Ende einer Reihe von Prozessen in dem vorgegebenen Betriebsmodus verarbeitet hat. Die Lernwertinformations-Erzeugungseinheit 112 kann entscheiden, dass eine ausreichende Zahl von Kommunikationspaketen verarbeitet wurde, wenn die Lernwertinformations-Erzeugungseinheit 112 eine Reihe von Prozessen eine vorgegebene Anzahl von Malen wiederholt hat. Der Administrator stellt eine Entscheidungsbedingung ein, aufgrund derer erkannt werden kann, dass die während des Normalbetriebs gesendeten und empfangenen Kommunikationspakete für den Betriebszustand des Steuerungssystems 1 ausreichen. Wenn die Lernwertinformations-Erzeugungseinheit 112 entscheidet, dass das Lernen nicht endet (”Nein” in Schritt S13), kehrt der Prozess zu Schritt S10 zurück und wird fortgesetzt. Wenn andererseits die Lernwertinformations-Erzeugungseinheit 112 entscheidet, dass das Lernen beendet wird (”Ja” in Schritt S13), wird der Lernwertinformations-Erzeugungsprozess beendet.
-
Kommunikationsereignis-Informationserzeugungsprozess des Ereignisextraktionsgeräts
-
Als Nächstes wird der Kommunikationsereignis-Informationserzeugungsprozess bezugnehmend auf 8 erläutert, der von der Kommunikationsereignis-Extraktionseinheit 113 und der Kommunikationsereignis-Informationserzeugungseinheit 114 (siehe 2) des Ereignisextraktionsgeräts 10 durchgeführt wird. 8 ist ein Flussdiagramm, welches den Fluss eines Kommunikationsereignis-Informationserzeugungsprozesses zeigt, der von dem Ereignisextraktionsgerät nach einem ersten Ausführungsbeispiel der vorliegenden Erfindung ausgeführt wird. Der Kommunikationsereignis-Informationserzeugungsprozess ist ein Prozess, der während des Betriebs (während der Überwachung von unautorisierten Zugriffen oder Ähnlichem während des vollumfänglichen Betriebs) des Steuerungssystems 1 durchgeführt wird.
-
Wie in 8 dargestellt entscheidet die Kommunikationsereignis-Extraktionseinheit 113 des Ereignisextraktionsgeräts 10 zunächst, ob die Kommunikationsereignis-Extraktionseinheit 113 des Kommunikationspakets durch die Paketempfangseinheit 111 erhält, welches die Kommunikationspakete in dem Segment 3 empfängt (Schritt S20). Wenn die Kommunikationsereignis-Extraktionseinheit 113 die Kommunikationspakete nicht empfängt (”Nein” in Schritt S20), wartet der Prozess, bis die Kommunikationsereignis-Extraktionseinheit 113 das Kommunikationspaket erhält. Andererseits springt der Prozess zu Schritt S21, wenn die Kommunikationsereignis-Extraktionseinheit 113 das Kommunikationspaket empfängt (”Ja” in Schritt S20).
-
Als Nächstes extrahiert die Kommunikationsereignis-Extraktionseinheit 113 die charakteristischen Werte, die in dem empfangenen Kommunikationspaket enthalten sind (Schritt S21). Die charakteristischen Werte sind beispielsweise Informationen über die Zieladresse, die Ursprungsadresse, die Datenmenge und den Protokolltyp ähnlich den charakteristischen Werten, die in dem Lernwertinformations-Erzeugungsprozess von der Lernwertinformations-Erzeugungseinheit 112 aus dem Kommunikationspaketen extrahiert werden.
-
Als Nächstes entscheidet die Kommunikationsereignis-Extraktionseinheit 113, ob die charakteristischen Werte sich von dem Normalwert für jeden der extrahierten charakteristischen Werte unterscheiden oder nicht, indem entschieden wird, ob der charakteristische Wert eine für jeden charakteristischen Wert eingestellte Bedingung erfüllt, die in der Entscheidungsinformation 120 für den charakteristischen Wert in der Speichereinheit 14 gespeichert ist (Schritt S22). Wie oben beschrieben wird die eingestellte Bedingung verwendet, um zu entscheiden, dass der charakteristische Wert wie beispielsweise eine Zieladresse oder ein Ursprungsadresse einem Normalwert entspricht, wenn der charakteristische Wert innerhalb eines vorgegebenen Bereichs für die normalerweise verwendeten Adressen liegt, und dass der charakteristische Wert sich von dem Normalwert unterscheidet, wenn der charakteristische Wert außerhalb eines für die Adresse vorgegebenen Bereichs liegt. Die eingestellte Bedingung wird verwendet, um zu entscheiden, ob der charakteristische Wert wie beispielsweise eine Datenlänge sich von dem Normalwert unterscheidet oder nicht, indem entschieden wird, ob die Datenlänge einen vorgegebenen Schwellenwert überschreitet oder geringer als ein vorgegebener Schwellenwert ist. Die eingestellte Bedingung wird verwendet, um zu entscheiden, dass der charakteristische Wert wie beispielsweise ein Protokolltyp sich von dem normalen Wert unterscheidet, wenn sich der Protokolltyp von dem für die normale Benutzung eingestellten Protokolltypen unterscheidet.
-
Die Kommunikationsereignis-Extraktionseinheit 113 entscheidet, ob alle charakteristischen Werte als innerhalb des normalen Bereichs liegend erkannt wurden oder nicht (Schritt S23). Wenn entschieden wird, dass alle charakteristischen Werte innerhalb des normalen Bereichs liegen (”Ja” in Schritt S23), endet der Kommunikationsereignis-Informationserzeugungsprozess. Wenn andererseits die Kommunikationsereignis-Informationseinheit 113 entscheidet, dass zumindest einer der charakteristischen Werte sich von dem Normalwert unterscheidet (”Nein” in Schritt S23), gibt die Kommunikationsereignis-Informationseinheit 113 Informationen für jeden charakteristischen Wert des Kommunikationspakets an die Kommunikationsereignis-Informationserzeugungseinheit 114 aus und der Prozess springt zu Schritt S24.
-
In Schritt S24 erzeugt die Kommunikationsereignis-Informationserzeugungseinheit 114 die Kommunikationsereignis-Information 150 (siehe 3) inklusive jedes charakteristischen Werts des Kommunikationspakets, der von der Kommunikationsereignis-Extraktionseinheit 113 empfangen wurde. Die Kommunikationsereignis-Informationserzeugungseinheit 114 sendet die erzeugte Kommunikationsereignisinformation 150 über die Ausgabeverarbeitungseinheit 115 an das Überwachungsgerät 20 und der Kommunikationsereignis-Informationserzeugungsprozess endet.
-
Auf diese Weise kann das Ereignisextraktionsgerät 10 die Kommunikationsereignis-Information 150 für das Kommunikationspaket erzeugen, welches aus dem Segment 3 empfangen wurde, und enthält zumindest einen charakteristischen Wert, der sich von dem Normalwert unterscheidet, und kann die Kommunikationsereignis-Information 150 an das Überwachungsgerät 20 übermitteln.
-
Einflussgradermittlungsprozess durch das Überwachungsgerät
-
Als Nächstes wird der Einflussgradermittlungsprozess bezugnehmend auf 9 erläutert, der von der Einflussgradvorhersage-Verarbeitungseinheit 212 (siehe 2) durchgeführt wird. 9 ist ein Flussdiagramm, welches den Fluss eines Einflussgradermittlungsprozesses zeigt, der von dem Überwachungsgerät 20 nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung durchgeführt wird.
-
Wie in 9 gezeigt entscheidet die Einflussgradvorhersage-Verarbeitungseinheit 212 des Überwachungsgeräts 20 zunächst, ob die Kommunikationsereignis-Informationsempfangseinheit 211 (siehe 4) die Kommunikationsereignis-Information 150 (Schritt S30) empfängt oder nicht, indem der Prozess, in welchem die Kommunikationsereignis-Information 150 in dem Ereignispuffer 25 gespeichert wird, überwacht wird. Wenn die Kommunikationsereignis-Informationsempfangseinheit 21 die Kommunikationsereignis-Information 150 nicht empfängt (”Nein” in Schritt S30) wartet der Prozess, bis die Kommunikationsereignis-Informationsempfangseinheit 21.1 die Kommunikationsereignis-Information 150 empfängt. Wenn andererseits die Kommunikationsereignis-Informationsempfangseinheit 21.1 das Kommunikationspaket empfängt (”Ja” in Schritt S30) springt der Prozess zu Schritt S31.
-
In Schritt S31 ermittelt die Einflussgradvorhersage-Verarbeitungseinheit 212 aus dem Ereignispuffer 25 die Eingabehistorie inklusive der Kommunikationsereignis-Information 150, die von der Kommunikationsereignis-Informationsempfangseinheit 211 in Schritt S30 empfangen wurde. Die Einflussgradvorhersage-Verarbeitungseinheit 212 vergleicht die erhaltene Eingabehistorie der Kommunikationsereignis-Information 150 mit jedem in der Ereignismuster DB 241 der Speichereinheit 24 gespeicherten Ereignismuster 200.
-
Die Einflussgradvorhersage-Verarbeitungseinheit 212 entscheidet, ob ein Ereignismuster 200 existiert, welches der Eingabehistorie gleicht, oder nicht (Schritt S32). Die Einflussgradvorhersageverarbeitungseinheit 212 entscheidet, ob die Eingabehistorie jedes Segments 3 sämtliche Bedingungen wie beispielsweise Bedingungen für einen charakteristischen Wert, Bedingungen für eine Wiederholungszahl und eine Zeitverzögerungsbedingung für eines der Elemente (beispielsweise die Ereignismuster A-1 bis A-m in 5) des entsprechenden Ereignismusters 200 erfüllt oder nicht, und zwar für jedes in 5 dargestellte Ereignismuster 5 und jedes Mal, wenn eine Kommunikationsereignis-Information 150 eingegeben wird. Die Einflussgradvorhersage-Verarbeitungseinheit 212 berechnet einen Ähnlichkeitsgrad, der angibt, wie viele Kommunikationsereignis-Informationen 150 unter m-Teilen der Kommunikationsereignis-Information 150, die mit dem Element des Ereignismusters 20 verglichen wurden, dem entsprechenden Element des Ereignismusters 200 entsprechen und entscheidet, dass die Eingabehistorie dem Ereignismuster 200 ähnlich ist, wenn der Ähnlichkeitsgrad größer oder gleich einem vorgegebenen Schwellenwert ist.
-
Hier springt der Einflussgradermittlungsprozess zu Schritt S33, wenn die Einflussgradvorhersage-Verarbeitungseinheit 212 erkennt, dass ein der Eingabehistorie gleichendes Ereignismuster 200 existiert, und springt zu Schritt S34, wenn die Einflussgradvorhersage-Verarbeitungseinheit 212 entscheidet, dass kein der Eingabehistorie gleichendes Ereignismuster 200 existiert.
-
Im Schritt S33 bestimmt die Einflussgradvorhersageverarbeitungseinheit 212 einen Einflussgrad (beispielsweise einen der Einflussgrade ”2” bis ”4”) des Ereignismusters 200, für welches die Ähnlichkeit mit der Eingabehistorie erkannt wurde, auf das Steuerungssystem 1, wobei bezug auf die Einflussgradinformation 242 genommen wird (4). Wenn die Mehrzahl von Ereignismustern 200 in Schritt S32 ermittelt wurde, die der Eingabehistorie gleichen, wählt die Einflussgradvorhersage-Verarbeitungseinheit 212 dasjenige Ereignismuster 200 aus, welches einen höheren Ähnlichkeitsgrad als andere Ereignismuster 200 hat, als das der Eingabehistorie ähnlichste Ereignismuster 200 aus und bestimmt den Einflussgrad. Dann springt der Prozess zu Schritt S35.
-
Wenn andererseits für kein Ereignismuster 200 eine Ähnlichkeit mit der Eingabehistorie erkannt wurde (”Nein” in Schritt S32), ermittelt die Einflussgradvorhersage-Verarbeitungseinheit 212 ein Frühwarnniveau (beispielsweise den Einflussgrad ”1”), welches der geringste Einflussgrad ist (Schritt S34). Der Prozess springt dann zu Schritt S35.
-
Als Nächstes ermittelt die Einflussgradvorhersage-Verarbeitungseinheit 212, ob von einem anderen Ereignisextraktionsgerät 10 andere Kommunikationsereignis-Informationen 150 innerhalb eines vorgegebenen Zeitraums vor der Gegenwart empfangen wurde (Schritt S35). Wenn andere Kommunikationsereignis-Informationen 150 von anderen Ereignisextraktionsgeräten 10 empfangen wurde (”Ja” in Schritt S35), so bedeutet dies, dass in andere Segmenten 3 ein sich von Kommunikationstrend innerhalb des Normalbetriebs unterscheidendes Kommunikationspaket detektiert wurde und die Einflussgradvorhersage-Verarbeitungseinheit 212 erkennt, dass Schäden durch den unautorisierten Zugriff sich ausweiten, und erhöht den in Schritten S33 und S34 ermittelten Einflussgrad um 1 (Schritt S36). Der Prozess wird dann mit Schritt S37 fortgesetzt. Wenn andererseits keine andere Kommunikationsereignis-Information 150 von anderen Ereignisextraktionsgeräten 10 innerhalb eines vorgegebenen Zeitraums in Schritt S35 empfangen wurde (”Nein” in Schritt S35) wird der Prozess mit Schritt S37 fortgesetzt.
-
In Schritt S37 erzeugt die Einflussgradvorhersage-Verarbeitungseinheit 212 die vorhergesagte Einflussgradinformation 250 inklusive des ermittelten Einflussgrads und übersendet die vorhergesagte Einflussgradinformation 250 über die Ausgabeverarbeitungseinheit 213 an das Betätigungsbefehlsgerät 30.
-
Auf diese Weise kann das Überwachungsgerät 20 entscheiden, ob die Eingabehistorie inklusive der von jedem Ereignisextraktionsgerät 10 empfangenen Kommunikationsereignis-Information 150 dem Ereignismuster 200 des unautorisierten Zugriffs oder Ähnlichem gleicht, und kann den Einflussgrad bestimmen.
-
Zweites Ausführungsbeispiel
-
Als Nächstes wird ein Sicherheitsüberwachungssystem 100b nach einem zweiten Ausführungsbeispiel der vorliegenden Erfindung erläutert. Das Sicherheitsüberwachungssystem 100b nach dem zweiten Ausführungsbeispiel sammelt die Kommunikationspakete, die in dem Segment 3 gesendet und empfangen werden, und sagt einen Ausbreitungsweg der von dem Ereignisextraktionsgerät 10 erzeugten Kommunikationsereignis-Information 150 bezugnehmend auf die Gerätekorrelationskarte (siehe 15A und 15B, die später beschrieben werden) voraus, die auf der Grundlage der Kommunikationshistorie zwischen den Steuergeräten 2 erzeugt wird. Hier bedeutet der Ausbreitungsweg eine als Route des Kommunikationspakets vorhergesagte Route, wobei auf dieser eine hohe Wahrscheinlichkeit besteht, von dem Kommunikationspaket betroffen zu sein, welches im nächsten Prozess von dem Steuergerät 2 erzeugt wird, welches das Kommunikationspaket empfängt, wenn das als Kommunikationsereignis-Information extrahierte Kommunikationspaket einen unautorisierten Zugriff oder Ähnliches darstellt. Insbesondere wird der Ausbreitungsweg als eine Gruppe von Steuergeräten 2 auf dem Weg der Kommunikationspakete angegeben, die in einem auf eine Reihe von Steuerungensvorgängen bezogenen Prozess versendet und empfangen werden. Das Sicherheitsüberwachungssystem 100b nach dem zweiten Ausführungsbeispiel erzeugt die Gerätekorrelationskarte (siehe 15A und 15B) auf der Grundlage der Kommunikationshistorie der Kommunikationspakete, die zwischen den Steuergeräten 2 während des Normalbetriebs versendet oder empfangen werden und entscheidet, dass die Wahrscheinlichkeit, durch einen unautorisierten Zugriff oder Ähnliches betroffen zu sein, hoch ist, wenn die Korrelation zwischen den Geräten höher als ein vorgegebener Wert ist. Das Sicherheitsüberwachungssystem 100b nach dem zweiten Ausführungsbeispiel ist dadurch gekennzeichnet, dass das Sicherheitsüberwachungssystem 100b die Betätigungsbefehls-Information 350 mit hoher Priorität an diejenigen Steuergeräte 2 verschickt, die sich auf dem Ausbreitungsweg befinden.
-
Gesamtaufbau des Systems
-
10 ist ein Diagramm, welches einen Gesamtaufbau des Sicherheitsüberwachungssystems 100b nach dem zweiten Ausführungsbeispiel der vorliegenden Erfindung zeigt. Das Sicherheitsüberwachungssystem 100b umfasst eine Mehrzahl von Ereignisextraktionsgeräten 10b (#1 bis #n), die jeweils für jedes der Segmente 3 des Steuerungssystems 1 vorgesehen sind, ein Überwachungsgerät 20b und ein Betätigungsbefehlsgerät 30b. Der Unterschied zu dem Sicherheitsüberwachungssystem 100 nach dem ersten Ausführungsbeispiel der Erfindung, welches in 1 dargestellt ist, liegt darin, dass das Ereignisextraktionsgerät 10b die Kommunikationsereignis-Information 150 ebenso wie die Kommunikationsfrequenz-Information 160 (12A, 12B die später beschrieben werden) erzeugt, welche die Anzahl (die Frequenz) der Kommunikationspakete angibt, die zwischen den Steuergeräten 2 im Segment 3 versendet und empfangen werden, und die Kommunikationsfrequenz-Information 160 an das Überwachungsgerät 20b verschickt. Das Überwachungsgerät 20b erzeugt die Gerätekorrelationskarte 210 (siehe 15A, 15B) auf der Grundlage der Kommunikationsfrequenz-Information 160, die von dem jeweiligen Extraktionsgerät 10b empfangen wurde, und ermittelt den Ausbreitungsweg der Kommunikationspakete, für die entschieden wird, dass sie dem Ereignismuster 200 eines unautorisierten Zugriffs oder Ähnlichem gleichen, und verschickt die auf dem Ausbreitungsweg liegenden Steuergeräte 2 als Einflussbereichs-Information 260 an das Betätigungsbefehlsgerät 30b. Das Betätigungsbefehlsgerät 30b übersendet die Betätigungsbefehls-Information 350 mit höherer Priorität an die Steuerungsgeräte 2 auf dem Ausbreitungsweg, der durch die vorhergesagte Einflussbereichs-Information 260 angegeben ist. Als Nächstes wird der spezielle Aufbau jedes Geräts in dem Sicherheitsüberwachungssystem 100b erläutert.
-
Ereignisextraktionsgerät
-
11 ist ein funktionales Blockdiagramm, welches ein Beispiel für den Aufbau des Ereignisextraktionsgeräts 10b nach dem zweiten Ausführungsbeispiel der Erfindung zeigt. Der Unterschied zu dem Ereignisextraktionsgerät 10 (siehe 2) nach dem ersten Ausführungsbeispiel der Erfindung liegt darin, dass das Ereignisextraktionsgerät 10b eine Kommunikationsfrequenz-Informationserzeugungseinheit 160 zusätzlich zum Aufbau des Ereignisextraktionsgeräts 10 enthält. Die Kommunikationsfrequenz-Informationserzeugungseinheit 116 zählt jedes aus dem Segment 3 empfangene Kommunikationspaket, um die Kommunikationsfrequenz-Information 160 (siehe 12A, 12B) zu erzeugen, und sendet die Kommunikationsfrequenz-Information 160 an das Überwachungsgerät 20b. Da andere Konfiguration derjenigen des in 2 dargestellten Ereignisextraktionsgeräts 10 gleichen, wird von Erläuterungen abgesehen.
-
Die Kommunikationsfrequenz-Informationserzeugungseinheit 116 empfängt die Kommunikationspakete, die die gleichen sind, die gewonnen werden, wenn die Lernwert-Informationserzeugungseinheit 112 die Lernwert-Information 110 erzeugt, durch die Paketempfangseinheit 111, und erzeugt die Kommunikationsfrequenz-Information 160.
-
12A und 12B sind Diagramme, die Beispiele für Datenstrukturen der Kommunikationsfrequenz-Information 160 nach dem zweiten Ausführungsbeispiel der vorliegenden Erfindung zeigen. Wie in 12A, 12B gezeigt, ist die Kommunikationsfrequenz-Information 160 aus einer Matrix zusammengesetzt, welche der Anzahl der Kommunikationspakete entspricht, die für jede Kombination einer Ursprungsadresse und einer Zieladresse auf der Grundlage der Information sämtlicher aus dem Segment 3 empfangener Kommunikationspakete abgezählt wurde. 12A zeigt als Beispiel die Kommunikationsfrequenz-Information 160, die von der Kommunikationsfrequenz-Informationserzeugungseinheit 116 des Ereignisextraktionsgeräts 10b (#1) erzeugt wurde, die mit dem Segment 3 (#1) verbunden ist (siehe 10). 12A zeigt als Beispiel, dass die Kommunikationspakete, die von dem Steuergerät 2 mit der Ursprungsadresse ”192.168.10.1” des Steuergeräts 2 mit der Zieladresse ”192.168.10.2” verschickt wurden, 1200 mal detektiert wurden, und dass die Kommunikationspakete, die von dem Steuergerät 2 mit der Ursprungsadresse ”192.168.10.1” an das Steuergerät 2 mit der Zieladresse ”192.168.10.3” verschickt wurden, 250 mal detektiert wurden. 12B zeigt als Beispiel die Kommunikationsfrequenz-Information 160, die von der Kommunikationsfrequenz-Informationserzeugungseinheit 116 des Ereignisextraktionsgeräts 10b (#2) erzeugt wurde, das mit dem Segment 3 (#2) verbunden ist (siehe 10). Die Kommunikation zwischen den gleichen Adressen wird nicht gezählt und diese wird durch ”-” in 12A, 12B angegeben.
-
Die Kommunikationsfrequenz-Informationserzeugungseinheit 116 des Ereignisextraktionsgeräts 10b erzeugt die Kommunikationsfrequenz-Information 160, die in 12A, 12B dargestellt ist, auf der Grundlage der Informationen der Kommunikationspakete, die aus dem Segment 3 empfangen wurden, und übersendet die Kommunikationsfrequenz-Information 160 an das Überwachungsgerät 20b. Die Übermittlung der Kommunikationsfrequenz-Information 160 an das Überwachungsgerät 20b durch das Ereignisextraktionsgerät 10b erfolgt, bevor das Sicherheitsüberwachungssystem 10b die Überwachung auf unautorisierte Zugriffe und Ähnliches des Steuerungssystems 1 durchführt (vor dem vollumfänglichen Betrieb des Steuerungssystems 1).
-
Überwachungsgerät
-
13 ist ein funktionales Blockdiagramm, welches ein Beispiel für den Aufbau eines Überwachungsgeräts 20b nach dem zweiten Ausführungsbeispiel der Erfindung zeigt. Der Unterschied zu dem Überwachungsgerät 20 (siehe 4) nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung liegt darin, dass das Überwachungsgerät 20b eine Kommunikationsfrequenz-Informationsempfangseinheit 214, eine Gerätekorrelationskarten-Erzeugungseinheit 215 und eine Erzeugungseinheit 216 für die Information zum vorhergesagten Einflussbereich zusätzlich zur Konfiguration des Überwachungsgeräts 20 enthält. Da die übrigen Bestandteile denjenigen des Überwachungsgeräts 20 gleichen, das in 4 dargestellt ist, wird von der Erklärung abgesehen.
-
Die Kommunikationsfrequenz-Informationsempfangseinheit 214 empfängt die Kommunikationsfrequenz-Information 116 (siehe 12A, 12B) von dem jeweiligen Ereignisextraktionsgerät 10b durch die Eingabe/Ausgabeeinheit 22 und leitet die Kommunikationsfrequenz-Information 160 an die Gerätekorrelationskarten-Erzeugungseinheit 215 weiter.
-
Die Gerätekorrelationskarten-Erzeugungseinheit 215 erzeugt die Kommunikationsfrequenz-Information 160, welche die Kommunikationsfrequenz des gesamten Steuerungssystems 1 angibt (im Folgenden als die ”Kommunikationsfrequenz-Information (gesamt) 160” bezeichnet), in dem die von dem Ereignisextraktionsgerät 10b erzeugten Kommunikationsfrequenz-Informationen 160 kombiniert werden.
-
14 ist ein Diagramm, welches ein Beispiel einer Datenstruktur der Kommunikationsfrequenz-Information (gesamt) 160 nach dem zweiten Ausführungsbeispiel der vorliegenden Erfindung zeigt. 14 zeigt ein Beispiel, in welchem die Kommunikationsfrequenz-Information 160, die in 12A dargestellt ist, und die Kommunikationsfrequenz-Information 160, die in 12B dargestellt ist, als die Kommunikationsfrequenz-Information (gesamt) 160 zusammenfasst.
-
Die Gerätekorrelationskarten-Erzeugungseinheit 215, die die Kommunikationsfrequenz-Information (gesamt) 160 erzeugt hat, erzeugt die Gerätekorrelationskarte 210 durch Normieren der Kommunikationsfrequenz-Information (gesamt) 160. In diesem Zusammenhang bedeutet Normieren ein Verfahren, in welchem jede Komponente der Matrix in einen gewissen Bereich von handhabbaren numerischen Werten transformiert wird, wobei beispielsweise skaliert oder quantisiert wird.
-
15A und 15B sind Diagramme zur Erläuterung eines Beispiels einer Datenstruktur der Gerätekorrelationskarte 210 nach dem zweiten Ausführungsbeispiel der vorliegenden Erfindung. 15A zeigt ein Beispiel, in welchem die Kommunikationsfrequenz-Information (gesamt) 160 in 14 als die Gerätekorrelationskarte 210 normiert wurde, indem eine in 15B dargestellte logarithmische Skala verwendet wurde. In der Gerätekorrelationskarte 210 aus 15A werden Korrelationswerte (”1” bis ”4”: siehe 15B) für vier Stufen (mit Ausnahme der Paketzahl ”0”, die zur Bewertung der Korrelation zwischen den Geräten nicht verwendet wird) von der Gerätekorrelationskarten-Erzeugungseinheit 215 gemäß der in 14 dargestellten Anzahl von Kommunikationspaketen berechnet. Je größer die Anzahl der Kommunikationspakete ist, desto stärker ist die Korrelation (auf einen desto größeren Wert wird die Korrelation eingestellt). Die Gerätekorrelationskarte 210, die in 15A dargestellt ist, zeigt die Korrelationswerte, die angeben, wie engmaschig Informationen zwischen den jeweiligen Steuerungssystemen 2 in dem Steuerungssystem 1 verschickt und empfangen werden. Der Erzeugungsprozess für die Gerätekorrelationskarte 210 wird von der Gerätekorrelationskarten-Erzeugungseinheit 215 durchgeführt, bevor der Überwachungsbetrieb für unautorisierte Zugriffe oder Ähnliches von dem Sicherheitsüberwachungssystem 100b durchgeführt wird. Anders gesagt empfängt das Kommunikationsgerät 20b die Kommunikationsfrequenz-Information 160 von jedem Ereignisextraktionsgerät 10b (siehe 11) und die Gerätekorrelationskarte 210 wird im Voraus erzeugt und in der Speichereinheit 23 oder Ähnlichem von der Gerätekorrelationskarten-Erzeugungseinheit 215 gespeichert.
-
Die Erzeugungseinheit 216 für die Information zum vorhergesagten Einflussbereich extrahiert die auf dem Ausbreitungsweg liegenden Steuergeräte 2, indem sie die in der Kommunikationsereignis-Information 150 enthaltenen Zieladressen extrahiert, wenn die Kommunikationsereignis-Informationsempfangseinheit 211 die Kommunikationsereignis-Information 150 von dem jeweiligen Ereignisextraktionseinheiten 10b während des Normalbetriebs des Steuerungssystems 1 empfängt. Insbesondere extrahiert die Erzeugungseinheit 216 die Information zum vorhergesagten Einflussbereich diejenigen Steuergeräte 2, die in einer engen Beziehung zu dem Steuergerät 2 stehen, welches als Zieladresse angegeben ist, indem sie Bezug auf die Gerätekorrelationskarte 210 nimmt und die in der Kommunikationsereignis-Information 150 enthaltene Zieladresse verwendet. In anderen Worten setzt die Erzeugungseinheit 216 für die Information zum vorhergesagten Einflussbereich die in der Kommunikationsereignis-Information 150 enthaltene Zieladresse als Ursprungsadresse für die Gerätekorrelationskarte ein und extrahiert diejenigen Steuergeräte auf der Ausbreitungsroute durch Ermitteln der derjenigen Zieladressen, die einen Korrelationswert haben, der einem vorgegebenen Schwellenwert in den Aufzeichnungen entspricht oder größer ist. Im Folgenden wird ein spezielles Beispiel bezugnehmend auf 16A, 16B erläutert.
-
16A und 16B sind Diagramme zur Erläuterung des Erzeugungsverfahrens für die Information 216 zur Vorhersage des Einflussbereichs, welches von der Erzeugungseinheit 216 für die Information zum vorhergesagten Einflussbereich nach dem zweiten Ausführungsbeispiel der vorliegenden Erfindung durchgeführt wird. Wie in 16 dargestellt ermittelt die Erzeugungseinheit 216 für Informationen zur Vorhersage des Einflussbereichs zunächst die Kommunikationsereignis-Information 150 und extrahiert die Zieladresse (”192.168.10.1”). Dann setzt die Erzeugungseinheit 216 für die Information zum vorhergesagten Einflussbereich die extrahierte Zieladresse als die Ursprungsadresse für die Gerätekorrelationskarte 210 ein und extrahiert die Zieladressen (in diesem Fall ”192.168.10.2” und ”192.168.10.1”) welche Korrelationswerte haben, die einem vorgegebenen Schwellenwert (der in diesem Fall ”3” beträgt) in der Aufzeichnung entspricht oder größer ist.
-
Auf diese Weise extrahiert die Erzeugungseinheit 216 für die Information zum vorhergesagten Einflussbereich diejenigen Steuergeräte (in diesem Fall die Steuergeräte 2 mit den Adressen ”192.168.10.2” und ”192.168.10.1”), die mit hoher Wahrscheinlichkeit durch den unautorisierten Zugriff oder Ähnliches durch das extrahierte Kommunikationspaket als Kommunikationsereignis-Information 150 betroffen sein werden, indem die Zieladresse der Kommunikationsereignis-Information 150 benutzt wird, und erzeugt die Information 260 zum vorhergesagten Einflussbereich inklusive der Adressen zur Übersendung der Information 260 zum vorhergesagten Einflussbereich an die Betätigungsbefehlsgeräte 30b durch die Ausgabeverarbeitungseinheit 213.
-
Die Erzeugungseinheit 216 für die vorhergesagte Einflussbereichs-Information setzt ferner die extrahierten Adressen als die Ursprungsadressen für die Gerätekorrelationskarte 210 ein und extrahiert die Zieladressen, die Korrelationswerte haben, die in der Aufzeichnung größer oder gleich einem vorgegebenen Schwellenwert sind. Die Erzeugungseinheit 216 für die vorhergesagte Einflussbereichs-Information kann den Prozess wiederholen, um die Ausbreitungswege vorherzusagen, bis keine Zieladressen mehr extrahiert werden, die einen Korrelationswert haben, der größer oder gleich dem vorgegebenen Schwellenwert ist. In den Beispielen von 16A, 16B setzt die Erzeugungseinheit 216 für die vorhergesagte Einflussbereichs-Information die extrahierten Zieladressen ”192.168.10.2.” und ”192.168.10.1” jeweils als Ursprungsadressen für Gerätekorrelationskarte 210 ein und extrahiert die Zieladresse (in diesem Fall ”192.168.10.3”), die einen Korrelationswert hat, der größer oder gleich dem vorgegebenen Schwellenwert (der in diesem Fall ”3” beträgt) in den Aufzeichnungen für die Ursprungsadresse ”192.168.10.2” ist, und setzt den Prozess dann weiter fort. Andererseits beendet die Erzeugungseinheit 216 für die vorhergesagte Einflussbereichs-Information die Vorhersage des Ausbreitungswegs soweit die Ursprungsadresse ”192.168.20.1” betroffen ist, da es hier keine Zieladresse gibt, die einen Korrelationswert hat, der größer oder gleich dem vorgegebenen Schwellenwert ist (der in diesem Fall ”3” beträgt). Die Erzeugungseinheit 260 für die vorhergesagte Einflussbereichs-Information erzeugt dann die vorhergesagten Einflussbereichs-Information 216, welche die Adressen dieser Steuergeräte 2 auf dem Ausbreitungsweg enthält, und sendet die vorhergesagte Einflussbereichs-Information 260 an die Betätigungsbefehlsgeräte 30b.
-
Betätigungsbefehlsgerät
-
17 ist ein funktionales Blockdiagramm, welches ein Beispiel für den Aufbau eines Betätigungsbefehlsgeräts 30b nach dem zweiten Ausführungsbeispiel der Erfindung zeigt. Der Unterschied zu dem Betätigungsbefehlsgerät 30 (siehe 6) nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung liegt darin, dass das Betätigungsbefehlsgerät 30b eine Empfangseinheit 314 für die vorhergesagte Einflussbereichs-Information, eine Prioritätsbefehlseinheit 315 und eine Puffereinheit 35 sowie den übrigen Aufbau des Betätigungsbefehlsgeräts 30 enthält. Die übrige Konfiguration entspricht derjenigen des in 6 dargestellten Betätigungsbefehlsgeräts 30 und die Erläuterung entfällt. Das Betätigungsbefehlsgerät 30b speichert die Betätigungsbefehls-Information 350, die von der Erzeugungseinheit 312 auf der Grundlage der empfangenen vorhergesagten Einflussgrad-Information 250 erzeugt wurde, in dem Ausgabepuffer 35. Dann steuert das Betätigungsbefehlsgerät 30b die Reihenfolge der Ausgabe der Betätigungsbefehls-Information 350, die in dem Ausgabepuffer 35 gespeichert ist, in der Weise, dass das Betätigungsbefehlsgerät 30b die Betätigungsbefehls-Information 350 mit höherer Priorität an diejenigen Steuergeräte 2 verschickt, für die vorhergesagt wurde, dass aufgrund der vorhergesagten Einflussbereichs-Information 260 eine starke Korrelation zu den Geräten besteht, und zwar durch die Prioritätsbefehlseinheit 315.
-
Der Puffer 35 wird aus einer Speichereinheit wie einem RAM gebildet und speichert die Betätigungsbefehls-Information 350, die von der Erzeugungseinheit 312 für die Betätigungsbefehls-Information erzeugt wurde, in derjenigen Reihenfolge, in der die Ausgabeverarbeitungseinheit 313 die Betätigungsbefehls-Information 350 an die jeweiligen Steuergeräte des zweiten Steuerungssystems 1 sendet.
-
Die Empfangseinheit 314 für die vorhergesagte Einflussbereichs-Information erhält die vorhergesagte Einflussbereichs-Information 260 von dem Überwachungsgerät 20b über die Eingabe/Ausgabeeinheit 32 und gibt die vorhergesagte Einflussbereichs-Information 260 an die Prioritätsbefehlseinheit 315 weiter.
-
Die Prioritätsbefehlseinheit 315 steuert den Ausgabepuffer 35 so, dass die Betätigungsbefehls-Information 350 für das Steuergerät 2, für welches aufgrund der vorhergesagten Einflussbereichs-Information 260 vorhergesagt wurde, dass eine starke Korrelation zwischen den angegebenen Geräten besteht, auf einer prioritären Basis verschickt werden kann. Insbesondere sortiert die Prioritätsbefehlseinheit 350 die Betätigungsbefehls-Informationen 350 so, dass die Betätigungsbefehls-Information 350 für das Steuergerät 2, für welches eine starke Korrelation vorhergesagt wurde, am Anfang des Ausgabepuffers angeordnet werden kann oder teilt den Ausgabepuffer 35 in zwei Puffer, einen normalen Puffer und einen Prioritätspuffer, um in dem prioritären Puffer die Betätigungsbefehls-Information 350 für diejenigen Steuergeräte 2 zu speichern, für welche eine starke Korrelation zwischen den Geräten vorhergesagt wurde.
-
Auf diese Weise kann das Betätigungsbefehlsgerät 30b die Betätigungsbefehls-Information 350 auf einer prioritären Basis an das Steuergerät 2 verschicken, für welches vorhergesagt wurde, dass eine hohe Wahrscheinlichkeit besteht, dass es durch den unautorisierten Zugriff oder Ähnliches durch das Kommunikationspaket, welches als die Kommunikationsereignis-Information 150 extrahiert wurde, betroffen ist und eine schnelle Reaktion ist möglich.
-
Modifiziertes Beispiel
-
Als Nächstes wird ein modifiziertes Beispiel des Sicherheitsüberwachungssystems 100b nach dem vorliegenden Ausführungsbeispiel erläutert.
-
In dem Sicherheitsüberwachungssystem 100 nach dem ersten Ausführungsbeispiel und dem Sicherheitsüberwachungssystem 100b nach dem zweiten Ausführungsbeispiel der vorliegenden Erfindung sind die verschiedenen Ereignisextraktionsgeräte 10, 10b (#1 bis #n) eine Mehrzahl von Geräten, die jeweils in den verschiedenen Segmenten 3 (#1 bis #n) in dem Steuerungssystem 1 (siehe 1 und 10) vorgesehen sind. Die vorliegende Erfindung ist jedoch nicht auf diese Ausführungsbeispiele begrenzt und die Ereignisextraktionsgeräte 10, 10b können als ein Gerät ausgestaltet sein, das mit den jeweiligen Segmenten 3 (#1 bis #n) verbunden ist. Zudem können die Extraktionsgeräte 10, 10b, die Überwachungsgeräte 20, 20b und die Betätigungsbefehlsgeräte 30, 30b jeweils in jeder Kombination konfiguriert werden oder können als ein einziges Gerät konfiguriert werden, welches Funktionen der jeweiligen Geräte übernimmt.
-
In dem Ereignisextraktionsgerät 10 (siehe 2) nach dem ersten Ausführungsbeispiel der vorliegenden Erfindung ist die Datenstruktur der Kommunikationsereignis-Information 150 (siehe 3), welche von der Erzeugungseinheit 114 für die Kommunikationsereignis-Information erzeugt wird, so gestaltet, dass sie den Header 151 und Verwaltungs-Information 152 sowie die charakteristischen Werte 153 bis 156 enthält. Die vorliegende Erfindung ist jedoch nicht auf dieses Ausführungsbeispiel beschränkt, sondern das Ereignisextraktionsgerät 10 kann die Kommunikationsereignis-Information 150 mitsamt der Bedingungen für die charakteristische Wertentscheidungseinheit 120, welche entscheidet, ob sich die charakteristischen Werte 153 bis 156 von dem Normalwert unterscheiden, übersenden. Auf diese Weise können die charakteristischen Werte 153 bis 156 und die jeweiligen Bedingungen der charakteristischen Wertentscheidungs-Information 120 gemeinsam als Kommunikationsereignis-Information 150 auf einem Ausgabegerät wie beispielsweise einem Monitor dargestellt werden, der an das Überwachungsgerät 20 angeschlossen ist.
-
Bezugszeichenliste
-
- 1
- Steuerungssystem
- 2
- Steuergerät
- 3
- Segment
- 10, 10b
- Ereignisextraktionsgerät (Ereignisextraktionseinheit)
- 11, 21, 31
- Steuereinheit
- 12, 22, 32
- Eingabe/Ausgabeeinheit
- 13, 23, 33
- Arbeitsspeichereinheit
- 14, 24, 34
- Speichereinheit
- 20, 20b
- Überwachungsgerät (Überwachungseinheit)
- 25
- Ereignispuffer
- 30, 30b
- Betätigungsbefehlsgerät (Betätigungbefehlseinheit)
- 35
- Ausgabepuffer
- 100, 100b
- Sicherheitsüberwachungssystem
- 110
- Lernwert-Information
- 111
- Paketempfangseinheit
- 112
- Lernwert-Informationserzeugungseinheit
- 113
- Kommunikationsereignis-Extraktionseinheit
- 114
- Kommunikationsereignis-Informationserzeugungseinheit
- 115, 213, 313
- Ausgabeverarbeitungseinheit
- 116
- Kommunikationsfrequenz-Informationserzeugungseinheit
- 120
- Entscheidungs-Information für den charakteristischen Wert
- 150
- Kommunikationsereignis-Information
- 160
- Kommunikationsfrequenz-Information
- 200
- Ereignismuster
- 210
- Gerätekorrelationskarte
- 211
- Kommunikationsereignis-Informationsempfangseinheit
- 212
- Einflussgradvorhersage-Verarbeitungseinheit
- 214
- Kommunikationsfrequenz-Informationsempfangseinheit
- 215
- Gerätekorrelationskarten-Erzeugungseinheit
- 216
- Erzeugungseinheit für die vorhergesagte Einflussbereichs-Information
- 241
- Ereignismusterdatenbank
- 242
- Einflussgrad-Information
- 250
- vorhergesagte Einflussgrad-Information
- 260
- vorhergesagte Einflussgrad-Information
- 300
- ”Einflussgrad in Betätigungsbefehl”-Umwandlungs-Information
- 311
- Empfangseinheit für vorhergesagte Einflussgrad-Information
- 312
- Erzeugungseinheit für Betätigungsbefehls-Information
- 314
- Empfangseinheit für vorhergesagte Einflussbereichs-Information
- 315
- Prioritätsbefehlseinheit
- 350
- Betätigungsbefehls-Information