-
Technisches Gebiet
-
Die vorliegende Erfindung bezieht sich auf Techniken zur Anomalieerkennung und bezieht sich im Besonderen auf ein System zur Anomalieerkennung, um zu verhindern, dass ein System, das erkanntermaßen eine Anomalie aufweist, andere Systeme beeinträchtigt.
-
Hintergrund der Technik
-
Die moderne Gesellschaft stützt sich auf Computer. Folgende Arten von Systemen, in denen Computer verwendet werden, sind bekannt: ein Informationssystem, das hauptsächlich in einem Büro oder dergleichen verwendet wird; und ein industrielles Steuerungssystem (industrial control system, im Folgenden als „ICS” bezeichnet), das in einem Kraftwerk, einer Rohrleitung, einem Chemiewerk oder dergleichen verwendet wird. Jedes einzelne ICS besteht aus einem individuellen System, das für den entsprechenden Industriezweig spezifisch ist.
-
Bei den meisten ICSs handelt es sich um Systeme, die hauptsächlich Infrastrukturen bereitstellen, und dementsprechend führen Fehler oder Anomalien wahrscheinlich zu schweren Personen- und wirtschaftlichen Schäden. Außerdem ist ein System bekannt, in dem eine Vielzahl von ICSs über ein Netzwerk verbunden sind und Informationen miteinander austauschen. Es wird eine Technik gewünscht, durch die, falls Daten eines ICS, das eine Anomalie aufweist, in einer solchen Umgebung, in der eine Vielzahl von ICSs betrieben werden, an andere ICSs gesendet werden, die empfangenden ICSs im Wesentlichen nicht beeinträchtigt werden.
-
Wenn eine Vielzahl von ICSs betrieben werden, belastet die Ermittlung, ob ein bestimmtes ICS eine Anomalie aufweist, IT-Ressourcen und erfordert darüber hinaus Verarbeitungszeit, so dass das ICS-System selbst keine Anomalieermittlung durchführen kann. Bei üblichen Informationssystemen ist es möglich, kontinuierlich eine Anomalieermittlung durchzuführen, oder, falls ein verdächtiges System vorhanden ist, das System zu isolieren und die anderen Systeme zu betreiben, während das System unter Verdacht steht. Dies ist jedoch bei ICSs schwierig, die ununterbrochen in Betrieb sein sollen.
-
Beispielsweise führt in der
JP 2011-035664A ein Konfigurationssteuerungsmittel eine Prozedur zum Minimieren eines Funktionsverlusts seiner eigenen Einheit gemäß Anomalieinformationen in dem Fall durch, in dem eine überwachte Einheit eine Anomalie aufweist. Die Technik in dieser Druckschrift beruht jedoch auf zwei ähnlichen Systemen, nämlich im Fall einer Anomalie auf einem Master und einem Slave, und ist nicht auf eine Vielzahl von ICSs anwendbar, bei denen es sich um verschiedene, individuelle Systeme handelt, die über ein Netzwerk verbunden sind.
-
Die
DE 601 00 962 T2 betrifft allgemein eine Reihe von Bearbeitungen, die ausgeführt werden, wenn ein Fehler wie beispielsweise ein Operationsfehler in irgendeiner aus einer Vielzahl von CPUs oder einer Vielzahl von Steuerungseinrichtungen auftritt, die in einem Hardware-Aufbau enthalten sind. In einer konkreten Anwendung betrifft diese Druckschrift eine Steuerungstechnik, die zur Steuerung eines Objekts angewendet wird.
-
Die in
EP 2 287 692 A2 offenbarte Vorrichtung ermöglicht es, dass eine Auffälligkeits-Analyse einfach und zuverlässig in einem Fabrikautomatisierungssystem durchgeführt werden kann. Hierdurch können in einem Automatisierungsnetzwerk einer Fabrik Auffälligkeiten diagnostiziert werden.
-
Kurzdarstellung der Erfindung
-
Durch die Erfindung zu lösende Probleme Die vorliegende Erfindung wurde angesichts der oben genannten Probleme durchgeführt und hat zum Ziel, ein System zur Anomalieerkennung bereitzustellen, um eine Datenübertragung zwischen ICSs zu steuern, ein ICS zu erkennen, Von dem vermutet wird, dass es eine Anomalie aufweist, und zu verhindern, dass das ICS ein oder mehrere andere ICS(s) beeinträchtigt.
-
Die vorliegende Erfindung hat außerdem zum Ziel, ein System zur Anomalieerkennung bereitzustellen, um zu ermitteln, ob das ICS tatsächlich eine Anomalie aufweist, ohne jedes ICS zu beeinträchtigen, während ein Mindestprozess zum Erkennen eines ICS durchgeführt wird, von dem vermutet wird, dass es durch einen üblichen ICS-Betrieb eine Anomalie aufweist.
-
Mittel zur Lösung der Probleme
-
Um die Probleme der oben beschrieben herkömmlichen Techniken zu lösen, stellt die vorliegende Erfindung ein Anomalieerkennungssystem bereit, das die folgenden Merkmale aufweist. Ein Anomalieerkennungssystem gemäß der vorliegenden Erfindung beinhaltet eine Vielzahl von industriellen Steuerungssystemen (ICSs), die mit einem Netzwerk verbunden sind. Das System beinhaltet eine integrierte Analyseeinheit zum Empfangen eines Betriebszustands jedes ICS als Überwachungsdaten, Angeben eines ICS, von dem vermutet wird, dass es eine Anomalie aufweist, und Durchführen einer Anomalieermittlung, wobei das System in jedem ICS beinhaltet: eine Empfangseinheit zum Empfangen von Daten von einem anderen ICS; eine Sendeeinheit zum Senden von Daten an das andere ICS und zum Senden der Überwachungsdaten an die integrierte Analyseeinheit; eine Sicherheitsrichtlinie, die Regeln zum Aufzeichnen und Erzeugen von Daten beinhaltet; und einen Wrapper zum Steuern und Senden der Daten an das andere ICS unter Bezugnahme auf die Sicherheitsrichtlinie.
-
Das System beinhaltet ein Mittel für die integrierte Analyseeinheit zum Senden einer Benachrichtigung an den Wrapper des angegebenen ICS, in einen Pseudonormalbetrieb zu wechseln, wobei das System in dem Wrapper beinhaltet: eine Datensteuereinheit zum Steuern der Daten, die an das andere ICS gesendet werden; eine Datenaufzeichnungseinheit zum Aufzeichnen der Daten von der Sendeeinheit als Musterdaten unter Bezugnahme auf die Sicherheitsrichtlinie; und einen Datengeber zum Erzeugen von Sendedaten aus den aufgezeichneten Daten unter Bezugnahme auf die Sicherheitsrichtlinie, und wobei das System in Reaktion auf das Empfangen der Benachrichtigung, in den Pseudonormalbetrieb zu wechseln, beinhaltet: ein Mittel für die Datenaufzeichnungseinheit zum Aufzeichnen der Daten von der Sendeeinheit als Echtdaten; ein Mittel für den Datengeber zum Erzeugen der Sendedaten aus den Musterdaten; und ein Mittel für die Datensteuereinheit zum Senden der erzeugten Sendedaten an das andere ICS.
-
Hier beinhaltet das System ein Mittel für die integrierte Analyseeinheit zum Senden einer Benachrichtigung zum Beenden des Betriebs an das angegebene ICS, falls ermittelt wird, dass das angegebene ICS eine Anomalie aufweist.
-
Des Weiteren beinhaltet das System ein Mittel für die integrierte Analyseeinheit zum Senden einer Benachrichtigung an das angegebene ICS zum Wechseln in einen Normalbetrieb, falls ermittelt wird, dass das angegebene ICS keine Anomalie aufweist.
-
Ferner beinhaltet das System: ein Mittel für das ICS, das die Benachrichtigung zum Wechseln in den Normalbetrieb empfängt, zum gleichzeitigen Senden der Echtdaten an das andere ICS, die in dem Pseudonormalbetrieb aufgezeichnet worden sind; und ein Mittel für das ICS, das die Benachrichtigung zum Wechseln in den Normalbetrieb empfängt, zum Löschen der Echtdaten nach Abschließen des gleichzeitigen Sendens.
-
Kurzbeschreibung der Zeichnungen
-
1 ist eine schematische Darstellung eines Systems gemäß einer Ausführungsform der vorliegenden Erfindung;
-
2 ist ein Funktionsblockschaubild eines üblichen herkömmlichen ICS;
-
3 ist ein Funktionsblockschaubild eines ICS gemäß der vorliegenden Erfindung;
-
4 ist ein Schaubild, um den ICS-Betrieb in Normalzeit zu beschreiben;
-
5 ist ein Schaubild, das ein Beispiel für Daten darstellt, die von einem ICS an andere ICSs gesendet werden;
-
6 ist ein Schaubild, das ein weiteres Beispiel für Daten darstellt, die von einem ICS an andere ICSs gesendet werden;
-
7 ist ein Schaubild, das ein Beispiel für eine Sicherheitsrichtlinie 380 darstellt, wenn eine Anomalie vermutet wird, auf die durch ein ICS verwiesen wird;
-
8 ist ein Schaubild, das Aufzeichnungsinhalte der Musterdaten 360 darstellt;
-
9 ist ein Schaubild, das eine Situation darstellt, in der ein ICS 140 einen Betrieb durchführt, der anomal zu sein scheint;
-
10 ist ein Betriebsablaufplan jedes ICS;
-
11 ist ein Betriebsablaufplan einer integrierten Analyseeinheit 170;
-
12 ist ein Schaubild von physischen Maschinen eines üblichen herkömmlichen ICS;
-
13 ist ein Schaubild, das ein Verfahren darstellt, durch das die integrierte Analyseeinheit 170 eine Anomalie eines ICS erkennt;
-
14 ist ein Schaubild, das einen Betrieb eines ICS darstellt, von dem vermutet wird, dass es eine Anomalie aufweist;
-
15 ist ein Schaubild, das einen Betrieb in dem Fall darstellt, in dem ermittelt wird, dass ein ICS keine Anomalie aufweist;
-
16 ist ein Betriebsablaufplan eines ICS, das einen Pseudonormalbetrieb von der integrierten Analyseeinheit 170 empfängt;
-
17 ist ein Betriebsablaufplan eines ICS, das eine Nichtanomaliebenachrichtigung von der integrierten Analyseeinheit 170 empfängt;
-
18 ist ein Betriebsablaufplan jedes anderen ICS, das eine Anomalieermittlungsbenachrichtigung von der integrierten Analyseeinheit 170 empfängt.
-
Vorgehensweise zum Ausführen der Erfindung
-
Im Folgenden wird die vorliegende Erfindung anhand einer Ausführungsform beschrieben, wenngleich die vorliegende Erfindung nicht auf diese Ausführungsform beschränkt ist.
-
1 ist eine schematische Darstellung eines Systems gemäß der Ausführungsform der vorliegenden Erfindung. Bei ICSs 110 bis 160 handelt es sich um industrielle Steuersysteme, die jeweils mit individueller Hardware und einem individuellen Betriebssystem arbeiten. Jedes ICS verfügt nicht nur über ein Netzwerk durch ein eigenes Protokoll, sondern auch über ein Universalnetzwerk durch eine Universalausstattung, die mit den anderen ICSs und einer integrierten Analyseeinheit 170 über eine Firewall verbunden ist. Jedes ICS sendet regelmäßig Analysedaten, die einen Betriebszustand des ICS beinhalten, als Überwachungsdaten an die integrierte Analyseeinheit 170. Die integrierte Analyseeinheit 170 analysiert die Überwachungsdaten und gibt ein ICS an, von dem vermutet wird, dass es eine Anomalie aufweist, und ist mit einer Sicherheitsrichtlinie 180 verbunden, die eine Aktion für den Fall definiert, dass ermittelt wird, dass das ICS eine Anomalie aufweist. Durch die integrierte Analyseeinheit 170 wird auf die Sicherheitsrichtlinie 180 Bezug genommen.
-
12 ist ein Schaubild von physischen Maschinen eines üblichen herkömmlichen ICS. Ein Verwaltungs-Server 1220 tauscht über eine Firewall 1210 Daten mit dem externen Netzwerk aus. Außerdem wird ein redundanter Verwaltungs-Server 1230 für den Fall bereitgestellt, dass der Verwaltungs-Server 1220 fehlerhaft ist. Das Innere des ICS ist grob unterteilt in einen Universalnetzwerkbereich 1270, der ein LAN gemäß TCP/IP und EthernetTM beinhaltet, und einen dedizierten Netzwerkbereich 1280, in dem eine dedizierte Ausstattung gemäß individueller Hardware und eines individuellen Betriebssystems durch ein dediziertes Protokoll verbunden wird.
-
Eine HMI (Human Machine Interface, Mensch-Maschine-Schnittstelle) 1250, die mit dem Verwaltungs-Server 1220 verbunden ist, zeigt Ergebnisse einer Überwachungs- und Analyseeinheit für verschiedene Daten an. Ein EWS (Engineering WorkStation, Arbeitsplatzrechner im Konstruktionsbereich) 1240 führt eine Betriebsverwaltung durch und tauscht Daten mit jeder PLC 1250 aus, um verschiedene Ausstattungsteile zu steuern. Das dedizierte Netzwerk 1280 ist durch die speicherprogrammierbare Steuerung (programmable logic controller, PLC 1250) verbunden, die als Ablaufsteuerung bezeichnet wird.
-
Bei der PLC handelt es sich um eine Zustandsmaschine, anders als bei einem Von-Neumann-Computer. Ihr Betriebsprogramm ist in einer Programmiersprache für eine Relaisschaltung geschrieben. Das Programm ist ein Ergebnis einer Codierung einer elektrischen Schaltung und kann daher nicht durch einen gewöhnlichen Computerprogrammierer erstellt werden.
-
Die PLC 1250 ist mit einer dedizierten Ausstattung 1260 verbunden, und die dedizierte Ausstattung 1260 ist mit einem Stellglied, einer Steuereinheit und verschiedenen Sensoren verbunden. Zu Beispielen für diese zählen Messinstrumente wie etwa ein Temperatursensor, ein Feuchtigkeitssensor, ein Drucksensor, ein Klimaanlagensensor, ein Durchflusssensor, ein Wasserstandsanzeiger, Beleuchtungsmesser, ein Elektrizitätszähler, ein Stromverbrauchszähler, ein Druckzähler und ein Personensensor, ein Ventilschalter, ein Wärmekraftregler, ein Verdichter, eine Pumpe, ein Motor und eine Druckertrommel.
-
ICSs werden nicht nur in Infrastruktursystemen wie zum Beispiel einem Chemiewerk, einem Wärmekraftwerk, einem Wasserkraftwerk, einem Kernkraftwerk, einem Reaktorregelsystem und dergleichen verwendet, sondern auch, als bekanntere Beispiele, zur Steuerung eines Aufzugs, einer automatischen Tür, eines Warmwasseraufbereiters, eines Freizeitsparks, verschiedener Attraktionen, eines Drucksystems und dergleichen. Ein Druckersystem wird als Beispiel in der Ausführungsform der vorliegenden Erfindung beschrieben.
-
2 ist ein Funktionsblockschaubild eines üblichen herkömmlichen ICS. Das ICS 110 beinhaltet: einen Empfänger 210 (Empfangseinheit) zum Empfangen von Daten von anderen ICSs; einen Einheitenzugang 290 zum Beziehen von Daten von einer Steuereinheit/einem Sensor 295 zum Überwachen und Analysieren von Daten von dem Empfänger 210; eine Protokollabstraktion 280 zum Zusammenfassen und Abstrahieren von Daten aus verschiedenen Datenzugriffen 290; eine Datenmodellabstraktion 270 zum Abstrahieren von Daten aus der Protokollabstraktion 280 als Datenmodell; eine Überwachungs- und Analyseeinheit 230 zum Überwachen und Analysieren von Daten aus der Datenmodellabstraktion 270 und Daten von dem Empfänger 210 zum Empfangen von Daten von anderen ICSs; eine Aktionswarteschlange 250 zum Speichern einer Aktion, die entsprechend dem Ergebnis der Überwachungs- und Analyseeinheit 230 beschlossen worden ist; eine Datenablage 260 zum Aufzeichnen verschiedener Daten der Überwachungs- und Analyseeinheit 230; Berichtsdaten 240 zum Aufzeichnen eines Berichts der Überwachungs- und Analyseeinheit 230; und einen Sender 220 (Sendeeinheit) zum Senden von Daten der Berichtsdaten 240. Es ist zu beachten, dass es sich bei der oben genannten Struktur um eine typische Struktur handelt und jedes ICS eine individuelle Datenstruktur und eine eigene Schnittstelle aufweist.
-
3 ist ein Funktionsblockschaubild eines ICS gemäß der vorliegenden Erfindung. Bei für die vorliegende Erfindung spezifischen Strukturen, die sich von denjenigen in 2 unterscheiden, handelt es sich um einen Wrapper 310, die integrierte Analyseeinheit 170, die Sicherheitsrichtlinie 180 und eine Sicherheitsrichtlinie 380. Bei dem Wrapper 310 handelt es sich um eine Struktur, die, warm das ICS anomal arbeitet, seine Auswirkungen auf andere ICSs so weit wie möglich verringern soll.
-
Der Wrapper 310 beinhaltet: eine Datenaufzeichnungseinheit 340 zum Aufzeichnen von Daten während eines Normalbetriebs (Normalmodus) des ICS zu Musterdaten 360 als Rohdaten, zusammengefassten Daten und statistischen Daten; und einen Datengeber 330 zum Erzeugen von Normaldaten aus den Musterdaten 360 während des Betriebs (Pseudonormalbetriebs) in einem Zustand, in dem eine Anomalie vermutet wird. Eine Datensteuereinheit 320 beschließt den Betrieb dieser Komponenten. Die Datensteuereinheit 320 steuert Daten, die an andere ICSs gesendet werden. Die Datensteuereinheit 320 empfängt Daten von dem Sender 220 und steuert die Sendedaten so, dass keine anderen ICSs beeinträchtigt werden. Diese Steuerung wird gemäß einer Benachrichtigung von der integrierten Analyseeinheit 170 durchgeführt.
-
Der Sender 220 nimmt Bezug auf die Berichtsdaten 240, bei denen es sich um das Ergebnis der Überwachungs- und Analyseeinheit 230 handelt, die den ICS-Betriebszustand und die von anderen ICSs empfangenen Daten analysiert und, falls vermutet wird, dass irgendein anderes ICS eine Anomalie aufweist, die Informationen an die integrierte Analyseeinheit 170 sendet, indem sie sie in Überwachungsdaten einschließt.
-
Die integrierte Analyseeinheit 170 analysiert Überwachungsdaten von den Wrappern der Vielzahl von ICSs, gibt ein ICS an, das eine Anomalie aufzuweisen scheint, und gibt einen Befehl aus, in den Pseudonormalbetrieb zu der Datensteuereinheit 320 des ICS zu wechseln. Bei dem Pseudonormalbetrieb handelt es sich um einen Betrieb, bei dem, falls die Möglichkeit besteht, dass das ICS anomal arbeitet, das ICS Daten so an andere ICSs sendet, als ob das ICS normal arbeitete.
-
Beim Analysieren der Überwachungsdaten von den Wrappern der Vielzahl von ICSs führt die integrierte Analyseeinheit eine bestimmte Aktion unter Bezugnahme auf die Sicherheitsrichtlinie 180 durch. Eine ähnliche Sicherheitsrichtlinie ist in jedem einzelnen ICS enthalten. Das ICS 300 von 3 beinhaltet die Sicherheitsrichtlinie 380, in der bestimmte Aktionen, die durch den Wrapper 310 durchgeführt werden, und Regeln zum Aufzeichnen und Erzeugen von Daten enthalten sind. Die Sicherheitsrichtlinie 380 wird durch die integrierte Analyseeinheit 170 nach Bedarf aktualisiert.
-
4 ist ein Schaubild, um den ICS-Betrieb in Normalzeit zu beschreiben. Zunächst empfängt die Datensteuereinheit 320 Ereignisdaten, die von dem Sender 220 ausgegeben werden, und sendet die Ereignisdaten direkt an andere ICSs. Gleichzeitig speichert die Datenaufzeichnungseinheit 340 die Ereignisdaten als Musterdaten 360. Diese Speicherung wird durch ein beliebiges Aufzeichnungsverfahren für Rohdaten, zusammengefasste Daten, Stichprobendaten und dergleichen durchgeführt. Diese Aufzeichnungsverfahren sind für das ICS spezifisch und werden in der Sicherheitsrichtlinie 380 definiert.
-
Die Datensteuereinheit 320 wählt das Speicherverfahren auf der Grundlage des Typs der Ereignisdaten unter Bezugnahme auf die Sicherheitsrichtlinie 380 aus und benachrichtigt die Datenaufzeichnungseinheit 340 über das Speicherverfahren. Die Sicherheitsrichtlinie 380 wird durch die integrierte Analyseeinheit 170 benachrichtigt und nach Bedarf aktualisiert.
-
Im Folgenden wird mithilfe von 14 ein Betrieb eines ICS beschrieben, von dem vermutet wird, dass es eine Anomalie aufweist. Zunächst empfängt die integrierte Analyseeinheit 170 Überwachungsdaten von der Sendeeinheit jedes ICS. Die integrierte Analyseeinheit 170 benachrichtigt den Wrapper 310 eines ICS, von dem auf der Grundlage der Überwachungsdaten vermutet wird, dass es eine Anomalie aufweist, in den Pseudonormalbetrieb zu wechseln.
-
Hier sendet die integrierte Analyseeinheit 170 außerdem bevorzugt Informationen (z. B. eine ICS-Nummer) über das ICS, von dem vermutet wird, dass es eine Anomalie aufweist, an die Wrapper der anderen ICSs. Dies ermöglicht jedem ICS, das Daten von dem ICS empfängt, von dem vermutet wird, dass es eine Anomalie aufweist, anschließend empfangene Daten als Pseudonormaldaten zu erkennen. Die integrierte Analyseeinheit 170 analysiert dann, ob das ICS tatsächlich eine Anomalie aufweist. Die Überwachungsdaten beinhalten bevorzugt Anomalievermutungsinformationen im Hinblick auf die anderen ICSs.
-
9 ist ein Schaubild, das eine Situation darstellt, in der das ICS 140 einen Betrieb durchführt, der anomal zu sein scheint. Daten, die sich von Daten zur Normalzeit unterscheiden, werden von dem ICS 140 an die ICSs 110 bis 130 gesendet. Jedes der ICSs 110 bis 130 sendet Anomalieerkennungsinformationen im Hinblick auf das ICS 140, indem es sie in die Überwachungsdaten einschließt, die an die integrierte Analyseeinheit gesendet werden. Die integrierte Analyseeinheit 170 analysiert die Überwachungsdaten von jedem ICS und benachrichtigt das ICS 140, von dem vermutet wird, dass es eine Anomalie aufweist, in den Pseudonormalbetrieb zu wechseln. Die integrierte Analyseeinheit 170 analysiert anschließend, ob das ICS 140 tatsächlich eine Anomalie aufweist, und führt eine erforderliche Aktion unter Bezugnahme auf die Sicherheitsrichtlinie 180 durch.
-
Nachdem es die Benachrichtigung empfangen hat, in den Pseudonormalbetrieb zu wechseln, führt das ICS gemäß der Sicherheitsrichtlinie beliebige, jedoch abhängig von den Merkmalen des ICS verschiedene, der folgenden Operationen durch.
- (A) Simulierte Daten genauso wie zur Normalzeit senden.
- (B) Rohdaten senden.
- (C) Gar keine Daten senden.
-
Der Fall (A) wird im Folgenden ausführlicher mithilfe von 14 beschrieben. Die Datenaufzeichnungseinheit 340 des ICS, von dem vermutet wird, dass es eine Anomalie aufweist, zeichnet die Daten von der Sendeeinheit als Echtdaten 350 auf. Der Datengeber 330 erzeugt gemäß der Sicherheitsrichtlinie 380 simulierte Daten aus den Rohdaten, den zusammengefassten Daten und statistischen Daten, die in den Musterdaten 360 aufgezeichnet sind, und sendet die simulierten Daten an jedes ICS. Dies ermöglicht jedem ICS, ungehindert normal zu arbeiten.
-
Wenn die Integrierte Analyseeinheit 170 als Ergebnis der Analyse eine Benachrichtigung an das ICS und jedes der anderen ICSs sendet, dass keine Anomalie vorhanden Ist, kehrt das ICS in den Zustand zur Normalzeit zurück.
-
15 ist ein Schaubild, das einen Betrieb in dem Fall darstellt, in dem ermittelt wird, dass das ICS keine Anomalie aufweist (in dem Fall, in dem eine Benachrichtigung empfangen wird, in den Normalbetrieb zu wechseln). Die Datenaufzeichnungseinheit 340 zeichnet Rohdaten, zusammengefasste Daten und statistische Daten in den Musterdaten 360 auf. Der Wrapper benachrichtigt jedes Datensendeziel über den Datenaustausch. Der Datengeber 330 liest Daten aus den Echtdaten 350, bei denen es sich um die Rohdaten handelt, die in dem Pseudonormalbetrieb aufgezeichnet worden sind, und sendet gleichzeitig die gelesenen Daten. Nach Abschließen des Sendens verwirft der Datengeber 330 die Echtdaten 350. Nach dem Empfangen der Benachrichtigung über den Datenaustausch führt jedes ICS ein Rollback durch und tauscht die im Pseudonormalbetrieb empfangenen Daten gegen die gleichzeitig gesendeten Daten aus.
-
In dem Fall, in dem die integrierte Analyseeinheit 170 als Ergebnis der Analyse ermittelt, dass eine Anomalie vorhanden ist, benachrichtigt die integrierte Analyseeinheit 170 den Wrapper des ICS und den Wrapper jedes der anderen ICSs über die Anomalieermittlung und führt außerdem eine bestimmte Aktion gemäß der Sicherheitsrichtlinie 180 durch. Nachdem es zu einem Nothalt gebracht worden ist, wartet das anomal arbeitende ICS auf einen durch eine Person oder eine Maschine durchgeführten Reparaturprozess. Jedes ICS, das Daten in dem Pseudonormalbetrieb empfängt, führt ein Rollback durch und löscht die in dem Pseudonormalbetrieb empfangen Daten.
-
Zu Faktoren, die eine Anomalie eines ICS verursachen, zählen ein Fehler eines Sensors oder eines Zähler, Manipulation, Datenverfälschung, ein physischer Angriff und Diebstahl durch einen bösartigen Benutzer oder Malware und so weiter Es steht eine Vielzahl von Verfahren (Schwellenwert, Regel und Situation) als Verfahren zu ihrer Ermittlung zur Verfügung.
-
13 ist ein Schaubild, das ein Verfahren darstellt, durch das die integrierte Analyseeinheit 170 eine Anomalie eines ICS erkennt. Ein Beispiel, in dem hauptsächlich Schwellenwerte verwendet werden, wird in 13 dargestellt. in dem Fall, in dem ein ungewöhnlicher Wert im Vergleich zu den statistischen Daten erkannt wird, wird entschieden, dass eine Anomalie vorliegt.
-
Beispielsweise wird der Fall, in dem die Anzahl der pro Tag gedruckten Seiten nicht unter 10.000 beträgt, die Anzahl der Papierstaus nicht unter 10 beträgt, die Wiederherstellungszeit nicht unter 2 Stunden beträgt oder der Stromverbrauch nicht unter 5 kW beträgt, als Anomalie bewertet. Es besteht auch ein Anomalieerkennungsverfahren durch Vergleichen von Korrelationsdaten. Zu Beispielen dafür zählen der Fall eines anomalen Toner-Verbrauchs oder der Fall, in dem ein Benutzer an einer Vielzahl von Orten arbeitet.
-
Es besteht auch eine Anomalieerkennung aufgrund von Anzeichen eines Angriffs. Zu Beispielen dafür zählen eine vorgegebene oder höhere Anzahl von auftretenden Sicherheitsverstößen, die Anzahl von Einstellungsänderungen, darunter ein EIN/AUS-Schalten des Stroms und ein Abbau der Verbindung zum Netzwerk sowie die Anzahl von Software-Installationen/Deinstallationen. Die integrierte Analyseeinheit 170 empfängt die Überwachungsdaten von der Sendeeinheit jedes einzelnen ICS und berechnet statistisch oder kumuliert, ob ein beliebiger Schwellenwert in 13 überschritten wird, um zu ermitteln, ob eine Anomalie vorliegt. Diese Schwellenwerte sind in der Sicherheitsrichtlinie 180 enthalten.
-
Die Unterschiede zwischen der Sicherheitsrichtlinie 180 und der Sicherheitsrichtlinie 380 jedes einzelnen ICS bestehen darin, dass die oben genannten Informationen der statistischen Anomalieermittlung bereitgestellt werden und dass die Sicherheitsrichtlinie 380 eine Richtlinie beinhaltet, die für das System jedes ICS spezifisch ist.
-
5 stellt ein Beispiel für Daten dar, die von einem ICS an andere ICSs gesendet werden. Es wird zum Beispiel mit einer Ereignis-ID 1001 angegeben, dass ein Papierstau als Rohdatenereignis zum Zeitpunkt 2010/10/01 09:05:40 in einer Einheit mit der ID MFP0001 behoben wird. Was Protokolle für zusammengefasste Daten und statistische Daten betrifft, so wird in einem Protokoll mit der ID 2001 angegeben, dass ein einseitiger Schwarz-Weiß-Druck von 5 Seiten durch Benutzer B als Druckauftrag in der Einheit mit der ID MFP0001 durchgeführt wird.
-
6 stellt weitere Daten dar, die von einem ICS an ein anderes ICS gesendet werden. In 6 dargestellte Steuerbefehle werden ebenfalls durch die Überwachungs- und Analyseeinheit 250 in der Aktionswarteschlange 230 aufgezeichnet. Unterdessen werden Analysedaten in der Datenablage 260 aufgezeichnet und ebenfalls für die Berichtsdaten 240 verwendet.
-
7 stellt ein Beispiel für die Sicherheitsrichtlinie 380 in dem Fall dar, in dem eine Anomalie vermutet wird, auf die durch jedes ICS verwiesen wird. Ein Ziel-ICS-Feld stellt einen spezifischen Namen des ICS dar, ein Zieldatenfeld stellt dar, bei welchen Daten es sich um Zieldaten handelt, ein Feld für erforderliche Daten stellt dar, welche Daten gesendet werden sollen, ein Datenspeicherfeld stellt dar, ob Datenspeicher erforderlich ist und welche Daten gespeichert werden sollen, ein Datenerzeugungsfeld stellt ein Datenerzeugungsverfahren des Datengebers 330 dar, und ein Feld für simulierte Daten stellt eine Sendehäufigkeit von tatsächlich gesendeten Daten dar.
-
Das heißt, zusätzlich zu der Sicherheitsrichtlinie, die für das ICS spezifisch ist, beinhaltet die Sicherheitsrichtlinie 380 die Definition, welche Art von simulierten Daten in dem Pseudonormalbetrieb gesendet werden und was zum Senden der simulierten Daten aufgezeichnet wird. Die Sicherheitsrichtlinie 380, die solche Regeln zum Aufzeichnen und Erzeugen von Daten enthält, wird in geeigneter Weise durch die integrierte Analyseeinheit 170 aktualisiert.
-
Es bestehen zum Beispiel die folgenden Varianten der Erzeugung simulierter Daten.
- (A) Keine Daten senden, da sie für ein Ereignis oder eine Steuerung ohne Bedeutung sind, für die ein Prozess unverzüglich durchgeführt wird.
- (B) Rohdaten in dem Fall senden, in dem Daten in Normalzeit selbst erforderlich sind.
- (C) Gefilterte (Mindest-, Höchst-, Durchschnitts-, neueste, zufällig erzeugte) Daten senden.
- (D) Zeiteinheits tägliche, wöchentliche, Durchschnitts-, zusammengefasste/statistische Daten senden.
-
Auf diese Weise wird über Daten, die zur Normalzeit aufgezeichnet/gespeichert werden, gemäß den Merkmalen jedes ICS entschieden, um zu entscheiden, wie der Datengeber 330 simulierte Daten aus den gespeicherten Daten erzeugt.
-
8 stellt den Aufzeichnungsinhalt der Musterdaten 360 dar. Die Musterdaten 360 werden auf der Grundlage der Sicherheitsrichtlinie 380 für jedes ICS aufgezeichnet. Wie in 8 dargestellt, unterscheiden sich die Zieldaten, die aufgezeichnet/gespeichert werden, abhängig von dem ICS. Die Gesamtzahl der gedruckten Seiten und die statistischen Werte werden in einem ICS A aufgezeichnet, wohingegen Rohdaten eines Drucks in einem ICS B aufgezeichnet werden. Der Grund dafür ist, dass Druckaufträge als Datenspeicherziel bezeichnet werden und die entsprechende Datenerzeugung in der Sicherheitsrichtlinie des ICS A in 7 täglich erfolgt. Es ist zu beachten, dass Steuerdaten zufällig zum Zeitpunkt einer Datenerzeugung erzeugt werden und daher nicht aufgezeichnet werden.
-
Demgegenüber werden Rohdaten als Datenspeicherziel bezeichnet, und die entsprechende Datenerzeugung in der Sicherheitsrichtlinie des ICS B in 7 erfolgt in Echtzeit. Folglich werden die Musterdaten auf der Grundlage der Sicherheitsrichtlinie 380 gemäß den Merkmalen jedes ICS aufgezeichnet.
-
10 ist ein Betriebsablaufplan jedes ICS. In Schritt 1010 empfängt der Empfänger Daten von einem oder mehreren anderen ICS(s). In Schritt 1020 analysiert die Überwachungs- und Analyseeinheit, ob die Daten des anderen ICS eine Anomalie aufweisen. Falls eine Anomalie vorliegt, sendet das ICS in Schritt 1030 Überwachungsdaten an die integrierte Analyseeinheit 170, die nicht nur seine eigenen Betriebszustandsinformationen, sondern auch Informationen des ICS enthalten, das eine Anomalie aufweist.
-
11 ist ein Betriebsablaufplan der integrierten Analyseeinheit 170. Zunächst empfängt die integrierte Analyseeinheit 170 in Schritt 1110 Überwachungsdaten von jedem ICS. Als Nächstes ermittelt die integrierte Analyseeinheit 170 in Schritt 1120 aus den Überwachungsdaten, ob eine Anomalie vermutet wird. Die Überwachungsdaten beinhalten eine Nummer eines ICS, von dem vermutet wird, dass es eine Anomalie aufweist, und verschiedene Datenwerte. Falls Informationen über ein ICS, das eine Anomalie aufweist, in Überwachungsdaten eines ICS enthalten sind, stellt die integrierte Analyseeinheit 170 bei der Ermittlung einer Anomalievermutung fest, dass eine Anomalie vermutet wird. Falls Informationen über ein ICS, das eine Anomalie aufweist, nicht in Überwachungsdaten eines einzelnen ICS enthalten sind und die Überwachungsdaten einen Schwellenwert erheblich überschreiten, stellt die integrierte Analyseeinheit 170 gleichermaßen fest, dass eine Anomalie vermutet wird.
-
In dem Fall, dass in Schritt 1120 keine Anomalie vermutet wird, beendet die integrierte Analyseeinheit 170 den Prozess. In dem Fall, dass in Schritt 1120 eine Anomalie vermutet wird, gibt die integrierte Analyseeinheit 170 in Schritt 1130 eine ICS-Nummer eines ICS an, von dem vermutet wird, dass es eine Anomalie aufweist. Als Nächstes benachrichtigt die integrierte Analyseeinheit 170 in Schritt 1140 die Datensteuereinheit des ICS, von dem vermutet wird, dass es eine Anomalie aufweist, in den Pseudonormalbetrieb zu wechseln. Die integrierte Analyseeinheit 170 sendet außerdem die Informationen bevorzugt an die anderen ICSs. Die anderen ICSs erkennen Daten von dem unter Verdacht stehenden ICS als in dem Pseudonormalbetrieb gesendete Daten.
-
In Schritt 1150 analysiert die integrierte Analyseeinheit 170, ob das ISC, von dem vermutet wird, dass es eine Anomalie aufweist, tatsächlich eine Anomalie aufweist. In Schritt 1160 prüft die integrierte Analyseeinheit 170, ob festgestellt worden ist, dass die Anomalie in dem ICS vorhanden ist. In dem Fall, dass festgestellt worden ist, dass die Anomalie in dem ICS vorhanden ist, führt die integrierte Analyseeinheit 170 in Schritt 1180 eine bestimmte Aktion unter Bezugnahme auf die Sicherheitsrichtlinie 180 durch. In dem Fall, dass festgestellt wird, dass die Anomalie nicht in dem ICS vorhanden ist, benachrichtigt die integrierte Analyseeinheit 170 in Schritt 1170 das ICS, von dem vermutet wird, dass es eine Anomalie aufweist, in den Normalbetrieb zu wechseln, und beendet den Prozess. Die integrierte Analyseeinheit 170 sendet außerdem die Nichtanomaliebenachrichtigung bevorzugt an die anderen ICSs.
-
16 ist ein Betriebsablaufplan eines ICS, das den Pseudonormalbetrieb empfängt. Zunächst empfängt das ICS in Schritt 1610 die Benachrichtigung, in den Pseudonormalbetrieb zu wechseln. Als Nächstes zeichnet die Datenaufzeichnungseinheit 340 in Schritt 1620 die Echtdaten 350 auf. Darüber hinaus erzeugt der Datengeber 330 in Schritt 1630 simulierte Daten aus den Musterdaten 360. In Schritt 1640 sendet die Datensteuereinheit 320 die erzeugten simulierten Daten.
-
17 ist ein Betriebsablaufplan eines ICS, das von der integrierten Analyseeinheit 170 die Benachrichtigung empfängt, in den Normalbetrieb zu wechseln. Zunächst empfängt das ICS in Schritt 1710 von der integrierten Analyseeinheit 170, die Benachrichtigung, in den Normalbetrieb zu wechseln. Als Nächstes sendet der Wrapper in Schritt 1720 die Datenaustauschbenachrichtigung an jedes Datensendeziel. In Schritt 1730 liest der Datengeber 330 Daten aus den Echtdaten 350, bei denen es sich um die Rohdaten handelt, die in dem Pseudonormalbetrieb aufgezeichnet worden sind. In Schritt 1740 sendet die Datensteuereinheit 320 die Daten gleichzeitig. Zuletzt werden die Echtdaten 350 in Schritt 1750 gelöscht.
-
Bevorzugt benachrichtigt die Datensteuereinheit 320 jedes Sendeziel-ICS, dass die Echtdaten gleichzeitig gesendet werden sollen. Als Nächstes sendet die Datensteuereinheit 320 die simulierten Daten in Schritt 1740 an jedes Sendeziel-ICS gleichzeitig. Jedes Sendeziel-ICS tauscht die in dem Pseudonormalbetrieb empfangenen Daten (führt ein Rollback durch und tauscht sie aus) gegen die gleichzeitig gesendeten Echtdaten aus. In Schritt 1750 werden die Echtdaten 350 verworfen.
-
Das anomale ICS, das die Anomalieermittlungsbenachrichtigung von der integrierten Analyseeinheit 170 empfängt, geht in einen Betriebsendezustand über. 18 ist ein Betriebsablaufplan jedes der anderen ICSs, die die Anomalieermittlungsbenachrichtigung von der integrierten Analyseeinheit 170 empfangen. Zunächst empfängt das ICS in Schritt 1810 die Anomalieermittlungsbenachrichtigung. Als Nächstes führt das ICS in Schritt 1820 ein Rollback durch und löscht die in dem Pseudonormalbetrieb empfangenen Daten des anomalen ICS.
-
Wie oben beschrieben, ist es gemäß der Ausführungsform der vorliegenden Erfindung möglich, ein Anomalieerkennungssystem und eine Anomalieerkennungseinheit, bereitzustellen, um ein ICS, von dem vermutet wird, dass es eine Anomalie aufweist, in einem System effizient zu erkennen und zu veranlassen, dass eine bestimmte Aktion so ausgeführt wird, dass sie keine anderen ICSs beeinträchtigt.
-
Der/die Computer-EWS und -HMI in dem Universalnetzwerkbereich in dem ICS und die integrierte Analyseeinheit gemäß der Ausführungsform der vorliegenden Erfindung können dieselbe Struktur aufweisen wie ein Computer, der in einem Informationssystem als Hardware-Struktur verwendet wird, das heißt, sie können durch einen typischen Computer ausgeführt werden, der eine CPU, einen Speicher, eine externe Speichereinheit, einen Bus und eine Datenaustausch-Schnittstelle beinhaltet.
-
Darüber hinaus wird eine Anomalieerkennungseinheit durch Laden eines computerausführbaren Programms in eine Computereinheit bereitgestellt, um jede Funktionseinheit umzusetzen. Ein solches Programm kann durch ein computerausführbares Programm umgesetzt werden, das in einer Programmiersprache wie zum Beispiel FORTRAN, COBOL, PL/I, C, C++, Java®, Perl, Ruby oder dergleichen geschrieben ist und in einem einheitenlesbaren Aufzeichnungsmedium gespeichert und verteilt wird.
-
Wenngleich die vorliegende Erfindung mithilfe der in den Zeichnungen dargestellten Ausführungsform und Beispielen beschrieben worden ist, ist die vorliegende Erfindung nicht auf die in den Zeichnungen dargestellte Ausführungsform beschränkt. Jegliche Modifizierungen und Modi, die für einen Fachmann vorstellbar sind, sind in den Umfang der vorliegenden Erfindung eingeschlossen, sofern die Betriebsvorteile der vorliegenden Erfindung erzielt werden.
-
Bezugszeichenliste
-
- 110 bis 160, 300
- ICS
- 100
- Anomalieerkennungssystem
- 102
- Netzwerk
- 110
- Verwaltungs-Server
- 170
- integrierte Analyseeinheit
- 180
- Sicherheitsrichtlinie
- 210
- Empfänger (Empfangseinheit)
- 220
- Sender (Sendeeinheit)
- 230
- Analyseeinheit
- 240
- Berichtsdaten
- 250
- Aktionswarteschlange
- 260
- Datenablage
- 270
- Datenmodellabstraktion
- 280
- Protokollabstraktion
- 290
- Einheitenzugang
- 295
- Sensor
- 310
- Wrapper
- 320
- Datensteuereinheit
- 330
- Datengeber
- 340
- Datenaufzeichnungseinheit
- 350
- Echtdaten
- 350
- gesendete Echtdaten
- 360
- Musterdaten
- 380
- Sicherheitsrichtlinie
- 1210
- Firewall
- 1220
- Verwaltungs-Server
- 1230
- redundanter Verwaltungs-Server
- 1250
- PLC
- 1270
- Universalnetzwerkbereich
- 1280
- dedizierter Netzwerkbereich