DE112012000772T5 - Anomalieerkennungssystem, Anomalieerkennungsverfahren und Programm für diese - Google Patents

Anomalieerkennungssystem, Anomalieerkennungsverfahren und Programm für diese Download PDF

Info

Publication number
DE112012000772T5
DE112012000772T5 DE112012000772T DE112012000772T DE112012000772T5 DE 112012000772 T5 DE112012000772 T5 DE 112012000772T5 DE 112012000772 T DE112012000772 T DE 112012000772T DE 112012000772 T DE112012000772 T DE 112012000772T DE 112012000772 T5 DE112012000772 T5 DE 112012000772T5
Authority
DE
Germany
Prior art keywords
data
ics
anomaly
security policy
analysis unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112012000772T
Other languages
English (en)
Other versions
DE112012000772B4 (de
Inventor
Takuya Mishina
John David Wilson
Kazuhito Akiyama
Michiharu Kudoh
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE112012000772T5 publication Critical patent/DE112012000772T5/de
Application granted granted Critical
Publication of DE112012000772B4 publication Critical patent/DE112012000772B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0262Confirmation of fault detection, e.g. extra checks to confirm that a failure has indeed occurred
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B11/00Automatic controllers
    • G05B11/01Automatic controllers electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0267Fault communication, e.g. human machine interface [HMI]
    • G05B23/027Alarm generation, e.g. communication protocol; Forms of alarm
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1202Dedicated interfaces to print systems specifically adapted to achieve a particular effect
    • G06F3/121Facilitating exception or error detection and recovery, e.g. fault, media or consumables depleted
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1223Dedicated interfaces to print systems specifically adapted to use a particular technique
    • G06F3/1229Printer resources management or printer maintenance, e.g. device status, power levels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1223Dedicated interfaces to print systems specifically adapted to use a particular technique
    • G06F3/1237Print job management
    • G06F3/1273Print job history, e.g. logging, accounting, tracking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1278Dedicated interfaces to print systems specifically adapted to adopt a particular infrastructure
    • G06F3/1285Remote printer device, e.g. being remote from client or server
    • G06F3/1288Remote printer device, e.g. being remote from client or server in client-server-printer device configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/00127Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Human Computer Interaction (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Manufacturing & Machinery (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)
  • Automatic Analysis And Handling Materials Therefor (AREA)
  • Alarm Systems (AREA)

Abstract

Als ein erster Aspekt zum Bereitstellen eines Anomalieerkennungssystems, eines Anomalieerkennungsverfahrens und eines Programms für diese wird ein Anomalieerkennungssystem zum Erkennen einer Anomalie in einem Netzwerk bereitgestellt, wobei das System beinhaltet: eine Vielzahl von industriellen Steuersystemen (ICSs), die mit dem Netzwerk verbunden sind; und eine integrierte Analyseeinheit zum Empfangen eines Betriebszustands jedes ICS als Überwachungsdaten, Angeben eines ICS, von dem vermutet wird, dass es eine Anomalie aufweist, und Durchführen einer Anomalieermittlung, wobei das System in jedem ICS beinhaltet: eine Empfangseinheit zum Empfangen von Daten von einem anderen ICS; eine Sendeeinheit zum Senden von Daten an das andere ICS und zum Senden der Überwachungsdaten an die integrierte Analyseeinheit; eine Sicherheitsrichtlinie, die Regeln zum Aufzeichnen und Erzeugen von Daten beinhaltet; und einen Wrapper zum Steuern und Senden der Daten an das andere ICS unter Bezugnahme auf die Sicherheitsrichtlinie.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung bezieht sich auf Techniken zur Anomalieerkennung und bezieht sich im Besonderen auf ein Verfahren, System und Programm zur Anomalieerkennung, um zu verhindern, dass ein System, das erkanntermaßen eine Anomalie aufweist, andere Systeme beeinträchtigt.
  • Hintergrund der Technik
  • Die moderne Gesellschaft stützt sich auf Computer. Folgende Arten von Systemen, in denen Computer verwendet werden, sind bekannt: ein Informationssystem, das hauptsächlich in einem Büro oder dergleichen verwendet wird; und ein industrielles Steuerungssystem (industrial control system, im Folgenden als „ICS” bezeichnet), das in einem Kraftwerk, einer Rohrleitung, einem Chemiewerk oder dergleichen verwendet wird. Jedes einzelne ICS besteht aus einem individuellen System, das für den entsprechenden Industriezweig spezifisch ist.
  • Bei den meisten ICSs handelt es sich um Systeme, die hauptsächlich Infrastrukturen bereitstellen, und dementsprechend führen Fehler oder Anomalien wahrscheinlich zu schweren Personen- und wirtschaftlichen Schäden. Außerdem ist ein System bekannt, in dem eine Vielzahl von ICSs über ein Netzwerk verbunden sind und Informationen miteinander austauschen. Es wird eine Technik gewünscht, durch die, falls Daten eines ICS, das eine Anomalie aufweist, in einer solchen Umgebung, in der eine Vielzahl von ICSs betrieben werden, an andere ICSs gesendet werden, die empfangenden ICSs im Wesentlichen nicht beeinträchtigt werden.
  • Wenn eine Vielzahl von ICSs betrieben werden, belastet die Ermittlung, ob ein bestimmtes ICS eine Anomalie aufweist, IT-Ressourcen und erfordert darüber hinaus Verarbeitungszeit, so dass das ICS-System selbst keine Anomalieermittlung durchführen kann. Bei üblichen Informationssystemen ist es möglich, kontinuierlich eine Anomalieermittlung durchzuführen, oder, falls ein verdächtiges System vorhanden ist, das System zu isolieren und die anderen Systeme zu betreiben, während das System unter Verdacht steht. Dies ist jedoch bei ICSs schwierig, die ununterbrochen in Betrieb sein sollen.
  • Beispielsweise führt in der Patentschrift 1 ein Konfigurationssteuerungsmittel eine Prozedur zum Minimieren eines Funktionsverlusts seiner eigenen Einheit gemäß Anomalieinformationen in dem Fall durch, in dem eine überwachte Einheit eine Anomalie aufweist. Die Technik in der Patentschrift 1 beruht jedoch auf zwei ähnlichen Systemen, nämlich im Fall einer Anomalie auf einem Master und einem Slave, und ist nicht auf eine Vielzahl von ICSs anwendbar, bei denen es sich um verschiedene, individuelle Systeme handelt, die über ein Netzwerk verbunden sind.
  • Veröffentlichungen des Standes der Technik
  • Patentschriften
    • Patentschrift 1: Ungeprüfte japanische Patentveröffentlichung Nr. 2000-214 919
  • Kurzdarstellung der Erfindung
  • Durch die Erfindung zu lösende Probleme
  • Die vorliegende Erfindung wurde angesichts der oben genannten Probleme durchgeführt und hat zum Ziel, ein System, Verfahren und Programm zur Anomalieerkennung bereitzustellen, um eine Datenübertragung zwischen ICSs zu steuern, ein ICS zu erkennen, von dem vermutet wird, dass es eine Anomalie aufweist, und zu verhindern, dass das ICS ein oder mehrere andere ICS(s) beeinträchtigt.
  • Die vorliegende Erfindung hat außerdem zum Ziel, ein System, Verfahren und Programm zur Anomalieerkennung bereitzustellen, um zu ermitteln, ob das ICS tatsächlich eine Anomalie aufweist, ohne jedes ICS zu beeinträchtigen, während ein Mindestprozess zum Erkennen eines ICS durchgeführt wird, von dem vermutet wird, dass es durch einen üblichen ICS-Betrieb eine Anomalie aufweist.
  • Mittel zur Lösung der Probleme
  • Um die Probleme der oben beschrieben herkömmlichen Techniken zu lösen, stellt die vorliegende Erfindung ein Anomalieerkennungssystem bereit, das die folgenden Merkmale aufweist. Ein Anomalieerkennungssystem gemäß der vorliegenden Erfindung beinhaltet eine Vielzahl von industriellen Steuerungssystemen (ICSs), die mit einem Netzwerk verbunden sind. Das System beinhaltet eine integrierte Analyseeinheit zum Empfangen eines Betriebszustands jedes ICS als Überwachungsdaten, Angeben eines ICS, von dem vermutet wird, dass es eine Anomalie aufweist, und Durchführen einer Anomalieermittlung, wobei das System in jedem ICS beinhaltet: eine Empfangseinheit zum Empfangen von Daten von einem anderen ICS; eine Sendeeinheit zum Senden von Daten an das andere ICS und zum Senden der Überwachungsdaten an die integrierte Analyseeinheit; eine Sicherheitsrichtlinie, die Regeln zum Aufzeichnen und Erzeugen von Daten beinhaltet; und einen Wrapper zum Steuern und Senden der Daten an das andere ICS unter Bezugnahme auf die Sicherheitsrichtlinie.
  • Das System beinhaltet ein Mittel für die integrierte Analyseeinheit zum Senden einer Benachrichtigung an den Wrapper des angegebenen ICS, in einen Pseudonormalbetrieb zu wechseln, wobei das System in dem Wrapper beinhaltet: eine Datensteuereinheit zum Steuern der Daten, die an das andere ICS gesendet werden; eine Datenaufzeichnungseinheit zum Aufzeichnen der Daten von der Sendeeinheit als Musterdaten unter Bezugnahme auf die Sicherheitsrichtlinie; und einen Datengeber zum Erzeugen von Sendedaten aus den aufgezeichneten Daten unter Bezugnahme auf die Sicherheitsrichtlinie, und wobei das System in Reaktion auf das Empfangen der Benachrichtigung, in den Pseudonormalbetrieb zu wechseln, beinhaltet: ein Mittel für die Datenaufzeichnungseinheit zum Aufzeichnen der Daten von der Sendeeinheit als Echtdaten; ein Mittel für den Datengeber zum Erzeugen der Sendedaten aus den Musterdaten; und ein Mittel für die Datensteuereinheit zum Senden der erzeugten Sendedaten an das andere ICS.
  • Hier beinhaltet das System ein Mittel für die integrierte Analyseeinheit zum Senden einer Benachrichtigung zum Beenden des Betriebs an das angegebene ICS, falls ermittelt wird, dass das angegebene ICS eine Anomalie aufweist.
  • Des Weiteren beinhaltet das System ein Mittel für die integrierte Analyseeinheit zum Senden einer Benachrichtigung an das angegebene ICS zum Wechseln in einen Normalbetrieb, falls ermittelt wird, dass das angegebene ICS keine Anomalie aufweist.
  • Ferner beinhaltet das System: ein Mittel für das ICS, das die Benachrichtigung zum Wechseln in den Normalbetrieb empfängt, zum gleichzeitigen Senden der Echtdaten an das andere ICS, die in dem Pseudonormalbetrieb aufgezeichnet worden sind; und ein Mittel für das ICS, das die Benachrichtigung zum Wechseln in den Normalbetrieb empfängt, zum Löschen der Echtdaten nach Abschließen des gleichzeitigen Sendens.
  • Kurzbeschreibung der Zeichnungen
  • 1 ist eine schematische Darstellung eines Systems gemäß einer Ausführungsform der vorliegenden Erfindung;
  • 2 ist ein Funktionsblockschaubild eines üblichen herkömmlichen ICS;
  • 3 ist ein Funktionsblockschaubild eines ICS gemäß der vorliegenden Erfindung;
  • 4 ist ein Schaubild, um den ICS-Betrieb in Normalzeit zu beschreiben;
  • 5 ist ein Schaubild, das ein Beispiel für Daten darstellt, die von einem ICS an andere ICSs gesendet werden;
  • 6 ist ein Schaubild, das ein weiteres Beispiel für Daten darstellt, die von einem ICS an andere ICSs gesendet werden;
  • 7 ist ein Schaubild, das ein Beispiel für eine Sicherheitsrichtlinie 380 darstellt, wenn eine Anomalie vermutet wird, auf die durch ein ICS verwiesen wird;
  • 8 ist ein Schaubild, das Aufzeichnungsinhalte der Musterdaten 360 darstellt;
  • 9 ist ein Schaubild, das eine Situation darstellt, in der ein ICS 140 einen Betrieb durchführt, der anomal zu sein scheint;
  • 10 ist ein Betriebsablaufplan jedes ICS;
  • 11 ist ein Betriebsablaufplan einer integrierten Analyseeinheit 170;
  • 12 ist ein Schaubild von physischen Maschinen eines üblichen herkömmlichen ICS;
  • 13 ist ein Schaubild, das ein Verfahren darstellt, durch das die integrierte Analyseeinheit 170 eine Anomalie eines ICS erkennt;
  • 14 ist ein Schaubild, das einen Betrieb eines ICS darstellt, von dem vermutet wird, dass es eine Anomalie aufweist;
  • 15 ist ein Schaubild, das einen Betrieb in dem Fall darstellt, in dem ermittelt wird, dass ein ICS keine Anomalie aufweist;
  • 16 ist ein Betriebsablaufplan eines ICS, das einen Pseudonormalbetrieb von der integrierten Analyseeinheit 170 empfängt;
  • 17 ist ein Betriebsablaufplan eines ICS, das eine Nichtanomaliebenachrichtigung von der integrierten Analyseeinheit 170 empfängt;
  • 18 ist ein Betriebsablaufplan jedes anderen ICS, das eine Anomalieermittlungsbenachrichtigung von der integrierten Analyseeinheit 170 empfängt.
  • Verfahren zum Ausführen der Erfindung
  • Im Folgenden wird die vorliegende Erfindung anhand einer Ausführungsform beschrieben, wenngleich die vorliegende Erfindung nicht auf diese Ausführungsform beschränkt ist.
  • 1 ist eine schematische Darstellung eines Systems gemäß der Ausführungsform der vorliegenden Erfindung. Bei ICSs 110 bis 160 handelt es sich um industrielle Steuersysteme, die jeweils mit individueller Hardware und einem individuellen Betriebssystem arbeiten. Jedes ICS verfügt nicht nur über ein Netzwerk durch ein eigenes Protokoll, sondern auch über ein Universalnetzwerk durch eine Universalausstattung, die mit den anderen ICSs und einer integrierten Analyseeinheit 170 über eine Firewall verbunden ist. Jedes ICS sendet regelmäßig Analysedaten, die einen Betriebszustand des ICS beinhalten, als Überwachungsdaten an die integrierte Analyseeinheit 170. Die integrierte Analyseeinheit 170 analysiert die Überwachungsdaten und gibt ein ICS an, von dem vermutet wird, dass es eine Anomalie aufweist, und ist mit einer Sicherheitsrichtlinie 180 verbunden, die eine Aktion für den Fall definiert, dass ermittelt wird, dass das ICS eine Anomalie aufweist. Durch die integrierte Analyseeinheit 170 wird auf die Sicherheitsrichtlinie 180 Bezug genommen.
  • 12 ist ein Schaubild von physischen Maschinen eines üblichen herkömmlichen ICS. Ein Verwaltungs-Server 1220 tauscht über eine Firewall 1210 Daten mit dem externen Netzwerk aus. Außerdem wird ein redundanter Verwaltungs-Server 1230 für den Fall bereitgestellt, dass der Verwaltungs-Server 1220 fehlerhaft ist. Das Innere des ICS ist grob unterteilt in einen Universalnetzwerkbereich 1270, der ein LAN gemäß TCP/IP und EthernetTM beinhaltet, und einen dedizierten Netzwerkbereich 1280, in dem eine dedizierte Ausstattung gemäß individueller Hardware und eines individuellen Betriebssystems durch ein dediziertes Protokoll verbunden wird.
  • Eine HMI (Human Machine Interface, Mensch-Maschine-Schnittstelle) 1250, die mit dem Verwaltungs-Server 1220 verbunden ist, zeigt Ergebnisse einer Überwachungs- und Analyseeinheit für verschiedene Daten an. Ein EWS (Engineering WorkStation, Arbeitsplatzrechner im Konstruktionsbereich) 1240 führt eine Betriebsverwaltung durch und tauscht Daten mit jeder PLC 1250 aus, um verschiedene Ausstattungsteile zu steuern. Das dedizierte Netzwerk 1280 ist durch die speicherprogrammierbare Steuerung (programmable logic controller, PLC 1250) verbunden, die als Ablaufsteuerung bezeichnet wird.
  • Bei der PLC handelt es sich um eine Zustandsmaschine, anders als bei einem Von-Neumann-Computer. Ihr Betriebsprogramm ist in einer Programmiersprache für eine Relaisschaltung geschrieben. Das Programm ist ein Ergebnis einer Codierung einer elektrischen Schaltung und kann daher nicht durch einen gewöhnlichen Computerprogrammierer erstellt werden.
  • Die PLC 1250 ist mit einer dedizierten Ausstattung 1260 verbunden, und die dedizierte Ausstattung 1260 ist mit einem Stellglied, einer Steuereinheit und verschiedenen Sensoren verbunden. Zu Beispielen für diese zählen Messinstrumente wie etwa ein Temperatursensor, ein Feuchtigkeitssensor, ein Drucksensor, ein Klimaanlagensensor, ein Durchflusssensor, ein Wasserstandsanzeiger, Beleuchtungsmesser, ein Elektrizitätszähler, ein Stromverbrauchszähler, ein Druckzähler und ein Personensensor, ein Ventilschalter, ein Wärmekraftregler, ein Verdichter, eine Pumpe, ein Motor und eine Druckertrommel.
  • ICSs werden nicht nur in Infrastruktursystemen wie zum Beispiel einem Chemiewerk, einem Wärmekraftwerk, einem Wasserkraftwerk, einem Kernkraftwerk, einem Reaktorregelsystem und dergleichen verwendet, sondern auch, als bekanntere Beispiele, zur Steuerung eines Aufzugs, einer automatischen Tür, eines Warmwasseraufbereiters, eines Freizeitsparks, verschiedener Attraktionen, eines Drucksystems und dergleichen. Ein Druckersystem wird als Beispiel in der Ausführungsform der vorliegenden Erfindung beschrieben.
  • 2 ist ein Funktionsblockschaubild eines üblichen herkömmlichen ICS. Das ICS 110 beinhaltet: einen Empfänger 210 (Empfangseinheit) zum Empfangen von Daten von anderen ICSs; einen Einheitenzugang 290 zum Beziehen von Daten von einer Steuereinheit/einem Sensor 295 zum Überwachen und Analysieren von Daten von dem Empfänger 210; eine Protokollabstraktion 280 zum Zusammenfassen und Abstrahieren von Daten aus verschiedenen Datenzugriffen 290; eine Datenmodellabstraktion 270 zum Abstrahieren von Daten aus der Protokollabstraktion 280 als Datenmodell; eine Überwachungs- und Analyseeinheit 230 zum Überwachen und Analysieren von Daten aus der Datenmodellabstraktion 270 und Daten von dem Empfänger 210 zum Empfangen von Daten von anderen ICSs; eine Aktionswarteschlange 250 zum Speichern einer Aktion, die entsprechend dem Ergebnis der Überwachungs- und Analyseeinheit 230 beschlossen worden ist; eine Datenablage 260 zum Aufzeichnen verschiedener Daten der Überwachungs- und Analyseeinheit 230; Berichtsdaten 240 zum Aufzeichnen eines Berichts der Überwachungs- und Analyseeinheit 230; und einen Sender 220 (Sendeeinheit) zum Senden von Daten der Berichtsdaten 240. Es ist zu beachten, dass es sich bei der oben genannten Struktur um eine typische Struktur handelt und jedes ICS eine individuelle Datenstruktur und eine eigene Schnittstelle aufweist.
  • 3 ist ein Funktionsblockschaubild eines ICS gemäß der vorliegenden Erfindung. Bei für die vorliegende Erfindung spezifischen Strukturen, die sich von denjenigen in 2 unterscheiden, handelt es sich um einen Wrapper 310, die integrierte Analyseeinheit 170, die Sicherheitsrichtlinie 180 und eine Sicherheitsrichtlinie 380. Bei dem Wrapper 310 handelt es sich um eine Struktur, die, wenn das ICS anomal arbeitet, seine Auswirkungen auf andere ICSs so weit wie möglich verringern soll.
  • Der Wrapper 310 beinhaltet: eine Datenaufzeichnungseinheit 340 zum Aufzeichnen von Daten während eines Normalbetriebs (Normalmodus) des ICS zu Musterdaten 360 als Rohdaten, zusammengefassten Daten und statistischen Daten; und einen Datengeber 330 zum Erzeugen von Normaldaten aus den Musterdaten 360 während des Betriebs (Pseudonormalbetriebs) in einem Zustand, in dem eine Anomalie vermutet wird. Eine Datensteuereinheit 320 beschließt den Betrieb dieser Komponenten. Die Datensteuereinheit 320 steuert Daten, die an andere ICSs gesendet werden. Die Datensteuereinheit 320 empfängt Daten von dem Sender 220 und steuert die Sendedaten so, dass keine anderen ICSs beeinträchtigt werden. Diese Steuerung wird gemäß einer Benachrichtigung von der integrierten Analyseeinheit 170 durchgeführt.
  • Der Sender 220 nimmt Bezug auf die Berichtsdaten 240, bei denen es sich um das Ergebnis der Überwachungs- und Analyseeinheit 230 handelt, die den ICS-Betriebszustand und die von anderen ICSs empfangenen Daten analysiert und, falls vermutet wird, dass irgendein anderes ICS eine Anomalie aufweist, die Informationen an die integrierte Analyseeinheit 170 sendet, indem sie sie in Überwachungsdaten einschließt.
  • Die integrierte Analyseeinheit 170 analysiert Überwachungsdaten von den Wrappern der Vielzahl von ICSs, gibt ein ICS an, das eine Anomalie aufzuweisen scheint, und gibt einen Befehl aus, in den Pseudonormalbetrieb zu der Datensteuereinheit 320 des ICS zu wechseln. Bei dem Pseudonormalbetrieb handelt es sich um einen Betrieb, bei dem, falls die Möglichkeit besteht, dass das ICS anomal arbeitet, das ICS Daten so an andere ICSs sendet, als ob das ICS normal arbeitete.
  • Beim Analysieren der Überwachungsdaten von den Wrappern der Vielzahl von ICSs führt die integrierte Analyseeinheit eine bestimmte Aktion unter Bezugnahme auf die Sicherheitsrichtlinie 180 durch. Eine ähnliche Sicherheitsrichtlinie ist in jedem einzelnen ICS enthalten. Das ICS 300 von 3 beinhaltet die Sicherheitsrichtlinie 380, in der bestimmte Aktionen, die durch den Wrapper 310 durchgeführt werden, und Regeln zum Aufzeichnen und Erzeugen von Daten enthalten sind. Die Sicherheitsrichtlinie 380 wird durch die integrierte Analyseeinheit 170 nach Bedarf aktualisiert.
  • 4 ist ein Schaubild, um den ICS-Betrieb in Normalzeit zu beschreiben. Zunächst empfängt die Datensteuereinheit 320 Ereignisdaten, die von dem Sender 220 ausgegeben werden, und sendet die Ereignisdaten direkt an andere ICSs. Gleichzeitig speichert die Datenaufzeichnungseinheit 340 die Ereignisdaten als Musterdaten 360. Diese Speicherung wird durch ein beliebiges Aufzeichnungsverfahren für Rohdaten, zusammengefasste Daten, Stichprobendaten und dergleichen durchgeführt. Diese Aufzeichnungsverfahren sind für das ICS spezifisch und werden in der Sicherheitsrichtlinie 380 definiert.
  • Die Datensteuereinheit 320 wählt das Speicherverfahren auf der Grundlage des Typs der Ereignisdaten unter Bezugnahme auf die Sicherheitsrichtlinie 380 aus und benachrichtigt die Datenaufzeichnungseinheit 340 über das Speicherverfahren. Die Sicherheitsrichtlinie 380 wird durch die integrierte Analyseeinheit 170 benachrichtigt und nach Bedarf aktualisiert.
  • Im Folgenden wird mithilfe von 14 ein Betrieb eines ICS beschrieben, von dem vermutet wird, dass es eine Anomalie aufweist. Zunächst empfängt die integrierte Analyseeinheit 170 Überwachungsdaten von der Sendeeinheit jedes ICS. Die integrierte Analyseeinheit 170 benachrichtigt den Wrapper 310 eines ICS, von dem auf der Grundlage der Überwachungsdaten vermutet wird, dass es eine Anomalie aufweist, in den Pseudonormalbetrieb zu wechseln.
  • Hier sendet die integrierte Analyseeinheit 170 außerdem bevorzugt Informationen (z. B. eine ICS-Nummer) über das ICS, von dem vermutet wird, dass es eine Anomalie aufweist, an die Wrapper der anderen ICSs. Dies ermöglicht jedem ICS, das Daten von dem ICS empfängt, von dem vermutet wird, dass es eine Anomalie aufweist, anschließend empfangene Daten als Pseudonormaldaten zu erkennen. Die integrierte Analyseeinheit 170 analysiert dann, ob das ICS tatsächlich eine Anomalie aufweist. Die Überwachungsdaten beinhalten bevorzugt Anomalievermutungsinformationen im Hinblick auf die anderen ICSs.
  • 9 ist ein Schaubild, das eine Situation darstellt, in der das ICS 140 einen Betrieb durchführt, der anomal zu sein scheint. Daten, die sich von Daten zur Normalzeit unterscheiden, werden von dem ICS 140 an die ICSs 110 bis 130 gesendet. Jedes der ICSs 110 bis 130 sendet Anomalieerkennungsinformationen im Hinblick auf das ICS 140, indem es sie in die Überwachungsdaten einschließt, die an die integrierte Analyseeinheit gesendet werden. Die integrierte Analyseeinheit 170 analysiert die Überwachungsdaten von jedem ICS und benachrichtigt das ICS 140, von dem vermutet wird, dass es eine Anomalie aufweist, in den Pseudonormalbetrieb zu wechseln. Die integrierte Analyseeinheit 170 analysiert anschließend, ob das ICS 140 tatsächlich eine Anomalie aufweist, und führt eine erforderliche Aktion unter Bezugnahme auf die Sicherheitsrichtlinie 180 durch.
  • Nachdem es die Benachrichtigung empfangen hat, in den Pseudonormalbetrieb zu wechseln, führt das ICS gemäß der Sicherheitsrichtlinie beliebige, jedoch abhängig von den Merkmalen des ICS verschiedene, der folgenden Operationen durch.
    • (A) Simulierte Daten genauso wie zur Normalzeit senden.
    • (B) Rohdaten senden.
    • (C) Gar keine Daten senden.
  • Der Fall (A) wird im Folgenden ausführlicher mithilfe von 14 beschrieben. Die Datenaufzeichnungseinheit 340 des ICS, von dem vermutet wird, dass es eine Anomalie aufweist, zeichnet die Daten von der Sendeeinheit als Echtdaten 350 auf. Der Datengeber 330 erzeugt gemäß der Sicherheitsrichtlinie 380 simulierte Daten aus den Rohdaten, den zusammengefassten Daten und statistischen Daten, die in den Musterdaten 360 aufgezeichnet sind, und sendet die simulierten Daten an jedes ICS. Dies ermöglicht jedem ICS, ungehindert normal zu arbeiten.
  • Wenn die integrierte Analyseeinheit 170 als Ergebnis der Analyse eine Benachrichtigung an das ICS und jedes der anderen ICSs sendet, dass keine Anomalie vorhanden ist, kehrt das ICS in den Zustand zur Normalzeit zurück.
  • 15 ist ein Schaubild, das einen Betrieb in dem Fall darstellt, in dem ermittelt wird, dass das ICS keine Anomalie aufweist (in dem Fall, in dem eine Benachrichtigung empfangen wird, in den Normalbetrieb zu wechseln). Die Datenaufzeichnungseinheit 340 zeichnet Rohdaten, zusammengefasste Daten und statistische Daten in den Musterdaten 360 auf. Der Wrapper benachrichtigt jedes Datensendeziel über den Datenaustausch. Der Datengeber 330 liest Daten aus den Echtdaten 350, bei denen es sich um die Rohdaten handelt, die in dem Pseudonormalbetrieb aufgezeichnet worden sind, und sendet gleichzeitig die gelesenen Daten. Nach Abschließen des Sendens verwirft der Datengeber 330 die Echtdaten 350. Nach dem Empfangen der Benachrichtigung über den Datenaustausch führt jedes ICS ein Rollback durch und tauscht die im Pseudonormalbetrieb empfangenen Daten gegen die gleichzeitig gesendeten Daten aus.
  • In dem Fall, in dem die integrierte Analyseeinheit 170 als Ergebnis der Analyse ermittelt, dass eine Anomalie vorhanden ist, benachrichtigt die integrierte Analyseeinheit 170 den Wrapper des ICS und den Wrapper jedes der anderen ICSs über die Anomalieermittlung und führt außerdem eine bestimmte Aktion gemäß der Sicherheitsrichtlinie 180 durch. Nachdem es zu einem Nothalt gebracht worden ist, wartet das anomal arbeitende ICS auf einen durch eine Person oder eine Maschine durchgeführten Reparaturprozess. Jedes ICS, das Daten in dem Pseudonormalbetrieb empfängt, führt ein Rollback durch und löscht die in dem Pseudonormalbetrieb empfangen Daten.
  • Zu Faktoren, die eine Anomalie eines ICS verursachen, zählen ein Fehler eines Sensors oder eines Zähler, Manipulation, Datenverfälschung, ein physischer Angriff und Diebstahl durch einen bösartigen Benutzer oder Malware und so weiter. Es steht eine Vielzahl von Verfahren (Schwellenwert, Regel und Situation) als Verfahren zu ihrer Ermittlung zur Verfügung.
  • 13 ist ein Schaubild, das ein Verfahren darstellt, durch das die integrierte Analyseeinheit 170 eine Anomalie eines ICS erkennt. Ein Beispiel, in dem hauptsächlich Schwellenwerte verwendet werden, wird in 13 dargestellt. In dem Fall, in dem ein ungewöhnlicher Wert im Vergleich zu den statistischen Daten erkannt wird, wird entschieden, dass eine Anomalie vorliegt.
  • Beispielsweise wird der Fall, in dem die Anzahl der pro Tag gedruckten Seiten nicht unter 10.000 beträgt, die Anzahl der Papierstaus nicht unter 10 beträgt, die Wiederherstellungszeit nicht unter 2 Stunden beträgt oder der Stromverbrauch nicht unter 5 kW beträgt, als Anomalie bewertet. Es besteht auch ein Anomalieerkennungsverfahren durch Vergleichen von Korrelationsdaten. Zu Beispielen dafür zählen der Fall eines anomalen Toner-Verbrauchs oder der Fall, in dem ein Benutzer an einer Vielzahl von Orten arbeitet.
  • Es besteht auch eine Anomalieerkennung aufgrund von Anzeichen eines Angriffs. Zu Beispielen dafür zählen eine vorgegebene oder höhere Anzahl von auftretenden Sicherheitsverstößen, die Anzahl von Einstellungsänderungen, darunter ein EIN/AUS-Schalten des Stroms und ein Abbau der Verbindung zum Netzwerk sowie die Anzahl von Software-Installationen/Deinstallationen. Die integrierte Analyseeinheit 170 empfängt die Überwachungsdaten von der Sendeeinheit jedes einzelnen ICS und berechnet statistisch oder kumuliert, ob ein beliebiger Schwellenwert in 13 überschritten wird, um zu ermitteln, ob eine Anomalie vorliegt. Diese Schwellenwerte sind in der Sicherheitsrichtlinie 180 enthalten.
  • Die Unterschiede zwischen der Sicherheitsrichtlinie 180 und der Sicherheitsrichtlinie 380 jedes einzelnen ICS bestehen darin, dass die oben genannten Informationen der statistischen Anomalieermittlung bereitgestellt werden und dass die Sicherheitsrichtlinie 380 eine Richtlinie beinhaltet, die für das System jedes ICS spezifisch ist.
  • 5 stellt ein Beispiel für Daten dar, die von einem ICS an andere ICSs gesendet werden. Es wird zum Beispiel mit einer Ereignis-ID 1001 angegeben, dass ein Papierstau als Rohdatenereignis zum Zeitpunkt 2010/10/01 09:05:40 in einer Einheit mit der ID MFP0001 behoben wird. Was Protokolle für zusammengefasste Daten und statistische Daten betrifft, so wird in einem Protokoll mit der ID 2001 angegeben, dass ein einseitiger Schwarz-Weiß-Druck von 5 Seiten durch Benutzer B als Druckauftrag in der Einheit mit der ID MFP0001 durchgeführt wird.
  • 6 stellt weitere Daten dar, die von einem ICS an ein anderes ICS gesendet werden. In 6 dargestellte Steuerbefehle werden ebenfalls durch die Überwachungs- und Analyseeinheit 250 in der Aktionswarteschlange 230 aufgezeichnet. Unterdessen werden Analysedaten in der Datenablage 260 aufgezeichnet und ebenfalls für die Berichtsdaten 240 verwendet.
  • 7 stellt ein Beispiel für die Sicherheitsrichtlinie 380 in dem Fall dar, in dem eine Anomalie vermutet wird, auf die durch jedes ICS verwiesen wird. Ein Ziel-ICS-Feld stellt einen spezifischen Namen des ICS dar, ein Zieldatenfeld stellt dar, bei welchen Daten es sich um Zieldaten handelt, ein Feld für erforderliche Daten stellt dar, welche Daten gesendet werden sollen, ein Datenspeicherfeld stellt dar, ob Datenspeicher erforderlich ist und welche Daten gespeichert werden sollen, ein Datenerzeugungsfeld stellt ein Datenerzeugungsverfahren des Datengebers 330 dar, und ein Feld für simulierte Daten stellt eine Sendehäufigkeit von tatsächlich gesendeten Daten dar.
  • Das heißt, zusätzlich zu der Sicherheitsrichtlinie, die für das ICS spezifisch ist, beinhaltet die Sicherheitsrichtlinie 380 die Definition, welche Art von simulierten Daten in dem Pseudonormalbetrieb gesendet werden und was zum Senden der simulierten Daten aufgezeichnet wird. Die Sicherheitsrichtlinie 380, die solche Regeln zum Aufzeichnen und Erzeugen von Daten enthält, wird in geeigneter Weise durch die integrierte Analyseeinheit 170 aktualisiert.
  • Es bestehen zum Beispiel die folgenden Varianten der Erzeugung simulierter Daten.
    • (A) Keine Daten senden, da sie für ein Ereignis oder eine Steuerung ohne Bedeutung sind, für die ein Prozess unverzüglich durchgeführt wird.
    • (B) Rohdaten in dem Fall senden, in dem Daten in Normalzeit selbst erforderlich sind.
    • (C) Gefilterte (Mindest-, Höchst-, Durchschnitts-, neueste, zufällig erzeugte) Daten senden.
    • (D) Zeiteinheits-, tägliche, wöchentliche, Durchschnitts-, zusammengefasste/statistische Daten senden.
  • Auf diese Weise wird über Daten, die zur Normalzeit aufgezeichnet/gespeichert werden, gemäß den Merkmalen jedes ICS entschieden, um zu entscheiden, wie der Datengeber 330 simulierte Daten aus den gespeicherten Daten erzeugt.
  • 8 stellt den Aufzeichnungsinhalt der Musterdaten 360 dar. Die Musterdaten 360 werden auf der Grundlage der Sicherheitsrichtlinie 380 für jedes ICS aufgezeichnet. Wie in 8 dargestellt, unterscheiden sich die Zieldaten, die aufgezeichnet/gespeichert werden, abhängig von dem ICS. Die Gesamtzahl der gedruckten Seiten und die statistischen Werte werden in einem ICS A aufgezeichnet, wohingegen Rohdaten eines Drucks in einem ICS B aufgezeichnet werden. Der Grund dafür ist, dass Druckaufträge als Datenspeicherziel bezeichnet werden und die entsprechende Datenerzeugung in der Sicherheitsrichtlinie des ICS A in 7 täglich erfolgt. Es ist zu beachten, dass Steuerdaten zufällig zum Zeitpunkt einer Datenerzeugung erzeugt werden und daher nicht aufgezeichnet werden.
  • Demgegenüber werden Rohdaten als Datenspeicherziel bezeichnet, und die entsprechende Datenerzeugung in der Sicherheitsrichtlinie des ICS B in 7 erfolgt in Echtzeit. Folglich werden die Musterdaten auf der Grundlage der Sicherheitsrichtlinie 380 gemäß den Merkmalen jedes ICS aufgezeichnet.
  • 10 ist ein Betriebsablaufplan jedes ICS. In Schritt 1010 empfängt der Empfänger Daten von einem oder mehreren anderen ICS(s). In Schritt 1020 analysiert die Überwachungs- und Analyseeinheit, ob die Daten des anderen ICS eine Anomalie aufweisen. Falls eine Anomalie vorliegt, sendet das ICS in Schritt 1030 Überwachungsdaten an die integrierte Analyseeinheit 170, die nicht nur seine eigenen Betriebszustandsinformationen, sondern auch Informationen des ICS enthalten, das eine Anomalie aufweist.
  • 11 ist ein Betriebsablaufplan der integrierten Analyseeinheit 170. Zunächst empfängt die integrierte Analyseeinheit 170 in Schritt 1110 Überwachungsdaten von jedem ICS. Als Nächstes ermittelt die integrierte Analyseeinheit 170 in Schritt 1120 aus den Überwachungsdaten, ob eine Anomalie vermutet wird. Die Überwachungsdaten beinhalten eine Nummer eines ICS, von dem vermutet wird, dass es eine Anomalie aufweist, und verschiedene Datenwerte. Falls Informationen über ein ICS, das eine Anomalie aufweist, in Überwachungsdaten eines ICS enthalten sind, stellt die integrierte Analyseeinheit 170 bei der Ermittlung einer Anomalievermutung fest, dass eine Anomalie vermutet wird. Falls Informationen über ein ICS, das eine Anomalie aufweist, nicht in Überwachungsdaten eines einzelnen ICS enthalten sind und die Überwachungsdaten einen Schwellenwert erheblich überschreiten, stellt die integrierte Analyseeinheit 170 gleichermaßen fest, dass eine Anomalie vermutet wird.
  • In dem Fall, dass in Schritt 1120 keine Anomalie vermutet wird, beendet die integrierte Analyseeinheit 170 den Prozess. In dem Fall, dass in Schritt 1120 eine Anomalie vermutet wird, gibt die integrierte Analyseeinheit 170 in Schritt 1130 eine ICS-Nummer eines ICS an, von dem vermutet wird, dass es eine Anomalie aufweist. Als Nächstes benachrichtigt die integrierte Analyseeinheit 170 in Schritt 1140 die Datensteuereinheit des ICS, von dem vermutet wird, dass es eine Anomalie aufweist, in den Pseudonormalbetrieb zu wechseln. Die integrierte Analyseeinheit 170 sendet außerdem die Informationen bevorzugt an die anderen ICSs. Die anderen ICSs erkennen Daten von dem unter Verdacht stehenden ICS als in dem Pseudonormalbetrieb gesendete Daten.
  • In Schritt 1150 analysiert die integrierte Analyseeinheit 170, ob das ISC, von dem vermutet wird, dass es eine Anomalie aufweist, tatsächlich eine Anomalie aufweist. In Schritt 1160 prüft die integrierte Analyseeinheit 170, ob festgestellt worden ist, dass die Anomalie in dem ICS vorhanden ist. In dem Fall, dass festgestellt worden ist, dass die Anomalie in dem ICS vorhanden ist, führt die integrierte Analyseeinheit 170 in Schritt 1180 eine bestimmte Aktion unter Bezugnahme auf die Sicherheitsrichtlinie 180 durch. In dem Fall, dass festgestellt wird, dass die Anomalie nicht in dem ICS vorhanden ist, benachrichtigt die integrierte Analyseeinheit 170 in Schritt 1170 das ICS, von dem vermutet wird, dass es eine Anomalie aufweist, in den Normalbetrieb zu wechseln, und beendet den Prozess. Die integrierte Analyseeinheit 170 sendet außerdem die Nichtanomaliebenachrichtigung bevorzugt an die anderen ICSs.
  • 16 ist ein Betriebsablaufplan eines ICS, das den Pseudonormalbetrieb empfängt. Zunächst empfängt das ICS in Schritt 1610 die Benachrichtigung, in den Pseudonormalbetrieb zu wechseln. Als Nächstes zeichnet die Datenaufzeichnungseinheit 340 in Schritt 1620 die Echtdaten 350 auf. Darüber hinaus erzeugt der Datengeber 330 in Schritt 1630 simulierte Daten aus den Musterdaten 360. In Schritt 1640 sendet die Datensteuereinheit 320 die erzeugten simulierten Daten.
  • 17 ist ein Betriebsablaufplan eines ICS, das von der integrierten Analyseeinheit 170 die Benachrichtigung empfängt, in den Normalbetrieb zu wechseln. Zunächst empfängt das ICS in Schritt 1710 von der integrierten Analyseeinheit 170, die Benachrichtigung, in den Normalbetrieb zu wechseln. Als Nächstes sendet der Wrapper in Schritt 1720 die Datenaustauschbenachrichtigung an jedes Datensendeziel. In Schritt 1730 liest der Datengeber 330 Daten aus den Echtdaten 350, bei denen es sich um die Rohdaten handelt, die in dem Pseudonormalbetrieb aufgezeichnet worden sind. In Schritt 1740 sendet die Datensteuereinheit 320 die Daten gleichzeitig. Zuletzt werden die Echtdaten 350 in Schritt 1750 gelöscht.
  • Bevorzugt benachrichtigt die Datensteuereinheit 320 jedes Sendeziel-ICS, dass die Echtdaten gleichzeitig gesendet werden sollen. Als Nächstes sendet die Datensteuereinheit 320 die simulierten Daten in Schritt 1740 an jedes Sendeziel-ICS gleichzeitig. Jedes Sendeziel-ICS tauscht die in dem Pseudonormalbetrieb empfangenen Daten (führt ein Rollback durch und tauscht sie aus) gegen die gleichzeitig gesendeten Echtdaten aus. In Schritt 1750 werden die Echtdaten 350 verworfen.
  • Das anomale ICS, das die Anomalieermittlungsbenachrichtigung von der integrierten Analyseeinheit 170 empfängt, geht in einen Betriebsendezustand über. 18 ist ein Betriebsablaufplan jedes der anderen ICSs, die die Anomalieermittlungsbenachrichtigung von der integrierten Analyseeinheit 170 empfangen. Zunächst empfängt das ICS in Schritt 1810 die Anomalieermittlungsbenachrichtigung. Als Nächstes führt das ICS in Schritt 1820 ein Rollback durch und löscht die in dem Pseudonormalbetrieb empfangenen Daten des anomalen ICS.
  • Wie oben beschrieben, ist es gemäß der Ausführungsform der vorliegenden Erfindung möglich, ein Anomalieerkennungssystem, eine Anomalieerkennungseinheit, ein Anomalieerkennungsverfahren, ein Programm und ein Aufzeichnungsmedium bereitzustellen, um ein ICS, von dem vermutet wird, dass es eine Anomalie aufweist, in einem System effizient zu erkennen und zu veranlassen, dass eine bestimmte Aktion so ausgeführt wird, dass sie keine anderen ICSs beeinträchtigt.
  • Der/die Computer-EWS und -HMI in dem Universalnetzwerkbereich in dem ICS und die integrierte Analyseeinheit gemäß der Ausführungsform der vorliegenden Erfindung können dieselbe Struktur aufweisen wie ein Computer, der in einem Informationssystem als Hardware-Struktur verwendet wird, das heißt, sie können durch einen typischen Computer ausgeführt werden, der eine CPU, einen Speicher, eine externe Speichereinheit, einen Bus und eine Datenaustausch-Schnittstelle beinhaltet.
  • Darüber hinaus wird eine Anomalieerkennungseinheit durch Laden eines computerausführbaren Programms in eine Computereinheit bereitgestellt, um jede Funktionseinheit umzusetzen. Ein solches Programm kann durch ein computerausführbares Programm umgesetzt werden, das in einer Programmiersprache wie zum Beispiel FORTRAN, COBOL, PL/I, C, C++, Java®, Perl, Ruby oder dergleichen geschrieben ist und in einem einheitenlesbaren Aufzeichnungsmedium gespeichert und verteilt wird.
  • Wenngleich die vorliegende Erfindung mithilfe der in den Zeichnungen dargestellten Ausführungsform und Beispielen beschrieben worden ist, ist die vorliegende Erfindung nicht auf die in den Zeichnungen dargestellte Ausführungsform beschränkt. Jegliche Modifizierungen und Modi, die für einen Fachmann vorstellbar sind, sind in den Umfang der vorliegenden Erfindung eingeschlossen, sofern die Betriebsvorteile der vorliegenden Erfindung erzielt werden.
  • Bezugszeichenliste
    • 110 bis 160, 300
    ICS
    100
    Anomalieerkennungssystem
    102
    Netzwerk
    110
    Verwaltungs-Server
    170
    integrierte Analyseeinheit
    180
    Sicherheitsrichtlinie
    210
    Empfänger (Empfangseinheit)
    220
    Sender (Sendeeinheit)
    230
    Analyseeinheit
    240
    Berichtsdaten
    250
    Aktionswarteschlange
    260
    Datenablage
    270
    Datenmodellabstraktion
    280
    Protokollabstraktion
    290
    Einheitenzugang
    295
    Sensor
    310
    Wrapper
    320
    Datensteuereinheit
    330
    Datengeber
    340
    Datenaufzeichnungseinheit
    350
    Echtdaten
    350
    gesendete Echtdaten
    360
    Musterdaten
    380
    Sicherheitsrichtlinie
    1210
    Firewall
    1220
    Verwaltungs-Server
    1230
    redundanter Verwaltungs-Server
    1250
    PLC
    1270
    Universalnetzwerkbereich
    1280
    dedizierter Netzwerkbereich
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2000-214919 [0006]

Claims (9)

  1. Anomalieerkennungssystem zum Erkennen einer Anomalie in einem Netzwerk, wobei das System aufweist: eine Vielzahl von industriellen Steuersystemen (ICSs), die mit dem Netzwerk verbunden sind; und eine integrierte Analyseeinheit zum Empfangen eines Betriebszustands jedes ICS als Überwachungsdaten, Angeben eines ICS, von dem vermutet wird, dass es eine Anomalie aufweist, und Durchführen einer Anomalieermittlung, wobei das System in jedem ICS aufweist: eine Empfangseinheit zum Empfangen von Daten von einem anderen ICS; eine Sendeeinheit zum Senden von Daten an das andere ICS und zum Senden der Überwachungsdaten an die integrierte Analyseeinheit; eine Sicherheitsrichtlinie, die Regeln zum Aufzeichnen und Erzeugen von Daten beinhaltet; und einen Wrapper zum Steuern und Senden der Daten an das andere ICS unter Bezugnahme auf die Sicherheitsrichtlinie.
  2. System nach Anspruch 1, das aufweist ein Mittel für die integrierte Analyseeinheit zum Senden einer Benachrichtigung zum Wechseln in einen Pseudonormalbetrieb an den Wrapper des angegebenen ICS, wobei das System in dem Wrapper aufweist: eine Datensteuereinheit zum Steuern der Daten, die an das andere ICS gesendet werden; eine Datenaufzeichnungseinheit zum Aufzeichnen der Daten von der Sendeeinheit als Musterdaten unter Bezugnahme auf die Sicherheitsrichtlinie; und einen Datengeber zum Erzeugen von Sendedaten aus den aufgezeichneten Daten unter Bezugnahme auf die Sicherheitsrichtlinie, und wobei das System als Reaktion auf das Empfangen der Benachrichtigung, in den Pseudonormalbetrieb zu wechseln, aufweist: ein Mittel für die Datenaufzeichnungseinheit zum Aufzeichnen der Daten von der Sendeeinheit als Echtdaten; ein Mittel für den Datengeber zum Erzeugen der Sendedaten aus den Musterdaten; und ein Mittel für die Datensteuereinheit zum Senden der erzeugten Sendedaten an das andere ICS.
  3. System nach Anspruch 2, das aufweist ein Mittel für die integrierte Analyseeinheit zum Senden einer Benachrichtigung an das angegebene ICS zum Beenden des Betriebs, falls ermittelt wird, dass das angegebene ICS eine Anomalie aufweist.
  4. System nach Anspruch 2, das aufweist ein Mittel für die integrierte Analyseeinheit zum Senden einer Benachrichtigung an das angegebene ICS zum Wechseln in einen Normalbetrieb, falls ermittelt wird, dass das angegebene ICS keine Anomalie aufweist.
  5. System nach Anspruch 4, das aufweist: ein Mittel für das ICS, das die Benachrichtigung empfängt, in den Normalbetrieb zu wechseln, zum gleichzeitigen Senden der in dem Pseudonormalbetrieb aufgezeichneten Echtdaten an das andere ICS; und ein Mittel für das ICs, das die Benachrichtigung empfängt, in den Normalbetrieb zu wechseln, zum Löschen der Echtdaten nach Abschließen des gleichzeitigen Sendens.
  6. System nach Anspruch 5, das aufweist ein Mittel für das andere ICS zum Austauschen der von dem angegebenen ICS in dem Pseudonormalbetrieb gesendeten Daten durch die gleichzeitig gesendeten Echtdaten.
  7. Verfahren zum Erkennen einer Anomalie in einem Computersystem, das über ein Netzwerk verbunden ist, wobei das Verfahren aufweist: eine Vielzahl von industriellen Steuersystemen (ICSs), die mit dem Netzwerk verbunden sind; und eine integrierte Analyseeinheit zum Empfangen eines Betriebszustands jedes ICS als Überwachungsdaten, Angeben eines ICS, von dem vermutet wird, dass es eine Anomalie aufweist, und Durchführen einer Anomalieermittlung, wobei das Verfahren in jedem ICS aufweist: einen Schritt zum Empfangen von Daten von einem anderen ICS; einen Schritt zum Senden von Daten an das andere ICS und zum Senden der Überwachungsdaten an die integrierte Analyseeinheit; eine Sicherheitsrichtlinie, die Regeln zum Aufzeichnen und Erzeugen von Daten beinhaltet; und einen Schritt zum Steuern und Senden der Daten an das andere ICS unter Bezugnahme auf die Sicherheitsrichtlinie.
  8. Computerprogramm zum Erkennen einer Anomalie in einer Vielzahl von industriellen Steuersystemen (ICSs), die mit einem Netzwerk verbunden sind, wobei das Programm aufweist: eine integrierte Analyseeinheit zum Empfangen eines Betriebszustands jedes ICS als Überwachungsdaten, Angeben eines ICS, von dem vermutet wird, dass es eine Anomalie aufweist, und Durchführen einer Anomalieermittlung; und eine Sicherheitsrichtlinie, die in jedem ICS bereitgestellt wird und Regeln zum Aufzeichnen und Erzeugen von Daten beinhaltet; wobei das Programm einen Computer jedes ICS veranlasst, auszuführen: eine Funktion zum Empfangen von Daten von einem anderen ICS; eine Funktion zum Senden von Daten an das andere ICS und zum Senden der Überwachungsdaten an die integrierte Analyseeinheit; und eine Funktion zum Steuern und Senden der Daten an das andere ICS unter Bezugnahme auf die Sicherheitsrichtlinie.
  9. Aufzeichnungsmedium, das das Computerprogramm nach Anspruch 8 computerlesbar speichert.
DE112012000772.7T 2011-03-28 2012-01-26 Anomalieerkennungssystem Active DE112012000772B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2011070278 2011-03-28
JPJP-2011-070278 2011-03-28
PCT/JP2012/051668 WO2012132527A1 (ja) 2011-03-28 2012-01-26 異常検知システム、異常検知方法、およびそのプログラム

Publications (2)

Publication Number Publication Date
DE112012000772T5 true DE112012000772T5 (de) 2013-11-07
DE112012000772B4 DE112012000772B4 (de) 2014-11-20

Family

ID=46930294

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112012000772.7T Active DE112012000772B4 (de) 2011-03-28 2012-01-26 Anomalieerkennungssystem

Country Status (8)

Country Link
US (2) US9529690B2 (de)
JP (1) JP5480447B2 (de)
KR (1) KR20130124357A (de)
CN (1) CN103443727B (de)
DE (1) DE112012000772B4 (de)
GB (1) GB2505340A (de)
MX (1) MX2013011129A (de)
WO (1) WO2012132527A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9921938B2 (en) 2011-03-28 2018-03-20 International Business Machines Corporation Anomaly detection system, anomaly detection method, and program for the same

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7933890B2 (en) * 2006-03-31 2011-04-26 Google Inc. Propagating useful information among related web pages, such as web pages of a website
US8458172B2 (en) * 2009-12-24 2013-06-04 At&T Intellectual Property I, L.P. Method and apparatus for automated end to end content tracking in peer to peer environments
DE112012001160T5 (de) * 2011-05-13 2013-12-19 International Business Machines Corp. Unregelmäßigkeitserkennungssystem zum Erkennen einer Unregelmäßigkeit in mehreren Steuersystemen
US9171158B2 (en) 2011-12-12 2015-10-27 International Business Machines Corporation Dynamic anomaly, association and clustering detection
US9141623B2 (en) * 2012-08-03 2015-09-22 International Business Machines Corporation System for on-line archiving of content in an object store
US8943110B2 (en) * 2012-10-25 2015-01-27 Blackberry Limited Method and system for managing data storage and access on a client device
US9165006B2 (en) 2012-10-25 2015-10-20 Blackberry Limited Method and system for managing data storage and access on a client device
WO2014076731A1 (en) * 2012-11-13 2014-05-22 Hitachi, Ltd. Storage system, storage system control method, and storage control device
US20150295944A1 (en) * 2013-07-01 2015-10-15 Hitachi, Ltd. Control system, control method, and controller
KR101591193B1 (ko) 2014-09-17 2016-02-02 엘에스산전 주식회사 Plc 로그 데이터를 이용한 이상 발생 예측 시스템
US20170293757A1 (en) * 2014-10-06 2017-10-12 Brightsource Ics2 Ltd. Systems and Methods for Enhancing Control System Security by Detecting Anomalies in Descriptive Characteristics of Data
JP6693114B2 (ja) * 2015-12-15 2020-05-13 横河電機株式会社 制御装置及び統合生産システム
JP6759572B2 (ja) 2015-12-15 2020-09-23 横河電機株式会社 統合生産システム
US10152596B2 (en) * 2016-01-19 2018-12-11 International Business Machines Corporation Detecting anomalous events through runtime verification of software execution using a behavioral model
US10326790B2 (en) * 2016-02-12 2019-06-18 Shape Security, Inc. Reverse proxy computer: deploying countermeasures in response to detecting an autonomous browser executing on a client computer
US10432650B2 (en) * 2016-03-31 2019-10-01 Stuart Staniford System and method to protect a webserver against application exploits and attacks
DE102016106531A1 (de) * 2016-04-08 2017-10-12 Eaton Electrical Ip Gmbh & Co. Kg Busteilnehmer und Verfahren zum Betreiben eines Busteilnehmers
US11005863B2 (en) * 2016-06-10 2021-05-11 General Electric Company Threat detection and localization for monitoring nodes of an industrial asset control system
WO2018136088A1 (en) * 2017-01-20 2018-07-26 Hitachi, Ltd. OTxIT NETWORK INSPECTION SYSTEM USING ANOMALY DETECTION BASED ON CLUSTER ANALYSIS
JP6862615B2 (ja) * 2018-11-16 2021-04-21 三菱電機株式会社 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム
US11934183B2 (en) 2019-06-13 2024-03-19 Tata Consultancy Services Limited Method and system for industrial anomaly detection
KR102191169B1 (ko) * 2019-11-26 2020-12-16 주식회사 오비고 이종 dcu의 출력 값을 사용하는 ads를 통해 자율 주행에서 발생할 수 있는 dcu들의 오판 상황을 방지하는 방법 및 이를 이용한 장치
CN111935189B (zh) * 2020-10-12 2021-02-05 中国航空油料集团有限公司 工控终端策略控制系统及工控终端策略控制方法
US20240078440A1 (en) 2022-08-24 2024-03-07 AO Kaspersky Lab Method for identifying patterns and anomalies in the flow of events from a cyber-physical system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000214919A (ja) 1999-01-22 2000-08-04 Toshiba Corp 分散型プラント監視システム及びそのシステムの処理プログラムを記録する記録媒体

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7127328B2 (en) * 1994-12-30 2006-10-24 Power Measurement Ltd. System and method for federated security in an energy management system
JPH10313537A (ja) 1997-05-07 1998-11-24 Toshiba Corp 水力発電所の監視制御装置
JPH1196031A (ja) 1997-09-24 1999-04-09 Toshiba Tec Corp 情報処理システム
JPH11175103A (ja) 1997-12-11 1999-07-02 Shimadzu Corp 制御演算装置
US6654648B2 (en) * 2000-04-03 2003-11-25 Toyota Jidosha Kabushiki Kaisha Technique of monitoring abnormality in plurality of CPUs or controllers
JP4052983B2 (ja) 2002-06-28 2008-02-27 沖電気工業株式会社 警戒システム及び広域ネットワーク防護システム
JP2004054706A (ja) 2002-07-22 2004-02-19 Sofutekku:Kk セキュリティリスク管理システム、そのプログラムおよび記録媒体
JP2004246438A (ja) 2003-02-12 2004-09-02 Mitsubishi Electric Corp 時系列データの収集システム
US7624174B2 (en) 2003-05-22 2009-11-24 Microsoft Corporation Self-learning method and system for detecting abnormalities
JP2005227982A (ja) 2004-02-12 2005-08-25 Nippon Telegr & Teleph Corp <Ntt> セキュリティ監視機能を備えたネットワークシステム、ログデータ解析端末及び情報端末
CN101006433B (zh) 2004-08-25 2012-01-11 日本电气株式会社 信息通信装置和程序执行环境控制方法
JP4482816B2 (ja) * 2005-09-27 2010-06-16 日本電気株式会社 ポリシ処理装置、方法、及び、プログラム
JP3974150B2 (ja) 2006-01-19 2007-09-12 富士通株式会社 資産情報の一元管理を行うコンピュータシステム
EP1883033B1 (de) * 2006-07-21 2017-11-01 BlackBerry Limited System und verfahren zur bereitstellung eines honigtopf-modus für eine elektronische vorrichtung
CN101170455B (zh) 2007-11-20 2010-12-29 中兴通讯股份有限公司 异常信息自动上报方法和装置
US7953016B2 (en) * 2008-03-03 2011-05-31 Nortel Networks Limited Method and system for telecommunication apparatus fast fault notification
JP5348489B2 (ja) * 2009-07-31 2013-11-20 オムロン株式会社 コントローラ
US8886746B2 (en) * 2009-09-09 2014-11-11 Rockwell Automation Technologies, Inc. Diagnostic module for distributed industrial network including industrial control devices
GB2505340A (en) 2011-03-28 2014-02-26 Ibm Anomaly detection system, anomaly detection method, and program of same

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000214919A (ja) 1999-01-22 2000-08-04 Toshiba Corp 分散型プラント監視システム及びそのシステムの処理プログラムを記録する記録媒体

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9921938B2 (en) 2011-03-28 2018-03-20 International Business Machines Corporation Anomaly detection system, anomaly detection method, and program for the same

Also Published As

Publication number Publication date
MX2013011129A (es) 2013-10-30
CN103443727A (zh) 2013-12-11
WO2012132527A1 (ja) 2012-10-04
JPWO2012132527A1 (ja) 2014-07-24
CN103443727B (zh) 2016-04-13
US9529690B2 (en) 2016-12-27
KR20130124357A (ko) 2013-11-13
GB2505340A (en) 2014-02-26
JP5480447B2 (ja) 2014-04-23
US9921938B2 (en) 2018-03-20
US20150033076A1 (en) 2015-01-29
US20130245793A1 (en) 2013-09-19
DE112012000772B4 (de) 2014-11-20
GB201318332D0 (en) 2013-11-27

Similar Documents

Publication Publication Date Title
DE112012000772B4 (de) Anomalieerkennungssystem
EP3097506B1 (de) Verfahren und system zur gewinnung und analyse von forensischen daten in einer verteilten rechnerinfrastruktur
EP3428756B1 (de) Integritätsüberwachung bei automatisierungssystemen
DE102018113625A1 (de) Fehlerinjektionstestvorrichtung und -verfahren
EP2908195B1 (de) Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
DE102016102381A1 (de) Sicherheitsereigniserkennung durch virtuelle Maschinenintrospektion
DE102011014142A1 (de) Fahrzeugsteuervorrichtung für eine CAN-Kommunikation und Diagnoseverfahren hierfür
WO2009010277A1 (de) Verfahren und vorrichtung zur administration von computern
EP3079028A1 (de) Planungs- und engineering-verfahren, -software-tool und simulationswerkzeug für eine automatisierungslösung
DE112008000795T5 (de) In einem Fahrzeug verbaute Weiterleitungs-Verbindungseinheit
EP2440981A1 (de) Verfahren und vorrichtung zur fehlerüberwachung eines mehrere anlagen aufweisenden gesamtsystems
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
DE102020130166A1 (de) Vorrichtungen und verfahren für die sichere datenprotokollierung
DE10259794A1 (de) Verfahren und Vorrichtung für das Event Management
DE102013108073B4 (de) Datenverarbeitungsanordnung und verfahren zur datenverarbeitung
EP3246778B1 (de) Vorrichtung zum auslesen von daten aus einem sicherheitskritischen steuergerät
EP2729857B1 (de) Dokumentation von fehlern in einem fehlerspeicher eines kraftfahrzeugs
EP3518061B1 (de) Diagnosetool und diagnoseverfahren zur ermittlung einer störung einer anlage
EP3486825A1 (de) Verfahren und vorrichtung zum rechnergestützten bestimmen eines schweregrads einer festgestellten verletzung der integrität
DE202015004439U1 (de) Überwachungsvorrichtung und Netzwerkteilnehmer
WO2014111257A1 (de) Vorrichtung, system und verfahren zur maschinenwartung
DE102012224255A1 (de) Werkssicherheits-Verwaltungsvorrichtung, Verwaltungsverfahren und Verwaltungsprogramm
WO2004061405A2 (de) Verfahren und system zur fehleranalyse von kraftfahrzeug-steuergeräten und entsprechendes steuergerät
DE102017206559A1 (de) Steuergerät und Betriebsverfahren hierfür
DE102019105139A1 (de) Verfahren zum Erkennen von Angriffen auf eine Netzwerkkomponente eines industriellen Netzwerks

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence
R020 Patent grant now final