JP2014179074A - 産業用制御システムのためのインテリジェントサイバーフィジカル侵入検出および侵入防止システムならびに方法 - Google Patents

産業用制御システムのためのインテリジェントサイバーフィジカル侵入検出および侵入防止システムならびに方法 Download PDF

Info

Publication number
JP2014179074A
JP2014179074A JP2014040025A JP2014040025A JP2014179074A JP 2014179074 A JP2014179074 A JP 2014179074A JP 2014040025 A JP2014040025 A JP 2014040025A JP 2014040025 A JP2014040025 A JP 2014040025A JP 2014179074 A JP2014179074 A JP 2014179074A
Authority
JP
Japan
Prior art keywords
control system
controller
instructions
network
rule set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014040025A
Other languages
English (en)
Other versions
JP6302283B2 (ja
JP2014179074A5 (ja
Inventor
Dixit Paritosh
パリトッシュ・ディシット
Daniel Thanos
ダニエル・サノス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
General Electric Co
Original Assignee
General Electric Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by General Electric Co filed Critical General Electric Co
Publication of JP2014179074A publication Critical patent/JP2014179074A/ja
Publication of JP2014179074A5 publication Critical patent/JP2014179074A5/ja
Application granted granted Critical
Publication of JP6302283B2 publication Critical patent/JP6302283B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02BCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO BUILDINGS, e.g. HOUSING, HOUSE APPLIANCES OR RELATED END-USER APPLICATIONS
    • Y02B70/00Technologies for an efficient end-user side electric power management and consumption
    • Y02B70/30Systems integrating technologies related to power network operation and communication or information technologies for improving the carbon footprint of the management of residential or tertiary loads, i.e. smart grids as climate change mitigation technology in the buildings sector, including also the last stages of power distribution and the control, monitoring or operating management systems at local level
    • Y02B70/34Smart metering supporting the carbon neutral operation of end-user applications in buildings
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S20/00Management or operation of end-user stationary applications or the last stages of power distribution; Controlling, monitoring or operating thereof
    • Y04S20/30Smart metering, e.g. specially adapted for remote reading
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)

Abstract

【課題】システムおよび方法を提供すること。
【解決手段】一実施形態では、システムは、制御システム挙動を測定するように構成されているデバイス監視構成要素と、デバイス監視構成要素および通信ネットワークに通信可能に結合された侵入防止システムとを含む。侵入防止システムは、デバイス監視構成要素によって測定された制御システム挙動を、第1のルールセットと対照して分析して、異常が存在するか、侵入が存在するか、または両方が存在するかを判定するように構成されている制御システム分析構成要素を含む。
【選択図】図1

Description

本開示は、制御システムの物理的挙動を監視することによって、制御システムにおけるセキュリティ侵害を検出する侵入防止システム(intrusion prevention system)(IPS)に関する。
一般に、IPSは、制御システム内でネットワーク通信を監視することによって、産業用制御システムなどの制御システム内へのデジタル侵入を検出および/または防止するように構成することができる。具体的には、ネットワークIPSは、ネットワークパラメータに基づいて侵入および/または異常の指標を探すことができる。たとえば、ネットワークIPSは、ネットワークトラフィック、ファイルシステムアクセス/修正、またはオペレーティングシステム/ライブラリコールなどのパラメータを監視することができる。その後、監視されるパラメータをルールセットと比較して、制御システムに侵入および/または異常が存在するかどうかを判定することができる。
侵入と呼ばれるセキュリティ侵害は、権限のないパーティが、産業用制御システムなどの制御システムにアクセスすることを可能にし、システム内で予期しない挙動を引き起すおそれがある。たとえば、侵入は、システムに、要求されていなかったプロセスを実施させる場合がある。産業用制御システムは、タービン、発電機、圧縮機、または燃焼器などのデバイスを含むことができるため、ネットワークパラメータの範囲を超えて産業用制御システム内のセキュリティを改善することは有利であるであろう。
米国特許出願公開第2013/0086680号公報
最初に特許請求される本発明と範囲が一致するいくつかの実施形態が以下で要約される。これらの実施形態は、特許請求される本発明の範囲を制限するように意図されるのではなく、むしろ、これらの実施形態は、本発明の考えられる形態の簡潔な要約を提供するように意図されるにすぎない。実際には、本発明は、以下で述べる実施形態と類似していても、または異なっていてもよい種々の形態を包含することができる。
第1の実施形態は、システムを提供し、システムは、制御システム挙動を測定するように構成されているデバイス監視構成要素と、デバイス監視構成要素および通信ネットワークに通信可能に結合された侵入防止システムとを含む。侵入防止システムは、制御システム分析構成要素を備え、制御システム分析構成要素は、デバイス監視構成要素によって測定された制御システム挙動を、第1のルールセットと対照して分析して、異常が存在するか、侵入が存在するか、または両方が存在するかを判定するように構成されている。
第2の実施形態は、電子デバイスのプロセッサによって実行可能な複数の命令を記憶する有形で非一時的なコンピュータ可読媒体を提供する。命令は、通信パケットを受信する命令と、通信パケットがネットワークルールセットと対照して試験される第1の試験を実施する命令と、制御システム測定値を受信する命令であって、制御システム測定値が産業用制御システムの制御システム挙動を示す、命令と、制御システム測定値が制御システムルールと対照して試験される第2の試験を実施する命令と、第1の試験からの結果と第2の試験からの結果を相関させる命令と、相関データに基づいて産業用制御システムに異常が存在するか、侵入が存在するか、または両方が存在するかを判定する命令からなる。
第3の実施形態は、コントローラおよび監視ステーションに通信可能に結合された侵入防止システムを含むシステムを提供する。侵入防止システムは、監視ステーションとコントローラとの間で送信されるネットワーク通信を受信し、コントローラの状態、産業用制御システムの状態、コントローラに接続されたデバイス、またはそれらの任意の組合せに少なくとも部分的に基づいて、異常が存在するか、侵入が存在するか、または両方が存在するかを判定するように構成されている。
本発明のこれらのまた他の特徴、態様、および利点は、以下の詳細な説明が添付図面を参照して読まれるとよりよく理解されるであろう。添付図面では、同じ符号は、図面全体を通して同じ部品を示す。
産業用制御システム内の侵入防止システム(IPS)のブロック図である。 図1からの侵入防止システム(IPS)の実施形態のブロック図である。 産業用制御システム内で異常が起こったかどうかを判定するのに適した方法の実施形態のフローチャートである。 侵入防止システム(IPS)内でルールセットを生成および/または修正するのに適した方法の実施形態のフローチャートである。
本発明の1つまたは複数の特定の実施形態が以下で述べられる。これらの実施形態の簡潔な説明を提供しようとして、実際の実装形態の全ての特徴が本明細書で述べられない可能性がある。任意のこうした実際の実装形態の開発において、任意の工学および設計プロジェクトの場合と同様に、実装形態ごとに変動する場合がある、システム関連制約およびビジネス関連制約の遵守などの開発者の固有の目的を達成するために、多数の実装形態固有の決定が行われなければならないことが認識されるべきである。さらに、こうした開発努力は複雑でかつ時間がかかる可能性があるが、それでも、本開示の利益を受ける当業者にとって、設計、作製、および製造の日常的な仕事であることになることが認識されるべきである。
本発明の種々の実施形態の要素を導入するとき、冠詞「ある(a)」、「ある(an)」、「その(the)」、または「前記(said)」は、要素の1つまたは複数が存在することを意味することが意図される。用語「備える(comprising)」、「含む(including)」、または「有する(having)」は、包含的であり、挙げた要素以外のさらなる要素が存在する可能性があることを意味することが意図される。
本開示は、一般に、侵入が産業用制御システムに入る可能性を低減するように構成することができる、産業用制御システムなどの制御システム内に配設された侵入防止システム(IPS)を対象とする。本明細書で使用されるように、侵入は、産業用制御システムに入る可能性があるデジタルセキュリティ侵害を指す。侵入は、産業用制御システムに入ると、産業用制御システム内で異常を引き起す場合がある。換言すれば。侵入は、産業用制御システム内で予期しない挙動を引き起す場合がある。たとえば、侵入は、産業用制御システムに、要求されなかったデータを、ネットワーク接続を通して送信させる場合がある。そのため、侵入を低減するように設計されたシステムは、ネットワークトラフィック、ファイルシステムアクセス/修正、またはオペレーティングシステム/ライブラリコールなどの、産業用制御システム内のネットワークパラメータを監視するように構成することができる。しかし、産業用制御システム内のさらなるパラメータを、産業用制御システムのセキュリティを改善するために監視することができる。
したがって、本開示は、システムを提供し、システムは、制御システム挙動を測定するように構成されているデバイス監視構成要素と、デバイス監視構成要素および通信ネットワークに通信可能に結合された侵入防止システムとを含む。侵入防止システムは、制御システム分析構成要素を備え、制御システム分析構成要素は、デバイス監視構成要素によって測定された制御システム挙動を、ルールセットと対照して分析して、異常が起こったかどうかを判定するように構成されている。換言すれば、ネットワークパラメータを監視することに加えて、開示される技法はまた、フィジカルパラメータを監視して、産業用制御システムをよりよく理解し、産業用制御システム内に異常および/または侵入が存在するかどうかをよりよく判定する。
導入として、図1は、産業用制御システム12内の侵入防止システム(IPS)10の実施形態を示す。自動化発電システム(たとえば、ガス、蒸気、風力、または水力タービン、熱回収蒸気発生器(heat recovery steam generator)(HRSG)、ガス化システム、燃焼システム、電気発電機、電力グリッド自動化システム、または同様の自動化発電システム)、または自動化製造システム(たとえば、化学プラント、製油所、または同様な製造システム)などの産業用制御システム12は、監視ステーション14、サイバーセキュリティ監視/応答システム15、コントローラ16、デバイス、および通信ネットワーク18を含むことができる。
監視ステーション14およびコントローラ16は、通信ネットワーク18を通して通信パケットを送信するように構成することができる。具体的には、通信パケットは、制御コマンドおよび/またはデータを含むことができる。Modbusリモート端末ユニット(remote terminal unit)(RTU)、Profibus、Conitel、国際電気標準会議(international Electrotechnical Commission)(IEC)60870−5−101、IEC60870−5−104、IEC61850、分散ネットワークプロトコル(Distributed Network Protocol)(DNP)3、または同様なものの種々のプロトコルが、通信ネットワーク18によって使用され得る。プロトコルの一部は、産業用制御システムがインターネットを通じてアクセス可能であることを可能にすることができる伝送制御プロトコルおよびインターネットプロトコル(TCP/IP)拡張版を含むことができる。したがって、産業用制御システム12内への侵入のための1つのエントリポイントは、通信ネットワーク18にある場合がある。
さらに、コントローラ16は、タービン20、センサ22、アクチュエータ24、ポンプ26などの種々のデバイスを制御するように構成することができる。さらに、サブステーション構成では、コントローラ16は、変圧器、ブレーカ、スイッチ、モータ、または発電機などの電力機器のための保護、制御、および調量(metering)機能を提供するように構成されているインテリジェント電子デバイスとすることができる。したがって、コントローラ16は、処理ユニット28、メモリ30、記憶デバイス32、およびデバイスと通信するように構成されている通信装置34を含むことができる。そのため、侵入用の別のエントリポイントは、デバイスに直接入ることであるとすることができる。侵入用の他のエントリポイントは、コントローラ16または監視ステーション14に直接入ることであるとすることができる。
示す産業用制御システム12はまた、IPS10を含む。IPS10は、コンピューティングデバイス(たとえば、コンピュータ、サーバ、ラップトップ、タブレット、携帯電話、モバイルデバイス、または同様の処理もしくはコンピューティングデバイス)で、あるいはコントローラ16のメモリ30、監視ステーション14、コントローラ16の記憶デバイス32、またはその組合せなどの機械可読媒体に記憶される実行可能で非一時的なコンピュータ命令もしくはコードで実装することができる。ネットワークパラメータを監視することに加えて、IPS10は、異常および/または侵入が存在するかどうかを判定するために制御システム(すなわち、物理的)パラメータを監視するように構成することができる。IPS10は、デバイスとの通信、熱発生、または電力使用などの制御システムパラメータを監視するように構成することができ、その理由は、それらのパラメータが、産業用制御システム12内で起こっているプロセスの正確な表現である場合があるからである。換言すれば、制御システムパラメータは、概して、回避するのがより難しい場合がある物理的法則に基づいている。たとえば、プロセッサの温度が、プロセッサが実施しているプロセスに関連する場合があるため、温度を監視することは、侵入によって引き起されるようなさらなるプロセスをプロセッサが実施しているかどうかを、IPS10が知ることを可能にする。したがって、IPSは、ネットワーク分析構成要素36および制御システム分析構成要素38を含む。
ネットワーク分析構成要素36は、ネットワークトラフィック、ファイルシステムアクセス/修正、またはオペレーティングシステム/ライブラリコールなどの、通信ネットワーク30を通じて送信される通信パケットのネットワークパラメータを分析して、異常および/または侵入が存在するかどうかを判定するように構成することができる。したがって、ネットワーク分析構成要素36は、通信ネットワーク18に結合し、通信ネットワーク18を通して送信される通信パケットを受信するように構成することができる。
同様に、制御システム分析構成要素38は、デバイスとの通信、熱発生、または電力使用などの制御システムパラメータを分析して、異常および/または侵入が起こったかどうかを判定するように構成することができる。そのため、IPS10は、コントローラ16およびコントローラ16によって制御されるデバイス(たとえば、タービン20、センサ22、アクチュエータ24、ポンプ26、または電気的アシスト27)の制御システム(すなわち、物理的)パラメータを監視し測定するように構成されているデバイス監視構成要素40をさらに含むことができる。したがって、デバイス監視構成要素40は、コントローラ16に通信可能に結合することができる。示す実施形態では、デバイス監視構成要素40は、コントローラ16内に配置され、処理ユニット28、メモリ30、記憶デバイス32、および通信装置34に直接結合する。代替的に、デバイス監視構成要素40は、別個のコンピューティングデバイスで、またはコントローラ16のメモリ30、監視ステーション14、コントローラ16の記憶デバイス32、もしくはその組合せなどの機械可読媒体に記憶される実行可能で非一時的なコンピュータ命令で実装することができる。
上述したように、デバイス監視構成要素40は、制御システム(すなわち、物理的)パラメータを測定するように構成することができる。測定された制御システム(すなわち、物理的)パラメータは、産業用制御システム12の動作の物理的結果である。したがって、それらのパラメータは、産業用制御システム12内で起こるプロセスの指標を提供することができる。たとえば、デバイス監視構成要素40は、処理ユニット28の電力使用または温度を測定することができる、通信装置34とデバイス(たとえば、タービン20、センサ22、アクチュエータ24、ポンプ26、または電気的アシスト27)との間の通信活動を測定することができる、またはコントローラ16によって実施されるプロセスのタイミングを測定することができる。測定された制御システムパラメータは、その後、制御システム分析構成要素38に送信され、制御システムルールセットと対照して分析されて、異常および/または侵入が存在するかどうかを判定することができる。
上述したように、産業用制御システム12内への侵入は、産業用制御システム12内で予期しない挙動または異常を引き起す場合がある。異常が検出されると、IPS10は、アラームを通して監視ステーション14および/またはサイバーセキュリティ監視/応答システム15に異常を通信することができる。監視ステーション14および/またはサイバーセキュリティ監視/応答システム15は、報告された異常を相関させる中央システムとして働くように構成することができる。さらに、両者は、オペレータが異常をさらに調査することを可能にするヒューマンマシンインタフェース(human-machine interface)(HMI)を含むことができる。サイバーセキュリティ監視/応答システム15上のオペレータは、異常が実際には偽陽性であると判定し、ネットワークルールセットを相応して変更することができる。さらに、オペレータは、検出された異常に対する応答を決定することができる。換言すれば、オペレータは、異常を回復させる対応策をとるよう産業用制御システム12に指示することができる。いくつかの実施形態では、応答は、自動的に決定され、産業用制御システム12に通信され得る。
図2は、図1に示す侵入防止システム(IPS)10の一実施形態を示す。示す実施形態では、ネットワーク分析構成要素36は、ネットワーク監視構成要素42、およびネットワークルールセット46を含むネットワークルールセット処理構成要素44を含む。同様に、制御システム分析構成要素38は、制御システム監視構成要素48、および制御システムルールセット52を含む制御システムルールセット処理構成要素50を含む。
上述したように、IPS10は、通信ネットワーク18から通信パケットを、また、デバイス監視構成要素40から制御システム測定値を受信するように構成されている。通信パケットは、最初に、ネットワーク監視構成要素42を通してIPS10に入ることができる。ネットワーク監視構成要素42は、IPS10に対するゲートウェイとして働くように構成することができる。通信パケットは、その後、ネットワークルールセット処理構成要素44に渡される。ネットワークルールセット処理構成要素44は、ネットワークルールセット46と対照して通信パケットを分析して、ネットワーク異常および/または侵入が存在するかどうかを判定するように構成することができる。同様に、制御システム測定値は、最初に、制御システム監視構成要素48を通してIPS10に入り、その後、制御システムルールセット処理構成要素50に渡される。制御システムルールセット処理構成要素50は、制御システムルールセット52と対照して制御システム測定値を分析して、制御システム異常および/または侵入が存在するかどうかを判定するように構成することができる。
図3は、異常および/または侵入が存在するかどうかを判定するために、IPS10によって使用される方法54の一実施形態を示す。方法54は、ネットワーク監視構成要素42が通信ネットワーク18から通信パケットを受信する(ブロック56)ことで始まることができる。上述したように、通信パケットは、監視ステーション14とコントローラ16との間の制御コマンドおよび/またはデータを含むことができる。制御コマンドは、ファイルシステムアクセス/修正、アプリケーション/プロセスコール、オペレーティングシステムコール、ライブラリコール、またはそれらの任意の組合せを含むことができる。データは、コントローラ16に結合されたセンサ22などのデバイスによって得られる測定値を含むことができる。
次に、ネットワークルールセット処理構成要素44は、ネットワークルールセット46と対照して、受信されたパケットを試験して(ブロック58)、ネットワーク異常および/または侵入が存在するとネットワークルールセット処理構成要素44が考えるかどうかを判定することができる。ネットワークルールセット46は、ホワイトリストおよびブラックリストを含むように構成することができる。ホワイトリストは、侵入に関連しないとIPS10が考える通信パケットのリストとすることができ、ブラックリストは、侵入に関連するとIPS10が考える通信パケットのリストとすることができる。通信パケットがホワイトリストにもブラックリストにも入らない事例では、侵入が存在するかどうかIPS10が不確かであるため、通信パケットをネットワーク異常として分類することができる。
さらに、通信パケットをよりよく特徴付けるため、ネットワークルールセット処理構成要素44は、ネットワーク通信をコンテキスト的に観察するように構成することができる。換言すれば、ネットワークルールセット処理構成要素44は、コントローラの状態、産業用制御システムの状態、コントローラに接続されたデバイス、またはそれらの任意の組合せを少なくとも部分的に観察するように構成することができる。たとえば、デバイス(たとえば、タービン20、センサ22、アクチュエータ24、ポンプ26、または電気的アシスト27)が権限移譲状態(commissioned state)にあるとき、デバイスは、動作可能状態であり、構成に対する変更がほとんど行われるべきでない。したがって、通信パケットが、電気保護設定などの構成を変更しようとしているとネットワークルールセット処理構成要素44が判定するとき、通信パケットをネットワーク異常として特定することができる。比較してみると、デバイスが構成状態にあるとき、デバイスが構成されることを可能にする、構成に対するより多くの変更が許容されるべきである。他の状態は、メンテナンス状態、緊急状態、またはセキュリティ応答状態を含むことができる。同様に、通信パケットがタービン20などのデバイスのために意図されるが、タービン20が産業用制御システム12内に存在しない場合、ネットワークルールセット処理構成要素44は、通信パケットをネットワーク異常として特定することができる。
方法54は、引き続き、制御システム監視構成要素48がデバイス監視構成要素40から制御システム測定値を受信する(ブロック60)ことを行うことができる。上述したように、デバイス監視構成要素40は、コントローラ内の構成要素の電力使用、コントローラ内の構成要素の温度、コントローラの動作、入力/出力のタイミング、コントローラに結合したデバイスのテレメトリデータ、またはそれらの任意の組合せなどの、制御システム(すなわち、物理的)測定を産業用制御システム12上で行うように構成することができる。たとえば、デバイス監視構成要素40は、処理ユニット28の電力使用または温度を測定することができる、通信装置34とデバイス(たとえば、タービン20、センサ22、アクチュエータ24、ポンプ26、または電気的アシスト27)との間の通信活動を測定することができる、またはコントローラ16によって実施されるプロセスのタイミングを測定することができる。さらに、デバイス監視構成要素40は、タービン20が回転する速度などのデバイスのテレメトリデータを測定することができる。測定されたパラメータが、プロセスが産業用制御システム内で起こっていることを示すことが認識されるべきである。
次に、制御システムルールセット処理構成要素50は、制御システムルールセット52と対照して、受信された測定値を試験して(ブロック62)、制御システム異常および/または侵入が存在すると制御システムルールセット処理構成要素50が考えるかどうかを判定することができる。やはり、制御システムルールセット52は、ホワイトリストおよびブラックリストを含むように構成することができる。ホワイトリストは、制御システム異常が存在しないときの、測定されたパラメータについての適切な測定範囲を含むことができる。ブラックリストは、満たされると、侵入を表明することができる閾値を含むことができる。測定値が、ホワイトリスト範囲内に入らないかまたはブラックリスト閾値を超えるとき、測定値は制御システム異常として分類され得ることが認識されるべきである。
ブロック58およびブロック62からの結果は、その後、IPS10内の機械学習および相関分析構成要素68で相関されて(ブロック64)、侵入および/または異常が存在するかどうかを判定する(ブロック66)ことができる。認識されるはずであるが、ルールセット(たとえば、46および52)は、完全ではなく、偽陽性を返すかまたは異常を完全に見逃す場合(すなわち、偽陰性)がある。したがって、産業用制御システム12のより正確な表現を達成するために、機械学習および相関分析構成要素68は、ネットワーク異常、制御システム異常、および侵入を相関させて、異常または侵入が存在すると構成要素68が考えるかどうかを判定することができる。2つのルールセット(たとえば、46および52)を使用することが、偽陽性ならびに異常および/または侵入の見逃しの可能性を低くする場合があるため、産業用制御システム12の侵入および/または異常のより正確な検出が達成される。したがって、ルールセット(たとえば、46および52)に厳密に従う代わりに、異常および/または侵入を検出するときに、より大きな余裕を持つことができる。
図2に戻ると、異常が検出されると、監視ステーション14および/またはサイバーセキュリティ監視/応答システム15による応答に加えて、IPS10自体が、さらなる対応策をとることができる。ネットワークルールセット処理構成要素44および制御システムルールセット処理構成要素50によってとられる次の対応策は、IPS10がどんなモードにあるかに依存する場合がある。具体的には、IPS10がパッシブモードにあるとき、IPS10は、産業用制御システム12の動作においてできる限り最小限に干渉するように構成されている。したがって、ネットワークルールセット処理構成要素44は、ネットワーク監視構成要素42を通してサイバーセキュリティ監視/応答システム15にアラームを送信するように構成することができる。同様に、制御システムルールセット処理構成要素50は、制御システム監視構成要素48を通して監視ステーション14にアラームを送信するように構成することができる。IPS10がアクティブモードにあるとき、IPS10は、産業用制御システム12を積極的に保護するように構成されている。したがって、ネットワークルールセット処理構成要素44は、異常である通信パケットをフィルタリングするように構成することができ、制御システムルールセット処理構成要素50は、制御信号を送信するように構成することができる。たとえば、制御システムルールセット処理構成要素50は、検出された異常が、デバイスに予想外に動作させることになると判定する場合、デバイスの動作を中止する制御信号を送信することができる。
上述したように、IPS10は、機械学習および相関分析構成要素68をさらに含むことができる。機械学習および相関分析構成要素68は、ルールセット(たとえば、46および52)を生成することおよび修正することを容易にするように構成することができる。示す実施形態では、サイバーセキュリティ監視/応答システム15および監視ステーション14は、IPS10に偽陽性および偽陰性を通信するように構成することができる。機械学習および相関分析構成要素68は、ルールセット(たとえば、46および52)を相応して修正するように構成することができる。具体的には、示す実施形態では、サイバーセキュリティ監視/応答システム15は、ネットワークルールセット処理構成要素44にネットワーク偽陽性および偽陰性を通信し、監視ステーション14は、制御システムルールセット処理構成要素50に制御システム偽陽性および偽陰性を通信する。偽陽性および偽陰性は、その後、機械学習および相関分析構成要素68に通信される。
図4は、ルールセット(たとえば、46および52)を生成するかつ/または維持するように構成されている方法70の一実施形態を示す。IPS10が構成/訓練モードにあるとき、ルールセット(たとえば、46および52)を、モデルに基づいて生成することができる。したがって、IPS10が構成/訓練モードにあるとき、方法70は、モデルを実行する(ブロック72)ことによって始まることができる。モデルは、侵入が存在しない状態での既知の動作のセットとすることができる。次に、IPS10は、ネットワークパラメータを読み取る(ブロック74)。上述したように、ネットワークパラメータは、コントローラ16と監視ステーション14との間で通信される通信パケットを含むことができる。同様に、IPS10は、制御システムパラメータを読み取る(ブロック76)。上述したように、制御システムパラメータは、電力使用、温度、タイミング、またはデバイス(たとえば、20、22、24、26、または27)テレメトリデータなどの、デバイス監視構成要素40からの測定値を含むことができる。読み取られたネットワークパラメータおよび制御システムパラメータは、その後、ルールセット(たとえば、46および52)を生成する(ブロック78)ために使用することができる。その理由は、それらのパラメータが、侵入および/または異常が存在しない状態での予測されるパラメータを示すからである。ルールセット(たとえば、46および52)が生成されると、IPS10は、産業用制御システム12の動作を監視し、ルールセット(たとえば、46および52)に基づいて異常および/または侵入が存在するかどうかを判定することができる。
上述したように、ルールセット(たとえば、46および52)は完全でない場合がある。したがって、ルールセット(たとえば、46および52)は、その後、異常および/または侵入をよりよく検出するように維持/修正することができる。ルールセット(たとえば、46および52)は、IPS10がメンテナンスモードにあるときに修正することができる(判定ブロック82)。IPS10がメンテナンスモードにあるとき、方法70は、サイバーセキュリティ監視/応答システム15および監視ステーション14からの偽陽性および/または偽陰性があるかチェックすることができる。その後、IPS10は、再び、ネットワークパラメータを読み取り(ブロック74)、制御システムパラメータを読み取る(ブロック76)。したがって、ルールセット(たとえば、46および52)は、偽陽性、偽陰性、読み取られたネットワークパラメータ、および読み取られた制御システムパラメータに基づいて修正することができる。産業用制御システム12が何らかの侵入および/または異常を含む場合があるため、IPS10は、ベイズ分類器、サポートベクトルマシン、人工ニューラルネットワーク、または進化的/遺伝的アルゴリズムなどのアルゴリズムを使用することができる。
開示される実施形態の技術的効果は、産業用制御システム12におけるセキュリティを改善することを含む。具体的には、開示される技法は、産業用制御システム12内で起こるプロセスをよりよく理解するように構成されている侵入防止システム(IPS)10を述べる。たとえば、IPS10は、電力使用、温度、タイミング、またはテレメトリデータなどの、ネットワークパラメータと制御システムパラメータの両方を監視するように構成されている。さらに、IPS10は、産業用制御システム12のより大きなコンテキスト内でネットワークパラメータを監視するように構成することができる。最後に、IPS10は、ネットワークパラメータと制御システムパラメータの両方に基づいてルールセット(たとえば、46および52)を生成/修正するように構成することができる。
本明細書は、最良モードを含む本発明を開示するために、また同様に、任意のデバイスまたはシステムを作り使用すること、および組み込まれる任意の方法を実施することを含む、本発明を当業者が実施することを可能にするために例を使用する。本発明の特許可能な範囲は、特許請求の範囲によって規定され、当業者が思い付く他の例を含むことができる。こうした他の例は、特許請求の範囲の逐語的言語と異ならない構造的要素を有する場合、または特許請求の範囲の逐語的言語と非実質的相違を有する等価な構造的要素を含む場合、特許請求の範囲内にあることを意図される。
10 サイバーフィジカル侵入防止システム(IPS)
14 監視ステーション
15 サイバーセキュリティ監視/応答システム
16 コントローラ
18 通信ネットワークインフラストラクチャ
20 タービン
22 センサ
24 アクチュエータ
26 ポンプ
27 電気的アシスト
28 CPU
30 メモリ
32 ストレージ
34 通信
36 ネットワーク分析構成要素
38 制御システム分析構成要素
40 デバイス監視構成要素
42 ネットワーク監視構成要素
44 ネットワークルールセット処理構成要素
48 制御システム監視構成要素
50 制御システムルールセット処理構成要素
68 機械学習および相関分析構成要素

Claims (20)

  1. 制御システム挙動を測定するように構成されているデバイス監視構成要素と、
    前記デバイス監視構成要素および通信ネットワークに通信可能に結合された侵入防止システムとを備え、前記侵入防止システムは、
    前記デバイス監視構成要素によって測定された前記制御システム挙動を、第1のルールセットと対照して分析して、異常が存在するか、侵入が存在するか、または両方が存在するかを判定するように構成されている制御システム分析構成要素を含む、
    システム。
  2. 通信ネットワークからのネットワークデータを、第2のルールセットと対照して分析して、異常が起こったかどうかを判定するように構成されているネットワーク分析構成要素を備える請求項1記載のシステム。
  3. 前記制御システム挙動は、コントローラの挙動からなり、そのとき、前記デバイス監視構成要素は前記コントローラに通信可能に結合されている請求項1記載のシステム。
  4. 前記コントローラ挙動は、前記コントローラ内の構成要素の電力使用、前記コントローラ内の前記構成要素の温度、前記コントローラの動作、入力/出力のタイミング、前記コントローラに結合されたデバイスのテレメトリデータ、またはそれらの任意の組合せを含む請求項3記載のシステム。
  5. 前記コントローラ内の前記構成要素は、処理ユニット、メモリ、記憶デバイス、および通信装置を含む請求項4記載のシステム。
  6. 前記デバイス監視構成要素は、前記コントローラ内に設置される請求項3記載のシステム。
  7. 前記デバイス監視構成要素は、前記コントローラとは別個のデバイスを備える請求項3記載のシステム。
  8. 前記侵入防止システムは、別個のデバイスを備える請求項1記載のシステム。
  9. ガスタービンシステム、ガス化システム、蒸気タービンシステム、風力タービンシステム、水力タービンシステム、発電システム、電力グリッド自動化システム、またはそれらの任意の組合せからなる産業用制御システムである請求項1記載のシステム。
  10. 電子デバイスのプロセッサによって実行可能な複数の命令を記憶する有形で非一時的なコンピュータ可読媒体であって、前記命令は、
    通信パケットを受信する命令と、
    前記通信パケットがネットワークのルールセットと対照して試験される第1の試験を実施する命令と、
    制御システム測定値を受信する命令であって、前記制御システム測定値が産業用制御システムの制御システム挙動を示す、命令と、
    前記制御システム測定値が制御システムのルールと対照して試験される第2の試験を実施する命令と、
    前記第1の試験からの結果と前記第2の試験からの結果を相関させる命令と、
    前記相関データに基づいて前記産業用制御システムに異常が存在するか、侵入が存在するか、または両方が存在するかを判定する命令と
    からなる媒体。
  11. 第1の試験を実施する前記命令は、ネットワーク化分析構成要素に記憶された前記ネットワークルールと対照して前記通信パケットを試験することを含み、第2の試験を実施する前記命令は、制御システム分析構成要素に記憶された前記制御システムルールセットと対照して前記制御システム測定値を試験することを含む請求項10記載の媒体。
  12. 通信パケットを受信する前記命令は、コントローラと監視ステーションとの間で送信される通信パケットを受信することを含む請求項10記載の媒体。
  13. 前記産業用制御システムは、ガスタービンシステム、ガス化システム、蒸気タービンシステム、風力タービンシステム、水力タービンシステム、発電システム、電力グリッド自動化システム、またはそれらの任意の組合せからなる請求項10記載の媒体。
  14. 構成モードにあるときに、
    産業用制御システム上でモデル動作を実行する命令、
    通信パケットを受信する命令、
    制御システム測定値を受信する命令、ならびに、
    少なくとも、前記受信された通信パケットおよび前記受信された制御システム測定値に基づいて前記ネットワークルールセットおよび前記制御システムルールセットを生成する命令
    を含む請求項10記載の媒体。
  15. メンテナンスモードにあるときに、
    産業用制御システムを実行する命令、
    通信パケットを受信する命令、
    制御システム測定値を受信する命令、ならびに、
    少なくとも、前記受信された通信パケットおよび前記受信された制御システム測定値に基づいて前記ネットワークルールセットおよび前記制御システムルールセットを修正する命令
    を含む請求項10記載の媒体。
  16. コントローラおよび監視ステーションに通信可能に結合された侵入防止システムを備え、
    前記侵入防止システムは、前記監視ステーションと前記コントローラとの間で送信されるネットワーク通信を受信し、前記コントローラの状態、前記産業用制御システムの状態、前記コントローラに接続されたデバイス、またはそれらの任意の組合せに少なくとも部分的に基づいて、異常が存在するか、侵入が存在するか、または両方が存在するかを判定するように構成されている、
    システム。
  17. 前記コントローラの前記状態は、権限移譲状態または動作可能状態、メンテナンス状態、構成状態、緊急状態、およびセキュリティ応答状態からなる請求項16記載のシステム。
  18. 前記監視ステーションの前記状態は、権限移譲状態または動作可能状態、メンテナンス状態、構成状態、緊急状態、およびセキュリティ応答状態からなる請求項16記載のシステム。
  19. 前記コントローラに接続された前記デバイスは、タービンシステム、センサ、ポンプ、アクチュエータ、弁、変圧器、ブレーカ、スイッチ、モータ、発電機、またはそれらの任意の組合せを含む請求項16記載のシステム。
  20. ガスタービンシステム、ガス化システム、蒸気タービンシステム、風力タービンシステム、水力タービンシステム、発電システム、電力グリッド自動化システム、またはそれらの任意の組合せからなる産業用制御システムを含む請求項16記載のシステム。
JP2014040025A 2013-03-13 2014-03-03 産業用制御システムのためのインテリジェントサイバーフィジカル侵入検出および侵入防止システムならびに方法 Active JP6302283B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/801,496 2013-03-13
US13/801,496 US9405900B2 (en) 2013-03-13 2013-03-13 Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems

Publications (3)

Publication Number Publication Date
JP2014179074A true JP2014179074A (ja) 2014-09-25
JP2014179074A5 JP2014179074A5 (ja) 2017-03-30
JP6302283B2 JP6302283B2 (ja) 2018-03-28

Family

ID=50336076

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014040025A Active JP6302283B2 (ja) 2013-03-13 2014-03-03 産業用制御システムのためのインテリジェントサイバーフィジカル侵入検出および侵入防止システムならびに方法

Country Status (8)

Country Link
US (1) US9405900B2 (ja)
EP (1) EP2779569A1 (ja)
JP (1) JP6302283B2 (ja)
CN (1) CN104052730B (ja)
BR (1) BR102014004682A8 (ja)
CA (1) CA2844225C (ja)
IN (1) IN2014CH01209A (ja)
MX (1) MX2014003067A (ja)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016143397A (ja) * 2015-02-05 2016-08-08 日本電信電話株式会社 端末検知システムおよび方法
JP2017129894A (ja) * 2016-01-18 2017-07-27 三菱電機株式会社 サイバー攻撃検知システム
JP2017208598A (ja) * 2016-05-16 2017-11-24 株式会社日立製作所 不正通信検知システム及び不正通信検知方法
JP2018092606A (ja) * 2016-10-11 2018-06-14 ゼネラル・エレクトリック・カンパニイ 物理的資産を脅威に対して保護するためのシステムおよび方法
WO2018198733A1 (ja) * 2017-04-27 2018-11-01 株式会社日立製作所 セキュリティ監視システム及びセキュリティ監視方法
JP2019030218A (ja) * 2017-08-01 2019-02-21 国立大学法人電気通信大学 人型ロボットなどのサイバーフィジカルシステムにおける物理機能例外処理方式
JP2019057276A (ja) * 2017-09-19 2019-04-11 パロ アルト リサーチ センター インコーポレイテッド 冗長デバイス及びスマートコントラクトを使用して、サイバーフィジカルシステムへの攻撃を検出するための方法及びシステム
JP2019179486A (ja) * 2018-03-30 2019-10-17 日本電気株式会社 情報処理装置、制御方法、及びプログラム
JP2019205125A (ja) * 2018-05-25 2019-11-28 株式会社東芝 異常要因判定装置、制御システム、および異常要因判定方法
US11089033B2 (en) 2016-04-26 2021-08-10 Mitsubishi Electric Corporation Intrusion detection device, intrusion detection method, and computer readable medium
US11132434B2 (en) 2016-09-26 2021-09-28 Mitsubishi Electric Corporation Signal processing device, signal processing method and computer readable medium
JP2021527873A (ja) * 2018-08-17 2021-10-14 エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. プロトコルに依存しない異常検出
WO2022071056A1 (ja) * 2020-09-29 2022-04-07 ファナック株式会社 ネットワーク中継装置

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9734450B2 (en) * 2014-06-05 2017-08-15 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Data loss prevention to remove false positives
US9660994B2 (en) * 2014-09-30 2017-05-23 Schneider Electric USA, Inc. SCADA intrusion detection systems
WO2016058802A1 (en) * 2014-10-14 2016-04-21 Sicpa Holding Sa Interface with secure intermediary platform to generate data compatible with an external system in an oil and gas asset supply chain
CN104392172B (zh) * 2014-10-30 2017-07-04 北京科技大学 一种基于嵌入式的工业系统的安全检测方法及系统
US10051059B2 (en) 2015-06-05 2018-08-14 Fisher-Rosemount Systems, Inc. Methods and apparatus to control communications of endpoints in an industrial enterprise system based on integrity
CN105404607B (zh) * 2015-11-20 2018-02-13 英业达科技有限公司 通用串行输入输出的数据传输方法
JP6693114B2 (ja) * 2015-12-15 2020-05-13 横河電機株式会社 制御装置及び統合生産システム
US9979675B2 (en) * 2016-02-26 2018-05-22 Microsoft Technology Licensing, Llc Anomaly detection and classification using telemetry data
US10027699B2 (en) * 2016-03-10 2018-07-17 Siemens Aktiengesellschaft Production process knowledge-based intrusion detection for industrial control systems
CN105812371B (zh) * 2016-03-17 2019-01-25 电子科技大学 基于神经网络的dnp通信访问控制方法
US10623437B2 (en) * 2016-04-01 2020-04-14 Doble Engineering Company Secured method for testing and maintenance of bulk electrical systems (BES) assets
US11005863B2 (en) * 2016-06-10 2021-05-11 General Electric Company Threat detection and localization for monitoring nodes of an industrial asset control system
US10417425B2 (en) 2016-06-13 2019-09-17 The Trustees Of Columbia University In The City Of New York Secured cyber-physical systems
KR101972295B1 (ko) * 2016-06-23 2019-04-24 미쓰비시덴키 가부시키가이샤 침입 검지 장치 및 기억 매체에 저장된 침입 검지 프로그램
WO2018048351A1 (en) * 2016-09-07 2018-03-15 Singapore University Of Technology And Design Defense system and method against cyber-physical attacks
US10262143B2 (en) 2016-09-13 2019-04-16 The Mitre Corporation System and method for modeling and analyzing the impact of cyber-security events on cyber-physical systems
US9961089B1 (en) * 2016-10-20 2018-05-01 Mitsubishi Electric Research Laboratories, Inc. Distributed estimation and detection of anomalies in control systems
CN106506486A (zh) * 2016-11-03 2017-03-15 上海三零卫士信息安全有限公司 一种基于白名单矩阵的智能工控网络信息安全监控方法
US10678912B2 (en) 2016-11-15 2020-06-09 General Electric Company Dynamic normalization of monitoring node data for threat detection in industrial asset control system
US10417415B2 (en) * 2016-12-06 2019-09-17 General Electric Company Automated attack localization and detection
US10204226B2 (en) 2016-12-07 2019-02-12 General Electric Company Feature and boundary tuning for threat detection in industrial asset control system
US10397257B2 (en) * 2016-12-07 2019-08-27 General Electric Company Multi-mode boundary selection for threat detection in industrial asset control system
CN106773719A (zh) * 2017-01-25 2017-05-31 上海云剑信息技术有限公司 一种基于bp神经网络的工业控制系统漏洞自动挖掘方法
US10728264B2 (en) * 2017-02-15 2020-07-28 Micro Focus Llc Characterizing behavior anomaly analysis performance based on threat intelligence
CN107067619B (zh) * 2017-03-21 2020-02-11 上海斐讯数据通信技术有限公司 一种基于网络的防盗方法及系统
US10476902B2 (en) * 2017-04-26 2019-11-12 General Electric Company Threat detection for a fleet of industrial assets
DE102017214203A1 (de) 2017-08-15 2019-02-21 KSB SE & Co. KGaA Verfahren zum Schutz vor Kavitation bei Cyberangriffen und Einheit zur Durchführung des Verfahrens
JP6748785B2 (ja) * 2017-08-18 2020-09-02 日本電信電話株式会社 不正侵入防止装置、不正侵入防止方法、およびプログラム
US10686806B2 (en) * 2017-08-21 2020-06-16 General Electric Company Multi-class decision system for categorizing industrial asset attack and fault types
US10505955B2 (en) 2017-08-22 2019-12-10 General Electric Company Using virtual sensors to accommodate industrial asset control systems during cyber attacks
WO2019096545A1 (de) * 2017-11-15 2019-05-23 KSB SE & Co. KGaA Verfahren und vorrichtung zum cyberangriffsschutz von pumpenaggregaten
CN107798390B (zh) 2017-11-22 2023-03-21 创新先进技术有限公司 一种机器学习模型的训练方法、装置以及电子设备
CN108055282A (zh) * 2017-12-28 2018-05-18 国网浙江省电力有限公司电力科学研究院 基于自学习白名单的工控异常行为分析方法及系统
US10785237B2 (en) * 2018-01-19 2020-09-22 General Electric Company Learning method and system for separating independent and dependent attacks
GB2578268B (en) * 2018-01-29 2021-12-29 Ge Aviat Systems Ltd Configurable network switch for industrial control systems including deterministic networks
US10623416B2 (en) 2018-01-31 2020-04-14 International Business Machines Corporation Torrent attack detection
CN110224969A (zh) * 2018-03-01 2019-09-10 中兴通讯股份有限公司 数据的处理方法及装置
CN110224970B (zh) * 2018-03-01 2021-11-23 西门子公司 一种工业控制系统的安全监视方法和装置
EP3611587A1 (de) * 2018-08-16 2020-02-19 Siemens Aktiengesellschaft System zur steuerung und überwachung von adaptiven cyber-physikalischen systemen
US10990668B2 (en) 2018-09-17 2021-04-27 General Electric Company Local and global decision fusion for cyber-physical system abnormality detection
US11171976B2 (en) 2018-10-03 2021-11-09 Raytheon Technologies Corporation Cyber monitor segmented processing for control systems
US10956578B2 (en) 2018-10-05 2021-03-23 General Electric Company Framework for determining resilient manifolds
RU2724075C1 (ru) 2018-12-28 2020-06-19 Акционерное общество "Лаборатория Касперского" Система и способ определения источника аномалии в кибер-физической системе, обладающей определенными характеристиками
CN109766694B (zh) * 2018-12-29 2021-09-03 北京威努特技术有限公司 一种工控主机的程序协议白名单联动方法及装置
US11979419B2 (en) * 2019-04-09 2024-05-07 Siemens Aktiengesellschaft Industrial process system threat detection
US11343266B2 (en) 2019-06-10 2022-05-24 General Electric Company Self-certified security for assured cyber-physical systems
EP3751813B1 (en) * 2019-06-13 2023-03-22 ABB Schweiz AG Device and method for performing threat detection and/or mitigation
CN113958377B (zh) * 2020-07-03 2023-04-07 东方电气股份有限公司 一种汽轮机网络安全实时在线监测系统及方法
JP7438915B2 (ja) * 2020-11-05 2024-02-27 株式会社東芝 情報処理装置、プログラムおよび情報処理システム
WO2022177991A1 (en) * 2021-02-16 2022-08-25 Ap Cyber Llc Firewall gateway device and related methods for protecting distributed energy resources and other operational technologies against cyberattacks
US11790081B2 (en) 2021-04-14 2023-10-17 General Electric Company Systems and methods for controlling an industrial asset in the presence of a cyber-attack
CN114137934A (zh) * 2021-11-23 2022-03-04 国网江西省电力有限公司电力科学研究院 一种具有入侵检测功能的工业控制系统及检测方法
CN114884754B (zh) * 2022-07-11 2022-09-23 深圳特科动力技术有限公司 一种智能分析来实现故障预知的网络安防系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110288692A1 (en) * 2010-05-20 2011-11-24 Accenture Global Services Gmbh Malicious attack detection and analysis

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL106617A (en) 1993-08-08 1995-06-29 Israel State Intrusion detector
US6980927B2 (en) 2002-11-27 2005-12-27 Telos Corporation Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing continuous risk assessment
US7657939B2 (en) 2005-03-14 2010-02-02 International Business Machines Corporation Computer security intrusion detection system for remote, on-demand users
AU2006246278A1 (en) 2005-05-13 2006-11-16 Cryptomill Cryptographic control for mobile storage means
WO2006119641A2 (en) 2005-05-13 2006-11-16 Cryptomill Content cryptographic firewall system
US7966659B1 (en) * 2006-04-18 2011-06-21 Rockwell Automation Technologies, Inc. Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like
CN101610587B (zh) * 2009-07-13 2011-12-07 中兴通讯股份有限公司 一种基于tdd制式的数据传输方法和装置
US8112521B2 (en) 2010-02-25 2012-02-07 General Electric Company Method and system for security maintenance in a network
US8656492B2 (en) 2011-05-16 2014-02-18 General Electric Company Systems, methods, and apparatus for network intrusion detection
US8949668B2 (en) 2011-05-23 2015-02-03 The Boeing Company Methods and systems for use in identifying abnormal behavior in a control system including independent comparisons to user policies and an event correlation model
US20130086680A1 (en) 2011-09-30 2013-04-04 General Electric Company System and method for communication in a network
US20130086635A1 (en) 2011-09-30 2013-04-04 General Electric Company System and method for communication in a network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110288692A1 (en) * 2010-05-20 2011-11-24 Accenture Global Services Gmbh Malicious attack detection and analysis

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016143397A (ja) * 2015-02-05 2016-08-08 日本電信電話株式会社 端末検知システムおよび方法
JP2017129894A (ja) * 2016-01-18 2017-07-27 三菱電機株式会社 サイバー攻撃検知システム
US11089033B2 (en) 2016-04-26 2021-08-10 Mitsubishi Electric Corporation Intrusion detection device, intrusion detection method, and computer readable medium
JP2017208598A (ja) * 2016-05-16 2017-11-24 株式会社日立製作所 不正通信検知システム及び不正通信検知方法
US10341294B2 (en) 2016-05-16 2019-07-02 Hitachi, Ltd. Unauthorized communication detection system and unauthorized communication detection method
US11132434B2 (en) 2016-09-26 2021-09-28 Mitsubishi Electric Corporation Signal processing device, signal processing method and computer readable medium
JP2018092606A (ja) * 2016-10-11 2018-06-14 ゼネラル・エレクトリック・カンパニイ 物理的資産を脅威に対して保護するためのシステムおよび方法
JP7123541B2 (ja) 2016-10-11 2022-08-23 ゼネラル・エレクトリック・カンパニイ 物理的資産を脅威に対して保護するためのシステム
WO2018198733A1 (ja) * 2017-04-27 2018-11-01 株式会社日立製作所 セキュリティ監視システム及びセキュリティ監視方法
JP2019030218A (ja) * 2017-08-01 2019-02-21 国立大学法人電気通信大学 人型ロボットなどのサイバーフィジカルシステムにおける物理機能例外処理方式
JP7026028B2 (ja) 2017-09-19 2022-02-25 パロ アルト リサーチ センター インコーポレイテッド 冗長デバイス及びスマートコントラクトを使用して、サイバーフィジカルシステムへの攻撃を検出するための方法及びシステム
JP2019057276A (ja) * 2017-09-19 2019-04-11 パロ アルト リサーチ センター インコーポレイテッド 冗長デバイス及びスマートコントラクトを使用して、サイバーフィジカルシステムへの攻撃を検出するための方法及びシステム
JP2019179486A (ja) * 2018-03-30 2019-10-17 日本電気株式会社 情報処理装置、制御方法、及びプログラム
JP7071876B2 (ja) 2018-05-25 2022-05-19 株式会社東芝 制御システム、および異常要因判定方法
JP2019205125A (ja) * 2018-05-25 2019-11-28 株式会社東芝 異常要因判定装置、制御システム、および異常要因判定方法
JP2021527873A (ja) * 2018-08-17 2021-10-14 エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. プロトコルに依存しない異常検出
JP7086230B2 (ja) 2018-08-17 2022-06-17 エヌイーシー ラボラトリーズ アメリカ インク プロトコルに依存しない異常検出
WO2022071056A1 (ja) * 2020-09-29 2022-04-07 ファナック株式会社 ネットワーク中継装置

Also Published As

Publication number Publication date
MX2014003067A (es) 2014-09-16
BR102014004682A8 (pt) 2016-06-21
CN104052730A (zh) 2014-09-17
US9405900B2 (en) 2016-08-02
CA2844225A1 (en) 2014-09-13
EP2779569A1 (en) 2014-09-17
JP6302283B2 (ja) 2018-03-28
US20140283047A1 (en) 2014-09-18
IN2014CH01209A (ja) 2015-05-29
CN104052730B (zh) 2019-07-02
BR102014004682A2 (pt) 2016-02-02
CA2844225C (en) 2020-12-29

Similar Documents

Publication Publication Date Title
JP6302283B2 (ja) 産業用制御システムのためのインテリジェントサイバーフィジカル侵入検出および侵入防止システムならびに方法
Liu et al. Intruders in the grid
Sridhar et al. Cyber–physical system security for the electric power grid
Radoglou-Grammatikis et al. Spear siem: A security information and event management system for the smart grid
Urbina et al. Survey and new directions for physics-based attack detection in control systems
US11689544B2 (en) Intrusion detection via semantic fuzzing and message provenance
Parvania et al. Hybrid control network intrusion detection systems for automated power distribution systems
US20160330225A1 (en) Systems, Methods, and Devices for Detecting Anomalies in an Industrial Control System
Parthasarathy et al. Bloom filter based intrusion detection for smart grid SCADA
CN105763392A (zh) 一种基于协议状态的工控协议模糊测试方法
Chavez et al. Hybrid intrusion detection system design for distributed energy resource systems
Yang et al. iFinger: Intrusion detection in industrial control systems via register-based fingerprinting
Chen et al. Cybersecurity of wide area monitoring, protection, and control systems for HVDC applications
Albarakati et al. Security monitoring of IEC 61850 substations using IEC 62351-7 network and system management
McParland et al. Monitoring security of networked control systems: It's the physics
Genge et al. A connection pattern-based approach to detect network traffic anomalies in critical infrastructures
Caselli et al. Modeling message sequences for intrusion detection in industrial control systems
Rajesh et al. Detection and blocking of replay, false command, and false access injection commands in scada systems with modbus protocol
Nicholson et al. Position paper: Safety and security monitoring in ics/scada systems
Akbarian et al. A security framework in digital twins for cloud-based industrial control systems: Intrusion detection and mitigation
Flosbach et al. Architecture and prototype implementation for process-aware intrusion detection in electrical grids
Genge et al. An experimental study on the impact of network segmentation to the resilience of physical processes
Havlena et al. Accurate Automata-Based Detection of Cyber Threats in Smart Grid Communication
Hill et al. Using bro with a simulation model to detect cyber-physical attacks in a nuclear reactor
Leao et al. Machine learning-based false data injection attack detection and localization in power grids

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170223

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170223

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180302

R150 Certificate of patent or registration of utility model

Ref document number: 6302283

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250