JP2014179074A - 産業用制御システムのためのインテリジェントサイバーフィジカル侵入検出および侵入防止システムならびに方法 - Google Patents
産業用制御システムのためのインテリジェントサイバーフィジカル侵入検出および侵入防止システムならびに方法 Download PDFInfo
- Publication number
- JP2014179074A JP2014179074A JP2014040025A JP2014040025A JP2014179074A JP 2014179074 A JP2014179074 A JP 2014179074A JP 2014040025 A JP2014040025 A JP 2014040025A JP 2014040025 A JP2014040025 A JP 2014040025A JP 2014179074 A JP2014179074 A JP 2014179074A
- Authority
- JP
- Japan
- Prior art keywords
- control system
- controller
- instructions
- network
- rule set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002265 prevention Effects 0.000 title claims abstract description 23
- 238000000034 method Methods 0.000 title abstract description 23
- 238000001514 detection method Methods 0.000 title description 2
- 238000012544 monitoring process Methods 0.000 claims abstract description 73
- 238000004891 communication Methods 0.000 claims abstract description 61
- 238000012545 processing Methods 0.000 claims description 30
- 238000005259 measurement Methods 0.000 claims description 21
- 230000004044 response Effects 0.000 claims description 16
- 230000006399 behavior Effects 0.000 claims description 15
- 238000012360 testing method Methods 0.000 claims description 14
- 238000012423 maintenance Methods 0.000 claims description 6
- 238000003012 network analysis Methods 0.000 claims description 6
- 238000010248 power generation Methods 0.000 claims description 5
- ZZUFCTLCJUWOSV-UHFFFAOYSA-N furosemide Chemical compound C1=C(Cl)C(S(=O)(=O)N)=CC(C(O)=O)=C1NCC1=CC=CO1 ZZUFCTLCJUWOSV-UHFFFAOYSA-N 0.000 claims description 4
- 238000002309 gasification Methods 0.000 claims description 4
- 230000009471 action Effects 0.000 claims description 3
- 238000012546 transfer Methods 0.000 claims 2
- 230000008569 process Effects 0.000 description 10
- 238000010219 correlation analysis Methods 0.000 description 7
- 238000010801 machine learning Methods 0.000 description 7
- 230000005856 abnormality Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000020169 heat generation Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000002485 combustion reaction Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 238000005293 physical law Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02B—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO BUILDINGS, e.g. HOUSING, HOUSE APPLIANCES OR RELATED END-USER APPLICATIONS
- Y02B70/00—Technologies for an efficient end-user side electric power management and consumption
- Y02B70/30—Systems integrating technologies related to power network operation and communication or information technologies for improving the carbon footprint of the management of residential or tertiary loads, i.e. smart grids as climate change mitigation technology in the buildings sector, including also the last stages of power distribution and the control, monitoring or operating management systems at local level
- Y02B70/34—Smart metering supporting the carbon neutral operation of end-user applications in buildings
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S20/00—Management or operation of end-user stationary applications or the last stages of power distribution; Controlling, monitoring or operating thereof
- Y04S20/30—Smart metering, e.g. specially adapted for remote reading
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
Abstract
【課題】システムおよび方法を提供すること。
【解決手段】一実施形態では、システムは、制御システム挙動を測定するように構成されているデバイス監視構成要素と、デバイス監視構成要素および通信ネットワークに通信可能に結合された侵入防止システムとを含む。侵入防止システムは、デバイス監視構成要素によって測定された制御システム挙動を、第1のルールセットと対照して分析して、異常が存在するか、侵入が存在するか、または両方が存在するかを判定するように構成されている制御システム分析構成要素を含む。
【選択図】図1
【解決手段】一実施形態では、システムは、制御システム挙動を測定するように構成されているデバイス監視構成要素と、デバイス監視構成要素および通信ネットワークに通信可能に結合された侵入防止システムとを含む。侵入防止システムは、デバイス監視構成要素によって測定された制御システム挙動を、第1のルールセットと対照して分析して、異常が存在するか、侵入が存在するか、または両方が存在するかを判定するように構成されている制御システム分析構成要素を含む。
【選択図】図1
Description
本開示は、制御システムの物理的挙動を監視することによって、制御システムにおけるセキュリティ侵害を検出する侵入防止システム(intrusion prevention system)(IPS)に関する。
一般に、IPSは、制御システム内でネットワーク通信を監視することによって、産業用制御システムなどの制御システム内へのデジタル侵入を検出および/または防止するように構成することができる。具体的には、ネットワークIPSは、ネットワークパラメータに基づいて侵入および/または異常の指標を探すことができる。たとえば、ネットワークIPSは、ネットワークトラフィック、ファイルシステムアクセス/修正、またはオペレーティングシステム/ライブラリコールなどのパラメータを監視することができる。その後、監視されるパラメータをルールセットと比較して、制御システムに侵入および/または異常が存在するかどうかを判定することができる。
侵入と呼ばれるセキュリティ侵害は、権限のないパーティが、産業用制御システムなどの制御システムにアクセスすることを可能にし、システム内で予期しない挙動を引き起すおそれがある。たとえば、侵入は、システムに、要求されていなかったプロセスを実施させる場合がある。産業用制御システムは、タービン、発電機、圧縮機、または燃焼器などのデバイスを含むことができるため、ネットワークパラメータの範囲を超えて産業用制御システム内のセキュリティを改善することは有利であるであろう。
最初に特許請求される本発明と範囲が一致するいくつかの実施形態が以下で要約される。これらの実施形態は、特許請求される本発明の範囲を制限するように意図されるのではなく、むしろ、これらの実施形態は、本発明の考えられる形態の簡潔な要約を提供するように意図されるにすぎない。実際には、本発明は、以下で述べる実施形態と類似していても、または異なっていてもよい種々の形態を包含することができる。
第1の実施形態は、システムを提供し、システムは、制御システム挙動を測定するように構成されているデバイス監視構成要素と、デバイス監視構成要素および通信ネットワークに通信可能に結合された侵入防止システムとを含む。侵入防止システムは、制御システム分析構成要素を備え、制御システム分析構成要素は、デバイス監視構成要素によって測定された制御システム挙動を、第1のルールセットと対照して分析して、異常が存在するか、侵入が存在するか、または両方が存在するかを判定するように構成されている。
第2の実施形態は、電子デバイスのプロセッサによって実行可能な複数の命令を記憶する有形で非一時的なコンピュータ可読媒体を提供する。命令は、通信パケットを受信する命令と、通信パケットがネットワークルールセットと対照して試験される第1の試験を実施する命令と、制御システム測定値を受信する命令であって、制御システム測定値が産業用制御システムの制御システム挙動を示す、命令と、制御システム測定値が制御システムルールと対照して試験される第2の試験を実施する命令と、第1の試験からの結果と第2の試験からの結果を相関させる命令と、相関データに基づいて産業用制御システムに異常が存在するか、侵入が存在するか、または両方が存在するかを判定する命令からなる。
第3の実施形態は、コントローラおよび監視ステーションに通信可能に結合された侵入防止システムを含むシステムを提供する。侵入防止システムは、監視ステーションとコントローラとの間で送信されるネットワーク通信を受信し、コントローラの状態、産業用制御システムの状態、コントローラに接続されたデバイス、またはそれらの任意の組合せに少なくとも部分的に基づいて、異常が存在するか、侵入が存在するか、または両方が存在するかを判定するように構成されている。
本発明のこれらのまた他の特徴、態様、および利点は、以下の詳細な説明が添付図面を参照して読まれるとよりよく理解されるであろう。添付図面では、同じ符号は、図面全体を通して同じ部品を示す。
本発明の1つまたは複数の特定の実施形態が以下で述べられる。これらの実施形態の簡潔な説明を提供しようとして、実際の実装形態の全ての特徴が本明細書で述べられない可能性がある。任意のこうした実際の実装形態の開発において、任意の工学および設計プロジェクトの場合と同様に、実装形態ごとに変動する場合がある、システム関連制約およびビジネス関連制約の遵守などの開発者の固有の目的を達成するために、多数の実装形態固有の決定が行われなければならないことが認識されるべきである。さらに、こうした開発努力は複雑でかつ時間がかかる可能性があるが、それでも、本開示の利益を受ける当業者にとって、設計、作製、および製造の日常的な仕事であることになることが認識されるべきである。
本発明の種々の実施形態の要素を導入するとき、冠詞「ある(a)」、「ある(an)」、「その(the)」、または「前記(said)」は、要素の1つまたは複数が存在することを意味することが意図される。用語「備える(comprising)」、「含む(including)」、または「有する(having)」は、包含的であり、挙げた要素以外のさらなる要素が存在する可能性があることを意味することが意図される。
本開示は、一般に、侵入が産業用制御システムに入る可能性を低減するように構成することができる、産業用制御システムなどの制御システム内に配設された侵入防止システム(IPS)を対象とする。本明細書で使用されるように、侵入は、産業用制御システムに入る可能性があるデジタルセキュリティ侵害を指す。侵入は、産業用制御システムに入ると、産業用制御システム内で異常を引き起す場合がある。換言すれば。侵入は、産業用制御システム内で予期しない挙動を引き起す場合がある。たとえば、侵入は、産業用制御システムに、要求されなかったデータを、ネットワーク接続を通して送信させる場合がある。そのため、侵入を低減するように設計されたシステムは、ネットワークトラフィック、ファイルシステムアクセス/修正、またはオペレーティングシステム/ライブラリコールなどの、産業用制御システム内のネットワークパラメータを監視するように構成することができる。しかし、産業用制御システム内のさらなるパラメータを、産業用制御システムのセキュリティを改善するために監視することができる。
したがって、本開示は、システムを提供し、システムは、制御システム挙動を測定するように構成されているデバイス監視構成要素と、デバイス監視構成要素および通信ネットワークに通信可能に結合された侵入防止システムとを含む。侵入防止システムは、制御システム分析構成要素を備え、制御システム分析構成要素は、デバイス監視構成要素によって測定された制御システム挙動を、ルールセットと対照して分析して、異常が起こったかどうかを判定するように構成されている。換言すれば、ネットワークパラメータを監視することに加えて、開示される技法はまた、フィジカルパラメータを監視して、産業用制御システムをよりよく理解し、産業用制御システム内に異常および/または侵入が存在するかどうかをよりよく判定する。
導入として、図1は、産業用制御システム12内の侵入防止システム(IPS)10の実施形態を示す。自動化発電システム(たとえば、ガス、蒸気、風力、または水力タービン、熱回収蒸気発生器(heat recovery steam generator)(HRSG)、ガス化システム、燃焼システム、電気発電機、電力グリッド自動化システム、または同様の自動化発電システム)、または自動化製造システム(たとえば、化学プラント、製油所、または同様な製造システム)などの産業用制御システム12は、監視ステーション14、サイバーセキュリティ監視/応答システム15、コントローラ16、デバイス、および通信ネットワーク18を含むことができる。
監視ステーション14およびコントローラ16は、通信ネットワーク18を通して通信パケットを送信するように構成することができる。具体的には、通信パケットは、制御コマンドおよび/またはデータを含むことができる。Modbusリモート端末ユニット(remote terminal unit)(RTU)、Profibus、Conitel、国際電気標準会議(international Electrotechnical Commission)(IEC)60870−5−101、IEC60870−5−104、IEC61850、分散ネットワークプロトコル(Distributed Network Protocol)(DNP)3、または同様なものの種々のプロトコルが、通信ネットワーク18によって使用され得る。プロトコルの一部は、産業用制御システムがインターネットを通じてアクセス可能であることを可能にすることができる伝送制御プロトコルおよびインターネットプロトコル(TCP/IP)拡張版を含むことができる。したがって、産業用制御システム12内への侵入のための1つのエントリポイントは、通信ネットワーク18にある場合がある。
さらに、コントローラ16は、タービン20、センサ22、アクチュエータ24、ポンプ26などの種々のデバイスを制御するように構成することができる。さらに、サブステーション構成では、コントローラ16は、変圧器、ブレーカ、スイッチ、モータ、または発電機などの電力機器のための保護、制御、および調量(metering)機能を提供するように構成されているインテリジェント電子デバイスとすることができる。したがって、コントローラ16は、処理ユニット28、メモリ30、記憶デバイス32、およびデバイスと通信するように構成されている通信装置34を含むことができる。そのため、侵入用の別のエントリポイントは、デバイスに直接入ることであるとすることができる。侵入用の他のエントリポイントは、コントローラ16または監視ステーション14に直接入ることであるとすることができる。
示す産業用制御システム12はまた、IPS10を含む。IPS10は、コンピューティングデバイス(たとえば、コンピュータ、サーバ、ラップトップ、タブレット、携帯電話、モバイルデバイス、または同様の処理もしくはコンピューティングデバイス)で、あるいはコントローラ16のメモリ30、監視ステーション14、コントローラ16の記憶デバイス32、またはその組合せなどの機械可読媒体に記憶される実行可能で非一時的なコンピュータ命令もしくはコードで実装することができる。ネットワークパラメータを監視することに加えて、IPS10は、異常および/または侵入が存在するかどうかを判定するために制御システム(すなわち、物理的)パラメータを監視するように構成することができる。IPS10は、デバイスとの通信、熱発生、または電力使用などの制御システムパラメータを監視するように構成することができ、その理由は、それらのパラメータが、産業用制御システム12内で起こっているプロセスの正確な表現である場合があるからである。換言すれば、制御システムパラメータは、概して、回避するのがより難しい場合がある物理的法則に基づいている。たとえば、プロセッサの温度が、プロセッサが実施しているプロセスに関連する場合があるため、温度を監視することは、侵入によって引き起されるようなさらなるプロセスをプロセッサが実施しているかどうかを、IPS10が知ることを可能にする。したがって、IPSは、ネットワーク分析構成要素36および制御システム分析構成要素38を含む。
ネットワーク分析構成要素36は、ネットワークトラフィック、ファイルシステムアクセス/修正、またはオペレーティングシステム/ライブラリコールなどの、通信ネットワーク30を通じて送信される通信パケットのネットワークパラメータを分析して、異常および/または侵入が存在するかどうかを判定するように構成することができる。したがって、ネットワーク分析構成要素36は、通信ネットワーク18に結合し、通信ネットワーク18を通して送信される通信パケットを受信するように構成することができる。
同様に、制御システム分析構成要素38は、デバイスとの通信、熱発生、または電力使用などの制御システムパラメータを分析して、異常および/または侵入が起こったかどうかを判定するように構成することができる。そのため、IPS10は、コントローラ16およびコントローラ16によって制御されるデバイス(たとえば、タービン20、センサ22、アクチュエータ24、ポンプ26、または電気的アシスト27)の制御システム(すなわち、物理的)パラメータを監視し測定するように構成されているデバイス監視構成要素40をさらに含むことができる。したがって、デバイス監視構成要素40は、コントローラ16に通信可能に結合することができる。示す実施形態では、デバイス監視構成要素40は、コントローラ16内に配置され、処理ユニット28、メモリ30、記憶デバイス32、および通信装置34に直接結合する。代替的に、デバイス監視構成要素40は、別個のコンピューティングデバイスで、またはコントローラ16のメモリ30、監視ステーション14、コントローラ16の記憶デバイス32、もしくはその組合せなどの機械可読媒体に記憶される実行可能で非一時的なコンピュータ命令で実装することができる。
上述したように、デバイス監視構成要素40は、制御システム(すなわち、物理的)パラメータを測定するように構成することができる。測定された制御システム(すなわち、物理的)パラメータは、産業用制御システム12の動作の物理的結果である。したがって、それらのパラメータは、産業用制御システム12内で起こるプロセスの指標を提供することができる。たとえば、デバイス監視構成要素40は、処理ユニット28の電力使用または温度を測定することができる、通信装置34とデバイス(たとえば、タービン20、センサ22、アクチュエータ24、ポンプ26、または電気的アシスト27)との間の通信活動を測定することができる、またはコントローラ16によって実施されるプロセスのタイミングを測定することができる。測定された制御システムパラメータは、その後、制御システム分析構成要素38に送信され、制御システムルールセットと対照して分析されて、異常および/または侵入が存在するかどうかを判定することができる。
上述したように、産業用制御システム12内への侵入は、産業用制御システム12内で予期しない挙動または異常を引き起す場合がある。異常が検出されると、IPS10は、アラームを通して監視ステーション14および/またはサイバーセキュリティ監視/応答システム15に異常を通信することができる。監視ステーション14および/またはサイバーセキュリティ監視/応答システム15は、報告された異常を相関させる中央システムとして働くように構成することができる。さらに、両者は、オペレータが異常をさらに調査することを可能にするヒューマンマシンインタフェース(human-machine interface)(HMI)を含むことができる。サイバーセキュリティ監視/応答システム15上のオペレータは、異常が実際には偽陽性であると判定し、ネットワークルールセットを相応して変更することができる。さらに、オペレータは、検出された異常に対する応答を決定することができる。換言すれば、オペレータは、異常を回復させる対応策をとるよう産業用制御システム12に指示することができる。いくつかの実施形態では、応答は、自動的に決定され、産業用制御システム12に通信され得る。
図2は、図1に示す侵入防止システム(IPS)10の一実施形態を示す。示す実施形態では、ネットワーク分析構成要素36は、ネットワーク監視構成要素42、およびネットワークルールセット46を含むネットワークルールセット処理構成要素44を含む。同様に、制御システム分析構成要素38は、制御システム監視構成要素48、および制御システムルールセット52を含む制御システムルールセット処理構成要素50を含む。
上述したように、IPS10は、通信ネットワーク18から通信パケットを、また、デバイス監視構成要素40から制御システム測定値を受信するように構成されている。通信パケットは、最初に、ネットワーク監視構成要素42を通してIPS10に入ることができる。ネットワーク監視構成要素42は、IPS10に対するゲートウェイとして働くように構成することができる。通信パケットは、その後、ネットワークルールセット処理構成要素44に渡される。ネットワークルールセット処理構成要素44は、ネットワークルールセット46と対照して通信パケットを分析して、ネットワーク異常および/または侵入が存在するかどうかを判定するように構成することができる。同様に、制御システム測定値は、最初に、制御システム監視構成要素48を通してIPS10に入り、その後、制御システムルールセット処理構成要素50に渡される。制御システムルールセット処理構成要素50は、制御システムルールセット52と対照して制御システム測定値を分析して、制御システム異常および/または侵入が存在するかどうかを判定するように構成することができる。
図3は、異常および/または侵入が存在するかどうかを判定するために、IPS10によって使用される方法54の一実施形態を示す。方法54は、ネットワーク監視構成要素42が通信ネットワーク18から通信パケットを受信する(ブロック56)ことで始まることができる。上述したように、通信パケットは、監視ステーション14とコントローラ16との間の制御コマンドおよび/またはデータを含むことができる。制御コマンドは、ファイルシステムアクセス/修正、アプリケーション/プロセスコール、オペレーティングシステムコール、ライブラリコール、またはそれらの任意の組合せを含むことができる。データは、コントローラ16に結合されたセンサ22などのデバイスによって得られる測定値を含むことができる。
次に、ネットワークルールセット処理構成要素44は、ネットワークルールセット46と対照して、受信されたパケットを試験して(ブロック58)、ネットワーク異常および/または侵入が存在するとネットワークルールセット処理構成要素44が考えるかどうかを判定することができる。ネットワークルールセット46は、ホワイトリストおよびブラックリストを含むように構成することができる。ホワイトリストは、侵入に関連しないとIPS10が考える通信パケットのリストとすることができ、ブラックリストは、侵入に関連するとIPS10が考える通信パケットのリストとすることができる。通信パケットがホワイトリストにもブラックリストにも入らない事例では、侵入が存在するかどうかIPS10が不確かであるため、通信パケットをネットワーク異常として分類することができる。
さらに、通信パケットをよりよく特徴付けるため、ネットワークルールセット処理構成要素44は、ネットワーク通信をコンテキスト的に観察するように構成することができる。換言すれば、ネットワークルールセット処理構成要素44は、コントローラの状態、産業用制御システムの状態、コントローラに接続されたデバイス、またはそれらの任意の組合せを少なくとも部分的に観察するように構成することができる。たとえば、デバイス(たとえば、タービン20、センサ22、アクチュエータ24、ポンプ26、または電気的アシスト27)が権限移譲状態(commissioned state)にあるとき、デバイスは、動作可能状態であり、構成に対する変更がほとんど行われるべきでない。したがって、通信パケットが、電気保護設定などの構成を変更しようとしているとネットワークルールセット処理構成要素44が判定するとき、通信パケットをネットワーク異常として特定することができる。比較してみると、デバイスが構成状態にあるとき、デバイスが構成されることを可能にする、構成に対するより多くの変更が許容されるべきである。他の状態は、メンテナンス状態、緊急状態、またはセキュリティ応答状態を含むことができる。同様に、通信パケットがタービン20などのデバイスのために意図されるが、タービン20が産業用制御システム12内に存在しない場合、ネットワークルールセット処理構成要素44は、通信パケットをネットワーク異常として特定することができる。
方法54は、引き続き、制御システム監視構成要素48がデバイス監視構成要素40から制御システム測定値を受信する(ブロック60)ことを行うことができる。上述したように、デバイス監視構成要素40は、コントローラ内の構成要素の電力使用、コントローラ内の構成要素の温度、コントローラの動作、入力/出力のタイミング、コントローラに結合したデバイスのテレメトリデータ、またはそれらの任意の組合せなどの、制御システム(すなわち、物理的)測定を産業用制御システム12上で行うように構成することができる。たとえば、デバイス監視構成要素40は、処理ユニット28の電力使用または温度を測定することができる、通信装置34とデバイス(たとえば、タービン20、センサ22、アクチュエータ24、ポンプ26、または電気的アシスト27)との間の通信活動を測定することができる、またはコントローラ16によって実施されるプロセスのタイミングを測定することができる。さらに、デバイス監視構成要素40は、タービン20が回転する速度などのデバイスのテレメトリデータを測定することができる。測定されたパラメータが、プロセスが産業用制御システム内で起こっていることを示すことが認識されるべきである。
次に、制御システムルールセット処理構成要素50は、制御システムルールセット52と対照して、受信された測定値を試験して(ブロック62)、制御システム異常および/または侵入が存在すると制御システムルールセット処理構成要素50が考えるかどうかを判定することができる。やはり、制御システムルールセット52は、ホワイトリストおよびブラックリストを含むように構成することができる。ホワイトリストは、制御システム異常が存在しないときの、測定されたパラメータについての適切な測定範囲を含むことができる。ブラックリストは、満たされると、侵入を表明することができる閾値を含むことができる。測定値が、ホワイトリスト範囲内に入らないかまたはブラックリスト閾値を超えるとき、測定値は制御システム異常として分類され得ることが認識されるべきである。
ブロック58およびブロック62からの結果は、その後、IPS10内の機械学習および相関分析構成要素68で相関されて(ブロック64)、侵入および/または異常が存在するかどうかを判定する(ブロック66)ことができる。認識されるはずであるが、ルールセット(たとえば、46および52)は、完全ではなく、偽陽性を返すかまたは異常を完全に見逃す場合(すなわち、偽陰性)がある。したがって、産業用制御システム12のより正確な表現を達成するために、機械学習および相関分析構成要素68は、ネットワーク異常、制御システム異常、および侵入を相関させて、異常または侵入が存在すると構成要素68が考えるかどうかを判定することができる。2つのルールセット(たとえば、46および52)を使用することが、偽陽性ならびに異常および/または侵入の見逃しの可能性を低くする場合があるため、産業用制御システム12の侵入および/または異常のより正確な検出が達成される。したがって、ルールセット(たとえば、46および52)に厳密に従う代わりに、異常および/または侵入を検出するときに、より大きな余裕を持つことができる。
図2に戻ると、異常が検出されると、監視ステーション14および/またはサイバーセキュリティ監視/応答システム15による応答に加えて、IPS10自体が、さらなる対応策をとることができる。ネットワークルールセット処理構成要素44および制御システムルールセット処理構成要素50によってとられる次の対応策は、IPS10がどんなモードにあるかに依存する場合がある。具体的には、IPS10がパッシブモードにあるとき、IPS10は、産業用制御システム12の動作においてできる限り最小限に干渉するように構成されている。したがって、ネットワークルールセット処理構成要素44は、ネットワーク監視構成要素42を通してサイバーセキュリティ監視/応答システム15にアラームを送信するように構成することができる。同様に、制御システムルールセット処理構成要素50は、制御システム監視構成要素48を通して監視ステーション14にアラームを送信するように構成することができる。IPS10がアクティブモードにあるとき、IPS10は、産業用制御システム12を積極的に保護するように構成されている。したがって、ネットワークルールセット処理構成要素44は、異常である通信パケットをフィルタリングするように構成することができ、制御システムルールセット処理構成要素50は、制御信号を送信するように構成することができる。たとえば、制御システムルールセット処理構成要素50は、検出された異常が、デバイスに予想外に動作させることになると判定する場合、デバイスの動作を中止する制御信号を送信することができる。
上述したように、IPS10は、機械学習および相関分析構成要素68をさらに含むことができる。機械学習および相関分析構成要素68は、ルールセット(たとえば、46および52)を生成することおよび修正することを容易にするように構成することができる。示す実施形態では、サイバーセキュリティ監視/応答システム15および監視ステーション14は、IPS10に偽陽性および偽陰性を通信するように構成することができる。機械学習および相関分析構成要素68は、ルールセット(たとえば、46および52)を相応して修正するように構成することができる。具体的には、示す実施形態では、サイバーセキュリティ監視/応答システム15は、ネットワークルールセット処理構成要素44にネットワーク偽陽性および偽陰性を通信し、監視ステーション14は、制御システムルールセット処理構成要素50に制御システム偽陽性および偽陰性を通信する。偽陽性および偽陰性は、その後、機械学習および相関分析構成要素68に通信される。
図4は、ルールセット(たとえば、46および52)を生成するかつ/または維持するように構成されている方法70の一実施形態を示す。IPS10が構成/訓練モードにあるとき、ルールセット(たとえば、46および52)を、モデルに基づいて生成することができる。したがって、IPS10が構成/訓練モードにあるとき、方法70は、モデルを実行する(ブロック72)ことによって始まることができる。モデルは、侵入が存在しない状態での既知の動作のセットとすることができる。次に、IPS10は、ネットワークパラメータを読み取る(ブロック74)。上述したように、ネットワークパラメータは、コントローラ16と監視ステーション14との間で通信される通信パケットを含むことができる。同様に、IPS10は、制御システムパラメータを読み取る(ブロック76)。上述したように、制御システムパラメータは、電力使用、温度、タイミング、またはデバイス(たとえば、20、22、24、26、または27)テレメトリデータなどの、デバイス監視構成要素40からの測定値を含むことができる。読み取られたネットワークパラメータおよび制御システムパラメータは、その後、ルールセット(たとえば、46および52)を生成する(ブロック78)ために使用することができる。その理由は、それらのパラメータが、侵入および/または異常が存在しない状態での予測されるパラメータを示すからである。ルールセット(たとえば、46および52)が生成されると、IPS10は、産業用制御システム12の動作を監視し、ルールセット(たとえば、46および52)に基づいて異常および/または侵入が存在するかどうかを判定することができる。
上述したように、ルールセット(たとえば、46および52)は完全でない場合がある。したがって、ルールセット(たとえば、46および52)は、その後、異常および/または侵入をよりよく検出するように維持/修正することができる。ルールセット(たとえば、46および52)は、IPS10がメンテナンスモードにあるときに修正することができる(判定ブロック82)。IPS10がメンテナンスモードにあるとき、方法70は、サイバーセキュリティ監視/応答システム15および監視ステーション14からの偽陽性および/または偽陰性があるかチェックすることができる。その後、IPS10は、再び、ネットワークパラメータを読み取り(ブロック74)、制御システムパラメータを読み取る(ブロック76)。したがって、ルールセット(たとえば、46および52)は、偽陽性、偽陰性、読み取られたネットワークパラメータ、および読み取られた制御システムパラメータに基づいて修正することができる。産業用制御システム12が何らかの侵入および/または異常を含む場合があるため、IPS10は、ベイズ分類器、サポートベクトルマシン、人工ニューラルネットワーク、または進化的/遺伝的アルゴリズムなどのアルゴリズムを使用することができる。
開示される実施形態の技術的効果は、産業用制御システム12におけるセキュリティを改善することを含む。具体的には、開示される技法は、産業用制御システム12内で起こるプロセスをよりよく理解するように構成されている侵入防止システム(IPS)10を述べる。たとえば、IPS10は、電力使用、温度、タイミング、またはテレメトリデータなどの、ネットワークパラメータと制御システムパラメータの両方を監視するように構成されている。さらに、IPS10は、産業用制御システム12のより大きなコンテキスト内でネットワークパラメータを監視するように構成することができる。最後に、IPS10は、ネットワークパラメータと制御システムパラメータの両方に基づいてルールセット(たとえば、46および52)を生成/修正するように構成することができる。
本明細書は、最良モードを含む本発明を開示するために、また同様に、任意のデバイスまたはシステムを作り使用すること、および組み込まれる任意の方法を実施することを含む、本発明を当業者が実施することを可能にするために例を使用する。本発明の特許可能な範囲は、特許請求の範囲によって規定され、当業者が思い付く他の例を含むことができる。こうした他の例は、特許請求の範囲の逐語的言語と異ならない構造的要素を有する場合、または特許請求の範囲の逐語的言語と非実質的相違を有する等価な構造的要素を含む場合、特許請求の範囲内にあることを意図される。
10 サイバーフィジカル侵入防止システム(IPS)
14 監視ステーション
15 サイバーセキュリティ監視/応答システム
16 コントローラ
18 通信ネットワークインフラストラクチャ
20 タービン
22 センサ
24 アクチュエータ
26 ポンプ
27 電気的アシスト
28 CPU
30 メモリ
32 ストレージ
34 通信
36 ネットワーク分析構成要素
38 制御システム分析構成要素
40 デバイス監視構成要素
42 ネットワーク監視構成要素
44 ネットワークルールセット処理構成要素
48 制御システム監視構成要素
50 制御システムルールセット処理構成要素
68 機械学習および相関分析構成要素
14 監視ステーション
15 サイバーセキュリティ監視/応答システム
16 コントローラ
18 通信ネットワークインフラストラクチャ
20 タービン
22 センサ
24 アクチュエータ
26 ポンプ
27 電気的アシスト
28 CPU
30 メモリ
32 ストレージ
34 通信
36 ネットワーク分析構成要素
38 制御システム分析構成要素
40 デバイス監視構成要素
42 ネットワーク監視構成要素
44 ネットワークルールセット処理構成要素
48 制御システム監視構成要素
50 制御システムルールセット処理構成要素
68 機械学習および相関分析構成要素
Claims (20)
- 制御システム挙動を測定するように構成されているデバイス監視構成要素と、
前記デバイス監視構成要素および通信ネットワークに通信可能に結合された侵入防止システムとを備え、前記侵入防止システムは、
前記デバイス監視構成要素によって測定された前記制御システム挙動を、第1のルールセットと対照して分析して、異常が存在するか、侵入が存在するか、または両方が存在するかを判定するように構成されている制御システム分析構成要素を含む、
システム。 - 通信ネットワークからのネットワークデータを、第2のルールセットと対照して分析して、異常が起こったかどうかを判定するように構成されているネットワーク分析構成要素を備える請求項1記載のシステム。
- 前記制御システム挙動は、コントローラの挙動からなり、そのとき、前記デバイス監視構成要素は前記コントローラに通信可能に結合されている請求項1記載のシステム。
- 前記コントローラ挙動は、前記コントローラ内の構成要素の電力使用、前記コントローラ内の前記構成要素の温度、前記コントローラの動作、入力/出力のタイミング、前記コントローラに結合されたデバイスのテレメトリデータ、またはそれらの任意の組合せを含む請求項3記載のシステム。
- 前記コントローラ内の前記構成要素は、処理ユニット、メモリ、記憶デバイス、および通信装置を含む請求項4記載のシステム。
- 前記デバイス監視構成要素は、前記コントローラ内に設置される請求項3記載のシステム。
- 前記デバイス監視構成要素は、前記コントローラとは別個のデバイスを備える請求項3記載のシステム。
- 前記侵入防止システムは、別個のデバイスを備える請求項1記載のシステム。
- ガスタービンシステム、ガス化システム、蒸気タービンシステム、風力タービンシステム、水力タービンシステム、発電システム、電力グリッド自動化システム、またはそれらの任意の組合せからなる産業用制御システムである請求項1記載のシステム。
- 電子デバイスのプロセッサによって実行可能な複数の命令を記憶する有形で非一時的なコンピュータ可読媒体であって、前記命令は、
通信パケットを受信する命令と、
前記通信パケットがネットワークのルールセットと対照して試験される第1の試験を実施する命令と、
制御システム測定値を受信する命令であって、前記制御システム測定値が産業用制御システムの制御システム挙動を示す、命令と、
前記制御システム測定値が制御システムのルールと対照して試験される第2の試験を実施する命令と、
前記第1の試験からの結果と前記第2の試験からの結果を相関させる命令と、
前記相関データに基づいて前記産業用制御システムに異常が存在するか、侵入が存在するか、または両方が存在するかを判定する命令と
からなる媒体。 - 第1の試験を実施する前記命令は、ネットワーク化分析構成要素に記憶された前記ネットワークルールと対照して前記通信パケットを試験することを含み、第2の試験を実施する前記命令は、制御システム分析構成要素に記憶された前記制御システムルールセットと対照して前記制御システム測定値を試験することを含む請求項10記載の媒体。
- 通信パケットを受信する前記命令は、コントローラと監視ステーションとの間で送信される通信パケットを受信することを含む請求項10記載の媒体。
- 前記産業用制御システムは、ガスタービンシステム、ガス化システム、蒸気タービンシステム、風力タービンシステム、水力タービンシステム、発電システム、電力グリッド自動化システム、またはそれらの任意の組合せからなる請求項10記載の媒体。
- 構成モードにあるときに、
産業用制御システム上でモデル動作を実行する命令、
通信パケットを受信する命令、
制御システム測定値を受信する命令、ならびに、
少なくとも、前記受信された通信パケットおよび前記受信された制御システム測定値に基づいて前記ネットワークルールセットおよび前記制御システムルールセットを生成する命令
を含む請求項10記載の媒体。 - メンテナンスモードにあるときに、
産業用制御システムを実行する命令、
通信パケットを受信する命令、
制御システム測定値を受信する命令、ならびに、
少なくとも、前記受信された通信パケットおよび前記受信された制御システム測定値に基づいて前記ネットワークルールセットおよび前記制御システムルールセットを修正する命令
を含む請求項10記載の媒体。 - コントローラおよび監視ステーションに通信可能に結合された侵入防止システムを備え、
前記侵入防止システムは、前記監視ステーションと前記コントローラとの間で送信されるネットワーク通信を受信し、前記コントローラの状態、前記産業用制御システムの状態、前記コントローラに接続されたデバイス、またはそれらの任意の組合せに少なくとも部分的に基づいて、異常が存在するか、侵入が存在するか、または両方が存在するかを判定するように構成されている、
システム。 - 前記コントローラの前記状態は、権限移譲状態または動作可能状態、メンテナンス状態、構成状態、緊急状態、およびセキュリティ応答状態からなる請求項16記載のシステム。
- 前記監視ステーションの前記状態は、権限移譲状態または動作可能状態、メンテナンス状態、構成状態、緊急状態、およびセキュリティ応答状態からなる請求項16記載のシステム。
- 前記コントローラに接続された前記デバイスは、タービンシステム、センサ、ポンプ、アクチュエータ、弁、変圧器、ブレーカ、スイッチ、モータ、発電機、またはそれらの任意の組合せを含む請求項16記載のシステム。
- ガスタービンシステム、ガス化システム、蒸気タービンシステム、風力タービンシステム、水力タービンシステム、発電システム、電力グリッド自動化システム、またはそれらの任意の組合せからなる産業用制御システムを含む請求項16記載のシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/801,496 US9405900B2 (en) | 2013-03-13 | 2013-03-13 | Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems |
| US13/801,496 | 2013-03-13 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2014179074A true JP2014179074A (ja) | 2014-09-25 |
| JP2014179074A5 JP2014179074A5 (ja) | 2017-03-30 |
| JP6302283B2 JP6302283B2 (ja) | 2018-03-28 |
Family
ID=50336076
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014040025A Active JP6302283B2 (ja) | 2013-03-13 | 2014-03-03 | 産業用制御システムのためのインテリジェントサイバーフィジカル侵入検出および侵入防止システムならびに方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US9405900B2 (ja) |
| EP (1) | EP2779569A1 (ja) |
| JP (1) | JP6302283B2 (ja) |
| CN (1) | CN104052730B (ja) |
| BR (1) | BR102014004682A8 (ja) |
| CA (1) | CA2844225C (ja) |
| IN (1) | IN2014CH01209A (ja) |
| MX (1) | MX2014003067A (ja) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016143397A (ja) * | 2015-02-05 | 2016-08-08 | 日本電信電話株式会社 | 端末検知システムおよび方法 |
| JP2017129894A (ja) * | 2016-01-18 | 2017-07-27 | 三菱電機株式会社 | サイバー攻撃検知システム |
| JP2017208598A (ja) * | 2016-05-16 | 2017-11-24 | 株式会社日立製作所 | 不正通信検知システム及び不正通信検知方法 |
| JP2018092606A (ja) * | 2016-10-11 | 2018-06-14 | ゼネラル・エレクトリック・カンパニイ | 物理的資産を脅威に対して保護するためのシステムおよび方法 |
| WO2018198733A1 (ja) * | 2017-04-27 | 2018-11-01 | 株式会社日立製作所 | セキュリティ監視システム及びセキュリティ監視方法 |
| JP2019030218A (ja) * | 2017-08-01 | 2019-02-21 | 国立大学法人電気通信大学 | 人型ロボットなどのサイバーフィジカルシステムにおける物理機能例外処理方式 |
| JP2019057276A (ja) * | 2017-09-19 | 2019-04-11 | パロ アルト リサーチ センター インコーポレイテッド | 冗長デバイス及びスマートコントラクトを使用して、サイバーフィジカルシステムへの攻撃を検出するための方法及びシステム |
| JP2019179486A (ja) * | 2018-03-30 | 2019-10-17 | 日本電気株式会社 | 情報処理装置、制御方法、及びプログラム |
| JP2019205125A (ja) * | 2018-05-25 | 2019-11-28 | 株式会社東芝 | 異常要因判定装置、制御システム、および異常要因判定方法 |
| US11089033B2 (en) | 2016-04-26 | 2021-08-10 | Mitsubishi Electric Corporation | Intrusion detection device, intrusion detection method, and computer readable medium |
| US11132434B2 (en) | 2016-09-26 | 2021-09-28 | Mitsubishi Electric Corporation | Signal processing device, signal processing method and computer readable medium |
| JP2021527873A (ja) * | 2018-08-17 | 2021-10-14 | エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. | プロトコルに依存しない異常検出 |
| WO2022071056A1 (ja) * | 2020-09-29 | 2022-04-07 | ファナック株式会社 | ネットワーク中継装置 |
Families Citing this family (53)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9734450B2 (en) * | 2014-06-05 | 2017-08-15 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Data loss prevention to remove false positives |
| US9660994B2 (en) * | 2014-09-30 | 2017-05-23 | Schneider Electric USA, Inc. | SCADA intrusion detection systems |
| WO2016058802A1 (en) * | 2014-10-14 | 2016-04-21 | Sicpa Holding Sa | Interface with secure intermediary platform to generate data compatible with an external system in an oil and gas asset supply chain |
| CN104392172B (zh) * | 2014-10-30 | 2017-07-04 | 北京科技大学 | 一种基于嵌入式的工业系统的安全检测方法及系统 |
| US10051059B2 (en) * | 2015-06-05 | 2018-08-14 | Fisher-Rosemount Systems, Inc. | Methods and apparatus to control communications of endpoints in an industrial enterprise system based on integrity |
| CN105404607B (zh) * | 2015-11-20 | 2018-02-13 | 英业达科技有限公司 | 通用串行输入输出的数据传输方法 |
| JP6693114B2 (ja) * | 2015-12-15 | 2020-05-13 | 横河電機株式会社 | 制御装置及び統合生産システム |
| US9979675B2 (en) * | 2016-02-26 | 2018-05-22 | Microsoft Technology Licensing, Llc | Anomaly detection and classification using telemetry data |
| US10027699B2 (en) * | 2016-03-10 | 2018-07-17 | Siemens Aktiengesellschaft | Production process knowledge-based intrusion detection for industrial control systems |
| CN105812371B (zh) * | 2016-03-17 | 2019-01-25 | 电子科技大学 | 基于神经网络的dnp通信访问控制方法 |
| US10623437B2 (en) * | 2016-04-01 | 2020-04-14 | Doble Engineering Company | Secured method for testing and maintenance of bulk electrical systems (BES) assets |
| US11005863B2 (en) * | 2016-06-10 | 2021-05-11 | General Electric Company | Threat detection and localization for monitoring nodes of an industrial asset control system |
| US10417425B2 (en) | 2016-06-13 | 2019-09-17 | The Trustees Of Columbia University In The City Of New York | Secured cyber-physical systems |
| WO2017221373A1 (ja) * | 2016-06-23 | 2017-12-28 | 三菱電機株式会社 | 侵入検知装置および侵入検知プログラム |
| WO2018048351A1 (en) * | 2016-09-07 | 2018-03-15 | Singapore University Of Technology And Design | Defense system and method against cyber-physical attacks |
| US10262143B2 (en) | 2016-09-13 | 2019-04-16 | The Mitre Corporation | System and method for modeling and analyzing the impact of cyber-security events on cyber-physical systems |
| US9961089B1 (en) * | 2016-10-20 | 2018-05-01 | Mitsubishi Electric Research Laboratories, Inc. | Distributed estimation and detection of anomalies in control systems |
| CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
| US10678912B2 (en) | 2016-11-15 | 2020-06-09 | General Electric Company | Dynamic normalization of monitoring node data for threat detection in industrial asset control system |
| US10417415B2 (en) * | 2016-12-06 | 2019-09-17 | General Electric Company | Automated attack localization and detection |
| US10397257B2 (en) | 2016-12-07 | 2019-08-27 | General Electric Company | Multi-mode boundary selection for threat detection in industrial asset control system |
| US10204226B2 (en) | 2016-12-07 | 2019-02-12 | General Electric Company | Feature and boundary tuning for threat detection in industrial asset control system |
| CN106773719A (zh) * | 2017-01-25 | 2017-05-31 | 上海云剑信息技术有限公司 | 一种基于bp神经网络的工业控制系统漏洞自动挖掘方法 |
| US10728264B2 (en) * | 2017-02-15 | 2020-07-28 | Micro Focus Llc | Characterizing behavior anomaly analysis performance based on threat intelligence |
| CN107067619B (zh) * | 2017-03-21 | 2020-02-11 | 上海斐讯数据通信技术有限公司 | 一种基于网络的防盗方法及系统 |
| US10476902B2 (en) * | 2017-04-26 | 2019-11-12 | General Electric Company | Threat detection for a fleet of industrial assets |
| DE102017214203A1 (de) * | 2017-08-15 | 2019-02-21 | KSB SE & Co. KGaA | Verfahren zum Schutz vor Kavitation bei Cyberangriffen und Einheit zur Durchführung des Verfahrens |
| AU2018316966B2 (en) * | 2017-08-18 | 2021-10-07 | Nippon Telegraph And Telephone Corporation | Intrusion prevention device, intrusion prevention method, and program |
| US10686806B2 (en) * | 2017-08-21 | 2020-06-16 | General Electric Company | Multi-class decision system for categorizing industrial asset attack and fault types |
| US10505955B2 (en) * | 2017-08-22 | 2019-12-10 | General Electric Company | Using virtual sensors to accommodate industrial asset control systems during cyber attacks |
| KR20200085309A (ko) * | 2017-11-15 | 2020-07-14 | 케이에스비 에스이 앤드 코. 카게아아 | 사이버 공격으로부터 펌프 유닛을 보호하기 위한 방법 및 장치 |
| CN107798390B (zh) | 2017-11-22 | 2023-03-21 | 创新先进技术有限公司 | 一种机器学习模型的训练方法、装置以及电子设备 |
| CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
| US10785237B2 (en) * | 2018-01-19 | 2020-09-22 | General Electric Company | Learning method and system for separating independent and dependent attacks |
| GB2578268B (en) | 2018-01-29 | 2021-12-29 | Ge Aviat Systems Ltd | Configurable network switch for industrial control systems including deterministic networks |
| US10623416B2 (en) | 2018-01-31 | 2020-04-14 | International Business Machines Corporation | Torrent attack detection |
| CN110224970B (zh) * | 2018-03-01 | 2021-11-23 | 西门子公司 | 一种工业控制系统的安全监视方法和装置 |
| CN110224969A (zh) * | 2018-03-01 | 2019-09-10 | 中兴通讯股份有限公司 | 数据的处理方法及装置 |
| EP3611587A1 (de) * | 2018-08-16 | 2020-02-19 | Siemens Aktiengesellschaft | System zur steuerung und überwachung von adaptiven cyber-physikalischen systemen |
| US10990668B2 (en) | 2018-09-17 | 2021-04-27 | General Electric Company | Local and global decision fusion for cyber-physical system abnormality detection |
| US11171976B2 (en) | 2018-10-03 | 2021-11-09 | Raytheon Technologies Corporation | Cyber monitor segmented processing for control systems |
| US10956578B2 (en) | 2018-10-05 | 2021-03-23 | General Electric Company | Framework for determining resilient manifolds |
| RU2724075C1 (ru) | 2018-12-28 | 2020-06-19 | Акционерное общество "Лаборатория Касперского" | Система и способ определения источника аномалии в кибер-физической системе, обладающей определенными характеристиками |
| CN109766694B (zh) * | 2018-12-29 | 2021-09-03 | 北京威努特技术有限公司 | 一种工控主机的程序协议白名单联动方法及装置 |
| US11979419B2 (en) * | 2019-04-09 | 2024-05-07 | Siemens Aktiengesellschaft | Industrial process system threat detection |
| US11343266B2 (en) | 2019-06-10 | 2022-05-24 | General Electric Company | Self-certified security for assured cyber-physical systems |
| EP3751813B1 (en) * | 2019-06-13 | 2023-03-22 | ABB Schweiz AG | Device and method for performing threat detection and/or mitigation |
| CN113958377B (zh) * | 2020-07-03 | 2023-04-07 | 东方电气股份有限公司 | 一种汽轮机网络安全实时在线监测系统及方法 |
| JP7438915B2 (ja) * | 2020-11-05 | 2024-02-27 | 株式会社東芝 | 情報処理装置、プログラムおよび情報処理システム |
| WO2022177991A1 (en) * | 2021-02-16 | 2022-08-25 | Ap Cyber Llc | Firewall gateway device and related methods for protecting distributed energy resources and other operational technologies against cyberattacks |
| US11790081B2 (en) | 2021-04-14 | 2023-10-17 | General Electric Company | Systems and methods for controlling an industrial asset in the presence of a cyber-attack |
| CN114137934A (zh) * | 2021-11-23 | 2022-03-04 | 国网江西省电力有限公司电力科学研究院 | 一种具有入侵检测功能的工业控制系统及检测方法 |
| CN114884754B (zh) * | 2022-07-11 | 2022-09-23 | 深圳特科动力技术有限公司 | 一种智能分析来实现故障预知的网络安防系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110288692A1 (en) * | 2010-05-20 | 2011-11-24 | Accenture Global Services Gmbh | Malicious attack detection and analysis |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL106617A (en) | 1993-08-08 | 1995-06-29 | Israel State | Intrusion detector |
| US6980927B2 (en) | 2002-11-27 | 2005-12-27 | Telos Corporation | Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing continuous risk assessment |
| US7657939B2 (en) | 2005-03-14 | 2010-02-02 | International Business Machines Corporation | Computer security intrusion detection system for remote, on-demand users |
| EP1897019A4 (en) | 2005-05-13 | 2011-10-05 | Cryptomill Technologies Ltd | CRYPTOGRAPHIC CONTROL FOR MOBILE MEMORY |
| JP2008541248A (ja) | 2005-05-13 | 2008-11-20 | クリプトミル テクノロジーズ リミティド | コンテンツ暗号化ファイアウォールシステム |
| US7966659B1 (en) * | 2006-04-18 | 2011-06-21 | Rockwell Automation Technologies, Inc. | Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like |
| CN101610587B (zh) * | 2009-07-13 | 2011-12-07 | 中兴通讯股份有限公司 | 一种基于tdd制式的数据传输方法和装置 |
| US8112521B2 (en) | 2010-02-25 | 2012-02-07 | General Electric Company | Method and system for security maintenance in a network |
| US8656492B2 (en) | 2011-05-16 | 2014-02-18 | General Electric Company | Systems, methods, and apparatus for network intrusion detection |
| US8949668B2 (en) * | 2011-05-23 | 2015-02-03 | The Boeing Company | Methods and systems for use in identifying abnormal behavior in a control system including independent comparisons to user policies and an event correlation model |
| US20130086635A1 (en) | 2011-09-30 | 2013-04-04 | General Electric Company | System and method for communication in a network |
| US20130086680A1 (en) | 2011-09-30 | 2013-04-04 | General Electric Company | System and method for communication in a network |
-
2013
- 2013-03-13 US US13/801,496 patent/US9405900B2/en active Active
-
2014
- 2014-02-27 BR BR102014004682A patent/BR102014004682A8/pt not_active IP Right Cessation
- 2014-02-27 CA CA2844225A patent/CA2844225C/en active Active
- 2014-03-03 JP JP2014040025A patent/JP6302283B2/ja active Active
- 2014-03-10 IN IN1209CH2014 patent/IN2014CH01209A/en unknown
- 2014-03-10 EP EP14158644.6A patent/EP2779569A1/en not_active Withdrawn
- 2014-03-13 CN CN201410092807.2A patent/CN104052730B/zh active Active
- 2014-03-13 MX MX2014003067A patent/MX2014003067A/es active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110288692A1 (en) * | 2010-05-20 | 2011-11-24 | Accenture Global Services Gmbh | Malicious attack detection and analysis |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016143397A (ja) * | 2015-02-05 | 2016-08-08 | 日本電信電話株式会社 | 端末検知システムおよび方法 |
| JP2017129894A (ja) * | 2016-01-18 | 2017-07-27 | 三菱電機株式会社 | サイバー攻撃検知システム |
| US11089033B2 (en) | 2016-04-26 | 2021-08-10 | Mitsubishi Electric Corporation | Intrusion detection device, intrusion detection method, and computer readable medium |
| JP2017208598A (ja) * | 2016-05-16 | 2017-11-24 | 株式会社日立製作所 | 不正通信検知システム及び不正通信検知方法 |
| US10341294B2 (en) | 2016-05-16 | 2019-07-02 | Hitachi, Ltd. | Unauthorized communication detection system and unauthorized communication detection method |
| US11132434B2 (en) | 2016-09-26 | 2021-09-28 | Mitsubishi Electric Corporation | Signal processing device, signal processing method and computer readable medium |
| JP2018092606A (ja) * | 2016-10-11 | 2018-06-14 | ゼネラル・エレクトリック・カンパニイ | 物理的資産を脅威に対して保護するためのシステムおよび方法 |
| JP7123541B2 (ja) | 2016-10-11 | 2022-08-23 | ゼネラル・エレクトリック・カンパニイ | 物理的資産を脅威に対して保護するためのシステム |
| WO2018198733A1 (ja) * | 2017-04-27 | 2018-11-01 | 株式会社日立製作所 | セキュリティ監視システム及びセキュリティ監視方法 |
| JP2019030218A (ja) * | 2017-08-01 | 2019-02-21 | 国立大学法人電気通信大学 | 人型ロボットなどのサイバーフィジカルシステムにおける物理機能例外処理方式 |
| JP7026028B2 (ja) | 2017-09-19 | 2022-02-25 | パロ アルト リサーチ センター インコーポレイテッド | 冗長デバイス及びスマートコントラクトを使用して、サイバーフィジカルシステムへの攻撃を検出するための方法及びシステム |
| JP2019057276A (ja) * | 2017-09-19 | 2019-04-11 | パロ アルト リサーチ センター インコーポレイテッド | 冗長デバイス及びスマートコントラクトを使用して、サイバーフィジカルシステムへの攻撃を検出するための方法及びシステム |
| JP2019179486A (ja) * | 2018-03-30 | 2019-10-17 | 日本電気株式会社 | 情報処理装置、制御方法、及びプログラム |
| JP7071876B2 (ja) | 2018-05-25 | 2022-05-19 | 株式会社東芝 | 制御システム、および異常要因判定方法 |
| JP2019205125A (ja) * | 2018-05-25 | 2019-11-28 | 株式会社東芝 | 異常要因判定装置、制御システム、および異常要因判定方法 |
| JP2021527873A (ja) * | 2018-08-17 | 2021-10-14 | エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. | プロトコルに依存しない異常検出 |
| JP7086230B2 (ja) | 2018-08-17 | 2022-06-17 | エヌイーシー ラボラトリーズ アメリカ インク | プロトコルに依存しない異常検出 |
| WO2022071056A1 (ja) * | 2020-09-29 | 2022-04-07 | ファナック株式会社 | ネットワーク中継装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| BR102014004682A8 (pt) | 2016-06-21 |
| US9405900B2 (en) | 2016-08-02 |
| EP2779569A1 (en) | 2014-09-17 |
| CN104052730B (zh) | 2019-07-02 |
| JP6302283B2 (ja) | 2018-03-28 |
| BR102014004682A2 (pt) | 2016-02-02 |
| US20140283047A1 (en) | 2014-09-18 |
| IN2014CH01209A (ja) | 2015-05-29 |
| CA2844225A1 (en) | 2014-09-13 |
| CA2844225C (en) | 2020-12-29 |
| CN104052730A (zh) | 2014-09-17 |
| MX2014003067A (es) | 2014-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6302283B2 (ja) | 産業用制御システムのためのインテリジェントサイバーフィジカル侵入検出および侵入防止システムならびに方法 | |
| Liu et al. | Intruders in the grid | |
| Sridhar et al. | Cyber–physical system security for the electric power grid | |
| Radoglou-Grammatikis et al. | Spear siem: A security information and event management system for the smart grid | |
| Urbina et al. | Survey and new directions for physics-based attack detection in control systems | |
| US11689544B2 (en) | Intrusion detection via semantic fuzzing and message provenance | |
| Parvania et al. | Hybrid control network intrusion detection systems for automated power distribution systems | |
| US20160330225A1 (en) | Systems, Methods, and Devices for Detecting Anomalies in an Industrial Control System | |
| Parthasarathy et al. | Bloom filter based intrusion detection for smart grid SCADA | |
| CN105763392A (zh) | 一种基于协议状态的工控协议模糊测试方法 | |
| Chavez et al. | Hybrid intrusion detection system design for distributed energy resource systems | |
| Yang et al. | iFinger: Intrusion detection in industrial control systems via register-based fingerprinting | |
| Chen et al. | Cybersecurity of wide area monitoring, protection, and control systems for HVDC applications | |
| Albarakati et al. | Security monitoring of IEC 61850 substations using IEC 62351-7 network and system management | |
| McParland et al. | Monitoring security of networked control systems: It's the physics | |
| Genge et al. | A connection pattern-based approach to detect network traffic anomalies in critical infrastructures | |
| Caselli et al. | Modeling message sequences for intrusion detection in industrial control systems | |
| Satyanarayana | Detection and blocking of replay, false command, and false access injection commands in scada systems with modbus protocol | |
| Nicholson et al. | Position paper: Safety and security monitoring in ics/scada systems | |
| Akbarian et al. | A security framework in digital twins for cloud-based industrial control systems: Intrusion detection and mitigation | |
| Flosbach et al. | Architecture and prototype implementation for process-aware intrusion detection in electrical grids | |
| Genge et al. | An experimental study on the impact of network segmentation to the resilience of physical processes | |
| Havlena et al. | Accurate Automata-Based Detection of Cyber Threats in Smart Grid Communication | |
| Hill et al. | Using bro with a simulation model to detect cyber-physical attacks in a nuclear reactor | |
| Leao et al. | Machine learning-based false data injection attack detection and localization in power grids |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170223 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170223 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171205 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171225 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180213 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180302 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6302283 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |