JP2015513828A - フィールド・エリア・ネットワークにおけるパケット取得、解析及び侵入検出の方法及びシステム - Google Patents

フィールド・エリア・ネットワークにおけるパケット取得、解析及び侵入検出の方法及びシステム Download PDF

Info

Publication number
JP2015513828A
JP2015513828A JP2014557851A JP2014557851A JP2015513828A JP 2015513828 A JP2015513828 A JP 2015513828A JP 2014557851 A JP2014557851 A JP 2014557851A JP 2014557851 A JP2014557851 A JP 2014557851A JP 2015513828 A JP2015513828 A JP 2015513828A
Authority
JP
Japan
Prior art keywords
probe
packet
traffic
network
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014557851A
Other languages
English (en)
Other versions
JP6277137B2 (ja
Inventor
ピエトロヴィチ、スタンレー
ユーザック、ジェーソン
ハルスカ、ジョン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vencore Labs Inc
Original Assignee
TT Government Solutions Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by TT Government Solutions Inc filed Critical TT Government Solutions Inc
Publication of JP2015513828A publication Critical patent/JP2015513828A/ja
Application granted granted Critical
Publication of JP6277137B2 publication Critical patent/JP6277137B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R22/00Arrangements for measuring time integral of electric power or current, e.g. electricity meters
    • G01R22/06Arrangements for measuring time integral of electric power or current, e.g. electricity meters by electronic methods
    • G01R22/061Details of electronic electricity meters
    • G01R22/063Details of electronic electricity meters related to remote communication
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R1/00Details of instruments or arrangements of the types included in groups G01R5/00 - G01R13/00 and G01R31/00
    • G01R1/20Modifications of basic electric elements for use in electric measuring instruments; Structural combinations of such elements with such instruments
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R21/00Arrangements for measuring electric power or power factor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Remote Monitoring And Control Of Power-Distribution Networks (AREA)
  • Selective Calling Equipment (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)

Abstract

データがパケットによって送信されるフィールド・エリア・ネットワークにおける侵入検出のシステムは、パケットが侵入を示すルールの組に適合するか否かを確かめるためにパケットを解析するプロセッサと、パケットが組の中の少なくとも1つのルールに適合する場合、侵入を示す警告を格納するデータベースとを含む。ルールの組は、フィールド・ネットワークレイヤデータ、インターネット・プロトコル・トラフィック・データ及びフィールド・エリア・アプリケーション・トラフィック・データを対象にする。データがパケットによって送信されるフィールド・エリア・ネットワークにおいて侵入を検出する方法は、パケットがルールの組に適合するか否かを確かめるためにパケットを解析することと、パケットがルールの組の中の少なくとも1つのルールに適合する場合、侵入を指示する警告を格納することとを含む。

Description

本開示は、配電用のスマートグリッドに関連付けられたデータ及び制御ネットワークに関する。より詳しくは、本開示は、フィールド・エリア・ネットワーク(FAN)のための侵入検出及びネットワーク監視を独立して提供するために、スマートメーター及び配電自動機器によって使用されるFAN通信を傍受、復号化、及び解析するシステムに関する。
電気の発生、伝送、及び分配のための従来のシステムは公知である。発電所、又はその他の発生源が電気を発生する。電圧は、高電圧送電線を介した分配のため昇圧される。送電線は変電所に接続され、変電所は、何らかの中間電圧レベルまで電圧を降圧する。この中間電圧レベルの電力が分配され、家庭及び会社に届けられる電圧までさらに降圧される。
スマートグリッドは、効率を改善し、再生可能な発生源を統合し、保守を促進し、電気の発生、伝送、分配、消費及び場合によっては蓄電をより良好に測定及び管理する国内の電気系統の近代化である。スマートグリッドにおける多くの新しい技術は配電網に重点を置いている。
スマートグリッド技術の成功要因は、複数のFANにおける高機能な組込みシステム及び通信である。高機能な組込みシステムは、センサ、制御及び監視能力を付加する電力コンポーネントに組み込まれた小型コンピュータシステムである。FANは、複数の組込みシステムコントローラ、及び、電気系統が動作中のスマートグリッド・コンポーネントの測定及び制御のための複数のバックエンド・アプリケーション同士の間の通信を可能にする。
高度計量インフラストラクチャ(AMI)は、スマートグリッドの最前線であると考えられている。AMIは、スマートグリッド技術の最初の大規模開発であり、複数のスマートメーター、及び、複数のバックエンド・アプリケーション同士の間の無線通信をサポートするために、あらゆる家庭及び通信アクセスノード又はアクセスポイントにスマートメーターを配備することを必要とする。スマートメーターは、本質的に、ネットワーク・インターフェース・カード付きのソリッド・ステート・コンピューティング及び検針装置である。スマートメーター・エネルギー・アプリケーションは、遠隔検針と、遠隔切断/接続と、停電管理と、時間帯別価格及び直接負荷制御のような需要応答と、ホーム・エリア・ネットワーク(HAN)を介する顧客エンゲージメントとを含む。
さらに、スマートグリッドは、アセット状態及び状況、エネルギーフローを監視し、且つ、スイッチ、回路リクローザ、及びコンデンサバンクのような能動コンポーネントを遠隔制御するために、インテリジェント制御及びセンサを配電変圧器、配電フィーダ、及び配電変電所に追加する。スマートグリッドのこの部分は、配電自動化(DA)として知られている。
無線ネットワーキング技術は、スマートメーター及びDA電気的アセットの分散性に起因するスマートグリッドFAN通信をサポートする一般的な手段である。スマートメーター及びDA電気的アセットは、同じ物理的地域内に共存するので、これらは、FAN通信のため同一の又は類似の無線ネットワーキング技術を使用することがある。
AMI及びDAネットワークで使用される無線FANのような無線FANの管理及び安全化には、いくつかの課題が存在している。第1に、FANは、多様な無線及び有線技術を組み合わせる広域的な、マルチベンダー型の、異種ネットワークである。第2に、FANは、公益事業者が配備し、且つ、所有することがよくある最大のネットワークを構成する。AMI FANは、低帯域幅チャネルを介して管理されるべき数百万台のスマートメーターを格納することができる。第3に、FANは非保護環境で動作する。高機能なエンドポイントは、容易には物理的に保護され得ず、多くの場合に物理的及びサイバー攻撃を受けやすい。第4に、かなりの多くのAMI及びDA無線技術は、独占的な無線通信システムであり、この無線通信システムは、独占的及び標準ベースのネットワーキングプロトコルの混合をもたらし、これらのネットワーキングプロトコルの一部は、セキュリティの観点から未だ適切に精査されていない。第5に、フィールド機器ハードウェアの更新及び交換は非常に費用がかかり、且つ、ソフトウェア更新は、すべてのセキュリティ脆弱性を是正することができないので、FANを運用する公益事業者は、個々に異なった脆弱性プロファイルをもつ複数の年式のハードウェアを監視しなければならいことがよくある。いくつかのセキュリティ脆弱性は、ハードウェア及び無線通信が本来備え持つものである。これらの脆弱性は除去される可能性がなく、これらの脆弱性の潜在的な利用を検出する手段が包括的なセキュリティプログラムの一部として必要とされる。第6に、特に、AMIのための多くの新しいFANは、従来のIPネットワークよりダイナミックであり、且つ、スマートメーター配備の場合のように大規模に理解されることが少ないアドホック型自己形成ネットワークである。さらに、FAN無線技術は、依然として全く未完成であり、且つ、例えば、通信セキュリティ、ネットワーク性能、及びルーティングの改良が絶えず行われている。
すべてのこれらの課題を考えると、可視性、状況認識及びセキュリティ監視を提供するために、IPエンタープライズネットワークにおいて広く採用されているネットワーク管理及びセキュリティツールに類似しているネットワーク管理及びセキュリティツールの多大な必要性がある。しかし、現在のところ、商用ソリューションは、無線FANトラフィックを監視し、且つ、セキュリティ異常/侵入、ネットワーク性能問題又はソフトウェア・バグでさえ検出するために利用できない。その上、FANコンポーネントにおけるサプライチェーン・サイバー・リスクを緩和するのに役立つ独立した監視能力が存在しない。FANに関するすべての情報は、現在のところ、スマートグリッド・コンポーネント・ベンダーによって提供されたアプリケーション・マネージメント・ツールを通じて調達されるが、ベンダーのサプライチェーンが危険に晒された場合、信頼できないことになる。
多くのスマートグリッド技術は、未だ初期の段階にある。AMI、DA及びFANシステムのプロバイダは、現在、それらの主張する機能を正常に働かせることによって消耗させられている。ネットワーク監視及び侵入検出システムを実施することに注意を払うことが殆どなかったか、又は、全くなかった。さらに、多くのFANは、独占的無線通信システム及びプロトコルを使用するので、IPネットワークのため広く使用されているソリューションは全く正常に機能しないことがよくある。なおその上に、業界は、長年の経験からIPネットワークにおける脆弱性を理解しているが、業界は、広域FANにおける脆弱性に関して依然として発見期間にある。
スマートグリッドFAN技術は新しく、且つ、先行のソリューションについて公衆利用可能な情報がない。アナロジーはWi−Fiネットワークにおけるネットワーク監視及び侵入検出を限られた範囲でなされ得る。しかし、Wi−Fiネットワークにおける公知の商用ソリューション侵入検出は、無線通信経由キャプチャによって動作しない。Wi−Fiネットワークの地理的な領域は、スマートメーター・ネットワークと比べると小規模であり、Wi−Fiは、公開された公的基準に基づいて構築されている。
本開示の目的は、スマートグリッド・ベンダーの製品及びサプライチェーンとは独立した手段全体を通じて、FANにおける通信と、ネットワークに関する抽象及び現在情報と、使用可能な形式の通信フローとを傍受し、復号化し、解析し、蓄積し、並びに、分散型侵入検出及びネットワーク監視能力を実施する方法及びシステムを提供することである。
本開示は、スマートグリッド・ベンダーの製品及びサプライチェーンとは独立した手段全体を通じて、FANにおける無線通信経由及びヘッドエンド通信を傍受し、復号化し、解析し、蓄積し、並びに、分散型侵入検出能力を実施する交換可能なプローブに基づく方法及びシステムをさらに対象とする。
本開示は、多数のフィールド及びヘッドエンドプローブからのパケットストリームが検査され、ノードの挙動がモデル化されるフィールド・エリア・ネットワークにおける侵入検出及びネットワーク監視システムを対象とする。このシステムは、パケット及び通信フローが異常又は侵入の兆候を示すルール及び挙動の組に適合するか否かを確かめるために、パケット及び通信フローを解析する1つ以上の侵入検出機能と、パケット又はフローがルールの組のうちの少なくとも1つのルールに適合する場合、異常、侵入、又は予期しないノードを示す警告を格納するデータベース部とを含む。
侵入検出機能は、メッシュネットワークの構成及び保守をサポートする物理的な、媒体アクセス制御(MAC)、並びに、プロトコルスタックのリンク部分とネットワーク部分との間のレイヤを解析するように構成され得る。侵入検出機能は、このコンテンツが第1のルールの組を満たすか否かを判断し、第1のルールの組のうちの少なくとも1つのルールを満たす物理レイヤ及び低レイヤデータを示す警告をデータベースに格納する。典型的に、物理レイヤ且つ低レイヤは、本質的に独占的であり、これらの物理レイヤ及び低レイヤのコンテンツを理解するためにリバースエンジニアリングを必要とする。
侵入検出機能は、インターネット・プロトコル・データがパケットに存在するか否か、及び、インターネット・プロトコル・データが第2のルールの組を満たすか否かを判断するためにパケットを解析し、第2のルールの組のうちの少なくとも1つのルールを満たすインターネット・プロトコル・データを示す警告をデータベースに格納するように構成され得る。インターネット・プロトコル・データは、IPv4又はIPv6パケットとすることが可能である。
侵入検出機能は、フィールド・エリア・ネットワーク・アプリケーション・データがパケットに存在するか否か、及び、フィールド・エリア・ネットワーク・アプリケーション・データが第3のルールの組を満たすか否かを判断するためにパケットを解析し、第3のルールの組のうちの少なくとも1つのルールを満たすフィールド・エリア・ネットワーク・アプリケーション・データを示す警告をデータベースに格納するように構成され得る。
侵入検出機能は、分散又は集中させることができる。この機能は、FANに組み込まれたフィールドプローブ、フィールド・エリア・ネットワークのヘッドエンドに配置されたプローブ、又はフィールド・エリア・ネットワークのデータ・ネットワーク運用センター若しくはセキュリティ運用センターの内部のコンピューティング・プラットフォームに置くことが可能であり、フィールド及びヘッドエンドプローブからのトラフィックが解析及び格納のためルーティングされる。
FAN侵入検出及び監視システムは、回収、再生、事後解析及び後の犯罪捜査用に、プローブによって傍受されたトラフィックを格納するリポジトリをさらに含む。
FAN侵入検出及び監視システムは、システムユーザが監視、解析、及び可視化アプリケーションのセットにアクセスする電子アクセス権を提供するクライアント・サービス・ポータルをさらに含む。これらのアプリケーションは、ユーザがシステム及びプローブの健全性及び運用状態を監視し、システムによって発生させられた侵入検出警告を閲覧し、リアルタイム及び格納されたパケットトレースを閲覧し、復号化し、解析し、フィルタ処理し、FANトポロジー及び通信フローを解析し、可視化することを可能にする。システムは、リアルタイム警告を配信するために侵入検出システムからクライアントのセキュリティシステムに警告を電子フィードすることも可能である。
ルールは、ルールにアクセスする鍵の組を含むデータベースに安全に格納されている。鍵の組は、フィールド・エリア・ネットワークにおける送信側及び受信側ペアのMACアドレスとIPアドレスとのうちの少なくとも一方に基づいて取り出される。
本開示は、パケットがルール又は挙動の組に適合するか否かを確かめるためにパケットを解析することと、パケットが少なくとも1つのルール又は挙動に適合する場合、侵入を示す警告をデータベースに格納することとを含む、データがパケットを用いて送信されるフィールド・エリア・ネットワークにおいて侵入を検出する方法をさらに対象とする。
この方法は、第1のルールの組のうちのいずれかが満たされているか否かを判断するために、メッシュネットワークの構成及び保守をサポートする物理的な媒体アクセス制御(MAC)、並びに、プロトコルスタックのリンク部分とネットワーク部分との間のレイヤを解析することと、第1のルールの組のうちの少なくとも1つのルールを満たす物理レイヤ及び低レイヤデータを示す警告をデータベースに格納することとをさらに含むことが可能である。
この方法は、インターネット・プロトコル・データがパケットに存在するか否か、及び、インターネット・プロトコル・データが第2のルールの組を満たすか否かを判断するためにパケットを解析することと、第2のルールの組を満たすインターネット・プロトコル・データを示す警告をデータベースに格納することとをさらに含むことが可能である。インターネット・プロトコル・データは、IPv4又はIPv6パケットとすることが可能である。
この方法は、フィールド・エリア・ネットワーク・アプリケーション・データがパケットに存在するか否か、及び、フィールド・エリア・ネットワーク・アプリケーション・データが第3のルールの組を満たすか否かを判断するためにパケットを解析することと、第3のルールの組のうちの少なくとも1つのルールを満たすフィールド・エリア・ネットワーク・アプリケーション・データを示す警告をデータベースに格納することとをさらに含むことが可能である。
パケットは、FANに配置されているプローブ又はフィールド・エリア・ネットワークのヘッドエンドにおけるプローブから受信され得る。ノードイベントのような侵入検出に適切なその他の情報は、配電システム又は管理システムに関連付けられたフィールド・エリア・ネットワークの運用センターから受信され得る。
本開示は、プローブによって傍受されたトラフィックトレースを格納し、取り出す方法をさらに対象とする。
本開示は、発明のホスト型又は管理型サービス実現をサポートするためにクライアント・サービス・ポータルを介してシステムユーザがアプリケーションの組にアクセスできるようにする方法をさらに対象とする。
本開示は、システム及びプローブの健全性及び運用状態を監視し、システムによって生成された侵入検出警告を閲覧し、リアルタイム及び格納されたパケットトレースを閲覧し、復号化し、解析し、フィルタ処理し、かつ、ネットワークトポロジー及び通信フローを解析し、可視化する方法をさらに対象とする。
本開示は、コンピュータシステムによって実行されたとき、データがパケットによって送信されるフィールド・エリア・ネットワークにおいて侵入を検出する方法のステップの実行をもたらすコンピュータプログラムの命令を格納するコンピュータ読み取り可能な一時的でない記憶媒体をさらに対象にする。これらのステップは、パケットが1つ以上のルールの組に適合するか否かを確認するためにパケットを解析することと、パケットが1つ以上のルールの組のうちの少なくとも1つのルールに適合する場合、侵入を示す警告をデータベースに格納することとを含む。
FAN侵入検出及び監視システムアーキテクチャの高レベルブロック図である。 電柱上のFANプローブの設置例を示す。 図1CはFAN IDSシステムがどのようにして公益事業ネットワークインフラにオーバーレイすることができるかを示す。
FAN侵入検出及び監視システムアーキテクチャ1の高レベルブロック図である。
独立型のプローブに基づく侵入検出及び監視システムアーキテクチャの高レベルブロック図である。
IDSパケット・フロー・アーキテクチャを示す。
ヘッドエンドに基づくFANアナライザ/IDSアーキテクチャを示す。
プローブサブシステムのブロック図である。
図6のRFデータ収集装置のFANデータ収集プロセスのフローチャートである。
図6のプローブ・コントローラ・ボードのデータキャッシング及び送信プロセスのフローチャートである。
図6のウォッチドッグ・タイマのプローブ・ウォッチドッグ・タイマ・プロセスのフローチャートである。
正常運用中の図6のコントローラボードのウォッチドッグ・タイマ利用プロセスのフローチャートである。
電力サイクルの起動中の図6のコントローラボードのウォッチドッグ・タイマ利用プロセスのフローチャートである。
電力サイクルが始動される方法のフローチャートである。
プローブ管理サブシステムのコンポーネントのブロック図である。
図12のプローブ管理サブシステムのプローブプロセスの遠隔管理のコンポーネントのフローチャートである。
プローブ管理システムによって生成されたプローブ管理ダッシュボードGUIである。
データ・プロセッサ・サブシステムのコンポーネントのブロック図である。
図14のコレクタ/ディセミネータのフロープロセスのフローチャートである。
図14のデータプロセッサによって実行される侵入検出システムプロセスのフローチャートである。
図14のユーザ・ポータル・サブシステムのコンポーネントのブロック図である。
FANアナライザ218のコンポーネントの動作の高レベルブロック図である。
MeshViewアプリケーション・データ処理フローのハードウェア及びソフトウェアコンポーネントの組の略図である。
MeshViewアプリケーション・データ処理フローのためのネットワーク・コンフィギュレーション・データを作成する処理の略図である。
MeshViewアプリケーションにおけるパーサフィルタの組のグラフィック表現である。
プローブトラフィックに基づくMeshViewアプリケーションにおけるノード及びノードルートの相互接続のプロット図である。
地形画像上のMeshViewアプリケーションから生成されたノードの一部分とノードルートの重ね合わせである。
プローブトラフィックの解析からMeshViewアプリケーションによって生成されたコネクティビティ・マップのスクリーンショット例である。
MeshViewアプリケーションにおけるフィルタ処理の結果に基づいたパケットフィルタ及び通信統計データを表すスクリーンショット例である。
MeshViewアプリケーションに時間的に現れた通りにパケット及び通信を表すタイムライン図を示す。
MeshViewアプリケーションのためのコンポーネントの論理ブロック図である。
2つ以上の図面に共通するコンポーネント又は特徴は、個々の図面において同じ符号で示される。符号は、一般に、コンポーネント又は特徴が最初に記載された図の図番から始まる。
図1Aは、FAN侵入検出及び監視システムアーキテクチャの高レベルブロック図を示す。FAN侵入検出及び監視システムは、2つの主要なサブシステム、すなわち、フィールド及びヘッドエンドプローブと、全体的に42として示されたFANバックエンド監視サブシステムとで構成されている。FAN侵入検出及び監視システムは、公益事業者のようなFAN所有者によって配置され、運用されること、又は、別の当事者によって管理型セキュリティサービスのようなホスト型サービスとして提供されることが可能である。好ましい実施では、FAN侵入検出及び監視システムは、複数のFANをサポートするホスト型管理型セキュリティサービスとして運用される。
多数のプローブ112がFANバックエンド監視サブシステム42によるバックホール及び解析のためFANトラフィックを傍受するためにFAN110に挿入される。固定外部プローブ112は、支柱、タワー、変電所及び建物のようないずれかの公益事業者アセット、又は、所有権者の許可が与えられた商業及び個人住宅構造物に位置することも可能である。固定プローブからのトラフィックは、商用無線ネットワーク(例えば、3G(登録商標)又はLTE(登録商標))又は既存の公益事業者ティア1及び2レイヤネットワーク設備を通じてバックホールされる。
固定プローブ112は、同じ場所に置かれること、或いは、住宅用若しくは商業用メーター、又は、スマートグリッド・ホーム・エリア・ネットワークの内部のHAN使用可能若しくは負荷制御装置のサブセットに内蔵されることも可能である。HAN使用可能装置は、典型的に、エネルギー使用量、使用時間料又は需要反応行動を公共料金納付者に通知する。メーター及びHAN装置プローブは、利便性に優れた電力へのアクセス、及び、あまり過酷ではない物理的環境という優位性を提供する。さらに、商業用メーターは、典型的に、プローブによって使用され得るデータコネクティビティを有している。住宅用スマートメーターは、AMIデータコネクティビティを有しているが、サプライチェーン完全性のためAMI通信からのプローブ通信の独立性を維持するために、且つ、過負荷帯域幅制限AMIネットワークを回避するためにプローブ通信のため別個のネットワークを使用することが好ましい。メーター及びHANに基づくプローブは、一般に、顧客が自分の固定ブロードバンド接続の使用を許可しない限り、トラフィックバックホールのため商用無線サービスを使用するものである。
モバイルプローブは、公益事業者の業務用車両44、又は、モバイルプローブのホストになることを承諾するいずれかの車両に配置される。自治体が自らの電気インフラを保有し、運用する町村では、プローブ112は、ゴミ収集車、警察車両、街路掃除及び道路整備車両を含む自治体車両に置かれることがある。モバイルプローブは、タクシー及び配達用トラックのような商用車両に置かれることもある。主要な要件は、FAN100が配置されている公益事業者サービス地域内で車両が移動することである。公益事業者及びサービストラックを使用する利益は、これらのトラックが通常では無線データコネクティビティ及び全地球測位システム追跡装置を既に装備し、モバイルプローブによって使用され得ることである。
モバイルプローブは、商用無線ネットワークを介してトラフィックをバックホールするか、又は、車両がこの車両の収納ポイントに帰還した時点での後のアップロードのためトラフィックを記憶し、この時点で、このモバイルプローブのトラフィックは、ローカルWi−Fiサービスを介して、又は、USBメモリスティック転送を使用して手動でアップロードされることがあり、それによって、ワイド・エリア・ネットワークコネクティビティの必要性をなくす。
ヘッドエンドプローブ112は、アクセスポイント(後述される)とヘッドエンド管理システムとの間のすべてのトラフィックを傍受するためにFANヘッドエンド区画の中に置かれる。ヘッドエンド・プローブ・トラフィックは、十分な帯域幅を持ついずれかの利便性に優れたネットワーク、典型的に有線のIPネットワーク、を介して送信される。
フィールドプローブ112は、メーターからトラフィックを受信し、且つ、DA/SAトラフィックを受信する。プローブ112からのリアルタイムAMIトラフィックがコレクタ/ディセミネータ214へのバックホールネットワーク120を介してFANバックエンド監視サブシステム42に送信される。コレクタ/ディセミネータ214からのデータは、侵入検出システムIDS216と、FANアナライザ218と、概ね3ヶ月の期間に亘りトラフィックを格納するトラフィック・トレース・リポジトリ217(図14)とに広められる。プローブ管理システム220は、コレクタ/ディセミネータ214と通信する。IDS216は、50に警告及びイベントを記録する。このような警告及びイベントは、クライアント・サービス・ポータル又はユーザポータル61からも受信され、52に示された脅威を解析し、FANアナライザ218への入力を提供する専用サイバー脅威解析チームに転送される。サイバー脅威解析チーム52から、及び、クライアント・サービス・ポータル又はユーザポータル61からの入力もまた後述されるMeshViewアプリケーション53に転送されると共に、セキュリティ、エンジニアリング及び運用機能を含む公益事業者58の内部のセキュリティ情報及びイベント管理(SIEM)アプリケーション56のメーターイベント部54にも転送され、これらのコンポーネント、及びこれらの機能は、後述される。
図1Bは、配電電圧のためのワイヤ64と、顧客に供給される典型的な120ボルトのためのワイヤとを支える電柱に搭載されているトラフィックを送信するアンテナ60を有するプローブの典型的な配置を示す。ワイヤ66に接続された、ワイヤ68は、プローブ112の動作のための電力を供給する。
図1Cは、プローブ及びFANバックエンド監視システムがどのようして典型的なレイヤ状ユーティリティ・ネットワーク・インフラにオーバーレイするかを示す。最低レベルで、住宅又は建物用のホーム・エリア・ネットワーク(HAN)102は、少なくとも1台のプログラマブル通信サーモスタット(PCT)105、少なくとも1台の住宅用負荷制御装置106及びインハウスのような1台以上の高性能型メーター又はスマートメーター104及びHAN使用可能装置に関連付けられている。スマートメーター及びDA装置は、メーター104と、アクセスポイント116と、中継器117と、センサ及び配電自動制御装置114との間で低帯域幅RF通信を用いてメーター、HAN及び配電自動トラフィックを運ぶFAN110を介して通信する。アクセスポイント116は、FANトラフィックを公益事業者アプリケーションのためのヘッドエンドシステムへのバックホール用のワイド・エリア・ネットワーク(WAN)トラフィックに遷移させるゲートウェイとしての役割を果たす。WANは、アクセスポイントを公益事業者バックエンドインフラ、又は、ファイバ又はマイクロ波システムからなるコア第1層ネットワーク130を介して公益事業者バックエンドにつながる変電所にある第2層ローカルネットワーク120の組み合わせに接続する商用無線ネットワークで構成されることがある。
FAN110からのデータは、概ね中間帯域幅RF通信によってバックホールネットワーク120に通信される。バックホールネットワーク120は、光ファイバ又はマイクロ波通信を使用することがあるコアネットワーク130にデータを移動することを容易にするために一連のルータ122を含むことができる。ルータ132は、データを監視制御及びデータ収集(SCADA)機器134にルーティングする。トラフィックは、次に、エンジニアリング143、セキュリティ145及びネットワーク運用147を含むFANスマートメーター/DA運用センター142に送信される。プローブデータは、ヘッドエンド管理システム148及びヘッドエンド・プローブ・インターフェース149を含むFANバックエンド監視サブシステム42に送信される。データは、モデル駆動型監視システム(MDMS)データバス152で利用可能である。
前述の通り、プローブは、FAN、HAN、及びヘッドエンドシステム区画の内部の様々な場所に挿入される。プローブトラフィックは、商用無線ネットワーク、第2及び1層ユーティリティネットワークと潜在的な顧客ブロードバンドアクセスとを介して、FANバックエンド監視サブシステムにバックホールされる。FANバックエンド監視サブシステムは、ホスト型ソリューションの場合のように、ヘッドエンド管理区画の中若しくは近くに、又は、別の当事者のサイトに存在する公益事業者データ、ネットワーク運用又はセキュリティ運用センターに位置することが可能である。
固定プローブは、多様な配備戦略を使用してFANに挿入される。1つの戦略は、メーター高密集の地域にプローブを配備することである。第2の戦略は、犯罪率が高い地域又はエネルギー窃盗及び機器不正操作が過去に行われた地域にプローブを配備することである。第3の戦略は、被害を受けやすい機器の近くで無線通信経由DA及びAMI通信を監視することを可能にするために配電自動機器が存在する地域にプローブを配備することである。第4の戦略は、工業中心地、重要なインフラ、政府事務所及び軍事基地のような被害を受けやすい商業及び政府設備の近くにプローブを配備することである。第5の戦略は、十分な照準範囲をもつ単一のプローブを用いて3つ又は4つのアクセスポイントに対するトラフィックを対象とするように複数のアクセスポイント・カバレッジ・ゾーンの交差点にプローブを配備することである。プローブは、アクセスポイントより優れているRFフロントエンドを用いて設計され、より長い距離に到達することができる。最後に、第6の戦略は、1台があらゆるアクセスポイントと同じ場所に配置されるようにプローブを配備することである。
固定プローブは、FANの完全な地理的カバレッジを行うために配備される必要がない。モバイルプローブは、プローブを配置することを承諾した自治体車両、タクシー又は配達用トラックのような公益事業者又は別の当事者によって所有される業務用車両を利用して、サービス地域全体からトラフィックをサンプリングする手段として使用される。
図2は、プローブがより詳しくされたシステムアーキテクチャを示す。多数のプローブ112が公益事業者の分散ネットワークに配備される。コントローラ又は組込みホスト206は、シリアル又はバスインターフェースを介して商用無線モデム210を制御し、セキュアセッションを確立し、パケットをストリーム化し、及び/又は、イベントを送信する。代替的には、カスタムドライバ開発を回避するために、好ましくは、組込みLinux(登録商標)システムである組込みホスト206は、3G(登録商標)又はLTE(登録商標)コネクティビティを提供する標準Wi−Fi接続を介して無線モデム又はMi−Fi装置210に通信する。
図2は、インターネット又はプライベートネットワーク212を介する無線モデム又はMi−Fi装置210からコレクタ/ディセミネータ214へのデータの通信を含むその他のコンポーネントを示す。データは、コレクタ/ディセミネータ214からIDS216、ネットワーク・アナライザ218及び後述されるその他のバックエンドシステムに通信される。プローブ管理システム220は、インターネット又はプライベートネットワーク212及び無線モデム又はMi−Fi装置210を介してプローブへの制御情報を組込みホスト206に送信する。
プローブ112のその他のコンポーネントは、ローカルストレージ208及び任意選択的なローカル侵入検出機能204を含む。クライアント・アクセス・サブシステムは、222に表されている。224に表されるようなその他のプローブコンポーネントは、図6においてより詳細に説明される。
プローブは、FANにおいて送信されている無線通信信号にアクセスするために無線通信フロントエンド技術202を実施する。典型的に、これらの信号は、AMIネットワーク用の900MHz ISMバンドに多数のチャネルを介する周波数ホッピングスペクトル拡散技術を用いて送信される。米国特許第5,079,768号は、周波数変化の疑似ランダムパターンを使用する周波数ホッピング通信ネットワークの動作と、エポックに配置された通信スロットの使用と、受信機のチャネル及びノードが後のスロットを送信すべきか又は待ち受けるべきかを判断する方法とについて記載する。
プローブは、複数のチャネルを格納する広帯域のキャプチャと各チャネルのリアルタイム復調とを可能にする独立したRFフロントエンド、チャネルスキャン技術、及び/又はデジタル信号処理技術の組み合わせを通じて複数チャネルキャプチャをサポートする。好ましい実施では、プローブは、選択されたパーセンテージのトラフィックがキャプチャされるように監視するためにいくつかの周波数を選択することによりFANトラフィックをサンプリングすることがよくある。例えば、FANトラフィックが80チャネルすべての間で均等に分散させられている80チャネルシステムでは、8チャネルの選択は、プローブが1組のチャネルで静止している技術を使用してFANトラフィックの10%サンプルをもたらすということになる。代替的には、プローブ内の個々のRFフロントエンド202は、個々のフロントエンド202が全帯域幅の一部分を対象とする状態で、選択されたチャネルの組を通じてスキャンし、次に、個々のメッセージ送信に先行するプリアンブルシーケンスの一部分が検出されたとき、チャネルにロックすることが可能である。さらに別の実施では、80チャネル全体が全スペクトルプローブを使用して傍受される。典型的なプローブでは、複数のRFフロントエンド202が存在することになり、一部は固定のチャネルの組に設定されることが可能であり、その他は、チャネルをスキャンするように構成され得る。より洗練されたプローブ実施では、ISMバンド全体がキャプチャされ、デジタル信号処理技術が完全なトラフィックキャプチャのため殆どの又はすべてのチャネルを同時に復調するために使用される。さらに別の可能性のある動作のモードは、プローブがあるアクセスポイント116又は特定のメーター104のような特定のAMI装置に関連付けられたすべての送信をターゲットにすることである。これは、対応する周波数ホッピングアルゴリズムの実施を必要とするものであり、このことを達成するため適切なタイミングを導くためにライブ・トラフィックからの入力を必要とすることがある。典型的な条件下では、トラフィックサンプリングは、攻撃者がどのチャネルが監視されているかを知らないことがよくあるので、侵入の兆候を監視するには十分である。攻撃者は、複数のチャネル上で同時に送信しようとすること、又は、特定のノードを危険に晒そうとしているとき、単一のチャネルに固定されたままであることがある。いずれの場合も、攻撃者の挙動は、異常な活動として検出可能である。
プローブ112は、様々な無線技術、RF周波数範囲、及び性能要件を適応できる交換可能、且つ、構成可能な装置であることが意図されている。RFフロントエンドの数及びタイプのようなプローブの一部の特徴はハードウェアに依存するので、製造の時点で決定される。限定されることはないが、監視すべきチャネル、トラフィックサンプリング方法、(特に、DSPに基づくプローブにおける)復調方法、ローカル侵入検出ロジックのタイプ、バックホーリング・トラフィックのモード(例えば、連続ストリーミング又はトリガーに基づく)、及びパケット復号化ロジックのようなプローブのその他の特徴は、プローブ管理システム220によって遠隔的に構成され得る。
一部のプローブ112は、ローカル侵入検出機能204をさらに含むことがあり、それゆえに、プローブは、傍受されたパケットの全部又は一部分を復号化し、且つ、任意選択的にデスクランブルし、異常及び侵入の兆候を検出するために組込みホスト206の処理能力の範囲内にあるセキュリティルール、ポリシー及びヒューリスティックスを適用する。ローカルIDS機能性は、プローブ管理システム220の制御下で、プローブの範囲内の1つ以上の受信されたチャネルに適用され得る。
プローブ構成及び処理容量の考慮は別として、ローカルIDS機能性を組み入れる決定は、プローブの位置及び物理的セキュリティによる影響を受けるかもしれない。バックエンド内のすべてのIDS処理をそのままにしておく理由は、傍受されたトラフィックをどのようにデスクランブル及び復号化するかについての情報を保護することである。この処理がプローブの内部で実行される場合、この情報は、攻撃者がプローブを盗み取り、うまくリバースエンジニアリングすることができるならば、脆弱であるかもしれない。デスクランブル及び復号化プロセスがFANバックエンド監視サブシステムにある場合、プローブは、公衆の、無線通信経由トラフィックのコレクタとしての役割を果たすだけであり、監視されている機器に既に存在するセキュリティリスクを越える付加的なセキュリティリスクをもたらすことは一般にないであろう。タワー及び支柱の高い頂上に搭載された安全な変電所及びプローブのような物理的に安全な位置では、ローカルIDS機能性は、攻撃の危険性の低い場所に配備されることがある。プローブが物理的に保護され得ない位置では、復号化及び侵入検出機能性が低い基本的なトラフィック・コレクタ・プローブが望ましいかもしれない。
プローブ112は、受信及び送信の両方のモードで動作することが可能である。通常、プローブ112は、トラフィックを監視するために、受動的な、無差別な、受信モードで動作する。しかし、プローブ112は、バックエンド管理アプリケーション又はプローブ管理サブシステムによって、特定のチャネルで特定の宛先に特定のメッセージを送信することを指令されることもあり得る。この能力は、試験及び診断目的のため、又は、攻撃者にとっての成功を遅延、妨害、又は否定するために識別された攻撃への応答の一部として使用されることがあり得る。
プローブ112は、処理なしで受信されたあらゆるトラフィックのストリームを戻すように、又は、環状バッファ内のトラフィックのタイムスライスを局所的にキャプチャするように構成され得る。ストリーミングモードでは、すべてのトラフィックが処理及び格納のためバックエンド・アプリケーションに渡される。好ましい実施では、タイムスタンプ、シーケンス番号、プローブ識別情報、及び全地球測位システム座標が、各パケットの受け取りの後にプローブによって適用される。代替的には、タイプスタンプは、バックエンドで適用され得る。トリガーモードでは、プローブは、トラフィックのタイムスライスをローカルストレージ208に連続的に一時記憶し、トリガー条件が満たされると、プローブは、プローブ管理システムへ戻るイベントを生成し、トラフィックのタイムスライスをバックエンド監視サブシステムに格納するか、又は、直ちにアップロードする。タイムスライスは、持続時間に関して予め構成され、トリガーイベントを生成したトラフィックを含む。イベントを受信した後に、プローブ管理サブシステムは、未だアップロードされていない場合、評価のため格納されたタイムスライスを取り出し、ストリーミング又はトリガーモードでの付加的なキャプチャのためプローブ112を再構成することができる。トリガーモードは、バックホールトランスポートが計量されるとき、バックホール・トラフィック・ボリューム及びトランスポートのコストを削減するために有利である。
様々なトリガー及びフィルタがイベントを惹起するために、且つ、プローブによって収集又はストリームされたトラフィックをフィルタ処理するために使用され得る。これらのトリガーの一部は、
・送信元及び/又は宛先アドレス
・先頭ワード
・チャネルID
・日時
・トラフィックのタイプ(例えば、ユニキャスト、ブロードキャスト、コマンド、応答、同期、又はネットワーク保守)
・仮想ネットワークID
を含む。
一方のモードでは、プローブ112は、スマートメーター104又はアクセスポイントのような特定のターゲットノードを追跡することを指令され得る。このモードは、アクセスポイントがFANと公益事業者バックエンドシステムとの間の通過ポイントを表現するので、アクセスポイントのような攻撃者にとって価値の高いターゲットを監視するため特に有用である。FANからバックエンドシステムに侵入しようとする攻撃者は、アクセスポイントをターゲットにすることがよくあると思われる。アクセスポイントへ送信されたすべてのトラフィックを監視することは、ヘッドエンドシステムに侵入することを目的とされた攻撃の検出に役立ち得る。
ノードを追跡することは、周波数及び時間の両方で周波数ホッピングシステムにおけるターゲットノードによって選択された疑似ランダム・ホッピング・シーケンスと同期しているホッピングを意味する。多くのAMI及びDAシステムでは、例えば、個々のノードは、典型的にそのMACアドレスに基づく異なった疑似ランダム・ホッピング・シーケンスを使用する。追跡モードにあるプローブは、ターゲットノードからの同期ブロードキャストパケットを傍受する。同期ブロードキャストは、パケットが受信された時間を基準とするターゲットノードのホッピングシーケンスの中でこのターゲットノードが現時点で存在する場所に関するタイミング情報(例えば、フラクショナル・エポック・チック)を収容する。グローバル・チャネル・アレイと、追跡されるべきノードのMACアドレスと、周波数ホッピング・スロット・タイムと、時間的な基準ポイントにおけるターゲットノードのホッピングシーケンスの中でのこのターゲットノードの位置との情報を用いると、プローブは、ノードが将来の時点で傍受されることになる次のチャネルを計算し、ターゲットノードのチャネル周波数に合うようにこのチャネルのチャネル周波数を変更することが可能である。例示的な疑似ランダム・ホッピング・シーケンスは、米国特許出願第2009/0168846号に記載され、この出願は、参照することによって本明細書にその全体が組み込まれる。ターゲットノードとのホッピング同期を維持するために、クロックドリフトとターゲットノードがホッピングシーケンスを再開する状況とを仮定すると、プローブは、プローブがターゲットノードから受信する同期ブロードキャストパケット毎にこのターゲットノードのタイミング情報を更新する。同期ブロードキャストパケットの受信を改善するために、特に、同期が失われた場合、プローブは、計算されたチャネル上でターゲットノードを追跡する1つのRFフロントエンド202と、ターゲットノードの同期ブロードキャストのためのシステム内のその他のチャネルを傍受又はスキャンする1つ以上のその他のRFフロントエンド202とを用いて構成され得る。
プローブトラフィックは、有線及び無線を問わず多様なワイド・エリア・ネットワークを通じてバックホールされ得る。好ましい実施では、プローブトラフィックは、3G(登録商標)又はLTE(登録商標)商用無線ネットワークを介してバックホールされる。個々のハードウェアフロントエンド又は(デジタル信号処理(DSP)プローブ実施の場合に)論理RFチャネルを介して受信されたトラフィックは、組込みコントローラによって集められる。タイムスタンプ、シーケンス番号、全地球測位システム座標及びキャプチャに関連したその他の情報は、個々のキャプチャされたパケットの上に階層化される。組込みコントローラは、キャプチャされたトラフィックを安全に運ぶバックエンド・アプリケーション及び管理制御を用いて1つ以上のセキュア通信チャネルを維持する。これらのチャネルを安全にする好ましい方法は、IPに基づくトランスポートレイヤセキュリティ(TLS)/SSL、IPsec VPN、IPsec若しくはポイント・ツー・ポイント・トンネリングを用いるレイヤ2・トンネリング・プロトコル、及びセキュア・シェル・トンネリングである。標準的な圧縮アルゴリズムは、バックホール帯域幅を低減するためにパケットストリームに適用され得る。バックエンドコレクタ/ディセミネータは、IDS及びその他のバックエンドシステムコンポーネントで利用できるようにパケットストリームを解凍し、暗号解読する。
図2では、複数のフィールド及びバックエンドプローブからのFANトラフィックが、1つ以上のタイプのバックホールネットワーク、典型的に、IPネットワークを介してデータプロセッサ又はコレクタ/ディセミネータ214に送信される。個々のプローブ・トラフィック・ストリームは、トンネルを通じてTCP/IP又はUDPによってコレクタ/ディセミネータの異なるIPポートに送信される。コレクタ/ディセミネータ214は、個々のプローブとセキュリティ的に関連してエンドポイントとしての役割を果たし、バックホールネットワークを介する送信中にプローブトラフィックを保護するセキュリティトンネルを終端する。コレクタ・ディセミネータは、個々のプローブ・トラフィック・ストリームを暗号解読し、解凍する。プローブ112によって未だ実行されていない場合、コレクタ/ディセミネータは、ビットをデスクランブルするためにプローブ・パケット・ストリームを処理する。ビット・デスクランブル・アルゴリズムは、システムに依存する。FANに対するビット・スクランブル/デスクランブル方法の一例は、米国特許出願第2009/0303972号に記載され、この出願は、参照することによって本明細書にその全体が組み込まれる。コレクタ/ディセミネータ214は、モバイル・プローブ・ルート・ファイルを作成するためにパケットプローブからGPSデータを抽出し、プローブ・トラフィック・ストリームに関するシステムメタデータを追加し、PCAPフォーマットでパケット・トレース・ファイルを作成する。コレクタ/ディセミネータ214は、出版及び購読モードで動作し、特定のストリームを購読するバックエンド内のすべてのアプリケーションがトラフィックストリームを利用できるようにする。コレクタ/ディセミネータは、処理されたライブ・トラフィック・フィードを、例えば、IDS、ネットワーク・アナライザ、トラフィックリポジトリ及び後述のMeshViewアプリケーションに公開する。
処理されたライブ・トラフィック・フィードは、リアルタイム解析のためIDSシステムに送信される。好ましい実施では、IDSは、Snortの修正版、インターネット・プロトコル(IP)ネットワーク上でリアルタイムトラフィック解析及びパケットロギングを実行する能力を持つオープン・ソース・ネットワークに基づく侵入検出システム(NIDS)である。IDSは、着信パケットストリーム上で常に動作する。SnortのようなIDSは、本質的にIPv4/IPv6トラフィックを処理するが、スマートグリッドFANで広く使用される独占的プロトコルとは連動しない。したがって、特殊なプリプロセッサが物理的なフレーム、媒体アクセス制御、リンクレイヤ、リンクレイヤとネットワークレイヤとの間のカスタムレイヤ、並びにアプリケーションレイヤプロトコル及びFANパケット内のデータの複数の組込みレベルを観測するために構築される。FANデータパケットに組み込まれるIPv4/IPv6プロトコル・データ・ユニットは、カスタムルールを使用して抽出されると、IDS IPv4/IPv6能力によって解析される。さらに、プリプロセッサが独占的ルーティングプロトコル、ブロードキャスト、ノード同期/保守、セキュア・アソシエーション、及びトランザクション・ハンドシェイク・メッセージのようなFANにおいて排他的に使用されるその他の独占的プロトコルを解析するために使用される。アプリケーションプロトコルは、典型的に、C12.22及び独占的プロトコルのような標準ベースのプロトコルの混合で構成される。米国特許出願公開第2008/0051036号は、AMI、すなわち、メッシュネットワーク動作のため不可欠であるリンクレイヤとネットワークレイヤとの間のレイヤで使用されるメッシュレイヤプロトコルの一例を提供する。
IDSに対するエンド・ツー・エンド・パケット・フローが図4に示される。ストリーミング中のプローブ・パケット・トラフィックは、コレクタ/ディセミネータによって受信され、処理され、TAPライタモジュールを使用するネットワークTAPインターフェースを通じてIDSに送り込まれる。TAPインターフェースは、第1のルール及び挙動解析の組が適用されるIDSプリプロセッサに送り込む。IPv4/IPv6及びアプリケーションレイヤは、次に、第2のルール及び挙動解析の組を使用する本来のIDS能力によって処理される。アプリケーションレイヤプロトコルは、次に、第3のルール及び挙動解析の組によって解析される。
個々のプローブストリームは、プローブ送信元に対する具体的なルールを使ってカスタム化された別個のIDSインスタンスによって処理される。例えば、個々の固定プローブからの傍受されたトラフィックに収容された送信元及び宛先アドレスは、個々のプローブに対する別個のホワイトリストを対照して処理される。スマートメーター及びDA機器は、固定した地理的位置を有し、これらのトラフィックは、1つ以上のプローブに現れるべきであるが、その他には現れるべきではない。アドレス・ホワイトリストは、プローブ毎に正当な送信元を識別するために構築される。ホワイトリストに掲載されない装置は、プローブ毎にIDSインスタンスによって識別され、警告を生成し、さらなる精査の対象になる。さらに、グローバルIDSは、FANシステムによって用いられる許可されたネットワークIDについての監視のようなプローブとは無関係にグローバルに適用される異常を検出するためにすべてのプローブトラフィックの複合物で動かされることがある。
IDSは、着信プローブトラフィックの連続的なストリームを常に処理する。警告は、異常及び挙動がルールセット及び挙動解析を満たすとき、生成される。警告は、警告/イベントデータベースに記録される。警告/イベントは、クライアント・サービス・ポータルを通じて電子インターフェースを介して公益事業者によって運用されるセキュリティインシデント及びイベント管理システムにリアルタイムで電子的に送信されることもある。
クライアント・サービス・ポータルは、プローブ・モニタ(FAN侵入検出及び監視システムによって使用されるプローブ・マネージャ能力のサブセット)、ネットワーク・アナライザ、トラフィックリポジトリ、及びMeshViewアプリケーションへの安全なアクセスを公益事業者に提供する。クライアント・サービス・ポータルは、トランスポートレイヤセキュリティ及び仮想プライベートネットワーク接続を使用するウェブアプリケーションで構成される。クライアント・サービス・ポータルを通じてアクセスされるすべてのアプリケーションは、ホスト型であり、FANバックエンド監視サブシステムと共にプラットフォームで動かされる。
IDSによって生成された警告/イベントは、一般的に、FANの運用と、ノードの挙動パターン及びトラフィックプロファイルと、FAN技術及びこのプロトコルにおけるセキュリティ弱点及び脆弱性とに精通する個人のチームであるサイバー脅威解析機能によって処理される。サイバー脅威解析チームは、警告を生成したトレースリポジトリからトラフィックトレースを取り出すことにより個々の警告を詳細に再調査する。サイバー脅威解析チームは、警告の時点での通信及び対象となるノードを取り出すためにMeshView内に適切なフィルタをさらに設定する。サイバー脅威解析チームは、イベントの前、最中及び後にトラフィックパターン及びノード挙動を解析し、挙動を既知の基準と比較する。チームが警告/イベントを侵入者行動又はネットワーク故障の兆候として確認する場合、チームは、公益事業者顧客にイベントを通知すると共に、さらに調査を続ける。この調査は、モバイルプローブが該当エリアに送信されること、及び、固定プローブがノード又は対象となるトラフィックに重点を置くように構成されることを必要とすることがある。
ライブ処理されたトラフィックフィードもまたネットワーク・アナライザの1つ以上のインスタンスに送信され、このネットワーク・アナライザが着信パケットの中の情報フィールドを復号化し、ユーザが各プローブによって傍受されたリアルタイムFANトラフィック行動を観測することができる実行中のパケットのリストを提示する。例えば、PCAP処理ツールのようなネットワークトラフィックをキャプチャする(PCAP)、アプリケーション・プログラミング・インターフェースのような周知のネットワーク・アナライザと同様に、FANアナライザは、ユーザが復号化のためのパケットを選択することを許可する。フィルタ処理可能な項目に個々の情報フィールドを使用する強力なパケットフィルタは、フィルタ規準に合致するトラフィックのサブセットを提示するために適用されることも可能である。
ライブ処理されたトラフィックフィードは、トラフィックリポジトリにも送信される。あらゆるプローブ・トラフィック・フィードがキャプチャされ、最低3ヶ月に亘ってトラフィックリポジトリに格納される。好ましい実施では、パケットキャプチャは、ファイルに分割され、日時によって個々のプローブからのトラフィックの迅速な識別を可能にするファイル命名法及びディレクトリ構造を使用して1時間単位で格納される。トラフィックファイルは、ネットワーク・アナライザ、又は、診断若しくは調査をサポートするために再処理を行うその他のいずれかのアプリケーションよって後で呼び出され得る。トラフィックファイルは、新しいルール、解析又は復号化能力が追加されたとき、再処理されることも可能である。トラフィック呼び出しは、診断及びフォレンジクス作業をサポートすることを必要とするために重要である。
ライブ処理されたトラフィックフィードは、通信フロー及び上位レベル・ネットワーク・ルーティングとコネクティビティ・マップとがパケットキャプチャにおける観測から構築されるネットワーク解析及び可視化ツール(MeshView)にも送信される。処理されたトラフィックフィードは、トポロジー情報を抽出するためにMeshViewによってさらに処理され、MeshViewアプリケーション・データベースに取り込まれる。トラフィック統計及びトラフィック・ベース・ライニングが日時及び月日によってプローブ毎にトラフィックのプロファイルを作り上げるためにMeshViewによって実行される。
図2に提示された侵入検出及び監視アーキテクチャは、市販ネットワーク・アナライザがラップトップコンピュータ上のWi−Fiネットワークカードで動作するのと同様に、単一のラップトップ及び単一又は少数のプローブを用いる独立型運用のために簡略化され得る。このような構成は、実験室アプリケーションのため、且つ、アナライザ及びIDS能力を現場技術者のための診断ツールに組み込むときに役立つことがある。
図3は、ラップトップ・コンピューティング・システム302上で1台又は少数台のプローブ112のためのパケットキャプチャと、ストレージと、ネットワーク・アナライザと、IDS機能と、ネットワーク解析及び可視化とのコア機能を実施する小規模実験室又は現場技術者独立型診断ツールを示す。無線モデムでトラフィックをFANバックエンド監視サブシステムにバックホールするのではなく、USB若しくはシリアルコネクション304が(複数の)プローブ112とラップトップ・コンピューティング・サブシステム302との間で傍受されたトラフィックを運ぶ。ネットワーク・アナライザと、IDSと、MeshView53のネットワーク解析及び可視化能力とは、アプリケーションの組として実施される。コレクタ/ディセミネータの簡略化版がパケットストリームをマルチキャストするために使用される。トレースは、コンピューティングシステム302のラップトップ・ハード・ディスク302に局所的に格納される。別の実施では、制御センターは、例えば、ブラウザのようなシンクライアントだけを有することを必要とするコンピューティングシステム302によってアクセスされる。データ操作及び処理は、制御センターで実行される。
図4は、IDS216へのパケット・フローを示す。プローブ112からのストリーミング中のパケットトラフィックは、ワイド・エリア・ネットワークすなわちWAN402によって搬送され、WAN402からコレクタ/プリプロセッサ404に送り込まれる。TAPライタインターフェース406は、次に、データを解析プリプロセッサ408に供給し、解析プリプロセッサは、順に、データをSnortモジュール410に供給する。
プローブによって放出されたデータパケットは、キャプチャされた送信情報を運搬する。キャプチャされたパケットに関連付けられたメタデータを含むその他の情報は、プローブによって送信されることがある。キャプチャされた送信情報と共に、又は、おそらく別個に送信されたこのような情報は、
1.パケットがキャプチャされたときを識別するタイムスタンプ
2.受信信号強度表示(RSSI)
3.パケットをキャプチャした具体的な無線通信ヘッドエンド装置の識別情報
4.無線通信ヘッドエンドが同調させられ、結果的に、パケットがキャプチャされた周波数(これは、キャプチャされたパケットに存在するいずれかのチャネル識別子によって識別された周波数とは潜在的に異なることがあり得る)
5.パケットを報告するプローブのシステム全体で一意の識別情報
6.増幅率、帯域幅、変調パラメータなどのような、パケットがキャプチャされたとき、プローブ又は具体的な無線通信ヘッドエンドを構成するのに用いられたパラメータ
7.無線通信ヘッドエンド、プローブで動くソフトウェアバージョンの識別情報
8.プローブとバックエンドとの間のプロトコルのインターフェース仕様のバージョンの識別情報
9.運搬されているパケット又はプローブ若しくは無線通信ヘッドエンドに存在する条件に関するエラーシナリオ、又はエラーの不足を識別する情報
10.プローブの地理的位置(これは、プローブが静止していないシナリオで有用であるか、又は、バックエンドシステム内でプローブの位置を構成する必要性を軽減するために利用されることがある)
11.プローブの内部状態条件(これは、供給電圧のような電気的パラメータ、構成設定及びペグカウントのようなソフトウェアパラメータ、又は内部及び外部温度のような環境パラメータを含む可能性がある)
を含む。
IDS216は、プローブ位置に基づいてパケットストリームをパースし、グローバル及び領域固有の両方のルールを各ストリームに適用する。ルール、ポリシー及びステートフルモデリングがカスタム・プロトコル・スタックの各レイヤで実行され、IPv4/IPv6処理は、Snortの本来備わっている能力を使用して行われ、すべてのその他の処理は、カスタムプリプロセッサによって行われる。あるチャネルの供給源によって送信された要求は、典型的に別のチャネルで送信された応答と相関させる必要があるので、IDS216は、トランザクションに対し状態を一様に維持する。IDSによって実施される主要なルール、ポリシー、及びステートフル動作の中には、
A.セキュアトランザクション
B.平文メーター読みのようなインセキュアトランザクション
C.フィールド・サービス・ツール及び現場技術者機器によって発生したトランザクション
D.未認識ネットワーク識別子又は標準設定ネットワーク識別子
E.過剰ノードチャットネス
F.ノードを対照するポートスキャン
G.再生されたメッセージ
H.無効な署名又はセキュリティ証明書付きのメッセージ
I.取り消されたセキュリティ証明書付きのメッセージ
J.偽造又は無償DNS及びタイムサーバ応答
K.偽造ファームウェア更新メッセージ
L.メーター接続/切断及びメーターテーブル書き込みのようなセンシティブな動作
M.ノードからのラスト・ガスプ・メッセージの反復
N.無効又は未認識MACアドレス
O.無効又は未認識IPアドレス
P.バックエンドシステムのIPアドレスによってバックエンドシステムをアドレス指定する試み
Q.レイヤ2の中間者攻撃
がある。
領域固有ルールの一例は、プローブの無線通信カバレッジエリアに対するMACアドレスの公知のホワイトリストを対照して、プローブストリーム中のすべての受信されたパケットのMACアドレスをチェックすることである。FANトラフィックがアプリケーションレイヤで暗号化されている場合、IDSルール及びポリシーがすべての下位レイヤで依然として適用されることが可能であり、ペイロードのコンテンツが判読できない場合であっても、トランザクションのステートフルモデルが依然として適用され得る。代替的な実施では、IDSは、FAN/AMIシステムのため使用される鍵格納場所にアクセスし、個々のペイロードを暗号解読するため必要とされる鍵材料を取り出すことができる。鍵材料は、送信側及び受信側ペアのMACアドレス又はIPアドレスに基づいて取り出され得る。同様に、下位レイヤで使用される暗号は、IDSが鍵サーバにアクセスできることを仮定すると、解析のため暗号解読され得る。
大規模FANにおけるスケーラビリティのため、FANは、コレクタ、IDS、及びアナライザの複数の組に分割されることが可能であり、IDSイベントは、中央イベント管理システムに報告されることが可能である。IDSイベントは、FANの外側のシステム及びインテリジェンスフィードを含む複数の供給源からイベントフィードを取得し、外観上無関係のイベント及び条件が実際に組織的な攻撃の一部であるか否かを評価するために相関解析を実行するセキュリティインシデント及びイベント管理(SIEM)システムにさらに報告されることが可能である。別の実施では、仮想コレクタ及びIDSは、プローブ毎にコンピューティング・プラットフォーム上に設けられ、それによって、所定のホワイトリストを対照してエリア内のMACアドレスをチェックするようなカスタムルール及びポリシーをプローブ位置毎に実現し易くする。
FANアナライザとも呼ばれるネットワーク・アナライザは、FANパケットを情報要素に分解する独立型アプリケーションである。好ましい実施では、FANアナライザは、オープンソース・パケット・アナライザであるPCAP処理ツールに基づき、このPCAP処理ツールは、キャプチャされたパケットを提示するためにグラフィカル・ユーザ・インターフェース(GUI)を提供し、公益事業者通信で使用されるその他の標準的なプロトコルをサポートすることに加えて、本来備わっているIPv4/IPv6能力を有している。FANトラフィックは、個々のベンダーに固有である独占的プロトコルを使用するので、カスタムディセクタは、PCAP処理ツールに書き込まれ、且つ、組み入れられる。ディセクタは、受信されたパケットの各バイトをパースし、PCAP処理ツールGUIにおける提示のための構造を画定する。同様に、ディセクタは、パケット内の各フィールドが対象となるパケットを強調するために検索又はフィルタ処理で使用されることがあるように、PCAP処理ツール構成を利用する。好ましい実施では、ディセクタは、物理フレームレイヤ、リンクレイヤ、リンクレイヤとネットワークレイヤとの間のカスタムレイヤ、ルーティングプロトコル、時間同期プロトコル、ノード同期/保守・プロトコル、セキュアアプリケーションレイヤ、インセキュアアプリケーションレイヤ、C12.19テーブル、及び一般メーター・インターフェース・プロトコルのため書き込まれる。ディセクタは、物理フレーム上でチェックサムを実行するためにCRC−32ライブラリを巧く利用する。さらに、ZLIBライブラリのような圧縮ライブラリは、アプリケーションレイヤメッセージを解凍するために使用される。さらに、パケット内に収容されているメタデータを詳細に分析し、フィルタ処理する能力は、時間、地理的位置、及び周波数又はその他のパラメータを含む多次元フィルタリングを実現し易くする。
FANアナライザ218は、コレクタ/ディセミネータ214からストリームされるか、又は、トラフィックリポジトリから呼び出されたパケット・トラフィック・ファイル上で動くように設計されている。トラフィックキャプチャは、PCAPファイルの形式でデータリポジトリに格納される。典型的に、ファイルは、IDS216によって送られたイベントの調査後にアクセスされることがよくある。代替的には、ユーザは、閲覧するために対象となるプローブ・パケット・ストリームを選択することができ、コレクタ/ディセミネータ214は、ライブビューイングのためFANネットワーク・アナライザ218に別のトラフィックストリームを集め、送出する。複数のFANネットワーク・アナライザ218が公益事業者の範囲内でセキュリティ、運用及びエンジニアリングのような異なったグループによる活動をサポートするために異なった位置から同時に動かされ得る。アクセスルール及び特権は、アクセスのタイプを予め割り当てられた権限によるトラフィックに限定するためにクライアント・サービス・ポータル上の各アカウントに適用され得る。
プローブ管理システム220は、遠隔からプローブ112の構成を管理する。各プローブ112と通信するために別個のセキュア論理チャネルを使用して、プローブ管理システム220は、各プローブ112に局所的に格納される分散型IDSルールセット、パケットトリガー、フィルタ、RFフロントエンド及びサンプリングパラメータと、同様に、その他のシステム構成パラメータとを構成する。プローブ管理システム220は、プローブ112のアクティブポーリング、同様に、プローブ状態、これらのコンポーネント及び健全性と、動作環境とに関する情報を収集するためにプローブによって送信された情報と、同様に、関連するバックエンド・サーバ・プロセスの状態、リソース、及び条件を利用する。データベースは、プローブの状態に関する情報を格納するために使用され、履歴データの表示及び解析のためのアーカイブ情報を提供する。プローブ管理システム220は、各プローブの現在及び履歴状態を解析し、各プローブの状態を特徴付け、アラームの生成、技術サポートスタッフの通知の実行、又はトラブル条件に対する救済若しくは予防行為の実行のような機能を実行することができる。ウェブベースのグラフィカル・インターフェースは、地理的可視化のような、設けられる複数のインターフェース及びオーバーレイの間にある。技術的ユーザのためのユーザ・インターフェースは、動作パラメータ、及び状態情報を表示し、収集され、且つ、導出されたデータにアクセス可能であり、システム構成データのユーザ入力を提供する1つの可能なアプローチである。プローブ管理システム220は、試験、診断、及びインシデント応答目的のための具体的なパケットを送信することをプローブ112にさらに指令できる。プローブ管理システムは、プローブの1つずつへのコード更新をさらに管理する。
パケットがエラーを有していると考えられ、よって廃棄されるべきであるか、又はキャプチャされ送信されるべきであるかによる条件の組は、プローブ管理システムによって同様に構成され得る。例えば、パケットが実際に受信された周波数とは異なる周波数での送信を示すパケットは、典型的に、エラーを有していると考えられる。しかし、何らかの状況下で、このことは、異常挙動、又は潜在的に公益事業者インフラに対する攻撃を表すことがあり得る。
図5を参照すると、何らかの状況では、フィールドプローブ112の配備は不都合であり、又は、公益事業者は、ヘッドエンド区画502に侵入するトラフィック及び脱出するトラフィックを監視することに非常に興味を示し、ホスト型ネットワーク管理サービス又はFANバックエンド・アプリケーションの公益事業者の固有ユーザを監査する。代替的なアーキテクチャでは、プローブは、ヘッドエンド管理システムとアクセスポイントとの間でトラフィックを監視するためにFANヘッドエンド512に位置決めされ得る。ウェブベースのインターフェース上で使用するヘッドエンド管理システムアプリケーション514は、FANヘッドエンド512でさらに監視されることがある。本アーキテクチャでは、ヘッドエンドプローブは、ヘッドエンド管理システムとアクセスポイントとの間を流れるトラフィックの一部分だけにアクセスでき、この部分は一般にプロトコルスタックの上位レイヤにある。物理的、媒体アクセス制御、リンクレイヤ、リンクレイヤとネットワークレイヤとの間のカスタムレイヤは、この観点からプローブには見えない。好ましい実施では、1台以上のヘッドエンドプローブは、ヘッドエンド管理システム区画内のIPv4/IPv6レイヤでトラフィックを傍受するために位置決めされ、フィールドプローブは、個々のアクセスポイント518でトラフィックを傍受する。前述の通り、鍵サーバへのアクセスは、FANバックエンド監視アプリケーションが暗号化されたトラフィックを暗号解読することを可能にする。ヘッドエンドプローブの利点は、バックエンド・アプリケーションからFANに発せられたコマンド及びメッセージのトラフィック統計量及び計数が、関連する権限又はログが存在しないコマンド又はトラフィックを識別するためにヘッドエンド・アプリケーション・ログ及び作業権限と比較され得ることである。
図6を参照すると、プローブサブシステム600の一次機能は、FANトラフィックをキャプチャし、このトラフィックを処理するためのFANバックエンド監視サブシステムに送信することである。プローブサブシステム600は、二重殻を用いて設計された全天候型ハウジング601に収容されている。外殻は、直射日光から機器を保護する日光遮蔽体と、支柱、建物、又は車両に取り付けられるようにするユニバーサルストラットのための取り付け点とを提供する。内殻は、電子コンポーネントを空気が抜かれるか、又は、乾燥した、不活性気体で置き換えられている全天候型エンクロージャに収容する。乾燥剤が残留湿気を吸収するために内側ハウジングの内部に置かれる。両方のエンクロージャは、外部環境の物理的応力に耐えるように設計される。プローブサブシステム600は、以下を含む数個の機能的区画を備える。
コントローラボード602は、プローブ112の動作中に処理及びI/Oタスクを実行する。重要な機能は、以下の、
・制御ロジックの実施
・RFデータ取得ボード604からのFANトラフィックの受信
・タイムスタンプ及びフォーマットデータ、追加メタデータ(例えば、RFチャネル、受信信号強度表示など)
・送信用のキャッシュデータ
・プローブ管理システム220への無線モデム606を介するセキュア送信チャネルの開始及び管理
・プローブ管理システム220へのデータ送信
・分散IDS処理の実施
・局所的処理及びシステムの管理
・遠隔管理コマンドの処理
・RF及びチャネルパラメータの動的設定
・GPS情報の取得
を含む。
好ましい実施では、コントローラボード602は、拡張された温度範囲及び環境ストレスで評価されている産業用コントローラボード又は同等物である。好ましくは、このコントローラボードは、Linux(登録商標)ベースのオペレーティングシステムを使用する。プローブ112のソフトウェア及びハードウェアのための重要な設計上の検討事項は、プローブ112が紛失又は窃盗された場合にセキュリティリスクを制限することである。プローブ112は、このプローブが監視しようとしているフィールド機器に既に存在するものより高いセキュリティリスクを導入しないように設計される。SSHトンネリングの使用は、例えば、複数の無線通信経由チャネルからキャプチャされた集中型トラフィックを収容するバックホール送信チャネルを保護する。同様に、トラフィックのデスクランブルは、好ましい実施ではプローブ112で実行されない。その代わり、デスクランブルは、攻撃者が復号化ロジックを抽出するためハードウェア及びソフトウェアをリバースエンジニアリングすることを防止するためにFANバックエンド監視サブシステムで実行される。
パケット及び侵入解析の大部分はFANバックエンド監視サブシステムで実施されるが、このアーキテクチャは、分散型侵入検出処理をさらにサポートする。この場合、プローブコントローラの処理能力は、侵入解析を実行し、且つ、イベント後に、警告をバックエンド管理システムに直ちに提供するために利用される。トラフィックが付加的なセキュリティリスクを示すことなく復号化され得る状況では、過度にリソース集約的ではないカスタム、且つ、場合によっては限定されたポリシーセットと共にバックエンドで使用されるIDSシステムの軽量版(すなわち、Snort版)は、強度のパケット検査及び挙動解析を実行するために個々のプローブ112にインストールされ得る。パケット復号化が、例えば、セキュリティ上の理由でプローブ112によって実行され得ない場合、分散型IDS処理は、チャネル使用量の特性とパケットの送信元及び宛先とが符号化又は暗号化されていない場合、このような情報を解析するようなトラフィック解析の形式で依然として適用され得る。
コントローラボード602は、取得モードに依存して、RFデータ取得カード604のRF及びチャネルパラメータを動的に設定する。マルチ・チャネル・システムを用いる固定されたサンプリングモードでは、システム内のチャネルの総数Nより少ないチャネルの個数nが監視される。このモードで監視すべきチャネルの選定は、静的である。動的な、サンプルドモードでは、監視されたチャネルは、ポリシーに依存して、キャプチャ中に変更される。統一ポリシーを用いて、すべてのチャネルが順次又はランダムな順序で同じ期間に亘って監視される。追跡ポリシーを用いて、データ取得カード604は、装置が周波数ホッピングシステム内でこの装置のチャネルのエポックを進むのにつれて、この監視される装置と同期してホップする。このポリシーは、プローブ112が監視されたノードへ進むすべてのパケットを傍受することを可能にする。監視されたノードと同期した状態を維持するために、コントローラは、監視されたノードがいずれかの時点で存在することがよくある周波数を計算することが必要である。これは、パケットが受信された時間を記録し、パケットが受信されたチャネルに注意し、次に、(前述された米国特許出願第2009/0168846号の場合と同様に)MACアドレスに基づいて周波数ホッピングパターンを計算し、次に、最新のタイムスロット及び周波数を識別するために時間を前方に進めることにより達成され得る。チャネル占有検知モードでは、プローブ112は、複数のチャネルを傍受又はスキャンし、チャネル占有信号(典型的に、1及び0の繰り返しパターン)を傍受した後、コントローラは、データ取得カードをこのチャネルに合わせる。チャネル占有信号の長さ及び使用されたエネルギー検出器に依存して、複数のカードは、物理フレームの開始前にアクティブチャネルを識別するためにチャネルアクティビティを走査するように指定されることがある。最後に、全スペクトルプローブでは、システム内のすべてのチャネルNが同時に監視される。
ストレージ608は、ローカル不揮発性記憶を行う。機能は、FANデータのローカルキャッシュを含む。これは、一連のデータが収集され、無線コネクティビティが中断されるか、又は、そうではない場合に利用できなくなる間隔においてFANバックエンド監視サブシステムに最終的にバックホールされることを可能にする。ストレージ608は、オペレーティングシステムによって要求されるメモリをさらに備える。好ましい実施では、ストレージは、ソリッド・ステート・ドライブ又はディスク・オン・モジュールを使用して実施される。しかし、どのようなタイプの不揮発性ストレージが使用されてもよい。
セキュアストレージ608は、公開鍵インフラ(PKI)秘密鍵及び証明書と、パスワードと、共有秘密鍵と、その他の暗号鍵のようなセキュリティ証明書のための保護された不揮発性メモリを備える。スマートカード、携帯電話のSIM、又は信頼されているコンピューティングコンポーネント(セキュアフラッシュ)に類似したセキュアストレージは、リバースエンジニアリング、スヌーピング、及びこれが保持するセキュリティ証明書を曝露するかもしれない物理的攻撃に対抗するために設計される。最悪の場合、セキュアストレージは、情報を攻撃者に漏らすのではなく情報を不正に変更した後に、情報を破壊する。セキュアストレージ608は、未だバックエンドに送信されていない、キャプチャされたトラフィックトレースを保持するためにさらに使用され得る。しかし、好ましい実施では、トラフィックトレースは、暗号化され、それを普通のメモリに格納され、暗号鍵だけがセキュアストレージ608に格納される。
無線モデム606は、3G(登録商標)又はLTE(登録商標)のような無線技術によるコネクティビティをもたらす。802.11のようなその他の技術が利用可能性に依存して使用されることもあり得る。有線イーサネット(登録商標)、ケーブルなどのようなその他の通信手段も利用可能性及び選好に依存して同様に採用され得る。何らかの状況下で、プライベートネットワークの使用は、プローブ管理システム220を除くすべてのエンティティからのプローブ112の隔離を含む付加的なセキュリティをもたらすために採用され得る。機能は、
・データバックホール及びプローブ管理のためプローブ112とプローブ管理システム220との間にコネクティビティを提供すること
・無線データサービスによるIPコネクティビティが利用できないとき、例えば、プローブサブシステム600の状態に関する情報がこれらの装置を管理する責任を負うチームに伝達され得るとき、限定された通信を実現し易くするSMS能力を提供すること、及び
・場合によっては、GPS受信機機能性をもたらすこと
を含む。
好ましい実施では、無線モデムは、4G LTE無線技術を使用して実施される。
RFデータ取得セクションは、アンテナ610、RF増幅器612及びRFスプリッタ614を備える。アンテナ610は、対象となる電磁スペクトルから電気信号を作成し、信号増幅器612に供給する。アンテナ610は、902〜928MHz、2.4GHzのようなFANトラフィックがキャプチャされる周波数帯域のため構築され、配備されたカバレッジエリア及びFAN装置の位置に適合するパターン及び増幅率が監視される。増幅器612は、RFスプリッタ614によって導入される損失を補償し、選択されたアンテナによる必要に応じた付加的な増幅率を提供し、プローブのレンジ及び監視されているFAN装置の信号強度を改善する。RFスプリッタ614は、アンテナによってキャプチャされ、RF増幅器によって増幅されたRF信号をRFデータ取得装置604の1つずつに提供する。RFデータ取得装置604は、FANトラフィックを復調し、データをコントローラボード602に提供する。RFデータ取得装置604のその他の機能は、
・対象となるFANトラフィックが動作する周波数、例えば、902〜928MHz、2.4GHzレンジに合わす能力があり、且つ、(例えば、2FSKのような)対応する変調技術を使用して受信されたFANトラフィックを抽出する能力があるRF受信機
・限定されることなく、受信周波数、増幅率、AFC、AGC、データレート及び先頭ワードのようなコントローラボード602からRF構成パラメータを受け入れること
・送信されたパケットの先頭を検出することと、ビット及びバイトアライメントを実行することと、受信されたバイトからパケット長及びその他のパラメータを判断すること
・受信されたパケットの受信信号強度を測定すること
・選択された受信されたパラメータの解釈に基づいてパケットを適格とすることと、不適格とされたパケットの処理を中止すること
・受信されたパケットをコントローラボード602に送信すること
・コントローラボード602からファームウェア更新を受け入れること
・物理的な危険性に直面することが起こる場合、常駐ファームウェアの保護を備えること、例えば、ファームウェアが読み出されることを阻止すること
・送信のための周波数の範囲をスキャンし、送信の検出の表示をもたらすこと
・具体的に目標とされた送信情報を受信するために、指定されたホッピングシーケンスに応じて受信周波数を合わせること
を含む。
一実施では、個々のデータ取得装置は、単一の周波数で受信する。別の実施では、RF受信機のうちの1台以上が送信の開始を見つけるため長時間に亘ってこの周波数を変えることによりスペクトルをスキャンする。複数の装置は、複数の同時送信のキャプチャを可能にするために採用される。好ましくは、このような実施は、潜在的に別個のマイクロコントローラと併せて、市販されているRF送受信機集積回路を利用する。
別の実施では、単一の装置は、複数のチャネルをデジタル的に処理し、復調するためにデジタル信号処理技術を利用して、対象となる広い周波数帯域全体で送信情報を取得する。このような実施は、ソフトウェア無線技術を利用する。
RFデータ取得装置604とコントローラボード602間の通信は、標準的な非同期シリアル通信プロトコル及びUART/USART装置、又はUSB接続を使用して実施され得る。
ウォッチドッグ・タイマ616は、コントローラボードが無反応又は「ハングアップ」になる場合のシステム復旧、正常なシャットダウンの開始、及び電力サイクルを含む複数の機能(図4、5、6)を備える。
ウォッチドッグ・タイマ616は、アナログ回路を使用して実施された別個のハードウェアユニットとすることができる。これは、正常な状況下では、コントローラボード602から周期的間隔でパルスを受信するように設計されるか、又は、コントローラボード602の正常なシャットダウンの後に、ウォッチドッグ・タイマ616自体を除くプローブ112全体の電力サイクルが始まる。コントローラボードは、一部のコンポーネントが電力サイクルだけによって初期化され得るか、又は、悪い状態から回復され得るので、電力サイクルを引き起こすために予想されるパルスの中止によって、これを意図的に開始するようにプログラムされ得る。
電源618は、電力をプローブ112に供給する。プローブ112コンポーネントへの電力の印加は、ウォッチドッグ・タイマによって制御される。外部電源は、電柱で利用可能な電力線から、又は、車両によって供給されるAC若しくはDC電力からのAC電力を含むことがある。
バッテリバックアップ612は、商用電力が固定施設に対して失われた場合にプローブ112を動作可能状態に保つために設けられることがある。業務用トラックのような移動可能施設では、バッテリバックアップ620は、車両エンジンが車両バッテリを放電する危険性のない、走行していない間にプローブ112が動作可能状態を保つことを可能にする。車両キースイッチ又は類似した安全装置は、車両が走行していないとき、プローブを車両バッテリから遮断する。さらに、モバイルプローブは、車両のオルタネータ又は正常運転条件で起こる車両ブレーキ灯の断続的な使用によって作られる充電電圧を監視することによりエンジンの動作を検知できる。
いくつかの配備では、プローブ112は、GPS受信機622を装備し、一例では、車両上の配備を含むことがある。GPS受信機622は、別個のユニットでもよく、又は、この機能は、無線モデム606のような別の既存コンポーネントによって設けられることがある。GPSデータは、受信されたFANトラフィックがGPS位置データと相関させられ得るようにタイムスタンプと共にFANバックエンド監視システムに送信される。GPS受信機622は、装置が窃盗又は失われた場合、ロケータとして固定プローブ112と共に使用されることもある。
プローブ112は、組み込まれたプログラム又はプローブ管理システム220からの遠隔コマンドによるオンデマンドのいずれかを通じて、コントローラによって読まれる一連のセンサ624を収容する。温度センサ(図示せず)は、コンポーネント及びエンクロージャ内部の空気の温度を測定する。タンパースイッチ(図示せず)は、ハウジング601が物理的に開かれた場合に報告する。湿度センサ(図示せず)は、エンクロージャの風雨密シールの中の漏れを報告する。
プローブ112は、コントローラボード602が中継器を制御し、信号をアセンブリ内の様々なボードに送信することを可能にする汎用USBベースのI/Oカードのようなデジタル入力/出力能力626を収容する。デジタルI/O能力の2つの主要な用途は、プロセッサ健全性を示すためにウォッチドッグ・タイマ616を周期的にストローブすること、及び、データ取得装置604のファームウェア更新をサポートすることである。
図7を参照すると、プローブパケット取得プロセスは、RFデータ取得装置604のためのRFパラメータ(例えば、周波数、開始ワード、変調パラメータ及び増幅率)の構成を含む700で初期化される。702でデータ取得装置604は、開始ワードが受信されるまで待機する。704で、データ取得装置604は、受信されるべきデータバイトを待つ。706で、バイトが受信されたとき、バイトは、コントローラボード602への送信のためキューに入れられる。例えば、パケット長のようなパラメータが利用できる場合、これらのパラメータが記憶される。708で、例えば、図16に関して後述されるように、ある特定のルールが満たされない場合、又は、データ完全性が1つ以上のパケットから復元されるべき有意義なデータのため不十分である場合などに、パケットが不適格とされるべきか否かに関する判断が行われる。710で、パケットの最後が処理されたか否かに関する判断が行われる。712で、RFチャネル指定及び受信信号強度表示(RSSI)のようなメタデータがパケットにプリペンドされる。
図8を参照すると、データキャッシュ及びコントローラボード602への送信が示される。800で、データがデータ取得装置604から受信される。802で、パケットは、タイムスタンプを付され、フォーマット化され、何らかの付加的なメタデータが付加される。804で、データが送信のためキューに入れられる。806で、通信チャネルが利用可能であるか否かに関する判断が行われる。通信チャネルが利用可能ではない場合、データは、808でローカルストレージにキャッシュされる。通信チャネルが利用可能になるとき、806で判断されたように、データはFANバックエンド監視システムに送信される。
図9は、ウォッチドッグ・タイマ616の動作を示す。900で、ウォッチドッグ・タイマ616は、コントローラボード602からのパルスを待つ。ウォッチドッグ・タイマ616がタイムアウトする前にパルスが受信された場合、ウォッチドッグ・タイマ616はリセットされ、別のパルスを待ち続ける。ウォッチドッグ・タイマ616がタイムアウトした場合、902で、接点閉接がコントローラボード602上の電源スイッチにもたらされる。904で、一般に固定持続時間からなる待機期間が存在し、この待機期間は、コントローラボード602の正常なシャットダウンが開始されるまで観測される。906で、電力がコントローラボード602及びプローブサブシステム600のその他のプローブコンポーネントから取り除かれる。908で、同様に、一般に固定持続時間からなる別の待機間隔が存在する。910で、電力がコントローラボード602及びプローブサブシステム910のその他のコンポーネントに取り戻される。制御が900に戻される。
図10は、コントローラボード602の観点から正常なウォッチドッグ・タイマ動作を示す。1000に、コントローラボード602上のウォッチドッグパルス発生器の周期的なウェイクアップがある。1002で、パルスがコントローラボード602からウォッチドッグ・タイマ616に送られる。
図11は、図10のウォッチドッグ・タイマ手順を使用する電力サイクル動作を実施するためのチェックフラグの使用を示す。電力サイクルが1100で必要であるとの判断がある場合、プローブのアプリケーションが1102でフラグを書き込む。ウォッチドッグパルス発生器プロセスの周期的なウェイクアップが1000で行われる。1104で、1102でセットされたフラグがウォッチドッグパルス発生器プロセスによって読み取られる。電力サイクルが要求されることをフラグが示す場合、パルスは、ウォッチドッグパルス発生器によって送られることがなく、制御が1000に進む。パルスがウォッチドッグ・タイマ616に送信されるべきことをフラグが示す場合、次に制御が1002に移り、パルスが送られる。
図12を参照すると、健全性及び制御情報は、SSHプロトコルを使用してプローブとFANバックエンド監視サブシステム内のプローブ管理サブシステム220との間でプライベート論理ネットワーク1200を介して受信され、送信される。プローブ管理サブシステム220は、プローブの健全性を監視し、遠隔位置からプローブ112の構成に変更を加える。プローブ管理サブシステム220は、いくつかの機能コンポーネント及び特徴を備える。これらは、問い合わせプローブ112によってデータを収集し、ファイルシステム1204からのサーバ常駐プローブデータ及びその他のプローブデータを収集するために周期的に動くスクリプト1202を含む。1206で、プローブ状態は、現行のイベント及びデータに基づいて変化し、データベース1208からのイベント及びデータが処理される。1210で、データは、オブジェクト関係データベース技術の使用によることを含み、後述されるように処理される。処理されたデータは、次に、1212に表されるように、且つ、図16に関して後述されるように、IDS警告と共に、データベース1208に格納される。1214で、構成データ記憶装置1216内の選択された構成に基づいて、(電子メール1218、SMS1220又はVoIP1222の形式の)警告及び通知が生成される。警告及び通知は、システム・ログ・データベース1224に格納される。
図13は、遠隔プローブ管理のためのプロセスを示す。1300で、管理アクションが開始される。例えば、動作パラメータが修正され、ファームウェアがシステムアドミニストレータによって更新される。これは、典型的には、ウェブインターフェース又はシェルを経由してプローブ管理サブシステム220によって行われる。1302で、例えば、SSHを介するセキュア通信チャネルがプローブ管理サブシステム220によるターゲットプローブで確立される。1304で、コマンドがコントローラボード602のオペレーティングシステムで実行される。1306で、相互作用がデータ取得装置604、及び無線モデム606のようなその他のプローブコンポーネントで行われる。1308で、様々なパラメータの戻り値が1台又は複数台のプローブ112への送信の成功又は失敗と、これらのプローブの構成の更新成功の検証のため検査される。1310でセキュア通信チャネルは、安全性を強化するために閉鎖されるか、又は「解体される」。
図14を参照すると、ここではデータ・プロセッサ・サブシステムと称されるコレクタ/ディセミネータ214の全体的な機能は、バックホールネットワーク120を介して送信されるようなプローブ112からのデータを含むネットワークトラフィックのライブビューを提供するために着信データストリームを処理すること、並びに、IDS及びバックエンドにおけるその他の解析能力のためのフィードを作成することである。データ・プロセッサ・サブシステムは、いくつかの機能コンポーネントを備える。これらは、プローブから受信されたデータを処理するFANデータプロセッサ1400を含み、これらの機能は、以下の事項、
・セキュアSSHトンネルのバックエンド部を実施すること
・1つのTCPセッションに収容される複数のプローブ送信情報を複数の別個のプローブフィードに逆多重化すること
・タイムスタンプ、及びRFチャネル識別情報を抽出することを含み、メタデータを処理すること
・データメッセージをデスクランブルすること
・ライブフィードをユーザポータル1402上のネットワーク・アナライザに提供すること
・データストリームをIDS1404に送信すること
・ネットワークキャプチャの履歴をデータ・キャプチャ・リポジトリ1406に格納すること
・プローブメトリックをシステム・ログ・データ・ストアに記録すること
を含む。
侵入検出サブシステム1404は、疑わしい挙動についてネットワークトラフィックを検査し、警告を生成し、図16に関してさらに後述されるような機能が、以下の事項、
・FANネットワークレイヤを収容するパケットを検出すること
・(存在するならば)CRCチェックサム、MACアドレス及びFANネットワークIDのようなフィールドを検出するためにプリプロセッサを用いてFANネットワークレイヤを解析すること
・FANネットワークレイヤ、IPv6レイヤ、及びアプリケーション・トラフィックレイヤで観測された数種類のデータを対照してルールを実行することと
・ルールが疑わしい行動を検出したとき、警告をデータベース1410に記録し、前述されたように電子メール、SMS、VoIPを用いて、警告をアドミニストレータに送信すること
・その他の既知のセキュリティデータとの相関のため顧客セキュリティインシデント及びイベント管理システム(SIEM)1412に警告を電子的に供給すること
を含む。
IDSルールセット1416は、いくつかのネットワークレイヤでのプローブ配備毎に構成可能なポリシーのセットを提供する。
・リンクレイヤとネットワークレイヤとの間の物理レイヤ、媒体アクセス制御レイヤ、リンクレイヤ及びカスタムレイヤは、集合的にFANネットワークレイヤと呼ばれ、
(a)CRCエラー−計算されたチェックサムに対照してパケット内のCRCを比較することによる
(b)未知装置−既知ホワイトリストに対照してMACアドレスを比較することによる
(c)無許可メーター移動−既知ホワイトリストに対照してMACアドレスを比較することによる
(d)無許可装置−未知FANネットワークIDを検出することによる
などの問題点を検出する
・IPv4/v6レイヤは、
(a)ポートスキャン−トラフィック周波数を観測することによる
(b)インセキュア通信−着信ポート使用量を観測することによる
などの問題点を検出する
・FANアプリケーションレイヤは、
(a)センシティブ/制限的なコマンド(遠隔切断、構成修正、ファームウェアアップロードなど)の使用−コマンドコードを観測することによる
(b)過剰ノードチャットネス−ノード当たりのトラフィック周波数を観測することによる
(c)ルーティング攻撃(すなわち、バックホール、リダイレクション)−疑わしいルーティングメッセージを観測することによる
(d)無効署名−署名データを観測することによる
(e)再生試行−繰り返されたメッセージを観測することによる
などの問題点を検出する。
データ・キャプチャ・リポジトリ1406は、ユーザポータル1402上でFANアナライザによって閲覧され得るネットワークキャプチャの履歴セットを提供する。ライブ・トラフィック・フィード1418は、各プローブによって取得されたネットワークデータのほぼリアルタイムのフィードを提供する。フィードのクライアントは、より詳細に後述されるようにFANアナライザ及びネットワーク可視化ツールを含む。
図15は、コレクタ/ディセミネータのデータプロセスを示す。1500で、データは、コントローラボード602から受信される。メトリックがデータに存在すると1502で判断された場合、1504で、メトリックがシステムログに格納される。メトリックがデータに存在しない場合、データは1506でデスクランブルされる。1508で、デスクランブルされたデータがPCAPファイルフォーマットに変換され、データ・キャプチャ・リポジトリ1406に格納される。1510で、データはIDS1404に送信される。1512で、ライブ・データ・ストリームがデータのほぼリアルタイムの監視のため提供される。
図16は、IDSプロセスの中心となる。1600で、パケットは、コレクタ/ディセミネータ214(データプロセッサ1400と称されることもある)から受信される。1602で、プリプロセッサは、FANネットワークレイヤを解析するために使用される。1604で、トラフィックが第1のルールセットにおける侵入を示すいずれかのルールに適合するか否かに関する判断が行われる。1606で、いずれかのルール又はルール群に対する適合がある場合、警告が記録される。1604でいずれのルール群に対する適合もない場合、論理フローは、IPv4/IPv6トラフィックが存在するか否かに関する判断が行われる1608に進む。このようなトラフィックが存在しない場合、論理フローは1600に戻る。IPv4/IPv6トラフィックが存在する場合、次に1610で、トラフィックが第2のルールの組に基づいて侵入を示すいずれかのIPv4/v6ルールに適合するか否かに関する判断が行われる。1612で、いずれかのこのようなルールへの適合がある場合、警告が警告データベースに記録される。侵入を示すIPv4/v6トラフィックに関するいずれかのルールとの適合が存在しない場合、次に論理フローは、1610から1614へ向かう。1614で、FANアプリケーション・トラフィックが存在するか否かに関する判断が行われる。FANアプリケーション・トラフィックが存在しない場合、論理フローは1600に戻る。FANアプリケーション・トラフィックが存在する場合、1616で第3のルールセットを使用してトラフィックがFANアプリケーション・トラフィック侵入を示すいずれかのルールに適合するか否かに関する判断が行われる。FANアプリケーション・トラフィック侵入を示すルールが適合しない場合、論理フローは1600に戻る。FANアプリケーション・トラフィック侵入を示すルールが存在する場合、1618で警告が警告データベースに記録される。論理フローは1600に戻る。
図17は、ユーザ・ポータル・サブシステム(クライアント・サービス・ポータル)1700のコンポーネントを示し、このユーザ・ポータル・システムは、プローブの状態及び健全性を観測し、プローブトラフィックをリアルタイムで観測し、ネットワークを解析及びプローブトラフィックを可視化し、IDS警告を閲覧し、履歴ネットワークキャプチャを閲覧する能力をシステムユーザに提供する全体的な機能を有している。遠隔ユーザ1702は、ユーザポータルに安全にアクセスできる仮想プライベートネットワーク(VPN)サーバ1704にアクセスする。プローブ・マネージャの一部分であるシステム健全性ウェブブラウザ1706は、プローブの状態及び健全性にアクセスできる。ウェブブラウザ1706は、ウェブサーバ1708にアクセスする。ウェブサーバ1708は、モデル1710のためのデータを提示し、1712でビューを選択させ、又は1714でコントローラをインターフェース接続させることを可能にする。ウェブサーバ1708上のプローブ状態及び健全性情報は、オブジェクト関係データベース1716に格納される。遠隔ユーザ1702は、VPNサーバ1704を使用して、IDS1720によって生成された1718におけるIDSレポートを含むツールの組にさらにアクセスすることができる。遠隔ユーザ1702は、後述されるようにVPNサーバ1704を介してFANアナライザにさらにアクセスすることができ、このFANアナライザは、SMB/CIFSネットワーキングプロトコル(SAMBA)の実施によってデータ・キャプチャ・リポジトリ1724、及び、プリプローブ・ライブ・フィード1726からデータを供給する。遠隔ユーザは、MeshViewネットワーク解析及び可視化ツールにさらにアクセスすることができる。
図18を参照すると、FANアナライザ1800は、パケットを構成するビットを解釈し、ビットを人による解析のためにより利便性の高い情報のフィールドへ変換するソフトウェアツールである。FANアナライザは、FAN侵入検出及び監視システムにおける複数の目的のため使用される。第1に、FANアナライザは、プローブ112がパケットデータを適切に傍受し、バックエンドに送信していることを保証するため、バックエンドシステムの管理部において着信トラフィックを監視するために使用される。第2に、FANアナライザは、セキュリティ、動作及びエンジニアリングの問題点を解決するために顧客が傍受されたトラフィックを解析することを可能にする顧客ポータルにおけるアプリケーションとして使用される。第3に、FANアナライザにおいてパケットを復号化するために使用されるロジックは、ルール及び挙動解析が適用され得るように着信パケットをパースするためにFAN IDSで使用される。
図18は、着信パケットを処理及び復号化するために使用される高レベルプロセスのフローチャートを示す。パケットを復号化するために要求される知識は、タグ−長さ−値構造体の検索と、既知の刺激から生じるパケットの記録及び解析と、情報解釈に関する仮説の定式化及び解釈を評価するための試験シナリオの実行などのような技術を使用して、理解できる標準ベースのプロトコルとリバースエンジニアリング独占的プロトコルとの組み合わせから導き出される。
パケットは、外側エッジから内向きに分解され、いずれの場合にも情報の包囲レイヤを除去する。最も外側のレイヤで、物理フレームプロセッサ1802は、最下位レベルの情報で動作する。物理フレーム処理は、パケットの開始と、チャネルID又はシード値と、フレーム長さとを示唆する同期ワードを抽出する。パケットのペイロードがスクランブルをかけられている場合、物理フレーム処理は、リンクレイヤ処理に備えてペイロードをデスクランブルすることもある。
媒体アクセス制御及びリンクレイヤプロセッサ1804は、典型的に、一方のノードから別のノードに通過するパケットに関連付けられたリンク通信態様を記述するタグ−長さ−値としてフォーマットされた一連の情報フィールドを抽出する。リンクレイヤで抽出される典型的な情報は、パケットの送信元及び宛先MACアドレスと、特に周波数ホッピングシステムにおいてノードが互いに同期化することを可能にするために要求されるタイミング情報と、通信ウィンドウに関するタイマ及び優先度情報と、パケットシーケンス情報と、リンクレイヤフラグと、リンクレイヤでのパケットの断片に関連した情報とを含む。さらに、ノードの発見、情報のブロードキャスティング、リンク品質の試験、及びノードコネクティビティテーブルの維持に関連付けられた低レベルメッセージは、リンクレイヤプロセッサによって解釈及び復号化される。
メッシュレイヤプロセッサ1806は、非IPメッシュネットワークにおいてメッセージをルーティングするために使用されるリンクレイヤとネットワークレイヤとの間のカスタムレイヤから情報を抽出する。これは、通信エンドポイントの送信元及び宛先MACアドレスを含む。これらのアドレスは、リンク送信元及び宛先、すなわち、メッシュネットワークにおける1ホップだけを識別する物理フレームMACアドレスとは異なる。メッシュレイヤMACアドレスは、互いに複数ホップ離れていることがあるノードを指定する。一部の場合、パケットが選ぶべき正確なパスがソースルートとして明示的に挙げられる。
メッシュレイヤ処理の上に、いくつかの異なるメッセージ転送ユニットが存在する。ルートプロセッサ1808は、ネットワーク内部にルートを確立し、ネットワークノードを構成するためにノード間で転送された情報に関連付けられたパケットを復号化する。これは、ゲートウェイによって直接的に送信され、且つ、ノードによって間接的に報告されたネットワークゲートウェイのアドバタイズメントと、隣接ノードに関する情報と、IPプレフィックスのような構成情報と、バックエンドサーバ(例えば、DNS及びトラップサーバ)のアドレスと、構成可能なノードパラメータ(例えば、ネットワークID及びタイマ)を含む。
時間同期プロセッサ1810は、ノードの1つずつに関する正確な日時を構成するために要求及び応答に関連したパケットを復号化する。カプセル型ネットワークプロセッサ1812は、異なる技術から作られたネットワークを通してルーティング及び送信するために設計されたペイロードからメッセージ全体を抽出する。典型的に、IPv4/IPv6パケットは、カプセル型パケットとして完全に埋め込まれ、一方のネットワーク技術のため設計されたパケットを別のネットワーク技術を用いて運搬する手段を提供する。カプセル型ネットワークプロセッサ1812は、カプセル型パケットの挿入及び回収を管理するために付加されたヘッダ情報をさらに抽出する。
IPv4/IPv6プロセッサ1814は、IPネットワークを越えて広く使用されるIETFにより規定された標準ベースのプロトコルを復号化する。プロセッサ1814は、ユーザ・データグラム・プロトコル(UDP)コネクションレス及びトランスミッション・コントロール・プロトコル(TCP)コネクション指向型パケットストリームを取り扱う。IPv4/IPv6パケットは、セッション及びトランザクションを管理する通信プロトコル、並びに、例えば、IEEE Zigbee(登録商標)プロトコル標準のようなHANプロトコルのように上位レイヤプロトコルのための輸送手段である。
通信プロトコルプロセッサ1816は、要求/応答及びアプリケーション・セッション指向型トランザクションをサポートするメッセージを解釈する。このレイヤで復号化されるプロコルの例は、メーター管理のためのC12.22と、監視制御及びデータ取得(SCADA)機器の監視及び制御のためのDNP3とを含む。基礎となるネットワーク技術を用いてより効率的に動作するように設計されたカスタム通信プロトコルも同様に使用される。これは、今日では殆どの独占的クローズドシステムであるAMIネットワークにおいて共通である。通信プロトコルプロセッサ1816は、PKI署名及び証明書のようなセキュリティ制御を用いてラップされたコンテンツをさらに暗号解読する。
HANプロセッサ1818は、住宅内でバックエンドシステムと電気製品との間で渡されるメッセージを解釈する。パケットは、組み込まれたIPパケットで搬送され、スマートメーターによって抽出され、さらに別のネットワーク技術を用いてスマート家電製品、サーモスタット、及び負荷制御スイッチに送信される。
アプリケーションプロセッサ1820は、装置上のソフトウェアアプリケーションによって生成された最高レベルの情報コンテンツを暗号解読する。アプリケーションレイヤプロセッサ1820は、メーター・レジスタ・データ、イベント情報、及び電力切断/再接続のような遠隔動作のためのコマンドといった情報を収容するペイロード・データ・ユニットを復号化する。
FANアナライザ1800は、ネットワークスタック内の異なるレイヤで断片化されることがあるパケットを再アセンブルするためのロジックをさらに含む。断片化は、典型的に、リンクレイヤ、IPv4/IPv6レイヤ、及びアプリケーションレイヤで行われ得る。各レイヤでヘッダ内の情報を使用して、FANアナライザは、ID値を使用して互いに関係している断片化されたパケットを識別し、これらの断片化されたパケットを順序付け、そして、上位レイヤが抽出されたメッセージユニットを処理できるようにこれらのペイロードを再アセンブルする。これは、図18において断片を意味する用語「フラグ」によって表現される。
図19を参照すると、図17において参照されたツールのうちの1つは、MeshView(商標)アプリケーションであり、これは、アトミックな通信及びパケット傍受システムによってキャプチャされた低レベルパケット詳細からネットワークトポロジー及びFANにおけるエンド・ツー・エンド通信フローに関する情報を抽象化するネットワーク解析及び可視化ツールである。MeshViewアプリケーションの主要な特徴は、トラフィック観測に基づいて論理及びGISベースのコネクティビティとFANサブネットのルーティングマップとを構築することであり、トラフィック観測は、フル・バンド・キャプチャを必要とせず、すなわち、周波数ホッピングシステムにおける長時間に亘るチャネルのサンプリングがネットワークトポロジーと、ルーティング及びコネクティビティ図とを描くために使用され得る。MeshViewアプリケーションの別の主要な特徴は、解析及び可視化において対象となる具体的なトラフィックを引き出すために強力なフィルタをトラフィック観測に適用する能力である。さらにMeshViewアプリケーションの別の特徴は、パケットタイムスタンプに基づいてパケット送信のタイムラインを示し、且つ、通信の時間系列を観測するためにパケットを再生する能力である。再生機能性は、どのようにしてAPサブネットルートが論理及びGISベースのマップビューの両方で長時間に亘って構成、変化、及び劣化するかを観測するためにルーティングマップに適用される。さらにMeshViewアプリケーションの別の特徴は、正常な動作を確立するためにプローブ毎にベースライントラフィック統計量を作成することである。MeshViewアプリケーションは、ユーザがGISベースのマップ上でモバイルプローブによってもたらされたルートを閲覧することを可能にする能力をさらに有する。MeshViewアプリケーションは、ユーザがエリア内で受信され、送信され又は傍受されたパケットだけに基づいて結果を生成するためフィルタとして地理的エリアを選択することを可能にするためにフィルタをさらに提供する。
MeshViewアプリケーションは、物理的フレーム、リンクレイヤ、メッシュルーティングレイヤ(多くの場合にカスタムレイヤであるレイヤ2.5プロトコル)、IPv4又はIPv6パケットがメッシュパケットにカプセル化されるパケットカプセル化レイヤ、及びアプリケーションレイヤからネットワーク特性を判断するために情報を抽出する。物理的フレームは、周波数チャネル、及び仮想ネットワークIDのような属性を提供する。リンクレイヤは、数ある情報の中で、直接的なノード・ツー・ノード通信の送信元及び宛先と、パケットのタイプと、ノードがホップすることがよくある将来の時点に関するタイミング情報とを提供する。時間及び周波数でリンクされるハンドシェイクパケットは、パケット内に存在しないとき、送信元及び宛先アドレスを推測するために使用される。レイヤ2.5は、ソース・ルーティング・パケット及びメッシュ内部の宛先に到達するための1つ以上のノードを通じてパケットを中継することに関する情報を提供する。レイヤ2.5は、ノードの選択された次のホップに関する情報をさらに提供する。カプセル化レイヤ内のIPアドレスは、典型的に、アクセス・ポイント・ゲートウェイを越えてバックエンドネットワーク内のメッシュの間を横断するか、又は、異なるアクセスポイントを有するノードを横断する通信フローに関する情報を提供する。アプリケーションレイヤは、ノード構成、主要なネットワーク・サーバ・アドレス、及びイベントに関する情報を提供する。
図19は、パケットトレースがMeshViewによって解析された情報に変換され、アプリケーションユーザに提示されるプロセスの高レベル図を示す。トラフィックトレースは、1900で収集され、PCAPファイルにフォーマットされる。各パケットの範囲内のすべての情報要素を露出するテキストファイルは、1902でネットワーク・アナライザから作成される。テキストファイルは、1906でパーサによって処理され、このパーサは、好ましい実施ではPythonで記述される。パーサの結果は、MeshViewデータベースに取り込まれるコネクティビティ及びルーティング情報ファイルであり、このMeshViewデータベースに基づいてネットワーク情報の様々な図が作成され、Java(登録商標) GUI1908及びウェブベースのGUI1910を通じてユーザに表示される。
図21では、MeshViewアプリケーションは、Java(登録商標)パーサ2102又はPythonパーサ2104のいずれかを使用することによりネットワーク構成ファイル2100をパースする。データは、MySQLデータベース2106又はPSQLデータベース2108にそれぞれ格納される。データは、Java(登録商標) GUI2110又はJava(登録商標)script2112を使用するDjangoサーバのようなウェブGUIにそれぞれ送信される。
図22では、パケットの正当性を確認し、エラーを含むパケットの正常な出現を除去するためにトラフィックキャプチャをパースするルールの一部が示される。パケット内のCRCが計算されたCRCと一致する場合、巡回冗長検査値をもつパケットだけが受け入れられる。CRCが一致しないパケットは、エラーを有し、信頼できる情報源であると見なすことができない。さらに、チャネルIDの範囲が0からシステムのある所定の数までに入らなければならない有効な物理チャネルID2202をもつパケットだけが、2202において受け入れられる。予想範囲外のチャネルIDは、CRCが正しいとしても、エラーをもつパケットの兆候である。最後に、MACアドレス内の16進数の最上位桁が予想値に一致する有効なMACアドレスをもつパケットだけが2204において受け入れられる。予想外の値をもつMACアドレスは、パケットエラー又は起こり得る攻撃の標識である。
MeshViewアプリケーションは、論理及びGISベースの両方のコネクティビティ及びルーティングマップを構築する。MeshViewアプリケーションは、ノードのソース・ルーティング情報(SRT)及びネクストホップ(NH)情報を収容するパケットを調べることにより予測APルーティングマップを構築する。MeshViewアプリケーションは、明示的なルート及び時間シーケンス中のネクストホップの変化を収集し追跡し、ここでは、ネクストホップの変化を含む新しいソースルートは、この新しいソースルートがいずれかの前に現れたルートに影響を与えるか否かを判断するために解析を必要とする。ネクストホップの変化が生じるとき、MeshViewアプリケーションの予測要素は、(ネクストホップ変化を伴うノードの後にある)影響を受けるノードを判断し、関わっているノードのルートを更新する。予測APルーティングマップは、図23に示されるように論理形式でAPまでのノードルートの最良推定を描く。
図24は、図23に示された予測APルーティングマップの一部を示し、予測APルーティングマップの地上図を提供するためにMeshViewアプリケーションによってプロットされ、Google Earth(登録商標)マップ上に重ね合わされた各ノード及びノードの交点の地理座標が追加されている。
図25は、コネクティビティ・マップのスクリーンショットであり、複数の可視化オプションが付いている。コネクティビティ・マップは、ユーザが対象となるノードを選択し、フィルタ規準を満たすノードに対するすべての通信フローを表示することを可能にする。
APルーティングメッセージだけが選択される場合、コネクティビティ・マップは、APルートだけに基づく論理メッシュを示す。すべてのメッセージが含まれる場合、メッシュは、特定のノードに出入りするすべての通信と、対象となるノードが通信を通じて拘束したノード毎に結果として得られるファンアウトとを示す。
特に大規模メッシュマップと一体となった使いやすさを改善する付加的な特徴は、ユーザが表示すべきホップの数(すなわち、行数)と、メッシュに与える影響を観測するために特定のノードを削除する能力(すなわち、対象となるノードへのパスがないノードの数)とを制御することを可能にする深さ制御を含む。
高性能フィルタリング及び時間再生機能は、公益事業者がセキュリティ解析、フォレンジクス、ネットワーク運用、ネットワークエンジニアリング、及びフィールド診断のため対象となるデータと再生ノードアクティビティとに素早く重点を置くことを可能にする。フィルタは、タイムスタンプ付きのキャプチャされたパケットから抽出された情報に適用される。主要なフィルタは、図26に示されるようにタイムスパン、送信元ノード、宛先、ノードタイプ、ホップカウント、プローブソース、顧客、及びパケットタイプを含む。
図26では、フィルタの結果として生じる通信及びパケットに関する統計量は、右手側に現れる。統計量は、選択中のパケットの数と、送信元の数と、宛先数と、ホップカウント最小、最大及び平均とを含む。さらにチャネル統計量(図示せず)が使用された周波数チャネルと、これらの利用率と、チャネル使用量の均一性の度合いとを示すためにカイ2乗統計量を使用して抽出される。
MeshViewアプリケーションは、ユーザがこれらのフィルタから結果として生じる通信を再生することを可能にさせる時間経過又はフリップブック機能を提供する。1つのモードでは、ユーザは、対象となるノードを選択し、送信元、宛先又は中継としてこの対象となるノードを使用する各パケットを目通しするムービーを観測する。ユーザは、同時に1フレームずつムービーをシングルステップすることができる。重要な特徴は、ノードがスクリーン上で静止したままであり、且つ、フレーム更新毎に位置を変更しないように、再生に関わるノードが予め決定され、予め位置決めされていることである。これは、通信パスの変化を強調するために役立つ。残光は、スクリーン上に前の通信を残し、長時間に亘って緩やかにこれらの通信を少しずつ消すために使用され得る。
MeshViewアプリケーションは、データの具体的なスライスへの頻繁なアクセスを実現し易くするためにフィルタ選択物が記憶され、後で呼び出されることも可能にする。
図27は、通信のクラスタリングを簡単に識別するためにパケット及び通信が時間的に現れる通りにパケット及び通信を表すタイムライン図を示す。
MashViewウェブシステムは、ハードウェア及びソフトウェアコンポーネントで構成されている。ハードウェアコンポーネントは、ソリッド・ステート・ハード・ドライブ及び実質的なメモリを備える汎用サーバ級のコンピューティング装置である。ソフトウェアは、オープンソースフレームワークスと、システムの具体的な機能性を実行するカスタムソフトウェアとの組み合わせである。
図28では、メッシュ・ビュー・システム2800のコンポーネントの論理ブロック図が示される。データ・インポート・ロジック2802は、ネットワーク構成ファイル2100からデータベース2804にネットワークデータを取り込むために使用される。フィルタリングロジック2806は、ユーザ・アクセス・ロジック2808によって構成されたフィルタに従ってデータをフィルタ処理する。解析ロジック2810は、データをソートし、解析するために使用される。プレゼンテーションロジック2812は、ユーザ2814が、ユーザロジック2808の設定をはじめとして、システムと相互作用することができるGUIを提供する。
オープン・ソース・コンポーネントは以下の、
−Pythonプログラミング言語
−Djangoウェブフレームワーク
−PostGIS拡張付きPostgresデータベース
−Django−tables2ディスプレイコンポーネント
−ロスアラモス国立研究所からのnetworkXグラフ化解析パッケージ
−thejit.orgからのグラフィカル・ジャバスクリプト・ライブラリ
−gunicornワーカープロセス付きのnginxウェブサーバ
−async.js及びready.jsのようなその他のジャバスクリプトライブラリ
−Scipy統計解析パッケージ
−Google Earth(登録商標)ウェブプラグイン及びフレームワーク
を含む。
カスタムソフトウェアは、
・プローブデータをデータベースに取り込み、正規化する方法
・選択された装置、パケットタイプ、プローブ、時間フレーム、及びその他の特性に基づいて、データ解析をパケットのサブセットに制限するフィルタを作成、カスタマイズ、保存、及び管理する方法
・フィルタ処理されたデータに関連したほぼリアルタイムの統計量の更新
・抽象ドメイン及び地域空間ドメインの両方での時間ベースの再生を使用する静的及び動的可視化を含む装置間のトラフィック及び通信の作成及び可視化
・送信周波数の不均一な使用、異常なグラフ特性曲線、及び異常な装置又はネットワーク挙動のその他の標識の検出を含む通信ネットワークの統計解析
・個々のシステムユーザを権限を与えられたデータの組に関連付ける方法
・システムの性能を最適化するロジック
を含む。
プローブデータをデータベースに取り込み、正規化するために、カスタムコードは、具体的なフォーマットでネットワーク通信に関するデータを受信し、このデータの完全性を保証する。カスタムコードは、次に、データを正規化し、選択フィールドについて解析を実行し、これらをデータベースに書き込む。
選択された装置、パケットタイプ、プローブ、時間フレーム、及びその他の特性に基づいて、データ解析をパケットのサブセットに制限するフィルタを作成、カスタマイズ、保存及び管理するため、ユーザ入力は、一連のウェブベースの形式によって受信され、パケット特性のユーザ選択を表現するフィルタを構築する。フィルタは、次に、システムによるさらなる解析のためのデータセットを制限するために使用される。ユーザは、フィルタを保存、修正、追加、ロード、又は除去する選択肢を持つ。フィルタは、ユーザアカウントに固有のものとすることができる。
システムは、フィルタ処理されたデータに関係する統計量についての動的な、ほぼリアルタイムの更新を提供することができる。これらの統計量は、選択中の装置の台数と、パケットの個数と、データのタイプと、無線周波数チャネル統計量及び均一性の評価のような選択されたデータから導出されたその他のデータとを含む。
フィルタ処理されたネットワークデータは、ネットワーク・メッシュ・フォーメーションでの出現の時間ベースの再生を使用する予測時間ベースの可視化を含む、通信フロー、トラフィック及び特性の静的及び動的なグラフィカル可視化を作成するために使用される。これらの可視化は、(従来のグラフ及びメッシュレイアウトを使用する)抽象的かつ地域空間的のいずれでもあり、適切な場合、例えば、図24に関して前述されたようにGoogle Earth(登録商標)のような地域空間的ソフトウェアへの正確なオーバーレイを伴う。
通信ネットワークにおけるフィルタ処理されたデータの統計解析は、ネットワーク通信の対象となる、又は、異常な特性を検出するために使用される。このような解析の一例は、具体的な通信チャネルの非ランダム使用を検出する無線周波数通信チャネルの分布解析である。これは、運用上又はセキュリティ上の問題の兆候である。さらなる例は、送信周波数の不均一な使用、異常なグラフ特性曲線、及び異常な装置又はネットワーク挙動のその他の兆候の検出を含む。
本明細書に記載された全体的なシステムは、多数の利点がある。システムは、堅牢なユーザ認証及び複数のソースから継承された許可の組に基づいてデータを制限するデータアクセスモデルを実施することができる。これは、ユーザが、自分の組織又は雇用者がアクセス権を有するデータだけにアクセス権を有することと、アクセス権が明示的に与えられていることとを保証する。
システムは、解析の速度及び使いやすさを高める方法を使用する最適化のロジックを含むことができる。使用されるデータモデルは、通信及びデータ入力に関係する統計データの迅速な取得及び解析を実現し易くするために設計される。
システムアーキテクチャは、2つの部分に記載されている。低レベルパケット処理部分は、パケットの選択から主要な情報を抽出し、ノード及びノード関連情報のリストを追跡し、上位レイヤ解析及び可視化に渡される出力ファイルを作成する。低レベルパケット処理部分は、添付図面にさらに記載されている。上位レイヤ解析及び可視化アーキテクチャも同様に示されている。
本明細書に開示されたシステム設計及びアプローチの利点は、
・機能性及びプレゼンテーションに一貫したアプローチを提供し、開発、保守、及びサポートに役立つ標準ベースのアーキテクチャ
・データベースが効率性と解析される具体的なコンテンツのタイプ(測位情報付きのネットワークトラフィック)に合された速度を最適化されること
・可視化が記述するために大量のページ数のテキストを必要とした筈の解析結果を明瞭で、理解し易くすること
・時間ベースの再生がデータの履歴ビューを将来のシステム挙動の予測ビューと共に提供すること
・ウェブベースのシステムが保守機能の集中化を維持すると共にスケーラビリティ、セキュリティ、及びクライアントベースへの分散をもたらすこと
・詳細な統計解析がデータの特性に関連した確率を判断するために確認された技術を使用して既存のソリューションを遙かに凌ぐ異常検出を可能にさせること
を含む。
本明細書に開示されたシステムの重要な特徴は、プローブが監視するAMI及びDAシステムとは別個であり、且つ、識別可能であるプローブの使用である。本明細書に開示されたようなプローブ、コレクタ及び管理ツールのシステムは、非IP AMI及びDA FANと協働するようにカスタムビルドされ、これらのうちの多くは、メッシュネットワーキング及び周波数ホッピング技術を使用する。さらに、本システムは、カスタムプロトコルについての解析を実施し、このカスタムプロトコルについての知識は、リバースエンジニアリングの実行を通じて取得され得る。さらなる違いは、侵入検出のためWi−Fiネットワークを監視するとき、商用的実施は、本開示のように無線通信経由のトラフィックではなく、ルータのバックエンドを監視する。さらに別の違いは、プローブによって使用されるノード追跡能力とチャネルスキャニング及びサンプリング技術とである。
本明細書に開示されたシステム及び方法は、ソリューション開発用、すなわち、公益事業者のためのカスタムソリューションを開発且つ統合するサービスとして、企業が公益事業者の代わりにシステムを配備し管理する管理型サービスとして商業化される可能性があり、又は、公益事業者に販売され得る製品として、若しくは、ホワイトレーベル製品としてFAN/AMIネットワークプロバイダとの提携を通じて生産される可能性がある。
開示内容は、コンピュータシステムによって実行されたとき、本明細書に記載された方法のステップの実行という結果になるコンピュータプログラムの命令を格納するコンピュータ読み取り可能な一時的でない記憶媒体において具体化されてもよいことが理解されるであろう。このような記憶媒体は、前述の記載で指摘されたいずれの記憶媒体を含んでいてもよい。
本明細書に記載された技術は、例示的であり、本開示内容への何らかの特定の限定を含意するものと解釈されるべきではない。様々な代替、組み合わせ及び変更が当業者によって考え出されることもあり得ることが理解されるべきである。例えば、本明細書に記載されたプロセスに関連付けられたステップは、特に特定されない限り又はステップ自体によって規定されない限り、どのような順序でも実行され得る。本開示は、請求項の範囲に入るすべてのこのような代替、変更及び変形を包含することが意図されている。
用語「comprises(備える)」又は「comprising(備える)」は、記載された特徴、整数、ステップ若しくはコンポーネントの存在を指定するものとして、しかし、1つ以上の他の特徴、整数、ステップ若しくはコンポーネント又はこれらの群の存在を除外するものではないものとして解釈されるべきである。

Claims (38)

  1. パケットがプローブによって傍受されるフィールド・エリア・ネットワークのための侵入検出及び監視システムであって、
    前記パケットが、侵入を示す第1のルールの組に適合するか否かを確かめるために前記パケットを解析するサブシステムと、
    前記パケットが、前記第1のルールの組のうちの少なくとも1つのルールに適合する場合、侵入を示す警告を格納するデータベース部と、
    を備えるシステム。
  2. 前記第1のルールの組は、前記フィールド・エリア・ネットワークのフィールド・エリア・ネットワークレイヤ内のパケットを対象にしている、請求項1に記載のシステム。
  3. 前記サブシステムは、
    インターネット・プロトコル・データが前記パケットに存在するか否か、及び、前記インターネット・プロトコル・データが第2のルールの組を満たすか否かを判定するために前記パケットを解析し、
    前記第2のルールの組のうちの少なくとも1つのルールを満たす前記インターネット・プロトコル・データを示す警告を前記データベースに格納するように構成されている、請求項1に記載のシステム。
  4. 前記インターネット・プロトコル・データは、IPv4又はIPv6トラフィックである、請求項3に記載のシステム。
  5. 前記サブシステムは、
    フィールド・エリア・ネットワーク・アプリケーション・トラフィックが前記パケットに存在するか否か、及び、前記フィールド・エリア・ネットワーク・アプリケーション・トラフィック・データが第3のルールの組を満たすか否かを判断するために前記パケットを解析し、
    前記第3のルールの組のうちの少なくとも1つのルールを満たす前記フィールド・エリア・ネットワーク・アプリケーション・トラフィック・データを示す警告を前記データベースに格納するように構成されている、請求項3に記載のシステム。
  6. 前記侵入検出システムは、前記フィールド・エリア・ネットワークに関連付けられた配電系統内のデータを検出するプローブに配置されている、請求項1に記載のシステム。
  7. 前記侵入検出システムは、配電系統に関連付けられたフィールド・エリア・ネットワークのヘッドエンドに配置されている、請求項1に記載のシステム。
  8. 前記侵入検出システムは、配電系統に関連付けられたフィールド・エリア・ネットワークの運用センターに配置されている、請求項1に記載のシステム。
  9. 前記第1のルールの組は、安全に格納され、前記ルールにアクセスする鍵の組を含むデータベース部をさらに備える、請求項1に記載のシステム。
  10. 前記鍵の組は、前記フィールド・エリア・ネットワーク内の送信側・受信側ペアのMACアドレスとIPアドレスとのうちの少なくとも一方に基づいて取り出される、請求項9に記載のシステム。
  11. データがパケットによって送信されるフィールド・エリア・ネットワークにおいて侵入を検出する方法であって、
    前記パケットが第1のルールの組に適合するか否かを確かめるために前記パケットを解析することと、
    前記パケットが前記第1のルールの組のうちの少なくとも1つのルールに適合する場合、侵入を示す警告をデータベースに格納することと、
    を含む方法。
  12. インターネット・プロトコル・データが前記パケットに存在するか否か、及び、前記インターネット・プロトコル・データが第2のルールの組を満たすか否かを判断するために前記パケットを解析することと、
    前記第2のルールの組を満たさない前記インターネット・プロトコル・データを示す警告を前記データベースに格納することと、
    をさらに備える請求項11に記載の方法。
  13. 前記第1のルールの組は、前記フィールド・エリア・ネットワークのフィールド・エリア・ネットワークレイヤ内のパケットを対象にしている、請求項11に記載の方法。
  14. 前記インターネット・プロトコル・データはIPv6トラフィックである、請求項13に記載の方法。
  15. フィールド・エリア・ネットワーク・アプリケーション・トラフィックが前記パケットに存在するか否か、及び、前記フィールド・エリア・ネットワーク・アプリケーション・トラフィック・データが第3のルールの組を満たすか否かを判断するために前記パケットを解析することと、
    前記第3のルールの組のうちの少なくとも1つのルールを満たす前記フィールド・エリア・ネットワーク・アプリケーション・トラフィック・データを示す警告を前記データベースに格納することと、
    をさらに含む、請求項13に記載の方法。
  16. 前記フィールド・エリア・ネットワークに関連付けられた配電系統内のデータを検出するプローブからパケットを受信することをさらに含む、請求項11に記載の方法。
  17. 配電系統に関連付けられたフィールド・エリア・ネットワークのヘッドエンドからパケットを受信することをさらに含む、請求項11に記載の方法。
  18. 配電系統に関連付けられたフィールド・エリア・ネットワークの運用センターからパケットを受信することをさらに含む、請求項11に記載の方法。
  19. 前記第1のルールの組を安全に格納することをさらに含む、請求項11に記載の方法。
  20. 前記第1のルールの組にアクセスする鍵の組をデータベース部に格納することをさらに含む、請求項19に記載の方法。
  21. 前記フィールド・エリア・ネットワーク内の送信側・受信側ペアのMACアドレスとIPアドレスとのうちの少なくとも一方を使用することにより前記鍵の組を取り出すことをさらに含む、請求項20に記載の方法。
  22. コンピュータシステムによって実行されたとき、データがパケットによって送信されるフィールド・エリア・ネットワークにおいて侵入を検出する方法のステップの実行をもたらすコンピュータプログラムの命令を格納するコンピュータ読み取り可能な一時的でない記憶媒体であって、前記ステップは、
    前記パケットが第1のルールの組に適合するか否かを確認するために前記パケットを解析することと、
    前記パケットが前記第1のルールの組のうちの少なくとも1つのルールに適合する場合、侵入を示す警告をデータベースに格納することと、
    を含む、コンピュータ読み取り可能な一時的でない記憶媒体。
  23. フィールド・エリア・ネットワーク上でトラフィックをサンプリングする方法であって、
    複数の受信機で、少なくとも1台の受信機にトラフィックを送信する少なくとも1台のプローブからトラフィックを受信することと、
    前記トラフィックを受信するために、各受信機で広い周波数帯域を受信することと、少なくとも1台の受信機で前記少なくとも1台のプローブを周波数追跡することと、前記少なくとも1台のプローブの周波数及び前記少なくとも1台のプローブを受信する受信機の受信周波数に所定の方法でトラフィックの送信の周波数を周期的に変更させることとのうちの少なくとも1つによって、少なくとも1台の受信機で前記少なくとも1台のプローブを追跡することと、
    を含む方法。
  24. フィールド・エリア・ネットワークを可視化するシステムであって、
    複数のプローブから前記ネットワーク上のネットワークトラフィックを受信することと、
    前記ネットワークトラフィックを示す情報をメモリに格納することと、
    前記プローブ及び前記プローブの間の相互接続の論理表現を形成するための前記情報を処理することと、
    前記論理表現を表示するグラフィカル・ユーザ・インターフェースを生成することと、
    を含むステップを実行するプログラムされたプロセッサを備えるシステム。
  25. 前記プロセッサは、前記プローブ及び前記相互接続の位置のマップを形成するための前記情報をさらに処理する、請求項24に記載のシステム。
  26. 前記プロセッサは、さらに
    前記ネットワークが配置されている地形の地形画像を取得し、
    前記画像マップを前記マップに重ね合わせる、
    請求項25に記載のシステム。
  27. 前記プロセッサは、
    前記ネットワークトラフィック内のイベントを前記イベントが発生した順序で再生するために時間的に順次に前記メモリに格納された前記情報にアクセスすることを含むさらなるステップを実行する、
    請求項24に記載のシステム。
  28. フィールド・エリア・ネットワークにおいてネットワークトラフィックを解析するシステムであって、
    パケット及びネットワークトラフィックを表すデータを受信することと、
    ネットワークトラフィックを表す前記データに、メトリックが存在するか否かを判断することと、
    ネットワークトラフィックを表す前記データに、メトリックが存在する場合、前記メトリックをデータストアに格納することと、
    前記パケットをデスクランブルすることと、
    ネットワークトラフィックを表す前記デスクランブルされたデータをデータリポジトリに格納することと、
    を含むステップを実行するようにプログラムされているプロセッサを備えるシステム。
  29. 前記プロセッサは、さらに、
    ネットワークトラフィックを表す前記データを侵入検出システムに送信することと、
    前記侵入検出システムによるリアルタイム監視のためデータのストリームを提供することと、
    を含むステップを実行する、請求項28に記載のシステム。
  30. 前記侵入検出システムは、前記侵入検出システムが侵入を検出した場合、リアルタイム警告を送信するように構成されている、請求項29に記載のシステム。
  31. 前記システムの監視、解析及び保守のうちの少なくとも1つのために前記システムに接続するクライアント・サービス・ポータルをさらに備える、請求項28に記載のシステム。
  32. 独立型ネットワーク解析システムのためのコネクションと、
    前記コネクションを介した前記システムへのコネクションのためのコンピュータと、
    をさらに備える、請求項28に記載のシステム。
  33. 前記コンピュータは、前記コンピュータ上のネットワークブラウザを介して前記システムにアクセスするように構成されている、請求項32に記載のシステム。
  34. 前記コンピュータは、ネットワーク・ビジュアライザ、侵入検出システム及びネットワーク・アナライザからなる群より選択された少なくとも1つを含む複数のツールを用いて構成されている、請求項32に記載のシステム。
  35. 前記ネットワークトラフィックはネットワークプローブから受信され、前記ネットワークプローブは携帯プローブ、ヘッドエンドプローブ、及び固定位置プローブからなる群より選択された少なくとも1つである、請求項28に記載のシステム。
  36. 前記パケットは、前記フィールド・エリア・ネットワークを介して通信するプローブから発生し、
    前記プローブの動作を管理するために、前記フィールド・エリア・ネットワークを使用して前記プローブと通信するプローブ・マネージャをさらに備える、
    請求項28に記載のシステム。
  37. 前記プローブ・マネージャは、前記プローブを構成するために前記プローブとさらに通信する、請求項36に記載のシステム。
  38. 前記プローブ・マネージャは、前記プローブからネットワークトラフィックを収集するために、前記プローブがネットワークトラフィックを送信するよう、周期的に前記プローブに問い合わせる、請求項36に記載のシステム。
JP2014557851A 2012-02-17 2013-02-15 フィールド・エリア・ネットワークにおけるパケット取得、解析及び侵入検出の方法及びシステム Active JP6277137B2 (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201261600222P 2012-02-17 2012-02-17
US61/600,222 2012-02-17
US201261613663P 2012-03-21 2012-03-21
US61/613,663 2012-03-21
US201361756336P 2013-01-24 2013-01-24
US61/756,336 2013-01-24
PCT/US2013/026504 WO2013123441A1 (en) 2012-02-17 2013-02-15 Method and system for packet acquisition, analysis and intrusion detection in field area networks

Publications (2)

Publication Number Publication Date
JP2015513828A true JP2015513828A (ja) 2015-05-14
JP6277137B2 JP6277137B2 (ja) 2018-02-07

Family

ID=48984784

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2014557851A Active JP6277137B2 (ja) 2012-02-17 2013-02-15 フィールド・エリア・ネットワークにおけるパケット取得、解析及び侵入検出の方法及びシステム
JP2014557849A Active JP6359463B2 (ja) 2012-02-17 2013-02-15 多機能電力量計器アダプタ及び使用方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2014557849A Active JP6359463B2 (ja) 2012-02-17 2013-02-15 多機能電力量計器アダプタ及び使用方法

Country Status (4)

Country Link
US (3) US9110101B2 (ja)
EP (2) EP2815360A4 (ja)
JP (2) JP6277137B2 (ja)
WO (2) WO2013123441A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017011393A (ja) * 2015-06-18 2017-01-12 ビッグローブ株式会社 トラフィック分析システム、トラフィック情報送信方法およびプログラム
JP2021519037A (ja) * 2018-04-20 2021-08-05 フラウンホーファー−ゲゼルシャフト・ツール・フェルデルング・デル・アンゲヴァンテン・フォルシュング・アインゲトラーゲネル・フェライン 無線伝送システムのためのパケット検出器/デコーダ
KR20220092279A (ko) * 2020-12-24 2022-07-01 주식회사 크로커스 전력 계통의 시각적 추상화 분석 방법

Families Citing this family (167)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7937344B2 (en) 2005-07-25 2011-05-03 Splunk Inc. Machine data web
TR200805998A2 (tr) 2008-08-12 2009-12-21 Kodalfa B�Lg� Ve �Let���M Teknoloj�Ler� Sanay� Ve T�Caret A.�. Seralar için uzaktan kablosuz iklim gözlemleme ve kontrol sistemi
US10716269B2 (en) 2008-08-12 2020-07-21 Rain Bird Corporation Methods and systems for irrigation control
US9258217B2 (en) * 2008-12-16 2016-02-09 At&T Intellectual Property I, L.P. Systems and methods for rule-based anomaly detection on IP network flow
US9057626B2 (en) * 2011-01-13 2015-06-16 General Electric Company Advanced metering infrastructure (AMI) cartridge for an energy meter
US9703275B2 (en) 2011-06-23 2017-07-11 Rain Bird Corporation Methods and systems for irrigation and climate control
EP2815360A4 (en) 2012-02-17 2015-12-02 Vencore Labs Inc MULTI-FUNCTION ELECTRIC METER ADAPTER AND METHOD OF USE
US10620241B2 (en) 2012-02-17 2020-04-14 Perspecta Labs Inc. Method and system for packet acquisition, analysis and intrusion detection in field area networks
US20140062719A1 (en) * 2012-08-29 2014-03-06 Qualcomm Incorporated Using smart meters as reliable crowd-sourcing agents
US8867396B2 (en) 2012-08-31 2014-10-21 Fujitsu Limtied Method and system for last gasp device identification
US9088994B2 (en) * 2012-08-31 2015-07-21 Fujitsu Limited Method and system for last gasp device detection
US10050851B2 (en) * 2012-09-24 2018-08-14 Entit Software Llc Visualizing conditions of information technology environments
US9774517B2 (en) * 2012-11-26 2017-09-26 EMC IP Holding Company LLC Correlative monitoring, analysis, and control of multi-service, multi-network systems
US9525603B2 (en) * 2012-12-19 2016-12-20 Teledyne Lecroy, Inc. Field selection graphical user interface
US10097417B2 (en) 2013-01-24 2018-10-09 Vencore Labs, Inc. Method and system for visualizing and analyzing a field area network
US20140244192A1 (en) * 2013-02-25 2014-08-28 Inscope Energy, Llc System and method for providing monitoring of industrial equipment
US8949594B2 (en) * 2013-03-12 2015-02-03 Silver Spring Networks, Inc. System and method for enabling a scalable public-key infrastructure on a smart grid network
US9098553B2 (en) 2013-03-15 2015-08-04 Gridglo Llc System and method for remote activity detection
DE102013206661A1 (de) * 2013-04-15 2014-10-16 Robert Bosch Gmbh Kommunikationsverfahren zum Übertragen von Nutzdaten sowie entsprechendes Kommunikationssystem
US20140351415A1 (en) * 2013-05-24 2014-11-27 PacketSled Inc. Selective packet capture
US9632673B1 (en) * 2013-06-14 2017-04-25 Telos Corporation Cyber domain visualization systems and methods
GB2515301B (en) * 2013-06-18 2017-07-19 Samsung Electronics Co Ltd Receiving broadcast content from a broadcast stream and an alternate location
US10362145B2 (en) * 2013-07-05 2019-07-23 The Boeing Company Server system for providing current data and past data to clients
US9483326B2 (en) 2013-07-11 2016-11-01 Oracle International Corporation Non-invasive upgrades of server components in cloud deployments
US9189224B2 (en) * 2013-07-11 2015-11-17 Oracle International Corporation Forming an upgrade recommendation in a cloud computing environment
US10089641B2 (en) * 2013-08-28 2018-10-02 San Diego Gas & Electric Company Interconnect socket adapter for adapting one or more power sources and power sinks
US9992215B2 (en) * 2013-10-04 2018-06-05 Webroot Inc. Network intrusion detection
JP2015080122A (ja) * 2013-10-18 2015-04-23 ゼネラル・エレクトリック・カンパニイ ユーティリティメータを起動するためのシステムおよび方法
US9655232B2 (en) 2013-11-05 2017-05-16 Cisco Technology, Inc. Spanning tree protocol (STP) optimization techniques
US10778584B2 (en) 2013-11-05 2020-09-15 Cisco Technology, Inc. System and method for multi-path load balancing in network fabrics
US9502111B2 (en) 2013-11-05 2016-11-22 Cisco Technology, Inc. Weighted equal cost multipath routing
US9374294B1 (en) 2013-11-05 2016-06-21 Cisco Technology, Inc. On-demand learning in overlay networks
US9769078B2 (en) 2013-11-05 2017-09-19 Cisco Technology, Inc. Dynamic flowlet prioritization
US9516049B2 (en) * 2013-11-13 2016-12-06 ProtectWise, Inc. Packet capture and network traffic replay
US10735453B2 (en) 2013-11-13 2020-08-04 Verizon Patent And Licensing Inc. Network traffic filtering and routing for threat analysis
US9654445B2 (en) 2013-11-13 2017-05-16 ProtectWise, Inc. Network traffic filtering and routing for threat analysis
DE102013114665B4 (de) * 2013-12-20 2015-07-16 Gira Giersiepen Gmbh & Co. Kg Sensorkopf für die Auslesung von Energiedaten an einem Energiezähler sowie eine entsprechende Messanordnung und ein entsprechendes Verfahren
WO2015113036A1 (en) * 2014-01-27 2015-07-30 Vencore Labs, Inc. System and method for network traffic profiling and visualization
WO2015113156A1 (en) * 2014-01-30 2015-08-06 Marketwired L.P. Systems and methods for continuous active data security
US9548918B2 (en) 2014-02-28 2017-01-17 General Electric Company Edge router systems and methods
US9961079B1 (en) * 2014-03-21 2018-05-01 Symantec Corporation Context aware intruder detection using WIFI MAC addresses
US9762443B2 (en) 2014-04-15 2017-09-12 Splunk Inc. Transformation of network data at remote capture agents
US10127273B2 (en) 2014-04-15 2018-11-13 Splunk Inc. Distributed processing of network data using remote capture agents
US10693742B2 (en) 2014-04-15 2020-06-23 Splunk Inc. Inline visualizations of metrics related to captured network data
US10700950B2 (en) 2014-04-15 2020-06-30 Splunk Inc. Adjusting network data storage based on event stream statistics
US10360196B2 (en) 2014-04-15 2019-07-23 Splunk Inc. Grouping and managing event streams generated from captured network data
US10366101B2 (en) 2014-04-15 2019-07-30 Splunk Inc. Bidirectional linking of ephemeral event streams to creators of the ephemeral event streams
US10523521B2 (en) 2014-04-15 2019-12-31 Splunk Inc. Managing ephemeral event streams generated from captured network data
US9923767B2 (en) 2014-04-15 2018-03-20 Splunk Inc. Dynamic configuration of remote capture agents for network data capture
US9838512B2 (en) 2014-10-30 2017-12-05 Splunk Inc. Protocol-based capture of network data using remote capture agents
US11281643B2 (en) 2014-04-15 2022-03-22 Splunk Inc. Generating event streams including aggregated values from monitored network data
US10462004B2 (en) 2014-04-15 2019-10-29 Splunk Inc. Visualizations of statistics associated with captured network data
US11086897B2 (en) 2014-04-15 2021-08-10 Splunk Inc. Linking event streams across applications of a data intake and query system
WO2015160010A1 (ko) * 2014-04-17 2015-10-22 한국전자통신연구원 스마트그리드 ami 네트워크에서 이상행위 탐지 시스템 및 이를 이용한 방법
US9286467B2 (en) 2014-04-25 2016-03-15 Bank Of America Corporation Evaluating customer security preferences
US9251335B2 (en) 2014-04-25 2016-02-02 Bank Of America Corporation Evaluating customer security preferences
US9806907B2 (en) 2014-04-30 2017-10-31 Ixia Methods and apparatuses for implementing network packet brokers and taps
US9379959B1 (en) * 2014-07-10 2016-06-28 Juniper Networks, Inc. System and method for verifying the functionality of network paths
US10326803B1 (en) * 2014-07-30 2019-06-18 The University Of Tulsa System, method and apparatus for network security monitoring, information sharing, and collective intelligence
WO2016019293A1 (en) * 2014-08-01 2016-02-04 Src, Inc. Optiarmor secure separation device
FR3024904B1 (fr) * 2014-08-13 2018-11-30 Rd Tech Dispositif multi-compteur energetique
CN106664201A (zh) * 2014-08-28 2017-05-10 三菱电机株式会社 进程解析装置、进程解析方法和进程解析程序
US10116527B2 (en) * 2014-09-02 2018-10-30 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods and apparatuses for validating network packet brokers
US9660994B2 (en) * 2014-09-30 2017-05-23 Schneider Electric USA, Inc. SCADA intrusion detection systems
US20160191549A1 (en) * 2014-10-09 2016-06-30 Glimmerglass Networks, Inc. Rich metadata-based network security monitoring and analysis
US10382591B2 (en) * 2014-10-13 2019-08-13 International Business Machines Corporation Transparent inline content inspection and modification in a TCP session
US9686162B2 (en) * 2014-10-17 2017-06-20 International Business Machines Corporation Identifying configuration inconsistency in edge-based software defined networks (SDN)
US20160127180A1 (en) * 2014-10-30 2016-05-05 Splunk Inc. Streamlining configuration of protocol-based network data capture by remote capture agents
US9596253B2 (en) 2014-10-30 2017-03-14 Splunk Inc. Capture triggers for capturing network data
KR102059688B1 (ko) * 2015-01-13 2019-12-27 한국전자통신연구원 사이버 블랙박스 시스템 및 그 방법
WO2016113911A1 (ja) * 2015-01-16 2016-07-21 三菱電機株式会社 データ判定装置、データ判定方法及びプログラム
US10334085B2 (en) 2015-01-29 2019-06-25 Splunk Inc. Facilitating custom content extraction from network packets
EP3256818A1 (en) * 2015-02-09 2017-12-20 Utilidata Inc. Systems and methods of detecting utility grid intrusions
US9973516B2 (en) * 2015-02-13 2018-05-15 International Business Machines Corporation Traffic shape obfuscation when using an encrypted network connection
US10291506B2 (en) * 2015-03-04 2019-05-14 Fisher-Rosemount Systems, Inc. Anomaly detection in industrial communications networks
US9894536B2 (en) 2015-03-10 2018-02-13 Aruba Networks, Inc. Motion-controlled device for supporting planning, deployment or operation of a wireless network
US10123229B2 (en) 2015-03-10 2018-11-06 Hewlett Packard Enterprise Development Lp Sensing conditions of a wireless network
US10219174B2 (en) 2015-03-10 2019-02-26 Hewlett Packard Enterprise Development Lp Capacity estimation of a wireless link
US10356638B2 (en) 2015-03-10 2019-07-16 Hewlett Packard Enterprise Development Lp Estimating qualities of links between nodes of a wireless network
US9720760B2 (en) 2015-03-10 2017-08-01 Aruba Networks, Inc. Mitigating wireless networking problems of a wireless network
WO2016179042A1 (en) * 2015-05-01 2016-11-10 Cnry Inc. Systems and methods for smart connection, communication, and power conversion
CN107735987A (zh) * 2015-06-02 2018-02-23 三菱电机大楼技术服务株式会社 中继装置、网络监视系统和程序
US10250619B1 (en) 2015-06-17 2019-04-02 Mission Secure, Inc. Overlay cyber security networked system and method
US10205733B1 (en) * 2015-06-17 2019-02-12 Mission Secure, Inc. Cyber signal isolator
CN104954864B (zh) * 2015-06-19 2019-03-01 中国人民解放军信息工程大学 双向机顶盒入侵检测系统及其检测方法
US10254934B2 (en) 2015-08-01 2019-04-09 Splunk Inc. Network security investigation workflow logging
US9516052B1 (en) * 2015-08-01 2016-12-06 Splunk Inc. Timeline displays of network security investigation events
US9363149B1 (en) 2015-08-01 2016-06-07 Splunk Inc. Management console for network security investigations
US11172273B2 (en) 2015-08-10 2021-11-09 Delta Energy & Communications, Inc. Transformer monitor, communications and data collection device
WO2017027682A1 (en) 2015-08-11 2017-02-16 Delta Energy & Communications, Inc. Enhanced reality system for visualizing, evaluating, diagnosing, optimizing and servicing smart grids and incorporated components
US10055966B2 (en) 2015-09-03 2018-08-21 Delta Energy & Communications, Inc. System and method for determination and remediation of energy diversion in a smart grid network
CA3000206C (en) 2015-10-02 2023-10-17 Delta Energy & Communications, Inc. Supplemental and alternative digital data delivery and receipt mesh network realized through the placement of enhanced transformer mounted monitoring devices
WO2017070648A1 (en) 2015-10-22 2017-04-27 Delta Energy & Communications, Inc. Augmentation, expansion and self-healing of a geographically distributed mesh network using unmanned aerial vehicle technology
WO2017070646A1 (en) 2015-10-22 2017-04-27 Delta Energy & Communications, Inc. Data transfer facilitation across a distributed mesh network using light and optical based technology
JP6693114B2 (ja) * 2015-12-15 2020-05-13 横河電機株式会社 制御装置及び統合生産システム
JP6759572B2 (ja) 2015-12-15 2020-09-23 横河電機株式会社 統合生産システム
US11100046B2 (en) * 2016-01-25 2021-08-24 International Business Machines Corporation Intelligent security context aware elastic storage
US10409349B2 (en) * 2016-02-19 2019-09-10 Microsoft Technology Licensing, Llc Remediating power loss at a server
MX2018010238A (es) 2016-02-24 2019-06-06 Delta Energy & Communications Inc Red de malla 802.11s distribuida usando hardware de módulo de transformador para la captura y transmisión de datos.
US10063444B2 (en) 2016-02-29 2018-08-28 Red Hat, Inc. Network traffic capture analysis
US10225309B1 (en) * 2016-03-22 2019-03-05 Amazon Technologies, Inc. Monitoring of media pipeline health using tracing
US10257226B2 (en) * 2016-03-24 2019-04-09 802 Secure, Inc. Identifying and trapping wireless based attacks on networks using deceptive network emulation
JP6690011B2 (ja) * 2016-03-29 2020-04-28 アンリツ カンパニー ストリーミング分析法を用いてネットワーク問題の実効顧客影響度をリアルタイムで測定するためのシステム及び方法
US10212035B2 (en) 2016-04-27 2019-02-19 At&T Intellectual Property I, L.P. Message flow management for virtual networks
CN105910840A (zh) * 2016-05-20 2016-08-31 北京感知土木科技有限公司 基于太阳能供电和4g无线通信的桥梁结构安全监测系统
AU2017271591B2 (en) 2016-05-26 2021-04-01 Landis+Gyr Technology, Inc. Utility meter for use with distributed generation device
US10243845B2 (en) * 2016-06-02 2019-03-26 International Business Machines Corporation Middlebox tracing in software defined networks
US10523635B2 (en) * 2016-06-17 2019-12-31 Assured Information Security, Inc. Filtering outbound network traffic
EP3261102A1 (en) 2016-06-23 2017-12-27 Rain Bird Corporation Universal solenoid
US9967820B2 (en) * 2016-06-29 2018-05-08 Intel Corporation Wake up radio device, circuit configuration, and method
WO2018035143A1 (en) 2016-08-15 2018-02-22 Delta Energy & Communications, Inc. Integrated solution of internet of things and smart grid network
US10161983B2 (en) * 2016-09-21 2018-12-25 Landis+Gyr Llc Method and system for hot socket detection in a utility meter
US10432578B2 (en) 2016-09-27 2019-10-01 Cisco Technology, Inc. Client address based forwarding of dynamic host configuration protocol response packets
US10396910B2 (en) * 2016-10-26 2019-08-27 Silicon Laboratories, Inc. Over the air commands for RF testing
US10244532B2 (en) 2016-10-27 2019-03-26 Itron, Inc. Channel structure for communication in wireless networks
US10511620B2 (en) 2016-10-31 2019-12-17 Armis Security Ltd. Detection of vulnerable devices in wireless networks
US11824880B2 (en) 2016-10-31 2023-11-21 Armis Security Ltd. Detection of vulnerable wireless networks
US20180139090A1 (en) * 2016-11-15 2018-05-17 John Geiger Method for secure enrollment of devices in the industrial internet of things
US10437800B2 (en) * 2016-12-02 2019-10-08 International Business Machines Corporation Data migration using a migration data placement tool between storage systems based on data access
US10437799B2 (en) * 2016-12-02 2019-10-08 International Business Machines Corporation Data migration using a migration data placement tool between storage systems based on data access
US10554369B2 (en) 2016-12-30 2020-02-04 Itron, Inc. Group acknowledgement message efficiency
EP3545658B1 (en) * 2017-01-23 2021-03-31 Mitsubishi Electric Corporation Evaluation and generation of a whitelist
US10855783B2 (en) * 2017-01-23 2020-12-01 Adobe Inc. Communication notification trigger modeling preview
US10255458B2 (en) * 2017-01-23 2019-04-09 Akiri, Inc. Trust based access to records via encrypted protocol communications with authentication system
US11405358B2 (en) 2017-03-01 2022-08-02 Siemens Aktiengesellschaft Network security monitoring of network traffic
US10271381B2 (en) * 2017-05-22 2019-04-23 Honeywell International Inc. Legacy Modbus communication devices
US10980120B2 (en) 2017-06-15 2021-04-13 Rain Bird Corporation Compact printed circuit board
US10454882B2 (en) 2017-06-30 2019-10-22 Cisco Technology, Inc. DHCP in layer-3 overlay with anycast address support and network address transparency
US11032302B2 (en) * 2017-07-31 2021-06-08 Perspecta Labs Inc. Traffic anomaly detection for IoT devices in field area network
US10527704B2 (en) * 2017-09-28 2020-01-07 Landis+Gyr Llc Detection of deteriorated electrical connections in a meter using adjusted temperature sensing
US10393791B2 (en) * 2017-09-28 2019-08-27 Landis+Gyr Llc Detection of deteriorated electrical connections in a meter using temperature sensing and time-variable thresholds
WO2019071397A1 (en) 2017-10-09 2019-04-18 Viavi Solutions Inc. CALIBRATION OF NETWORK ANALYZER DEVICES
US11187566B2 (en) * 2017-10-20 2021-11-30 Honeywell International Inc. Safety incident detection and reporting through a connected EVC (electronic volume corrector)
ES2711204B2 (es) * 2017-10-30 2021-01-11 Univ Cadiz Procedimiento y sistema de análisis de calidad de la energía e índice de calidad 2S2PQ, caracterización de la señal en un punto del suministro eléctrico
WO2019124976A1 (ko) * 2017-12-19 2019-06-27 현대자동차주식회사 차량 내 네트워크에 보안을 제공하는 시스템 및 방법
WO2019143630A1 (en) * 2018-01-16 2019-07-25 Pacific Gas And Electric Company Multi-purpose (multi-dwelling) electric metering system and method
US10705821B2 (en) * 2018-02-09 2020-07-07 Forescout Technologies, Inc. Enhanced device updating
EP3540985A1 (en) * 2018-03-15 2019-09-18 H&E Solutions AB Output power determination for optimal radio signal transmission
US10944650B2 (en) * 2018-03-29 2021-03-09 Fortinet, Inc. Programmable, policy-based efficient wireless sniffing networks in WIPS (wireless intrusion prevention systems)
US11503782B2 (en) 2018-04-11 2022-11-22 Rain Bird Corporation Smart drip irrigation emitter
US10601942B2 (en) * 2018-04-12 2020-03-24 Pearson Management Services Limited Systems and methods for automated module-based content provisioning
CN109067592B (zh) * 2018-08-31 2022-01-18 国网辽宁省电力有限公司电力科学研究院 一种面向智能配用电的智能管控装置及管控方法
US10432258B1 (en) * 2018-09-28 2019-10-01 The Boeing Company Systems and methods for monitoring and analyzing broadband over power line data
CN111356166A (zh) * 2018-12-20 2020-06-30 福建雷盾信息安全有限公司 一种流量监控方法
US11178169B2 (en) 2018-12-27 2021-11-16 Paypal, Inc. Predicting online electronic attacks based on other attacks
US10326676B1 (en) * 2019-01-08 2019-06-18 Extrahop Networks, Inc. Automated risk assessment based on machine generated investigation
US10948516B2 (en) 2019-01-10 2021-03-16 Landis+Gyr Innovations, Inc. Methods and systems for connecting and metering distributed energy resource devices
CN109728980A (zh) * 2019-03-15 2019-05-07 广东电网有限责任公司 一种网络质量主动拨测方法、装置和设备
WO2020206180A1 (en) * 2019-04-02 2020-10-08 Nusantao, Inc. Managing access to data and managing operations performed by applications
CN111833578B (zh) * 2019-04-22 2021-06-04 河南许继仪表有限公司 用电信息采集系统和NB-IoT通信模块及其通信方法
US11206289B2 (en) 2019-05-16 2021-12-21 Level 3 Communications, Llc Monitoring and detection of fraudulent or unauthorized use in telephone conferencing systems or voice networks
US11516228B2 (en) 2019-05-29 2022-11-29 Kyndryl, Inc. System and method for SIEM rule sorting and conditional execution
US11187734B2 (en) * 2019-05-31 2021-11-30 Landis+Gyr Innovations, Inc. Systems for electrically connecting metering devices and distributed energy resource devices
US11928605B2 (en) * 2019-08-06 2024-03-12 International Business Machines Corporation Techniques for cyber-attack event log fabrication
JP7215378B2 (ja) * 2019-09-18 2023-01-31 トヨタ自動車株式会社 車載制御装置、情報処理装置、車両用ネットワークシステム、アプリケーションプログラムの提供方法、及びプログラム
US11902318B2 (en) 2019-10-10 2024-02-13 Alliance For Sustainable Energy, Llc Network visualization, intrusion detection, and network healing
US11506693B2 (en) 2019-10-11 2022-11-22 Landis+Gyr Innovations, Inc. Meter and socket for use with a distributed energy resource device
US11297085B2 (en) 2020-01-08 2022-04-05 Bank Of America Corporation Real-time validation of data transmissions based on security profiles
US11184381B2 (en) 2020-01-08 2021-11-23 Bank Of America Corporation Real-time validation of application data
US11770392B2 (en) 2020-01-08 2023-09-26 Bank Of America Corporation Method and system for data communication with anomaly detection
US11627152B2 (en) 2020-01-08 2023-04-11 Bank Of America Corporation Real-time classification of content in a data transmission
US11721465B2 (en) 2020-04-24 2023-08-08 Rain Bird Corporation Solenoid apparatus and methods of assembly
CN111600863B (zh) * 2020-05-08 2022-09-13 杭州安恒信息技术股份有限公司 网络入侵检测方法、装置、系统和存储介质
CN112997467B (zh) * 2020-09-18 2022-08-19 华为技术有限公司 入侵监控系统、方法及相关产品
CN114785819A (zh) * 2022-03-08 2022-07-22 南京工业大学 一种基于边缘计算的工业互联网安全防护方法
CN116137576A (zh) * 2023-02-27 2023-05-19 济南新物联自控科技有限公司 一种NB-IoT终端的数据安全保护方法及系统
CN116471125B (zh) * 2023-06-19 2023-09-08 杭州美创科技股份有限公司 加密数据库流量审计方法、装置、计算机设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004349775A (ja) * 2003-05-20 2004-12-09 Ace International Japan Inc 秘密保持通信機能を有する携帯端末及びその携帯端末を用いた情報処理システム
JP2006287299A (ja) * 2005-03-31 2006-10-19 Nec Corp ネットワーク管理方法および装置並びに管理プログラム
JP2008205954A (ja) * 2007-02-21 2008-09-04 International Network Securitiy Inc 通信情報監査装置、方法及びプログラム
JP2012243317A (ja) * 2011-05-16 2012-12-10 General Electric Co <Ge> ネットワーク侵入検出のためのシステム、方法、および装置

Family Cites Families (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1994019899A1 (en) * 1993-02-12 1994-09-01 Ekstrom Industries, Inc. Remote automatic meter reading apparatus
JP2704498B2 (ja) * 1994-06-29 1998-01-26 有限会社福永博建築研究所 集合住宅のメータボックス形成方法およびメータボックス用ユニット並びにその使用方法
JPH1083493A (ja) * 1996-09-09 1998-03-31 Ig Tech Res Inc 住宅セーフティシステム
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
JPH10252155A (ja) * 1997-03-10 1998-09-22 Mitsui Constr Co Ltd メータボックスユニット及びこれを用いた建築設備ユニット化工法
US6324656B1 (en) 1998-06-30 2001-11-27 Cisco Technology, Inc. System and method for rules-driven multi-phase network vulnerability assessment
US6282546B1 (en) 1998-06-30 2001-08-28 Cisco Technology, Inc. System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment
US20020161536A1 (en) 2000-04-25 2002-10-31 Suh Sung L. Internet ready, energy meter business methods
US6958977B1 (en) 2000-06-06 2005-10-25 Viola Networks Ltd Network packet tracking
US6906709B1 (en) 2001-02-27 2005-06-14 Applied Visions, Inc. Visualizing security incidents in a computer network
US7174566B2 (en) 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
WO2004015922A2 (en) 2002-08-09 2004-02-19 Netscout Systems Inc. Intrusion detection system and network flow director method
US6995666B1 (en) * 2002-10-16 2006-02-07 Luttrell Clyde K Cellemetry-operated railroad switch heater
US7058524B2 (en) * 2002-10-25 2006-06-06 Hudson Bay Wireless, Llc Electrical power metering system
US7463986B2 (en) * 2002-10-25 2008-12-09 Hudson Bay Wireless Llc Electrical power metering system
JP4212369B2 (ja) * 2003-01-22 2009-01-21 中国電力株式会社 電力供給サービス方法およびシステム
JP2005174058A (ja) * 2003-12-12 2005-06-30 Matsushita Electric Ind Co Ltd 家庭内情報システム
US7049932B2 (en) * 2003-12-22 2006-05-23 Blp Components, Limited Control system
KR100609170B1 (ko) * 2004-02-13 2006-08-02 엘지엔시스(주) 네트워크 보안 시스템 및 그 동작 방법
GB0414336D0 (en) 2004-06-28 2004-07-28 Mood Internat Ltd Method and apparatus for managing and synchronising variant business structures
US9537731B2 (en) * 2004-07-07 2017-01-03 Sciencelogic, Inc. Management techniques for non-traditional network and information system topologies
WO2006022594A1 (en) * 2004-08-27 2006-03-02 Singapore Technologies Dynamics Pte Ltd Multi-sensor intrusion detection system
US7987272B2 (en) 2004-12-06 2011-07-26 Cisco Technology, Inc. Performing message payload processing functions in a network element on behalf of an application
JP2006162424A (ja) * 2004-12-07 2006-06-22 Tepco Sysytems Corp エネルギーマネージメントシステム
US20070063866A1 (en) * 2005-06-02 2007-03-22 Andisa Technologies, Inc. Remote meter monitoring and control system
FR2888695A1 (fr) * 2005-07-13 2007-01-19 France Telecom Detection d'une intrusion par detournement de paquets de donnees dans un reseau de telecommunication
WO2008092268A1 (en) * 2007-02-02 2008-08-07 Aztech Associates Inc. Utility monitoring device, system and method
US20090116404A1 (en) 2007-11-01 2009-05-07 Telefonaktiebolaget Lm Ericsson (Publ) Topology discovery in heterogeneous networks
US7975046B2 (en) 2008-04-03 2011-07-05 AT&T Intellectual Property I, LLP Verifying a lawful interception system
JP2010019680A (ja) * 2008-07-10 2010-01-28 Toshiba Corp 電力量計
US20100036625A1 (en) * 2008-08-07 2010-02-11 Landis+Gyr, Inc. Temperature Profiling in an Electricity Meter
US20100054128A1 (en) * 2008-08-29 2010-03-04 O'hern William Near Real-Time Alerting of IP Traffic Flow to Subscribers
CA2743667A1 (en) 2008-11-14 2010-05-20 Thinkeco Power Inc. System and method of democratizing power to create a meta-exchange
WO2010067299A2 (en) * 2008-12-10 2010-06-17 Grinpal Energy Management (Pty) Limited Electricity meters
US20100217549A1 (en) * 2009-02-26 2010-08-26 Galvin Brian R System and method for fractional smart metering
US8269622B2 (en) * 2009-03-17 2012-09-18 Jetlun Corporation Method and system for intelligent energy network management control system
US8533362B2 (en) 2009-08-07 2013-09-10 Cooper Technologies Company Methods and apparatus related to an adapter between a premise network and an advanced metering infrastructure (AMI) network
US20110082599A1 (en) * 2009-10-06 2011-04-07 Makarand Shinde Optimizing Utility Usage by Smart Monitoring
MX2012004186A (es) * 2009-10-09 2012-07-17 Consert Inc Aparatos y metodos para controlar comunicaciones a y de puntos de servicio de una compañía de electricidad.
US20110103238A1 (en) * 2009-10-29 2011-05-05 Fluke Corporation Method and apparatus for the efficient correlation of network traffic to related packets
US20110202293A1 (en) * 2010-02-15 2011-08-18 General Electric Company Diagnostics using sub-metering device
JP5747190B2 (ja) * 2010-03-02 2015-07-08 株式会社国際電気通信基礎技術研究所 ホームネットワーク管理システム
JP5439233B2 (ja) * 2010-03-08 2014-03-12 株式会社東芝 制御装置
US9030329B2 (en) * 2010-04-12 2015-05-12 Heath Consultants, Inc. Smart methane monitor
WO2011133578A1 (en) * 2010-04-20 2011-10-27 Equal Networks Incorporated Apparatus, system, and method having a wi-fi compatible alternating current (ac) power circuit module
BR112012032231A2 (pt) * 2010-06-17 2016-11-22 Awesense Wireless Inc nó sensor passível de ser implantado em campo, e , sistema e método de determinar uso elétrico em uma rede de energia elétrica
WO2012021372A1 (en) * 2010-08-10 2012-02-16 Sensus Usa Inc. Electric utility meter comprising load identifying data processor
EP2641137A2 (en) * 2010-11-15 2013-09-25 Trilliant Holdings, Inc. System and method for securely communicating across multiple networks using a single radio
US8635036B2 (en) * 2011-01-04 2014-01-21 General Electric Company Systems, methods, and apparatus for providing energy management utilizing a power meter
US20120198551A1 (en) * 2011-01-31 2012-08-02 General Electric Company Method, system and device for detecting an attempted intrusion into a network
US20120217928A1 (en) * 2011-02-28 2012-08-30 Juice Technologies Llc Electric vehicle charging interface
US8466803B2 (en) * 2011-05-06 2013-06-18 Greenwave Reality PTE, Ltd. Smart meter emulation
US9525285B2 (en) * 2011-06-13 2016-12-20 Demand Energy Networks, Inc. Energy systems and energy supply methods
US9100305B2 (en) * 2011-07-12 2015-08-04 Cisco Technology, Inc. Efficient admission control for low power and lossy networks
US8996144B2 (en) * 2011-10-06 2015-03-31 General Electric Company Remote disconnect switch assembly
US8948274B2 (en) * 2011-10-24 2015-02-03 Texas Instruments Incorporated Enabling co-existence among power line communication (PLC) technologies
US9318861B2 (en) * 2011-11-02 2016-04-19 ConnectDER LLC Meter collar for plug-in connection of distributed power generation
TWM445292U (zh) * 2012-01-03 2013-01-11 Wei-Jin Lin Usb多用轉接裝置
US9642169B2 (en) * 2012-01-11 2017-05-02 Saguna Networks Ltd. Methods, circuits, devices, systems and associated computer executable code for facilitating access to a content source through a wireless mobile network
EP2815360A4 (en) 2012-02-17 2015-12-02 Vencore Labs Inc MULTI-FUNCTION ELECTRIC METER ADAPTER AND METHOD OF USE

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004349775A (ja) * 2003-05-20 2004-12-09 Ace International Japan Inc 秘密保持通信機能を有する携帯端末及びその携帯端末を用いた情報処理システム
JP2006287299A (ja) * 2005-03-31 2006-10-19 Nec Corp ネットワーク管理方法および装置並びに管理プログラム
JP2008205954A (ja) * 2007-02-21 2008-09-04 International Network Securitiy Inc 通信情報監査装置、方法及びプログラム
JP2012243317A (ja) * 2011-05-16 2012-12-10 General Electric Co <Ge> ネットワーク侵入検出のためのシステム、方法、および装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017011393A (ja) * 2015-06-18 2017-01-12 ビッグローブ株式会社 トラフィック分析システム、トラフィック情報送信方法およびプログラム
JP2021519037A (ja) * 2018-04-20 2021-08-05 フラウンホーファー−ゲゼルシャフト・ツール・フェルデルング・デル・アンゲヴァンテン・フォルシュング・アインゲトラーゲネル・フェライン 無線伝送システムのためのパケット検出器/デコーダ
JP7058756B2 (ja) 2018-04-20 2022-04-22 フラウンホーファー-ゲゼルシャフト・ツール・フェルデルング・デル・アンゲヴァンテン・フォルシュング・アインゲトラーゲネル・フェライン 無線伝送システムのためのパケット検出器/デコーダ
US11483015B2 (en) 2018-04-20 2022-10-25 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Packet detector/decoder for a radio transmission system
KR20220092279A (ko) * 2020-12-24 2022-07-01 주식회사 크로커스 전력 계통의 시각적 추상화 분석 방법
KR102451079B1 (ko) 2020-12-24 2022-10-06 주식회사 크로커스 전력 계통의 시각적 추상화 분석 방법

Also Published As

Publication number Publication date
EP2815282A1 (en) 2014-12-24
JP6359463B2 (ja) 2018-07-18
US9733274B2 (en) 2017-08-15
JP2015510127A (ja) 2015-04-02
US20160021059A1 (en) 2016-01-21
EP2815360A4 (en) 2015-12-02
JP6277137B2 (ja) 2018-02-07
EP2815282A4 (en) 2015-08-19
US9110101B2 (en) 2015-08-18
US20130226485A1 (en) 2013-08-29
EP2815360A1 (en) 2014-12-24
US9696346B2 (en) 2017-07-04
WO2013123441A1 (en) 2013-08-22
US20170142067A9 (en) 2017-05-18
US20130227689A1 (en) 2013-08-29
WO2013123434A1 (en) 2013-08-22

Similar Documents

Publication Publication Date Title
JP6277137B2 (ja) フィールド・エリア・ネットワークにおけるパケット取得、解析及び侵入検出の方法及びシステム
US10620241B2 (en) Method and system for packet acquisition, analysis and intrusion detection in field area networks
CA2484041C (en) Method and system for wireless intrusion detection
US10581913B2 (en) Spoofing detection
US10097417B2 (en) Method and system for visualizing and analyzing a field area network
Grochocki et al. AMI threats, intrusion detection requirements and deployment recommendations
US7603710B2 (en) Method and system for detecting characteristics of a wireless network
US10284373B2 (en) Smart grid secure communications method and apparatus
Alcaraz et al. Security of industrial sensor network-based remote substations in the context of the internet of things
Nawrocki et al. Uncovering vulnerable industrial control systems from the internet core
Arıs et al. Security of internet of things for a reliable internet of services
De Keersmaeker et al. A survey of public IoT datasets for network security research
Kumar et al. Traffic forensics for ipv6-based wireless sensor networks and the internet of things
Frenzel Data security issues arising from integration of wireless access into healthcare networks
Meng et al. Building a wireless capturing tool for WiFi
Turnbull et al. Wi-Fi network signals as a source of digital evidence: Wireless network forensics
Ibrahim et al. Digital forensics issues in advanced metering infrastructure
Bouchendouka et al. SDR Implementation of WIFI Attacks Using GNURadio
CN111400090A (zh) 一种数据监测系统
Morrissey Network Analysis
Rahman WiFi Miner: An online apriori and sensor based wireless network Intrusion Detection System

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151210

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160627

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170207

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170424

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170705

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170803

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180115

R150 Certificate of patent or registration of utility model

Ref document number: 6277137

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250