JP2019080310A - 強化されたスマートプロセス制御スイッチのポートロックダウン - Google Patents
強化されたスマートプロセス制御スイッチのポートロックダウン Download PDFInfo
- Publication number
- JP2019080310A JP2019080310A JP2018185660A JP2018185660A JP2019080310A JP 2019080310 A JP2019080310 A JP 2019080310A JP 2018185660 A JP2018185660 A JP 2018185660A JP 2018185660 A JP2018185660 A JP 2018185660A JP 2019080310 A JP2019080310 A JP 2019080310A
- Authority
- JP
- Japan
- Prior art keywords
- switch
- process control
- port
- message
- control switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004886 process control Methods 0.000 title claims abstract description 148
- KJLPSBMDOIVXSN-UHFFFAOYSA-N 4-[4-[2-[4-(3,4-dicarboxyphenoxy)phenyl]propan-2-yl]phenoxy]phthalic acid Chemical compound C=1C=C(OC=2C=C(C(C(O)=O)=CC=2)C(O)=O)C=CC=1C(C)(C)C(C=C1)=CC=C1OC1=CC=C(C(O)=O)C(C(O)=O)=C1 KJLPSBMDOIVXSN-UHFFFAOYSA-N 0.000 title claims description 98
- 238000013507 mapping Methods 0.000 claims abstract description 16
- 238000000034 method Methods 0.000 claims description 116
- 230000008569 process Effects 0.000 claims description 71
- 230000003068 static effect Effects 0.000 claims description 31
- 230000004044 response Effects 0.000 claims description 19
- 238000012546 transfer Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 description 111
- 230000006870 function Effects 0.000 description 20
- 238000007726 management method Methods 0.000 description 16
- 230000000977 initiatory effect Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 6
- 230000032683 aging Effects 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 238000012552 review Methods 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 102100029272 5-demethoxyubiquinone hydroxylase, mitochondrial Human genes 0.000 description 2
- 101000770593 Homo sapiens 5-demethoxyubiquinone hydroxylase, mitochondrial Proteins 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 230000001351 cycling effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000002716 delivery method Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000003208 petroleum Substances 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 238000010963 scalable process Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
- H04L12/413—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/028—Dynamic adaptation of the update intervals, e.g. event-triggered updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
- G05B19/41855—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication by local area network [LAN], network structure
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25022—LAN local area network for controllers
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31151—Lan local area network
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31255—Verify communication parameters, if wrong, refuse communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/4026—Bus for use in automation systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/74591—Address table lookup; Address filtering using content-addressable memories [CAM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Manufacturing & Machinery (AREA)
- Automation & Control Theory (AREA)
- Small-Scale Networks (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Selective Calling Equipment (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
Description
ワークパラメータを制御することによって、ネットワークを介したデータの流れを容易にするが、プロセスデータ自体は変更しない。典型的なネットワークデバイスには、たとえば、レイヤ2ネットワークスイッチ、レイヤ3ネットワークスイッチ、ルータ、および/またはハブが含まれる。ここに参照される層は、OSIモデル層に関連する。
的なロックダウンを誤って実装することを回避するために、ネットワークセキュリティのロックダウンから除外される(つまり、ロックが解除されたままになる)。さらに、いくつかのスイッチは、ポートに接続された複数のデバイスを識別し、そのポートがスイッチに接続されていると仮定して、デバイスのデイジーチェーンに接続されたポートを「アップリンクポート」として分類する。したがって、いくつかの制御スイッチは、従来のロックダウン機構を実装して、悪意のあるデバイスが、以前は使用されていなかった(たとえば、そのポートを無効にする)か、または単一のエンドデバイスにのみ接続されていた(たとえば、そのポートをロックすることによって)ポートを介してネットワークに接続するのを防止する一方で、これらのスイッチは、アップリンクスイッチに接続されたポート、3つ以上のエンドデバイス、または複数の物理アドレスを持つ1つのデバイス(仮想化システムなど)で脆弱なままである。
46を介した通信を可能にすることができる。このようなシナリオでは、悪意のあるデバイスがロックダウン後にスイッチ146のポートに物理的に接続すると、スイッチ146は、悪意のあるデバイスからのメッセージを転送しない(物理アドレスがロックダウン時にそのポートに接続されたデバイスの物理アドレスと一致しないと仮定して)。したがって、スイッチ146は、悪意のあるデバイスが制御ネットワークに加わるのを防ぐことができ、これにより、悪意のあるデバイスが制御ネットワークから機密情報を収集したり、制御ネットワークに接続されたデバイスを不正に制御したりすることが防止される。
接続される時(たとえば、ブリッジプロトコルブリッジユニット(BPDU)フレームを使用して)を、判定することができ、第2のスイッチが第2のスイッチ146であるか、「非管理スイッチ」(たとえば、開示されたロックダウン機能を持たないスイッチ)であるかを判定するために、第2のスイッチでハンドシェイクを実行することができる。第2のスイッチがロック解除可能または「非管理」スイッチである場合、スイッチ146は、ロック解除可能スイッチまたは「非管理」スイッチを介して、スイッチ146のポートに接続されたすべてのエンドデバイスの物理アドレスを識別して記録することができる。
えば、ソフトウェアを介して)構成された任意の機械であってもよい。ポートミラーリングは、元のパケットを送信および/または受信するデバイスに大きな影響を与えることなく、コピーされたパケットに対して診断および/またはデバッグを実行することを可能にする。
かつ実装に応じて有線または無線技術を使用して実装することができる。いくつかの実施形態は、I/Oネットワーク155を含まないか、またはI/Oネットワーク155の修正バージョンを含む(たとえば、いくつかの実施形態は、コントローラ110とフィールドデバイスとの間にスイッチを含まない)。
プのソフトウェア/ハードウェア/ファームウェアプログラミングまたは設計ツールを含む任意の設計ツールを使用して設計することができる。したがって、コントローラ110は、任意の所望の様式で制御ストラテジまたは制御ルーチンを実装するように構成することができる。
111は、プロセスコントローラ、I/Oカード、ワークステーション、データヒストリアン、および特別に構成されたネットワークデバイスを含む。
イントをロックしない。したがって、悪意のあるデバイスは、デバイス111Eまたは111Fに接続する可能性があり、そのいずれかが、悪意のあるデバイスから受信したメッセージを転送する可能性がある。ただし、新しいデバイスがポート205に接続された同じデイジーチェーンに接続されている場合や、デイジーチェーンのデバイスが新しいデバイスに置き換えられた場合は、スイッチ146Cは、ポート205に対するポート違反のフラグを立て、デイジーチェーンに接続された任意のデバイスからの通信を許可しない可能性がある。いくつかの例では、スイッチ146Cは、ロックダウン中に新しいデバイスからのメッセージを単純にドロップすることができる。ポート205をロックダウンすると、スイッチ146Cは、ポート205(たとえば、デバイス111Eおよび111F)を介して通信するすべての既知のデバイスの既知の物理アドレスのレコードを作成し、既知の物理アドレスとは異なるソース物理アドレス(たとえば、悪意のあるデバイスの物理アドレス)を識別するメッセージを廃棄するので、メッセージはドロップされる。したがって、悪意のあるデバイスがデバイス111Eまたは111Fに接続している間に、悪意のあるデバイスからの任意のメッセージは、スイッチ146Cによってドロップされる(すなわち、スイッチ146Cの他のポートを介して転送されない)。
れる。各スイッチ146A〜Dは、第2のスイッチでハンドシェイクを分析して、第2のスイッチが管理されているかどうかを判断する(たとえば、第2のスイッチがスイッチ146であるかどうかを判定する)。ロックダウンの間、各スイッチ146A〜Dは、接続された第2のスイッチがロック可能であるかどうかに応じて、アップリンクポートを介して受信されたメッセージを異なる方法で処理することができる。言い換えれば、各スイッチ146A〜Dは、第2のスイッチがロック可能であるかどうかに応じて、ロック解除またはアップリンクポートをロック状態にすることができる。
ネットワークレイヤ)で動作し、通常はルーティングテーブルを使用する。ルータはメッセージを受信すると、メッセージに含まれる宛先ネットワークアドレスを識別する。次に、ルータはルーティングテーブルを参照して、宛先ネットワークアドレスに到達する最適なルートを特定し、最適ルートについてリストされた「ネクストホップ」ネットワークアドレスを識別し、「ネクストホップ」ネットワークアドレスを持つデバイスにメッセージを転送する。レイヤ3スイッチは、通常、ルータと同様のネットワークルーティングインテリジェンスを持っている。場合によっては、スイッチ146は、レイヤ3スイッチであってもよい。すなわち、ある実施形態では、スイッチ146は、ルーティングおよび/または転送のためにネットワークアドレスを利用することができる。
。MIB214は、スイッチ146を管理し、プロセス制御ネットワーク150に特有の機能を実装するためのコマンドラインインタフェース(CLI)を介してアクセス可能なオブジェクトの集合を含むことができる。1つ以上のプライベートMIB214は、本明細書で説明するロックダウンおよびロック解除機能を制御するために回路230によって管理され得るオブジェクトを含み得る。さらに、回路230は、プライベートMIB214を利用して、スイッチ146と通信するランタイムAPIを介してDeltaV(登録商標)ネットワークセキュリティ機能のためのインタフェースを提供することができる。プロセス制御ネットワーク150は、ネットワークデバイスの混合物を含むように構成することができ、各々のネットワークデバイスは、ロックダウンおよびロック解除機能(すなわち、「ロックデバイス」)を制御するためのプライベートMIB、およびロックダウンまたはロック解除機能を持たない市販のネットワークデバイスをそれぞれ含む。
ことができる。一般に、「管理」スイッチはそのポートをロックすることができ、「非管理」スイッチはそのポートをロックすることができない。ハンドシェイク中に、スイッチ146は、その「ロック可能性」または状態が管理状態または非管理状態であることに関する第2のスイッチからの指示を受信することができる。ある場合では、スイッチ146は、クエリを第2のスイッチに送信することができ、第2のスイッチは、第2のスイッチが管理されているという指示で応答することができる。また、第2のスイッチは、第2のスイッチが管理されていない、または単に応答しない可能性があるという指示で応答してもよい。ある時間期間(たとえば、1秒、5秒、30秒など)内に応答を受信できないことは、第2のスイッチが管理されていないことをスイッチ146に示すように作用することができる。
イッチ(管理対象または非管理対象)を探索することができる。他の例では、アプリケーションは、ロックダウン機能を含むスイッチ146などのネットワークデバイスのみを識別することができる。
るための選択可能なボタンを有するドロップダウンメニューを表示させることができる。図4Bに示すように、ユーザはネットワーク全体を選択して、(たとえば、所望のネットワーク上で右クリックすることによって)ロックダウンすることもできる(すなわち、選択されたネットワーク内のすべてのスイッチ146がロックされている)。いくつかの例では、1つ以上のスイッチ146は、ロックダウンを開始するように作動することができるハードウェアアクチュエータ(たとえば、ボタン)を含むことができる。さらに、自動プロセスは、ある容量のネットワーク150に接続している悪意のあるデバイスの検出のようなトリガに基づいて、ロックダウンのためのスイッチを選択することができる。
始することができる。ロックボタンと同様に、ロック解除ボタンは、1つ以上のプライベートMIB214を利用することによって、以前にロックされたプロセス制御ネットワーク150の異なる部分のロック解除プロセスを開始することができる。追加のセキュリティのために、ロック解除プロセスは、以前にロックされた1つ以上のポート220を自動的に再ロックするロックダウンタイマで構成されてもよい。ロックダウンタイマは、デフォルト設定で構成することができ、ロック解除プロセスの完了後のある期間の満了時に(ブロック316)、ロック解除スイッチ146のうちの1つ以上を再ロックすることができる(ブロック310)。一実施形態では、ロックダウンタイマは、60分(すなわち、3600秒)のデフォルト設定で構成される。解除プロセスは選択されたワークステーション120,122から開始され、たとえばプロセス制御ネットワーク150の物理的部分ではないリモートワークステーションを使用してインターネットを介して開始されなくてもよく、または、1つ以上の事前承認されたMACアドレスからのみ開始されてもよい。
:56:E9のデバイスが通信ポート「1」に接続されている。図5に示すように、通信ポート「3」および通信ポート「6」のいずれにもデバイスが接続されていないので、対応するIPおよびMACアドレスはゼロである。
査し、通信ポート「6」はロックされていないので、通信ポート「6」を介して通信するデバイスは存在しないことを判定できる。したがって、スイッチは、通信ポートのセキュリティ状態を「異常」に更新することができる。
620)、アドレス一致テーブル222は、デバイスのセットの物理アドレスのセットを、デバイスのセットのネットワークアドレスのセットに一致させることができる。アドレス一致テーブル222は、物理アドレスセットおよびネットワークアドレスのセットを通信ポートのセットの少なくとも一部とさらに一致させることができる。すなわち、スイッチ146の特定のポートに(直接的または間接的に)接続されたすべてのデバイスについて、アドレスマッピングテーブル222は、特定のポートに対するネットワークアドレスおよび物理アドレスのアドレスペアをリストアップすることができる。したがって、複数のデバイスに接続されたポートは、複数の関連するアドレスペア(すなわち、接続された各デバイスのための1つのアドレスペア)を有する。スイッチ146は、アクセスおよびレビューのためにアドレス一致テーブルをローカルに(たとえば、内容アドレス可能なメモリを使用して)格納することができる。
」は、情報(たとえば、データ、コンピュータ読み取り可能命令、プログラムモジュール、アプリケーション、ルーチンなど)を配置、保持、および/または検索するために、関連するコンピューティングシステムによってアクセス可能な1つの媒体または複数の媒体を指す。「CRM」は、現実には、非一時的な媒体を指し、電波などの実体のない一時的な信号を指すものではないことに留意されたい。
Claims (30)
- 複数のポートと、
前記複数のポートをロックするように構成され、前記複数のポートに通信可能に接続された回路のセットと
を備えたプロセス制御スイッチであって、前記回路のセットは、
(i)プロセス制御環境内のデバイスの既知の物理アドレスを、デバイスが接続されている前記複数のポートのうちの1つ以上にマッピングし、(ii)前記複数のポートがロックされている間に新たな既知の物理アドレスで更新されない静的アドレステーブルを生成し、ここで、前記静的アドレステーブルは、複数の既知の物理アドレスを、ロック解除可能またはデバイスのデイジーチェーンに接続された単一のポートにマッピングし、前記回路のセットは、
前記複数のポートのそれぞれにおけるトラフィックを制限してもよく、ここで、前記回路のセットは、(i)各ポートで転送されるメッセージの数をトラフィックしきい値に適合するように制御し、(ii)各ポートで受信されたメッセージのそれぞれに含まれるソース物理アドレスを認証し、前記回路のセットは、
(a)メッセージを分析して、メッセージに含まれるソース物理アドレスを識別することと、
(b)前記静的アドレステーブルが、単一のポートにマッピングされた既知の物理アドレスとして前記ソース物理アドレスを列挙する場合、前記複数のポートのうちの1つを介してメッセージを転送することと、
(c)静的アドレステーブルが、単一のポートにマッピングされた既知の物理アドレスとしてソース物理アドレスをリストしていない場合、メッセージをドロップすることと
を備える、プロセス制御スイッチ。 - 前記回路のセットは、物理アドレスを前記複数のポートにマッピングするスイッチングテーブルに基づいて、ネットワークアドレスを使用せずに、前記複数のポートで受信されたメッセージを転送するように構成される、請求項1に記載のプロセス制御スイッチ。
- 前記回路のセットは、ネットワークアドレスの分析に基づいて前記複数のポートで受信されたメッセージを転送するように構成される、請求項1に記載のプロセス制御スイッチ。
- 前記回路のセットは、前記ステップを実行するように具体的に構成された特定用途向け集積回路(ASIC)である、請求項1に記載のプロセス制御スイッチ。
- 前記静的アドレステーブルは、連想メモリ(CAM)に格納されることを特徴とする請求項1に記載のプロセス制御スイッチ。
- 前記静的テーブルは、前記プロセス制御スイッチがアンロック状態にある時に、前記回路のセットによって占有される動的アドレステーブルをコピーすることによって生成される、請求項1に記載のプロセス制御スイッチ。
- 前記動的アドレステーブルは、(i)メッセージに含まれる宛先物理アドレス、および(ii)宛先物理アドレスにマッピングされた対応するポートに基づいて、受信メッセージの転送ポートを選択するために前記回路のセットによって利用されるスイッチングテーブルである、請求項6に記載のプロセス制御スイッチ。
- 前記動的アドレステーブルは、(i)メッセージに含まれる宛先物理アドレス、および(ii)宛先物理アドレスにマッピングされた対応するポートに基づいて、受信メッセー
ジの転送ポートを選択するために前記回路のセットによって利用されるスイッチングテーブルとは異なるものである、請求項6に記載のプロセス制御スイッチ。 - 前記回路のセットは、ユーザがユーザコマンドと対話して前記ロックコマンドを手動で開始することに応答して前記プロセス制御スイッチに送信されるロックコマンドを受信することに応答して前記ロックダウン動作を実施するように構成される、請求項1に記載のプロセス制御スイッチ。
- 前記回路のセットは、前記プロセス制御スイッチが接続されたネットワーク上のセキュリティ脅威を検出するデバイスに応答して、前記プロセス制御スイッチに送信されたロックコマンドを受信することに応答して、前記ロックダウン動作を実施するように構成される、請求項1に記載のプロセス制御スイッチ。
- プロセス制御スイッチを、(i)プロセス制御環境内のデバイスの既知の物理アドレスを、デバイスが接続されている、前記プロセス制御スイッチの前記複数のポートのうちの1つ以上にマッピングし、(ii)前記プロセス制御スイッチがロックされている間に新たな既知の物理アドレスで更新されない静的アドレステーブルを生成し、ここで、前記静的アドレステーブルは、複数の既知の物理アドレスを、単一のポートにマッピングし、
前記複数のポートのそれぞれにおけるトラフィックを制限し、(i)各ポートで転送されるメッセージの数をトラフィックしきい値に適合するように制御し、(ii)各ポートで受信されたメッセージのそれぞれに含まれるソース物理アドレスを認証することによりロックすることを備える方法であって、前記認証は、
(a)メッセージを分析して、メッセージに含まれるソース物理アドレスを識別することと、
(b)前記静的アドレステーブルが、単一のポートにマッピングされた既知の物理アドレスとして前記ソース物理アドレスを列挙する場合、前記複数のポートのうちの1つを介してメッセージを転送することと、
(c)静的アドレステーブルが、単一のポートにマッピングされた既知の物理アドレスとしてソース物理アドレスをリストしていない場合、メッセージをドロップすることと
を備える、方法。 - 前記複数のポートの1つを介してメッセージを転送することは、物理アドレスを前記複数のポートにマッピングするスイッチングテーブルに基づいて、ネットワークアドレスを使用せずに前記メッセージを転送することを備える、請求項11に記載の方法。
- 前記複数のポートの1つを介して前記メッセージを転送することは、ネットワークアドレスの分析に基づいて前記メッセージを転送することを備える、請求項11に記載の方法。
- 前記プロセス制御スイッチが接続されたネットワーク上のセキュリティ脅威を検出したデバイスに応答して、前記プロセス制御スイッチに送信されたロックコマンドを受信することをさらに含む方法であって、前記プロセス制御スイッチをロックすることは、前記ロックコマンドの受信に応答して生じる、請求項11に記載の方法。
- 前記メッセージに含まれるソース物理アドレスを認証せずにメッセージが転送されるように前記認証を停止することによって前記プロセス制御スイッチをロック解除することをさらに含む、請求項11に記載の方法。
- 複数のポートと、
ロックダウン操作を実施するように構成され、前記複数のポートに通信可能に接続され
た回路のセットと
を備えたプロセス制御スイッチであって、前記回路のセットは、
(a)前記複数のポートの1つが第2のスイッチに接続されていることを検出し、
(b)前記第2のスイッチでハンドシェイクを分析して、前記第2のスイッチがロック可能であるかどうかを判定し、
(c)前記回路のセットが、前記第2のスイッチがロック可能であると判定した場合、前記メッセージのソース物理アドレスを認証することなく、前記第2のスイッチから受信したメッセージを転送し、
(d)前記回路のセットが、前記第2のスイッチがロック可能でないと判定した場合、前記ポートで受信されたメッセージが、前記受信したメッセージが、既知の物理アドレスのリストに含まれるソース物理アドレスを識別するかどうかを判定するために分析されるように、前記ポートで受信されたメッセージに含まれるソース物理アドレスを認証する、
プロセス制御スイッチ。 - 前記回路のセットは、前記回路のセットが前記第2のスイッチがロック可能でないと判定した場合、および前記メッセージが既知の物理アドレスのリストに含まれていないソース物理アドレスを識別した場合に、前記ポートで受信したメッセージをドロップするようにさらに構成される、請求項16に記載のプロセス制御スイッチ。
- 前記回路のセットは、前記回路のセットが前記第2のスイッチがロック可能ではないと判断した場合、および前記メッセージが既知の物理アドレスのリストに含まれていないソース物理アドレスを識別する場合にポート違反アラームを生成するようにさらに構成される、請求項16に記載のプロセス制御スイッチ。
- 前記第2のスイッチによる前記ハンドシェイクは、前記複数のポートを介して、前記第2のスイッチのロック可能性に関するクエリを送信する前記回路のセットを備える、請求項16に記載のプロセス制御スイッチ。
- 前記第2のスイッチによる前記ハンドシェイクは、前記プロセス制御スイッチからのクエリを受け取ることなくロック可能性に関する指示を送信する前記第2のスイッチを備える、請求項16に記載のプロセス制御スイッチ。
- 前記回路のセットは、物理アドレスを前記複数のポートにマッピングするスイッチングテーブルに基づいて、ネットワークアドレスを使用せずに、前記複数のポートで受信されたメッセージを転送するように構成される、請求項16に記載のプロセス制御スイッチ。
- (a)プロセス制御スイッチの複数のポートからのポートが第2のスイッチに接続されていることを検出することと、
(b)前記プロセス制御スイッチと前記第2のスイッチとの間のハンドシェイクを分析して、前記第2のスイッチがロック可能であるか否かを判定することと、
(c)前記プロセス制御スイッチをロック状態で操作することと
を備える、プロセス制御スイッチのためのロックダウン動作を実施するための方法であって、
(1)前記分析の結果が前記第2のスイッチがロック可能であることを示す場合、前記メッセージのソース物理アドレスを認証せずに前記プロセス制御スイッチで受信したメッセージを前記第2のスイッチから転送することと、
(2)前記分析の結果が前記第2のスイッチがロック可能でないことを示す場合、前記受信したメッセージが既知の物理アドレスのリストに含まれるソース物理アドレスを識別するかどうかを判定するために、ポートで受信されたメッセージが分析されるように、前記ポートで受信されたメッセージに含まれるソース物理アドレスを認証することと、を備
える、
プロセス制御スイッチ用ロックダウン動作を実施するための方法。 - 前記分析の結果が、前記第2のスイッチがロック可能ではないことを示した場合および、前記メッセージが、既知の物理アドレスのリストに含まれていないソース物理アドレスを識別した場合、前記ポートで受信した前記メッセージをドロップすることをさらに含む、請求項22に記載の方法。
- 前記第2のスイッチによる前記ハンドシェイクは、前記第2のスイッチのロック可能性に関するクエリを前記第2のスイッチに送信する前記プロセス制御スイッチを備える、請求項22に記載の方法。
- 前記ハンドシェイクを前記第2のスイッチで分析することは、指定された期間内に前記クエリに応答するための前記第2のスイッチによる障害を識別することを備える、請求項24に記載の方法。
- 前記第2のスイッチによる前記ハンドシェイクは、前記プロセス制御スイッチからのクエリを受け取ることなく、ロック可能性に関する指示を送信する前記第2のスイッチを備える、請求項22に記載の方法。
- 前記メッセージのソース物理アドレスを認証せずに前記プロセス制御スイッチで受信したメッセージを前記第2のスイッチから転送することは、
物理アドレスを前記複数のポートにマッピングするスイッチングテーブルに基づいて、ネットワークアドレスを使用せずに前記メッセージを転送すること
を備える、請求項22に記載の方法。 - 前記メッセージのソース物理アドレスを認証せずに前記プロセス制御スイッチで受信したメッセージを前記第2のスイッチから転送することは、
ネットワークアドレスの分析に基づいて前記メッセージを転送すること
を備える、請求項22に記載の方法。 - ユーザがユーザインタフェースと対話して前記ロックコマンドを手動で開始することに応答して前記プロセス制御スイッチに送信されるロックコマンドを受信することをさらに含む方法であって、前記ロック状態で前記プロセス制御スイッチを操作する前に前記受信が行われる、請求項22に記載の方法。
- 前記プロセス制御スイッチが接続されたネットワーク上のセキュリティ脅威を検出したデバイスに応答して、前記プロセス制御スイッチに送信されたロックコマンドを受信することをさらに含む方法であって、前記ロック状態で前記プロセス制御スイッチを操作する前に前記受信が行われる、請求項22に記載の方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2023223569A JP2024038229A (ja) | 2017-09-29 | 2023-12-28 | 強化されたスマートプロセス制御スイッチのポートロックダウン |
Applications Claiming Priority (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762565920P | 2017-09-29 | 2017-09-29 | |
US201762565924P | 2017-09-29 | 2017-09-29 | |
US62/565,924 | 2017-09-29 | ||
US62/565,920 | 2017-09-29 | ||
US15/949,879 US11038887B2 (en) | 2017-09-29 | 2018-04-10 | Enhanced smart process control switch port lockdown |
US15/949,879 | 2018-04-10 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023223569A Division JP2024038229A (ja) | 2017-09-29 | 2023-12-28 | 強化されたスマートプロセス制御スイッチのポートロックダウン |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2019080310A true JP2019080310A (ja) | 2019-05-23 |
JP2019080310A5 JP2019080310A5 (ja) | 2021-11-11 |
JP7414391B2 JP7414391B2 (ja) | 2024-01-16 |
Family
ID=65897939
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018185660A Active JP7414391B2 (ja) | 2017-09-29 | 2018-09-28 | 強化されたスマートプロセス制御スイッチのポートロックダウン |
JP2018185661A Pending JP2019092149A (ja) | 2017-09-29 | 2018-09-28 | プロセス制御スイッチの中毒防止 |
JP2023223569A Pending JP2024038229A (ja) | 2017-09-29 | 2023-12-28 | 強化されたスマートプロセス制御スイッチのポートロックダウン |
Family Applications After (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018185661A Pending JP2019092149A (ja) | 2017-09-29 | 2018-09-28 | プロセス制御スイッチの中毒防止 |
JP2023223569A Pending JP2024038229A (ja) | 2017-09-29 | 2023-12-28 | 強化されたスマートプロセス制御スイッチのポートロックダウン |
Country Status (4)
Country | Link |
---|---|
US (3) | US10938819B2 (ja) |
JP (3) | JP7414391B2 (ja) |
CN (4) | CN116015757A (ja) |
GB (3) | GB2604036B (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10938819B2 (en) | 2017-09-29 | 2021-03-02 | Fisher-Rosemount Systems, Inc. | Poisoning protection for process control switches |
US10470111B1 (en) * | 2018-04-25 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Protocol to detect if uplink is connected to 802.1D noncompliant device |
CN110505176B9 (zh) * | 2018-05-16 | 2023-04-11 | 中兴通讯股份有限公司 | 报文优先级的确定、发送方法及装置、路由系统 |
US10891238B1 (en) * | 2019-06-28 | 2021-01-12 | International Business Machines Corporation | Dynamically joining and splitting dynamic address translation (DAT) tables based on operational context |
US11290453B2 (en) | 2019-07-12 | 2022-03-29 | Bank Of America Corporation | Split-tiered point-to-point inline authentication architecture |
CN110995696B (zh) * | 2019-11-29 | 2022-02-11 | 上海观安信息技术股份有限公司 | 一种伪造mac群体的发现方法及装置 |
CN111224997B (zh) * | 2020-01-17 | 2022-11-01 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
CN111355746B (zh) * | 2020-03-16 | 2022-08-05 | 深信服科技股份有限公司 | 一种通信方法、装置、设备及存储介质 |
US11558349B2 (en) | 2020-08-10 | 2023-01-17 | Arista Networks, Inc. | MAC mobility for 802.1x addresses for virtual machines |
US11509627B2 (en) * | 2020-08-10 | 2022-11-22 | Arista Networks, Inc. | MAC mobility for 802.1x addresses for physical machines |
CN113346980B (zh) * | 2021-08-02 | 2023-08-11 | 浙江国利信安科技有限公司 | 用于消息转发的方法、电子设备和计算机存储介质 |
CN114244702B (zh) * | 2022-02-23 | 2022-05-31 | 苏州浪潮智能科技有限公司 | 交换机配置管理方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006324723A (ja) * | 2005-05-17 | 2006-11-30 | Fujitsu Ltd | Lanへの不正アクセス防止方式 |
JP2010081610A (ja) * | 2008-09-25 | 2010-04-08 | Fisher Rosemount Syst Inc | プロセス制御データの安全な通信方法、及び装置 |
US20110158248A1 (en) * | 2009-12-24 | 2011-06-30 | Juniper Networks, Inc. | Dynamic prioritized fair share scheduling scheme in over-subscribed port scenario |
JP2011182294A (ja) * | 2010-03-03 | 2011-09-15 | Kddi Corp | 管理装置、プログラム及びトラフィック制御方法 |
JP2017046149A (ja) * | 2015-08-26 | 2017-03-02 | アラクサラネットワークス株式会社 | 通信装置 |
Family Cites Families (55)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6999824B2 (en) | 1997-08-21 | 2006-02-14 | Fieldbus Foundation | System and method for implementing safety instrumented systems in a fieldbus architecture |
US6505255B1 (en) | 1999-04-29 | 2003-01-07 | Mitsubishi Electric Information Technology Center America, Inc. (Ita) | Method for formatting and routing data between an external network and an internal network |
US7369550B1 (en) * | 1999-04-22 | 2008-05-06 | Advanced Micro Devices | Method and apparatus for locking a table in a network switch |
US6917626B1 (en) * | 1999-11-30 | 2005-07-12 | Cisco Technology, Inc. | Apparatus and method for automatic cluster network device address assignment |
GB2358761B (en) | 2000-01-25 | 2002-03-13 | 3Com Corp | Multi-port network communication device with selective mac address filtering |
JP4707288B2 (ja) * | 2001-09-27 | 2011-06-22 | 富士通株式会社 | ネットワーク監視装置およびネットワーク監視方法 |
US20040162996A1 (en) | 2003-02-18 | 2004-08-19 | Nortel Networks Limited | Distributed security for industrial networks |
US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
CN1310467C (zh) * | 2003-06-24 | 2007-04-11 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
US7761923B2 (en) | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
JP4148931B2 (ja) | 2004-08-16 | 2008-09-10 | 富士通株式会社 | ネットワークシステム、監視サーバ及び監視サーバプログラム |
JP2006203300A (ja) * | 2005-01-18 | 2006-08-03 | Toshiba Corp | 転送装置、アクセス可否判定方法およびプログラム |
KR100528171B1 (ko) * | 2005-04-06 | 2005-11-15 | 스콥정보통신 주식회사 | 네트워크 상에서 특정 아이피 주소 또는 특정 장비를보호/차단하기 위한 아이피 관리 방법 및 장치 |
GB2425681A (en) * | 2005-04-27 | 2006-11-01 | 3Com Corporaton | Access control by Dynamic Host Configuration Protocol snooping |
TW200643706A (en) | 2005-06-06 | 2006-12-16 | Mosdan Internat Co Ltd | Method to use network switch for controlling computer access to network system |
US7774089B2 (en) | 2005-08-18 | 2010-08-10 | Rockwell Automation Technologies, Inc. | Method and apparatus for disabling ports in a motor control system |
KR100694296B1 (ko) | 2005-11-08 | 2007-03-14 | 한국전자통신연구원 | 가상 인터페이스 기반의 2 계층 멀티캐스트 스위칭 및 3계층 멀티캐스트 라우팅 동시 제공 시스템 및 그 방법 |
JP4510751B2 (ja) * | 2005-12-02 | 2010-07-28 | 富士通株式会社 | ネットワーク障害検出装置 |
US7512146B1 (en) | 2006-01-31 | 2009-03-31 | Garrettcom, Inc. | Method and apparatus for layer 2 multicast traffic management |
US7802296B2 (en) * | 2006-08-23 | 2010-09-21 | Cisco Technology, Inc. | Method and system for identifying and processing secure data frames |
US7936670B2 (en) * | 2007-04-11 | 2011-05-03 | International Business Machines Corporation | System, method and program to control access to virtual LAN via a switch |
US9109904B2 (en) | 2007-06-28 | 2015-08-18 | Apple Inc. | Integration of map services and user applications in a mobile device |
US8200798B2 (en) * | 2007-12-29 | 2012-06-12 | Cisco Technology, Inc. | Address security in a routed access network |
WO2009148371A1 (en) * | 2008-06-05 | 2009-12-10 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for handling a switch using a preferred destination list |
GB2474545B (en) | 2009-09-24 | 2015-06-24 | Fisher Rosemount Systems Inc | Integrated unified threat management for a process control system |
US8416696B2 (en) * | 2010-01-04 | 2013-04-09 | Cisco Technology, Inc. | CFM for conflicting MAC address notification |
US8660132B2 (en) | 2010-06-28 | 2014-02-25 | Avaya Inc. | Control plane packet processing and latency control |
US8817620B2 (en) | 2010-07-06 | 2014-08-26 | Nicira, Inc. | Network virtualization apparatus and method |
EP2509265B1 (de) | 2011-04-08 | 2013-12-04 | Siemens Aktiengesellschaft | Zugangsschutzgerät für ein Automatisierungsnetzwerk |
JP6276183B2 (ja) | 2011-09-15 | 2018-02-07 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | 互換性がないネットワークルーティングプロトコルを使用する通信ネットワークにわたるデータフレームの伝達 |
US8812466B2 (en) | 2012-02-10 | 2014-08-19 | International Business Machines Corporation | Detecting and combating attack in protection system of an industrial control system |
US9021574B1 (en) | 2013-03-12 | 2015-04-28 | TrustPipe LLC | Configuration management for network activity detectors |
US9177163B1 (en) | 2013-03-15 | 2015-11-03 | Google Inc. | Data access lockdown |
US9467459B2 (en) * | 2013-03-15 | 2016-10-11 | Aruba Networks, Inc. | System and method for detection of rogue routers in a computing network |
KR101455167B1 (ko) * | 2013-09-03 | 2014-10-27 | 한국전자통신연구원 | 화이트리스트 기반의 네트워크 스위치 |
US10505893B1 (en) * | 2013-11-19 | 2019-12-10 | El Toro.Com, Llc | Generating content based on search instances |
CN105052087B (zh) * | 2013-11-19 | 2018-10-09 | 华为技术有限公司 | 一种基于流表的表项寻址方法、交换机及控制器 |
US20150161404A1 (en) | 2013-12-06 | 2015-06-11 | Barrett N. Mayes | Device initiated auto freeze lock |
CN103856579B (zh) * | 2014-03-03 | 2017-01-25 | 国家电网公司 | 基于mac地址匹配的智能变电站网络设备拓扑动态识别方法 |
CN105099847B (zh) * | 2014-05-05 | 2019-01-08 | 新华三技术有限公司 | 一种多归属接入方法和装置 |
US9729498B2 (en) * | 2014-05-21 | 2017-08-08 | Alcatel Lucent | Distributed address resolution protocol forwarding |
US9450884B2 (en) * | 2014-06-11 | 2016-09-20 | Alcatel-Lucent | Software defined networking based congestion control |
US20160373441A1 (en) * | 2015-06-16 | 2016-12-22 | Avaya Inc. | Providing secure networks |
US10038632B2 (en) * | 2015-07-23 | 2018-07-31 | Netscout Systems, Inc. | AIA enhancements to support L2 connected networks |
US20170032462A1 (en) * | 2015-07-30 | 2017-02-02 | Fixnetix Limited | Systems and methods for providing real-time pre-trade risk assessment |
US10187218B2 (en) * | 2015-09-15 | 2019-01-22 | Google Llc | Systems and methods for processing packets in a computer network |
WO2017049045A1 (en) * | 2015-09-16 | 2017-03-23 | RiskIQ, Inc. | Using hash signatures of dom objects to identify website similarity |
US9686316B2 (en) | 2015-09-25 | 2017-06-20 | Cisco Technology, Inc. | Layer-2 security for industrial automation by snooping discovery and configuration messages |
US9973469B2 (en) * | 2015-09-30 | 2018-05-15 | Juniper Networks, Inc. | MAC (L2) level authentication, security and policy control |
US9912639B1 (en) * | 2015-12-28 | 2018-03-06 | Juniper Networks, Inc. | Verifying firewall filter entries using rules associated with an access control list (ACL) template |
JP2017143497A (ja) * | 2016-02-12 | 2017-08-17 | 富士通株式会社 | パケット転送装置及びパケット転送方法 |
US10819719B2 (en) | 2016-10-11 | 2020-10-27 | General Electric Company | Systems and methods for protecting a physical asset against a threat |
CN107977160B (zh) * | 2016-10-25 | 2020-10-30 | 英业达科技有限公司 | 交换机存取资料的方法 |
US10038671B2 (en) * | 2016-12-31 | 2018-07-31 | Fortinet, Inc. | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows |
US10938819B2 (en) | 2017-09-29 | 2021-03-02 | Fisher-Rosemount Systems, Inc. | Poisoning protection for process control switches |
-
2018
- 2018-04-10 US US15/949,888 patent/US10938819B2/en active Active
- 2018-04-10 US US15/949,879 patent/US11038887B2/en active Active
- 2018-09-13 GB GB2201684.4A patent/GB2604036B/en active Active
- 2018-09-13 GB GB2204399.6A patent/GB2603076B/en active Active
- 2018-09-13 GB GB2207464.5A patent/GB2604811B/en active Active
- 2018-09-28 JP JP2018185660A patent/JP7414391B2/ja active Active
- 2018-09-28 JP JP2018185661A patent/JP2019092149A/ja active Pending
- 2018-09-29 CN CN202211573289.7A patent/CN116015757A/zh active Pending
- 2018-09-29 CN CN201811149334.XA patent/CN109587109A/zh active Pending
- 2018-09-29 CN CN201811148322.5A patent/CN109617813B/zh active Active
- 2018-09-29 CN CN202210369207.0A patent/CN114629861B/zh active Active
-
2021
- 2021-05-18 US US17/323,068 patent/US11595396B2/en active Active
-
2023
- 2023-12-28 JP JP2023223569A patent/JP2024038229A/ja active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006324723A (ja) * | 2005-05-17 | 2006-11-30 | Fujitsu Ltd | Lanへの不正アクセス防止方式 |
JP2010081610A (ja) * | 2008-09-25 | 2010-04-08 | Fisher Rosemount Syst Inc | プロセス制御データの安全な通信方法、及び装置 |
US20110158248A1 (en) * | 2009-12-24 | 2011-06-30 | Juniper Networks, Inc. | Dynamic prioritized fair share scheduling scheme in over-subscribed port scenario |
JP2011182294A (ja) * | 2010-03-03 | 2011-09-15 | Kddi Corp | 管理装置、プログラム及びトラフィック制御方法 |
JP2017046149A (ja) * | 2015-08-26 | 2017-03-02 | アラクサラネットワークス株式会社 | 通信装置 |
Also Published As
Publication number | Publication date |
---|---|
GB2604811A (en) | 2022-09-14 |
CN109587109A (zh) | 2019-04-05 |
CN109617813B (zh) | 2022-12-30 |
GB2604036B (en) | 2023-01-04 |
CN109617813A (zh) | 2019-04-12 |
GB2603076B (en) | 2022-11-30 |
US11595396B2 (en) | 2023-02-28 |
US11038887B2 (en) | 2021-06-15 |
GB202207464D0 (en) | 2022-07-06 |
CN116015757A (zh) | 2023-04-25 |
JP2019092149A (ja) | 2019-06-13 |
US20190104107A1 (en) | 2019-04-04 |
US20210281571A1 (en) | 2021-09-09 |
GB2603076A (en) | 2022-07-27 |
GB2604811B (en) | 2023-03-01 |
US20190104127A1 (en) | 2019-04-04 |
US10938819B2 (en) | 2021-03-02 |
GB2604036A (en) | 2022-08-24 |
CN114629861B (zh) | 2024-01-16 |
JP7414391B2 (ja) | 2024-01-16 |
JP2024038229A (ja) | 2024-03-19 |
CN114629861A (zh) | 2022-06-14 |
GB202204399D0 (en) | 2022-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7414391B2 (ja) | 強化されたスマートプロセス制御スイッチのポートロックダウン | |
JP5634047B2 (ja) | プロセス制御データの安全な通信方法、及び装置 | |
US8667589B1 (en) | Protection against unauthorized access to automated system for control of technological processes | |
US20170093910A1 (en) | Dynamic security mechanisms | |
TW202137735A (zh) | 網路基礎架構可程式切換裝置 | |
Pfrang et al. | Detecting and preventing replay attacks in industrial automation networks operated with profinet IO | |
GB2568145A (en) | Poisoning protection for process control switches | |
GB2567556A (en) | Enhanced smart process control switch port lockdown | |
Ravindrababu | Analysis of Software-Defined Networks as a Mechanism for Enforcing Corporate Security Policies in OT Networks | |
JP2005196279A (ja) | ネットワークシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210928 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210928 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220829 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220906 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20221206 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230206 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230606 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230906 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20230907 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231128 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231228 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7414391 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |