JP2019092149A - プロセス制御スイッチの中毒防止 - Google Patents
プロセス制御スイッチの中毒防止 Download PDFInfo
- Publication number
- JP2019092149A JP2019092149A JP2018185661A JP2018185661A JP2019092149A JP 2019092149 A JP2019092149 A JP 2019092149A JP 2018185661 A JP2018185661 A JP 2018185661A JP 2018185661 A JP2018185661 A JP 2018185661A JP 2019092149 A JP2019092149 A JP 2019092149A
- Authority
- JP
- Japan
- Prior art keywords
- address
- switch
- process control
- devices
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004886 process control Methods 0.000 title claims abstract description 163
- 231100000572 poisoning Toxicity 0.000 title 1
- 230000000607 poisoning effect Effects 0.000 title 1
- 238000004891 communication Methods 0.000 claims abstract description 169
- KJLPSBMDOIVXSN-UHFFFAOYSA-N 4-[4-[2-[4-(3,4-dicarboxyphenoxy)phenyl]propan-2-yl]phenoxy]phthalic acid Chemical compound C=1C=C(OC=2C=C(C(C(O)=O)=CC=2)C(O)=O)C=CC=1C(C)(C)C(C=C1)=CC=C1OC1=CC=C(C(O)=O)C(C(O)=O)=C1 KJLPSBMDOIVXSN-UHFFFAOYSA-N 0.000 claims abstract description 109
- 238000013507 mapping Methods 0.000 claims abstract description 22
- 238000000034 method Methods 0.000 claims description 129
- 230000008569 process Effects 0.000 claims description 78
- 230000004044 response Effects 0.000 claims description 29
- 230000000977 initiatory effect Effects 0.000 claims description 26
- 230000005540 biological transmission Effects 0.000 claims description 10
- 230000006870 function Effects 0.000 description 20
- 230000003068 static effect Effects 0.000 description 17
- 238000007726 management method Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 13
- 230000002159 abnormal effect Effects 0.000 description 6
- 230000032683 aging Effects 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 238000012552 review Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 102100029272 5-demethoxyubiquinone hydroxylase, mitochondrial Human genes 0.000 description 2
- 101000770593 Homo sapiens 5-demethoxyubiquinone hydroxylase, mitochondrial Proteins 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 230000001351 cycling effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000002716 delivery method Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000003208 petroleum Substances 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 238000010963 scalable process Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
- H04L12/413—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/028—Dynamic adaptation of the update intervals, e.g. event-triggered updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
- G05B19/41855—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication by local area network [LAN], network structure
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25022—LAN local area network for controllers
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31151—Lan local area network
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31255—Verify communication parameters, if wrong, refuse communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/4026—Bus for use in automation systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/74591—Address table lookup; Address filtering using content-addressable memories [CAM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Manufacturing & Machinery (AREA)
- Automation & Control Theory (AREA)
- Small-Scale Networks (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Selective Calling Equipment (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
Description
ワークパラメータを制御することによって、ネットワークを介したデータの流れを容易にするが、プロセスデータ自体は変更しない。典型的なネットワークデバイスには、たとえば、レイヤ2ネットワークスイッチ、レイヤ3ネットワークスイッチ、ルータ、および/またはハブが含まれる。ここに参照される層は、OSIモデル層に関連する。
限的なロックダウンを誤って実装することを回避するために、ネットワークセキュリティのロックダウンから除外される(つまり、ロックが解除されたままになる)。さらに、いくつかのスイッチは、ポートに接続された複数のデバイスを識別し、そのポートがスイッチに接続されていると仮定して、デバイスのデイジーチェーンに接続されたポートを「アップリンクポート」として分類する。したがって、いくつかの制御スイッチは、従来のロックダウン機構を実装して、悪意のあるデバイスが、以前は使用されていなかった(たとえば、そのポートを無効にする)か、または単一のエンドデバイスにのみ接続されていた(たとえば、そのポートをロックすることによって)ポートを介してネットワークに接続するのを防止する一方で、これらのスイッチは、アップリンクスイッチに接続されたポート、3つ以上のエンドデバイス、または複数の物理アドレスを持つ1つのデバイス(仮想化システムなど)で脆弱なままである。
するように構成されている。
ズは、上記の「構成不可能スイッチ」というフレーズと同義ではない。むしろ、「管理」および「非管理」という用語は、スイッチのロック可能性を指す。すなわち、本明細書で使用される「管理スイッチ」は、本明細書で説明されるロックダウン機能を有するスイッチを指し、「非管理スイッチ」は、本明細書で説明されるロックダウン機能を欠くスイッチを指す。スイッチ146は、説明したロックダウン動作を実施するように構成されているので、スイッチ146は、「管理スイッチ」と呼ぶことができる。
理システム、またはセキュリティ情報およびイベント管理(SIEM)システムなどの、ネットワーク活動を監視するための1つ以上のシステムを含んでもよい。これらのセキュリティシステムのうちの1つ以上は、ロックコマンドを生成するために協調して動作することができる。たとえば、ファイアウォールシステムはセキュリティ脅威を検出し、SIEM(複数のソースからのセキュリティ脅威を集約するように構成されている可能性がある)に通知することができ、SIEMは、ロックコマンドを送信することによって応答することができる。例示的なセキュリティ上の脅威は、多くの方法のいずれかで検出される可能性がある。たとえば、セキュリティシステムは、署名に基づく検出(たとえば、マルウェアなどの既知の脅威の既知のネットワークシグネチャの認識)および/または異常に基づく検出(たとえば、ノードに関連付けられた特定のプロトコルに関連するものなど、特定の論理ポートのみがオープンおよび使用されると予想されるノードで開かれる新しい論理ポートなどの偏差を検出する)。
されたすべてのエンドデバイスの物理アドレスを識別して記録することができ、アップリンクポートは「非管理アップリンクポート」と呼ばれてもよい。その後、スイッチ146は、スイッチ146が非管理スイッチに接続された未知のデバイスから発生したメッセージをドロップするように、アップリンクポートをロックすることができ、スイッチ146が接続されているより広いネットワークに未知のデバイス(たとえば、悪意のあるデバイスなど)がアクセスすることを防止する。スイッチ146のロックされたポートは、既知のデバイスからブロードキャストおよびマルチキャストメッセージを送信し続けてもよく、そのような場合、未知のまたは不正デバイス(すなわち、所与のポートに対して既知の物理アドレスを持たないデバイス)は、これらの送信されたブロードキャストおよびマルチキャストメッセージを聞くことができる。しかしながら、そのような場合、不正デバイスは、これらのメッセージに応答することができず、そうでなければ、スイッチ146のロックされたポートを介してメッセージを送信することができない。
、ワイドエリアネットワーク(WAN)および/または電気通信ネットワークがプラントネットワークの一部であってもよいが、場合によってはネットワーク150の不可欠な部分ではない場合もある。ネットワーク150は、イーサネット通信および/または任意の適切な通信プロトコル(たとえば、TCP/IP、プロプライエタリプロトコルなど)用に構成されてもよく、かつハードワイヤード(好ましい)または無線技術を使用して実装することができる。ネットワーク150の追加の態様は、詳細な説明の最後でより詳細に説明される。
してもよい。
ステム100の送信ノードまたは中間ノードの物理アドレスを含むことができる。宛先MACアドレス180およびソースMACアドレス182フィールドは、プロセス制御ネットワーク150を介して送信されたデータを処理するために、スイッチ146からのデータと共に使用されてもよい。いくつかの実施形態では、フィールド180,182は、デバイスが「ロックダウン」状態にあるときに、受信側ネットワークデバイス内に格納された1つ以上のテーブルと比較することができる。比較の結果は、受信したデータまたはロックされたネットワークデバイスへの他の物理的または論理的な接続を拒絶するか、そうでなければ拒否するために使用することができる。
11Lは、ポート207に物理的に接続されたハブ112に接続されている。ハブ112は、(ハブ112をデバイス113D、111K、および111Lに接続する点線によって示されるように)そのポートをロックダウンすることができないので、悪意のあるデバイスは、ハブ112に接続して、ハブ112に接続された他のデバイスと通信することができる。しかしながら、ポート207はスイッチ146Dによってロックされているので、ポート207で受信された新しい未知のデバイスからのメッセージは、スイッチ146Dによってドロップされる。
ース物理アドレスを既知の物理アドレスと比較することができる。スイッチ146Aおよび146Bは、監視によってソース物理アドレスが未知であることが明らかになったときに、ポート違反アラームを生成することができる。
い。一般に、使用されるファームウェアは、ネットワークループを防止し、ネットワークストームを防ぎ、未使用のスイッチポートをロックダウンするように設計されている。
に)ポート202の1つに接続されていると仮定すると、デバイスは受信したメッセージに応答する。スイッチ146が応答を受信した後、回路230は、宛先物理アドレスと、回路230が宛先デバイスからの応答を受信したポート202とをスイッチングテーブル216に記録する。
ネットワークデバイスでブロードキャストされたMACを認識すると、他のフレームは、ブロードキャストスイッチ146に送られ、ブロードキャストスイッチ146は、発見されたMACアドレスを動的アドレステーブル218およびFDBテーブル216に追加する。しかし、(後述するように)「ロックダウン」状態では、スイッチングテーブル216は、さらなる変更または追加を防止するために、現在の構成において固定されてもよい。ロックされたときに以前に学習された物理アドレスおよび動的アドレステーブル218に含まれる他の情報は、静的アドレステーブル220に移動され、スイッチ146の学習は無効にされる。ロックダウン状態では、切替テーブル216を変更することはできず、スイッチ146が、未知のまたは未学習のMACアドレス182から受信したフレーム175を受け入れて転送するのを防止する。
4B)は、拡張可能なドロップダウンメニュー406(図4A)によってユーザインタフェース400によって表示されてもよく、探索されたスイッチの1つのパラメータは、拡張可能なドロップダウンメニュー406(図4C)から選択されたスイッチ146に対して表示されてもよい。たとえば、ロック状態、ロックタイマ、およびパスワード経過時間などのセキュリティパラメータは、ユーザインタフェース400のウィンドウに表示されてもよい。ウィンドウにはスイッチアラーム(たとえば、COMM、FAILED、MAINT、ADVISE)およびコンポーネント状態パラメータ(たとえば、電源装置の状態、シャーシの温度など)も表示することができる。スイッチのポートは、各ポートの多数のパラメータと共にリストアップされることもある(たとえば、ポートが使用可能かどうかを示し、接続されたエンドノードのノード名を識別し、ポートロックアドレスを識別し、および/またはポートロック違反が存在するかどうかを示す)。
、1つ以上の事前承認されたMACアドレスまたはIPアドレスからのみ開始されてもよい。ロックボタンを選択してロックダウンプロセスを開始すると、認証プロセスが開始される。たとえば、ワークステーションは、ロックダウンプロセスへのアクセス権を確認するためにユーザ名とパスワードまたは他の個人識別情報をユーザから要求することができる。アプリケーション400は、スイッチ146をロックおよびアンロックするためにMIB214を介した管理アクセスを利用することができる。通信は暗号化されていてもよく、使用される鍵またはパスワードは、ユーザには知られていなくてもよいが、スイッチ146およびアプリケーション400に知られていてもよい。
的にロック状態に入ることができる。
意のデバイス間で、通信ポートのセットを介して送受信される情報(たとえば、データパケットとして)を自動的かつ継続的に監視できる。
6は、通信ポート146のセットの一部またはすべてのロックダウンを開始することができる。
た通信ポート)に接続されてもよい。
形態では、スイッチ146に組み込まれたASICのセットは、デバイスのセットの、通信ポートのセットの少なくとも一部への接続に関連するデータを使用して、ネットワークアドレスのセットを取得することができる。追加的または代替的に、デバイスのセットは、プロセスプラント内の1つ以上のデバイスおよび/または1つ以上の追加のデバイス(または追加のスイッチ)が接続する1つ以上のスイッチを含むことができる。特定の実施形態では、スイッチ146は、(i)第1の通信ポートに接続された第1のデバイスの第1のネットワークアドレス(すなわち、デバイス接続)、および(ii)追加のスイッチ(すなわち、スイッチ接続)を介して第2の通信ポートに接続された複数のデバイスの複数のネットワークアドレスを取得してもよい。
組み込まれたASICのセットが判定を行うことができる。
信号が含まれ得る。
Claims (29)
- プロセス制御スイッチの通信ポートを介してデバイスに接続された前記プロセス制御スイッチを備えるプロセスプラント内の前記プロセス制御システムのセキュリティを向上させる方法であって、
前記プロセス制御スイッチの通信ポートのセットのロックダウンを開始することと、
前記通信ポートのセットのロックダウンを開始することに関連して、
前記プロセス制御スイッチによって、前記通信ポートのセットうちの少なくとも一部に接続されたデバイスのセットのネットワークアドレスのセットを取得することと、
前記プロセス制御スイッチのアドレス一致テーブルを生成することであって、前記アドレス一致テーブルは、前記デバイスのセットの物理アドレスのセットを、前記デバイスのセットのネットワークアドレスのセットに一致させる、ことと
通信ポートのセットのロックダウンの後、
前記通信ポートのセットの1つを介して、デバイスからのデータパケットを受信することであって、前記データパケットは、少なくとも(i)前記デバイスのネットワークアドレス、および(ii)前記デバイスの物理アドレスを示す、ことと、
前記デバイスの前記ネットワークアドレスと前記デバイスの前記物理アドレスが前記アドレス一致テーブルに含まれているかどうかを判定することと、
前記判定に応答して、アラートを生成することと
を備える、方法。 - 前記通信ポートのセットの前記ロックダウンを開始することに関連して、
前記プロセス制御スイッチによって、前記通信ポートのセットうちの少なくとも一部に接続された前記デバイスのセットの前記物理アドレスのセットを取得すること
をさらに備える、請求項1に記載の方法。 - 前記デバイスから前記データパケットを受信することは、
前記通信ポートのセットの少なくとも一部とは別の前記通信ポートの前記セットの1つを介して前記デバイスから前記データパケットを受信すること
を備える、請求項1に記載の方法。 - 前記デバイスから前記データパケットを受信することは、
前記通信ポートのセットの少なくとも一部に含まれた前記通信ポートの前記セットの1つを介して前記デバイスから前記データパケットを受信すること
を備える、請求項1に記載の方法。 - 前記デバイスの前記ネットワークアドレスと前記デバイスの前記物理アドレスが前記アドレス一致テーブルに含まれているかどうかを判定することは、
前記デバイスの前記物理アドレスが、前記通信ポートのセットのうちの1つに以前に接続された前記デバイスのセットのうちの1つの物理アドレスと一致しないと判定すること
を備える、請求項1に記載の方法。 - 前記アラートを生成することは、
前記通信ポートのセットの1つを示す前記アラートを生成することと、
前記アラートを前記プロセス制御システムに関連するコンピューティングデバイスのユーザインタフェース上に表示させることと、
を備える、請求項1に記載の方法。 - 前記デバイスのセットの前記ネットワークアドレスのセットを取得することは、
前記プロセス制御スイッチによって、(i)第1の通信ポートに接続された第1のデバ
イスの第1のネットワークアドレスと、(ii)追加のプロセス制御スイッチを介して第2の通信ポートに接続された複数のデバイスの複数のネットワークアドレスとを取得すること
を備える、請求項1に記載の方法。 - 前記判定に応答して、
前記データパケットの送信を可能にすること
をさらに備える、請求項1に記載の方法。 - 前記判定に応答して、
前記データパケットの送信を拒否すること
をさらに備える、請求項1に記載の方法。 - 前記通信ポートのセットうちの少なくとも一部に接続された前記デバイスのセットの前記ネットワークアドレスのセットを取得することは、
前記プロセス制御スイッチに組み込まれた特定用途向け集積回路(ASIC)のセットを使用して、前記ネットワークアドレスのセットを取得すること
を備える、請求項1に記載の方法。 - 前記プロセス制御スイッチは、オープンシステム相互接続(OSI)モデルの第2層および第3層で動作する、請求項1に記載の方法。
- プロセスプラント内のプロセス制御システムで使用されるプロセス制御スイッチであって、
プロセス制御システムのデバイスが接続するように構成された通信ポートのセットと、
コンテンツアドレス可能なメモリと、
通信ポートのセットおよびコンテンツアドレス可能メモリに通信可能に結合され、
(a)通信ポートのセットのロックアウトを開始し、
(b)前記通信ポートのセットの少なくとも一部のロックダウンを開始することに関連して、
(1)前記通信ポートのセットうちの少なくとも一部に接続されたデバイスのセットのネットワークアドレスのセットを取得し、
(2)前記デバイスのセットの物理アドレスのセットを、前記デバイスのセットの前記ネットワークアドレスのセットに一致させるアドレス一致テーブルを生成し、
(c)通信ポートのセットのロックダウンの後、
(1)前記通信ポートのセットの1つを介して、デバイスからのデータパケットを受信し、前記データパケットは、少なくとも(i)前記デバイスのネットワークアドレス、および(ii)前記デバイスの物理アドレスを示し、
(2)前記デバイスの前記ネットワークアドレスと前記デバイスの前記物理アドレスがアドレス一致テーブルに含まれていないと判断し、
(3)前記判定に応答して、アラートを生成するように構成された特定用途向け集積回路(ASIC)のセットと
を備える、プロセス制御スイッチ。 - 前記ASICのセットは、前記通信ポートのセットの前記ロックダウンを開始することに関連して、
前記通信ポートのセットうちの少なくとも一部に接続された前記デバイスのセットの前記物理アドレスのセットを取得するようにさらに構成された、
請求項12に記載のプロセス制御スイッチ。 - 前記デバイスの前記ネットワークアドレスと前記デバイスの前記物理アドレスが前記アドレスマッチングテーブルに含まれていないと判断するために、前記ASICのセットは、
前記デバイスの前記物理アドレスが、前記通信ポートのセットのうちの1つに以前に接続された前記デバイスのセットのうちの1つの物理アドレスと一致しないことを判定するように構成された、
請求項12に記載のプロセス制御スイッチ。 - 前記プロセス制御スイッチは、オープンシステム相互接続(OSI)モデルの第2層および第3層で動作する、請求項12に記載のプロセス制御スイッチ。
- プロセスプラント内のプロセス制御システムに関連するプロセス制御スイッチに関連するセキュリティ問題を検出し、前記プロセス制御スイッチは、前記プロセス制御スイッチの通信ポートのセットを介してデバイスのセットに接続される、方法であって、
前記プロセス制御スイッチに関連したアドレス一致テーブルにアクセスすることであって、前記アドレス一致テーブルは、デバイスのセットの物理アドレスのセットを、デバイスのセットのネットワークアドレスのセットに一致させる、ことと、
前記アドレス一致テーブルに含まれる前記ネットワークアドレスのセットの1つに一致する前記宛先ネットワークアドレスを指定するマッピング要求をブロードキャストすることと、
前記通信ポートのセットの1つを介して、応答デバイスからのマッピング要求への応答を受信することであって、前記応答は、(i)前記宛先ネットワークアドレスと、(ii)前記応答デバイスの物理アドレスとを示す、ことと、
前記応答デバイスの前記物理アドレスが、前記アドレス一致テーブルに含まれる前記デバイスのセットの前記物理アドレスのセットと一致しないと判定することと、
前記判定に応答して、アラートを生成することと
を備える、方法。 - 前記プロセス制御スイッチに組み込まれた特定用途向け集積回路(ASIC)のセットを使用して、前記アドレス一致テーブルを生成すること
を備える、請求項16に記載の方法。 - 前記プロセス制御スイッチの前記通信ポートのセットのロックダウンを開始することをさらに備える、請求項16に記載の方法。
- 前記通信ポートのセットのロックダウンを開始することに関連して、
前記プロセス制御スイッチによって、前記通信ポートのセットに接続された前記デバイスのセットの前記ネットワークアドレスのセットを取得することと、
前記アドレス一致テーブルを生成することと
をさらに備える、請求項18に記載の方法。 - 前記応答デバイスの前記物理アドレスが、前記アドレス一致テーブルに含まれる前記デバイスのセットの前記物理アドレスのセットと一致しないと判定することは、
前記プロセス制御スイッチに組み込まれた特定用途向け集積回路(ASIC)のセットによって、前記応答デバイスの前記物理アドレスが前記デバイスセットの前記物理アドレスのセットと一致しないことを判定すること
を備える、請求項16に記載の方法。 - 前記アドレス一致テーブルは、前記物理アドレスのセットおよび前記ネットワークアドレスのセットを、前記プロセス制御スイッチの前記通信ポートのセットの少なくとも一部
とさらに一致させる、請求項16に記載の方法。 - 前記応答デバイスの前記物理アドレスが、前記アドレス一致テーブルに含まれる前記デバイスのセットの前記物理アドレスのセットと一致しないと判定することは、
前記応答デバイスの前記物理アドレスが、前記通信ポートの前記セットの1つに対応する前記物理アドレスの前記セットの物理アドレスと一致しないと判定すること
を備える、請求項21に記載の方法。 - 前記アラートを生成することは、
前記通信ポートのセットの1つを示す前記アラートを生成することと、
前記アラートを前記プロセス制御システムに関連するコンピューティングデバイスのユーザインタフェース上に表示させることと、
を備える、請求項16に記載の方法。 - プロセスプラント内のプロセス制御システムに関連するセキュリティ問題を検出するためのシステムであって、
コンテンツを表示するように構成されたユーザインタフェースと、
通信ポートのセットを介して前記プロセス制御システムに関連するデバイスのセットに接続されたプロセス制御スイッチであって、
前記プロセス制御スイッチに関連したアドレス一致テーブルにアクセスし、ここで、前記アドレス一致テーブルは、デバイスのセットの物理アドレスのセットを、デバイスのセットのネットワークアドレスのセットに一致させ、
前記アドレス一致テーブルに含まれる前記ネットワークアドレスのセットの1つに一致する前記宛先ネットワークアドレスを指定するマッピング要求をブロードキャストし、
前記通信ポートのセットの1つを介して、応答デバイスからのマッピング要求への応答を受信し、前記応答は、(i)前記宛先ネットワークアドレスと、(ii)前記応答デバイスの物理アドレスとを示し、
前記応答デバイスの前記物理アドレスが、前記アドレス一致テーブルに含まれる前記デバイスのセットの前記物理アドレスのセットと一致しないと判定し、
前記判定に応答して、
アラートを生成し、
前記アラートを前記ユーザインタフェースに表示させるように構成されたプロセス制御スイッチ
を備えた、システム。 - 前記プロセス制御スイッチは、特定用途向け集積回路(ASIC)のセットを備え、前記プロセス制御スイッチは、
前記ASICのセットを使用して前記アドレス一致テーブルを生成するようにさらに構成された、
請求項24に記載のシステム。 - 前記プロセス制御スイッチは、
前記プロセス制御スイッチの前記通信ポートのセットのロックダウンを開始するようにさらに構成された、
請求項24に記載のシステム。 - 前記プロセス制御スイッチは、前記通信ポートのセットの前記ロックダウンを開始することに関連して、
前記通信ポートのセットに接続された前記デバイスのセットの前記ネットワークアドレスのセットを取得し、
前記アドレス一致テーブルを生成するようにさらに構成された、
請求項26に記載のシステム。 - 前記アドレス一致テーブルは、前記物理アドレスのセットおよび前記ネットワークアドレスのセットを、前記プロセス制御スイッチの前記通信ポートのセットの少なくとも一部とさらに一致させる、請求項24に記載のシステム。
- 前記応答デバイスの前記物理アドレスが、前記アドレス一致テーブルに含まれる前記デバイスのセットの前記物理アドレスのセットと一致しないと判定するために、前記プロセス制御スイッチは、
前記応答デバイスの前記物理アドレスが、前記通信ポートの前記セットの1つに対応する前記物理アドレスの前記セットの物理アドレスと一致しないと判定するように構成された、
請求項28に記載の方法。
Applications Claiming Priority (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762565920P | 2017-09-29 | 2017-09-29 | |
US201762565924P | 2017-09-29 | 2017-09-29 | |
US62/565,924 | 2017-09-29 | ||
US62/565,920 | 2017-09-29 | ||
US15/949,888 US10938819B2 (en) | 2017-09-29 | 2018-04-10 | Poisoning protection for process control switches |
US15/949,888 | 2018-04-10 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019092149A true JP2019092149A (ja) | 2019-06-13 |
JP2019092149A5 JP2019092149A5 (ja) | 2021-11-11 |
Family
ID=65897939
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018185660A Active JP7414391B2 (ja) | 2017-09-29 | 2018-09-28 | 強化されたスマートプロセス制御スイッチのポートロックダウン |
JP2018185661A Pending JP2019092149A (ja) | 2017-09-29 | 2018-09-28 | プロセス制御スイッチの中毒防止 |
JP2023223569A Pending JP2024038229A (ja) | 2017-09-29 | 2023-12-28 | 強化されたスマートプロセス制御スイッチのポートロックダウン |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018185660A Active JP7414391B2 (ja) | 2017-09-29 | 2018-09-28 | 強化されたスマートプロセス制御スイッチのポートロックダウン |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023223569A Pending JP2024038229A (ja) | 2017-09-29 | 2023-12-28 | 強化されたスマートプロセス制御スイッチのポートロックダウン |
Country Status (4)
Country | Link |
---|---|
US (3) | US10938819B2 (ja) |
JP (3) | JP7414391B2 (ja) |
CN (4) | CN116015757A (ja) |
GB (3) | GB2604036B (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10938819B2 (en) | 2017-09-29 | 2021-03-02 | Fisher-Rosemount Systems, Inc. | Poisoning protection for process control switches |
US10470111B1 (en) * | 2018-04-25 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Protocol to detect if uplink is connected to 802.1D noncompliant device |
CN110505176B9 (zh) * | 2018-05-16 | 2023-04-11 | 中兴通讯股份有限公司 | 报文优先级的确定、发送方法及装置、路由系统 |
US10891238B1 (en) * | 2019-06-28 | 2021-01-12 | International Business Machines Corporation | Dynamically joining and splitting dynamic address translation (DAT) tables based on operational context |
US11290453B2 (en) | 2019-07-12 | 2022-03-29 | Bank Of America Corporation | Split-tiered point-to-point inline authentication architecture |
CN110995696B (zh) * | 2019-11-29 | 2022-02-11 | 上海观安信息技术股份有限公司 | 一种伪造mac群体的发现方法及装置 |
CN111224997B (zh) * | 2020-01-17 | 2022-11-01 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
CN111355746B (zh) * | 2020-03-16 | 2022-08-05 | 深信服科技股份有限公司 | 一种通信方法、装置、设备及存储介质 |
US11558349B2 (en) | 2020-08-10 | 2023-01-17 | Arista Networks, Inc. | MAC mobility for 802.1x addresses for virtual machines |
US11509627B2 (en) * | 2020-08-10 | 2022-11-22 | Arista Networks, Inc. | MAC mobility for 802.1x addresses for physical machines |
CN113346980B (zh) * | 2021-08-02 | 2023-08-11 | 浙江国利信安科技有限公司 | 用于消息转发的方法、电子设备和计算机存储介质 |
CN114244702B (zh) * | 2022-02-23 | 2022-05-31 | 苏州浪潮智能科技有限公司 | 交换机配置管理方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006324723A (ja) * | 2005-05-17 | 2006-11-30 | Fujitsu Ltd | Lanへの不正アクセス防止方式 |
JP2010081610A (ja) * | 2008-09-25 | 2010-04-08 | Fisher Rosemount Syst Inc | プロセス制御データの安全な通信方法、及び装置 |
JP2015050767A (ja) * | 2013-09-03 | 2015-03-16 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | ホワイトリスト基盤のネットワークスイッチ |
JP2017046149A (ja) * | 2015-08-26 | 2017-03-02 | アラクサラネットワークス株式会社 | 通信装置 |
JP2017143497A (ja) * | 2016-02-12 | 2017-08-17 | 富士通株式会社 | パケット転送装置及びパケット転送方法 |
Family Cites Families (55)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6999824B2 (en) | 1997-08-21 | 2006-02-14 | Fieldbus Foundation | System and method for implementing safety instrumented systems in a fieldbus architecture |
US6505255B1 (en) | 1999-04-29 | 2003-01-07 | Mitsubishi Electric Information Technology Center America, Inc. (Ita) | Method for formatting and routing data between an external network and an internal network |
US7369550B1 (en) * | 1999-04-22 | 2008-05-06 | Advanced Micro Devices | Method and apparatus for locking a table in a network switch |
US6917626B1 (en) * | 1999-11-30 | 2005-07-12 | Cisco Technology, Inc. | Apparatus and method for automatic cluster network device address assignment |
GB2358761B (en) | 2000-01-25 | 2002-03-13 | 3Com Corp | Multi-port network communication device with selective mac address filtering |
JP4707288B2 (ja) * | 2001-09-27 | 2011-06-22 | 富士通株式会社 | ネットワーク監視装置およびネットワーク監視方法 |
US20040162996A1 (en) | 2003-02-18 | 2004-08-19 | Nortel Networks Limited | Distributed security for industrial networks |
US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
CN1310467C (zh) * | 2003-06-24 | 2007-04-11 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
US7761923B2 (en) | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
JP4148931B2 (ja) | 2004-08-16 | 2008-09-10 | 富士通株式会社 | ネットワークシステム、監視サーバ及び監視サーバプログラム |
JP2006203300A (ja) * | 2005-01-18 | 2006-08-03 | Toshiba Corp | 転送装置、アクセス可否判定方法およびプログラム |
KR100528171B1 (ko) * | 2005-04-06 | 2005-11-15 | 스콥정보통신 주식회사 | 네트워크 상에서 특정 아이피 주소 또는 특정 장비를보호/차단하기 위한 아이피 관리 방법 및 장치 |
GB2425681A (en) * | 2005-04-27 | 2006-11-01 | 3Com Corporaton | Access control by Dynamic Host Configuration Protocol snooping |
TW200643706A (en) | 2005-06-06 | 2006-12-16 | Mosdan Internat Co Ltd | Method to use network switch for controlling computer access to network system |
US7774089B2 (en) | 2005-08-18 | 2010-08-10 | Rockwell Automation Technologies, Inc. | Method and apparatus for disabling ports in a motor control system |
KR100694296B1 (ko) | 2005-11-08 | 2007-03-14 | 한국전자통신연구원 | 가상 인터페이스 기반의 2 계층 멀티캐스트 스위칭 및 3계층 멀티캐스트 라우팅 동시 제공 시스템 및 그 방법 |
JP4510751B2 (ja) * | 2005-12-02 | 2010-07-28 | 富士通株式会社 | ネットワーク障害検出装置 |
US7512146B1 (en) | 2006-01-31 | 2009-03-31 | Garrettcom, Inc. | Method and apparatus for layer 2 multicast traffic management |
US7802296B2 (en) * | 2006-08-23 | 2010-09-21 | Cisco Technology, Inc. | Method and system for identifying and processing secure data frames |
US7936670B2 (en) * | 2007-04-11 | 2011-05-03 | International Business Machines Corporation | System, method and program to control access to virtual LAN via a switch |
US9109904B2 (en) | 2007-06-28 | 2015-08-18 | Apple Inc. | Integration of map services and user applications in a mobile device |
US8200798B2 (en) * | 2007-12-29 | 2012-06-12 | Cisco Technology, Inc. | Address security in a routed access network |
WO2009148371A1 (en) * | 2008-06-05 | 2009-12-10 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for handling a switch using a preferred destination list |
GB2474545B (en) | 2009-09-24 | 2015-06-24 | Fisher Rosemount Systems Inc | Integrated unified threat management for a process control system |
US9054996B2 (en) * | 2009-12-24 | 2015-06-09 | Juniper Networks, Inc. | Dynamic prioritized fair share scheduling scheme in over-subscribed port scenario |
US8416696B2 (en) * | 2010-01-04 | 2013-04-09 | Cisco Technology, Inc. | CFM for conflicting MAC address notification |
JP5403756B2 (ja) * | 2010-03-03 | 2014-01-29 | Kddi株式会社 | 管理装置、プログラム及びトラフィック制御方法 |
US8660132B2 (en) | 2010-06-28 | 2014-02-25 | Avaya Inc. | Control plane packet processing and latency control |
US8817620B2 (en) | 2010-07-06 | 2014-08-26 | Nicira, Inc. | Network virtualization apparatus and method |
EP2509265B1 (de) | 2011-04-08 | 2013-12-04 | Siemens Aktiengesellschaft | Zugangsschutzgerät für ein Automatisierungsnetzwerk |
JP6276183B2 (ja) | 2011-09-15 | 2018-02-07 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | 互換性がないネットワークルーティングプロトコルを使用する通信ネットワークにわたるデータフレームの伝達 |
US8812466B2 (en) | 2012-02-10 | 2014-08-19 | International Business Machines Corporation | Detecting and combating attack in protection system of an industrial control system |
US9021574B1 (en) | 2013-03-12 | 2015-04-28 | TrustPipe LLC | Configuration management for network activity detectors |
US9177163B1 (en) | 2013-03-15 | 2015-11-03 | Google Inc. | Data access lockdown |
US9467459B2 (en) * | 2013-03-15 | 2016-10-11 | Aruba Networks, Inc. | System and method for detection of rogue routers in a computing network |
US10505893B1 (en) * | 2013-11-19 | 2019-12-10 | El Toro.Com, Llc | Generating content based on search instances |
CN105052087B (zh) * | 2013-11-19 | 2018-10-09 | 华为技术有限公司 | 一种基于流表的表项寻址方法、交换机及控制器 |
US20150161404A1 (en) | 2013-12-06 | 2015-06-11 | Barrett N. Mayes | Device initiated auto freeze lock |
CN103856579B (zh) * | 2014-03-03 | 2017-01-25 | 国家电网公司 | 基于mac地址匹配的智能变电站网络设备拓扑动态识别方法 |
CN105099847B (zh) * | 2014-05-05 | 2019-01-08 | 新华三技术有限公司 | 一种多归属接入方法和装置 |
US9729498B2 (en) * | 2014-05-21 | 2017-08-08 | Alcatel Lucent | Distributed address resolution protocol forwarding |
US9450884B2 (en) * | 2014-06-11 | 2016-09-20 | Alcatel-Lucent | Software defined networking based congestion control |
US20160373441A1 (en) * | 2015-06-16 | 2016-12-22 | Avaya Inc. | Providing secure networks |
US10038632B2 (en) * | 2015-07-23 | 2018-07-31 | Netscout Systems, Inc. | AIA enhancements to support L2 connected networks |
US20170032462A1 (en) * | 2015-07-30 | 2017-02-02 | Fixnetix Limited | Systems and methods for providing real-time pre-trade risk assessment |
US10187218B2 (en) * | 2015-09-15 | 2019-01-22 | Google Llc | Systems and methods for processing packets in a computer network |
WO2017049045A1 (en) * | 2015-09-16 | 2017-03-23 | RiskIQ, Inc. | Using hash signatures of dom objects to identify website similarity |
US9686316B2 (en) | 2015-09-25 | 2017-06-20 | Cisco Technology, Inc. | Layer-2 security for industrial automation by snooping discovery and configuration messages |
US9973469B2 (en) * | 2015-09-30 | 2018-05-15 | Juniper Networks, Inc. | MAC (L2) level authentication, security and policy control |
US9912639B1 (en) * | 2015-12-28 | 2018-03-06 | Juniper Networks, Inc. | Verifying firewall filter entries using rules associated with an access control list (ACL) template |
US10819719B2 (en) | 2016-10-11 | 2020-10-27 | General Electric Company | Systems and methods for protecting a physical asset against a threat |
CN107977160B (zh) * | 2016-10-25 | 2020-10-30 | 英业达科技有限公司 | 交换机存取资料的方法 |
US10038671B2 (en) * | 2016-12-31 | 2018-07-31 | Fortinet, Inc. | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows |
US10938819B2 (en) | 2017-09-29 | 2021-03-02 | Fisher-Rosemount Systems, Inc. | Poisoning protection for process control switches |
-
2018
- 2018-04-10 US US15/949,888 patent/US10938819B2/en active Active
- 2018-04-10 US US15/949,879 patent/US11038887B2/en active Active
- 2018-09-13 GB GB2201684.4A patent/GB2604036B/en active Active
- 2018-09-13 GB GB2204399.6A patent/GB2603076B/en active Active
- 2018-09-13 GB GB2207464.5A patent/GB2604811B/en active Active
- 2018-09-28 JP JP2018185660A patent/JP7414391B2/ja active Active
- 2018-09-28 JP JP2018185661A patent/JP2019092149A/ja active Pending
- 2018-09-29 CN CN202211573289.7A patent/CN116015757A/zh active Pending
- 2018-09-29 CN CN201811149334.XA patent/CN109587109A/zh active Pending
- 2018-09-29 CN CN201811148322.5A patent/CN109617813B/zh active Active
- 2018-09-29 CN CN202210369207.0A patent/CN114629861B/zh active Active
-
2021
- 2021-05-18 US US17/323,068 patent/US11595396B2/en active Active
-
2023
- 2023-12-28 JP JP2023223569A patent/JP2024038229A/ja active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006324723A (ja) * | 2005-05-17 | 2006-11-30 | Fujitsu Ltd | Lanへの不正アクセス防止方式 |
JP2010081610A (ja) * | 2008-09-25 | 2010-04-08 | Fisher Rosemount Syst Inc | プロセス制御データの安全な通信方法、及び装置 |
JP2015050767A (ja) * | 2013-09-03 | 2015-03-16 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | ホワイトリスト基盤のネットワークスイッチ |
JP2017046149A (ja) * | 2015-08-26 | 2017-03-02 | アラクサラネットワークス株式会社 | 通信装置 |
JP2017143497A (ja) * | 2016-02-12 | 2017-08-17 | 富士通株式会社 | パケット転送装置及びパケット転送方法 |
Also Published As
Publication number | Publication date |
---|---|
GB2604811A (en) | 2022-09-14 |
CN109587109A (zh) | 2019-04-05 |
CN109617813B (zh) | 2022-12-30 |
GB2604036B (en) | 2023-01-04 |
CN109617813A (zh) | 2019-04-12 |
GB2603076B (en) | 2022-11-30 |
US11595396B2 (en) | 2023-02-28 |
US11038887B2 (en) | 2021-06-15 |
GB202207464D0 (en) | 2022-07-06 |
CN116015757A (zh) | 2023-04-25 |
US20190104107A1 (en) | 2019-04-04 |
US20210281571A1 (en) | 2021-09-09 |
GB2603076A (en) | 2022-07-27 |
GB2604811B (en) | 2023-03-01 |
US20190104127A1 (en) | 2019-04-04 |
US10938819B2 (en) | 2021-03-02 |
GB2604036A (en) | 2022-08-24 |
CN114629861B (zh) | 2024-01-16 |
JP7414391B2 (ja) | 2024-01-16 |
JP2024038229A (ja) | 2024-03-19 |
JP2019080310A (ja) | 2019-05-23 |
CN114629861A (zh) | 2022-06-14 |
GB202204399D0 (en) | 2022-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7414391B2 (ja) | 強化されたスマートプロセス制御スイッチのポートロックダウン | |
JP5634047B2 (ja) | プロセス制御データの安全な通信方法、及び装置 | |
US8667589B1 (en) | Protection against unauthorized access to automated system for control of technological processes | |
US8799466B2 (en) | Method and apparatus for automatic verification of a network access control construct for a network switch | |
TW202137735A (zh) | 網路基礎架構可程式切換裝置 | |
Pfrang et al. | Detecting and preventing replay attacks in industrial automation networks operated with profinet IO | |
GB2568145A (en) | Poisoning protection for process control switches | |
GB2567556A (en) | Enhanced smart process control switch port lockdown | |
Ravindrababu | Analysis of Software-Defined Networks as a Mechanism for Enforcing Corporate Security Policies in OT Networks | |
US20240163668A1 (en) | Apparatuses, computer-implemented methods, and computer program products for managing access of wireless nodes to a network | |
CN116783871A (zh) | 远程系统以及远程连接方法 | |
JP2005196279A (ja) | ネットワークシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210928 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210928 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220829 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221004 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20221227 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230306 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230704 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20230907 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231004 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240109 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240409 |