特許 7299019 インフラストラクチャの異常を検出するための方法および装置

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2023-06-19

(45)【発行日】2023-06-27

(54)【発明の名称】インフラストラクチャの異常を検出するための方法および装置

(51)【国際特許分類】

   H04L 43/00 20220101AFI20230620BHJP

   G05B 23/02 20060101ALI20230620BHJP

【ＦＩ】

H04L43/00

G05B23/02 T

【請求項の数】 10

【外国語出願】

(21)【出願番号】P 2018247248

(22)【出願日】2018-12-28

(65)【公開番号】P2020108071

(43)【公開日】2020-07-09

【審査請求日】2021-10-27

(73)【特許権者】

【識別番号】519001338

【氏名又は名称】ノゾミ・ネットワークス・エッセアジエッレ

(74)【代理人】

【識別番号】100108453

【弁理士】

【氏名又は名称】村山 靖彦

(74)【代理人】

【識別番号】100110364

【弁理士】

【氏名又は名称】実広 信哉

(74)【代理人】

【識別番号】100133400

【弁理士】

【氏名又は名称】阿部 達彦

(72)【発明者】

【氏名】アンドレア・カルカーノ

(72)【発明者】

【氏名】モレノ・カルッロ

【審査官】中川 幸洋

(56)【参考文献】

【文献】特開２０１７－０４１８８６（ＪＰ，Ａ）

【文献】米国特許出願公開第２０１５／０３５８３９１（ＵＳ，Ａ１）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｌ ４３／００

Ｇ０５Ｂ ２３／０２

(57)【特許請求の範囲】

【請求項1】

- 1つまたは複数の論理コントローラ(12、22、32)に電気的に接続された1つまたは複数のアクチュエータ(10、20)および/またはセンサーであって、前記論理コントローラ(12、22、32)が、使用中、アクチュエータ(10、20)および/またはセンサーの物理的状態に関連する可変属性の値を制御する、1つまたは複数のアクチュエータ(10、20)および/またはセンサーと、
- 前記論理コントローラ(12、22、32)の少なくとも1つの管理ユニット(52)と、
- 前記論理コントローラの間および/または前記管理ユニット(52)と前記論理コントローラ(12、22、32)との間の電気通信システムであって、前記電気通信システムは、通信プロトコルによって前記物理的状態に関連する前記可変属性の前記値を含むデータパケット(PD)をやりとりすることができる、電気通信システムと、
を備えたインフラストラクチャ(1)において異常を検出するための方法であって、
- 前記電気通信システムに接続されたネットワークアナライザ(101)によって、前記電気通信システムにおいてやりとりされる前記データパケット(PD)の各々を分析するステップと、
- 前記ネットワークアナライザ(101)によって、前記分析されたデータパケット(PD)の各々に関して、使用されるすべての通信プロトコルおよび前記通信プロトコルの各々の全てのフィールドを特定するステップと、
- コンピュータ化されたデータ処理手段(102)によって、前記やりとりされるデータパケット(PD)の各々に関して、前記特定された通信プロトコルおよびフィールドに基づいて前記インフラストラクチャ(1)の仮想的表現を生成するステップと、
- 前記やりとりされるデータパケット(PD)の各々に関して生成された前記仮想的表現を第1の揮発性記憶手段(103)に記憶するステップと、
- 前記コンピュータ化されたデータ処理手段によって、記憶された前記仮想的表現を少なくとも1つの比較要素と比較するステップと、
前記記憶された仮想的表現と前記比較要素との間の相違点および/または類似点から前記インフラストラクチャの少なくとも1つの危機的状態を特定するステップと、
- 前記コンピュータ化されたデータ処理手段によって、前記危機的状態のうちの少なくとも1つが前記仮想的表現内で特定されるときに前記インフラストラクチャの異常をシグナリングするステップと、
を含み、
前記比較するステップは、連続して生成された前記仮想的表現のうちの2つ以上を比較し、前記論理コントローラの間、および/または前記論理コントローラと前記センサーもしくは前記アクチュエータとの間の1つまたは複数のネットワーク通信シーケンスを特定するステップをさらに含み、
前記比較するステップは、後続の仮想的表現と前記比較要素との間の相違点の中で前記インフラストラクチャの少なくとも1つの危機的状態を特定し、
前記比較要素は、許容され得ないネットワーク通信シーケンス又は前記後続の仮想的表現のうちの2つ以上の間の通信の頻度の閾値を含み、
前記危機的状態は、少なくとも1つの特定されたネットワーク通信シーケンスが許容され得ないネットワーク通信シーケンスに対応するとき又は前記検出された通信の頻度の少なくとも1つの閾値が超えられるときに特定される、
方法。

【請求項2】

前記比較要素が、前記インフラストラクチャの1つまたは複数の許容された予め定義された表現を含み、
前記比較が、前記記憶された仮想的表現が前記許容された予め定義された表現と異なるときに前記危機的状態のうちの少なくとも1つを特定する、請求項1に記載の方法。

【請求項3】

前記比較要素が、前記アクチュエータおよび/または前記センサーの前記物理的状態に関連する前記可変属性の前記値の1つまたは複数の閾値を含み、
前記比較が、前記記憶された仮想的表現の前記値のうちの少なくとも1つが関連する閾値を超えるときに前記危機的状態のうちの少なくとも1つを特定する、請求項1又は２に記載の方法。

【請求項4】

前記比較要素が、ネットワーク通信に関して許容されない1つまたは複数の通信プロトコルを含み、
前記比較が、前記記憶された仮想的表現が前記ネットワーク通信に関して許容されない1つまたは複数の通信プロトコルを含むときに前記危機的状態のうちの少なくとも1つを特定する、請求項1から３のいずれか一項または複数項に記載の方法。

【請求項5】

前記比較要素が、前記通信プロトコルに関して許容されない1つまたは複数のフィールドを含み、
前記比較が、前記記憶された仮想的表現が前記通信プロトコルに関して許容されない前記フィールドのうちの1つまたは複数を含むときに前記危機的状態のうちの少なくとも1つを特定する、請求項1から４のいずれか一項または複数項に記載の方法。

【請求項6】

前記比較の前に、前記危機的状態を定義するステップを含み、前記危機的状態を定義する前記ステップが、
- 前記電気通信システムに接続された前記ネットワークアナライザによって、所定の時間間隔中にやりとりされる前記データパケットの各々を分析するステップと、
- 前記ネットワークアナライザによって、前記分析されたデータパケットの各々に関して、使用される全ての前記通信プロトコルおよび前記通信プロトコルの全てのフィールドを特定するステップと、
- 前記コンピュータ化されたデータ処理手段によって、各々のやりとりされるデータパケットによって特定された前記通信プロトコルおよび前記通信プロトコルのフィールドに基づいて前記所定の時間間隔中の前記インフラストラクチャの集約された仮想的表現を生成するステップと、
- 前記集約された仮想的表現を永続的な第2の記憶手段に記憶するステップと、
- 前記危機的状態を前記集約された仮想的表現に含まれない仮想的表現として特定するステップと、
を含む、請求項1から５のいずれか一項または複数項に記載の方法。

【請求項7】

前記センサーおよび/または前記アクチュエータおよび/または前記管理ユニットおよび/または前記値および/または前記通信プロトコルおよび/または通信プロトコルフィールドの各々に関するリスク値を定義するステップであって、前記リスク値が、第1の記憶手段または第2の記憶手段に記憶される、ステップをさらに含み、
前記仮想的表現を生成する前記ステップが、前記リスク値を前記仮想的表現の各々に関連付け、リスクの仮想的表現を生成するさらなるステップを含む、請求項1から6のいずれか一項または複数項に記載の方法。

【請求項8】

産業構成要素の間、および/もしくは前記管理ユニットの間、および/もしくは前記産業構成要素と前記管理ユニットとの間の通信の頻度に基づいて、ならびに/または前記可変属性の前記値および/もしくは使用される前記通信プロトコルおよび/もしくは前記ネットワークアナライザによる前記特定された通信プロトコルの属性に基づいて、前記コンピュータ化されたデータ処理手段によって前記リスク値を自動的に計算するステップをさらに含む、請求項7に記載の方法。

【請求項9】

前記データパケット(PD)が、送信者のアドレスに関連する少なくとも1つの通信プロトコルフィールドおよび受信者のアドレスに関連する少なくとも1つの通信プロトコルフィールドを含み、
前記分析されたデータパケット(PD)の各々に関して生成された前記仮想的表現が、前記アドレスに関連する前記フィールドをノードとして定義し、前記送信者と前記受信者との間の接続を弧として定義し、前記データパケットから抽出された残りのフィールドを前記ノードおよび前記弧の値として定義することによって得られる、請求項1から8のいずれか一項または複数項に記載の方法。

【請求項10】

- 1つまたは複数の論理コントローラ(12、22、32)に動作可能なように接続された1つまたは複数のアクチュエータ(10、20)および/またはセンサーであって、前記論理コントローラ(12、22、32)が、使用中、アクチュエータ(10、20)および/またはセンサーの物理的状態に関連する可変属性の値を制御する、1つまたは複数のアクチュエータ(10、20)および/またはセンサーと、
- 前記論理コントローラ(12、22、32)の少なくとも1つの管理ユニット(52)と、
- 前記論理コントローラおよび/または前記管理ユニット(52)と前記論理コントローラ(12、22、32)との間の電気通信システムであって、前記電気通信システムは、通信プロトコルによって前記物理的状態の前記可変属性の前記値を含むデータパケット(PD)をやりとりすることができる、電気通信システムと、
を備えたインフラストラクチャ(1)において異常を検出するための装置(100)であって、
- 前記電気通信システムに接続されることができるネットワークアナライザ(101)であって、前記電気通信システムにおいてやりとりされる前記データパケット(PD)の各々を分析し、前記データパケット(PD)の各々に関して使用される全ての通信プロトコルおよび前記通信プロトコルの全てのフィールドを特定することができる、ネットワークアナライザ(101)と、
- 前記ネットワークアナライザ(101)に動作可能なように接続されたコンピュータ化されたデータ処理手段(102)であって、各々のやりとりされるデータパケット(PD)に対して前記ネットワークアナライザ(101)によって特定された前記通信プロトコルおよび前記通信プロトコルの前記フィールドに基づいて前記インフラストラクチャ(1)の仮想的表現を生成することができる、コンピュータ化されたデータ処理手段(102)と、
- 前記コンピュータ化された手段(102)に動作可能なように接続された第1の揮発性記憶手段(103)であって、各々のやりとりされるデータパケット(PD)に関して生成された前記仮想的表現を記憶する、第1の揮発性記憶手段(103)と、
- 前記コンピュータ化された手段(102)に動作可能なように接続された第2の永続的記憶手段(104)であって、第2の永続的記憶手段(104)のメモリに1つまたは複数の比較要素を含む、第2の永続的記憶手段(104)と、
を含み、
前記コンピュータ化されたデータ処理手段が、使用中、前記仮想的表現を前記比較要素のうちの少なくとも1つと比較し、
前記コンピュータ化されたデータ処理手段が、前記記憶された仮想的表現と前記比較要素との間の相違点および/または類似点から前記インフラストラクチャの少なくとも1つの危機的状態を特定し、シグナリングし、
前記コンピュータ化されたデータ処理手段が、使用中、連続して生成された前記仮想的表現のうちの2つ以上を比較し、前記論理コントローラの間、および/または前記論理コントローラと前記センサーもしくは前記アクチュエータとの間の1つまたは複数のネットワーク通信シーケンスを特定し、
前記コンピュータ化されたデータ処理手段が、後続の仮想的表現と前記比較要素との間の相違点の中で前記インフラストラクチャの少なくとも1つの危機的状態を特定し、
前記比較要素は、許容され得ないネットワーク通信シーケンス又は前記後続の仮想的表現のうちの2つ以上の間の通信の頻度の閾値を含み、
前記コンピュータ化されたデータ処理手段が、前記危機的状態を、少なくとも1つの特定されたネットワーク通信シーケンスが許容され得ないネットワーク通信シーケンスに対応するとき又は前記検出された通信の頻度の少なくとも1つの閾値が超えられるときに特定する、
装置(100)。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、インフラストラクチャ、特に、オートメーションシステムおよび工業生産システムなどの産業システムの物理的インフラストラクチャの管理におけるセキュリティの方法およびセキュリティのシステムの分野に関する。特に、本発明は、インフラストラクチャの異常を検出するための方法に関する。

【0002】

さらなる態様において、本発明は、インフラストラクチャの異常を検出するための装置に関する。

【背景技術】

【0003】

産業システムは、同じ産業システムによって必要とされる機能を得るために互いに物理的に相互作用することができるサブシステムおよび構成要素を備えた物理的インフラストラクチャによって定義される。

【0004】

前述の種類のシステムは、たとえば、製造生産のための産業システム、エネルギーの生成のための産業システム、流体(水、石油、およびガス)の配送のためのインフラストラクチャ、電力の生成および/または送電のためのインフラストラクチャ、ならびに輸送管理のためのインフラストラクチャである。

【0005】

産業システムまたはそのサブシステムおよび構成要素の論理的接続は、制御されるサブシステムまたは構成要素に応じて、またはさらに遠隔的に、つまり、システムによって占有されるエリア内で距離をおいてもしくは同じエリアの外でさえも制御が運用され得るいわゆる産業オートメーションシステムを得ることを可能にする。

【0006】

物理的インフラストラクチャのための前述の種類の産業オートメーションシステムの定義は、産業システムの制御が犯罪活動の影響を受けやすい可能性があるので、同じ大きなセキュリティの問題を明らかにする。インフラストラクチャまたはそのインフラストラクチャを制御するオートメーションシステムを保護するために、いわゆる分散制御システムまたはSCADAが、自動制御の分野で知られている。頭字語SCADA(Supervisory Control and Data Acquisition(監視制御データ収集))は、分散制御システムまたはSCADAとの前述の物理的システムのインターフェースを可能にするRTU(Remote Terminal Unit(リモート端末ユニット))を備えた前述のインフラストラクチャまたはそれらのインフラストラクチャのサブセットおよび構成要素などの物理的システムの監視および管理のための分散型システムにちょうど関連する。RTUは、デジタルおよびアナログフィールドパラメータを監視し、データを中央監視ステーション(central monitoring station)に送信し、恐らくは物理的システムを操る可能性があり、したがって、インフラストラクチャ自体のオートメーションシステムへの侵入の可能性を制限するためにSCADA型システムに管理、制御、または遠隔制御を許容する。さらに、SCADA型システムは、インフラストラクチャのサブセットおよび構成要素の論理制御によってインフラストラクチャの異常の管理を監視することを可能にする。

【0007】

SCADAシステムの典型的な手法は、各RTUがリモートアクセス番号によって構成され、SCADAシステムがデータをリアルタイムで得るためにRTUのポーリングを定期的に実行する「プル」モデルの使用をともなう。そのような手法は、いくつかの重大な問題を呈する。ポーリングプロセスの性質が原因で、SCADAシステムは、たとえやりとりされるデータがないとしてもデータを回収するために各RTUに周期的に問い合わせなければならず、これは、小さなサイズのリソースの監視中に起こる可能性がある。

【0008】

さらに、制御される構成要素または物理的サブシステムの各々のためにRTUを設けなければならない必要性は、分散制御システムの実現に関連するコストを大幅に増やす。前述のコストは、特に、現場測定において小さなまたはまれな変動が存在する場合、または分散制御システムまたはRTUのアーキテクチャの変更に対応するに違いない物理的インフラストラクチャに対する変更の場合、あっという間に法外に高くなる可能性がある。同様に、計算コストも、使用される多くのRTUがポーリングされなければならない場合、非常に過大になる可能性がある。

【0009】

したがって、分散制御システムにおける管理コストを制限することができる方法を持つことが望ましい。さらに、制御される物理的アーキテクチャおよびその物理的アーキテクチャの経時的変化に応じて管理能力を最大化することができる方法を持つことが望ましい。最後に、物理的アーキテクチャの偶発故障(random failure)とつながりがあるかまたは望まれていない侵入によって生み出される異常な管理の状況を防止することができる物理的アーキテクチャの効果的な制御を行うことができる方法を持つことが望ましい。

【0010】

同様に、複雑な物理的アーキテクチャの存在下でさえもまたは頻繁に変更されるとしてもランニングコストが低い物理的アーキテクチャのための分散制御システムを定義することができる装置を持つことが望ましい。

【発明の概要】

【課題を解決するための手段】

【0011】

本発明の目的は、前述の欠点を最小化することができる物理的インフラストラクチャにおいて、特に
- 1つまたは複数の論理コントローラに電気的に接続された1つまたは複数のアクチュエータおよび/またはセンサーであって、論理コントローラが、使用中、アクチュエータおよび/またはセンサーの物理的状態に関連する可変属性の値を制御する、1つまたは複数のアクチュエータおよび/またはセンサー、
- 論理コントローラの少なくとも1つの管理ユニット、
- 論理コントローラの間および/または管理ユニットと論理コントローラとの間の電気通信システムであって、ネットワーク通信プロトコルによって物理的状態に関連する可変属性の値を含むデータパケットをやりとりすることができる、電気通信システムを備えたインフラストラクチャの異常を検出するための方法を提供することである。

【0012】

したがって、本発明によって説明されるのは、
- 電気通信システムに接続されたネットワークアナライザによって、電気通信システムにおいてやりとりされるデータパケットの各々を分析するステップ、
- ネットワークアナライザによって、分析されたデータパケットの各々に関して、使用されるすべてのネットワークプロトコルおよびプロトコルの少なくとも1つのフィールドを特定するステップ、
- コンピュータ化されたデータ処理手段によって、やりとりされるデータパケットの各々に関して、特定されたプロトコルおよびフィールドに基づいてインフラストラクチャの仮想的表現(virtual representation)を生成するステップ、
- やりとりされるデータパケットの各々に関して生成された仮想的表現を第1の揮発性記憶手段に記憶するステップ、
- コンピュータ化されたデータ処理手段によって、記憶された仮想的表現を少なくとも1つの比較要素と比較し、記憶された仮想的表現と比較要素との間の相違点および/または類似点からインフラストラクチャの少なくとも1つの危機的状態(critical state)を特定するステップ、
- コンピュータ化されたデータ処理手段によって、危機的状態のうちの少なくとも1つが仮想的表現内で特定されるときにインフラストラクチャの異常をシグナリングするステップを含むインフラストラクチャの異常を検出するための方法である。

【0013】

したがって、本発明による方法は、データパケットが監視されるインフラストラクチャに関してやりとりされるときにはいつでも仮想的表現を生成することを可能にする。方法は、仮想的表現がやりとりされるデータパケットによって生成される、つまり、電気通信システムにおいてやりとりされるデータパケットがない場合、インフラストラクチャの仮想的表現が生成されない「プッシュ」型論理を提示する。これは、物理的インフラストラクチャの分析に関連する計算コストを最小化することを可能にする。

【0014】

好ましくは、使用されるすべてのネットワークプロトコルおよびプロトコルの各々のすべてのフィールドは、特定するステップにおいて特定される。

【0015】

このようにして、許容された仮想的表現に一致しないいずれかのプロトコルまたはプロトコルフィールドに関連する危機的状態を定義することが可能である。

【0016】

好ましくは、比較要素は、インフラストラクチャの1つまたは複数の許容された予め定義された表現を含み、
比較は、記憶された仮想的表現が許容された予め定義された表現と異なるときに危機的状態のうちの少なくとも1つを特定する。

【0017】

好ましくは、比較要素は、アクチュエータおよび/またはセンサーの物理的状態に関連する可変属性の値の1つまたは複数の閾値を含み、
比較は、記憶された仮想的表現の値のうちの少なくとも1つが関連する閾値を超えるときに危機的状態のうちの少なくとも1つを特定する。

【0018】

好ましくは、比較要素は、ネットワーク通信に関して許容されない1つまたは複数の通信プロトコルを含み、
比較は、記憶された仮想的表現がネットワーク通信に関して許容されない1つまたは複数の通信プロトコルを含むときに危機的状態のうちの少なくとも1つを特定する。

【0019】

好ましくは、比較要素は、通信プロトコルに関して許容されない1つまたは複数のフィールドを含み、
比較は、記憶された仮想的表現が通信プロトコルに関して許容されないフィールドのうちの1つまたは複数を含むときに危機的状態のうちの少なくとも1つを特定する。

【0020】

許容された予め定義された表現、可変属性の値の1つもしくは複数の閾値、許容されない1つもしくは複数の通信プロトコル、および/またはプロトコルに関して許容されない1つもしくは複数のフィールドを定義することによって、危機的状態を生じる幅広い可能性を考慮する、監視されるインフラストラクチャの完全な制御を定義することが可能である。

【0021】

好ましくは、比較は、連続して生成された仮想的表現のうちの2つ以上の比較をさらに含み、
比較は、後続の仮想的表現と比較要素との間の相違点の中でインフラストラクチャの少なくとも1つの危機的状態を特定する。

【0022】

このようにして、2つ以上の後続の仮想的表現に含まれる相違点および/または類似点から危機的状態を特定し、したがって、制御されるインフラストラクチャの状態の漸進的な変化に基づいてあり得る危機的状態の発生を可能にすることが可能である。

【0023】

好ましくは、比較要素は、後続の仮想的表現のうちの2つ以上の間の通信の頻度の閾値を含み、
比較は、連続して生成された仮想的表現のうちの2つ以上を比較し、論理コントローラの間、および/または論理コントローラとセンサーもしくはアクチュエータとの間、および/または論理コントローラと管理ユニットとの間の通信の頻度を特定することをさらに含み、
危機的状態は、通信の頻度に関する閾値によって特定される。

【0024】

したがって、危機的状態は、たとえば、コントローラの問い合わせの頻度によって、またはセンサーおよび/もしくはアクチュエータの可変属性の変化の頻度によって生成される可能性がある。

【0025】

好ましくは、方法は、連続して生成された仮想的表現のうちの2つ以上を比較し、論理コントローラの間、および/または論理コントローラと管理ユニットとの間、および/または論理コントローラとセンサーもしくはアクチュエータとの間の1つまたは複数の通信シーケンスを特定するステップをさらに含み、
危機的状態は、許容され得ない通信シーケンスを含む。

【0026】

このようにして、2つ以上の後続の仮想的表現に含まれる相違点および/または類似点から危機的状態を特定し、したがって、インフラストラクチャの電気通信システム内で運ばれたデータパケットの配列に基づいてあり得る危機的状態の発生を可能にすることが可能である。

【0027】

好ましくは、比較の前に、方法は、危機的状態を定義するステップを含み、危機的状態を定義するステップは、
- 電気通信システムに接続されたネットワークアナライザによって、所定の時間間隔中にやりとりされるデータパケットの各々を分析するステップ、
- ネットワークアナライザによって、分析されたデータパケットの各々に関して、使用されるネットワークプロトコルおよびプロトコルの少なくとも1つのフィールドを特定するステップ、
- コンピュータ化されたデータ処理手段によって、それぞれのやりとりされるデータパケットによって特定されたプロトコルおよびプロトコルのフィールドに基づいて所定の時間間隔中のインフラストラクチャの集約された仮想的表現を生成するステップ、
- 集約された仮想的表現を永続的な第2の記憶手段に記憶するステップ、
- 危機的状態を集約された仮想的表現に含まれない仮想的表現として特定するステップを含む。

【0028】

危機的状態を定義するそのようなステップは、学習ステップに対応し、許容された仮想的表現を自動的に学習し、したがって、前述の学習ステップ中に生成されない仮想的表現から任意の危機的状態を特定することが可能である。

【0029】

好ましくは、使用されるすべてのネットワークプロトコルおよびプロトコルの各々のすべてのフィールドは、特定するステップにおいて特定される。

【0030】

好ましくは、方法は、センサーおよび/またはアクチュエータおよび/または管理ユニットおよび/または値および/または通信プロトコルおよび/またはプロトコルフィールドの各々に関するリスク値を定義するステップであって、リスク値が、第1の記憶手段または第2の記憶手段に記憶される、ステップをさらに含み、
仮想的表現を生成するステップは、リスク値を仮想的表現の各々に関連付け、リスクの仮想的表現を生成するさらなるステップを含む。

【0031】

リスク値の計算は、最も危機的な構成要素を特定し、したがって、リスクステータスを生成することを可能にするか、または反対に、センサーおよび/もしくはアクチュエータおよび/もしくは管理ユニットおよび/もしくは値および/もしくは通信プロトコルおよび/もしくはプロトコルフィールドの各々に関連するリスク値に従ってリスクステータスを分類しないことを可能にする。

【0032】

好ましくは、方法は、産業構成要素(industrial component)の間、および/もしくは管理ユニットの間、および/もしくは産業構成要素と管理ユニットとの間の通信の頻度に基づいて、ならびに/または可変属性の値および/もしくは使用されるプロトコルおよび/もしくは前記ネットワークアナライザによって特定されたプロトコルの属性に基づいて、コンピュータ化されたデータ処理手段によってリスク値を自動的に計算するステップをさらに含む。

【0033】

リスク値の計算は、通信の頻度に従ってさらに実行される可能性があり、したがって、より高い通信の頻度にさらされる要素をより大きなリスク値の要素として特定する。

【0034】

好ましくは、データパケットは、送信者のアドレスに関連する少なくとも1つのプロトコルフィールドおよび受信者のアドレスに関連する少なくとも1つのプロトコルフィールドを含み、
分析されたデータパケットの各々に関して生成された仮想的表現は、アドレスに関連するフィールドをノードとして定義し、送信者と受信者との間の接続を弧(arc)として定義し、データパケットから抽出された残りのフィールドをノードおよび弧の値として定義することによって得られる。

【0035】

前述の目的は、さらに、
- 1つまたは複数の論理コントローラに動作可能なように接続された1つまたは複数のアクチュエータおよび/またはセンサーであって、論理コントローラが、使用中、アクチュエータおよび/またはセンサーの物理的状態に関連する可変属性の値を制御する、1つまたは複数のアクチュエータおよび/またはセンサー、
- 論理コントローラの少なくとも1つの管理ユニット、
- 論理コントローラの間および/または管理ユニットと論理コントローラとの間の電気通信システムであって、ネットワーク通信プロトコルによって物理的状態の可変属性の値を含むデータパケットをやりとりすることができる、電気通信システムを備えたインフラストラクチャにおいて異常を検出するための装置によって達成される。

【0036】

したがって、本発明によって説明されるのは、
- 電気通信システムに接続され得るネットワークアナライザであって、電気通信システムにおいてやりとりされるデータパケットの各々を分析し、データパケットの各々に関して使用されるネットワークプロトコルおよび少なくとも1つのプロトコルフィールドを特定することができる、ネットワークアナライザ、
- ネットワークアナライザに動作可能なように接続されたコンピュータ化されたデータ処理手段であって、それぞれのやりとりされるデータパケットに対してネットワークアナライザによって特定されたプロトコルおよびプロトコルのフィールドに基づいてインフラストラクチャの仮想的表現を生成することができる、コンピュータ化されたデータ処理手段、
- コンピュータ化された手段に動作可能なように接続された第1の揮発性記憶手段であって、それぞれのやりとりされるデータパケットに関して生成された仮想的表現を記憶する、第1の揮発性記憶手段、
- コンピュータ化された手段に動作可能なように接続された第2の永続的記憶手段であって、第2の永続的記憶手段のメモリに1つまたは複数の比較要素を含む、第2の永続的記憶手段を備えたインフラストラクチャにおいて異常を検出するための装置であって、
コンピュータ化されたデータ処理手段が、使用中、仮想的表現を比較要素のうちの少なくとも1つと比較し、
コンピュータ化されたデータ処理手段が、記憶された仮想的表現と比較要素との間の相違点および/または類似点からインフラストラクチャの少なくとも1つの危機的状態を特定し、シグナリングする、装置である。

【0037】

方法に関して既に説明されたように、本発明による装置は、したがって、データパケットが監視されるインフラストラクチャに関してやりとりされるときにはいつでも仮想的表現を生成することを可能にする。装置は、仮想的表現がやりとりされるデータパケットによって生成される、つまり、電気通信システムにおいてやりとりされるデータパケットがない場合、インフラストラクチャの仮想的表現が生成されない「プッシュ」型論理によって動作する。これは、物理的インフラストラクチャの分析に関連する計算コストを最小化することを可能にする。

【0038】

好ましくは、コンピュータ化されたデータ処理手段は、使用中、2つ以上の後続の仮想的表現を比較し、
コンピュータ化されたデータ処理手段は、後続の仮想的表現と比較要素との間の相違点の中でインフラストラクチャの少なくとも1つの危機的状態を特定し、シグナリングする。

【0039】

好ましくは、ネットワークアナライザは、論理コントローラの間、および/または論理コントローラとセンサーもしくはアクチュエータとの間、および/または論理コントローラと管理ユニットとの間の通信の頻度を特定するように適合され、
比較要素は、通信の頻度に関する閾値を含み、
コンピュータ化されたデータ処理手段は、検出された通信の頻度の少なくとも1つの閾値が超えられるときに危機的状態のうちの少なくとも1つを特定する。

【0040】

好ましくは、コンピュータ化されたデータ処理手段は、使用中、連続して生成された仮想的表現のうちの2つ以上を比較し、論理コントローラの間、および/または論理コントローラと管理ユニットとの間、および/または論理コントローラとセンサーもしくはアクチュエータとの間の1つまたは複数の通信シーケンスを特定し、
比較要素は、許容され得ない通信シーケンスを含み、
コンピュータ化されたデータ処理手段は、少なくとも1つの特定された通信シーケンスが許容され得ない通信シーケンスに対応するときに危機的状態のうちの少なくとも1つを特定する。

【0041】

本発明のこれらのおよびさらなる特徴および利点は、添付の図面に非限定的な例によって示される好ましい実施形態の開示から明らかになるであろう。

【図面の簡単な説明】

【0042】

【図1】加圧された流体の配送のための産業システムの物理的アーキテクチャによって構成されるインフラストラクチャの概略図である。

【図2】図1のインフラストラクチャの物理的アーキテクチャの制御のための電気的/電子的アーキテクチャの概略図である。

【図3】本発明による図1および図2のインフラストラクチャの異常を検出するための装置の概略図である。

【図4】図2の電気的/電子的アーキテクチャにおいて使用されるプロトコルの方式の概略図である。

【図5A】図1および図2に示されるインフラストラクチャの許容され得る仮想的表現の概略図である。

【図5B】図1および図2に示されるインフラストラクチャの複数の許容され得る仮想的表現の概略図である。

【図5C】学習ステップまたは危機的状態を定義するステップにおいて得られる集約された仮想的表現の概略図である。

【発明を実施するための形態】

【0043】

本発明は、インフラストラクチャ、特に、物理的インフラストラクチャにおいて異常を検出するための方法に関する。本発明は、インフラストラクチャの異常を検出するための装置にさらに関連する。

【0044】

本発明による方法および装置は、物理的インフラストラクチャまたはオートメーションシステム、特に、製造生産のための産業プロセス、発電のための産業プロセス、流体(水、石油、およびガス)の配送のためのインフラストラクチャ、電力の生成および/または送電のためのインフラストラクチャ、輸送管理のためのインフラストラクチャなどの産業オートメーションシステムに有用な応用を見いだす。前述のオートメーションシステムまたは物理的インフラストラクチャは、それぞれの物理的状態を管理するために互いにまたは適切な論理コントローラを通じて相互作用する物理的構成要素上で動作するプロセスを使用する。特に、物理的状態の管理は、特定の要求に関連して可変属性の値を修正および/または設定するために、観測を目的とした物理的状態の確認および見張りである監視と、物理的構成要素の規制との両方を含む。

【0045】

用語「物理的構成要素」は、本発明においては、オートメーションシステムまたは全体的インフラストラクチャ内で物理的に相互作用する構成要素を意味し、特に、センサーおよびアクチュエータなどの2つの主要な種類の構成要素を特定する。物理的構成要素は、通常はアナログ式の結果をともなう物理的実行の検出および/または制御を可能にする。特に、センサーは、大きさを検出することができるデバイスであり、その大きさと相互作用する。獲得された大きさに応じて、センサーは、たとえば、化学的、物理的、およびイメージの(image)大きさに関連する可能性がある。センサーによって測定された大きさは、その後、概して、アナログ式の電気信号に変換され、そして今度は、そのアナログ式の電気信号が、データ収集システムに送信される。一方、アクチュエータは制御システムによって与えられたコマンドを実現するタスクを有するデバイスであり、たとえば、機械式、電気式、油圧式、または空気圧式アクチュエータを特定することが可能である。

【0046】

下の説明は、説明の便宜上例示される物理的インフラストラクチャと相互作用するときの本発明による方法および装置に言及するが、任意の種類の物理的インフラストラクチャが、等しく使用され得る。特に、図1は、加圧された流体、特に、蒸気を配送するための産業システムの物理的アーキテクチャ11からなるインフラストラクチャ1を示す。例として、そのような物理的アーキテクチャ11は、いくつかの要素、すなわち、互いに接続され、本発明が完全に説明されることを可能にするのに十分な物理的構成要素によって定義される。そのような要素は、蒸気が単一の入口から単一の出口まで閉じた循環路内を流れる導管30を含む。流体制御は、導管30と流体連通して接続されたソレノイドバルブの形態の2つのアクチュエータ10、20に委ねられている。ソレノイドバルブ10、20は、それぞれ、導管30の入口および出口に対応して配列され、導管30への蒸気の導入を止め、規制する入力アクチュエータ10と、同じ導管30からの蒸気の流出を止め、規制する出力アクチュエータ20とをそれぞれ定義する。

【0047】

各ソレノイドバルブまたはアクチュエータ10、20の物理的状態は、検出可能または管理可能な物理的大きさに関連する可変属性によって定義される。特に、そのような可変属性は、ソレノイドバルブ10、20を通る流体の通路の断面(section)に対応し、同じソレノイドバルブ10、20によって保証される圧力に本質的に関連する可変属性である。その中で説明される実施形態において、そのような可変属性は、ソレノイドバルブの通路の断面の全閉、つまり、圧力ゼロに対応する値「0」と、ソレノイドバルブの通路の断面の全開、つまり、最大圧力に対応する値「100」との間で変わる可能性がある。前記ソレノイドバルブ10、20に関する物理的状態の可変属性の値の分布は、直線型であり、つまり、値「50」において、全開に対応する通路の断面の半分に等しい通路の断面に対応する。

【0048】

示される例において、物理的アーキテクチャ11は、アクチュエータのみを含むが、適切なセンサーもまたは適切なセンサーだけを等価的に与えられる可能性がある。同様に、インフラストラクチャは、それがセンサーであろうとアクチュエータであろうと単一の構成要素からなる可能性がある。

【0049】

インフラストラクチャ1の物理的アーキテクチャ11は、前述の物理的状態の管理をそれらの物理的状態の監視および制御の観点で可能にする図2に示される電気的/電子的アーキテクチャ21によって支援される。電気的/電子的アーキテクチャ21は、分散制御型のアーキテクチャ、好ましくはSCADAであるが、インフラストラクチャの物理的アーキテクチャ11の管理を可能にすることができる異なる種類の産業アーキテクチャまたは非産業アーキテクチャによって等価的に実現される可能性がある。電気的/電子的アーキテクチャ21は、インフラストラクチャの電子的監視のための分散型コンピュータシステムからなる。したがって、インフラストラクチャ1は、少なくとも1つの論理コントローラ管理ユニットを備える。特に、電気的/電子的アーキテクチャ21は、したがって、管理ユニット52、たとえば、マスタ端末ユニット(MTU)に動作可能なように接続された3つの論理コントローラ12、22、32を含む。前述の論理コントローラの例は、リモート端末ユニット(RTU)またはプログラマブルロジックコントローラ(PLC)である可能性がある。その中で説明される実施形態において、使用される論理コントローラは、たとえば、ABB社によって生産された商用PLC、モデルAC800などの産業PLC型である。

【0050】

図3に示されるように、2つのソレノイドバルブ10、20の各々は、異なる論理コントローラに動作可能なように接続され、特に、入力ソレノイドバルブ10が、PLC 12に電気的に接続される一方、出力ソレノイドバルブ20は、PLC 22に電気的に接続される。一方、PLC 32は、物理的アーキテクチャ11のソレノイドバルブ10、20のいずれにも接続されない。各論理コントローラ12、22は、それぞれのソレノイドバルブ10、20に動作可能なように接続され、したがって、前述のように、前述のソレノイドバルブ10、20の物理的状態に関連する可変属性の値を制御する。したがって、そのような場合にソレノイドバルブ10、20によって定義されるアクチュエータおよび/またはセンサーは、そのような場合はPLC 12、22によって定義される1つまたは複数の論理コントローラに動作可能なように接続され、PLC 12、22は、使用中、同じアクチュエータおよび/またはセンサーの物理的状態に関連する可変属性の値を制御する。

【0051】

用語「制御」によって本発明において可変属性に関連して意図されるのは、同じ可変属性の監視と管理との両方である。

【0052】

特に、各論理コントローラ12、22は、対応する電気的測定においておよびその後は好ましくはデジタルデータ内でアナログ式のソレノイドバルブ10、20またはアクチュエータの管理に関連する測定値の変換、監視からの導出、または設定を提供する。

【0053】

3つの論理コントローラ12、22、32、および管理ユニット52は、やはり知られている種類のネットワーク通信プロトコルによる知られている種類のネットワーク接続を利用し、したがってこれ以上説明されない(図2および図3の各構成要素を接続する実線および破線によって部分的に例示される)電気通信システムによって接続される。説明される実施形態において、電気通信システムは、各論理コントローラ12、22、32を管理ユニット52に物理的に接続するが、同じコントローラ12、22、32を互いに直接接続しないイーサネット(登録商標)型のローカルネットワークからなる。また、電気通信システムは、前述の論理コントローラを互いに接続するかまたは複数の論理コントローラを階層的に接続する可能性がある。したがって、前記電気通信システムは、前述のネットワーク通信プロトコルによって物理的状態の可変属性の値を含むデータパケットPDをやりとりするのに好適である。

【0054】

したがって、インフラストラクチャ1において、論理コントローラ12、22の各々は、その論理コントローラが電気的に接続される関連するソレノイドバルブ10、20を制御し、一方、管理ユニット52は、前述のソレノイドバルブ10、20を間接的に制御するためにコントローラ12、22と直接通信する。特に、管理ユニット52は、論理コントローラ12、22、32に/から(図4に示されるように)データパケットPDを送信および受信し、それらのデータパケットPDは、下で説明されるように、複数のプロトコルおよび関連するカプセル化されたデータによって定義される。

【0055】

用語「データパケット」によって本発明において意図されるのは、電気通信システムによって送信されるデータのそれぞれの有限のはっきり区別可能なシーケンスである。好ましくは、これらのデータは、デジタル形式であり、ビットのシーケンスによって定義される。特に、本発明によれば、それぞれの個々のデータパケットは、そのデータパケットが生成されるそれぞれのアーキテクチャのレイヤに関して1つずつ、複数のプロトコルデータユニット(PDU)を含む。電気通信システムにおいて使用される通信プロトコルおよび送信システムの種類に応じて、各PDUは異なるが、いずれの場合も、送信される少なくとも1つのヘッダおよびデータ本体を含む。ヘッダは、特に、送信機のアドレスおよび受信機のアドレスを含む送信のために必要なすべての情報を含む。各データパケットPDは、そのデータパケットを送信元デバイスから受信デバイスにやりとりされるデータストリームのその他のパケットと一意に区別する特定メカニズムを与える。

【0056】

マルチレベルネットワークにおいては、本発明と同様に、送信機によって生成されるデータパケットPDに上位レベルのPDUが挿入されるか、または下位レベルのPDUにカプセル化される。同様に、受信機によって受信されたデータパケットは、まず、下位レベルのPDUを分析して下位レベルの中に挿入された上位レベルのPDUにアクセスし、最終的に、センサーおよび/または物理的アクチュエータの可変属性の値が特定される。

【0057】

本実施形態において使用される通信プロトコルは、ISO/OSIスタックの各レベルを参照して、物理、接続、およびネットワークレベルに関してイーサネット(登録商標)または802.11プロトコルに、トランスポートおよびセッションレベルに関してTCP/IPプロトコルに、プレゼンテーションおよびアプリケーションレベルに関してModbusに細分化される。

【0058】

したがって、前述のものによるインフラストラクチャ1は、論理コントローラ12、22、32および管理ユニット52からなる4つの通信ノードを提示する。電気通信システムを介した通信を可能にする一意のアドレスおよび通信ポートが、ノードの各々、たとえば、各デバイスに割り当てられる。図2および図3に示されるように、論理コントローラ12、22、32および管理ユニット52は、それぞれ、IPアドレス10.0.0.1、10.0.0.2、10.0.0.3、および10.0.0.254に対応する。通信ポートは、すべての接続されるデバイスに関して同じであり、TCPポート502に対応する。論理コントローラ12、22、32は、一意識別子ID1、ID2、およびID3も与えられる。

【0059】

本発明による異常検出方法による異常検出装置100が接続されるインフラストラクチャ1の正常動作中のその異常検出装置100の動作が、下に示される。特に、装置100の動作が示され、装置100が接続されるインフラストラクチャ1の簡略化されたワークサイクルの実行中の、下でより詳細に説明される、受け入れられ得る表現が既に定義され、第2の記憶手段104内に記憶済みであるときの本発明による方法の応用。本発明によるインフラストラクチャ1のすべての構成要素は、Modbus通信プロトコルを使用してネットワーク接続される。これは、管理ユニット52がインフラストラクチャ1の構成要素、つまり、アクチュエータ10、20の様々な獲得および設定システムに接続されることを可能にする。特に、Modbusプロトコルによる通信は、様々なPLC12、22、32から管理ユニット52におよびその逆にTCP/IP上でデータパケットPDをやりとりすることによって実行される。

【0060】

異なる実施形態においては、異なる通信プロトコルが使用される可能性もあり、またはイーサネット(登録商標)接続の代わりにシリアル接続が使用される可能性がある。

【0061】

インフラストラクチャ1を参照して、導管30内の圧力が維持され、監視されるべきであり、パイプラインは安全状態を保証するためには圧力を高めるよりもそれを下げることが好ましいと仮定される。物理的インフラストラクチャに関するそのような許容可能な表現は、入力ソレノイドバルブ10に関して設定された対応する値よりも常に高いまたはたかだか等しい「value」フィールドの値に出力ソレノイドバルブ20の開口を設定することに関連する。したがって、インフラストラクチャ1が「value」フィールドの値が10に設定され、出力ソレノイドバルブ20の対応する値が15に設定された入力ソレノイドバルブを提示する初期状態を仮定すると、安全な表現は、出力ソレノイドバルブ20の値「value」を20に設定することである。

【0062】

インフラストラクチャ1の動作中のあり得る異常の監視および検出が、本発明による異常検出装置100によって得られる。そのような装置100は、インフラストラクチャ1の残りの部分との接続が点線の接続によって図式化される図3においてブロック表現によって図式化される。前述の装置100は、受動型であることが好ましく、つまり、前述の装置100は、インフラストラクチャ1全体に能動的に接続されることなくインフラストラクチャ1全体を監視する。説明される実施形態において、装置100は、管理ユニット52と論理コントローラ12、22、32との間の電気通信システム内に配列される。示されていないさらなる実施形態によれば、本発明による異常検出装置は、管理ユニットを論理コントローラに接続するルータまたはスイッチの好適なミラーリングポート(mirroring port)に接続され得る。

【0063】

装置100は、インフラストラクチャ1と相互作用し、その任意のあり得る異常を検出するのに好適な、図3においてやはりブロックに図式的に示される複数の構成要素を含む。特に、装置100は、電気通信システムに接続可能なネットワークアナライザ101と、前述のネットワークアナライザ101に接続されたコンピュータ化されたデータ処理手段102と、揮発性の第1の記憶手段103と、コンピュータ化されたデータ処理手段102に動作可能なように接続された永続的な第2の記憶手段104とを含む。

【0064】

装置100の一部であるネットワークアナライザ101は、インフラストラクチャ1に接続され、電気通信システムと受動的に相互作用する。前述のネットワークアナライザ101は、電気通信システムにおいてやりとりされるデータパケットPDの各々を分析し、データパケットの各々に関するネットワークプロトコルおよびプロトコルの少なくとも1つのフィールドを特定することができる。特に、本実施形態において、ネットワークアナライザ101は、管理ユニット52とその管理ユニット52に接続された論理コントローラ12、22、32との間でやりとりされる各データパケットPDを傍受することができる。

【0065】

個々の論理コントローラが同じ電気通信システムに相互に接続される、示されていない代替的な実施形態においては、したがって、ネットワークアナライザは、同じコントローラの間でやりとりされる各データパケットも傍受することができる。

【0066】

したがって、本発明による異常検出方法は、電気通信システムに接続されたネットワークアナライザ101によって、前述の電気通信システムにおいてやりとりされるデータパケットPDの各々を分析するステップを含む。

【0067】

分析されたデータパケットPDの各々に関して、使用されるすべてのネットワークプロトコルおよびプロトコルの各々の少なくとも1つのフィールドを特定する次のステップが、同じネットワークアナライザ101によって実施される。

【0068】

したがって、ネットワークアナライザ101は、インフラストラクチャネットワーク1全体の受動的な傍受活動を実行することを可能にする。特に、前述のアナライザ101は、インフラストラクチャ1の電気通信システムを通じてやりとりされる各パケットデータPDに関して、使用されるネットワークプロトコルおよびプロトコルの各々に関する少なくとも1つのフィールドを特定することができる。好ましくは、アナライザ101は、少なくとも、前述のように、各構成要素の物理的状態を特徴付ける可変属性の値に関連するフィールドを特定する。特に、本実施形態においては、したがって、特定するステップで、ネットワークアナライザ101は、インフラストラクチャ1に関するすべてのデータを抽出するために、使用されるすべてのネットワークプロトコルおよびプロトコルの各々のすべてのフィールドを特定する。

【0069】

本発明によって分析され、特定されるデータパケットPDの例示的な表現が、図4に示され、本発明の説明に使用される上のプロトコルの方式およびそのカプセル化が、例として示される。この表現において、最も外側のデータパケットPDの部分は、物理プロトコルのPDU1レベルに関連し、両方とも詳細に説明されないPDU11のヘッダ部分およびPDU21のデータ部分を備える。PDU21の部分は、TCP/IPプロトコルのPDU2レベルに関連するデータパケットPDの部分をカプセル化する。これは、PDU12のヘッダ部分およびPDU22のデータ部分をやはり備え、特に、ヘッダ部分PDU12は、送信者および受信者の識別データをIPアドレスおよび通信のための対応するポートの形態で含む。最後に、ModbusのPDU3レベルに関連するデータパケットPDの部分が、TCP/IPプロトコルデータのPDU22の部分によってカプセル化される。特に、パケットのPDU3の部分は、少なくとも、与えられるコマンドに応じて値「write」または「read」をとり得る「function code」によって特定される、実行されるアクションの観点での通信の種類、「ID」によって特定される、データパケットが対象とする論理コントローラの識別子、「IR」によって特定される、アクションが実行されるべきアクチュエータまたはセンサーの識別子、および「value」属性によって特定される、「function code」が「write」モードである場合にアクチュエータまたはセンサーの物理的状態に割り当てられる可変属性の値に関連するフィールドを含む。

【0070】

したがって、図5Aおよび図5Bに示される実施形態において、論理コントローラ12に電気的に接続された入力ソレノイドバルブ10は、1に等しいIRによって定義された(アクチュエータの)特定の識別子を持つ。同じようにして、出力ソレノイドバルブ20は、2に等しいIRによって定義された(アクチュエータの)特定の識別子を持つ。たとえば、入力ソレノイドバルブ10の物理的状態に関連する属性の値の読み取りを命じるために、管理ユニット52は、ModbusプロトコルのPDUがフィールド「function code」に値「read」、IDフィールドに値1、IRフィールドに値1を含むデータパケットPDを送信しなければならない。さらなる例において、出力ソレノイドバルブ20の物理的状態に関連する属性の読み取りコマンドは、ModbusプロトコルのPDUがフィールド「function code」に値「read」、IDフィールドに値2、IRフィールドに値1を含むパケットデータPDによって実現される。

【0071】

本発明は、示された実施形態に関連して既に説明された送信アーキテクチャおよび関連するプロトコルと異なる送信アーキテクチャおよび関連するプロトコルの使用も含む。

【0072】

異常検出装置100は、ネットワークアナライザ101に動作可能なように接続された好適なコンピュータ化されたデータ処理手段102をさらに備える。そのようなデータ処理手段102は、ネットワークアナライザ101によって電気通信システムにおいて傍受されたデータを処理することを可能にする。

【0073】

したがって、コンピュータ化されたデータ処理手段102によって、インフラストラクチャ1の仮想的表現を生成する後続のステップが、やりとりされるデータパケットPDの各々に関して、特定されたプロトコルおよびフィールドに基づいて実現される。

【0074】

特に、用語「仮想的表現」は、本発明においては、電気通信システムにおいてやりとりされる各パケットデータPDによって定義されるノードおよび弧の表現を意味する。特に、各データパケットは、送信者のアドレスに関連する少なくとも1つのプロトコルフィールドと、受信者のアドレスに関連する少なくとも1つのプロトコルフィールドとを含む。分析されたデータパケットPDの各々に関して生成される仮想的表現は、アドレスIPまたは通信の送信者もしくは受信者の(一意の)識別子に関連するまたはアドレスに関連するデータパケットのプロトコルのフィールドをノードとして定義することによって得られ、そのようなフィールドは、TCP/IPプロトコルのアドレスIPまたはMACアドレスに関連することが好ましい。したがって、各弧は、単一のデータパケットPD内の送信者と受信者との間の接続によって決定され、弧は、送信者から受信者に向けられている。仮想的表現は、やりとりされるデータパケットPDを構成し、各弧および各ノードの値を定義するすべてのプロトコルの各フィールドのすべての属性に関連する情報に寄って完成される。したがって、用語「仮想的表現」は、グラフィック表現と、グラフィカルインターフェースをまったく生成しない前述のグラフィカルな表現の基礎をなすデータの単なる管理との両方を指す可能性がある。

【0075】

第1のコマンドの前の例において、関連するデータパケットPDは、管理ユニット52のIPアドレスを有するノードと、通信が対象とする論理コントローラ12のIPアドレスを有するさらなるノードとを定義する。したがって、同じ通信から、2つのノードを接続する弧を外挿することが可能であり、その向きが、管理ユニット52によって論理コントローラ12に向けられる。さらに、データパケットPDを構成するプロトコルフィールドの抽出から、ノードに適切な値を割り当てる、たとえば、両方のノードに関して値502に対応するTCP接続ポートと、入力ソレノイドバルブ10に接続されるとき、論理コントローラ12に対応するノードに関して両方とも値1に等しいIDおよびIRとを割り当てることが可能である。さらなるフィールドが、生成される弧に関連する値を定義し、特に、第1のコマンドの場合、これらは、function codeフィールドのread値に対応する一方、valueフィールドは存在しない。

【0076】

同様に、第2のコマンドの前の例において、関連するデータパケットPDは、管理ユニット52のIPアドレスを有するノードと、通信が対象とする論理コントローラ22のIPアドレスを有するさらなるノードとを定義する。したがって、同じ通信から、2つのノードを接続する弧を外挿することが可能であり、その向きが、管理ユニット52によって論理コントローラ22に向けられる。さらに、前の例と同様に、データパケットPDを構成するプロトコルフィールドの抽出から、ノードに適切な値を割り当てる、たとえば、両方のノードに関して値502に対応するTCP接続ポートと、出力ソレノイドバルブ20に接続されるとき、論理コントローラ22に対応するノードに関してそれぞれ値1および2に等しいIDおよびIRとを割り当てることが可能である。さらに、前の例と同様に、さらなるフィールドが、生成される弧に関連する値および特にfunction codeフィールドのread値を定義する一方、valueフィールドは存在しない。

【0077】

そのとき、ネットワークアナライザ101は、電気通信システムを介してやりとりされる各データパケットPDを分析する。データパケットPDの分析は、プッシュモードで実行される、つまり、同じ通信の間の時間間隔に無関係に、通信が行われるときにはいつでも実行される。

【0078】

やりとりされるデータパケットPDの各々に関して生成された仮想的表現を記憶する後続のステップが、揮発性の第1の記憶手段103によって実行される。それぞれの傍受されたデータパケットPDに関して生成されたそれぞれの仮想的表現は、実際には、装置100の、前述のコンピュータ化された手段102に動作可能なように接続された好適な第1の記憶手段103によって記憶される。これらは、揮発性、つまり、非永続的ストレージであることが好ましい。

【0079】

永続的なさらなる第2の記憶手段104は、装置100の一部を形成し、1つまたは複数の比較要素がインフラストラクチャ1のあり得る異常をシグナリングするために生成された仮想的表現を比較することを可能にするので、そのように定義されたそれらの1つまたは複数の比較要素の記憶を可能にする。

【0080】

この点で、コンピュータ化されたデータ処理手段102によって、それは、生成され、記憶された仮想的表現と適切な比較要素との間の相違点および/または類似点の相関関係において、記憶された仮想的表現を、インフラストラクチャ1の1つの危機的状態を特定する少なくとも1つの比較要素と比較するステップも与えられる。

【0081】

好ましくは、比較要素は、インフラストラクチャ1の1つまたは複数の許容された予め定義された表現を含む。比較するステップにおいて、記憶された仮想的表現が許容された予め定義された表現と異なるとき、それは危機的状態のうちの少なくとも1つと特定される。許容され得る表現が特に入力ソレノイドバルブ10ならびに出力ソレノイドバルブ20および関連する論理コントローラ12、22、および管理ユニット52に関連する複数のフィールドおよび可変属性を含むので、ほとんど変数がないにもかかわらず複雑なタイプとして定義された、許容された予め定義された表現の例が、図5Aに示される。

【0082】

出力ソレノイドバルブ20の「value」属性の値を入力ソレノイドバルブ10の対応する値以上の値に設定することによって特徴付けられる、図5Bに示されるように複数の許容され得る予め定義された表現を単一の表現にまとめることによって、比較要素は、アクチュエータおよび/またはセンサーの物理的状態に関連する可変属性の値の1つまたは複数の閾値によって構成される可能性もあり、たとえば、出力ソレノイドバルブ20の「value」フィールドの値は、入力ソレノイドバルブ10の閾値以上の閾値を有する可能性がある。同じようにして、ネットワーク通信に関して許容されない1つもしくは複数の通信プロトコルまたは通信プロトコルに関して許容されない1つもしくは複数のフィールドが、重大な問題を強調する比較要素を定義し得る。

【0083】

さらなる許容され得る表現は、単純なタイプ(図示せず)である、つまり、通信を特徴付ける追加的な可変属性の変動と無関係に単一の可変属性の変動によって決定される可能性がある。前述の前提による許容された予め定義された表現の例は、出力ソレノイドバルブ20の「value」フィールドの100に等しい値の設定に関連する可能性があり、その理由は、この値に関して、インフラストラクチャ1が、いかなる場合も安全状態に保たれるからである。

【0084】

例として図5Aおよび図5Bに示される例示的な表現は、データパケットが前記プロトコルおよびプロトコルの前記フィールドのみによって定義されるかのように、ModbusプロトコルのPDUおよびTCP/IPプロトコルに関連するPDUヘッダに関連するデータパケットPDの部分にのみ関する。完全な表現は、すべてのレベルのためのすべてのプロトコルならびに各プロトコルに関するすべてのフィールドおよびそれらのフィールドの値を含まなければならない。同じようにして、許容され得る表現は、「value」可変属性の値の変動にのみ関連して定義されたが、複数の許容されたプロトコルおよび/または前記プロトコルの属性および/または各属性に関して許容された値によって等価的に定義され、変動を受ける前述の要素の各々に関する許容された予め定義された表現を生じる可能性がある。

【0085】

本発明において、閾値が既に定義され、第2の記憶手段104内に記憶されているときの装置100の動作が示されるが、比較要素がオペレータインターフェースを用いて手動でさらに挿入される可能性がある。この目的のために、オペレータは、制御されるインフラストラクチャまたはそのインフラストラクチャを特徴付ける1つもしくは複数のパラメータに従ってカスタマイズされた比較要素を設計することができる。さらに、仮想化されたインフラストラクチャの一部などの、つまり、電気通信システムにおいて許容された限られたノード、通信を指示する可能な弧、許容されたプロトコル、各プロトコルに関して許容されたフィールド、およびプロトコルの各フィールドに関して許容された値を表す比較要素を定義することが可能である。同様に、オペレータは、監視されるインフラストラクチャの正しい動作に適合しない前述の要素のうちの1つもしくは複数のまたはそれらの要素の組合せを受け入れられ得る表現から除外することができる。

【0086】

好ましい実施形態において、第2の記憶手段104は、上の許容された予め定義された表現のうちの1つまたは複数をメモリ内に保持することを可能にし、特に、それらを不揮発性のサポート(support)に記憶する。

【0087】

最後に、インフラストラクチャ1の異常をシグナリングするさらなるステップにおいて、危機的状態のうちの少なくとも1つが生成され、記憶された仮想的表現において特定されるとき、コンピュータ化されたデータ処理手段102によってそれが実行される。したがって、本発明による異常検出装置100は、インフラストラクチャ1の仮想的表現の各々を定義された危機的状態と比較することを可能にし、仮想的表現内の危機的状態の存在による問題を特定する。たとえば、インフラストラクチャ1において、異常は、アクチュエータ10、20、またはソレノイドバルブが正しく動作することをやめ、導管30における圧力上昇の少なくとも潜在的な危険がある運転活動、たとえば、以下のフィールド、すなわち、0に等しい、つまり閉じている出力ソレノイドバルブ20を通じた流体の通路の断面に対応する可変属性の値に対応するProtocol = Modbus、Function code = Write、ID = 2、IR = 1、Value = 0によって特徴付けられるデータパケットPDを生じる場合に起こり得る。同様に、異常は、電気通信システムへの不法侵入または論理コントローラ12、22、32によって構成される1つもしくは複数のノードにおけるマルウェアの使用を通じた、または管理ユニット54からの、またはModbusの代わりにDNP3プロトコルを使用するなど異なる通信プロトコルを使用した第三者による侵入または攻撃が発生した場合に起こる可能性がある。

【0088】

したがって、重大な問題があると評価された場合、装置100は、産業インフラストラクチャ1の異常の存在を、可能なオペレータに、適切なグラフィックインターフェースまたはヒューマンマシンインターフェース(HMI)によってシグナリングすることができる。

【0089】

前述の実施形態において、検出装置100を構成するすべての構成要素は、説明されたように、分離しており、互いに動作可能なように接続される構成要素からなる。代替的な実施形態において、一部の構成要素は、その代わりに単一の構造によって定義されるか、または装置100に動作可能なように接続されるがやはり装置100自体の外の部分である可能性がある。

【0090】

そのような異なる実施形態の例が、下に示される。ネットワークアナライザおよびデータ処理手段は、たとえば、単一のデバイスからなり、したがって、システムの仮想的表現を処理する際のより速い速度を可能にする可能性がある。同様に、第1のおよび第2の記憶手段も、たとえば、単一のストレージデバイスをパーティショニングすることによっておよび対応するパーティションを2つの異なる用途に割り振ることによって単一のデバイスにより実現される可能性がある。最後に、単一のデバイスは、たとえば、書き込みの大幅な削減を可能にする前述の要素のうちの1つまたは複数を含む可能性がある。

【0091】

本発明による装置100は、それがあり得る異常をシグナリングするために使用される前述の動作ステップの前に学習ステップにおいても使用されることが好ましい。前述の学習ステップまたは危機的状態を定義するステップにおいて、危機的状態が定義されるか、または非危機的状況であるものが必要に応じて変更を加えて定義され、ネットワークアナライザ101が、電気通信システム内を通過する各データパケットを分析することと、各データパケットに関して使用されるプロトコルおよび前述のプロトコルの少なくとも1つのフィールド、好ましくは、使用されるすべてのネットワークプロトコルおよびプロトコルの各々のすべてのフィールドを特定することとによって前述の同じ機能を実行する。

【0092】

学習ステップの特有の特徴は、前述のステップを実行すべき時間間隔の定義であり、つまり、分析され、特定されるデータパケットは、前述の予め定義された時間間隔中に生成されたデータパケットだけである。時間間隔の値は、制御されるインフラストラクチャの種類に応じてユーザによって、ならびに/あるいは通信の頻度、およびしたがってデータパケットの生成、またはさらに存在するアクチュエータもしくはセンサーの数などのその他の変数の相関関係において定義され得る。時間間隔の値を増やすことによって、より多い数のデータパケットを分析するステップおよび特定するステップを実行することが可能になり、したがって、あり得る異常を特定し、定義する装置100の能力を高める。

【0093】

各データパケットのために使用されるプロトコルおよび前述のプロトコルの少なくとも1つのフィールドを特定するステップに続いて、インフラストラクチャ1の集約された仮想的表現を生成するステップが、コンピュータ化されたデータ処理手段によって実行される。そのような集約された仮想的表現は、所定の時間間隔中にやりとりされる各データパケットによって特定されたプロトコルおよびプロトコルのフィールドに基づいて実行される。

【0094】

したがって、集約された仮想的表現は、インフラストラクチャ1を特徴付け、電気通信システム内を運ばれた情報の組に対応する。

【0095】

前述の種類の表現が、図5Cに例として示される。この表現においては、たとえば、12時間に等しい所定の時間内に、下で説明される特徴によって送信された複数のデータパケットPDが、電気通信システム内を運ばれたと仮定される。管理ユニット52と入力ソレノイドバルブ10に接続された論理コントローラ12との間で定義された弧上では、以下のフィールド、すなわち、Protocol = Modbus、Function code = Read、ID = 1、IR = 1によって特徴付けられるデータパケットPDのみが送信される。実際、論理コントローラは、入力ソレノイドバルブ10によって取られる可変属性の値を読み取る要求のみを受信した。入力ソレノイドバルブ10に対応するノードは、10～50、60～75に等しい、Valueフィールドによって定義された可変属性値を取った。管理ユニット52と出力ソレノイドバルブ20に接続された論理コントローラ22との間で定義された弧上では、以下のフィールド、すなわち、Protocol = Modbus、Function code = Read、ID = 2、IR = 1 e Protocol = Modbus、Function code = Write、ID = 2、IR = 1、Value = 15-30; 45-60; 75-85によって特徴付けられるデータパケットPDのみが運ばれる。実際、論理コントローラは、出力ソレノイドバルブ20によって取られる可変属性の値を読み取る要求を受信するが、値の範囲15～30、45～60、75～85内で取られる値を有する前述の可変属性の設定の要求も受信する。出力ソレノイドバルブ20に対応するノードは、10～40、45～60、65～90に等しい、Valueフィールドによって定義された可変属性値を取った。最後に、管理ユニット52とインフラストラクチャのいかなるアクチュエータおよび/またはセンサーにも接続されない論理コントローラ32との間にはデータパケットPDのやりとりがなかったので、図5Cの集約された仮想的表現には前述の論理コントローラ32の表現がない。

【0096】

たとえば、図5Cに示されることによる集約された仮想的表現を記憶するさらなるステップが、それを不揮発性のサポート上のメモリ内に保持することを可能にする第2の記憶手段104に記憶される。したがって、そのような集約された仮想的表現は、複数の許容され得る表現に対応し、したがって、危機的状態を特定する後続のステップが、前の集約された仮想的表現の補完(complement)によって、または集約された仮想的表現に含まれない仮想的表現を危機的状態として特定することによって実行される。

【0097】

好ましくは、学習ステップは、インフラストラクチャ1がネットワークに接続されないときにおよび標準的な動作中に実現され、それによって、外からの干渉の可能性を最小化し、正常な動作条件の下にあるときにインフラストラクチャ1によって取られる状態に関連する集約された仮想的表現を特定することを可能にする。

【0098】

学習ステップの後、異常検出装置100は、前の説明に準じて、インフラストラクチャ1の異常を検出するための方法に従って電気通信システムにおいてやりとりされる各データパケットを分析してすべての危機的状態を特定することによって動作を続ける。したがって、危機的状態は、たとえば、やりとりされるデータパケットPDのうちの1つが以下のフィールド、すなわち、Protocol = Modbus、Function code = Read、ID = 3、IR = 1によって特徴付けられた場合に特定される。そのような表現は、前述のように、いかなるセンサーおよび/またはアクチュエータにも動作可能なように接続されない論理コントローラ32に接続された構成要素の物理的状態を問い合わせることに対応し、したがって、学習ステップにおいて検出されたことに関連して異常、つまり、危機的状態を生じる。同様に、危機的状態は、やりとりされるデータパケットPDのうちの1つが以下のフィールド、すなわち、Protocol = Modbus、Function code = Write、ID = 1、IR = 1、Value = 91によって特徴付けられる場合に特定され、つまり、そのような表現は、入力ソレノイドバルブ10の物理的状態を、学習ステップ中に前に特定されなかった91に等しい値に設定することに対応する。さらに、危機的状態は、たとえば、やりとりされるデータパケットPDのうちの1つが以下のフィールド、すなわち、Protocol = DNP3、Function code = Write、ID = 1、IR = 1、Value = 60によって特徴付けられた場合に特定される。そのような表現は、前の表現とは異なり、入力ソレノイドバルブ10の物理的状態を60に等しい値に正しく設定することに対応し、したがって、学習ステップ中に既に特定された値の中に収まるが、ただし、そのプロトコルが学習ステップ中に特定されなかったので誤ったプロトコルを使用することによる。

【0099】

したがって、異常検出装置100は、インフラストラクチャ1の後続の仮想的表現を定義された許容され得る表現と比較することを可能にし、あり得る不一致を特定する。重大な問題があると評価された場合、装置100は、したがって、前記インフラストラクチャ1の異常の存在を、可能なオペレータに、適切なグラフィックインターフェースまたはヒューマンマシンインターフェース(HMI)によってシグナリングする。

【0100】

さらなる実施形態によれば、比較するステップは、連続して生成された仮想的表現のうちの2つ以上の比較をさらに含む。そのような場合、比較するステップは、後続の仮想的表現と比較要素との間の相違点の中でインフラストラクチャの少なくとも1つの危機的状態を特定する。そのような目的で、本発明による装置のコンピュータ化されたデータ処理手段は、使用中、2つ以上の連続する仮想的表現を比較する。同じコンピュータ化されたデータ処理手段は、後続の仮想的表現と比較要素との間の相違点の中でインフラストラクチャの少なくとも1つの危機的状態を特定し、シグナリングする。

【0101】

そのような場合、危機的状態は、2つの後続の仮想的表現の間の相違点のみを評価することによって生成される可能性がある。たとえば、入力バルブ10の物理的状態に関連する値の設定が、学習ステップと同様に受け入れられ得る値の範囲内に入る値になされる可能性があるが、危機的状況は、この設定につながりがある2つの仮想的表現の間の相違点の評価においてバルブの物理的状態に関連する前述の値の間の相違点が大きすぎた場合にはやはり生み出される可能性がある。

【0102】

その上、さらなる実施形態によれば、比較要素は、後続の仮想的表現のうちの2つ以上の間の通信の頻度の閾値を含む可能性がある。そのような場合、比較するステップは、連続して生成された仮想的表現のうちの2つ以上を比較し、論理コントローラの間、および/または論理コントローラとセンサーもしくはアクチュエータとの間、および/または論理コントローラと管理ユニットとの間の通信の頻度を特定することをさらに含む。この点で、危機的状態は、通信の頻度に関する閾値によって特定される。この目的のために、ネットワークアナライザは、論理コントローラの間、および/または論理コントローラとセンサーもしくはアクチュエータとの間、および/または論理コントローラと管理ユニットとの間の通信の頻度を特定するように適合され、比較要素は、通信の頻度に関する閾値を含む。同時に、コンピュータ化されたデータ処理手段は、検出された通信の頻度の少なくとも1つの閾値が超えられるときに危機的状態のうちの少なくとも1つを特定する。

【0103】

たとえば、一連のデータパケットPDが、入力ソレノイドバルブ10の物理的状態を、したがって、インフラストラクチャ1の状態に関して技術的に許容可能な後続の減少する値に設定する可能性がある。しかし、危機的状態は、物理的状態の前述の値が修正される頻度、つまり、関連するデータパケットPDの頻度が高すぎる、たとえば、予め定義された値を超えている場合に特定される可能性がある。そのような危機的状態は、インフラストラクチャ1の物理的プロセスが変更要求に正しく従うことなどのための反応/適合時間を持たないという事実から生じる可能性がある。

【0104】

さらなる態様によれば、方法は、連続して生成された仮想的表現のうちの2つ以上を比較し、論理コントローラの間、および/または論理コントローラと管理ユニットとの間、および/または論理コントローラとセンサーもしくはアクチュエータとの間の1つまたは複数の通信シーケンスを特定するステップを含む可能性がある。そのような場合、危機的状態は、許容され得ない通信シーケンスを含む。この目的のために、コンピュータ化されたデータ処理手段は、使用中、連続して生成された仮想的表現のうちの2つ以上を比較し、論理コントローラの間、および/または論理コントローラと管理ユニットとの間、および/または論理コントローラとセンサーもしくはアクチュエータとの間の1つまたは複数の通信の頻度を特定し、比較要素は、許容され得ない通信シーケンスを含む。したがって、コンピュータ化されたデータ処理手段は、少なくとも1つの特定された通信シーケンスが許容され得ない通信シーケンスに対応するときに危機的状態のうちの少なくとも1つを特定する。

【0105】

シーケンスの評価は、たとえば、入力ソレノイドバルブ10および出力ソレノイドバルブ20の物理的状態に関連する、評価される変数の間の相関の評価に対応する可能性がある。たとえば、シーケンスは、出力ソレノイドバルブ20の物理的状態の値がまず減少するものとして設定され、そして、入力ソレノイドバルブ10の物理的状態の値が増加するものとしてその後設定される危機的状態を生じる可能性がある。

【0106】

好ましくは、方法は、センサーおよび/またはアクチュエータおよび/または管理ユニットおよび/または値および/または通信プロトコルおよび/またはプロトコルフィールドの各々に関するリスク値を定義するステップをさらに含み、リスク値は、第1のまたは第2の記憶手段に記憶され、仮想的表現を生成するステップは、リスク値をそれぞれの仮想的表現に関連付け、リスクの仮想的表現を生成するさらなるステップを含む。

【0107】

各構成要素に関するリスクを特定するか、または同じ論理コントローラもしくは同じ管理ユニットに接続された構成要素に関する単一のリスクを計算することが可能である。たとえば、リスクの特定は、1から10までの値の割り当てを含む可能性があり、増加する値は、増加するリスクに対応し、論理コントローラまたは管理ユニットに関するリスク計算が、それらの論理コントローラまたは管理ユニットに接続された要素の最大リスク値を特定することによって実行される可能性がある。

【0108】

方法は、産業構成要素の間、および/もしくは管理ユニットの間、および/もしくは産業構成要素と管理ユニットとの間の通信の頻度に基づいて、ならびに/または可変属性の値および/もしくは使用されるプロトコルおよび/もしくはネットワークアナライザによって特定されたプロトコルの属性に基づいて、コンピュータ化されたデータ処理手段によってリスク値を自動的に計算するステップをさらに含む。

【0109】

リスク値の自動計算は、好ましくは、機械学習技術によって、たとえば、論理コントローラまたは管理ユニット内のコードの複雑さを評価することによって、単一の論理コントローラに接続されたMTUの数を評価することによって実行される。

【符号の説明】

【0110】

1 インフラストラクチャ
10 アクチュエータ、ソレノイドバルブ
11 物理的アーキテクチャ
12 論理コントローラ、PLC
20 アクチュエータ、ソレノイドバルブ
21 電気的/電子的アーキテクチャ
22 論理コントローラ、PLC
30 導管
32 論理コントローラ、PLC
52 管理ユニット
100 異常検出装置
101 ネットワークアナライザ
102 データ処理手段
103 第1の記憶手段
104 第2の記憶手段
502 TCPポート
PD データパケット

【図1】

【図2】

【図3】

【図4】

【図5A】

【図5B】

【図5C】