本发明专利技术的目的是链接多个工业控制系统并且在多个工业控制系统中检测异常。在多个控制系统中检测异常的异常检测系统包括多个分析设备,多个分析设备被设置用于与多个控制系统中的每个控制系统对应,获取对应控制系统出现的事件以及分析获取的事件是否为异常。多个分析设备中的第一分析设备评估是否应当向多个分析设备中的第二分析设备通知对应控制系统出现的事件。在第一分析设备向第二分析设备通知的事件与除了第一分析设备之外的分析设备向第二分析设备通知的事件之间存在相关性的条件下,第二分析设备确定异常已经出现。
【技术实现步骤摘要】
【国外来华专利技术】【专利摘要】本专利技术的目的是链接多个工业控制系统并且在多个工业控制系统中检测异常。在多个控制系统中检测异常的异常检测系统包括多个分析设备,多个分析设备被设置用于与多个控制系统中的每个控制系统对应,获取对应控制系统出现的事件以及分析获取的事件是否为异常。多个分析设备中的第一分析设备评估是否应当向多个分析设备中的第二分析设备通知对应控制系统出现的事件。在第一分析设备向第二分析设备通知的事件与除了第一分析设备之外的分析设备向第二分析设备通知的事件之间存在相关性的条件下,第二分析设备确定异常已经出现。【专利说明】用于在多个控制系统中检测异常的异常检测系统
本专利技术涉及一种用于在多个控制系统中检测异常的异常检测系统。
技术介绍
已知管理和控制工业和基础结构系统的工业控制系统(ICS)(例如参见非专利文献I)。大部分常规工业控制系统未与外部网络连接并且用特定协议操作。然而近来的工业控制系统越来越多地通过通用协议、诸如网际协议,而与外部网络连接。这使得多个工业控制系统能够相互协作。第2007-506353号国际专利申请的国家公布〃SCADA〃,(在线),Wikipedia,(搜索于2011年3月30日),因特网,URL: http://ja.wikipedia.0rg/wiki/SCADA
技术实现思路
工业控制系统连续地监视它们的内部设备中的异常;然而多个工业控制系统尚未协作地监视异常。为了解决问题,本专利技术的第一方面提供一种用于在多个控制系统中检测异常的异常检测系统,该异常检测系统包括多个分析设备,多个分析设备与相应控制系统关联,获取在关联的控制系统中出现的事件并且分析事件以确定是否存在异常,其中在多个分析设备之中的第一分析设备确定是否将向在多个分析设备之中的第二分析设备指示在关联的控制系统中出现的事件;并且在第一分析设备所指示的事件与除了第一分析设备之外的分析设备所指示的事件具有相关性的条件下,第二分析设备确定存在异常。也提供一种用于该系统的方法和程序。
技术实现思路
部分未列举本专利技术的所有基本特征。这种特征的子组合也可以在本专利技术内。【专利附图】【附图说明】图1示出根据本专利技术的一个实施例的计算系统10的配置;图2示出根据实施例的第一分析设备30-1和第二分析设备30-2的配置;图3示出根据实施例的第一分析设备30-1和第二分析设备30-2的过程流程;图4示出第一分析设备30-1获取的事件的示例和第一分析设备30-1发送的事件的示例;图5示出用于隐藏附加信息的表的示例;以及图6示出根据实施例的计算机1900的示例硬件配置。【具体实施方式】尽管以下参照本专利技术的实施例描述本专利技术,但是实施例未旨在于限制要求保护的本专利技术。另外,并非在实施例中阐述的特征的所有组合对于本专利技术的解决方案都是必需的。图1示出根据一个实施例的计算系统10的配置。该实施例的计算系统10包括多个控制系统20、多个分析设备30以及网络40。控制系统20中的每个控制系统是由多个互连的计算机和设备构成的系统。每个控制系统20可以例如是用于管理和控制工业或者基础结构(例如交通、能源)系统的对象的工业控制系统(ICS)。在这一情况下,控制系统20具有多个设备、用于控制这些设备的可编程逻辑控制器(PLC )、服务器等。每个控制系统20可以例如是用于管理连接到大楼内的网络的各种设备的系统(例如用于电力、天然气、水、空调或者安全的系统)。每个控制系统20也可以是大型控制系统的部分系统。例如每个控制系统20可以是构成负责管理整个城市的系统的部分管理系统(例如用于管理大楼、工厂、供水、电力等的系统)。控制系统20也可以例如是用于管理与办公室或者住宅网络连接的各种设备(例如电话、复印机)的系统。控制系统20也可以是用于管理与公司等内的网络连接的计算机的系统,或者用于管理与数据中心等的网络连接的大量服务器的系统。分析设备30分别与控制系统20关联。每个分析设备30可以与一个或者两个或者更多控制系统20关联。每个分析设备30获取在关联的控制系统20中出现的事件并且分析事件以确定在控制系统20中是否存在异常。事件例如是指在控制系统20中的关联控制系统中出现的、并且可以由传感器或者计算机检测的事变。例如事件可以是为控制系统20内的设备等提供的、由传感器检测的物理量(诸如电力、温度、湿度、质量、体积和流速)。事件也可以例如是向和从控制系统20内的信息处理器等输入和输出的数据的测量(例如数据速率、对数据发送和接收的响应以及误差率)。事件也可以是控制系统20中的设备的状态(例如操作/非操作,以及操作模式),或者构成控制系统20中的信息处理器的资源的状态(例如存储器使用量、处理器利用率)。每个分析设备30获取在关联控制系统20中出现的事件并且确定是否获取到预定义的事件。当获取到预定义的事件时,每个分析设备30确定在关联控制系统20中是否存在异常。当确定关联控制系统20具有异常时,分析设备30执行用于处置异常的处理。网络40连接在控制系统20与分析设备30之间以在它们之间实现数据发送和接收。网络40根据通用协议、例如网际协议来传输数据。图2示出根据本实施例的第一分析设备30-1和第二分析设备30-2的配置。根据本实施例的计算系统10中的分析设备30相互协作以作为用于在控制系统20中检测异常的异常检测系统而工作。更具体而言,在分析设备30之中的第一分析设备30-1向在分析设备30之中的第二分析设备30-2指示从关联控制系统20获取的事件。第二分析设备30-2然后确定在来自第一分析设备30-1的事件与来自除了第一分析设备30-1之外的分析设备30的事件之间是否具有相关性,并且如果它们具有相关性则确定存在异常。在本实施例中,在计算系统10中包括的分析设备30中的至少一个分析设备作为第二分析设备30-2工作。除了第二分析设备30-2之外的其他分析设备30作为第一分析设备30-1工作。第一分析设备30-1至少包括分析单元50,该分析单元获取在关联控制系统20中出现的事件并且分析事件以确定控制系统是否具有异常。第二分析设备30-2至少包括分析控制单元70,该分析控制单元确定在控制系统20中的任何控制系统中是否存在异常。第二分析设备30-2还可以包括分析单元50。分析单元50包括获取单元52、确定单元54、标准化单元56、隐藏单元58、事件发送单元60、异常接收单元62和监视单元64。分析控制单元70包括事件接收单元72、相关性检测单元74和异常发送单元76。获取单元52获取在关联控制系统20中出现的事件。例如获取单元52获取位于控制系统20内的某些点处的物理传感器所检测的物理量(诸如电力、温度、湿度、质量、体积和流速)作为事件。获取单元52也可以例如获取向和从控制系统20内的信息处理器等输入和输出的数据的测量(例如数据速率、对数据发送和接收的响应,以及误差率)作为事件。获取单元52也可以获取控制系统20内的设备的状态或者构成控制系统20中的信息处理器的资源的状态(例如存储器使用量、处理器利用率)作为事件。确定单兀54基于获取的事件来确定关联控制系统20是否具有异常。例如确定单元54确定获取的事件是否具有预定值。例如在传感器检测到的物理量落在预定正常范围以外时,确定单元54确定关联控制系统本文档来自技高网...
【技术保护点】
一种用于在多个控制系统中检测异常的异常检测系统,所述异常检测系统包括:多个分析设备,所述多个分析设备与相应的控制系统关联,所述多个分析设备获取在关联控制系统中出现的事件并且分析所述事件以确定是否存在异常,其中:在所述多个分析设备之中的第一分析设备确定是否将向在所述多个分析设备之中的第二分析设备指示在所述关联控制系统中出现的事件;并且在所述第一分析设备指示的所述事件与除了所述第一分析设备之外的分析设备指示的事件具有相关性的条件下,由所述第二分析设备确定存在异常。
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:工藤道治,浦本直彦,秋山一人,
申请(专利权)人:国际商业机器公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。