BROKENSEN – センサの故障

メソッドの説明

このメソッドは、安定した量のデータを定期的に転送する(IoTやSCADAのような環境での)アクティブなセンサの監視を目的としています。1組のデバイス(通常は、センサと制御ステーション)間での通信に関して、次の通信の統計を監視します。

• パケットあたりのバイト数

• 通信の周期

• 通信の時間

• 送信パケット数

監視は、両方向の通信(要求と応答)で別々に実行されます。このメソッドの目的は、これらの統計が大幅に変化しているかどうかを検知することです(検知の感度を調整するには、後述のパラメータを使用)。このメソッドの原理は機械学習に基づいています。LearningDurationパラメータで指定した期間、あるいは任意の通信方向で収集されたフロー数がMinimalCoverageパラメータで指定した値に到達するまで、1組のデバイスの分類器が学習状態になります。

このメソッドは、以下のサブメソッドで構成されます。

• Bytes: センサとコントローラとの間で送信されたデータの平均量を監視し、これらのデバイスの任意の組み合わせで、この量が著しく変化した場合にレポートします。

• Duration: センサとコントローラとの間での通信の平均時間を監視し、これらのデバイスの任意の組み合わせで、この時間が著しく変化した場合にレポートします。

• Packets: センサとコントローラとの間で送信されたパケットの平均数を監視し、これらのデバイスの任意の組み合わせで、この数が著しく変化した場合にレポートします。

• Period: センサとコントローラとの間での通信の平均周期(正確には、これらのデバイスの通信頻度(例: 1分おき))を監視し、これらのデバイスの任意の組み合わせで、この周期が著しく変化した場合にレポートします。

メソッド設定

このメソッドは、センサおよび制御ステーションに属するIPアドレスだけに適用することをお勧めします。他のすべてのIPアドレスが制御範囲に入っていると、誤検知が大量に発生することがあります。トラフィックの適切な監視場所は中央のスイッチです。

メソッドパラメータ

• IgnoreShorterPeriods: 訓練済みの期間より短い期間が経過した後の送信によって発生したイベントの除外を有効にします。通信周期が増加した場合にのみ、イベントが生成されます。

• PeriodTolerance: 通信周期に関する訓練済みの分類器からの許容偏差(パーセンテージ)。このパラメータの値が0の場合、通信周期は監視されません。

• MinimalCoverage: 1組のデバイス間で任意の方向に送信する必要のあるフローの数を指定します。それぞれの方向で、この数のフローが送信されると、学習フェーズから検知フェーズへと切り替わります。このパラメータを使用して、LearningDurationパラメータで指定した時間が過ぎる前に検知フェーズを開始します。値が0に設定されている場合、このパラメータは使用されません。

• BytesTolerance: パケットメトリックあたりのバイト数に関する訓練済みの分類器からの許容偏差(パーセント)。このパラメータの値が0の場合、メトリックは監視されません。

• PacketsTolerance: 送信済みパケットの数に関する訓練済みの分類器からの許容偏差(パーセント)。このパラメータの値が0の場合、メトリックは監視されません。

• DurationTolerance: 通信メトリックの期間に関する訓練済みの分類器からの許容偏差(パーセンテージ)。このパラメータの値が0の場合、メトリックは監視されません。

• ClassifierTolerance: 連続的な事象の更新の数を指定して、それぞれの方向での特定の組み合わせのデバイスに対応する訓練された分類器をリセットします。変更されたネットワークの振る舞いに適応するように、分類器が再度訓練されます。このパラメータの値が0の場合、分類器のデータは消去されません。

• LearningDuration: 学習フェーズの長さを指定します(単位: 時間)。

フィルタの割り当て

このフィルタは、送信元IPアドレスおよび宛先IPアドレスを制限するために使用されます。割り当てられたフィルタに両方のデバイスのIPアドレスを含める必要があります。

結果の解釈

このメソッドでは、センサまたは制御ステーションの振る舞いに異状があると警告が出ます。このメソッドが正しく機能するためには、センサの不具合が原因で発生する標準の振る舞いからの偏差の大きさと頻度について、検討する必要があります。