メソッドの説明

これは、操作技術(SCADA、IoTおよびICSシステム)の統計モデルを用いた正常な振る舞いの特徴付けに基づく、異常な振る舞いの検知メソッドです。この特殊メソッドでは、K平均クラスタリングアルゴリズムを使用して、トラフィックをクラスタの集合体としてモデル化します。識別された正常なフローのクラスタに基づいて、新しいフローを正常または未知のいずれかに分類することができます。

このメソッドは、以下のサブメソッドで構成されます。

• Modbus: Modbusプロトコルを使用して通信するデバイス間の異常な通信をレポートします。
• DNP3: DNP3プロトコルを使用して通信するデバイス間の異常な通信をレポートします。
• IEC104: IEC 104プロトコルを使用して通信するデバイス間の異常な通信をレポートします。
• GOOSE: GOOSEプロトコルを使用して通信するデバイス間の異常な通信をレポートします。

メソッド設定

このメソッドは、標準的なコンピュータネットワークトラフィックのモニタリングには使用せず、操作技術(OT)にのみ使用してください。また、特定のフローフィールドを持つOTデータフィードが必要です(詳細については、データフィードページを参照)。新しいデバイスがネットワークに追加された場合は、メソッドインスタンスを再起動してモデルを再学習する必要があります。検出数が多い場合は、Toleranceパラメータ値を増やすことをお勧めします。トラフィックの適切な監視場所は中央のスイッチです。

メソッドパラメータ

• LearningDuration: 学習期間(単位: 時間)。この期間中、メソッドインスタンスはイベントを生成しません。デフォルト値は24時間です。

• Tolerance: 1.0～10.0の浮動小数点数で定義される検知の感度。この値は報告されるイベント数に影響を与えます。値が大きいほどメソッドの許容度が高くなり、イベント数が少なくなります。

フィルタの割り当て

このフィルタは、送信元IPアドレスを制限するために使用されます。

結果の解釈

このイベントは、サポートされているプロトコルの1つを使用して通信する新しいデバイスがネットワークに追加されたことで発生する場合も、デバイスの誤動作や設定ミスを示している場合もあります。また、このメソッドの学習期間中に非標準フローが処理されると、その後、同様の非標準フローが検出されなくなる可能性があります。