メソッドの説明

これは、操作技術(SCADA、IoTおよびICSシステム)の統計モデルを用いた正常な振る舞いの特徴付けに基づく、異常な振る舞いの検知メソッドです。この特殊メソッドでは、確率的オートマトンを使用してトラフィックモデルを作成し、学習します。学習された通信パターンに基づいて、新しいフローのシーケンスを正常または未知のいずれかに分類することが可能です。このメソッドでは、BatchDurationのフローも収集し、新しいオートマトンを作成して学習済みモデルと比較します。

このメソッドは、以下のサブメソッドで構成されます。

• IEC104: IEC 104プロトコルを使用して通信するデバイス間の異常な通信をレポートします。

メソッド設定

このメソッドは、標準的なコンピュータネットワークトラフィックのモニタリングには使用せず、操作技術(OT)にのみ使用してください。また、特定のフローフィールドを持つOTデータフィードが必要です(詳細については、データフィードページを参照)。新しいデバイスがネットワークに追加された場合は、メソッドインスタンスを再起動してモデルを再学習する必要があります。検出数が多い場合は、ModelToleranceまたはThresholdパラメータ値を増やすことをお勧めします。ModelTolaranceパラメータを変更した場合、メソッドインスタンスを再学習しないと、そのパラメータは有効になりません。トラフィックの適切な監視場所は中央のスイッチです。

メソッドパラメータ

• LearningDuration: 学習期間(単位: 時間)。この期間中、メソッドインスタンスはイベントを生成しません。デフォルト値は24時間です。

• ModelTolerance: 学習済みモデルの詳細度を定義します。このパラメータの値を小さくすると、ネットワーク通信のより詳細なモデルが生成され、その後、生成されるイベント数が多くなる可能性があります。値を大きくすると、より一般的なモデルになり、生成されるイベント数が少なくなる可能性があります。1～100の整数で定義します。デフォルト値は20です。

• Threshold: 検知の閾値。このパラメータの値を大きくすると、イベント数は少なくなります。1.0～10.0の浮動小数点数です。デフォルト値は5.0です。

• BatchDuration: 学習済みモデルと比較する前にネットワークデータを収集する期間を定義します。値は、5分、10分、15分、または最大30分から選択できます。デフォルト値は5分です。

フィルタの割り当て

このフィルタは、送信元IPアドレスを制限するために使用されます。

結果の解釈

このイベントは、IEC 104プロトコルを使用して通信する新しいデバイスがネットワークに追加されたことで発生する場合も、デバイスの誤動作や設定ミスを示す場合もあります。また、このメソッドの学習期間中に非標準フローが処理されると、その後、同様の非標準フローが検出されなくなる可能性があります。