メソッドの説明

これは、操作技術(SCADA、IoTおよびICSシステム)の統計モデルを用いた正常な振る舞いの特徴付けに基づく、異常な振る舞いの検知メソッドです。この特殊メソッドでは、統計モデルを使用して、新しいフローのシーケンスを正常または異常のいずれかに分類します。このメソッドでは、ネットワーク内の監視対象デバイスごとに個別のモデルを作成します。IEC 104プロトコルを使用して通信するデバイスの場合、MonitoredMastersパラメータを設定する必要があります。このパラメータは、潜在的な異常を監視するデバイスを指定します。

このメソッドは、以下のサブメソッドで構成されます。

• IEC104: IEC 104プロトコルを使用して通信するデバイス間の異常な通信をレポートします。
• GOOSE: GOOSEプロトコルを使用して通信するデバイス間の異常な通信をレポートします。

メソッド設定

このメソッドは、標準的なコンピュータネットワークトラフィックのモニタリングには使用せず、操作技術(OT)にのみ使用してください。また、特定のフローフィールドを持つOTデータフィードが必要です(詳細については、データフィードページを参照)。新しいデバイスがネットワークに追加された場合は、メソッドインスタンスを再起動してモデルを再学習する必要があります。トラフィックの適切な監視場所は中央のスイッチです。

メソッドパラメータ

• LearningDuration: 学習期間(単位: 時間)。この期間中、メソッドインスタンスはイベントを生成しません。デフォルト値は24時間です。

• Tolerance: 検知の感度。この値は報告されるイベント数に影響を与えます。値が大きいほどメソッドの許容度が高くなり、イベント数が少なくなります。

• MeanCount: 統計モデルに含まれる前に平均化される値の数。このパラメータの値を大きくすると、極端な値の悪影響を軽減することができます。

フィルタの割り当て

このフィルタは、送信元IPアドレスを制限するために使用されます。

結果の解釈

このイベントは、IEC 104またはGOOSEプロトコルを使用して通信する新しいデバイスがネットワークに追加されたことで発生する場合も、デバイスの誤動作や設定ミスを示す場合もあります。また、このメソッドの学習期間中に非標準フローが処理されると、その後、同様の非標準フローが検出されなくなる可能性があります。