【技术实现步骤摘要】
概括地说,本申请涉及过程或工业工厂通信系统,具体地说,本申请涉及基于工厂通信网络中的消息业务异常检测来检测控制和维护通信网络(如,在过程和工业控制系统中使用的那些)的入侵。
技术介绍
诸如分布式或可扩展的过程控制系统(如,发电、化工、石油或者其它制造过程中使用的那些过程控制系统)之类的过程或工业控制和维护系统通常包括彼此之间通信耦合的一个或多个控制器,这些控制器经由过程控制网络来通信耦合到至少一个主机或操作者工作站,经由模拟、数字或组合的模拟/数字总线来通信耦合到一个或多个现场设备。现场设备(其可以例如是阀门、阀门定位器、开关和发送器(例如,温度、压力和流速传感器))在过程或工厂中执行一些功能,例如,打开或关闭阀门,打开和关闭设备,以及测量过程参数。控制器接收用于指示现场设备所执行的过程或工厂测量值和/或关于该现场设备的其它信息的信号,使用该信息来实施一个或多个控制例程,随后生成通过该工厂网络的总线或通信信道来向现场设备发送的控制信号,以控制该过程或工厂的操作。来自于现场设备和控制器的信息通常经由通信网络而可用于由操作者工作站执行的一个或多个应用,以使操作者或维护人员关于该过程或工厂执行任何期望的功能,例如,查看工厂的当前状态、改变工厂的操作、对设备进行校准、检测故障设备等等。在操作期间,过程控制器(其通常位于过程工厂环境之中)根据某种配置方案进行配置,以便周期地或定期地接收用于指示现场设备所执行的或者与其相关联的过程测量值或过程变量和/或关于该现场设备的其它信息的信号,并使用该信息来执行控制器应用。进行过程控制判断的控制器应用实施(例如,不同的控制模块...
【技术保护点】
一种在具有多个网络节点的通信网络中使用的异常检测系统,所述多个网络节点通过通信链路来通信地耦合,所述异常检测系统包括:多个消息模块,其中所述多个消息模块中的每一个消息模块在所述网络节点中的一个网络节点处的处理器上执行,以检测所述网络节点处的消息业务,并生成关于所述网络节点处的所述消息业务的元数据;分析引擎,所述分析引擎存储在耦合到所述通信网络的处理设备中并在所述处理设备处被执行,所述分析引擎包括:元数据存储器,控制器,其在所述处理设备的处理器上进行执行以从所述多个消息模块接收关于所述网络节点中的每一个网络节点的所述元数据,并将所接收的元数据存储在所述元数据存储器中,规则数据库,其存储逻辑规则集,规则引擎,其在所述处理设备的处理器上进行执行,以使用所述规则数据库中所存储的所述逻辑规则来对所述元数据存储器中所存储的所述元数据进行处理,以检测所述通信网络中的业务模式异常,以及通知模块,其在所述处理设备的处理器上进行执行,以向用户发送表示检测到的异常的通知。
【技术特征摘要】
2015.03.04 US 14/638,9041.一种在具有多个网络节点的通信网络中使用的异常检测系统,所述多个网络节点通过通信链路来通信地耦合,所述异常检测系统包括:多个消息模块,其中所述多个消息模块中的每一个消息模块在所述网络节点中的一个网络节点处的处理器上执行,以检测所述网络节点处的消息业务,并生成关于所述网络节点处的所述消息业务的元数据;分析引擎,所述分析引擎存储在耦合到所述通信网络的处理设备中并在所述处理设备处被执行,所述分析引擎包括:元数据存储器,控制器,其在所述处理设备的处理器上进行执行以从所述多个消息模块接收关于所述网络节点中的每一个网络节点的所述元数据,并将所接收的元数据存储在所述元数据存储器中,规则数据库,其存储逻辑规则集,规则引擎,其在所述处理设备的处理器上进行执行,以使用所述规则数据库中所存储的所述逻辑规则来对所述元数据存储器中所存储的所述元数据进行处理,以检测所述通信网络中的业务模式异常,以及通知模块,其在所述处理设备的处理器上进行执行,以向用户发送表示检测到的异常的通知。2.根据权利要求1所述的异常检测系统,其中,所述分析引擎还包括元数据基线数据库,所述元数据基线数据库在基线时间段期间,存储关于在所述通信网络的操作期间针对所述通信网络所采集的元数据的基线信息,并且其中所述规则引擎在所述处理设备的处理器上进行执行,以使用所述规则数据库中所存储的所述逻辑规则和所述元数据基线数据库中所存储的所述基线信息来对所述元数据存储器中所存储的所述元数据进行处理,以检测所述通信网络中的业务模式异常。3.根据权利要求2所述的异常检测系统,还包括:存储在耦合到所述通信网络的另外处理设备中的配置改变检测模块,所述配置改变检测模块在所述另外的处理设备的处理器上进行执行以检测所述通信网络的所述配置的配置改变,并向所述分析引擎发送表示检测到的配置改变的通知。4.根据权利要求3所述的异常检测系统,其中,所述分析引擎的所述控制器基于所述检测到的配置改变来改变所述规则数据库中的逻辑规则。5.根据权利要求4所述的异常检测系统,其中,所述控制器在改变所述规则数据库中的逻辑规则之前,从用户接收新的逻辑规则。6.根据权利要求4所述的异常检测系统,其中,所述控制器基于配置改变的类型来改变逻辑规则。7.根据权利要求4所述的异常检测系统,其中,配置改变检测模块向所述分析引擎传输配置改变的类型。8.根据权利要求4所述的异常检测系统,其中,所述分析引擎的控制器响应于所述检测到的配置改变,在所述元数据数据库中采集针对所述通信网络的新的基线元数据集合,并且所述控制器根据所述新的基线元数据集合来生成新的基线信息集合,以便所述通信网络利用新配置来运行。9.根据权利要求3所述的异常检测系统,其中,所述配置改变检测模块存储在配置数据库中。10.根据权利要求2所述的异常检测系统,其中,所述元数据基线数据库存储一个或多个元数据参数,其中所述一个或多个元数据参数反映所述逻辑规则中的一个或多个逻辑规则在使用所述元数据存储器中存储的所述元数据来检测异常时将使用的限制或范围。11.根据权利要求1所述的异常检测系统,其中,所述规则引擎是学习引擎。12.根据权利要求1所述的异常检测系统,其中,所述通知模块在处理器上进行执行,以设置所述通信网络的一个或多个网络节点中的通信参数。13.根据权利要求12所述的异常检测系统,其中,所述通知模块进行执行以设置防止所述通信网络中的所述一个或多个网络节点中的一个网络节点在所述通信网络上进行通信的通信参数。14.根据权利要求12所述的异常检测系统,其中,所述通知模块进行执行以设置防止所述通信网络中的一个或多个网络节点与另一个网络进行通信的通信参数。15.根据权利要求12所述的异常检测系统,其中,所述通知模块进行执行以设置防止所述通信网络中的所述一个或多个网络节点中的一个网络节点允许特定的应用在所述通信链路上进行通信的通信参数。16.根据权利要求12所述的异常检测系统,其中,所述通知模块进行执行以设置防止所述通信网络的所述一个或多个网络节点中的一个网络节点在所述通信链路上传输特定类型的消息的通信参数。17.根据权利要求1所述的异常检测系统,其中,所述分析引擎位于在所述网络节点中一个网络节点处的并且直接连接到所述通信网络的所述通信链路的处理设备中。18.根据权利要求1所述的异常检测系统,其中,所述分析引擎位于未直接地连接到所述通信网络的所述通信链路的处理设备中。19.根据权利要求1所述的异常检测系统,其中,所述多个消息模块中的至少一个消息模块位于所述通信网络的子网络中的处理设备中。20.根据权利要求1所述的异常检测系统,其中,所述消息模块中的一个消息模块布置在耦合到一个或多个现场设备以控制过程或工业工厂的过程控制器设备中。21.根据权利要求1所述的异常检测系统,其中,所述消息模块中的每一个消息模块都包括进入消息模块,所述进入消息模块对在网络节点处经由所述通信链路接收的消息进行分析。22.根据权利要求1所述的异常检测系统,其中,所述消息模块中的每一个消息模块都包括外出消息模块,所述外出消息模块对来自网络节点的、在所述通信链路上发送的消息进行分析。23.根据权利要求1所述的异常检测系统,其中,所述通知模块经由所述通信网络的所述通信链路来发送所述通知。24.一种在工厂环境下使用的异常检测系统,包括:通信网络,其包括多个网络节点,所述多个网络节点中的每一个网络节点都具有处理器和计算机可读存储器,所述多个网络节点通过通信链路进行互连;多个消息模块,其中所述多个消息模块中的每一个消息模块在所述网络节点中的不同网络节点处的所述处理器上进行执行,以检测所述网络节点处的消息业务,并生成关于所述网络节点处的所述消息业务的元数据;通信耦合到所述多个消息模块中的每一个消息模块的分析引擎,其中所述分析引擎在耦合到所述通信网络的处理设备上进行执行,所述分析引擎包括:元数据存储器,控制器,其在所述处理设备的处理器上进行执行,以从所述多个
\t消息模块接收关于所述网络节点中的每一个网络节点的所述元数据,并将所接收的元数据存储在所述元数据存储器中,规则数据库,其存储逻辑规则集,规则引擎,其在所述处理设备的处理器上进行执行,以使用所述规则数据...
【专利技术属性】
技术研发人员:R·A·米克瑟,G·K·劳,A·E·卡特钦,
申请(专利权)人:费希尔罗斯蒙特系统公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。