用于在多個(gè)控制系統(tǒng)中檢測(cè)異常的異常檢測(cè)系統(tǒng)的制作方法
【專利摘要】本發(fā)明的目的是鏈接多個(gè)工業(yè)控制系統(tǒng)并且在多個(gè)工業(yè)控制系統(tǒng)中檢測(cè)異常。在多個(gè)控制系統(tǒng)中檢測(cè)異常的異常檢測(cè)系統(tǒng)包括多個(gè)分析設(shè)備����,多個(gè)分析設(shè)備被設(shè)置用于與多個(gè)控制系統(tǒng)中的每個(gè)控制系統(tǒng)對(duì)應(yīng),獲取對(duì)應(yīng)控制系統(tǒng)出現(xiàn)的事件以及分析獲取的事件是否為異常�����。多個(gè)分析設(shè)備中的第一分析設(shè)備評(píng)估是否應(yīng)當(dāng)向多個(gè)分析設(shè)備中的第二分析設(shè)備通知對(duì)應(yīng)控制系統(tǒng)出現(xiàn)的事件。在第一分析設(shè)備向第二分析設(shè)備通知的事件與除了第一分析設(shè)備之外的分析設(shè)備向第二分析設(shè)備通知的事件之間存在相關(guān)性的條件下����,第二分析設(shè)備確定異常已經(jīng)出現(xiàn)。
【專利說明】用于在多個(gè)控制系統(tǒng)中檢測(cè)異常的異常檢測(cè)系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種用于在多個(gè)控制系統(tǒng)中檢測(cè)異常的異常檢測(cè)系統(tǒng)�����。
【背景技術(shù)】
[0002]已知管理和控制工業(yè)和基礎(chǔ)結(jié)構(gòu)系統(tǒng)的工業(yè)控制系統(tǒng)(ICS)(例如參見非專利文獻(xiàn)I)�。大部分常規(guī)工業(yè)控制系統(tǒng)未與外部網(wǎng)絡(luò)連接并且用特定協(xié)議操作。然而近來的工業(yè)控制系統(tǒng)越來越多地通過通用協(xié)議��、諸如網(wǎng)際協(xié)議���,而與外部網(wǎng)絡(luò)連接�。這使得多個(gè)工業(yè)控制系統(tǒng)能夠相互協(xié)作����。
[0003][專利文獻(xiàn)I]第2007-506353號(hào)國際專利申請(qǐng)的國家公布
[0004][非專利文獻(xiàn)1]〃SCADA〃,(在線)����,Wikipedia,(搜索于2011年3月30日)����,因特網(wǎng)�,URL: http://ja.wikipedia.0rg/wiki/SCADA
【發(fā)明內(nèi)容】
[0005][本發(fā)明要解決的問題]
[0006]工業(yè)控制系統(tǒng)連續(xù)地監(jiān)視它們的內(nèi)部設(shè)備中的異常����;然而多個(gè)工業(yè)控制系統(tǒng)尚未協(xié)作地監(jiān)視異常。
[0007][用于解決問題的手段]
[0008]為了解決問題����,本發(fā)明的第一方面提供一種用于在多個(gè)控制系統(tǒng)中檢測(cè)異常的異常檢測(cè)系統(tǒng),該異常檢測(cè)系統(tǒng)包括多個(gè)分析設(shè)備�����,多個(gè)分析設(shè)備與相應(yīng)控制系統(tǒng)關(guān)聯(lián)����,獲取在關(guān)聯(lián)的控制系統(tǒng)中出現(xiàn)的事件并且分析事件以確定是否存在異常��,其中在多個(gè)分析設(shè)備之中的第一分析設(shè)備確定是否將向在多個(gè)分析設(shè)備之中的第二分析設(shè)備指示在關(guān)聯(lián)的控制系統(tǒng)中出現(xiàn)的事件�;并且在第一分析設(shè)備所指示的事件與除了第一分析設(shè)備之外的分析設(shè)備所指示的事件具有相關(guān)性的條件下,第二分析設(shè)備確定存在異常����。也提供一種用于該系統(tǒng)的方法和程序�����。
[0009]
【發(fā)明內(nèi)容】
部分未列舉本發(fā)明的所有基本特征��。這種特征的子組合也可以在本發(fā)明內(nèi)����。
【專利附圖】
【附圖說明】
[0010]圖1示出根據(jù)本發(fā)明的一個(gè)實(shí)施例的計(jì)算系統(tǒng)10的配置�;
[0011]圖2示出根據(jù)實(shí)施例的第一分析設(shè)備30-1和第二分析設(shè)備30-2的配置����;
[0012]圖3示出根據(jù)實(shí)施例的第一分析設(shè)備30-1和第二分析設(shè)備30-2的過程流程;
[0013]圖4示出第一分析設(shè)備30-1獲取的事件的示例和第一分析設(shè)備30-1發(fā)送的事件的示例���;
[0014]圖5示出用于隱藏附加信息的表的示例���;以及
[0015]圖6示出根據(jù)實(shí)施例的計(jì)算機(jī)1900的示例硬件配置?!揪唧w實(shí)施方式】
[0016]盡管以下參照本發(fā)明的實(shí)施例描述本發(fā)明,但是實(shí)施例未旨在于限制要求保護(hù)的本發(fā)明��。另外�,并非在實(shí)施例中闡述的特征的所有組合對(duì)于本發(fā)明的解決方案都是必需的���。
[0017]圖1示出根據(jù)一個(gè)實(shí)施例的計(jì)算系統(tǒng)10的配置。該實(shí)施例的計(jì)算系統(tǒng)10包括多個(gè)控制系統(tǒng)20�、多個(gè)分析設(shè)備30以及網(wǎng)絡(luò)40。
[0018]控制系統(tǒng)20中的每個(gè)控制系統(tǒng)是由多個(gè)互連的計(jì)算機(jī)和設(shè)備構(gòu)成的系統(tǒng)��。每個(gè)控制系統(tǒng)20可以例如是用于管理和控制工業(yè)或者基礎(chǔ)結(jié)構(gòu)(例如交通��、能源)系統(tǒng)的對(duì)象的工業(yè)控制系統(tǒng)(ICS)��。在這一情況下�����,控制系統(tǒng)20具有多個(gè)設(shè)備����、用于控制這些設(shè)備的可編程邏輯控制器(PLC )、服務(wù)器等��。
[0019]每個(gè)控制系統(tǒng)20可以例如是用于管理連接到大樓內(nèi)的網(wǎng)絡(luò)的各種設(shè)備的系統(tǒng)(例如用于電力����、天然氣�����、水、空調(diào)或者安全的系統(tǒng))�。每個(gè)控制系統(tǒng)20也可以是大型控制系統(tǒng)的部分系統(tǒng)。例如每個(gè)控制系統(tǒng)20可以是構(gòu)成負(fù)責(zé)管理整個(gè)城市的系統(tǒng)的部分管理系統(tǒng)(例如用于管理大樓�����、工廠��、供水�����、電力等的系統(tǒng))�����。
[0020]控制系統(tǒng)20也可以例如是用于管理與辦公室或者住宅網(wǎng)絡(luò)連接的各種設(shè)備(例如電話��、復(fù)印機(jī))的系統(tǒng)�����。控制系統(tǒng)20也可以是用于管理與公司等內(nèi)的網(wǎng)絡(luò)連接的計(jì)算機(jī)的系統(tǒng)���,或者用于管理與數(shù)據(jù)中心等的網(wǎng)絡(luò)連接的大量服務(wù)器的系統(tǒng)��。
[0021]分析設(shè)備30分別與控制系統(tǒng)20關(guān)聯(lián)����。每個(gè)分析設(shè)備30可以與一個(gè)或者兩個(gè)或者更多控制系統(tǒng)20關(guān)聯(lián)��。每個(gè)分析設(shè)備30獲取在關(guān)聯(lián)的控制系統(tǒng)20中出現(xiàn)的事件并且分析事件以確定在控制系統(tǒng)20中是否存在異常����。
[0022]事件例如是指在控制系統(tǒng)20中的關(guān)聯(lián)控制系統(tǒng)中出現(xiàn)的、并且可以由傳感器或者計(jì)算機(jī)檢測(cè)的事變�。例如事件可以是為控制系統(tǒng)20內(nèi)的設(shè)備等提供的、由傳感器檢測(cè)的物理量(諸如電力�、溫度、濕度����、質(zhì)量、體積和流速)����。事件也可以例如是向和從控制系統(tǒng)20內(nèi)的信息處理器等輸入和輸出的數(shù)據(jù)的測(cè)量(例如數(shù)據(jù)速率、對(duì)數(shù)據(jù)發(fā)送和接收的響應(yīng)以及誤差率)。事件也可以是控制系統(tǒng)20中的設(shè)備的狀態(tài)(例如操作/非操作����,以及操作模式)�����,或者構(gòu)成控制系統(tǒng)20中的信息處理器的資源的狀態(tài)(例如存儲(chǔ)器使用量���、處理器利用率)��。
[0023]每個(gè)分析設(shè)備30獲取在關(guān)聯(lián)控制系統(tǒng)20中出現(xiàn)的事件并且確定是否獲取到預(yù)定義的事件��。當(dāng)獲取到預(yù)定義的事件時(shí)�,每個(gè)分析設(shè)備30確定在關(guān)聯(lián)控制系統(tǒng)20中是否存在異常��。當(dāng)確定關(guān)聯(lián)控制系統(tǒng)20具有異常時(shí)�,分析設(shè)備30執(zhí)行用于處置異常的處理。
[0024]網(wǎng)絡(luò)40連接在控制系統(tǒng)20與分析設(shè)備30之間以在它們之間實(shí)現(xiàn)數(shù)據(jù)發(fā)送和接收�����。網(wǎng)絡(luò)40根據(jù)通用協(xié)議�����、例如網(wǎng)際協(xié)議來傳輸數(shù)據(jù)。
[0025]圖2示出根據(jù)本實(shí)施例的第一分析設(shè)備30-1和第二分析設(shè)備30-2的配置�。根據(jù)本實(shí)施例的計(jì)算系統(tǒng)10中的分析設(shè)備30相互協(xié)作以作為用于在控制系統(tǒng)20中檢測(cè)異常的異常檢測(cè)系統(tǒng)而工作。
[0026]更具體而言��,在分析設(shè)備30之中的第一分析設(shè)備30-1向在分析設(shè)備30之中的第二分析設(shè)備30-2指示從關(guān)聯(lián)控制系統(tǒng)20獲取的事件�。第二分析設(shè)備30-2然后確定在來自第一分析設(shè)備30-1的事件與來自除了第一分析設(shè)備30-1之外的分析設(shè)備30的事件之間是否具有相關(guān)性,并且如果它們具有相關(guān)性則確定存在異常���。
[0027]在本實(shí)施例中��,在計(jì)算系統(tǒng)10中包括的分析設(shè)備30中的至少一個(gè)分析設(shè)備作為第二分析設(shè)備30-2工作�����。除了第二分析設(shè)備30-2之外的其他分析設(shè)備30作為第一分析設(shè)備30-1工作�����。
[0028]第一分析設(shè)備30-1至少包括分析單元50���,該分析單元獲取在關(guān)聯(lián)控制系統(tǒng)20中出現(xiàn)的事件并且分析事件以確定控制系統(tǒng)是否具有異常。第二分析設(shè)備30-2至少包括分析控制單元70�,該分析控制單元確定在控制系統(tǒng)20中的任何控制系統(tǒng)中是否存在異常����。第二分析設(shè)備30-2還可以包括分析單元50�����。
[0029]分析單元50包括獲取單元52�����、確定單元54���、標(biāo)準(zhǔn)化單元56、隱藏單元58�、事件發(fā)送單元60、異常接收單元62和監(jiān)視單元64�����。分析控制單元70包括事件接收單元72��、相關(guān)性檢測(cè)單元74和異常發(fā)送單元76���。
[0030]獲取單元52獲取在關(guān)聯(lián)控制系統(tǒng)20中出現(xiàn)的事件����。例如獲取單元52獲取位于控制系統(tǒng)20內(nèi)的某些點(diǎn)處的物理傳感器所檢測(cè)的物理量(諸如電力、溫度�����、濕度����、質(zhì)量、體積和流速)作為事件���。獲取單元52也可以例如獲取向和從控制系統(tǒng)20內(nèi)的信息處理器等輸入和輸出的數(shù)據(jù)的測(cè)量(例如數(shù)據(jù)速率���、對(duì)數(shù)據(jù)發(fā)送和接收的響應(yīng),以及誤差率)作為事件��。獲取單元52也可以獲取控制系統(tǒng)20內(nèi)的設(shè)備的狀態(tài)或者構(gòu)成控制系統(tǒng)20中的信息處理器的資源的狀態(tài)(例如存儲(chǔ)器使用量����、處理器利用率)作為事件。
[0031]確定單兀54基于獲取的事件來確定關(guān)聯(lián)控制系統(tǒng)20是否具有異常����。例如確定單元54確定獲取的事件是否具有預(yù)定值��。
[0032]例如在傳感器檢測(cè)到的物理量落在預(yù)定正常范圍以外時(shí)�,確定單元54確定關(guān)聯(lián)控制系統(tǒng)20具有異常�����。例如��,如果向和從控制系統(tǒng)20中的信息處理器輸入和輸出的數(shù)據(jù)的測(cè)量落在預(yù)定正常范圍以外�,則確定單元54也可以確定關(guān)聯(lián)控制系統(tǒng)20具有異常��。例如���,如果控制系統(tǒng)20中的設(shè)備或者構(gòu)成控制系統(tǒng)20中的信息處理器的資源處于預(yù)定狀態(tài)中��,則確定單元54也可以確定關(guān)聯(lián)控制系統(tǒng)20具有異常�。
[0033]在確定單元54確定關(guān)聯(lián)控制系統(tǒng)20具有異常時(shí)��,它向監(jiān)視單元64通知該異常�����。在被確定單元54通知異常時(shí)�����,監(jiān)視單元64執(zhí)行在存在異常時(shí)應(yīng)當(dāng)完成的處置過程。例如監(jiān)視單元64向關(guān)聯(lián)控制系統(tǒng)20的管理員報(bào)告異常�����。監(jiān)視單元64也可以例如增加監(jiān)視關(guān)聯(lián)控制系統(tǒng)20的頻率�����。在這一情況下����,監(jiān)視單元64例如增加在獲取單元52的事件獲取頻率。監(jiān)視單元64也可以去激活異常設(shè)備或者關(guān)斷向異常設(shè)備的電源供應(yīng)���。
[0034]即使關(guān)聯(lián)控制系統(tǒng)20被確定為無異常�,確定單元54仍然進(jìn)一步確定是否向第二分析設(shè)備30-2指示在關(guān)聯(lián)控制系統(tǒng)20中出現(xiàn)的事件�����。在本實(shí)施例中��,如果獲取的事件具有未被確定為異常的值并且如果在值與異常確定閾值之間的差值在預(yù)定范圍內(nèi)���,則確定單元54確定應(yīng)當(dāng)向第二分析設(shè)備30-2指示該事件����。確定單元54也可以確定也應(yīng)當(dāng)向第二分析設(shè)備30-2指示關(guān)聯(lián)控制系統(tǒng)20根據(jù)其而被確定為異常的事件。
[0035]作為示例����,如果傳感器檢測(cè)到的物理量或者向和從控制系統(tǒng)20中的信息處理器輸入和輸出的數(shù)據(jù)的測(cè)量落在預(yù)定正常范圍內(nèi)(關(guān)聯(lián)系統(tǒng)被確定為正常的范圍)并且如果在值與異常確定閾值之間的差值在預(yù)定范圍內(nèi),則確定單元54確定應(yīng)當(dāng)向第二分析設(shè)備30-2指示該事件��。作為另一示例���,如果控制系統(tǒng)20中的設(shè)備或者構(gòu)成控制系統(tǒng)20中的信息處理器的資源處于控制系統(tǒng)20被確定為正常的狀態(tài)中并且也處于預(yù)定義的狀態(tài)中,則確定單元54確定應(yīng)當(dāng)向第二分析設(shè)備30-2指示該事件����。
[0036]標(biāo)準(zhǔn)化單元56對(duì)用于在關(guān)聯(lián)控制系統(tǒng)20中出現(xiàn)的、并且已經(jīng)在確定單元54處被確定向第二分析設(shè)備30-2指示的事件的數(shù)據(jù)格式進(jìn)行標(biāo)準(zhǔn)化��。更具體而言�,標(biāo)準(zhǔn)化單元56通過將已經(jīng)被確定向第二分析設(shè)備30-2指示的事件的數(shù)據(jù)格式轉(zhuǎn)換成用于第二分析設(shè)備30-2的數(shù)據(jù)格式來對(duì)事件進(jìn)行標(biāo)準(zhǔn)化。標(biāo)準(zhǔn)化單元56也可以例如將在關(guān)聯(lián)控制系統(tǒng)20中出現(xiàn)的事件的數(shù)據(jù)格式轉(zhuǎn)換成用于多個(gè)控制系統(tǒng)20的標(biāo)準(zhǔn)數(shù)據(jù)格式以對(duì)事件進(jìn)行標(biāo)準(zhǔn)化��。標(biāo)準(zhǔn)化單元56可以由此將向第二分析設(shè)備30-2指示的事件轉(zhuǎn)換成第二分析設(shè)備30-2可讀的數(shù)據(jù)格式��。
[0037]隱藏單元58隱藏如下數(shù)據(jù)的部分,該數(shù)據(jù)描述在關(guān)聯(lián)控制系統(tǒng)20中出現(xiàn)的���、已經(jīng)被確定單元54確定向第二分析設(shè)備30-2指示的事件���。舉例而言,隱藏單元58隱藏描述不應(yīng)向其他分析設(shè)備30透露的事件的數(shù)據(jù)部分�����。例如隱藏單元58隱藏代表如下事物的數(shù)據(jù)�,該事物不應(yīng)向其他控制系統(tǒng)20的管理員透露以確保安全(例如傳感器的安裝位置和性能)。
[0038]事件發(fā)送單元60向第二分析設(shè)備30-2的分析控制單元70發(fā)送關(guān)聯(lián)控制系統(tǒng)20中的如下事件�,該事件已經(jīng)被標(biāo)準(zhǔn)化單元56標(biāo)準(zhǔn)化并且該事件的部分?jǐn)?shù)據(jù)已經(jīng)被隱藏單元58隱藏。第一分析設(shè)備30-1的分析單元50將事件轉(zhuǎn)換成消息并且通過網(wǎng)絡(luò)40向第二分析設(shè)備30-2的分析控制單元70發(fā)送該消息�����。第二分析設(shè)備30-2的分析單元50可以經(jīng)由或者不經(jīng)由網(wǎng)絡(luò)40向分析控制單元70指示事件���。
[0039]分析控制單元70的事件接收單元72接收從分析設(shè)備30發(fā)送的事件����。更具體而言,事件接收單元72接收從第一分析設(shè)備30-1的分析單元50發(fā)送的事件和從第二分析設(shè)備30-2的分析單元50發(fā)送的事件�����。
[0040]分析控制單元70的相關(guān)性檢測(cè)單元74將從分析設(shè)備30發(fā)送的事件相互進(jìn)行比較以確定這些事件是否具有等于或者大于預(yù)定相關(guān)性值的相關(guān)性���。例如�,如果從分析設(shè)備30發(fā)送的事件具有等于或者大于預(yù)定相關(guān)性值的相關(guān)性�����,則相關(guān)性檢測(cè)單元74確定分析設(shè)備30之一異常����。
[0041]如果相關(guān)性檢測(cè)單元74確定存在異常,則分析控制單元70的異常發(fā)送單元76向相應(yīng)第一分析設(shè)備30-1的分析單元50和第二分析設(shè)備30-2的分析單元50指示異常�����。在這一情況下��,異常發(fā)送單元76在異常信息中向分析設(shè)備30的分析單元50提供關(guān)于在如下事件中包括的隱藏部分的數(shù)據(jù)����,該事件是從分析設(shè)備30發(fā)送的、并且已經(jīng)被確定具有與從另一分析設(shè)備30發(fā)送的事件的相關(guān)性并且被確定為異常��。
[0042]異常接收單元62接收由第二分析設(shè)備30-2的分析控制單元70發(fā)送的異常信息��。異常接收單元62向隱藏單元58傳送異常信息���。
[0043]隱藏單元58清除在異常信息中包括的隱藏?cái)?shù)據(jù)部分的隱藏�。隱藏單元58向監(jiān)視單元64傳送異常信息和未隱藏的數(shù)據(jù)�����。
[0044]響應(yīng)于來自第二分析設(shè)備30-2的分析控制單元70的對(duì)異常信息的指示����,監(jiān)視單元64識(shí)別從第二分析設(shè)備30-2指示的異常的細(xì)節(jié)。例如當(dāng)隱藏單元58指示傳感器的安裝位置被隱藏的事件時(shí)��,監(jiān)視單元64根據(jù)未隱藏的數(shù)據(jù)來檢測(cè)傳感器的安裝位置�����。這允許隱藏單元58對(duì)如下傳感器定位���,該傳感器引起已經(jīng)被第二分析設(shè)備30-2確定為異常的事件�����。監(jiān)視單元64然后執(zhí)行在異常的情況下應(yīng)當(dāng)完成的處置過程���。
[0045]圖3不出根據(jù)本實(shí)施例的在第一分析設(shè)備30-1與第二分析設(shè)備302之間的過程流程�。圖4示出第一分析設(shè)備3001獲取的事件的示例和第一分析設(shè)備30-1發(fā)送的事件的示例�����。圖5示出用于隱藏附加信息的表的示例��。
[0046]首先在步驟SI I����,第一分析設(shè)備30-1在某些時(shí)間間隔獲取在關(guān)聯(lián)控制系統(tǒng)20中出現(xiàn)的事件。在圖4的示例中����,第一分析設(shè)備30-1每十分鐘獲取在關(guān)聯(lián)控制系統(tǒng)20所管理的大樓的后院中安裝的設(shè)備的溫度作為事件。
[0047]然后在步驟S12��,第一分析設(shè)備30-1確定是否向第二分析設(shè)備30-2指示它定期地獲取的事件中的每個(gè)事件�。作為示例�����,當(dāng)事件的改變大于預(yù)定改變量時(shí),第一分析設(shè)備30-1確定應(yīng)當(dāng)向第二分析設(shè)備30-2指示該事件�����。
[0048]在圖4的示例中���,如果關(guān)聯(lián)控制系統(tǒng)20所管理的大樓的后院中的設(shè)備的溫度(事件)在過去十分鐘內(nèi)已經(jīng)改變預(yù)定量或者更多���,則第一分析設(shè)備30-1確定應(yīng)當(dāng)向第二分析設(shè)備30-2指示該溫度(事件)。如果第一分析設(shè)備30-1確定指示該事件(S12:是)�,則第一分析設(shè)備30-1繼續(xù)到步驟S13。
[0049]在步驟S13���,第一分析設(shè)備30-1對(duì)討論的事件的數(shù)據(jù)格式進(jìn)行標(biāo)準(zhǔn)化��。舉例而言���,第一分析設(shè)備30-1將描述事件的標(biāo)識(shí)信息和指示事件的值的事件值轉(zhuǎn)換成第二分析設(shè)備30-2可讀的數(shù)據(jù)格式(例如在計(jì)算系統(tǒng)10中公共的數(shù)據(jù)格式)。
[0050]在圖4的示例中�����,第一分析設(shè)備30-1將表示為“溫度”的個(gè)體標(biāo)識(shí)信息轉(zhuǎn)換成表示為“溫度傳感器”的公共標(biāo)識(shí)信息。同樣在圖4的示例中�����,第一分析設(shè)備30-1將12小時(shí)格式表示的時(shí)間(個(gè)體事件值)轉(zhuǎn)換成24小時(shí)格式表示的“時(shí)間”(公共事件值)���。在圖4的示例中���,第一分析設(shè)備30-1也將華氏溫度表示的“溫度”(個(gè)體事件值)轉(zhuǎn)換成攝氏度表示的“溫度”(公共事件值)。
[0051]然后在步驟S14���,第一分析設(shè)備30-1隱藏描述被指示不應(yīng)向其他分析設(shè)備30透露的事件的數(shù)據(jù)部分(例如涉及安全的數(shù)據(jù)����、示出事件測(cè)量的具體位置的數(shù)據(jù))����。作為示例,第一分析設(shè)備30-1隱藏傳感器位置信息����,該傳感器位置信息是關(guān)于事件的附加信息。在圖4的示例中�,第一分析設(shè)備30-1將表示為“后院#1”的傳感器位置信息隱藏成隨機(jī)碼“39485”�。
[0052]第一分析設(shè)備30-1也存儲(chǔ)例如示出在未隱藏的數(shù)據(jù)與隱藏的數(shù)據(jù)之間的對(duì)應(yīng)關(guān)系的轉(zhuǎn)換表����,并且參考轉(zhuǎn)換表來隱藏?cái)?shù)據(jù)�。在這一示例中,第一分析設(shè)備30-1例如存儲(chǔ)用于將表示傳感器位置的傳感器位置信息(后院#1�、后院#2、大門#1�����、大門#2)轉(zhuǎn)換成對(duì)應(yīng)隨機(jī)碼(39485��、13456���、27321�����、53884)的轉(zhuǎn)換表�,諸如圖5中所示轉(zhuǎn)換表��。
[0053]在步驟S15����,第一分析設(shè)備30-1從分析設(shè)備30中選擇至少一個(gè)第二分析設(shè)備30-2作為事件傳輸目的地�����。例如當(dāng)存在能夠從多個(gè)分析設(shè)備30接收事件并且確定異常是否出現(xiàn)的兩個(gè)或者更多分析設(shè)備30時(shí)����,第一分析設(shè)備30-1從那些設(shè)備中選擇一個(gè)或者兩個(gè)或者更多分析設(shè)備30作為第二分析設(shè)備30-2�。
[0054]第一分析設(shè)備30-1可以動(dòng)態(tài)地改變從分析設(shè)備30中選擇用于第二分析設(shè)備30-2的設(shè)備。例如第一分析設(shè)備30-1為每個(gè)特定時(shí)間段(例如天����、周)指明第二分析設(shè)備30-2。
[0055]在這一情況下���,第一分析設(shè)備30-1可以在從分析設(shè)備30中選擇第二分析設(shè)備30-2時(shí)向具有短響應(yīng)時(shí)間的分析設(shè)備30給予更高優(yōu)先級(jí)��。這使得第一分析設(shè)備30-1能夠更快接收對(duì)異常的指示����。第一分析設(shè)備30-1也可以在向同一第二分析設(shè)備30-2的事件指示已經(jīng)持續(xù)某個(gè)時(shí)段或者更久之后選擇新的第二分析設(shè)備30-2�����。第一分析設(shè)備30-1由此可以防止一個(gè)分析設(shè)備固定地是第二分析設(shè)備30-2。
[0056]然后在步驟S16�,向在步驟S15中選擇的第二分析設(shè)備30-2指示在步驟S13中已經(jīng)標(biāo)準(zhǔn)化的并且在步驟S14中隱藏的事件。在步驟S17����,第二分析設(shè)備30-2從第一分析設(shè)備30-1接收該事件�����。
[0057]在步驟S18�,第二分析設(shè)備30-2檢測(cè)在從多個(gè)分析設(shè)備30指示的事件之間的相關(guān)性,并且確定控制系統(tǒng)20中的任何控制系統(tǒng)是否具有異常����。更具體而言,如果從第一分析設(shè)備30-1指示的事件與從除了第一分析設(shè)備30-1之外的分析設(shè)備30指示的事件具有相關(guān)性���,則第二分析設(shè)備30-2確定存在異常����。舉例而言�,如果在第一分析設(shè)備30-1指示的事件的改變與除了第一分析設(shè)備30-1之外的分析設(shè)備30指示的事件的改變之間的相關(guān)性等于或者大于預(yù)定相關(guān)性值,則第二分析設(shè)備30-2確定存在異常����。
[0058]例如如果來自在控制系統(tǒng)20中分別提供的多個(gè)溫度傳感器的溫度已經(jīng)具有相互相關(guān)性地發(fā)生改變����,則相關(guān)性檢測(cè)單元74確定存在異常�����。在圖4的示例中�,在控制系統(tǒng)20中出現(xiàn)的改變包括:溫度傳感器檢測(cè)的溫度在20:20到20:30之間增加,以及溫度傳感器檢測(cè)的溫度在20:30到20:40之間下降���。在這樣的情況下���,如果控制系統(tǒng)20中提供的溫度傳感器示出與圖4中所示溫度變化相似的溫度變化,則第二分析設(shè)備30-2確定異常����。
[0059]如果第二分析設(shè)備30-2在步驟S18確定存在異常,則第二分析設(shè)備30_2然后在步驟S19向第一分析設(shè)備30-1指示該異常�。在這一情況下,第二分析設(shè)備30-2在異常信息中向分析單元50提供關(guān)于在如下事件中包括的隱藏部分的數(shù)據(jù)��,該事件是從第一分析設(shè)備30-1發(fā)送的并且已經(jīng)被確定與從另一分析設(shè)備30發(fā)送的事件相關(guān)并且被確定為異常。
[0060]然后在步驟S20����,第一分析設(shè)備30-1接收從第二分析設(shè)備30-2發(fā)送的異常信息。在步驟S21�,第一分析設(shè)備30-1根據(jù)從第二分析設(shè)備30-2發(fā)送的異常信息來識(shí)別關(guān)聯(lián)控制系統(tǒng)20的異常的細(xì)節(jié)。
[0061]第一分析設(shè)備30-1參考轉(zhuǎn)換表將來自第二分析設(shè)備30-2的異常信息中的隱藏?cái)?shù)據(jù)部分恢復(fù)成未隱藏?cái)?shù)據(jù)����。第一分析設(shè)備30-1然后從現(xiàn)在未隱藏的事件識(shí)別在關(guān)聯(lián)控制系統(tǒng)中出現(xiàn)的異常。例如第一分析設(shè)備30-1參考如圖5中所示這樣的轉(zhuǎn)換表而查明異常出現(xiàn)于大樓的后院中的傳感器中��。
[0062]在步驟S22����,第一分析設(shè)備30-1將用于控制關(guān)聯(lián)控制系統(tǒng)20的模式改變成警報(bào)模式�����。第一分析設(shè)備30-1向關(guān)聯(lián)控制系統(tǒng)20的管理員報(bào)告異常���。第一分析設(shè)備30-1也例如通過增加事件獲取頻率來增加監(jiān)視關(guān)聯(lián)控制系統(tǒng)20的頻率�����。第一分析設(shè)備30-1也可以去激活異常設(shè)備和/或關(guān)斷向異常設(shè)備的功率供應(yīng)��。
[0063]如以上描述的那樣�,利用根據(jù)本實(shí)施例的計(jì)算系統(tǒng)10,即使在多個(gè)分析設(shè)備30上出現(xiàn)的相互具有某種相關(guān)性的事變或者事件中的每個(gè)事變或者事件本身在單個(gè)控制系統(tǒng)20中未被檢測(cè)為異常���,仍然可以根據(jù)事變或者事件的出現(xiàn)而檢測(cè)異常���。計(jì)算系統(tǒng)10因此允許多個(gè)分析設(shè)備30協(xié)作以用更高準(zhǔn)確性和靈敏性檢測(cè)異常。
[0064]當(dāng)從第一分析設(shè)備30-1指示的事件與從除了第一分析設(shè)備30-1之外的分析設(shè)備30指示的事件具有相關(guān)性時(shí)�����,第二分析設(shè)備30-2可以請(qǐng)求來自第一分析設(shè)備30-1的未隱藏的事件�����。在這一情況下����,第一分析設(shè)備30-1響應(yīng)于對(duì)于未隱藏的事件的請(qǐng)求而向第二分析設(shè)備30-2指示事件而無隱藏。
[0065]第二分析設(shè)備30-2然后從第一分析設(shè)備30-1接收未隱藏的事件并且再次確定在來自第一分析設(shè)備30-1的未隱藏的事件與來自除了第一分析設(shè)備30-1之外的分析設(shè)備30的事件之間是否存在相關(guān)性�。如果事件具有相關(guān)性,則第二分析設(shè)備30-2確定存在異常���。第二分析設(shè)備30-2因此可以準(zhǔn)確地確定異常的出現(xiàn)�。[0066]圖6示出根據(jù)本實(shí)施例的計(jì)算機(jī)1900的示例硬件配置。根據(jù)本實(shí)施例的計(jì)算機(jī)1900包括:CPU外圍部分���,該CPU外圍部分具有由主機(jī)控制器2082互連的CPU 2000�����、RAM2020�、圖形控制器2075和顯示設(shè)備2080 ;輸入/輸出部分�,該輸入/輸出部分具有通過輸入/輸出控制器2084與主機(jī)控制器2082連接的通信接口 2030、硬盤驅(qū)動(dòng)2040和⑶-ROM驅(qū)動(dòng)2060 ;以及傳統(tǒng)輸入/輸出部分�,該傳統(tǒng)輸入/輸出部分具有與輸入/輸出控制器2084連接的ROM 2010、軟盤驅(qū)動(dòng)2050和輸入/輸出芯片2070�����。
[0067]主機(jī)控制器2082將RAM 2020與以高傳送速率訪問RAM 2020的CPU 2000和圖形控制器2075連接���。CPU 2000根據(jù)ROM 2010和RAM 2020中存儲(chǔ)的程序操作以控制部件。圖形控制器2075獲取由CPU 2000等生成的��、在RAM 2020中提供的幀緩沖器中的圖像數(shù)據(jù)����,并且將圖像數(shù)據(jù)顯示于顯示設(shè)備2080上��。備選地�,圖形控制器2075可以內(nèi)部包括用于存儲(chǔ)CPU 2000等生成的圖像數(shù)據(jù)的幀緩沖器�����。
[0068]輸入/輸出控制器2084連接主機(jī)控制器2082與通信接口 2030����、硬盤驅(qū)動(dòng)2040和⑶-ROM 2060,這些是相對(duì)快速的輸入/輸出設(shè)備�。通信接口 2030通過網(wǎng)絡(luò)與其他設(shè)備通信。硬盤驅(qū)動(dòng)2040存儲(chǔ)由計(jì)算機(jī)1900的CPU 2000使用的程序和數(shù)據(jù)�����。⑶-ROM驅(qū)動(dòng)2060從⑶-ROM 2095讀取程序或者數(shù)據(jù)并且經(jīng)由RAM 2020將其供應(yīng)給硬盤驅(qū)動(dòng)2040���。
[0069]輸入/輸出控制器2084與ROM 2010連接����,并且也與軟盤驅(qū)動(dòng)2050和輸入/輸出芯片2070連接���,這些是相對(duì)慢速的輸入/輸出設(shè)備���。ROM 2010存儲(chǔ)由計(jì)算機(jī)1900在啟動(dòng)時(shí)執(zhí)行的引導(dǎo)程序和/或依賴于計(jì)算機(jī)1900的硬件的程序��。軟盤驅(qū)動(dòng)2050從軟盤2090讀取程序或者數(shù)據(jù)并且經(jīng)由RAM 2020將其供應(yīng)給硬盤驅(qū)動(dòng)2040�����。輸入/輸出芯片2070將軟盤驅(qū)動(dòng)2050與輸入/輸出控制器2084連接并且也例如通過并行端口�����、串行端口�、鍵盤端口或者鼠標(biāo)端口將各種輸入/輸出設(shè)備與輸入/輸出控制器2084連接��。
[0070]通過RAM 2020向硬盤驅(qū)動(dòng)2040提供的程序由用戶供應(yīng)�,其存儲(chǔ)于記錄介質(zhì)中,諸如軟盤2090����、⑶-ROM 2095或者IC卡��。從記錄介質(zhì)讀取程序并且經(jīng)由RAM 2020將其安裝在計(jì)算機(jī)1900中的硬盤驅(qū)動(dòng)2040中然后在CPU 200處執(zhí)行���。
[0071]在計(jì)算機(jī)1900上安裝的并且使得計(jì)算機(jī)1900作為分析單元50而工作的程序包括獲取模塊����、確定模塊、標(biāo)準(zhǔn)化模塊��、隱藏模塊�、事件發(fā)送模塊、異常接收模塊和監(jiān)視模塊�。這些程序或者模塊在CPU2000等上操作以使得計(jì)算機(jī)1900作為獲取單元52、確定單元54����、標(biāo)準(zhǔn)化單元56、隱藏單元58����、事件發(fā)送單元60、異常接收單元62和監(jiān)視單元64而工作�。
[0072]在程序中描述的信息處理被讀入到計(jì)算機(jī)1900中以作為獲取單元52、確定單元54��、標(biāo)準(zhǔn)化單元56��、隱藏單元58�、事件發(fā)送單元60�����、異常接收單元62和監(jiān)視單元64而工作�����,這些單元是通過軟件和以上描述的各種硬件資源的配合而實(shí)現(xiàn)的具體裝置�����。這些具體裝置然后根據(jù)本實(shí)施例中的計(jì)算系統(tǒng)10的應(yīng)用來實(shí)施對(duì)信息的操作或者修改����,從而構(gòu)建專屬于該應(yīng)用的分析單元50�����。
[0073]在計(jì)算機(jī)1900上安裝的并且使得計(jì)算機(jī)1900作為分析控制單元70而工作的程序包括事件接收模塊���、相關(guān)性檢測(cè)模塊和異常發(fā)送模塊����。這些程序或者模塊在CPU 2000等上操作以使得計(jì)算機(jī)1900作為事件接收單元72���、相關(guān)性檢測(cè)單元74和異常發(fā)送單元76而工作�����。
[0074]在程序中描述的信息處理被讀入到計(jì)算機(jī)1900中以作為事件接收單元72�����、相關(guān)性檢測(cè)單元74和異常發(fā)送單元76而工作���,這些單元是通過軟件和以上描述的各種硬件資源的配合而實(shí)現(xiàn)的具體裝置。這些具體裝置然后根據(jù)本實(shí)施例中的計(jì)算系統(tǒng)10的應(yīng)用來實(shí)施對(duì)信息的操作或者修改�,從而構(gòu)建專屬于該應(yīng)用的分析控制單元70。
[0075]舉例而言����,在計(jì)算機(jī)1900與外部設(shè)備等之間執(zhí)行通信時(shí),CPU2000執(zhí)行在RAM2020中加載的通信程序����,并且根據(jù)在通信程序中描述的處理來指示通信接口 2030有關(guān)通信處理。通信接口 2030讀取在存儲(chǔ)設(shè)備��、諸如RAM 2020����、硬盤驅(qū)動(dòng)2040����、軟盤2090或者CD-ROM 2095中提供的發(fā)送緩沖區(qū)域中存儲(chǔ)的用于傳輸?shù)臄?shù)據(jù)����,并且在CPU 2000的控制下向網(wǎng)絡(luò)發(fā)送數(shù)據(jù),或者在存儲(chǔ)設(shè)備中提供的接收緩沖區(qū)域中寫入從網(wǎng)絡(luò)接收的數(shù)據(jù)�。因此,通信接口 2030可以通過直接存儲(chǔ)器存取(DMA)向存儲(chǔ)設(shè)備傳送傳輸/接收的數(shù)據(jù)�����,或者備選地���,CPU 2000可以從源存儲(chǔ)裝置或者通信接口 2030讀取數(shù)據(jù)并且向目的地通信接口2030或者存儲(chǔ)設(shè)備中寫入數(shù)據(jù)��,由此傳送傳輸/接收的數(shù)據(jù)�����。
[0076]CPU 2000也通過DMA傳送等將來自外部存儲(chǔ)設(shè)備����、諸如硬盤驅(qū)動(dòng)2040XD-ROM驅(qū)動(dòng)2060 (⑶-ROM 2095)、軟盤驅(qū)動(dòng)2050 (軟盤2090)中存儲(chǔ)的文件或者數(shù)據(jù)庫的所有數(shù)據(jù)或者僅所需數(shù)據(jù)讀入到RAM 2020中����,并且對(duì)RAM 2020中的數(shù)據(jù)執(zhí)行各種處理���。CPU 2000然后通過DMA傳送等將處理的數(shù)據(jù)寫回到外部存儲(chǔ)設(shè)備中�����。由于RAM 2020可以視為在這樣的過程期間暫時(shí)保持外部存儲(chǔ)設(shè)備的內(nèi)容�,所以本實(shí)施例將RAM 2020和外部存儲(chǔ)設(shè)備等通稱為存儲(chǔ)器��、存儲(chǔ)裝置或者存儲(chǔ)設(shè)備���。本實(shí)施例中的各種程序和信息�、諸如數(shù)據(jù)����、表和數(shù)據(jù)庫存儲(chǔ)于存儲(chǔ)設(shè)備中并且經(jīng)受信息處理。CPU2000也可以在高速緩存中保持來自RAM2020的部分?jǐn)?shù)據(jù)并且在高速緩存中執(zhí)行數(shù)據(jù)讀取和寫入����。由于高速緩存存儲(chǔ)器在這樣的布置中也負(fù)責(zé)RAM 2020的功能 中的一些功能�����,所以除非特別區(qū)分���,本實(shí)施例設(shè)定高速緩存存儲(chǔ)器也包括在RAM 2020、存儲(chǔ)器和/或存儲(chǔ)設(shè)備中�����。
[0077]CPU 2000也執(zhí)行對(duì)從RAM 2020讀取的數(shù)據(jù)執(zhí)行在實(shí)施例中描述的各種種類的處理并且向RAM 2020中回寫數(shù)據(jù)��,這些處理包括各種算術(shù)運(yùn)算�、對(duì)信息的修改、有條件的確定�、信息取回和替換,其由程序中的指令行來描述��。例如在執(zhí)行有條件的確定時(shí)�����,CPU 2000確定在實(shí)施例中示出的變量中的任何變量是否滿足某個(gè)條件���、諸如大于����、小于、等于或者大于����、等于或者小于�,或者等于另一變量或者常數(shù),并且如果條件成立(或者不成立)則分支到不同指令行或者調(diào)用子例程���。
[0078]CPU 2000也可以搜尋存儲(chǔ)設(shè)備中的文件或者數(shù)據(jù)庫中存儲(chǔ)的信息�。例如在多個(gè)條目存儲(chǔ)于存儲(chǔ)設(shè)備中并且在每個(gè)條目中第一屬性的屬性值與第二屬性的屬性值關(guān)聯(lián)時(shí)���,CPU 2000從存儲(chǔ)設(shè)備中的條目中搜尋具有與指定的條件匹配的第一屬性的屬性值的條目�����,并且讀取該條目中存儲(chǔ)的第二屬性的屬性值�,由此獲得與滿足該條件的第一屬性關(guān)聯(lián)的第二屬性的屬性值��。
[0079]程序或者模塊可以存儲(chǔ)于外部記錄介質(zhì)中�����,該外部記錄介質(zhì)可以是軟盤2090、⑶-ROM 2095或者光學(xué)記錄介質(zhì)如DVD和⑶�����、光磁記錄介質(zhì)如MO��、帶介質(zhì)或者半導(dǎo)體存儲(chǔ)器如IC卡�����。備選地�,在連接到專用通信網(wǎng)絡(luò)或者因特網(wǎng)的服務(wù)器系統(tǒng)中提供的存儲(chǔ)設(shè)備、諸如硬盤或者RAM可以用作記錄介質(zhì)�����,并且可以通過網(wǎng)絡(luò)向計(jì)算機(jī)1900提供程序�����。
[0080]盡管已經(jīng)參照本發(fā)明的實(shí)施例描述本發(fā)明���,但是本發(fā)明的技術(shù)范圍不限于在實(shí)施例中闡述的范圍�。本領(lǐng)域技術(shù)人員將清楚可以對(duì)實(shí)施例進(jìn)行各種修改或者改進(jìn)。從權(quán)利要求中的描述很清楚�,可以在本發(fā)明的技術(shù)范圍內(nèi)涵蓋具有這樣的修改或者改進(jìn)的實(shí)施例。
[0081]應(yīng)當(dāng)注意除非特別陳述為“在……之前”�����、“先于”等以及除非在后續(xù)過程中使用來自在前過程的輸出����,否則可以按任何順序執(zhí)行在權(quán)利要求、說明書和附圖中闡述的設(shè)備�����、系統(tǒng)�����、程序和方法中的過程�、諸如動(dòng)作�、進(jìn)程、步驟和階段���。即使為了方便而在權(quán)利要求���、說明書和附圖中相對(duì)于過程流程使用“首先”��、“然后”等����,其仍不意味著必須按描述的順序執(zhí)行����。
[0082][標(biāo)號(hào)說明]
[0083]10計(jì)算系統(tǒng)
[0084]20控制系統(tǒng)
[0085]30分析設(shè)備
[0086]40網(wǎng)絡(luò)
[0087]50分析單元
[0088]52獲取單元
[0089]54確定單元
[0090]56標(biāo)準(zhǔn)化單元
[0091]58隱藏單元
[0092]60事件發(fā)送單元
[0093]62異常接收 單元
[0094]64監(jiān)視單元
[0095]70分析控制單元
[0096]72事件接收單元
[0097]74相關(guān)性檢測(cè)單元
[0098]76異常發(fā)送單元
[0099]1900計(jì)算機(jī)
[0100]2000CPU
[0101]2010ROM
[0102]2020RAM
[0103]2030通信接口
[0104]2040硬盤驅(qū)動(dòng)
[0105]2050軟盤驅(qū)動(dòng)
[0106]2060CD-ROM 驅(qū)動(dòng)
[0107]2070輸入/輸出芯片
[0108]2075圖形控制器
[0109]2080顯示設(shè)備
[0110]2082主機(jī)控制器
[0111]2084輸入/輸出控制器
[0112]2090軟盤
[0113]2095CD-ROM
【權(quán)利要求】
1.一種用于在多個(gè)控制系統(tǒng)中檢測(cè)異常的異常檢測(cè)系統(tǒng),所述異常檢測(cè)系統(tǒng)包括: 多個(gè)分析設(shè)備����,所述多個(gè)分析設(shè)備與相應(yīng)的控制系統(tǒng)關(guān)聯(lián),所述多個(gè)分析設(shè)備獲取在關(guān)聯(lián)控制系統(tǒng)中出現(xiàn)的事件并且分析所述事件以確定是否存在異常����,其中: 在所述多個(gè)分析設(shè)備之中的第一分析設(shè)備確定是否將向在所述多個(gè)分析設(shè)備之中的第二分析設(shè)備指示在所述關(guān)聯(lián)控制系統(tǒng)中出現(xiàn)的事件;并且 在所述第一分析設(shè)備指示的所述事件與除了所述第一分析設(shè)備之外的分析設(shè)備指示的事件具有相關(guān)性的條件下����,由所述第二分析設(shè)備確定存在異常。
2.根據(jù)權(quán)利要求1所述的異常檢測(cè)系統(tǒng)���,其中所述多個(gè)分析設(shè)備中的每個(gè)分析設(shè)備包括標(biāo)準(zhǔn)化單元����,所述標(biāo)準(zhǔn)化單元將用于在所述關(guān)聯(lián)控制系統(tǒng)中出現(xiàn)的事件的數(shù)據(jù)格式轉(zhuǎn)換成用于所述第二分析設(shè)備的數(shù)據(jù)格式,由此對(duì)所述事件進(jìn)行標(biāo)準(zhǔn)化�����。
3.根據(jù)權(quán)利要求2所述的異常檢測(cè)系統(tǒng)�����,其中所述第一分析設(shè)備的所述標(biāo)準(zhǔn)化單元將用于在所述關(guān)聯(lián)控制系統(tǒng)中出現(xiàn)的事件的所述數(shù)據(jù)格式轉(zhuǎn)換成用于所述多個(gè)控制系統(tǒng)的標(biāo)準(zhǔn)數(shù)據(jù)格式��,由此對(duì)所述事件進(jìn)行標(biāo)準(zhǔn)化�����。
4.根據(jù)權(quán)利要求1至3中的任一權(quán)利要求所述的異常檢測(cè)系統(tǒng)���,其中所述多個(gè)分析設(shè)備中的每個(gè)分析設(shè)備包括隱藏單元,所述隱藏單元隱藏描述在所述關(guān)聯(lián)控制系統(tǒng)中出現(xiàn)的事件的數(shù)據(jù)的一部分�。
5.根據(jù)權(quán)利要求4所述的異常檢測(cè)系統(tǒng),其中: 所述第一分析設(shè)備的所述隱藏單元存儲(chǔ)轉(zhuǎn)換表���,所述轉(zhuǎn)換表示出在未隱藏?cái)?shù)據(jù)與隱藏?cái)?shù)據(jù)之間的對(duì)應(yīng)關(guān)系���; 如果所述第二分析設(shè)備確定存在異常����,則所述第二分析設(shè)備向所述第一分析設(shè)備提供異常信息���,所述異常信息包括在從所述第一分析設(shè)備接收的隱藏的事件中包括的隱藏?cái)?shù)據(jù)�;并且 所述第一分析設(shè)備的所述隱藏單元參考所述轉(zhuǎn)換表���,將在所述第二分析設(shè)備提供的所述異常信息中包括的所述隱藏?cái)?shù)據(jù)轉(zhuǎn)換成未隱藏?cái)?shù)據(jù)����,并且識(shí)別在所述關(guān)聯(lián)控制系統(tǒng)中出現(xiàn)的所述異常�。
6.根據(jù)權(quán)利要求4或者5所述的異常檢測(cè)系統(tǒng),其中如果所述第一分析設(shè)備指示的事件與除了所述第一分析設(shè)備之外的分析設(shè)備指示的事件具有相關(guān)性�����,則所述第二分析設(shè)備請(qǐng)求所述第一分析設(shè)備指示未隱藏的事件���,從所述第一分析設(shè)備接收未隱藏的事件��,以及在所述第一分析設(shè)備指示的所述未隱藏的事件與除了所述第一分析設(shè)備之外的所述分析設(shè)備指示的所述事件具有相關(guān)性的條件下確定存在異常���。
7.根據(jù)權(quán)利要求1至6中的任一權(quán)利要求所述的異常檢測(cè)系統(tǒng)�,其中: 所述第二分析設(shè)備向所述多個(gè)分析設(shè)備中的至少一些分析設(shè)備指示異常��,并且 所述多個(gè)分析設(shè)備中的已經(jīng)向其指示所述異常的至少一些分析設(shè)備增加監(jiān)視所述關(guān)聯(lián)控制系統(tǒng)的頻率��。
8.根據(jù)權(quán)利要求1至7中的任一權(quán)利要求所述的異常檢測(cè)系統(tǒng)���,其中所述第一分析設(shè)備動(dòng)態(tài)地改變從所述多個(gè)分析設(shè)備中選擇作為所述第二分析設(shè)備的分析設(shè)備�����。
9.根據(jù)權(quán)利要求8所述的異常檢測(cè)系統(tǒng)��,其中在向同一第二分析設(shè)備的事件指示已經(jīng)持續(xù)某個(gè)時(shí)段或者更長(zhǎng)之后�,所述第一分析設(shè)備選擇新的第二分析設(shè)備����。
10.根據(jù)權(quán)利要求8或者9所述的異常檢測(cè)系統(tǒng),其中所述第一分析設(shè)備在從所述多個(gè)分析設(shè)備中選擇所述第二分析設(shè)備時(shí)向具有短響應(yīng)時(shí)間的分析設(shè)備給予更高優(yōu)先級(jí)����。
11.根據(jù)權(quán)利要求1至10中的任一權(quán)利要求所述的異常檢測(cè)系統(tǒng)��,其中: 所述第一分析設(shè)備包括分析單元,所述分析單元獲取在所述關(guān)聯(lián)控制系統(tǒng)中出現(xiàn)的事件并且分析所述事件以確定所述控制系統(tǒng)是否具有異常����, 所述第二分析設(shè)備包括分析控制單元,所述分析控制單元確定所述多個(gè)控制系統(tǒng)中的任何控制系統(tǒng)是否具有異常�, 所述第一分析設(shè)備的所述分析單元獲取在所述關(guān)聯(lián)控制系統(tǒng)中出現(xiàn)的事件并且確定是否向所述第二分析設(shè)備指示所述事件���,以及如果所述分析單元確定將向所述第二分析設(shè)備指示所述事件��,則向所述第二分析設(shè)備的所述分析控制單元傳送所述事件����, 所述第二分析設(shè)備的所述分析控制單元檢測(cè)在來自多個(gè)第一分析設(shè)備的事件之間的相關(guān)性����,并且在所述事件具有相關(guān)性的條件下確定存在異常,以及如果所述分析控制單元確定存在異常�,則向所述第一分析設(shè)備的所述分析單元指示所述異常,并且 所述第一分析設(shè)備的所述分析單元向所述關(guān)聯(lián)控制系統(tǒng)的管理員報(bào)告所述第二分析設(shè)備所指示的所述異常���。
12.根據(jù)權(quán)利要求1至11中的任一權(quán)利要求所述的異常檢測(cè)系統(tǒng)����,其中: 如果所述第二分析設(shè)備確定存在異常,則所述第二分析設(shè)備向所述第一分析設(shè)備指示異常���,并且 所述第一分析設(shè)備向所述控制系統(tǒng)的所述管理員報(bào)告所述第二分析設(shè)備所指示的所述異常�。
13.根據(jù)權(quán)利要求1至12中`的任一權(quán)利要求所述的異常檢測(cè)系統(tǒng)�����,其中在所述第一分析設(shè)備指示的事件的改變與除`了所述第一分析設(shè)備之外的分析設(shè)備指示的事件的改變具有相關(guān)性的條件下��,由所述第二分析設(shè)備確定存在異常���。
14.一種裝置,被配置用于作為根據(jù)權(quán)利要求11所述的異常檢測(cè)系統(tǒng)的所述分析單元而工作����。
15.一種裝置�����,被配置用于作為根據(jù)權(quán)利要求11所述的異常檢測(cè)系統(tǒng)的所述分析控制單元而工作��。
16.一種程序���,用于使得計(jì)算機(jī)作為根據(jù)權(quán)利要求14所述的裝置而工作。
17.一種程序�����,用于使得計(jì)算機(jī)作為根據(jù)權(quán)利要求15所述的裝置而工作��。
18.一種用于在多個(gè)控制系統(tǒng)中檢測(cè)異常的異常檢測(cè)方法�����,其中: 提供多個(gè)分析設(shè)備����,所述多個(gè)分析設(shè)備與相應(yīng)控制系統(tǒng)關(guān)聯(lián)����,所述多個(gè)分析設(shè)備獲取在關(guān)聯(lián)控制系統(tǒng)中出現(xiàn)的事件并且分析所述事件以確定是否存在異常,所述方法包括: 由所述多個(gè)分析設(shè)備之中的第一分析設(shè)備確定是否將向在所述多個(gè)分析設(shè)備之中的第二分析設(shè)備指示在所述關(guān)聯(lián)控制系統(tǒng)中出現(xiàn)的事件�����;以及 在所述第一分析設(shè)備指示的所述事件與除了所述第一分析設(shè)備之外的分析設(shè)備指示的事件具有相關(guān)性的條件下,由所述第二分析設(shè)備確定存在異常���。
【文檔編號(hào)】G05B23/02GK103502949SQ201280021512
【公開日】2014年1月8日 申請(qǐng)日期:2012年5月8日 優(yōu)先權(quán)日:2011年5月13日
【發(fā)明者】工藤道治, 浦本直彥, 秋山一人 申請(qǐng)人:國際商業(yè)機(jī)器公司