在現代 AMI 環境中,智慧電表與閘道器的通訊模式極具規律性。任何偏離這些模式的行為都是配置錯誤、維運異常或資安威脅的重要早期指標。本手冊提供了一套結構化方法,協助 IT 與 OT 團隊偵測並驗證最常見的網路層級異常。

關鍵 AMI 異常類型與驗證步驟

1. 發現不明設備

AMI 子網路中出現新硬體,通常反映了未記錄的外勤工作、電表更換或未經授權的廠商存取。

Mendel 偵測: 自動識別新資產並根據角色(如 DLMS/COSEM 伺服器)進行分類。

驗證檢查清單:

  • 服務驗證: 確認該區域近期是否有維護記錄或電表更換。
  • 通訊分析: 審視該設備使用的協定、連接埠及其主要的通訊對象。
  • 模式比對: 與同一子網路中已知的電表類型行為進行比對。
外勤行動建議:若驗證後仍無法確認設備身分,應進行實地核查以確保資產記錄正確並防範入侵。

2. 首次出現的通訊模式

出現未曾見過的協定或連接埠,可能代表未經授權的韌體更新、診斷工具誤用或配置偏移。

驗證檢查清單:

  • 標準合規性: 驗證該協定是否屬於標準 AMI 營運範疇。
  • 維護背景: 檢查近期是否有韌體推送或廠商維護活動。
  • 地理位置審查: 確保通訊目的地國家不具備資安疑慮。
外勤行動建議:若通訊行為與核准服務不符,應對相關集中器進行配置審查。

3. 違反網路分段的禁止通訊

通訊超出核准邊界(例如流量流向網際網路),通常代表路由錯誤、防火牆或閘道器配置失效。

驗證檢查清單:

  • 架構對齊: 確認目的地是否屬於核准的 AMI 通訊設計(如 Head-End 平台)。
  • 變更審計: 檢查近期是否有路由或防火牆規則的變更記錄。
外勤行動建議:若違規通訊持續,需重新配置閘道器以限制流量僅能流向核准的目的地。

4. 未預期的 DLMS/COSEM 參數變更

應用程式層級出現未預期的 SET 操作,可能代表電表數值或設定遭到未經授權的篡改。

驗證檢查清單:

  • 基準比對: 將新參數值與預期的基準配置進行比對。
  • 來源歸因: 驗證發起變更的 IP 地址是否為受信任且獲授權的系統。
外勤行動建議:若變更無法解釋,應恢復基準配置,並在重新投入營運前審查變更來源。

結語

網路層級的可視性將異常偵測轉化為具體的維運控制。透過實施這些實戰手冊與一致的驗證步驟,團隊可以確保 AMI 環境的穩定與安全。

關於GREYCORTEX
GREYCORTEX使用先進的人工智能,機器學習和數據挖掘方法來幫助組織使其IT操作安全可靠。MENDEL是GREYCORTEX的網絡流量分析解決方案,它可以通過檢測對其他網絡安全產品所缺少的敏感數據,網絡,商業機密和聲譽的網絡威脅,來幫助公司,政府和關鍵基礎設施部門保護其未來。MENDEL基於十年的廣泛學術研究,並使用在四項美國NIST挑戰賽中均獲得成功的技術進行設計。

關於 Version 2 Digital
資安解決方案 專業代理商與領導者
台灣二版 ( Version 2 ) 是亞洲其中一間最有活力的 IT 公司,多年來深耕資訊科技領域,致力於提供與時俱進的資安解決方案 ( 如EDR、NDR、漏洞管理 ),工具型產品 ( 如遠端控制、網頁過濾 ) 及資安威脅偵測應 變服務服務 ( MDR ) 等,透過龐大銷售點、經銷商及合作伙伴,提供廣被市場讚賞的產品及客製化、在地化的專業服務。

台灣二版 ( Version 2 ) 的銷售範圍包括台灣、香港、中國內地、新加坡、澳門等地區,客戶涵 蓋各產業,包括全球 1000 大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企業及來自亞 洲各城市的消費市場客戶。