JP2019205125A - Abnormal factor determination device, control system, and abnormal factor determination method - Google Patents

Abnormal factor determination device, control system, and abnormal factor determination method Download PDF

Info

Publication number
JP2019205125A
JP2019205125A JP2018100685A JP2018100685A JP2019205125A JP 2019205125 A JP2019205125 A JP 2019205125A JP 2018100685 A JP2018100685 A JP 2018100685A JP 2018100685 A JP2018100685 A JP 2018100685A JP 2019205125 A JP2019205125 A JP 2019205125A
Authority
JP
Japan
Prior art keywords
control
network
factor determination
abnormality
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018100685A
Other languages
Japanese (ja)
Other versions
JP7071876B2 (en
Inventor
秀享 三宅
Hideyuki Miyake
秀享 三宅
中谷 博司
Hiroshi Nakatani
博司 中谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Energy Systems and Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Energy Systems and Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Energy Systems and Solutions Corp filed Critical Toshiba Corp
Priority to JP2018100685A priority Critical patent/JP7071876B2/en
Publication of JP2019205125A publication Critical patent/JP2019205125A/en
Application granted granted Critical
Publication of JP7071876B2 publication Critical patent/JP7071876B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

To provide an abnormal factor determination device capable of quickly and accurately dealing with a system abnormality.SOLUTION: An abnormal factor determination device according to an embodiment is provided in a control system including a control device that controls equipment by using network data transmitted via a network. The abnormal factor determination device includes a storage unit that stores control state data including a control state indicating an operation state of the control device, and an analysis unit that determines whether the cause of the abnormality occurring in the control system is an attack through the network or a device failure on the basis of the control state data stored in the storage unit when the network data is analyzed.SELECTED DRAWING: Figure 1

Description

本発明の実施形態は、異常要因判定装置、制御システム、および異常要因判定方法に関する。   Embodiments described herein relate generally to an abnormality factor determination device, a control system, and an abnormality factor determination method.

近年、FA(Factory Automation)等の分野における制御装置(制御システム)は、汎用技術、標準技術の採用、オープンネットワークへの接続に伴い、コンピュータウイルスや不正アクセスなどのサイバー攻撃に備えるセキュリティ対策が必須となっている。   In recent years, control devices (control systems) in fields such as FA (Factory Automation) require security measures to prepare for cyber attacks such as computer viruses and unauthorized access due to the adoption of general-purpose technology, standard technology, and connection to open networks. It has become.

セキュリティ対策の一つとして、システムのネットワークを監視しネットワークへの侵入を検知する侵入検知システム(IDS: Intrusion Detection System)が存在する。これはシステム外部からの不正アクセスやシステム内部のマルウェア感染など、サイバー攻撃によるシステムの異常を検知するもので、主にIT(Information Technology)系システムで広く利用されている。   As one of the security measures, there is an intrusion detection system (IDS: Intrusion Detection System) that monitors a system network and detects an intrusion into the network. This detects system abnormalities caused by cyber attacks, such as unauthorized access from outside the system and malware infection inside the system, and is widely used mainly in IT (Information Technology) systems.

特開2012−169731号公報JP 2012-169731 A

制御システムは、異常を検知した場合に、その異常が攻撃によるものか、故障によるものかで取るべき対応は異なる。例えば、攻撃によるものであれば攻撃源のみを遮断し、故障によるものであれば安全を優先するため、システムを停止させるなど、対応が異なる。   When the control system detects an abnormality, the action to be taken differs depending on whether the abnormality is caused by an attack or a failure. For example, if it is due to an attack, only the attack source is blocked, and if it is due to a failure, priority is given to safety.

しかし、従来の装置は、上記2種類の異常のうち、いずれか一方のみを検知することを前提としているので、異常の要因を特定できない。そのため、制御システムで異常が発生した場合、異常への対処に多くの時間を要することが予想される。また、異常の要因を正しく判定できないと、取るべき対策が的外れになり、却って事態を悪化させるおそれがある。   However, since the conventional apparatus is based on the premise that only one of the two types of abnormality is detected, the cause of the abnormality cannot be specified. Therefore, when an abnormality occurs in the control system, it is expected that a long time will be required to deal with the abnormality. In addition, if the cause of the abnormality cannot be determined correctly, the measures to be taken may be inappropriate, and the situation may be worsened.

本発明の実施形態は、システムの異常に対して迅速かつ正確に対処することが可能な異常要因判定装置、制御システム、および異常要因判定方法を提供することを目的とする。   An embodiment of the present invention aims to provide an abnormality factor determination device, a control system, and an abnormality factor determination method capable of quickly and accurately dealing with an abnormality in a system.

一実施形態によれば、異常要因判定装置は、ネットワークを介して伝送されるネットワークデータを用いて機器を制御する制御装置を含む制御システム内に設けられている。この異常要因判定装置は、制御装置の動作状態を示す制御ステートを含む制御ステートデータを保存する保存部と、ネットワークデータを分析する際に、保存部に保存された制御ステートデータに基づいて、制御システムで発生した異常の要因を、ネットワークを介した攻撃であるか、または機器の故障であるかを判別する分析部と、を備える。   According to one embodiment, the abnormality factor determination device is provided in a control system including a control device that controls equipment using network data transmitted via a network. The abnormality factor determination device includes a storage unit that stores control state data including a control state indicating an operation state of the control device, and a control unit configured to perform control based on the control state data stored in the storage unit when analyzing the network data. And an analysis unit that determines whether the cause of the abnormality that has occurred in the system is an attack through a network or a device failure.

本実施形態によれば、システムの異常に対して迅速かつ正確に対処することが可能となる。   According to the present embodiment, it is possible to quickly and accurately cope with a system abnormality.

第1実施形態に係る制御システムの構成を示すブロック図である。It is a block diagram which shows the structure of the control system which concerns on 1st Embodiment. 制御ステートデータの一例を示す図である。It is a figure which shows an example of control state data. 第1実施形態の異常要因判定の処理フローを示したフローチャートである。It is the flowchart which showed the processing flow of abnormality factor determination of 1st Embodiment. 第2実施形態に係る制御システムの構成を示すブロック図である。It is a block diagram which shows the structure of the control system which concerns on 2nd Embodiment. 第2実施形態の異常要因判定の処理フローを示したフローチャートである。It is the flowchart which showed the processing flow of abnormality factor determination of 2nd Embodiment.

以下、本発明の実施形態を図面を参照して説明する。本実施形態は、本発明を限定するものではない。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. This embodiment does not limit the present invention.

(第1実施形態)
図1は、第1実施形態に係る制御システムの構成を示すブロック図である。図1に示す制御システム1は、制御装置11と、HMI(Human Machine Interface)12と、ネットワークスイッチ13と、異常要因判定装置14と、を備える。なお、制御システム1には、制御装置11およびHMI12が複数設けられていてもよいし、これらがネットワークスイッチ13を用いずに直接的に接続される構成であってもよい。 (First embodiment)
FIG. 1 is a block diagram illustrating a configuration of a control system according to the first embodiment. A control system 1 shown in FIG. 1 includes a control device 11, an HMI (Human Machine Interface) 12, a network switch 13, and an abnormality factor determination device 14. The control system 1 may be provided with a plurality of control devices 11 and HMIs 12, or may be configured such that these are directly connected without using the network switch 13.

制御装置11は、ネットワークを介して伝送されるネットワークデータを用いてプラントやFA等に設置された機器を制御する。制御装置11は、コントローラ111と、センサ112と、アクチュエータ113と、を有する。コントローラ111は、例えばPLC(Programmable Logic Controller)で構成されている。センサ112は、制御対象機器の状態や環境等をセンシングする。アクチュエータ113は、コントローラ111の制御に基づいて動作する。なお、制御装置11の構成は、図1に示す構成に限定されず、自律動作する他、HMI12等のユーザ端末からの状態モニタリングや設定変更など、リモート制御も行うことができる構成であってよい。   The control device 11 controls equipment installed in a plant, FA, or the like using network data transmitted via a network. The control device 11 includes a controller 111, a sensor 112, and an actuator 113. The controller 111 is composed of, for example, a PLC (Programmable Logic Controller). The sensor 112 senses the state or environment of the control target device. The actuator 113 operates based on the control of the controller 111. The configuration of the control device 11 is not limited to the configuration illustrated in FIG. 1, and may be configured to perform remote control such as state monitoring and setting change from a user terminal such as the HMI 12 in addition to autonomous operation. .

また、制御装置11は、予め設計された制御ステートに応じた動作を行う。制御装置11は、例えば、「停止中」、「起動中」、「実行待ち」、「実行中」、「テスト中」、「プログラミング中」の6種の制御ステートを有する。ここで、「プログラミング中」には、制御プログラムの書き込みやダウンロードといった動作が含まれる。なお、制御ステートは、上記6種に限定されない。また、制御装置11毎に異なる制御ステートが規定されていてもよい。本実施形態では、コントローラ111が、制御装置11の現在の制御ステートを把握している。   Further, the control device 11 performs an operation according to a control state designed in advance. The control device 11 has, for example, six control states of “stopped”, “starting up”, “waiting for execution”, “running”, “testing”, and “programming”. Here, “programming” includes operations such as writing and downloading of a control program. Note that the control state is not limited to the above six types. Different control states may be defined for each control device 11. In the present embodiment, the controller 111 grasps the current control state of the control device 11.

制御装置11は、上記制御ステートと実行中処理、次実行予定処理を制御ステート情報として制御装置11の外部へ送信し、異常要因判定装置14は、制御ステート情報を受信する。制御装置11が、自身の周期処理毎に処理結果を上位装置へ送信する機能を有する場合、その通信機能を利用し、制御ステート情報を送信することができる。ここで、上位装置とは、制御装置11よりもネットワークの上位に位置する装置であり、例えば、HMI12や異常要因判定装置14が該当する。   The control device 11 transmits the control state, in-execution processing, and next execution scheduled processing as control state information to the outside of the control device 11, and the abnormality factor determination device 14 receives the control state information. When the control device 11 has a function of transmitting a processing result to the host device for each periodic process of itself, the control state information can be transmitted using the communication function. Here, the host device is a device positioned higher in the network than the control device 11, and corresponds to, for example, the HMI 12 and the abnormality factor determination device 14.

制御装置11は、上位装置への周期的な通信処理に制御ステート情報を含めることもできるし、この通信処理とは別のタイミングで送信することもできる。後者の場合、周期処理のタイミングに囚われず柔軟な制御ステート情報の送信が可能となる。   The control device 11 can also include control state information in the periodic communication processing to the host device, or can transmit at a timing different from this communication processing. In the latter case, flexible control state information can be transmitted regardless of the timing of periodic processing.

また、制御ステート情報は、制御装置11から常に送信されるのではなく、特定のモード時のみ送信される構成であってもよい。例えば、制御システム1がテストモードと運用モードを有する場合、HMI12がテストモードであるか運用モードであるかを制御装置11へ伝達する。この場合、制御装置11はテストモード時に制御ステート情報を送信する。また、例えば、異常要因判定装置14が機械学習を利用する場合、制御装置11は、学習モードと判定モードとを有する。この場合、異常要因判定装置14は、学習モードであるか判定モードであるかを制御装置11へ通知する。このとき、制御ステート情報は、学習モード時に送信される。このように、制御装置11の動作状態を示す制御ステートの露出を限定することで、ネットワークの盗聴による制御装置11の内部情報の漏洩を軽減することが可能になる。   Further, the control state information may not be always transmitted from the control device 11 but may be transmitted only in a specific mode. For example, when the control system 1 has a test mode and an operation mode, the control device 11 is notified of whether the HMI 12 is in the test mode or the operation mode. In this case, the control device 11 transmits control state information in the test mode. For example, when the abnormality factor determination device 14 uses machine learning, the control device 11 has a learning mode and a determination mode. In this case, the abnormality factor determination device 14 notifies the control device 11 whether the learning mode or the determination mode is set. At this time, the control state information is transmitted in the learning mode. As described above, by limiting the exposure of the control state indicating the operation state of the control device 11, leakage of internal information of the control device 11 due to network eavesdropping can be reduced.

HMI12は、ネットワークスイッチ13を介して各制御装置11の状態を監視する。ネットワークスイッチ13は、各制御装置11をネットワークに接続する。本実施形態では、このネットワークは、Ethernet(登録商標)であるが、他の規格のネットワークであってもよい。また、ネットワークスイッチ13はミラーポートを有し、このミラーポートに異常要因判定装置14が接続される。これにより、異常要因判定装置14は、ネットワークスイッチ13を介して、制御システム1内を伝送する全てのネットワークデータを取得できる。   The HMI 12 monitors the state of each control device 11 via the network switch 13. The network switch 13 connects each control device 11 to the network. In this embodiment, this network is Ethernet (registered trademark), but may be a network of another standard. Further, the network switch 13 has a mirror port, and an abnormality factor determination device 14 is connected to the mirror port. Thereby, the abnormality factor determination device 14 can acquire all network data transmitted through the control system 1 via the network switch 13.

異常要因判定装置14は、ネットワークデータを分析して異常検知と異常の要因判定処理ができればどのような構成でもよいが、例えば、図1に示すように、通信部141と、分析部142と、保存部143と、表示部144と、を有する。表示部144は、異常要因判定装置14に外付けされてもよいし、HMI12等で遠隔表示するための機能であってもよい。また、異常要因判定装置14の構成要素はハードウェアでもよいし、ソフトウェアとして実現されていてもよい。   The abnormality factor determination device 14 may have any configuration as long as the network data can be analyzed and abnormality detection and abnormality factor determination processing can be performed. For example, as illustrated in FIG. 1, the communication unit 141, the analysis unit 142, A storage unit 143 and a display unit 144 are provided. The display unit 144 may be externally attached to the abnormality factor determination device 14 or may be a function for remote display using the HMI 12 or the like. The constituent elements of the abnormality factor determination device 14 may be hardware or may be realized as software.

通信部141は、制御システム1内の各コンポーネントと通信を行う。分析部142は、通信部141で受信したネットワークデータを分析し、分析結果に基づいて異常の検知および異常の要因判別を行う。保存部143は、分析部142によってネットワークデータから抽出された制御ステート情報を含む制御ステートデータを保存する。この制御ステートデータは、分析部142による異常検知および要因分析に使用される。保存部143は、HDD(Hard Disk Drive)等の記憶装置でもよいし、DRAM(Dynamic Randam Access Memory)等の半導体メモリであってもよい。   The communication unit 141 communicates with each component in the control system 1. The analysis unit 142 analyzes the network data received by the communication unit 141, and performs abnormality detection and abnormality factor determination based on the analysis result. The storage unit 143 stores control state data including control state information extracted from the network data by the analysis unit 142. This control state data is used for abnormality detection and factor analysis by the analysis unit 142. The storage unit 143 may be a storage device such as an HDD (Hard Disk Drive) or a semiconductor memory such as a DRAM (Dynamic Randam Access Memory).

図2は、制御ステートデータの一例を示す図である。図2に示す制御ステートデータ200は、各制御装置11の制御ステートを含むデータである。制御ステートデータ200には、制御装置11毎に、ID(Identification)、IP(Internet Protocol)アドレス、過去の制御ステート、現在の制御ステート、次に実行しようとしている処理情報が示されている。また、制御ステートデータ200には、過去の制御ステートとして、前回の制御ステートと前々回の制御ステートが保存されている。   FIG. 2 is a diagram illustrating an example of control state data. The control state data 200 shown in FIG. 2 is data including the control state of each control device 11. The control state data 200 indicates, for each control device 11, ID (Identification), IP (Internet Protocol) address, past control state, current control state, and processing information to be executed next. The control state data 200 stores the previous control state and the previous control state as past control states.

以下、図3を参照して、第1実施形態に係る異常要因判定装置14による異常要因判定方法について説明する。図3は、異常要因判定の処理フローを示すフローチャートである。   Hereinafter, with reference to FIG. 3, the abnormality factor determination method by the abnormality factor determination device 14 according to the first embodiment will be described. FIG. 3 is a flowchart showing a process flow of abnormality factor determination.

異常要因判定装置14では、まず、通信部141がネットワークデータを受信する(ステップS11)。続いて、分析部142が、通信部141で受信されたネットワークデータの解析処理を実行する(ステップS12)。ステップS2では、分析部142は、例えばネットワークデータから制御ステート情報を抽出する。続いて、分析部142は、抽出した制御ステート情報に基づいて、保存部143に保存されている制御ステートデータ200を更新する(ステップS13)。   In the abnormality factor determination device 14, first, the communication unit 141 receives network data (step S11). Subsequently, the analysis unit 142 performs an analysis process on the network data received by the communication unit 141 (step S12). In step S2, the analysis unit 142 extracts control state information from, for example, network data. Subsequently, the analysis unit 142 updates the control state data 200 stored in the storage unit 143 based on the extracted control state information (step S13).

次に、分析部142は、更新後の制御ステートデータ200を用いて、受信したネットワークデータに対して、現在の制御ステートを考慮した異常検知および要因判定を行う(ステップS14)。ステップS14では、分析部142は、例えば以下のような判定を行う。   Next, the analysis unit 142 performs abnormality detection and factor determination on the received network data in consideration of the current control state, using the updated control state data 200 (step S14). In step S14, the analysis unit 142 performs the following determination, for example.

図2に示す制御ステートデータ200によれば、ID2で識別される制御装置11の制御ステートは、「停止中」であるので、この制御装置11が起点となる通信は発生しないはずである。しかし、受信したネットワークデータの送信元が、この制御装置11のIPアドレスであった場合、分析部142は、不正端末がこの制御装置11に成りすましていると判定する。また、ID1で識別される制御装置11は、「起動中」である。そのため、例えば、この制御装置11に対してプログラムの書き換えを要求するような通信を検知した場合、分析部142は、不正な操作であると判定する。   According to the control state data 200 shown in FIG. 2, since the control state of the control device 11 identified by ID2 is “stopped”, communication starting from this control device 11 should not occur. However, when the transmission source of the received network data is the IP address of the control device 11, the analysis unit 142 determines that the unauthorized terminal is impersonating the control device 11. Further, the control device 11 identified by ID1 is “active”. Therefore, for example, when communication that requests rewriting of the program to the control device 11 is detected, the analysis unit 142 determines that the operation is an unauthorized operation.

なお、分析部142の判定処理は、制御システム1の仕様に基づいて予め判定ルールを作成して実現してもよいし、機械学習等の手法を利用して判定ルールを改定しながら実現してもよい。また、分析部142の判定処理は、上述した方法に限定されない。例えば、分析部142は、ネットワークデータに関して異常パターンとのマッチングや正常時との乖離度等を分析することで異常を検知し、異常を検知した場合、その要因が攻撃によるものか故障によるものかを判別してもよい。   Note that the determination process of the analysis unit 142 may be realized by creating a determination rule in advance based on the specifications of the control system 1 or by revising the determination rule using a method such as machine learning. Also good. Moreover, the determination process of the analysis part 142 is not limited to the method mentioned above. For example, the analysis unit 142 detects an abnormality by analyzing a matching with an abnormal pattern or a deviation degree from a normal state with respect to network data, and when an abnormality is detected, whether the cause is an attack or a failure. May be determined.

分析部142による判定結果が異常であった場合(ステップS15)、表示部144は判定結果を表示しユーザに注意を促す(ステップS16)。表示内容には、判定結果とともに判定原因となる端末情報や対処法が含まれていてもよい。   If the determination result by the analysis unit 142 is abnormal (step S15), the display unit 144 displays the determination result and alerts the user (step S16). The display contents may include the terminal information and the countermeasures that are the cause of determination together with the determination result.

また、ステップS15で具体的な異常要因が判別できる場合、制御システム1が要因に応じた対応策を自動的に実行してもよい。例えば、異常要因が不正端末からの攻撃である場合には、ネットワークスイッチ13が、分析部142の指示に基づいて、その不正端末からの通信を遮断したり、各制御装置11に対して不正端末からの通信を無視したりするなどの処理を実行する。   When a specific abnormality factor can be determined in step S15, the control system 1 may automatically execute a countermeasure according to the factor. For example, when the cause of the abnormality is an attack from an unauthorized terminal, the network switch 13 blocks communication from the unauthorized terminal based on an instruction from the analysis unit 142, Execute processing such as ignoring communication from.

また、異常要因が故障である場合、ネットワークスイッチ13は、分析部142の指示に基づいて制御装置11の接続を冗長構成の待機系に切り替える処理を実行する。例えば、図1に示す制御装置Bが、制御装置Aの冗長として設けられている場合、制御装置Aの故障に伴って、ネットワークスイッチ13は、制御装置Aのネットワークへの接続を切り離して制御装置Bのみをネットワークに接続させる。   If the abnormality factor is a failure, the network switch 13 executes a process of switching the connection of the control device 11 to a redundant standby system based on an instruction from the analysis unit 142. For example, when the control device B shown in FIG. 1 is provided as a redundancy of the control device A, the network switch 13 disconnects the connection of the control device A to the network when the control device A fails. Connect only B to the network.

上記のように、ネットワークスイッチ13が、分析部142の分析結果に応じて、ネットワークへの接続に関する処置を実行することによって、異常要因に応じた対応策が自動的に実行される。   As described above, the network switch 13 executes a measure relating to connection to the network according to the analysis result of the analysis unit 142, so that a countermeasure corresponding to the abnormality factor is automatically executed.

以上説明した本実施形態によれば、制御システム1内に異常要因判定装置14を設けることで異常検知と要因判定を実施し、要因が攻撃によるものか、故障によるものかといった判定結果を出力できる。そのため、ユーザが異常の要因や故障箇所を把握することができるので、異常要因判定結果に基づいて対策の自動化をすることも可能となる。また、異常要因判定装置14は、各制御装置11の制御ステート情報を利用しているので、精度良く異常検知、要因判定を行うことが可能となる。   According to the present embodiment described above, abnormality detection and factor determination are performed by providing the abnormality factor determination device 14 in the control system 1, and a determination result indicating whether the factor is due to an attack or a failure can be output. . Therefore, since the user can grasp the cause of the abnormality and the failure location, it is possible to automate countermeasures based on the abnormality factor determination result. Further, since the abnormality factor determination device 14 uses the control state information of each control device 11, it is possible to detect an abnormality and determine the factor with high accuracy.

(第2実施形態)
以下、第2実施形態について、第1実施形態と異なる点を中心に説明する。図4は、第2実施形態に係る制御システムの構成を示すブロック図である。図4に示す制御システム2は、制御システム1の構成要素に加えて、各制御装置11を統括する集約サーバ15を備える点で第1実施形態と異なる。 (Second Embodiment)
Hereinafter, the second embodiment will be described focusing on differences from the first embodiment. FIG. 4 is a block diagram illustrating a configuration of a control system according to the second embodiment. The control system 2 shown in FIG. 4 is different from the first embodiment in that in addition to the components of the control system 1, the control system 2 includes an aggregation server 15 that controls each control device 11.

集約サーバ15は、制御装置11とネットワークスイッチ13を介して接続されている。ただし、集約サーバ15は、制御装置11と直接接続されていてもよい。集約サーバ15は、例えば、制御装置11のパラメータ書き換えや制御指示を与えたり、各制御装置11から周期的に送信される処理結果を受信したりするといった、制御装置11の監視と制御を行う。また、集約サーバ15は、制御システム2の現場側ゲートウェイとして遠隔地に配置されたHMI12からの通信を中継する機能などを有する。本実施形態では、異常要因判定装置14は、集約サーバ15に内包される構成であってもよい。   The aggregation server 15 is connected to the control device 11 via the network switch 13. However, the aggregation server 15 may be directly connected to the control device 11. The aggregation server 15 performs monitoring and control of the control device 11 such as, for example, rewriting parameters of the control device 11, giving a control instruction, and receiving processing results periodically transmitted from each control device 11. In addition, the aggregation server 15 has a function of relaying communication from the HMI 12 disposed at a remote location as a site-side gateway of the control system 2. In the present embodiment, the abnormality factor determination device 14 may be included in the aggregation server 15.

集約サーバ15は、各制御装置11の動作状態を把握しているので、各制御装置11の制御ステートを保有している。集約サーバ15は、この制御ステートを、自発的にまたは異常要因判定装置14の要求に基づいて送信する。異常要因判定装置14は、集約サーバ15から制御ステートを受信して、第1実施形態と同様に異常検知と要因判定を実施する。   Since the aggregation server 15 knows the operation state of each control device 11, it holds the control state of each control device 11. The aggregation server 15 transmits this control state either spontaneously or based on a request from the abnormality factor determination device 14. The abnormality factor determination device 14 receives the control state from the aggregation server 15 and performs abnormality detection and factor determination as in the first embodiment.

また、集約サーバ15は、制御装置11と比較してCPU(Central Processing Unit)処理能力が高く、機器認証やセキュア通信などの一般的な情報セキュリティ機能を組み込むことができる。そのため、集約サーバ15と異常要因判定装置14との通信路を暗号化することで、ステート情報とデータの漏洩を防ぐことも可能である。集約サーバ15に異常要因判定装置14を内包する構成の場合には、上記通信路の盗聴対策を実現することができる。   Further, the aggregation server 15 has a CPU (Central Processing Unit) processing capability higher than that of the control device 11, and can incorporate general information security functions such as device authentication and secure communication. Therefore, it is also possible to prevent leakage of state information and data by encrypting the communication path between the aggregation server 15 and the abnormality factor determination device 14. In the case where the aggregation server 15 includes the abnormality factor determination device 14, it is possible to realize the countermeasure against eavesdropping on the communication path.

以下、図5を参照して、第2実施形態に係る異常要因判定装置14による異常要因判定方法について説明する。図5は、異常要因判定方法の処理フローを示すフローチャートである。図5に示すように、異常要因判定装置14は、制御ステートデータ200の更新処理と、異常検知および要因判定処理とをそれぞれ独立して非同期的に実行する。   Hereinafter, with reference to FIG. 5, the abnormality factor determination method by the abnormality factor determination device 14 according to the second embodiment will be described. FIG. 5 is a flowchart showing a processing flow of the abnormality factor determination method. As shown in FIG. 5, the abnormality factor determination device 14 executes the update process of the control state data 200 and the abnormality detection and factor determination process independently and asynchronously.

まず、制御ステートデータ200の更新処理について説明する。ここでは、集約サーバ15が自発的に各制御装置11の制御ステートを送信する場合について説明する。この場合、異常要因判定装置14は、制御ステートの受信を待つ状態となっている(ステップS21)。その後、通信部141が集約サーバ15から制御ステートを受信すると(ステップS22)、分析部142は、保存部143に保存されている制御ステートデータ200を更新する(ステップS23)。その後、ステップS21に戻って、異常要因判定装置14は、制御ステートの受信を待つ状態に戻る。   First, the update process of the control state data 200 will be described. Here, a case where the aggregation server 15 spontaneously transmits the control state of each control device 11 will be described. In this case, the abnormality factor determination device 14 is in a state of waiting for reception of the control state (step S21). Thereafter, when the communication unit 141 receives the control state from the aggregation server 15 (step S22), the analysis unit 142 updates the control state data 200 stored in the storage unit 143 (step S23). Thereafter, the process returns to step S21, and the abnormality factor determination device 14 returns to a state of waiting for reception of the control state.

次に、異常検知および要因判定処理について説明する。上記ステップS21〜S23の動作が繰り返されている際に、通信部141がネットワークデータを受信すると(ステップS24)、分析部142は、保存部143から制御ステートデータ200を読み出す(ステップS25)。続いて、分析部142は、受信したネットワークデータに対して、ステップS25で読み出した現在の制御ステートに基づく異常検知および要因判定を行う(ステップS26)。分析部142による判定結果が異常であった場合(ステップS27)、表示部144は判定結果を表示しユーザに注意を促す(ステップS28)。   Next, abnormality detection and factor determination processing will be described. When the communication unit 141 receives network data while the operations in steps S21 to S23 are repeated (step S24), the analysis unit 142 reads the control state data 200 from the storage unit 143 (step S25). Subsequently, the analysis unit 142 performs abnormality detection and factor determination on the received network data based on the current control state read in step S25 (step S26). If the determination result by the analysis unit 142 is abnormal (step S27), the display unit 144 displays the determination result and alerts the user (step S28).

以上説明した本実施形態によれば、集約サーバ15が把握している制御ステート情報を利用した異常検知および要因判定処理が実現できる。そのため、各制御装置11が制御ステート情報を送信する分の帯域を削減できるようになる。   According to the present embodiment described above, the abnormality detection and factor determination processing using the control state information grasped by the aggregation server 15 can be realized. Therefore, it becomes possible to reduce the bandwidth for each control device 11 to transmit the control state information.

以上、いくつかの実施形態および変形例を説明したが、これらの実施形態は、例としてのみ提示したものであり、発明の範囲を限定することを意図したものではない。本明細書で説明した新規なシステムは、その他の様々な形態で実施することができる。また、本明細書で説明したシステムの形態に対し、発明の要旨を逸脱しない範囲内で、種々の省略、置換、変更を行うことができる。添付の特許請求の範囲およびこれに均等な範囲は、発明の範囲や要ことに含まれるこのような形態や変形例を含むように意図されている。   Although several embodiments and modifications have been described above, these embodiments are presented only as examples and are not intended to limit the scope of the invention. The novel system described herein can be implemented in various other forms. Various omissions, substitutions, and changes can be made to the system configuration described in the present specification without departing from the gist of the invention. The appended claims and their equivalents are intended to include such forms and modifications as are within the scope and spirit of the invention.

11 制御装置、13 ネットワークスイッチ、14 異常要因判定装置、15 集約サーバ、142 分析部、143 保存部、144 表示部 DESCRIPTION OF SYMBOLS 11 Control apparatus, 13 Network switch, 14 Abnormal factor determination apparatus, 15 Aggregation server, 142 Analysis part, 143 Storage part, 144 Display part

Claims (6)

ネットワークを介して伝送されるネットワークデータを用いて機器を制御する制御装置を含む制御システム内に設けられた異常要因判定装置であって、
前記制御装置の動作状態を示す制御ステートを含む制御ステートデータを保存する保存部と、
前記ネットワークデータを分析する際に、前記保存部に保存された前記制御ステートデータに基づいて、前記制御システムで発生した異常の要因を、前記ネットワークを介した攻撃であるか、または前記機器の故障であるかを判別する分析部と、
を備える異常要因判定装置。 An abnormality factor determination device provided in a control system including a control device that controls equipment using network data transmitted via a network,
A storage unit for storing control state data including a control state indicating an operation state of the control device;
When analyzing the network data, based on the control state data stored in the storage unit, the cause of the abnormality that occurred in the control system is an attack through the network, or the failure of the device An analysis unit for determining whether or not
An abnormality factor determination device comprising: ネットワークを介して伝送されるネットワークデータを用いて機器を制御する制御装置と、前記制御装置を前記ネットワークに接続するネットワークスイッチと、前記ネットワークスイッチに接続された異常要因判定装置と、を備える制御システムであって、
前記異常要因判定装置は、
前記制御装置の動作状態を示す制御ステートを含む制御ステートデータを保存する保存部と、
前記ネットワークデータを分析する際に、前記保存部に保存された前記制御ステートデータに基づいて、前記制御システムで発生した異常の要因を、前記ネットワークを介した攻撃であるか、または前記機器の故障であるかを判別する分析部と、を有する、制御システム。 A control system comprising: a control device that controls equipment using network data transmitted via a network; a network switch that connects the control device to the network; and an abnormality factor determination device that is connected to the network switch. Because
The abnormality factor determination device includes:
A storage unit for storing control state data including a control state indicating an operation state of the control device;
When analyzing the network data, based on the control state data stored in the storage unit, the cause of the abnormality that occurred in the control system is an attack through the network, or the failure of the device And an analysis unit for determining whether the control system is a control system. 前記ネットワークスイッチは、前記分析部の分析結果に応じて、前記ネットワークへの接続に関する処置を実行する、請求項2に記載の制御システム。   The control system according to claim 2, wherein the network switch executes a measure relating to connection to the network according to an analysis result of the analysis unit. 前記制御装置は、前記制御ステートを定常的に前記異常要因判定装置へ送信する、請求項2または3に記載の制御システム。   The control system according to claim 2 or 3, wherein the control device constantly transmits the control state to the abnormality factor determination device. 前記制御装置から取得した前記制御ステートを前記異常要因判定装置へ送信する集約サーバを備える、請求項2または3に記載の制御システム。   The control system according to claim 2, further comprising an aggregation server that transmits the control state acquired from the control device to the abnormality factor determination device. ネットワークを介して伝送されるネットワークデータを用いて機器を制御する制御装置を含む制御システムの異常要因判定方法であって、
前記制御装置の動作状態を示す制御ステートを含む制御ステートデータを保存し、
前記ネットワークデータを分析する際に、保存された前記制御ステートデータに基づいて、前記制御システムで発生した異常の要因を、前記ネットワークを介した攻撃であるか、または前記機器の故障であるかを判別する、異常要因判定方法。 An abnormality factor determination method for a control system including a control device that controls equipment using network data transmitted over a network,
Storing control state data including a control state indicating an operation state of the control device;
When analyzing the network data, based on the stored control state data, whether the cause of the abnormality occurring in the control system is an attack through the network or a failure of the device Abnormal factor determination method to determine.
JP2018100685A 2018-05-25 2018-05-25 Control system and error factor determination method Active JP7071876B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018100685A JP7071876B2 (en) 2018-05-25 2018-05-25 Control system and error factor determination method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018100685A JP7071876B2 (en) 2018-05-25 2018-05-25 Control system and error factor determination method

Publications (2)

Publication Number Publication Date
JP2019205125A true JP2019205125A (en) 2019-11-28
JP7071876B2 JP7071876B2 (en) 2022-05-19

Family

ID=68727434

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018100685A Active JP7071876B2 (en) 2018-05-25 2018-05-25 Control system and error factor determination method

Country Status (1)

Country Link
JP (1) JP7071876B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022176253A1 (en) * 2021-02-19 2022-08-25 日立Astemo株式会社 Electronic control system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014179074A (en) * 2013-03-13 2014-09-25 General Electric Co <Ge> Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems
JP2016123029A (en) * 2014-12-25 2016-07-07 株式会社東芝 Control device, determination method, and computer program
JP2017199365A (en) * 2016-04-25 2017-11-02 ゼネラル・エレクトリック・カンパニイ Domain level threat detection for industrial asset control system
JP2017228887A (en) * 2016-06-21 2017-12-28 株式会社日立製作所 Control system, network device, and control method of control device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014179074A (en) * 2013-03-13 2014-09-25 General Electric Co <Ge> Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems
JP2016123029A (en) * 2014-12-25 2016-07-07 株式会社東芝 Control device, determination method, and computer program
JP2017199365A (en) * 2016-04-25 2017-11-02 ゼネラル・エレクトリック・カンパニイ Domain level threat detection for industrial asset control system
JP2017228887A (en) * 2016-06-21 2017-12-28 株式会社日立製作所 Control system, network device, and control method of control device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022176253A1 (en) * 2021-02-19 2022-08-25 日立Astemo株式会社 Electronic control system

Also Published As

Publication number Publication date
JP7071876B2 (en) 2022-05-19

Similar Documents

Publication Publication Date Title
US10601634B2 (en) Cloud service control device having an information transferor configured to limit the transfer of service information, a cloud service control system having a cloud service control device, a related cloud service control method, and a related storage medium
US11463409B2 (en) System and method of utilizing network security devices for industrial device protection and control
US20220294715A1 (en) Edge-based intelligence for anomaly detection
US10574671B2 (en) Method for monitoring security in an automation network, and automation network
US20170155717A1 (en) Direct memory access for endpoint devices
US10678592B2 (en) Process control system
WO2018134939A1 (en) Attack detection device, attack detection method, and attack detection program
US10320747B2 (en) Automation network and method for monitoring the security of the transfer of data packets
US20210264026A1 (en) Unauthorized communication detection device, unauthorized communication detection method and manufacturing system
JP7071876B2 (en) Control system and error factor determination method
WO2020166329A1 (en) Control system
WO2018193571A1 (en) Device management system, model learning method, and model learning program
EP3598713B1 (en) Establishing a secure communication in an industrial control environment
WO2014042636A1 (en) Packet intrusion inspection in an industrial control network
US10922412B2 (en) Automatic tampering detection in networked control systems
US20220210132A1 (en) Communication monitoring and coping apparatus, communication monitoring and coping method, and communication monitoring and coping system
Negi et al. Intrusion Detection & Prevention in Programmable Logic Controllers: A Model-driven Approach
KR20230110619A (en) pump system
US10884840B2 (en) Controlled monitoring based on root cause analysis recommendations
JP2017228887A (en) Control system, network device, and control method of control device
WO2018035770A1 (en) Network anomaly processing method and system
US20210303329A1 (en) Communication processing device, program and communication processing method
US20230388323A1 (en) System and method for enhancing computer network reliability by countering disruptions in network communications
EP3598712B1 (en) Commissioning an industrial controller system for establishing a secure communication
CN110069049B (en) Automatic tamper detection in a network control system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211012

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220311

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220408

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220509

R150 Certificate of patent or registration of utility model

Ref document number: 7071876

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150