CN110192196B - 攻击/异常检测装置、攻击/异常检测方法和存储介质 - Google Patents
攻击/异常检测装置、攻击/异常检测方法和存储介质 Download PDFInfo
- Publication number
- CN110192196B CN110192196B CN201780083750.1A CN201780083750A CN110192196B CN 110192196 B CN110192196 B CN 110192196B CN 201780083750 A CN201780083750 A CN 201780083750A CN 110192196 B CN110192196 B CN 110192196B
- Authority
- CN
- China
- Prior art keywords
- command
- actual
- manufacturing
- normal
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 159
- 238000004519 manufacturing process Methods 0.000 claims abstract description 235
- 230000005856 abnormality Effects 0.000 claims abstract description 42
- 239000000284 extract Substances 0.000 claims abstract description 18
- 238000000034 method Methods 0.000 claims description 55
- 238000000605 extraction Methods 0.000 claims description 32
- 238000012545 processing Methods 0.000 claims description 24
- 238000004088 simulation Methods 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 238000005259 measurement Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 28
- 238000012806 monitoring device Methods 0.000 description 6
- 238000009825 accumulation Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000007796 conventional method Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000001186 cumulative effect Effects 0.000 description 3
- 238000003780 insertion Methods 0.000 description 3
- 230000037431 insertion Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4184—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/41885—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by modeling, simulation of the manufacturing system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Manufacturing & Machinery (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Computer And Data Communications (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明的攻击/异常检测装置具有:命令提取部,其从存储在命令存储区域中的包含命令目的地和到达顺序的信息在内的正常制造命令的集合和实际制造命令的集合中,分别提取具有与新接收到的实际制造命令中包含的命令目的地相同的命令目的地的元素;以及检测部,其按照提取出的两个元素的到达顺序对命令内容进行比较,由此检测攻击/异常。
Description
技术领域
本发明涉及检测由于针对与工厂/车间等的控制有关的命令(以下称作制造命令)的网络攻击或故障等异常而导致的不正当篡改/插入、丢弃的技术。
背景技术
已公开有使用用于识别制造命令中包含的制造对象产品的产品ID检测制造工序的异常的方法(例如参照专利文献1)。
进而,还公开有如下方法:通过仿真而取得工厂/车间等的正常运行状况,对实际的工厂/车间等的运行状况和事前取得的仿真结果进行比较,由此检测异常(例如参照专利文献2)。
现有技术文献
专利文献
专利文献1:日本特开2016-014992号公报
专利文献2:日本特开2013-218725号公报
发明内容
发明要解决的课题
但是,现有技术存在以下课题。
在专利文献1、2的现有方法中,通过仿真而取得正常的制造命令流,存储制造命令的时序顺序作为正常命令组。进而,在现有方法中,同样还存储实际的工厂/车间等中的制造命令的时序顺序作为实际命令组。
而且,在现有方法中,在实际的工厂/车间等中产生新的制造命令的时点,从正常命令组和实际命令组中仅提取具有新的制造命令的产品ID的命令组,对提取结果进行比较,由此能够检测制造命令的攻击/异常。但是,在现有方法中,在存在不包含产品ID的制造命令的情况下,很难进行检测。
本发明正是为了解决所述课题而完成的,其目的在于,得到一种攻击/异常检测装置、攻击/异常检测方法和计算机能读取的存储介质,在存在不包含产品ID的制造命令的情况下,也能够检测由于网络攻击或故障等异常而导致的不正当篡改/插入、丢弃。
用于解决课题的手段
本发明的攻击/异常检测装置具有存储部、命令提取部和检测部,检测实际工厂内的制造命令中包含的攻击/异常,其中,存储部具有存储有正常制造命令的集合的正常命令存储区域和存储有从实际工厂发送的实际制造命令的集合的实际命令存储区域,命令提取部从实际工厂接收构成为包含命令目的地、命令名和命令参数的实际制造命令,关于命令目的地相同的实际制造命令,按照接收的顺序赋予到达顺序的编号,作为实际制造命令的集合的1个元素存储在实际命令存储区域中,在本次接收到实际制造命令时,从作为包含命令目的地、命令名、命令参数和到达顺序的结构而存储在正常命令存储区域中的正常制造命令的集合中,提取具有与本次接收到的实际制造命令中包含的命令目的地相同的命令目的地的元素作为正常命令组,从存储在实际命令存储区域中的实际制造命令的集合中,提取具有与本次接收到的实际制造命令中包含的命令目的地相同的命令目的地的元素作为实际命令组,检测部执行按照到达顺序对由命令提取部提取出的正常命令组和实际命令组进行比较的第1检测处理,由此检测攻击/异常。
此外,本发明的攻击/异常检测方法是由检测实际工厂内的制造命令中包含的攻击/异常的攻击/异常检测装置执行的,其中,攻击/异常检测方法具有以下步骤:第1步骤,从实际工厂接收构成为包含命令目的地、命令名和命令参数的实际制造命令;第2步骤,关于命令目的地相同的实际制造命令,按照接收的顺序赋予到达顺序的编号,作为实际制造命令的集合的1个元素存储在实际命令存储区域中;第3步骤,作为包含命令目的地、命令名、命令参数和到达顺序的结构,在正常命令存储区域中存储正常制造命令的集合;第4步骤,在本次接收到实际制造命令时,从通过第3步骤存储在正常命令存储区域中的正常制造命令的集合中,提取具有与本次接收到的实际制造命令中包含的命令目的地相同的命令目的地的元素作为正常命令组;第5步骤,从存储在实际命令存储区域中的实际制造命令的集合中,提取具有与本次接收到的实际制造命令中包含的命令目的地相同的命令目的地的元素作为实际命令组;以及第6步骤,执行按照到达顺序对通过第4步骤提取出的正常命令组和通过第5步骤提取出的实际命令组进行比较的第1检测处理,由此检测攻击/异常。
进而,本发明的存储有攻击/异常检测程序的计算机能读取的存储介质,该攻击/异常检测程序用于作为攻击/异常检测装置具有的命令提取部和检测部发挥功能。
发明效果
根据本发明,具有以下结构:从存储在命令存储区域中的包含命令目的地和到达顺序的信息在内的正常制造命令的集合和实际制造命令的集合中,分别提取具有与新接收到的实际制造命令中包含的命令目的地相同的命令目的地的元素;以及按照提取出的两个元素的到达顺序对命令内容进行比较,由此检测攻击/异常。其结果是,得到一种攻击/异常检测装置、攻击/异常检测方法和计算机能读取的存储介质,在存在不包含产品ID的制造命令的情况下,也能够检测由于网络攻击或故障等异常而导致的不正当篡改/插入、丢弃。
附图说明
图1是本发明的实施方式1中的检测服务器的结构图。
图2是示出本发明的实施方式1中的检测服务器、工厂仿真器和实际工厂的连接结构的图。
图3是示出本发明的实施方式1中的检测服务器、工厂仿真器和实际工厂监视装置的硬件结构例的图。
图4是示出由本发明的实施方式1中的检测服务器执行的攻击/异常检测处理的一连串动作的流程图。
图5是作为本发明的实施方式1中的命令存储区域的具体例,示出命令存储区域存储的状态的图。
图6是作为本发明的实施方式1中的命令存储区域的具体例,示出在图5所示的命令存储区域的例子的状态下进一步从实际工厂新接收1个制造命令而被更新后的命令存储区域存储的状态的图。
图7是作为本发明的实施方式1中的命令存储区域的具体例,示出在图6所示的命令存储区域的例子的状态下进一步从实际工厂新接收1个制造命令而被更新后的命令存储区域存储的状态的图。
图8是本发明的实施方式2中的检测服务器的结构图。
图9是示出由本发明的实施方式2中的检测服务器执行的攻击/异常检测处理的一连串动作的流程图。
图10是作为本发明的实施方式2中的命令存储区域的具体例,示出命令存储区域存储的状态的图。
图11是作为本发明的实施方式2中的命令存储区域的具体例,示出在图10所示的命令存储区域的例子的状态下进一步从实际工厂新接收1个制造命令而被更新后的命令存储区域存储的状态的图。
图12是作为本发明的实施方式2中的命令存储区域的具体例,示出在图11所示的命令存储区域的例子的状态下进一步从实际工厂新接收1个制造命令而被更新后的命令存储区域存储的状态的图。
图13是本发明的实施方式3中的检测服务器的结构图。
图14是示出由本发明的实施方式3中的检测服务器执行的攻击/异常检测处理的一连串动作的流程图。
图15是作为本发明的实施方式3中的命令存储区域的具体例,示出命令存储区域存储的状态的图。
图16是作为本发明的实施方式3中的命令存储区域的具体例,示出在图15所示的命令存储区域的例子的状态下进一步从实际工厂新接收1个制造命令而被更新后的命令存储区域存储的状态的图。
具体实施方式
下面,使用附图对本发明的攻击/异常检测装置、攻击/异常检测方法和计算机能读取的存储介质的优选实施方式进行说明。
本发明着眼于,不仅是多品种少量生产的工厂/车间等,在要求少品种大量生产的大规模定制生产中,也以制造命令的目的地单位保证针对作为制造命令目的地的生产设备等的制造命令发行顺序。而且,根据该关注点,技术特征在于,在正常命令组和实际命令组的比较时,仅提取具有与工厂/车间等中新产生的制造命令目的地相同的目的地的制造命令进行比较,由此解决现有技术的课题。
在以下的各实施方式中,说明如下的攻击/异常检测装置等:对从仿真正常制造命令流的计算机(以下称作仿真装置)取得的正常制造命令和从实际的工厂/车间等(以下称作实际工厂)得到的实际制造命令流进行比较,由此能够检测攻击/异常。另外,通过各实施方式的流程图所示的步骤,能够实现本发明的信息处理方法。
实施方式1
图1是本发明的实施方式1中的检测服务器101的结构图。检测服务器101相当于攻击/异常检测装置的具体例。
检测服务器101由不同目的地命令提取部102、攻击/异常检测部103和命令存储区域110构成。此外,命令存储区域110由正常命令存储区域120和实际命令存储区域130构成。而且,命令存储区域110存储检测服务器101保持的信息。
在正常命令存储区域120中例如存储有图1所示的信息。即,本实施方式1中的正常命令存储区域120由命令目的地121、命令名122、命令参数123和到达顺序124构成。
在实际命令存储区域130中例如存储有图1所示的信息。即,本实施方式1中的实际命令存储区域130由命令目的地131、命令名132、命令参数133和到达顺序134构成。
工厂仿真器151相当于仿真装置的例子。实际工厂152相当于实际工厂的例子。
图2是示出本发明的实施方式1中的检测服务器101、工厂仿真器151和实际工厂152的连接结构的图。工厂仿真器151具有实现仿真并发送结果的工厂仿真器210。工厂仿真器210由命令发送部211和工厂仿真部212构成。
实际工厂152具有监视工厂内的制造命令并发送结果的实际工厂监视装置220。实际工厂监视装置220由命令发送部221和命令监视部222构成。
另外,检测服务器101也可以构成为连接有多个工厂仿真器151和多个实际工厂152。进而,与检测服务器101连接的工厂仿真器151也可以是多个工厂仿真器151由多层构成的网络结构,同样,实际工厂152也可以是多个实际工厂152由多层构成的网络结构。
上述检测服务器101、工厂仿真器210和实际工厂监视装置220是计算机,数据管理装置的各结构元素能够通过程序来执行处理。此外,能够将程序存储在存储介质中,从存储介质读取到计算机中。
图3是示出本发明的实施方式1中的检测服务器101、工厂仿真器210和实际工厂监视装置220的硬件结构例的图。在图3中,运算装置301、外部存储装置302、主存储装置303和通信装置304通过总线305相互连接。
运算装置301是执行程序的CPU(Central Processing Unit:中央处理单元)。外部存储装置302例如是ROM(Read Only Memory:只读存储器)或硬盘。
主存储装置303通常是RAM(Random Access Memory:随机存取存储器)。通信装置304通常是与以太网(注册商标)对应的通信卡。
程序通常存储在外部存储装置302中,在载入到主存储装置303的状态下依次读入到运算装置301而执行处理。具体的程序相当于实现在图1中作为不同目的地命令提取部102和攻击/异常检测部103说明的功能的程序。
此外,图1所示的命令存储区域110例如由外部存储装置302实现。
进而,在外部存储装置302中还存储有操作系统(OS)。而且,OS的至少一部分载入到主存储装置303中,运算装置301一边执行OS,一边执行实现图1所示的不同目的地命令提取部102和攻击/异常检测部103的功能的程序。
此外,在本实施方式1的说明中,表示处理结果的信息、数据、信号值、变量值分别作为文件存储在主存储装置303中。
另外,图3的结构只不过示出检测服务器101、工厂仿真器210和实际工厂监视装置220的硬件结构的一例,不限于图3中记载的结构,也可以是其他结构。例如,也可以是在总线305还连接有显示器等输出装置、鼠标/键盘这样的输入装置的硬件结构。
下面,根据图1对本实施方式1中的检测服务器101的动作进行说明。另外,根据图4所示的流程图在后面叙述各动作的详细情况。
不同目的地命令提取部102接收从工厂仿真器151发送的制造命令。然后,不同目的地命令提取部102从接收到的制造命令中提取命令目的地、命令名和命令参数,赋予每个命令目的地的到达顺序。然后,不同目的地命令提取部102在正常命令存储区域120中存储命令目的地121、命令名122、命令参数123和到达顺序124。
进而,不同目的地命令提取部102接收从实际工厂152发送的命令。然后,不同目的地命令提取部102从接收到的命令中提取命令目的地、命令名和命令参数,赋予每个命令目的地的到达顺序。然后,不同目的地命令提取部102在实际命令存储区域130中存储命令目的地131、命令名132、命令参数133和到达顺序134。
攻击/异常检测部103从正常命令存储区域120和实际命令存储区域130取得具有与不同目的地命令提取部102接收到的实际工厂152的制造命令的命令目的地相同的命令目的地的制造命令。
进而,攻击/异常检测部103在从实际命令存储区域130取得的制造命令组成为从正常命令存储区域120取得的制造命令组的部分集合的情况下,判定为正常,在除此以外的情况下,判定为异常。
判定结果可以构成为存储在实际命令存储区域130中,或者,也可以通过发送到其他装置这样的结构等进行通知。
接着,对本实施方式1中使用的数据构造进行说明。
图1的正常命令存储区域120是示出正常命令的存储形式的一例的图。命令目的地121是用于识别制造命令的目的地的唯一标识符。命令名122是用于识别制造命令的种类的唯一标识符。命令参数123是用于存储1个或多个执行制造命令所需要的数值、字符串、二进制等参数的区域。
到达顺序124是用于存储到达制造命令的不同目的地的顺序的区域。另外,在对制造命令赋予了时刻这样的能够识别顺序的信息的情况下,也可以代替到达顺序124而使用该信息。
图1的实际命令存储区域130是示出实际命令的存储形式的一例的图。命令目的地131是用于识别制造命令的目的地的唯一标识符。命令名132是用于识别制造命令的种类的唯一标识符。命令参数133是用于存储1个或多个执行制造命令所需要的数值、字符串、二进制等参数的区域。
到达顺序134是用于存储到达制造命令的不同目的地的顺序的区域。另外,在对制造命令赋予了时刻这样的能够识别顺序的信息的情况下,也可以代替到达顺序134而使用该信息。此外,也可以追加存储制造命令的正常、攻击/异常的判定结果的区域。
图4是示出由本发明的实施方式1中的检测服务器101执行的攻击/异常检测处理的一连串动作的流程图。下面,根据该图4所示的流程图对检测服务器101内的不同目的地命令提取部102和攻击/异常检测部103的攻击/异常检测处理进行说明。
另外,在图4的一连串处理中,在实际工厂152的动作正常的情况下,具有相同的命令目的地和到达顺序的来自工厂仿真器151的制造命令必定比来自实际工厂152的制造命令先到达,先存储在正常命令存储区域120中。
在步骤S101中,不同目的地命令提取部102从工厂仿真器151或实际工厂152接收制造命令。
接着,在步骤S102中,不同目的地命令提取部102对接收到的制造命令的发送方进行解释。然后,不同目的地命令提取部102在制造命令的发送方是实际工厂152的情况下进入步骤S103,在制造命令的发送方是工厂仿真器151的情况下进入步骤S104。
在进入步骤S103的情况下,不同目的地命令提取部102对制造命令的目的地的到达顺序赋予编号,将命令目的地、命令名、命令参数和到达顺序追加到实际命令存储区域130中。然后,进入步骤S105。
另一方面,在进入步骤S104的情况下,不同目的地命令提取部102对制造命令的目的地的到达顺序赋予编号,将命令目的地、命令名、命令参数和到达顺序追加到正常命令存储区域120中。
在从步骤S103进入步骤S105的情况下,攻击/异常检测部103从正常命令存储区域120和实际命令存储区域130取得具有与在之前的步骤S101中接收到的来自实际工厂152的制造命令相同的目的地的制造命令组即正常命令组和实际命令组。
接着,在步骤S106中,攻击/异常检测部103对在步骤S105中取得的正常命令组和实际命令组进行比较。然后,攻击/异常检测部103在正常命令组和实际命令组中制造命令的顺序一致的情况下,判定为正常,进入步骤S107。另一方面,攻击/异常检测部103在正常命令组和实际命令组中制造命令的顺序不一致的情况下,判定为攻击/异常,进入步骤S108。
这里,“制造命令的顺序一致”是指,针对正常命令组和实际命令组中的到达顺序相同的制造命令,命令目的地、命令名和命令参数一致。
此时,攻击/异常检测部103在出现正常命令组的到达顺序中存在但是实际命令组的到达顺序中不存在的制造命令的情况下,在制造命令的顺序一致的情况下,也判定为正常。
另一方面,攻击/异常检测部103在出现实际命令组的到达顺序中存在但是正常命令组的到达顺序中不存在的制造命令的情况下,即使制造命令的顺序一致,也判定为攻击/异常。
使用图5、图6、图7的命令存储区域的例子对本实施方式1中的攻击/异常检测的动作处理进行具体说明。
图5是作为本发明的实施方式1中的命令存储区域110的具体例,示出命令存储区域510存储的状态的图。首先,说明针对图5所示的命令存储区域510的攻击/异常检测的动作处理。
在正常命令存储区域520中蓄积有如下结果:不同目的地命令提取部102对从工厂仿真器151发送的制造命令进行解释,提取命令目的地521、命令名522和命令参数523而赋予到达顺序524。
另一方面,在实际命令存储区域530中蓄积有如下结果:不同目的地命令提取部102对从实际工厂152发送的制造命令进行解释,提取命令目的地531、命令名532和命令参数533而赋予到达顺序534。
这里,在正常命令存储区域520中蓄积有4个制造命令,在实际命令存储区域530中蓄积有2个制造命令,根据正常状态的例子对动作进行说明。
图6是作为本发明的实施方式1中的命令存储区域110的具体例,示出在图5所示的命令存储区域510的例子的状态下进一步从实际工厂152新接收1个制造命令而被更新后的命令存储区域610存储的状态的图。
更具体而言,命令存储区域610的例子相当于如下状态:在图5所示的命令存储区域510的例子的状态下,不同目的地命令提取部102从实际工厂152新接收1个制造命令“(命令目的地=设备2、命令名=工序开始、命令参数=A=80、B=15、...、到达顺序=1)”,将其蓄积在实际命令存储区域630中。
这里,攻击/异常检测部103根据所述新的制造命令,从正常命令存储区域620取得成为命令目的地=设备2的正常命令组,从实际命令存储区域630取得成为命令目的地=设备2的实际命令组。
作为其结果,攻击/异常检测部103得到“(命令目的地=设备2、命令名=工序开始、命令参数=A=80、B=15、...、到达顺序=1)”作为正常命令组,得到“(命令目的地=设备2、命令名=工序开始、命令参数=A=80、B=15、...、到达顺序=1)”作为实际命令组。
此时,攻击/异常检测部103对得到的正常命令组和实际命令组进行比较。然后,作为比较结果,命令目的地、命令名、命令参数和到达顺序全部一致,因此,攻击/异常检测部103解释为制造命令的顺序一致,判定为正常。
接着,图7是作为本发明的实施方式1中的命令存储区域110的具体例,示出在图6所示的命令存储区域610的例子的状态下进一步从实际工厂152新接收1个制造命令而被更新后的命令存储区域710存储的状态的图。
更具体而言,命令存储区域710的例子相当于如下状态:在图6所示的命令存储区域610的例子的状态下,不同目的地命令提取部102从实际工厂152新接收1个制造命令“(命令目的地=设备1、命令名=工序开始、命令参数=A=0、B=50、...、到达顺序=3)”,将其蓄积在实际命令存储区域730中。
这里,攻击/异常检测部103根据所述新的制造命令,从正常命令存储区域720取得成为命令目的地=设备1的正常命令组,从实际命令存储区域730取得成为命令目的地=设备1的实际命令组。
作为其结果,攻击/异常检测部103得到“(命令目的地=设备1、命令名=工序开始、命令参数=A=100、B=20、...、到达顺序=1)、(命令目的地=设备1、命令名=工序完成、命令参数=C=100、D=0、...、到达顺序=2)、(命令目的地=设备1、命令名=工序开始、命令参数=A=150、B=50、...、到达顺序=3)”作为正常命令组。
同样,攻击/异常检测部103得到“(命令目的地=设备1、命令名=工序开始、命令参数=A=100、B=20、...、到达顺序=1)、(命令目的地=设备1、命令名=工序完成、命令参数=C=100、D=0、...、到达顺序=2)、(命令目的地=设备1、命令名=工序开始、命令参数=A=0、B=50、...、到达顺序=3)”作为实际命令组。
此时,攻击/异常检测部103对得到的正常命令组和实际命令组进行比较。然后,作为比较结果,针对到达顺序1、2的制造命令,命令目的地、命令名、命令参数和到达顺序全部一致,但是,针对到达顺序3的制造命令,命令参数不一致,因此,攻击/异常检测部103解释为制造命令的顺序不一致,判定为攻击/异常。
这样,在本实施方式1中,具有如下的处理结构:在检测服务器101管理的命令存储区域110内的正常命令存储区域120和实际命令存储区域130中蓄积不同目的地命令提取部102提取出的制造命令,进而,关于攻击/异常检测部103从实际工厂152新接收到的制造命令,提取正常命令组和实际命令组,对两者的顺序进行比较,由此检测攻击/异常。
以往,必须根据产品ID对正常命令组和实际命令组进行管理,很难处理未被赋予产品ID的制造命令。与此相对,通过使用本实施方式1的处理结构,能够得到如下的显著效果:即使出现未被赋予产品ID的制造命令,通过使用必定被赋予的制造命令的目的地,也能够检测针对实际工厂的制造命令的攻击/异常。
实施方式2
在本实施方式2中,说明实现如下的检测服务器的情况:能够在制造命令的目的地的基础上,还使用产品ID等追加信息,检测特定目的地的制造命令被丢弃的攻击/异常。
图8是本发明的实施方式2中的检测服务器801的结构图。检测服务器801相当于攻击/异常检测装置的具体例。
检测服务器801与图1的检测服务器101相比不同之处在于,在正常命令存储区域820和实际命令存储区域830存储的数据项目中还追加有产品ID。因此,以下以该不同之处为中心进行说明。
这里,产品ID是除了命令目的地以外还能够识别制造命令的应用对象的信息的例子。因此,只要是命令目的地以外的、符合能够识别制造命令的应用对象的信息的条件的信息即可,可以使用产品ID以外的信息作为追加信息。
图9是示出由本发明的实施方式2中的检测服务器801执行的攻击/异常检测处理的一连串动作的流程图。下面,根据该图9所示的流程图对检测服务器801内的不同目的地命令提取部802和攻击/异常检测部803的攻击/异常检测处理进行说明。
在步骤S201中,不同目的地命令提取部802从工厂仿真器851或实际工厂852接收制造命令。
接着,在步骤S202中,不同目的地命令提取部802对接收到的制造命令的发送方进行解释。然后,不同目的地命令提取部802在制造命令的发送方是实际工厂852的情况下进入步骤S203,在制造命令的发送方是工厂仿真器851的情况下进入步骤S204。
在进入步骤S203的情况下,不同目的地命令提取部802对制造命令的目的地的到达顺序赋予编号,将命令目的地、命令名、命令参数、到达顺序和产品ID追加到实际命令存储区域830中。然后,进入步骤S205。
另一方面,在进入步骤S204的情况下,不同目的地命令提取部802对制造命令的目的地的到达顺序赋予编号,将命令目的地、命令名、命令参数、到达顺序和产品ID追加到正常命令存储区域820中。
在从步骤S203进入步骤S205的情况下,攻击/异常检测部803从正常命令存储区域820和实际命令存储区域830取得具有与在之前的步骤S201中接收到的来自实际工厂852的制造命令相同的目的地的制造命令组即正常命令组和实际命令组。
接着,在步骤S206中,攻击/异常检测部803对在步骤S205中取得的正常命令组和实际命令组进行比较。然后,攻击/异常检测部803在正常命令组和实际命令组中制造命令的顺序一致的情况下,进入步骤S207。另一方面,攻击/异常检测部803在正常命令组和实际命令组中制造命令的顺序不一致的情况下,判定为攻击/异常,进入步骤S210。
这里,“制造命令的顺序一致”是指,针对正常命令组和实际命令组中的到达顺序相同的制造命令,命令目的地、命令名和命令参数一致。
此时,攻击/异常检测部803在出现正常命令组的到达顺序中存在但是实际命令组的到达顺序中不存在的制造命令的情况下,在制造命令的顺序一致的情况下,也判定为正常。
另一方面,攻击/异常检测部803在出现实际命令组的到达顺序中存在但是正常命令组的到达顺序中不存在的制造命令的情况下,即使制造命令的顺序一致,也判定为攻击/异常。
在进入步骤S207的情况下,攻击/异常检测部803从正常命令存储区域820和实际命令存储区域830取得具有与在之前的步骤S201中接收到的来自实际工厂852的制造命令相同的产品ID的制造命令组即正常命令组和实际命令组。
接着,在步骤S208中,攻击/异常检测部803对在步骤S207中取得的正常命令组和实际命令组进行比较。攻击/异常检测部803在正常命令组和实际命令组中制造命令的集合一致的情况下,判定为正常,进入步骤S209。另一方面,攻击/异常检测部803在正常命令组和实际命令组中制造命令的集合不一致的情况下,判定为攻击/异常,进入步骤S210。
这里,“制造命令的集合一致”是指,针对正常命令组和实际命令组中的产品ID相同的制造命令,命令目的地、命令名和命令参数一致。
此时,攻击/异常检测部803在出现正常命令组的产品ID中存在但是实际命令组的产品ID中不存在的制造命令的情况下,在制造命令的集合一致的情况下,也判定为正常。
另一方面,攻击/异常检测部803在出现实际命令组的产品ID中存在但是正常命令组的产品ID中不存在的制造命令的情况下,即使制造命令的集合一致,也判定为攻击/异常。
使用图10、图11、图12的命令存储区域的例子对本实施方式2中的攻击/异常检测的动作处理进行具体说明。
图10是作为本发明的实施方式2中的命令存储区域810的具体例,示出命令存储区域1010存储的状态的图。首先,说明针对图10所示的命令存储区域1010的攻击/异常检测的动作处理。
在正常命令存储区域1020中蓄积有如下结果:不同目的地命令提取部802对从工厂仿真器851发送的制造命令进行解释,提取命令目的地1021、命令名1022、命令参数1023和产品ID1025而赋予到达顺序1024。
另一方面,在实际命令存储区域1030中蓄积有如下结果:不同目的地命令提取部802对从实际工厂852发送的制造命令进行解释,提取命令目的地1031、命令名1032、命令参数1033和产品ID1035而赋予到达顺序1034。
这里,在正常命令存储区域1020中蓄积有5个制造命令,在实际命令存储区域1030中蓄积有3个制造命令,根据正常状态的例子对动作进行说明。
图11是作为本发明的实施方式2中的命令存储区域1010的具体例,示出在图10所示的命令存储区域1010的例子的状态下进一步从实际工厂852新接收1个制造命令而被更新后的命令存储区域1110存储的状态的图。
更具体而言,命令存储区域1110的例子相当于如下状态:在图10所示的命令存储区域1010的例子的状态下,不同目的地命令提取部802从实际工厂852新接收1个制造命令“(命令目的地=设备1、命令名=工序完成、命令参数=C=50、D=0、...、到达顺序=4、产品ID=P002)”,将其蓄积在实际命令存储区域1130中。
这里,攻击/异常检测部803根据所述新的制造命令,从正常命令存储区域1120取得成为命令目的地=设备1的正常命令组,从实际命令存储区域1130取得成为命令目的地=设备1的实际命令组。
作为其结果,攻击/异常检测部803得到“(命令目的地=设备1、命令名=工序开始、命令参数=A=100、B=20、...、到达顺序=1)、(命令目的地=设备1、命令名=工序完成、命令参数=C=100、D=0、...、到达顺序=2)、(命令目的地=设备1、命令名=工序开始、命令参数=A=150、B=50、...、到达顺序=3)、(命令目的地=设备1、命令名=工序完成、命令参数=C=50、D=0、...、到达顺序=4)”作为正常命令组。
同样,攻击/异常检测部803得到“(命令目的地=设备1、命令名=工序开始、命令参数=A=100、B=20、...、到达顺序=1)、(命令目的地=设备1、命令名=工序完成、命令参数=C=100、D=0、...、到达顺序=2)、(命令目的地=设备1、命令名=工序开始、命令参数=A=150、B=50、...、到达顺序=3)、(命令目的地=设备1、命令名=工序完成、命令参数=C=50、D=0、...、到达顺序=4)”作为实际命令组。
此时,攻击/异常检测部803对得到的正常命令组和实际命令组进行比较。然后,作为比较结果,命令目的地、命令名、命令参数和到达顺序全部一致,因此,攻击/异常检测部803解释为制造命令的顺序一致。
接着,攻击/异常检测部803根据所述新的制造命令,从正常命令存储区域1120取得成为产品ID=P002的正常命令组,从实际命令存储区域1130取得成为产品ID=P002的实际命令组。
作为其结果,攻击/异常检测部803得到“(命令目的地=设备1、命令名=工序开始、命令参数=A=150、B=50、...、到达顺序=3)、(命令目的地=设备1、命令名=工序完成、命令参数=C=50、D=0、...、到达顺序=4)”作为正常命令组。
同样,攻击/异常检测部803得到“(命令目的地=设备1、命令名=工序开始、命令参数=A=150、B=50、...、到达顺序=3)、(命令目的地=设备1、命令名=工序完成、命令参数=C=50、D=0、...、到达顺序=4)”作为实际命令组。
此时,攻击/异常检测部803对得到的正常命令组和实际命令组进行比较。然后,作为比较结果,命令目的地、命令名和命令参数全部一致,因此,攻击/异常检测部803解释为制造命令的集合一致。
接着,图12是作为本发明的实施方式2中的命令存储区域1010的具体例,示出在图11所示的命令存储区域1110的例子的状态下进一步从实际工厂852新接收1个制造命令而被更新后的命令存储区域1210存储的状态的图。
更具体而言,命令存储区域1210的例子相当于如下状态:在图11所示的命令存储区域1110的例子的状态下,不同目的地命令提取部802从实际工厂852新接收1个制造命令“(命令目的地=设备2、命令名=工序开始、命令参数=A=80、B=15、...、到达顺序=1、产品ID=P102)”,将其蓄积在实际命令存储区域1230中。
这里,攻击/异常检测部803根据所述新的制造命令,从正常命令存储区域1220取得成为命令目的地=设备2的正常命令组,从实际命令存储区域1230取得成为命令目的地=设备2的实际命令组。
作为其结果,攻击/异常检测部803得到“(命令目的地=设备2、命令名=工序开始、命令参数=A=80、B=15、...、到达顺序=1)”作为正常命令组。
同样,攻击/异常检测部803得到“(命令目的地=设备2、命令名=工序开始、命令参数=A=80、B=15、...、到达顺序=1)”作为实际命令组。
此时,攻击/异常检测部803对得到的正常命令组和实际命令组进行比较。然后,作为比较结果,命令目的地、命令名、命令参数和到达顺序全部一致,因此,攻击/异常检测部803解释为制造命令的顺序一致。
接着,攻击/异常检测部803根据所述新的制造命令,从正常命令存储区域1220取得成为产品ID=P102的正常命令组,从实际命令存储区域1230取得成为产品ID=P102的实际命令组。
作为其结果,攻击/异常检测部803得到“空集合”作为正常命令组。同样,攻击/异常检测部803得到“(命令目的地=设备2、命令名=工序开始、命令参数=A=80、B=15、...、到达顺序=1、产品ID=P102)”作为实际命令组。
此时,攻击/异常检测部803对得到的正常命令组和实际命令组进行比较。然后,作为比较结果,应该与实际命令组进行比较的正常命令组为空集合,因此,攻击/异常检测部803解释为制造命令的集合不一致,判定为攻击/异常。
这样,在本实施方式2中,能够得到如下的显著效果:在制造命令的目的地的基础上还使用产品ID,由此,在特定制造命令的目的地被丢弃的情况下,也能够使用产品ID检测针对实际工厂的制造命令的攻击/异常。
实施方式3
在本实施方式3中,说明实现如下的检测服务器的情况:在制造命令的目的地的基础上还使用产品ID等追加信息的情况下,能够检测特定目的地的制造命令和产品ID被丢弃的攻击/异常。
图13是本发明的实施方式3中的检测服务器1301的结构图。检测服务器1301相当于攻击/异常检测装置的具体例。
检测服务器1301与图1的检测服务器101相比不同之处在于,还具有时间计测部1304,并且,在正常命令存储区域1320和实际命令存储区域1330存储的数据项目中还追加有产品ID、到达预想时间、到达时间和累积时间。因此,以下以这些不同之处为中心进行说明。
图14是示出由本发明的实施方式3中的检测服务器1301执行的攻击/异常检测处理的一连串动作的流程图。下面,根据该图14所示的流程图对检测服务器1301内的不同目的地命令提取部1302和攻击/异常检测部1303的攻击/异常检测处理进行说明。
在步骤S301中,不同目的地命令提取部1302通过时间计测部1304而启动。然后,不同目的地命令提取部1302从正常命令存储区域1320中,按照每个命令目的地提取到达时间1327为空栏的制造命令中的到达顺序最小的制造命令,作为下次应该到来的实际命令的一览进行存储。
接着,在步骤S302中,不同目的地命令提取部1302确认在下次应该到来的实际命令的一览中是否存在制造命令。然后,不同目的地命令提取部1302在下次应该到来的实际命令的一览中存在制造命令的情况下,取出其中之一,进入步骤S303。另一方面,不同目的地命令提取部1302在下次应该到来的实际命令的一览中不存在制造命令的情况下,结束一连串处理。
在进入步骤S303的情况下,不同目的地命令提取部1302在步骤S302中取出的制造命令的累积时间中加上上次启动时的时间与当前时刻的差分。
进而,不同目的地命令提取部1302在实际命令存储区域1330中存在具有相同的命令目的地且相同的到达顺序的制造命令的情况下,利用累积时间对到达时间进行更新,对正常命令存储区域1320的该制造命令的到达时间1327和累积时间1328进行更新。
接着,在步骤S304中,攻击/异常检测部1303确认该制造命令的累积时间是否超过到达预想时间。然后,攻击/异常检测部1303在该制造命令的累积时间未超过到达预想时间的情况下,判定为正常,进入步骤S305。
另一方面,攻击/异常检测部1303在该制造命令的累积时间超过到达预想时间的情况下,判定为攻击/异常,进入步骤S306。然后,在任何判定结果的情况下,都进入步骤S307。
在进入步骤S307的情况下,不同目的地命令提取部1302从下次应该到来的实际命令的一览中删除作为处理对象的制造命令。然后,返回步骤S302,针对下一个处理对象命令,反复进行一连串处理。
使用图15、图16的命令存储区域的例子对本实施方式3中的攻击/异常检测的动作处理进行具体说明。
图15是作为本发明的实施方式3中的命令存储区域1310的具体例,示出命令存储区域1510存储的状态的图。首先,说明针对图15所示的命令存储区域1510的攻击/异常检测的动作处理。
在正常命令存储区域1520中蓄积有如下结果:不同目的地命令提取部1302对从工厂仿真器1351发送的制造命令进行解释,提取命令目的地1521、命令名1522、命令参数1523、产品ID1525和到达假设时间1526而赋予到达顺序1524。
另一方面,在实际命令存储区域1530中蓄积有如下结果:不同目的地命令提取部1302对从实际工厂1352发送的制造命令进行解释,提取命令目的地1531、命令名1532、命令参数1533和产品ID1535而赋予到达顺序1534。
这里,在正常命令存储区域1520中蓄积有3个制造命令,在实际命令存储区域1530中蓄积有1个制造命令,根据正常状态的例子对动作进行说明。
图16是作为本发明的实施方式3中的命令存储区域1310的具体例,示出在图15所示的命令存储区域1510的例子的状态下进一步从实际工厂1352新接收1个制造命令而被更新后的命令存储区域1610存储的状态的图。
更具体而言,命令存储区域1610的例子相当于如下状态:在图15所示的命令存储区域1510的例子的状态下,不同目的地命令提取部1302从实际工厂1352新接收1个制造命令“(命令目的地=设备1、命令名=工序完成、命令参数=C=100、D=0、...、到达顺序=2、产品ID=P001)”,将其蓄积在实际命令存储区域1630中。
这里,在时间计测部1304委托不同目的地命令提取部1302启动进行超时的攻击/异常检测的处理时,不同目的地命令提取部1302从正常命令存储区域1620取得“(命令目的地=设备1、命令名=工序完成、命令参数=C=100、D=0、...、到达顺序=2、产品ID=P001、到达假设时间=120、到达时间=(空栏)、累积时间=10)、(命令目的地=设备2、命令名=工序开始、命令参数=A=150、B=50、...、到达顺序=1、产品ID=P002、到达假设时间=150、到达时间=(空栏)、累积时间=100)”。
这里,设上次时间计测部1304的启动与当前时刻的时间差分为90时,不同目的地命令提取部1302对到达时间和累积时间进行更新的结果成为“(命令目的地=设备1、命令名=工序完成、命令参数=C=100、D=0、...、到达顺序=2、产品ID=P001、到达假设时间=120、到达时间=100、累积时间=100)、(命令目的地=设备2、命令名=工序开始、命令参数=A=150、B=50、...、到达顺序=1、产品ID=P002、到达假设时间=150、到达时间=(空栏)、累积时间=190)”。
此时,关于“(命令目的地=设备2、命令名=工序开始、命令参数=A=150、B=50、...、到达顺序=1、产品ID=P002、到达假设时间=150、到达时间=(空栏)、累积时间=190)”,累积时间超过到达假设时间。因此,攻击/异常检测部1303判定为攻击/异常。
这样,在本实施方式3中,能够得到如下的显著效果:通过使用制造命令的到达假设时间、到达时间和累积时间,在特定目的地的制造命令和产品ID被丢弃的情况下,也能够根据到达假设时间与累积时间的差分检测攻击/异常。
标号说明
101:检测服务器;102:不同目的地命令提取部;103:攻击/异常检测部;110:命令存储区域;120:正常命令存储区域;130:实际命令存储区域;151:工厂仿真器;152:实际工厂;301:运算装置;302:外部存储装置;303:主存储装置;304:通信装置;305:总线。
Claims (8)
1.一种攻击/异常检测装置,该攻击/异常检测装置具有存储部、命令提取部和检测部,检测实际工厂内的制造命令中包含的攻击/异常,其中,
所述存储部具有存储有正常制造命令的集合的正常命令存储区域和存储有从所述实际工厂发送的实际制造命令的集合的实际命令存储区域,
所述命令提取部从所述实际工厂接收构成为包含命令目的地、命令名和命令参数的实际制造命令,关于命令目的地相同的实际制造命令,按照接收的顺序赋予到达顺序的编号,作为所述实际制造命令的集合的1个元素存储在所述实际命令存储区域中,
在本次接收到所述实际制造命令时,从作为包含命令目的地、命令名、命令参数和到达顺序的结构而存储在所述正常命令存储区域中的所述正常制造命令的集合中,提取具有与所述本次接收到的所述实际制造命令中包含的命令目的地相同的命令目的地的元素作为正常命令组,从存储在所述实际命令存储区域中的所述实际制造命令的集合中,提取具有与所述本次接收到的所述实际制造命令中包含的命令目的地相同的命令目的地的元素作为实际命令组,
所述检测部执行按照所述到达顺序对由所述命令提取部提取出的所述正常命令组和所述实际命令组进行比较的第1检测处理,由此检测攻击/异常。
2.根据权利要求1所述的攻击/异常检测装置,其中,
作为工厂仿真器的仿真结果,所述命令提取部接收构成为包含与在所述实际工厂的动作正常的情况下从所述实际工厂发送的实际制造命令相同的命令目的地、相同的命令名和相同的命令参数的正常制造命令,关于命令目的地相同的正常制造命令,按照接收的顺序赋予到达顺序的编号,作为所述正常制造命令的集合的1个元素存储在所述正常命令存储区域中。
3.根据权利要求1所述的攻击/异常检测装置,其中,
除了所述命令目的地以外,由所述命令提取部接收的所述实际制造命令和所述正常制造命令分别还包含用于识别制造命令的应用对象的判别信息,
在由所述检测部执行所述第1检测处理的结果是暂且判定为所述本次接收到的所述实际制造命令正常的情况下,在本次接收到所述实际制造命令时,所述命令提取部从作为包含命令目的地、命令名、命令参数、到达顺序和判别信息的结构而存储在所述正常命令存储区域中的所述正常制造命令的集合中,提取具有与所述本次接收到的所述实际制造命令中包含的判别信息相同的判别信息的元素作为第2正常命令组,从作为包含命令目的地、命令名、命令参数、到达顺序和判别信息的结构而存储在所述实际命令存储区域中的所述实际制造命令的集合中,提取具有与所述本次接收到的所述实际制造命令中包含的判别信息相同的判别信息的元素作为第2实际命令组,
所述检测部执行对由所述命令提取部提取出的所述第2正常命令组和所述第2实际命令组进行比较的第2检测处理,根据所述第2实际命令组与所述第2正常命令组一致或成为所述第2正常命令组的部分集合的情况而最终判定出所述本次接收到的所述实际制造命令正常。
4.根据权利要求2所述的攻击/异常检测装置,其中,
除了所述命令目的地以外,由所述命令提取部接收的所述实际制造命令和所述正常制造命令分别还包含用于识别制造命令的应用对象的判别信息,
在由所述检测部执行所述第1检测处理的结果是暂且判定为所述本次接收到的所述实际制造命令正常的情况下,在本次接收到所述实际制造命令时,所述命令提取部从作为包含命令目的地、命令名、命令参数、到达顺序和判别信息的结构而存储在所述正常命令存储区域中的所述正常制造命令的集合中,提取具有与所述本次接收到的所述实际制造命令中包含的判别信息相同的判别信息的元素作为第2正常命令组,从作为包含命令目的地、命令名、命令参数、到达顺序和判别信息的结构而存储在所述实际命令存储区域中的所述实际制造命令的集合中,提取具有与所述本次接收到的所述实际制造命令中包含的判别信息相同的判别信息的元素作为第2实际命令组,
所述检测部执行对由所述命令提取部提取出的所述第2正常命令组和所述第2实际命令组进行比较的第2检测处理,根据所述第2实际命令组与所述第2正常命令组一致或成为所述第2正常命令组的部分集合的情况而最终判定出所述本次接收到的所述实际制造命令正常。
5.根据权利要求1~4中的任意一项所述的攻击/异常检测装置,其中,
所述攻击/异常检测装置还具有时间计测部,该时间计测部针对下次应该到达的实际制造命令计测到达时间,
由所述命令提取部接收的所述正常制造命令构成为包含到达假设时间,
所述命令提取部从存储在所述正常命令存储区域中的所述正常制造命令的集合中,与对应的到达预想时间一起提取与下次应该到达的实际制造命令相当的正常命令,
所述检测部在经过所述对应的到达预想时间还无法接收到所述下次应该到达的实际制造命令的情况下,检测出产生了实际制造命令的接收异常。
6.一种存储有攻击/异常检测程序的计算机能读取的存储介质,该攻击/异常检测程序用于使计算机作为权利要求1~5中的任意一项所述的攻击/异常检测装置具有的所述命令提取部和所述检测部发挥功能。
7.一种攻击/异常检测方法,由检测实际工厂内的制造命令中包含的攻击/异常的攻击/异常检测装置执行该攻击/异常检测方法,其中,所述攻击/异常检测方法具有以下步骤:
第1步骤,从所述实际工厂接收构成为包含命令目的地、命令名和命令参数的实际制造命令;
第2步骤,关于命令目的地相同的实际制造命令,按照接收的顺序赋予到达顺序的编号,作为实际制造命令的集合的1个元素存储在实际命令存储区域中;
第3步骤,作为包含命令目的地、命令名、命令参数和到达顺序的结构,在正常命令存储区域中存储正常制造命令的集合;
第4步骤,在本次接收到所述实际制造命令时,从通过所述第3步骤存储在所述正常命令存储区域中的所述正常制造命令的集合中,提取具有与所述本次接收到的所述实际制造命令中包含的命令目的地相同的命令目的地的元素作为正常命令组;
第5步骤,从存储在所述实际命令存储区域中的所述实际制造命令的集合中,提取具有与所述本次接收到的所述实际制造命令中包含的命令目的地相同的命令目的地的元素作为实际命令组;以及
第6步骤,执行按照所述到达顺序对通过所述第4步骤提取出的所述正常命令组和通过所述第5步骤提取出的所述实际命令组进行比较的第1检测处理,由此检测攻击/异常。
8.根据权利要求7所述的攻击/异常检测方法,其中,
在所述第3步骤中,作为所述正常制造命令的集合存储在所述正常命令存储区域中的各个正常制造命令构成为还包含到达预测时间,
所述攻击/异常检测方法还具有以下步骤:
第7步骤,从通过所述第3步骤存储在所述正常命令存储区域中的所述正常制造命令的集合中,与对应的到达预想时间一起提取与下次应该到达的实际制造命令相当的正常命令;以及
第8步骤,在经过所述对应的到达预想时间还无法接收到所述下次应该到达的实际制造命令的情况下,检测出产生了实际制造命令的接收异常。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2017/002478 WO2018138793A1 (ja) | 2017-01-25 | 2017-01-25 | 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110192196A CN110192196A (zh) | 2019-08-30 |
CN110192196B true CN110192196B (zh) | 2023-06-13 |
Family
ID=62977954
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780083750.1A Active CN110192196B (zh) | 2017-01-25 | 2017-01-25 | 攻击/异常检测装置、攻击/异常检测方法和存储介质 |
Country Status (7)
Country | Link |
---|---|
US (1) | US11467565B2 (zh) |
JP (1) | JP6541903B2 (zh) |
KR (1) | KR102115734B1 (zh) |
CN (1) | CN110192196B (zh) |
DE (1) | DE112017006528T5 (zh) |
TW (1) | TWI632442B (zh) |
WO (1) | WO2018138793A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3860079B1 (en) * | 2020-01-31 | 2024-01-24 | Deutsche Telekom AG | Method and system for a secure and valid configuration of network elements |
US11854187B2 (en) * | 2020-10-13 | 2023-12-26 | Mitsubishi Electric Corporation | Model generation device, abnormality determination device, abnormality determination system, model generation method, and recording medium |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2790844B1 (fr) * | 1999-03-09 | 2001-05-25 | Gemplus Card Int | Procede et dispositif de surveillance du deroulement d'un programme, dispositif programme permettant la surveillance de son programme |
US9557723B2 (en) * | 2006-07-19 | 2017-01-31 | Power Analytics Corporation | Real-time predictive systems for intelligent energy monitoring and management of electrical power networks |
US8036872B2 (en) * | 2006-03-10 | 2011-10-11 | Edsa Micro Corporation | Systems and methods for performing automatic real-time harmonics analyses for use in real-time power analytics of an electrical power distribution system |
JP2012059032A (ja) | 2010-09-09 | 2012-03-22 | Hitachi Ltd | 生産計画作成方法及びその装置 |
US9659250B2 (en) * | 2011-08-31 | 2017-05-23 | Hitachi Power Solutions Co., Ltd. | Facility state monitoring method and device for same |
CN102624736B (zh) * | 2012-03-20 | 2014-11-12 | 瑞斯康达科技发展股份有限公司 | 一种tl1命令校验方法及装置 |
CN104871097B (zh) | 2012-12-13 | 2018-05-18 | Abb 技术有限公司 | 用于监测和/或诊断工业工厂生产线操作的系统和方法 |
JP5538597B2 (ja) | 2013-06-19 | 2014-07-02 | 株式会社日立製作所 | 異常検知方法及び異常検知システム |
US10402214B2 (en) * | 2014-01-31 | 2019-09-03 | Hewlett Packard Enterprise Development Lp | Device provided script to convert command |
DE102014206683A1 (de) * | 2014-04-07 | 2015-10-08 | Wobben Properties Gmbh | Vorrichtung und Verfahren zum automatisierten Bearbeiten von Werkstücken |
JP6387707B2 (ja) | 2014-07-01 | 2018-09-12 | 富士通株式会社 | 異常検出システム、表示装置、異常検出方法及び異常検出プログラム |
TWI562013B (en) * | 2015-07-06 | 2016-12-11 | Wistron Corp | Method, system and apparatus for predicting abnormality |
JP6076421B2 (ja) * | 2015-07-23 | 2017-02-08 | 株式会社日立パワーソリューションズ | 設備状態監視方法およびその装置 |
JP6176341B2 (ja) * | 2016-01-06 | 2017-08-09 | 横河電機株式会社 | プロセス制御装置及びシステム並びにその健全性判定方法 |
JP6031202B1 (ja) * | 2016-01-29 | 2016-11-24 | ファナック株式会社 | 製造機械の異常の原因を発見するセル制御装置 |
-
2017
- 2017-01-25 CN CN201780083750.1A patent/CN110192196B/zh active Active
- 2017-01-25 JP JP2018563982A patent/JP6541903B2/ja active Active
- 2017-01-25 WO PCT/JP2017/002478 patent/WO2018138793A1/ja active Application Filing
- 2017-01-25 US US16/466,188 patent/US11467565B2/en active Active
- 2017-01-25 DE DE112017006528.3T patent/DE112017006528T5/de active Pending
- 2017-01-25 KR KR1020197020833A patent/KR102115734B1/ko active IP Right Grant
- 2017-04-25 TW TW106113724A patent/TWI632442B/zh active
Also Published As
Publication number | Publication date |
---|---|
CN110192196A (zh) | 2019-08-30 |
JP6541903B2 (ja) | 2019-07-10 |
KR20190090028A (ko) | 2019-07-31 |
JPWO2018138793A1 (ja) | 2019-06-27 |
TW201827963A (zh) | 2018-08-01 |
TWI632442B (zh) | 2018-08-11 |
KR102115734B1 (ko) | 2020-05-27 |
DE112017006528T5 (de) | 2019-09-26 |
WO2018138793A1 (ja) | 2018-08-02 |
US11467565B2 (en) | 2022-10-11 |
US20200073369A1 (en) | 2020-03-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200272531A1 (en) | Automatic correlation of dynamic system events within computing devices | |
CN110933101B (zh) | 安全事件日志处理方法、装置及存储介质 | |
US9274869B2 (en) | Apparatus, method and storage medium for fault cause extraction utilizing performance values | |
JP6919569B2 (ja) | ログ分析システム、方法、及び記録媒体 | |
CN110535702B (zh) | 一种告警信息处理方法及装置 | |
EP2963553B1 (en) | System analysis device and system analysis method | |
US20130212681A1 (en) | Security Monitoring System and Security Monitoring Method | |
CN107992415B (zh) | 一种交易系统的故障定位和分析方法及相关服务器 | |
US20160378980A1 (en) | Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program | |
JP6280862B2 (ja) | イベント分析システムおよび方法 | |
EP2963552A1 (en) | System analysis device and system analysis method | |
CN110192196B (zh) | 攻击/异常检测装置、攻击/异常检测方法和存储介质 | |
CN111813845A (zh) | 基于etl任务的增量数据抽取方法、装置、设备及介质 | |
JP6809011B2 (ja) | 制御システムの遠隔監視を行う装置およびシステム | |
JP6515048B2 (ja) | インシデント管理システム | |
JP2017211806A (ja) | 通信の監視方法、セキュリティ管理システム及びプログラム | |
CN112583825B (zh) | 一种工业系统的异常检测方法和装置 | |
CN114911677A (zh) | 集群中容器的监控方法、装置和计算机可读存储介质 | |
US20220130227A1 (en) | Alarm control device and alarm control method | |
CN113553370A (zh) | 异常检测方法、装置、电子设备及可读存储介质 | |
JP2016143388A (ja) | ログ情報分類装置、ログ情報分類方法、及びプログラム | |
KR20210057194A (ko) | 공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램 | |
CN115422555B (zh) | 后门程序检测方法、装置、电子设备及存储介质 | |
CN114363148B (zh) | 一种检测攻击告警的方法、装置、检测设备及存储介质 | |
CN116166492A (zh) | 用于监控数据的获取方法及装置、服务器、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |