CN112219374A - 非法通信探测装置、非法通信探测方法以及制造系统 - Google Patents
非法通信探测装置、非法通信探测方法以及制造系统 Download PDFInfo
- Publication number
- CN112219374A CN112219374A CN201980037364.8A CN201980037364A CN112219374A CN 112219374 A CN112219374 A CN 112219374A CN 201980037364 A CN201980037364 A CN 201980037364A CN 112219374 A CN112219374 A CN 112219374A
- Authority
- CN
- China
- Prior art keywords
- communication
- communications
- information
- abnormality
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
用于探测制造制造物的制造系统的非法通信的非法通信探测装置(100)具备:获取部(110),其获取制造系统的动作信息;存储部(120),其存储表示与制造物的制造有关的多个要素中的一个以上的对象要素的要素信息(例如,通信白名单(122));确定部(130),其基于动作信息来确定与在制造系统内进行的多个通信分别对应的要素;计算部(140),其计算多个通信中的、满足由确定部(130)确定的要素包含在要素信息所表示的一个以上的对象要素中的一个以上的通信各自的异常度;以及判定部(150),其在由计算部(140)计算出的异常度大于阈值的情况下,将与该异常度对应的通信判定为非法通信。
Description
技术领域
本公开涉及一种非法通信探测装置、非法通信探测方法以及制造系统。
背景技术
近年来,在工厂等制造现场进行多个制造装置间的通信。因此,要求提高通信的安全性。
例如,在专利文献1中公开了一种非法通信检测系统,其判定通信的会话成立与否,通过将表示会话不成立的数据包的流量模式的流量模式信息与流量模式白名单进行比较,来检测非法通信。
现有技术文献
专利文献
专利文献1:日本特开2012-34273号公报
发明内容
发明要解决的问题
然而,在上述以往的非法通信检测系统中,有时无法高精度地检测非法通信。例如,在上述以往的非法通信检测系统中,在会话成立的通信为非法通信的情况下无法检测出。
因此,本公开提供一种能够高精度地探测制造系统的非法通信的非法通信探测装置、非法通信探测方法以及制造系统。
用于解决问题的方案
为了解决上述问题,本公开的一个方式所涉及的非法通信探测装置用于探测制造制造物的制造系统的非法通信,该非法通信探测装置具备:获取部,其获取所述制造系统的动作信息;存储部,其存储要素信息,该要素信息表示与所述制造物的制造有关的多个要素中的一个以上的对象要素;确定部,其基于所述动作信息来确定与在所述制造系统内进行的多个通信分别对应的要素;计算部,其计算所述多个通信中的、满足由所述确定部确定的要素包含在所述要素信息所表示的一个以上的对象要素中的一个以上的通信各自的异常度;以及判定部,在由所述计算部计算出的异常度大于阈值的情况下,该判定部将与该异常度对应的通信判定为非法通信。
另外,本公开的一个方式所涉及的制造系统是制造制造物的制造系统,该制造系统具备上述非法通信探测装置。
另外,本公开的一个方式所涉及的非法通信探测方法用于探测制造制造物的制造系统的非法通信,在该非法通信探测方法中,获取所述制造系统的动作信息;从存储部读出要素信息,该要素信息表示与所述制造物的制造有关的多个要素中的一个以上的对象要素;基于所述动作信息来确定与在所述制造系统内进行的多个通信分别对应的要素;计算所述多个通信中的、满足所确定的要素包含在所述要素信息所表示的一个以上的对象要素中的一个以上的通信各自的异常度;在所计算出的异常度超过阈值的情况下,将与该异常度对应的通信判定为非法通信。
另外,本公开的一个方式能够以用于使计算机执行上述非法通信探测方法的程序来实现。或者,还能够以存储有该程序的计算机可读记录介质来实现。
发明的效果
根据本公开,能够高精度地探测制造系统的非法通信。
附图说明
图1是表示实施方式1所涉及的制造系统的结构的框图。
图2是表示实施方式1所涉及的非法通信探测装置的结构的框图。
图3是表示多个通信信息和相对于通信白名单的对照结果的图。
图4是表示成为由实施方式1所涉及的非法通信探测装置进行的动作探测的对象的通信信息的图。
图5是表示实施方式1所涉及的非法通信探测装置的动作的流程图。
图6是表示实施方式1所涉及的非法通信探测装置的动作中的与通信白名单的对照处理的流程图。
图7是表示实施方式1所涉及的非法通信探测装置的动作中的非法通信的判定处理的流程图。
图8是表示实施方式2所涉及的非法通信探测装置的结构的框图。
图9是表示各设备状态相对于设备状态白名单的对照结果的一例的图。
图10是表示实施方式3所涉及的非法通信探测装置的结构的框图。
图11是表示各制造物相对于种类白名单的对照结果的一例的图。
图12是表示实施方式4所涉及的非法通信探测装置的结构的框图。
图13是表示各设备结构相对于结构白名单的对照结果的一例的图。
图14是表示分别相对于设备状态白名单和种类白名单的对照结果的一例的图。
具体实施方式
(本公开的概要)
如上所述,在工厂等制造现场,通过多个制造装置相互进行通信,来相互协作地制造制造物。因此,在针对该通信从外部受到恶意攻击等的情况下,可能引起对各制造装置的负荷的增加或者制造装置的故障等,因此制造物的生产率可能会降低。因而,要求提高制造系统的经由内部网络进行的通信的安全性。例如,要求采取防止对内部网络的非法访问等对策。
具体地说,考虑在内部网络的入口处导入防火墙的对策。由此,能够抑制来自外部的恶意连接。然而,例如在防火墙中发现了安全上的威胁、即脆弱性的情况下,无法针对应对该脆弱性前的攻击(所谓的零时差攻击)进行应对。
另外,即使在防火墙正常地发挥功能的情况下,也无法防止制造装置的操作者或管理者等人为因素导致的来自内部的非法操作。例如,在感染了病毒的计算机设备或存储器设备被连接于内部网络的情况下,无论操作者有无恶意,感染都会在各制造装置中扩大。
像这样,内部网络的入口处的针对非法访问的应对并不是万无一失的。
另外,考虑通过对多个制造装置分别导入安全软件来针对每个制造装置探测非法处理的对策。然而,由于制造装置多种多样,因此并不一定能够对所有的制造装置导入安全软件。只要存在一台没有实施对策的制造装置,都有可能经由该制造装置被进行非法访问等。
因此,为了解决上述问题,本公开的一个方式所涉及的非法通信探测装置用于探测制造制造物的制造系统的非法通信,该非法通信探测装置具备:获取部,其获取所述制造系统的动作信息;存储部,其存储要素信息,该要素信息表示与所述制造物的制造有关的多个要素中的一个以上的对象要素;确定部,其基于所述动作信息来确定与在所述制造系统内进行的多个通信分别对应的要素;计算部,其计算所述多个通信中的、满足由所述确定部确定的要素包含在所述要素信息所表示的一个以上的对象要素中的一个以上的通信各自的异常度;以及判定部,在由所述计算部计算出的异常度大于阈值的情况下,该判定部将与该异常度对应的通信判定为非法通信。
由此,在使存储部存储有例如将制造系统正常动作时的要素表示为对象要素的信息作为要素信息的情况下,能够判定为与未包含在要素信息所表示的对象要素中的要素对应的通信为非法通信。另外,即使是与要素信息所表示的对象要素对应的通信,由于能够计算该通信的异常度,因此也能够判定该通信是否为非法通信。这样,能够进行使用了基于要素信息的判定和基于异常度的判定的2个阶段的判定,因此能够高精度地探测制造系统的非法通信。
另外,例如也可以是,所述要素信息包含将被许可的一个以上的通信表示为所述一个以上的对象要素的许可通信信息,所述确定部基于所述动作信息,来将所述多个通信中的各通信确定为所述要素,所述计算部计算所述多个通信中的、满足由所述确定部确定的通信包含在所述许可通信信息所表示的一个以上的通信中的一个以上的通信各自的异常度。
由此,能够将虽然是被许可的通信但是为异常度高的通信探测为非法通信。例如,能够探测由侵入制造系统内部的病毒等进行的非法通信。
另外,例如也可以是,所述判定部还将所述多个通信中的、满足由所述确定部确定的通信未包含在所述许可通信信息所表示的一个以上的通信中的一个以上的通信判定为非法通信。
由此,不仅能够探测未被许可的通信,还能够探测虽然是被许可的通信但是为异常度高的通信。
另外,例如也可以是,所述要素信息还包含将所述制造系统能够采取的多个设备状态中的一个以上的设备状态表示为所述一个以上的对象要素的设备状态信息,所述确定部还基于所述动作信息,来将进行所述多个通信中的各通信时的设备状态确定为所述要素,所述计算部计算所述多个通信中的、进一步满足由所述确定部确定的设备状态包含在所述设备状态信息所表示的一个以上的设备状态中的一个以上的通信各自的异常度。
由此,能够判定在制造系统的状态为设备状态信息所表示的设备状态时进行的通信是否为非法通信。例如,在设备状态信息表示为了制造制造物而通常能够采取的设备状态的情况下,能够将在通常不会发生的设备状态下进行的通信从非法通信的探测对象中排除。因此,能够抑制非法通信的误判定,能够提高非法通信的判定精度。
另外,例如也可以是,所述制造系统制造种类不同的多个制造物,所述要素信息还包含将所述多个制造物的一个以上的种类表示为所述一个以上的对象要素的种类信息,所述确定部还基于所述动作信息,来将进行所述多个通信中的各通信时制造出的制造物的种类确定为所述要素,所述计算部计算所述多个通信中的、进一步满足由所述确定部确定的种类包含在所述种类信息所表示的一个以上的种类中的一个以上的通信各自的异常度。
由此,能够判定在制造种类信息所表示的种类的制造物时进行的通信是否为非法通信。例如,在种类信息表示预定制造的制造物的种类的情况下,能够将在制造该制造物以外的制造物时发生的通信从非法通信的探测对象中排除。因此,能够抑制非法通信的误判定,能够提高非法通信的判定精度。
另外,例如也可以是,所述要素信息还包含将所述制造系统的多个设备结构中的一个以上的设备结构表示为所述一个以上的对象要素的结构信息,所述确定部还基于所述动作信息,来将进行所述多个通信中的各通信时的设备结构确定为所述要素,所述计算部计算所述多个通信中的、满足由所述确定部确定的设备结构包含在所述结构信息所表示的一个以上的设备结构中的一个以上的通信各自的异常度。
由此,能够判定在通过结构信息所表示的设备结构制造制造物时进行的通信是否为非法通信。例如,在结构信息表示预定的设备结构的情况下,能够将通过该设备结构以外的设备结构制造制造物时发生的通信从非法通信的探测对象中排除。因此,能够抑制非法通信的误判定,能够提高非法通信的判定精度。
另外,例如也可以是,所述计算部计算在所述制造系统内进行的通信相对于正常模型的偏离值作为所述异常度。
由此,通过利用例如基于统计处理生成的正常模型,能够提高所计算的异常度的可靠性,因此能够提高非法通信的探测精度。
另外,例如也可以是,本公开的一个方式所涉及的非法通信探测装置还具备:学习部,其通过进行使用了预先获取到的动作信息的机器学习,来生成所述正常模型;以及信息生成部,其将以下信息生成为所述要素信息,该信息将与作为所述机器学习的对象的动作信息中包含的多个通信分别对应的一个以上的要素表示为所述一个以上的对象要素。
由此,能够使与成为所述机器学习的对象的动作信息中包含的通信对应的要素包含在要素信息中,因此能够将与没有成为机器学习的对象的要素对应的通信从异常度的计算对象(即非法通信的探测对象)中排除。
例如,在将为不同于与成为机器学习的对象的通信相对应的设备状态的设备状态时的通信作为对象进行了异常度的计算的情况下,即使该通信不是非法通信时但是被误判定为非法通信的可能性变高。通过将制造系统能够采取的所有的设备状态网罗性地作为机器学习的对象,能够抑制误判定。然而,在制造系统中,由于可能发生包括设想外的设备状态(事件)在内的各种各样的设备状态,因此难以将所有的设备状态网罗性地作为机器学习的对象。与此相对,根据本方式,能够将不成为机器学习的对象的要素从非法通信的探测对象中排除,因此能够抑制误判定,能够提高非法通信的判定精度。
另外,例如也可以是,所述要素信息包含将所述制造系统能够采取的多个设备状态中的一个以上的设备状态表示为所述一个以上的对象要素的设备状态信息,所述确定部基于所述动作信息,来将进行所述多个通信中的各通信时的设备状态确定为所述要素,所述计算部计算所述多个通信中的、满足由所述确定部确定的设备状态包含在所述设备状态信息所表示的一个以上的设备状态中的一个以上的通信各自的异常度。
由此,能够判定在制造系统的状态为设备状态信息所表示的设备状态时进行的通信是否为非法通信。例如,在设备状态信息表示为了制造制造物而通常能够采取的设备状态的情况下,能够将在通常不会发生的设备状态下进行的通信从非法通信的探测对象中排除。因此,能够抑制非法通信的误判定,能够提高非法通信的判定精度。
另外,例如也可以是,所述制造系统制造种类不同的多个制造物,所述要素信息包含将所述多个制造物的一个以上的种类表示为所述一个以上的对象要素的种类信息,所述确定部基于所述动作信息,来将进行所述多个通信中的各通信时制造出的制造物的种类确定为所述要素,所述计算部计算所述多个通信中的、满足由所述确定部确定的种类包含在所述种类信息所表示的一个以上的种类中的一个以上的通信各自的异常度。
由此,能够判定在制造种类信息所表示的种类的制造物时进行的通信是否为非法通信。例如,在种类信息表示预定制造的制造物的种类的情况下,能够将在制造该制造物以外的制造物时发生的通信从非法通信的探测对象中排除。因此,能够抑制非法通信的误判定,能够提高非法通信的判定精度。
另外,例如也可以是,所述要素信息包含将所述制造系统的多个设备结构中的一个以上的设备结构表示为所述一个以上的对象要素的结构信息,所述确定部基于所述动作信息,来将进行所述多个通信中的各通信时的设备结构确定为所述要素,所述计算部计算所述多个通信中的、满足由所述确定部确定的设备结构包含在所述结构信息所表示的一个以上的设备结构中的一个以上的通信各自的异常度。
由此,能够判定在通过结构信息所表示的设备结构制造制造物时进行的通信是否为非法通信。例如,在结构信息表示预定的设备结构的情况下,能够将通过该设备结构以外的设备结构制造制造物时发生的通信从非法通信的探测对象中排除。因此,能够抑制非法通信的误判定,能够提高非法通信的判定精度。
另外,例如,本公开的一个方式所涉及的制造系统是制造制造物的制造系统,该制造系统具备上述非法通信探测装置。
由此,与上述非法通信探测装置相同,能够高精度地探测非法通信,因此能够迅速地针对所探测到的非法通信做出应对。因而,能够实现生产性高的制造系统。
另外,例如,本公开的一个方式所涉及的非法通信探测方法用于探测制造制造物的制造系统的非法通信,在该非法通信探测方法中,获取所述制造系统的动作信息;从存储部读出要素信息,该要素信息表示与所述制造物的制造有关的多个要素中的一个以上的对象要素;基于所述动作信息来确定与在所述制造系统内进行的多个通信分别对应的要素;计算所述多个通信中的、满足所确定的要素包含在所述要素信息所表示的一个以上的对象要素中的一个以上的通信各自的异常度;以及在所计算出的异常度超过阈值的情况下,将与该异常度对应的通信判定为非法通信。
由此,与上述非法通信探测装置相同,能够高精度地探测制造系统的非法通信。
下面,参照附图具体说明实施方式。
此外,下面说明的实施方式均用于示出总括性或具体的例子。下面的实施方式中示出的数值、形状、材料、构成要素、构成要素的配置位置及连接方式、步骤、步骤的顺序等是一例,并不用于对本公开进行限定。另外,对于下面的实施方式中的构成要素中的、未记载在独立权利要求中的构成要素,设为任意的构成要素来进行说明。
另外,各图是示意图,并不一定严格地进行了图示。因而,例如在各图中比例尺等未必一致。另外,在各图中,对实质上相同的结构标注相同的附图标记,并省略或简化重复的说明。
(实施方式1)
首先,使用图1来说明实施方式1所涉及的制造系统的概要。图1是表示本实施方式所涉及的制造系统10的结构的框图。
如图1所示,制造系统10是制造制造物的系统,具备控制装置20、制造装置30、32、34以及非法通信探测装置100。控制装置20与制造装置30、32及34分别以能够经由网络进行通信的方式连接。
控制装置20控制制造装置30、32以及34。控制装置20例如通过计算机设备等来实现。控制装置20通过存储有程序的非易失性存储器、作为用于执行程序的临时存储区域的易失性存储器、输入输出端口、执行程序的处理器等来实现。控制装置20所具有的各功能也可以分别通过由处理器执行的软件来实现,还可以通过包含多个电路元件的电子电路等硬件来实现。
制造装置30、32以及34制造制造物。例如,制造装置30、32以及34沿着生产线排列配置。制造装置30、32以及34例如执行用于制造一个制造物的互不相同的工序。制造装置30、32以及34例如分别是部件安装机。或者,制造装置30、32以及34中的至少一个也可以是基板输送装置或部件供给装置等。
此外,制造系统10的结构不限于图1所示的例子。例如,在图1中示出了制造系统10所具备的制造装置的个数为3台的例子,但也可以仅是1台,也可以是2台,还可以是4台以上。另外,制造系统10也可以不具备控制装置20,也可以通过多个制造装置30、32以及34相互进行通信来协同制造制造物。
非法通信探测装置100是探测制造系统10的异常的异常探测装置的一例。非法通信探测装置100探测制造系统10的非法通信。非法通信探测装置100例如通过计算机设备等来实现。非法通信探测装置100通过存储有程序的非易失性存储器、作为用于执行程序的临时存储区域的易失性存储器、输入输出端口、执行程序的处理器等来实现。非法通信探测装置100所具有的各功能也可以分别通过由处理器执行的软件来实现,还可以通过包含多个电路元件的电子电路等硬件来实现。
图2是表示本实施方式所涉及的非法通信探测装置100的结构的框图。如图2所示,非法通信探测装置100具备获取部110、存储部120、确定部130、计算部140、判定部150以及输出部160。
获取部110获取制造系统10的动作信息。具体地说,获取部110获取多个通信信息。多个通信信息包含在动作信息中,是与在制造系统10内进行的通信有关的信息。
图3是表示多个通信信息和相对于通信白名单的对照结果的图。如图3所示,多个通信信息分别包含例如一个通信的发送源和发送目的地。发送源和发送目的地分别用IP地址等表示。另外,在多个通信信息中分别包含与通信有关的特征量。与通信有关的特征量是在发生了非法通信的情况下变为与正常时不同的值的物理量。特征量例如是该通信的数据包数、数据包的最大尺寸以及数据包的到达间隔的最大值或平均值中的至少一者。特征量在用于计算异常度的统计处理中使用。获取部110例如使各装置之间的通信镜像来进行接收,从而获取包含数据包数等特征量的通信信息。
存储部120是用于存储表示与制造物有关的多个要素中的一个以上的对象要素的要素信息的存储器。存储部120例如通过HDD(Hard Disk Drive:硬盘驱动器)或半导体存储器等非易失性存储元件来实现。
要素信息相当于表示与制造物的制造有关的多个要素中的被许可的要素的白名单。在本实施方式中,要素是装置之间的通信。存储部120存储有作为要素信息的一例的通信白名单122。通信白名单122是将被许可的一个以上的通信表示为一个以上的对象要素的许可通信信息的一例。通信白名单122通过由制造系统10的管理者等登记被许可的通信而生成后被存储在存储部120中。此外,通信白名单122也可以如在实施方式2等中后述的那样基于机器学习的结果来生成。
确定部130基于动作信息来确定与在制造系统10内进行的多个通信分别对应的要素。在本实施方式中,确定部130基于由获取部110获取到的动作信息,来将多个通信中的各通信确定为要素。也就是说,在本实施方式中,与通信对应的要素就是通信本身。具体地说,确定部130针对每个通信提取通信信息中包含的发送源和发送目的地,来确定通信。
计算部140计算在制造系统10内进行的多个通信中的、满足由确定部130确定的要素包含在存储部120中存储的要素信息所表示的一个以上的对象要素中的一个以上的通信各自的异常度。在本实施方式中,计算部140计算满足由确定部130确定的通信包含在存储部120中存储的通信白名单122所表示的一个以上的通信中的一个以上的通信各自的异常度。
例如,在图3所示的例子中,示出在制造系统10内进行了通信1~8的情形。判定为通信1~8中的通信1、通信2、通信5以及通信6包含在通信白名单122所表示的通信中。因此,如图4所示,计算部140计算与通信1、通信2、通信5及通信6对应的4个通信的异常度。具体地说,计算部140将通信1、通信2、通信5以及通信6作为对象来进行动作探测。此外,图4是表示成为由本实施方式所涉及的非法通信探测装置100进行的动作探测的对象的通信信息的图。
具体地说,计算部140从存储部120读出通信白名单122,将由确定部130确定的通信与通信白名单122进行对照,由此判定所确定的通信是否包含在通信白名单122中。计算部140通过针对成为对象的一个以上的通信进行动作探测,来计算各通信的异常度。异常度是在制造系统10内进行的通信相对于正常模型、即正常的动作的偏离值。此外,计算异常度的算法并不限于动作探测,也可以是局部偏差值因子(LOF:Local Outlier Factor)算法、支持向量机(SVM:Support Vector Machine)算法、或者k最近邻(kNN:k-NearestNeighbor)算法等。
在由计算部140计算出的异常度大于阈值的情况下,判定部150将与大于阈值的异常度对应的通信判定为非法通信。阈值例如是在生成正常的动作(正常模型)时决定的固定值。
在本实施方式中,判定部150还将在制造系统10内进行的多个通信中的、满足由确定部130确定的通信未包含在通信白名单122所表示的一个以上的通信中的一个以上的通信判定为非法通信。例如,在图3所示的例子中,判定为通信1~8中的通信3、通信4、通信7以及通信8未包含在通信白名单122所表示的通信中。因此,判定部150将通信3、通信4、通信7以及通信8这4个通信判定为非法通信。
输出部160输出用于确定非法通信的信息。输出部160例如包括显示图像的显示部、输出声音的声音输出部以及输出数据的数据输出部中的至少一者。显示部例如通过液晶显示装置等来实现。声音输出部例如通过扬声器等来实现。数据输出部例如通过进行无线通信来向制造系统10的管理者或进行维护的人员的管理服务器等外部的服务器装置输出用于确定非法通信的信息。
用于确定非法通信的信息例如是进行非法通信的2个装置的名称或设置位置等。用于确定非法通信的信息也可以是进行非法通信的2个装置的IP地址。
接着,使用图5~图7来说明由本实施方式所涉及的非法通信探测装置100进行的非法通信的探测处理。
图5是表示本实施方式所涉及的非法通信探测装置100的动作的流程图。图5所示的非法通信的探测处理例如按规定的制造单位执行。制造单位例如是批、或者1小时或1天等时间。或者,非法通信的探测处理也可以与制造系统10的制造动作相匹配地实质上实时地执行。
如图5所示,首先,获取部110获取动作信息(S10)。具体地说,获取部110获取与在规定的制造单位内进行的所有的通信有关的通信信息。由获取部110获取到的多个通信信息例如被临时存储在存储部120中。
接下来,确定部130基于由获取部110获取到的动作信息来确定多个通信各自的要素(S20)。具体地说,确定部130将多个通信中的各通信确定为要素。更具体地说,确定部130确定多个通信各自的发送源和发送目的地。
接着,计算部140进行与白名单的对照处理(S30)。图6是表示本实施方式所涉及的非法通信探测装置100的动作中的与通信白名单122的对照处理(S30)的流程图。如图6所示,针对每个通信进行对照处理。
具体地说,计算部140从由获取部110获取到的多个通信信息中选择一个通信信息,判定所选择的通信信息所表示的通信是否包含在通信白名单122中(S32)。在所选择的通信未包含在通信白名单122中的情况下(S32中为“否”),计算部140将该通信判定为删除对象且为非法通信(S34)。在所选择的通信包含在通信白名单122中的情况下(S32中为“是”),返回步骤S32,从未选择的通信信息中选择一个通信信息,将所选择的通信信息所表示的通信作为对象反复进行与通信白名单122的对照。
由此,基于由获取部110获取到的动作信息,来从成为对象的所有的通信中决定成为删除对象的通信。另外,成为删除对象的通信被判定为非法通信。
如图5所示,在进行对照处理(S30)之后,计算部140从由获取部110获取到的动作信息中包含的所有的通信中删除未包含在白名单(具体地说,是通信白名单122)中的通信(S40)。也就是说,计算部140将在步骤S34中被判定为删除对象的通信删除。
接着,计算部140计算未被删除的剩余的通信、即白名单中包含的通信的异常度(S50)。例如,计算部140基于通信白名单122中包含的通信的特征量,来针对每个通信进行动作探测。由此,计算部140计算相对于正常的动作的偏离值作为异常度。
接着,判定部150基于计算出的异常度来进行非法通信的判定处理(S60)。图7是表示本实施方式所涉及的非法通信探测装置100的动作中的非法通信的判定处理的流程图。如图7所示,针对每个通信进行非法处理的判定处理。
具体地说,判定部150将计算出的异常度与阈值进行比较(S62)。在异常度为阈值以下的情况下(S62中为“否”),判定部150将与该异常度对应的通信判定为正常的通信(S64)。在异常度大于阈值的情况下(S62中为“是”),判定部150将与该异常度对应的通信判定为非法通信(S66)。
通过上面的处理,即使是包含在通信白名单122中的通信,也能够通过动作探测等统计处理而判定为非法通信。因此,根据非法通信探测装置100,能够检测虽然是被许可的通信但是为基于病毒感染、侵占、具有恶意的非法操作等的非法通信。另外,未包含在通信白名单122中的通信能够通过与通信白名单122的对照而判定为非法通信。
(实施方式2)
接着,说明实施方式2。在下面的说明中,以与实施方式1的不同点为中心进行说明,省略或简化共同点的说明。
图8是表示本实施方式所涉及的非法通信探测装置200的结构的框图。如图8所示,非法通信探测装置200相比于实施方式1所涉及的非法通信探测装置100而言,具备确定部230和计算部240来取代确定部130和计算部140。另外,非法通信探测装置200还具备学习部270和名单生成部280。在存储部120中还存储有设备状态白名单224。
设备状态白名单224是将制造系统10能够采取的多个设备状态中的一个以上的设备状态表示为一个以上的对象要素的设备状态信息的一例。在本实施方式中,设备状态白名单224由名单生成部280生成。或者,设备状态白名单224也可以通过由制造系统10的管理者等登记成为非法通信的对象的一个以上的设备状态来生成。
多个设备状态相当于利用制造系统10所具备的制造装置30等进行的制造的各工序。多个设备状态例如如图9所示为一张生产开始、基板搬入、基板搬出、一张生产结束、换产调整(日语:段取り替え)开始、换产调整结束等。此外,图9是表示各设备状态相对于设备状态白名单的对照结果的一例的图。
确定部230除了进行确定部130的动作以外,还基于由获取部110获取到的动作信息来将进行多个通信中的各通信时的设备状态确定为要素。例如,确定部230通过分析通信的数据包的有效载荷(Payload)中包含的动作命令,来确定与该通信对应的设备状态。动作命令例如是从控制装置20向制造装置30、32或34发送的命令,或者是在制造装置30、32以及34中的至少两个装置之间发送的命令。
计算部240从存储部120读出通信白名单122和设备状态白名单224。计算部240计算在制造系统10内进行的多个通信中的一个以上的通信各自的异常度,该一个以上的通信满足由确定部230确定的通信包含在通信白名单122所表示的一个以上的通信中且由确定部230确定的设备状态包含在设备状态白名单224所表示的一个以上的设备状态中。也就是说,成为异常度的计算对象的一个以上的通信是包含在通信白名单122中的通信、且是在制造系统10成为设备状态白名单224所表示的设备状态的期间进行的通信。计算部240计算异常度的具体计算方法与实施方式1相同。在本实施方式中,计算部240计算相对于由学习部270生成的正常模型的偏离值作为异常度。
在图9所示的例子中,一张生产开始、基板搬入、基板搬出、一张生产结束这4个设备状态包含在设备状态白名单224中。因此,将在制造系统10成为这4个设备状态的期间进行的通信作为对象,来进行异常度的计算以及非法通信的判定。另外,换产调整开始和换产调整结束这2个设备状态未包含在设备状态白名单224中。因此,对于在制造系统10成为这2个设备状态的期间进行的通信,不进行异常度的计算。
学习部270通过进行使用了预先获取到的动作信息的机器学习,来生成用于计算异常度的正常模型。关于机器学习的方法,没有进行特别限定。例如,学习部270使用使制造系统10实际动作时的动作信息或基于对制造系统10进行了模仿的仿真的动作信息来进行机器学习。由此,学习部270生成制造系统10的正常模型。
在成为机器学习的对象的动作信息中包含的多个通信中,例如不包含非法通信。也就是说,学习部270使用能够确认未发生非法通信的期间的动作信息来进行机器学习。
名单生成部280是信息生成部的一例,该信息生成部将以下信息生成为要素信息,该信息将与作为机器学习的对象的动作信息中包含的多个通信分别对应的一个以上的要素表示为一个以上的对象要素。具体地说,名单生成部280确定进行成为学习部270进行的机器学习的对象的动作信息中包含的多个通信中的各通信时的一个以上的设备状态,并将所确定的一个以上的设备状态列表化,由此生成设备状态白名单224。或者,名单生成部280也可以确定进行成为学习部270进行的机器学习的对象的动作信息中包含的多个通信时的一个以上的设备状态以及此时发生的一个以上的事件。名单生成部280也可以通过将所确定的一个以上的设备状态和伴随事件的发生而发生转移之后的一个以上的设备状态列表化,来生成设备状态白名单224。名单生成部280将所生成的设备状态白名单224保存在存储部120中。另外,名单生成部280也可以通过将成为学习部270进行的机器学习的对象的动作信息中包含的多个通信列表化,来生成通信白名单122。
这样,在本实施方式所涉及的非法通信探测装置200中,基于机器学习的结果来生成设备状态白名单224。也就是说,能够将没有成为机器学习的对象的设备状态从非法通信的探测对象中排除,因此能够抑制误判定,能够提高非法通信的判定精度。
此外,存储部120中也可以不存储通信白名单122。在该情况下,确定部230可以基于由获取部110获取到的动作信息,仅将进行多个通信中的各通信时的设备状态确定为要素,而不确定通信。计算部240也可以计算在制造系统10内进行的多个通信中的、满足由确定部230确定的设备状态包含在设备状态白名单224所表示的一个以上的设备状态中的一个以上的通信各自的异常度。也就是说,计算部240可以仅进行相对于设备状态白名单224的对照。
(实施方式3)
接着,说明实施方式3。在下面的说明中,以与实施方式2的不同点为中心进行说明,省略或简化共同点的说明。
图10是表示本实施方式所涉及的非法通信探测装置300的结构的框图。如图10所示,非法通信探测装置300相比于实施方式2所涉及的非法通信探测装置200而言,具备确定部330、计算部340以及名单生成部380来取代确定部230、计算部240以及名单生成部280。在存储部120中,存储有种类白名单326来取代设备状态白名单224。此外,本实施方式所涉及的制造系统10制造种类不同的多个制造物。
种类白名单326是将多个制造物的一个以上的种类表示为一个以上的对象要素的种类信息的一例。在本实施方式中,种类白名单326由名单生成部380生成。或者,种类白名单326也可以通过由制造系统10的管理者等登记成为非法通信的探测对象的一个以上的种类来生成。
制造物的种类例如相当于制造物的型号或名称等。例如,在图11所示的例子中,用制造物A和制造物B等名称来表示制造物的种类。此外,图11是表示每个种类相对于种类白名单的对照结果的一例的图。
确定部330除了进行实施方式1所涉及的确定部130的动作以外,还基于由获取部110获取到的动作信息来将进行多个通信中的各通信时制造出的制造物的种类确定为要素。例如,确定部330将通信的数据包的发送时刻或接收时刻获取为通信时刻,并确定在包含所获取到的通信时刻的期间中制造出的制造物的种类。
计算部340从存储部120读出通信白名单122和种类白名单326。计算部340计算在制造系统10内进行的多个通信中的一个以上的通信各自的异常度,该一个以上的通信满足由确定部330确定的通信包含在通信白名单122所表示的一个以上的通信中且由确定部330确定的种类包含在种类白名单326所表示的一个以上的种类中。也就是说,成为异常度的计算对象的一个以上的通信是包含在通信白名单122中的通信、且是在制造种类白名单326所表示的种类的制造物的期间进行的通信。计算部340计算异常度的具体计算方法与实施方式1相同。在本实施方式中,计算部340计算相对于由学习部270生成的正常模型的偏离值作为异常度。
在图11所示的例子中,制造物A包含在种类白名单326中。因此,以在制造物A的制造期间进行的通信为对象,来进行异常度的计算以及非法通信的判定。另外,制造物B未包含在种类白名单326中。因此,对于在制造物B的制造期间进行的通信,不进行异常度的计算。
名单生成部380是信息生成部的一例,该信息生成部将以下信息生成为要素信息,该信息将与作为机器学习的对象的动作信息中包含的多个通信分别对应的一个以上的要素表示为一个以上的对象要素。具体地说,名单生成部380确定进行成为学习部270进行的机器学习的对象的动作信息中包含的多个通信中的各通信时制造出的制造物的一个以上的种类,并将所确定的一个以上的种类列表化,由此生成种类白名单326。名单生成部380将所生成的种类白名单326保存在存储部120中。另外,名单生成部380也可以通过将成为学习部270进行的机器学习的对象的动作信息中包含的多个通信列表化,来生成通信白名单122。
这样,在本实施方式所涉及的非法通信探测装置300中,基于机器学习的结果来生成种类白名单326。也就是说,能够将在制造没有成为机器学习的对象的种类的制造物时进行的通信从非法通信的探测对象中排除,因此能够抑制误判定,能够提高非法通信的判定精度。
此外,存储部120中也可以不存储通信白名单122。在该情况下,确定部330可以基于由获取部110获取到的动作信息,仅将进行多个通信中的各通信时制造出的制造物的种类确定为要素,而不确定通信。计算部340也可以计算在制造系统10内进行的多个通信中的、满足由确定部330确定的种类包含在种类白名单326所表示的一个以上的种类中的一个以上的通信各自的异常度。也就是说,计算部340可以仅进行相对于种类白名单326的对照。
(实施方式4)
接着,说明实施方式4。在下面的说明中,以与实施方式2的不同点为中心进行说明,省略或简化共同点的说明。
图12是表示本实施方式所涉及的非法通信探测装置400的结构的框图。如图12所示,非法通信探测装置400相比于实施方式2所涉及的非法通信探测装置200而言,具备确定部430、计算部440以及名单生成部480来取代确定部230、计算部240以及名单生成部280。在存储部120中,存储有结构白名单428来取代设备状态白名单224。
结构白名单428是将制造系统10的多个设备结构中的一个以上的设备结构表示为一个以上的对象要素的结构信息的一例。在本实施方式中,结构白名单428由名单生成部480生成。或者,结构白名单428也可以通过由制造系统10的管理者等登记成为非法通信的探测对象的一个以上的设备结构来生成。
制造系统10的设备结构例如由构成制造系统10的多个制造装置的种类和配置位置的组合来表示。例如,如图13所示,在制造系统10的设备结构A与设备结构B之间,制造装置的种类或配置互不相同。此外,图13是表示各设备结构相对于结构白名单的对照结果的一例的图。
在本实施方式中,制造系统10能够采取多个设备结构。例如,制造系统10中包含的制造装置30、32以及34中的至少一个能够置换为不同种类的制造装置。或者,能够变更制造装置30、32以及34在生产线内的配置。
确定部430除了进行实施方式1所涉及的确定部130的动作以外,还基于由获取部110获取到的动作信息来将进行多个通信时的设备结构确定为要素。例如,确定部430将通信的数据包的发送时刻或接收时刻获取为通信时刻,并确定包含所获取到的通信时刻的期间中的制造系统10的设备结构。
计算部440从存储部120读出通信白名单122和结构白名单428。计算部440计算在制造系统10内进行的多个通信中的一个以上的通信各自的异常度,该一个以上的通信满足由确定部430确定的通信包含在通信白名单122所表示的一个以上的通信中、且由确定部430确定的设备结构包含在结构白名单428所表示的一个以上的设备结构中。也就是说,成为异常度的计算对象的一个以上的通信是包含在通信白名单122中的通信、且是在通过结构白名单428所表示的设备结构制造制造物时进行的通信。计算部440计算异常度的具体计算方法与实施方式1相同。在本实施方式中,计算部440计算相对于由学习部270生成的正常模型的偏离值作为异常度。
在图14所示的例子中,设备结构A包含在结构白名单428中。因此,以在制造系统10通过设备结构A进行动作的期间进行的通信为对象,来进行异常度的计算以及非法通信的判定。另外,设备结构B未包含在结构白名单428中。因此,对于在制造系统10通过设备结构B进行动作的期间进行的通信,不进行异常度的计算。
名单生成部480是信息生成部的一例,该信息生成部将以下信息生成为要素信息,该信息将与作为机器学习的对象的动作信息中包含的多个通信分别对应的一个以上的要素表示为一个以上的对象要素。具体地说,名单生成部480确定进行成为学习部270进行的机器学习的对象的动作信息中包含的多个通信中的各通信时的一个以上的设备结构,并将所确定的一个以上的设备结构列表化,由此生成结构白名单428。名单生成部480将所生成的结构白名单428保存在存储部120中。另外,名单生成部480也可以通过将成为学习部270进行的机器学习的对象的动作信息中包含的多个通信列表化,来生成通信白名单122。
这样,在本实施方式所涉及的非法通信探测装置400中,基于机器学习的结果来生成结构白名单428。也就是说,能够将在制造系统10通过没有成为机器学习的对象的设备结构进行动作的期间进行的通信从非法通信的探测对象中排除,因此能够抑制误判定,能够提高非法通信的判定精度。
此外,存储部120中也可以不存储通信白名单122。在该情况下,确定部430可以基于由获取部110获取到的动作信息,仅将进行多个通信中的各通信时的设备结构确定为要素,而不确定通信。计算部440也可以计算在制造系统10内进行的多个通信中的、满足由确定部430确定的设备结构包含在结构白名单428所表示的一个以上的设备结构中的一个以上的通信各自的异常度。也就是说,计算部440可以仅进行相对于结构白名单428的对照。
(变形例)
在此,说明上述的实施方式的变形例。
在实施方式2~4中,示出了在存储部120中存储有设备状态白名单224、种类白名单326及结构白名单428中的任一个以及通信白名单122这两个白名单的例子,但不限于此。例如,在存储部120中,也可以存储从通信白名单122、设备状态白名单224、种类白名单326以及结构白名单428中选择的3个或4个(全部)。
在这种情况下,确定部230确定与存储部120中存储的白名单所表示的对象要素对应的要素。计算部240计算多个通信中的、满足由确定部230确定的要素包含在存储部120中存储的所有的白名单所表示的对象要素中的一个以上的通信各自的异常度。
例如,在存储部120中存储有通信白名单122、设备状态白名单224以及种类白名单326的情况下,确定部230基于由获取部110获取到的动作信息,来将多个通信中的各通信、进行该通信时的设备状态、进行该通信时制造的制造物的种类确定为要素。
图14是表示分别相对于设备状态白名单224和种类白名单326的对照结果的一例的图。如图14所示,计算部240仅将为包含在设备状态白名单224中的设备状态且制造包含在种类白名单326中的种类的制造物的期间的通信作为对象,来进行异常度的计算。具体地说,计算部240计算在包含在种类白名单326中的制造物A的制造期间内为包含在设备状态白名单224中的一片生产开始、基板搬入、基板搬出以及一片生产结束的设备状态的期间的通信的异常度。虽然是在制造物A的制造期间内但是未包含在设备状态白名单224中的换产调整开始、换产调整结束的设备状态的期间的通信不成为异常度的计算及非法通信的探测的对象。另外,虽然是包含在设备状态白名单224中的一片生产开始、基板搬入、基板搬出以及一片生产结束的设备状态的期间的通信但是为未包含在种类白名单326中的制造物B的制造期间的通信不成为异常度的计算及非法通信的探测的对象。
(其它实施方式)
以上,基于实施方式说明了一个或多个方式所涉及的非法通信探测装置、非法通信探测方法以及制造系统等,但本公开不限定于这些实施方式。只要不脱离本公开的主旨,则对本实施方式实施本领域技术人员想到的各种变形而得到的方式以及将不同的实施方式中的构成要素组合而构建的方式也包含在本公开的范围内。
例如,在上述的实施方式中,示出了探测作为制造系统的异常的一例的非法通信的例子,但不限于此。例如,本公开也可以实现为探测制造系统的异常的异常探测装置、异常探测方法、或者具备异常探测装置的制造系统等。
例如,计算部计算与制造物的制造有关的多个要素中的、满足由确定部确定的要素包含在要素信息所表示的一个以上的对象要素中的一个以上的要素的异常度。例如,计算部从动作信息中提取成为异常度的计算的对象的一个以上的要素的特征量。特征量例如是制造装置的错误的发生次数、制造一个制造物所需要的时间、制造一个制造物所需要的功耗等。计算部也可以通过对这些特征量进行统计处理,来计算每个要素的异常度。例如,计算部也可以计算每个设备状态的异常度、制造物的每个种类的异常度以及每个设备结构的异常度。判定部通过将由计算部计算出的异常度与阈值进行比较,在异常度大于阈值的情况下,判定为与该异常度对应的要素异常。
另外,例如,针对上述实施方式中说明的装置之间的通信方法,没有进行特别限定。在装置之间进行无线通信的情况下,无线通信的方式(通信标准)例如是ZigBee(注册商标)、Bluetooth(注册商标)或无线LAN(Local Area Network:局域网)等近距离无线通信。或者,无线通信的方式(通信标准)也可以是经由因特网等广域通信网络的通信。另外,在装置之间,也可以进行有线通信来取代无线通信。有线通信具体地说是电力线通信(PLC:Power Line Communication)或使用有线LAN的通信等。
另外,在上述实施方式中,特定的处理部执行的处理也可以由其它处理部来执行。另外,多个处理的顺序可以变更,或者也可以并行地执行多个处理。另外,制造系统所具备的构成要素在多个装置中的分配是一个例子。例如,一个装置所具备的构成要素也可以由其它装置具备。另外,制造系统也可以以单个装置来实现。
例如,在上述实施方式中说明的处理也可以通过使用单个装置(系统)进行集中处理来实现,或者也可以通过使用多个装置进行分散处理来实现。另外,执行上述程序的处理器可以是单个,也可以是多个。即,可以进行集中处理,或者也可以进行分散处理。
另外,在上述实施方式中,控制部等构成要素的全部或一部分可以由专用的硬件构成,或者也可以通过执行适合于各构成要素的软件程序来实现。各构成要素也可以通过CPU(Central Processing Unit:中央处理单元)或处理器等程序执行部读出记录在HDD(Hard Disk Drive:硬盘驱动器)或半导体存储器等记录介质中的软件程序后执行该软件程序来实现。
另外,控制部等构成要素也可以由一个或多个电子电路构成。一个或多个电子电路可以分别是通用的电路,也可以是专用的电路。
在一个或多个电子电路中,例如可以包含半导体装置、IC(Integrated Circuit:集成电路)或LSI(Large Scale Integration:大规模集成电路)等。IC或LSI可以集成在一个芯片上,也可以集成在多个芯片上。这里称为IC或LSI,但根据集成的程度,称呼方法有所改变,也可能被称为系统LSI、VLSI(Very Large Scale Integration:甚大规模集成电路)或ULSI(Ultra Large Scale Integration:超大规模集成电路)。另外,在制造LSI后被进行编程的FPGA(Field Programmable Gate Array:现场可编程门阵列)也可以以相同的目的使用。
另外,本公开的整体或具体的方式也可以通过系统、装置、方法、集成电路或计算机程序来实现。或者,也可以通过存储有该计算机程序的光盘、HDD或半导体存储器等计算机可读的非临时记录介质来实现。另外,也可以通过系统、装置、方法、集成电路、计算机程序以及记录介质的任意的组合来实现。
另外,上述各实施方式能够在权利要求书或与其等同的范围内进行各种变更、置换、附加、省略等。
产业上的可利用性
本公开能够作为能够高精度地探测制造系统的非法通信的非法通信探测装置等来使用,例如能够在制造系统的管理装置等中使用。
附图标记说明
10:制造系统;20:控制装置;30、32、34:制造装置;100、200、300、400:非法通信探测装置;110:获取部;120:存储部;122:通信白名单;224:设备状态白名单;130、230、330、430:确定部;140、240、340、440:计算部;150:判定部;160:输出部;270:学习部;280、380、480:名单生成部;326:种类白名单;428:结构白名单。
Claims (14)
1.一种非法通信探测装置,用于探测制造制造物的制造系统的非法通信,所述非法通信探测装置具备:
获取部,其获取所述制造系统的动作信息;
存储部,其存储要素信息,该要素信息表示与所述制造物的制造有关的多个要素中的一个以上的对象要素;
确定部,其基于所述动作信息来确定与在所述制造系统内进行的多个通信分别对应的要素;
计算部,其计算所述多个通信中的、满足由所述确定部确定的要素包含在所述要素信息所表示的一个以上的对象要素中的一个以上的通信各自的异常度;以及
判定部,在由所述计算部计算出的异常度大于阈值的情况下,所述判定部将与该异常度对应的通信判定为非法通信。
2.根据权利要求1所述的非法通信探测装置,其中,
所述要素信息包含将被许可的一个以上的通信表示为所述一个以上的对象要素的许可通信信息,
所述确定部基于所述动作信息,来将所述多个通信中的各通信确定为所述要素,
所述计算部计算所述多个通信中的、满足由所述确定部确定的通信包含在所述许可通信信息所表示的一个以上的通信中的一个以上的通信各自的异常度。
3.根据权利要求2所述的非法通信探测装置,其中,
所述判定部还将所述多个通信中的、满足由所述确定部确定的通信未包含在所述许可通信信息所表示的一个以上的通信中的一个以上的通信判定为非法通信。
4.根据权利要求2或3所述的非法通信探测装置,其中,
所述要素信息还包含将所述制造系统能够采取的多个设备状态中的一个以上的设备状态表示为所述一个以上的对象要素的设备状态信息,
所述确定部还基于所述动作信息,来将进行所述多个通信中的各通信时的设备状态确定为所述要素,
所述计算部计算所述多个通信中的、进一步满足由所述确定部确定的设备状态包含在所述设备状态信息所表示的一个以上的设备状态中的一个以上的通信各自的异常度。
5.根据权利要求2至4中的任一项所述的非法通信探测装置,其中,
所述制造系统制造种类不同的多个制造物,
所述要素信息还包含将所述多个制造物的一个以上的种类表示为所述一个以上的对象要素的种类信息,
所述确定部还基于所述动作信息,来将进行所述多个通信中的各通信时制造出的制造物的种类确定为所述要素,
所述计算部计算所述多个通信中的、进一步满足由所述确定部确定的种类包含在所述种类信息所表示的一个以上的种类中的一个以上的通信各自的异常度。
6.根据权利要求2至5中的任一项所述的非法通信探测装置,其中,
所述要素信息还包含将所述制造系统的多个设备结构中的一个以上的设备结构表示为所述一个以上的对象要素的结构信息,
所述确定部还基于所述动作信息,来将进行所述多个通信中的各通信时的设备结构确定为所述要素,
所述计算部计算所述多个通信中的、进一步满足由所述确定部确定的设备结构包含在所述结构信息所表示的一个以上的设备结构中的一个以上的通信各自的异常度。
7.根据权利要求1至6中的任一项所述的非法通信探测装置,其中,
所述计算部计算在所述制造系统内进行的通信的相对于正常模型的偏离值作为所述异常度。
8.根据权利要求7所述的非法通信探测装置,还具备:
学习部,其通过进行使用了预先获取到的动作信息的机器学习,来生成所述正常模型;以及
信息生成部,其将以下信息生成为所述要素信息,该信息将与作为所述机器学习的对象的动作信息中包含的多个通信分别对应的一个以上的要素表示为所述一个以上的对象要素。
9.根据权利要求1所述的非法通信探测装置,其中,
所述要素信息包含将所述制造系统能够采取的多个设备状态中的一个以上的设备状态表示为所述一个以上的对象要素的设备状态信息,
所述确定部基于所述动作信息,来将进行所述多个通信中的各通信时的设备状态确定为所述要素,
所述计算部计算所述多个通信中的、满足由所述确定部确定的设备状态包含在所述设备状态信息所表示的一个以上的设备状态中的一个以上的通信各自的异常度。
10.根据权利要求1所述的非法通信探测装置,其中,
所述制造系统制造种类不同的多个制造物,
所述要素信息包含将所述多个制造物的一个以上的种类表示为所述一个以上的对象要素的种类信息,
所述确定部基于所述动作信息,来将进行所述多个通信中的各通信时制造出的制造物的种类确定为所述要素,
所述计算部计算所述多个通信中的、满足由所述确定部确定的种类包含在所述种类信息所表示的一个以上的种类中的一个以上的通信各自的异常度。
11.根据权利要求1所述的非法通信探测装置,其中,
所述要素信息包含将所述制造系统的多个设备结构中的一个以上的设备结构表示为所述一个以上的对象要素的结构信息,
所述确定部基于所述动作信息,来将进行所述多个通信中的各通信时的设备结构确定为所述要素,
所述计算部计算所述多个通信中的、满足由所述确定部确定的设备结构包含在所述结构信息所表示的一个以上的设备结构中的一个以上的通信各自的异常度。
12.一种制造系统,用于制造制造物,
所述制造系统具备根据权利要求1至11中的任一项所述的非法通信探测装置。
13.一种非法通信探测方法,用于探测制造制造物的制造系统的非法通信,在所述非法通信探测方法中,
获取所述制造系统的动作信息,
从存储部读出要素信息,该要素信息表示与所述制造物的制造有关的多个要素中的一个以上的对象要素,
基于所述动作信息来确定与在所述制造系统内进行的多个通信分别对应的要素,
计算所述多个通信中的、满足所确定的要素包含在所述要素信息所表示的一个以上的对象要素中的一个以上的通信各自的异常度,
在所计算出的异常度超过阈值的情况下,将与该异常度对应的通信判定为非法通信。
14.一种程序,用于使计算机执行根据权利要求13所述的非法通信探测方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018113112 | 2018-06-13 | ||
| JP2018-113112 | 2018-06-13 | ||
| PCT/JP2019/022669 WO2019240020A1 (ja) | 2018-06-13 | 2019-06-07 | 不正通信検知装置、不正通信検知方法及び製造システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112219374A true CN112219374A (zh) | 2021-01-12 |
| CN112219374B CN112219374B (zh) | 2023-05-02 |
Family
ID=68843357
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980037364.8A Active CN112219374B (zh) | 2018-06-13 | 2019-06-07 | 非法通信探测装置、非法通信探测方法以及制造系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20210264026A1 (zh) |
| JP (1) | JP7378089B2 (zh) |
| CN (1) | CN112219374B (zh) |
| WO (1) | WO2019240020A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230007019A1 (en) * | 2020-01-15 | 2023-01-05 | Mitsubishi Electric Corporation | Relay device and relay method |
| EP4184875A4 (en) * | 2020-07-15 | 2023-12-27 | Panasonic Intellectual Property Corporation of America | COMMUNICATION MONITORING METHOD AND COMMUNICATION MONITORING SYSTEM |
| DE102020214945A1 (de) * | 2020-11-27 | 2022-06-02 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070294351A1 (en) * | 2004-03-26 | 2007-12-20 | Hisham Arnold El-Emam | Method for the Monitoring the Transmission of Electronic Messages |
| CN102130800A (zh) * | 2011-04-01 | 2011-07-20 | 苏州赛特斯网络科技有限公司 | 基于数据流行为分析的网络访问异常检测装置及方法 |
| CN102347872A (zh) * | 2010-08-02 | 2012-02-08 | 横河电机株式会社 | 非法通信检测系统 |
| JP2015082769A (ja) * | 2013-10-23 | 2015-04-27 | 日本電信電話株式会社 | 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム |
| CN104778404A (zh) * | 2014-01-14 | 2015-07-15 | 株式会社Pfu | 信息处理装置及非法活动判定方法 |
| CN106104497A (zh) * | 2014-03-20 | 2016-11-09 | 日本电气株式会社 | 信息处理装置和异常检测方法 |
| US20170331853A1 (en) * | 2016-05-11 | 2017-11-16 | Allied Telesis Holdings K.K. | Security system |
| CN107925600A (zh) * | 2015-12-16 | 2018-04-17 | 松下电器(美国)知识产权公司 | 安全处理方法以及服务器 |
| CN108028790A (zh) * | 2016-01-08 | 2018-05-11 | 松下电器(美国)知识产权公司 | 异常检测方法、异常检测装置及异常检测系统 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007164313A (ja) * | 2005-12-12 | 2007-06-28 | Mitsubishi Electric Corp | 不正アクセス検知装置 |
| US20170011409A1 (en) * | 2012-11-06 | 2017-01-12 | Dna Response Inc. | Systems and methods for detecting and eliminating unauthorized digital communications |
| WO2014155650A1 (ja) * | 2013-03-29 | 2014-10-02 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
| JP6216242B2 (ja) * | 2013-12-13 | 2017-10-18 | 株式会社日立ハイテクノロジーズ | 異常検知方法およびその装置 |
| KR101538709B1 (ko) * | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 |
| US9407652B1 (en) * | 2015-06-26 | 2016-08-02 | Palantir Technologies Inc. | Network anomaly detection |
| US10097585B2 (en) * | 2016-01-22 | 2018-10-09 | Rockwell Automation Technologies, Inc. | Model-based security policy configuration and enforcement in an industrial automation system |
| CN109074453B (zh) * | 2016-04-26 | 2021-10-26 | 三菱电机株式会社 | 入侵检测装置、入侵检测方法以及计算机能读取的存储介质 |
| JP2017216569A (ja) * | 2016-05-31 | 2017-12-07 | 株式会社日立製作所 | 通信装置、制御システム、及び、通信制御方法 |
| US10338549B2 (en) * | 2016-10-17 | 2019-07-02 | Fisher-Rosemount Systems, Inc. | Methods and systems for subscribing remote devices to process control data |
| US10476892B2 (en) * | 2016-12-29 | 2019-11-12 | Juniper Networks, Inc. | Reputation-based application caching and white-listing |
| US20200314130A1 (en) * | 2017-01-19 | 2020-10-01 | Mitsubishi Electric Corporation | Attack detection device, attack detection method, and computer readable medium |
| US10341293B2 (en) * | 2017-02-22 | 2019-07-02 | Honeywell International Inc. | Transparent firewall for protecting field devices |
| JP6759169B2 (ja) * | 2017-09-11 | 2020-09-23 | 株式会社東芝 | 情報処理装置、情報処理方法、および情報処理プログラム |
| US10754950B2 (en) * | 2017-11-30 | 2020-08-25 | Assured Information Security, Inc. | Entity resolution-based malicious file detection |
| US20190318029A1 (en) * | 2018-04-13 | 2019-10-17 | Reflektion, Inc. | Back End Server Modification And Visualization |
-
2019
- 2019-06-07 JP JP2020525514A patent/JP7378089B2/ja active Active
- 2019-06-07 CN CN201980037364.8A patent/CN112219374B/zh active Active
- 2019-06-07 US US16/973,898 patent/US20210264026A1/en active Pending
- 2019-06-07 WO PCT/JP2019/022669 patent/WO2019240020A1/ja active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070294351A1 (en) * | 2004-03-26 | 2007-12-20 | Hisham Arnold El-Emam | Method for the Monitoring the Transmission of Electronic Messages |
| CN102347872A (zh) * | 2010-08-02 | 2012-02-08 | 横河电机株式会社 | 非法通信检测系统 |
| CN102130800A (zh) * | 2011-04-01 | 2011-07-20 | 苏州赛特斯网络科技有限公司 | 基于数据流行为分析的网络访问异常检测装置及方法 |
| JP2015082769A (ja) * | 2013-10-23 | 2015-04-27 | 日本電信電話株式会社 | 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム |
| CN104778404A (zh) * | 2014-01-14 | 2015-07-15 | 株式会社Pfu | 信息处理装置及非法活动判定方法 |
| CN106104497A (zh) * | 2014-03-20 | 2016-11-09 | 日本电气株式会社 | 信息处理装置和异常检测方法 |
| CN107925600A (zh) * | 2015-12-16 | 2018-04-17 | 松下电器(美国)知识产权公司 | 安全处理方法以及服务器 |
| CN108028790A (zh) * | 2016-01-08 | 2018-05-11 | 松下电器(美国)知识产权公司 | 异常检测方法、异常检测装置及异常检测系统 |
| US20170331853A1 (en) * | 2016-05-11 | 2017-11-16 | Allied Telesis Holdings K.K. | Security system |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210264026A1 (en) | 2021-08-26 |
| JP7378089B2 (ja) | 2023-11-13 |
| JPWO2019240020A1 (ja) | 2021-06-24 |
| WO2019240020A1 (ja) | 2019-12-19 |
| CN112219374B (zh) | 2023-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109791633B (zh) | 使用基于云的机器学习的静态和动态设备简档信誉 | |
| CN112219374B (zh) | 非法通信探测装置、非法通信探测方法以及制造系统 | |
| CN110192197B (zh) | 通过使用证书建立身份标识和信任来实现正品设备保证的技术 | |
| JP6523582B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| JP6967722B2 (ja) | リスク分析装置及びリスク分析方法 | |
| KR20150013091A (ko) | 랜덤성 테스트 장치 및 방법 | |
| JP6320329B2 (ja) | ホワイトリスト作成装置 | |
| JP7466197B2 (ja) | 異常解析装置、製造システム、異常解析方法及びプログラム | |
| EP3842974A1 (en) | Information processing device, information processing method, and program | |
| EP3742322A1 (en) | Operational policies or industrial field devices and distributed databases | |
| WO2020202884A1 (ja) | コントローラシステム | |
| US20210006570A1 (en) | Intrusion detection device, intrusion detection method, and computer readable medium | |
| US11403406B2 (en) | Method and confirmation device for confirming the integrity of a system | |
| EP3951520A1 (en) | Control system and setting method | |
| JP6967721B2 (ja) | リスク分析装置及びリスク分析方法 | |
| CN112583597A (zh) | 使用库存规则来识别计算机网络设备的系统及方法 | |
| JP4448307B2 (ja) | セキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム | |
| EP3661149A1 (en) | Test system and method for data analytics | |
| CN114996536B (zh) | 维修方案查询方法、装置、设备及计算机可读存储介质 | |
| JP2014191513A (ja) | 管理装置、管理方法及び管理プログラム | |
| US20210103276A1 (en) | Methods and apparatuses for defining authorization rules for peripheral devices based on peripheral device categorization | |
| US20220284347A1 (en) | Method and device for processing data associated with a plurality of physical devices | |
| JP2016201603A (ja) | 不正通信検査装置および通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |