JP2013246531A - Control device and control method - Google Patents
Control device and control method Download PDFInfo
- Publication number
- JP2013246531A JP2013246531A JP2012118153A JP2012118153A JP2013246531A JP 2013246531 A JP2013246531 A JP 2013246531A JP 2012118153 A JP2012118153 A JP 2012118153A JP 2012118153 A JP2012118153 A JP 2012118153A JP 2013246531 A JP2013246531 A JP 2013246531A
- Authority
- JP
- Japan
- Prior art keywords
- feature value
- bit
- conversion rule
- control device
- abnormality detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Testing And Monitoring For Control Systems (AREA)
Abstract
Description
本発明は、プラント設備などの制御の内部的な挙動を監視し異常動作を検知することができる制御装置および制御方法に関する。 The present invention relates to a control device and a control method capable of monitoring an internal behavior of control of a plant facility or the like and detecting an abnormal operation.
プラント設備などの制御に用いられる制御システムにおいて、不正な制御プログラムの注入や不正な遠隔操作によって、制御装置がプラントに危険な動作を起こさせるような指令値を出力したり、重要な制御情報を漏洩させたりすることを防止できるよう、制御装置の挙動を監視し、異常を検知した際に適切なアクションをとることが求められている。 In a control system used for control of plant equipment, etc., it outputs command values that cause the control device to cause dangerous operations to the plant by improper control program injection or unauthorized remote operation, and important control information In order to prevent leakage, it is required to monitor the behavior of the control device and take appropriate action when an abnormality is detected.
しかしながら、これらの制御装置では、制御動作の実行に関する時間的制約や、処理能力上の制約などから、情報処理用の計算機などで用いられているアンチウィルスソフトなどのセキュリティ技術は適用が困難である場合が多い。 However, in these control devices, security technology such as anti-virus software used in computers for information processing is difficult to apply due to time restrictions on execution of control operations and restrictions on processing capabilities. There are many.
特許文献1において、プラントまたは設備の異常を早期に検知する異常検知方法のうち、複数のセンサからデータを取得し、データの時間的な変化に基づいて、データ空間の軌跡を複数のクラスタに分割し、分割したクラスタ群に対して、部分空間法でモデル化し、はずれ値を異常候補として算出する異常検知方法が開示されている。
In
統計的な解析を利用する異常検知手法を制御装置の挙動監視に適用する場合、制御装置を構成するCPU(Central Processing Unit)やI/O(Input/Output)などの内部要素を監視対象として、それらの動作に伴って発生する動作イベントの特徴値が、予め設定された正常動作範囲の集合に含まれているかどうかを判定することが必要になる。このとき、監視対象とする内部要素によっては、前記の正常動作範囲の集合を定義することが困難なものもある。 When applying the abnormality detection method using statistical analysis to the behavior monitoring of the control device, the internal elements such as CPU (Central Processing Unit) and I / O (Input / Output) that constitute the control device are monitored. It is necessary to determine whether or not the feature values of the action events that occur with these actions are included in a set of preset normal action ranges. At this time, depending on the internal elements to be monitored, it may be difficult to define the set of normal operating ranges.
まず、正常動作範囲の定義が容易な場合の例として、化学プラントにおいて、原料の供給速度を決めるバルブの開度をアナログI/Oと呼ばれるI/Oを用いて制御するケースを考える。 First, as an example of the case where the normal operation range is easily defined, consider a case in which the opening of a valve that determines the feed rate of a raw material is controlled using an I / O called analog I / O in a chemical plant.
図2(a)に示すように、CPUから前記アナログI/Oの設定値レジスタに対して16bitの設定値を書き込むことで、設定値に対応する指令信号(例えば、4mA〜20mAの電流信号)がバルブに送られ、バルブの開度が設定される。アナログI/Oに書き込む設定値とバルブの開度とは一対一で対応し、かつ、前記設定値を増加させると前記バルブの開度がそれに応じて増加(あるいは減少)するという関係が成立している。従って、図2(b)に示すように、プラントが定常状態である場合の該バルブの適正な開度の範囲が例えばプラントの運転条件などから求められるならば、該バルブを制御するアナログI/Oへの設定値も、16bitで表現されうる0x0000(0)〜0xffff(65535)の全範囲のうちのある連続した範囲内で定義することができる。 As shown in FIG. 2A, by writing a 16-bit setting value from the CPU to the analog I / O setting value register, a command signal corresponding to the setting value (for example, a current signal of 4 mA to 20 mA). Is sent to the valve and the opening of the valve is set. There is a one-to-one correspondence between the set value written to the analog I / O and the valve opening, and when the set value is increased, the valve opening increases (or decreases) accordingly. ing. Therefore, as shown in FIG. 2 (b), if the appropriate opening range of the valve when the plant is in a steady state is obtained from the operating conditions of the plant, for example, an analog I / The set value for O can also be defined within a certain continuous range of the entire range of 0x0000 (0) to 0xffff (65535) that can be expressed in 16 bits.
これに対し、正常動作範囲の定義が困難な場合の例として、加工機械をディジタルI/Oと呼ばれるI/Oで制御するケースを考える。 On the other hand, as an example in which it is difficult to define the normal operation range, consider a case where the processing machine is controlled by an I / O called a digital I / O.
図3(a)に示すように、ディジタルI/Oは16個の接点を持ち、加工機械の駆動部が各々の接点に接続されているとする。CPUから前記設定値レジスタへ16bitの設定値を書き込むことで、そのビットパターンに対応したON/OFF状態が各接点に設定され、各接点に接続された駆動部が作動する。 As shown in FIG. 3A, it is assumed that the digital I / O has 16 contacts, and the drive unit of the processing machine is connected to each contact. By writing a 16-bit set value from the CPU to the set value register, the ON / OFF state corresponding to the bit pattern is set for each contact, and the drive unit connected to each contact is activated.
逆に言うと、このとき、レジスタに書き込む設定値は、接点のON/OFFパターンを2進数として読み替えたものであるから、各接点のON/OFFを切り替えた場合の設定値の変化量は、図3(b)に示すように前記ビット位置に対応する重みとなる。 In other words, at this time, since the set value written to the register is read as the binary number of the contact ON / OFF pattern, the amount of change in the set value when the ON / OFF of each contact is switched is As shown in FIG. 3B, the weight corresponds to the bit position.
すなわち、各接点を時間に沿って順次ON/OFFさせていく場合、図3(c)に示すように、設定値の変化は不連続的となり、かつ、設定値の分布も、16bitで表現される0x0000〜0xffffの範囲内に散在するような形態となる。また、前述のとおり、設定値は接点の状態を数値に読み替えたものであって、設定値間に大小関係を定義することは無意味であるから、設定値に対してある範囲を設定することで正常動作を定義することは困難である。 That is, when the respective contacts are sequentially turned on / off in accordance with time, as shown in FIG. 3C, the change in the set value becomes discontinuous, and the distribution of the set value is also expressed by 16 bits. It becomes a form which is scattered in the range of 0x0000 to 0xffff. In addition, as described above, the set value is the contact state read as a numerical value, and it is meaningless to define a magnitude relationship between the set values, so a certain range should be set for the set value. It is difficult to define normal operation with.
前記の例以外にも、レジスタやメモリなどに対するアクセスにおいて、特徴値がある範囲に収まることをもって正常動作を定義することが困難である場合が想定されうる。これらの場合について、先に挙げた先行技術を単に適用して異常検知することは困難である。 In addition to the above example, it may be assumed that it is difficult to define normal operation when the feature value falls within a certain range in accessing a register, a memory, or the like. In these cases, it is difficult to detect anomalies simply by applying the prior art described above.
本発明は、前記の課題を解決するための発明であって、不正な制御プログラムの侵入や不正な遠隔操作による異常動作を検知するため、制御装置の内部要素について挙動を監視することが可能な制御装置および制御方法を提供することを目的とする。 The present invention is an invention for solving the above-mentioned problems, and it is possible to monitor the behavior of the internal elements of the control device in order to detect an abnormal operation caused by an intrusion of an unauthorized control program or an unauthorized remote operation. It is an object to provide a control device and a control method.
前記の目的を達成するため、本発明の制御装置は、複数桁のビットで構成される制御信号データを含むアクセスイベントを収集するイベント収集部(例えば、イベント収集・選別部10)と、アクセスイベントから制御信号データである特徴値を抽出する特徴値抽出部と、抽出した特徴値について各ビット位置の変化頻度を集計する変化頻度集計部と、変化頻度集計部で記録された各ビット位置の変化頻度に基づいて、該変化頻度の小さい順に各ビットを再配置するための変換ルールを生成する変換ルール生成部と、特徴値抽出部から特徴値を受信した場合、変換ルールに基づいて該受信した特徴値における各ビットの位置の値を変換する特徴値変換部と、変換後の特徴値と予め設定された値の範囲とを比較し、変換後の特徴値が範囲から逸脱していた場合に異常である旨を管理端末に告知する判定部(例えば、正常範囲判定部70)とを有して、制御信号の異常を検知する異常検知部を備えて設備を制御することを特徴とする。 In order to achieve the above object, the control device of the present invention includes an event collection unit (for example, event collection / selection unit 10) that collects an access event including control signal data composed of a plurality of digits, A feature value extraction unit that extracts feature values that are control signal data from, a change frequency aggregation unit that aggregates the change frequency of each bit position for the extracted feature values, and a change in each bit position recorded by the change frequency aggregation unit Based on the frequency, when receiving a feature value from the conversion rule generating unit that generates a conversion rule for rearranging each bit in order of decreasing change frequency and the feature value extracting unit, the received based on the conversion rule The feature value conversion unit that converts the value of each bit position in the feature value is compared with the converted feature value and a preset value range, and the converted feature value is deviated from the range And having a determination unit (for example, a normal range determination unit 70) for notifying the management terminal that an abnormality has occurred, and controlling the equipment with an abnormality detection unit for detecting an abnormality of the control signal It is characterized by.
本発明によれば、不正な制御プログラムの侵入や不正な遠隔操作による異常動作を検知するため、制御装置の内部要素について挙動を監視することが可能である。 According to the present invention, it is possible to monitor the behavior of the internal elements of the control device in order to detect an abnormal operation caused by an intrusion of an unauthorized control program or an unauthorized remote operation.
以下、本発明の実施形態について図面を参照して詳細に説明する。
<各部の構成と機能>
図1は、本発明の実施形態に係る制御装置を示す図であり、図1(a)は制御装置の全体構成を示す図であり、図1(b)は異常検知部の機能構成を示す図である。制御装置1は、制御プログラムおよび制御プログラムの実行に必要な各種情報(いずれも不図示)を格納するメモリ2と、制御プログラムを実行するCPU3と、プラント設備7に対する制御信号の入出力を実行するI/O4と、メモリ2、CPU3およびI/O4を相互に接続するシステムバス5と、メモリ2、CPU3およびI/O4に対するアクセス動作の異常を検知する異常検知部6とを具備する。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
<Configuration and function of each part>
FIG. 1 is a diagram illustrating a control device according to an embodiment of the present invention, FIG. 1 (a) is a diagram illustrating an overall configuration of the control device, and FIG. 1 (b) is a functional configuration of an abnormality detection unit. FIG. The
異常検知部6は、異常検知部6のプログラムを格納するメモリ6Mと、メモリ6M内のプログラムを実行するCPU6Cと、異常検知部6のインタフェース6Iとを具備する。メモリ6M、CPU6Cおよびインタフェース6Iは、バス6Bで接続されている。メモリ6Mには、図1(b)に示すイベント収集・選別部10と、属性識別部20と、特徴値抽出部30と、変化頻度集計部40と、変換ルール生成部50と、特徴値変換部60と、正常範囲判定部70のプログラム、および変換ルールセット61である情報とが記憶されている。
The
本実施形態で対象とする制御システムの例としては、プラント設備の制御システム以外にも、鉄道制御システムや電力制御システムなどがある。鉄道や電力などの社会インフラを支えるシステムは、停止することができない、高信頼性を要求されるシステムである。また、永年に渡る機能拡張により新旧の装置群が混在しており、老朽化した装置ではハードウェア、ソフトウェアとも古いアーキテクチャであり、性能上の余力がない状態で動作しているものもある。このため、制御装置1の本来のCPU3とは別にCPU6Cを用い、既存の制御装置1に負担をかけずに、異常検知部6を動作させることが好ましい。
Examples of the control system targeted in this embodiment include a railroad control system and a power control system in addition to the plant facility control system. Systems that support social infrastructure such as railways and electric power are systems that cannot be stopped and require high reliability. In addition, old and new device groups are mixed due to function expansion over many years, and some aging devices have old hardware and software architectures that operate with no performance margin. For this reason, it is preferable to use the
以下、図1(b)に示す各部の機能と構成、各部間のデータの流れについて説明する。
イベント収集・選別部10は、CPU3からI/O4に対するアクセスイベント11を収集する。アクセスイベント11は、アクセス先アドレスへのアクセスを指示するイベントである。アクセスイベント11は、CPU3からI/O4に対するアクセス動作において授受する一連の信号群であり、少なくとも、I/O4のアクセス先アドレス、読み出し/書き込みの種別、書き込まれるデータあるいは読みだされたデータを含む。アクセスイベント11の収集方法として、図3に記載のようにI/O4から直接取得しても、CPU3からシステムバス5上へ送出されるものをモニタリングして取得してもよい。
The function and configuration of each unit shown in FIG. 1B and the data flow between the units will be described below.
The event collection /
取得したアクセスイベント11からは、属性識別部20によってアクセス属性情報21が抽出される。アクセス属性情報21には、例えば、アクセスイベント11におけるアクセス先アドレスと、読み出し/書き込みの種別を含むものとする。イベント収集・選別部10は、アクセス属性情報21に基づいて取得したアクセスイベント11の採否を判定し、採用する場合のみ後段の特徴値抽出部30に送出する。具体的には、例えば、CPU3からI/O4への読み出しアクセス(すなわち、プラント設備からの入力)イベントについては、制御装置1の正常動作という観点からは影響が小さいとして採用しないという判定を下す。また、この判定基準は、アクセスイベント11の発生頻度と異常検知部6の処理能力との見合いで決定してもよい。
特徴値抽出部30は、アクセスイベント11から特徴値31を抽出する。特徴値31は、例えばCPU3からI/O4への書き込みアクセス(すなわち、プラント設備への出力)イベントにおける書き込みデータを指すというようにして予め定義される。
The feature
変化頻度集計部40は、取得された特徴値31について、前回取得された特徴値との排他的論理和によってビット位置ごとの差分をとり、特徴値31と前回特徴値で変化があったビット位置を特定する。図4を参照して、具体的に説明する。
The change
図4は、変化頻度集計部の構成を示す図である。変化頻度集計部40は、取得された特徴値31について、前回取得された特徴値401との排他的論理和(図中の丸囲みされた+記号)によってビット位置ごとの差分をとり、特徴値31と前回取得された特徴値401で変化があったビット位置を特定する。なお、図中の“D”は、次回の特徴値が取得されるまで出力を遅らせる(Delay)ことを意味する。変化度数計数部402は入力される特徴値のビット数と同数のカウンタで構成されており、前記手順において、特徴値間で変化のあったビット位置に対応するカウンタの値を1つ加算する。以上の構成により、特徴値31における各ビット位置の変化度数41が記録される。
FIG. 4 is a diagram illustrating a configuration of the change frequency counting unit. The change
図1に戻り、変換ルール生成部50は、変化度数計数部402(図4参照)に記録された各ビット位置の変化度数41を参照し、変化度数の少ない順にビットが再配置されるよう変換ルール62を生成する。具体的には、図5を参照して説明する。
Returning to FIG. 1, the conversion
図5は、変換ルールの概念を示す図である。図5に例示するように、16ビットの大きさを持つ特徴値31において、bit15の変化度数が100回、bit11の変化度数が5回、他のビットの変化度数がすべて20回であった場合、bit15が変換後の特徴値におけるbit0、bit11が同じくbit15、他のビットがそれぞれbit14からbit1までに再配置されるような変換ルール62(図6参照)が生成される。
FIG. 5 is a diagram showing the concept of the conversion rule. As illustrated in FIG. 5, in a
なお、特徴値の変化度数の等しいビット位置が複数ある場合、それらのビットを再配置後のビット位置においてどのような上下関係とするかは別途設定したルールに従って決めてよい。生成された変換ルールには、入力された特徴値31に対応するアクセス属性情報21(図1(b)参照)、特にアクセス先アドレスの情報を付加して変換ルールセット61に蓄積する。以上例示した変換ルール62の内容を図6に示す。
In addition, when there are a plurality of bit positions having the same frequency of change in the feature value, it may be determined according to a separately set rule how the bits are arranged in the bit positions after rearrangement. Access attribute information 21 (see FIG. 1B) corresponding to the
図6は、変換ルールの構成を示す図である。変換ルール62には、アクセス先アドレス、変換前ビット位置、変換後ビット位置を含んで構成される。アクセス先アドレスには、アクセス属性情報21が格納される。変換前ビット位置および変換後ビット位置は、例えば、変換前ビット位置が15の場合、変換後ビット位置が0となり、変換前ビット位置が14の場合、変換後ビット位置が14となる。同様に、変換前ビット位置が0の場合、変換後ビット位置が1となる。なお、図6に示す例は一例であるが、変換ルール62は、アクセス先アドレスによって、各ビットの使われ方は頻度が異なるため、アクセス先アドレス毎に定義される。
FIG. 6 is a diagram showing the configuration of the conversion rule. The
図1に戻り、抽出された特徴値31は、特徴値変換部60において、変換ルール62に従って特徴値が変換される。特徴値変換部60の構成を図7に示す。
Returning to FIG. 1, the extracted
図7は、特徴値変換部の構成を示す図である。特徴値変換部60の入力バッファ601が特徴値31を受け、ビット単位に分解してビット配列変換部602に入力する。ビット配列変換部602は、変換ルール62に従い、入力された特徴値における各ビット位置の値を別のビット位置に並べ替える。前記動作は、例えばクロスバースイッチのような回路で構成することも、ソフトウェアによって構成することもできる。並べ替えられた各ビットは、出力バッファ603に入力されて再びまとめられ、変換後の特徴値63として出力される。特徴値変換部60に動作により、元の特徴値31に、変化頻度の大きいビットを下位ビットに、変化頻度の小さいビットを上位ビットに配置する変換ルール62が適用される。
FIG. 7 is a diagram illustrating a configuration of the feature value conversion unit. The
図8は、変換ルールの効果を示す図である。図8(a)は、変換ルールの特徴を示す図であり、図8(b)は、変換前の特徴値31の時系列データ例、図8(c)は、変換後の特徴値63の時系列データ例である。
FIG. 8 is a diagram illustrating the effect of the conversion rule. FIG. 8A is a diagram showing the characteristics of the conversion rule, FIG. 8B is an example of time-series data of the
図8(a)は、既に説明したように、変換ルール62(図6参照)によって、特徴値31を特徴値63に変換することを示す。変換ルール62(図1参照)は、アクセス先アドレスによって、各ビットの使われ方の頻度が異なるため、アクセス先アドレス毎に定義されている。すなわち、図8(a)に示す下位ビットは、変化に対する重みが小さくなり、上位ビットは、変化に対する重みが大きくなる。
FIG. 8A shows that the
本実施形態では、変換ルール62を用いることにより、図8(c)に示すように、変化頻度の大きな成分による変動幅を圧縮し、特徴値31の分布を狭い範囲に限定して正常動作範囲の定義を容易にする効果がある。
In the present embodiment, by using the
ここで、特徴値31の各ビット位置における変化頻度はそれ自体が正常動作範囲を構成するものではなく、あくまでも各ビット位置における値の変化と正常動作範囲からの逸脱との関連をどの程度大きく評価するかを規定するためのものである。
Here, the change frequency of the
本実施形態では、ディジタルI/Oの特徴値である各ビットを、変化頻度の小さい順に上位ビットから並べ替えるという変換ルールで、特徴値のデータを変換している。すなわち、変換頻度の大きいビットは、値が不正に書き換えられてもプラントに対する影響が少ないことを考慮したためである。 In the present embodiment, feature value data is converted according to a conversion rule in which each bit, which is a feature value of digital I / O, is rearranged from an upper bit in ascending order of change frequency. In other words, it is because a bit having a high conversion frequency takes into account that even if the value is rewritten illegally, there is little influence on the plant.
図1に戻り、正常範囲判定部70は、変換後の特徴値63と、予め設定された正常範囲の上限および/または下限の閾値とを比較し、変換後の特徴値63が前記閾値から逸脱していた場合にアラーム71を発生させる。
Returning to FIG. 1, the normal
<全体の動作>
次に、異常検知部6の動作について図1を参照して説明する。
本実施形態の異常検知部6は、正常動作の範囲を予め設定するための学習モード(変換ルールを生成)と、実際に制御プログラムを実行しながら、自身の動作が正常動作範囲に収まっているかどうかを診断する診断モードという2つの動作モードを具備する。制御装置1をこれらのモードのどちらで動作させるかは、制御装置1の本体に備えたスイッチなどで設定してもよいし、外部の管理端末などから電気信号あるいは通信を用いて設定してもよい。
<Overall operation>
Next, the operation of the
The
学習モードでは、イベント収集・選別部10に、正常動作状態におけるアクセスイベント11を順次読み込ませる。イベント収集・選別部10は、前記アクセスイベント11として、予め制御装置1が正常動作することが確認されている環境下で制御プログラムを実際に動作させ、CPU3からI/O4へ送出されるアクセスイベント11を収集してもよく、また、破線の矢印で示す、外部で生成した学習用アクセスイベント111を読み込んでもよい。
In the learning mode, the event collection /
読み込まれたアクセスイベント11は特徴値抽出部30に入力され、抽出された特徴値31は変化頻度集計部40に入力されるように制御される。図4で説明したように、変化頻度集計部40においてアクセスイベント11の各ビット位置の変化度数41(各ビット位置の変化頻度)が計数され、それらに基づいて特徴値変換部60で用いられる変換ルール62が変換ルール生成部50によって生成される。
The read
変換ルールセット61に所定のパターン数の変換ルール62が蓄積されたら、アクセスイベント11の読み込みを終了させ、診断モードに移行する。診断モードでは、制御装置1を実際の運用環境におき、実際の制御プログラムを実行させる。イベント収集・選別部10は、CPU3からI/O4へ送出されるアクセスイベント11を用いるように制御される。
When the conversion rules 62 having a predetermined number of patterns are accumulated in the conversion rule set 61, the reading of the
特徴値抽出部30から出力された特徴値31は、特徴値変換部60へ入力されるように制御される。特徴値変換部60では、学習モードにおいて蓄積された変換ルール62に従って特徴値31を変換し、変換後の特徴値63を得て、正常範囲判定部70において正常動作範囲からの逸脱を検出する。
The
以上説明した構成および動作により、学習用アクセスイベント111の特徴値において変化頻度が小さいビットは変換ルール62によって上位ビットに配置されるため、該ビット位置におけるアクセスイベント11の変化が変換済み特徴値における大きな値の変化として現われる。その結果、正常範囲判定部70において所定の閾値を逸脱した場合に制御装置1の異常動作として検出され、アラーム71が生成され、例えば管理端末に告知する。
With the configuration and operation described above, since a bit whose change frequency is low in the feature value of the
本実施形態の制御装置1の異常検知部6は、学習モードにおいて、正常動作状態における複数桁のビットで構成される制御信号データを含む学習用アクセスイベント111を入力し、学習用アクセスイベント111における各ビット位置の変化頻度を導出して、変化頻度の低い順に上位ビットから並び替えるという変換ルール62を作成する。異常検知部6は、診断モードにおいて、新規アクセスイベント11を入力した場合に、作成された変換ルール62に用いて制御信号データを変換し、上位ビットである変化頻度の小さいビット位置における変化を検知することにより、新規アクセスイベント11が所定の正常動作から逸脱したことを検出することができる。
In the learning mode, the
すなわち、学習用データとして入力した正常動作状態のアクセスイベント11において変化頻度の小さいビット位置は、アクセスイベント11が該ビット位置で変化した際にプラント設備に対する影響度が大きいものとみなされ、本番稼動状態で入力された新規アクセスイベント11が正常動作から逸脱したかどうかを判定する際に該ビット位置における変化が大きく評価される。これにより、アクセスイベント11の正常動作が単純な特徴値の範囲で定義できない場合でも制御装置1の異常動作を容易に検知可能となる。
That is, a bit position with a low change frequency in the
また、制御装置1の異常検知部6は、変換後の特徴値63の上位ビットである変化頻度の小さいビットの位置における変化を検知することにより、新規アクセスイベント11が異常である旨を検出することができる。
In addition, the
また、制御装置1の異常検知部6は、変換後の特徴値63の下位ビットである前記変化頻度が、所定の頻度以上であるビットの位置において所定の期間変化しなかった場合、前記アクセスイベント11が異常である旨を検出することができる。
In addition, the
すなわち、正常動作状態のアクセスイベント11において常時変化すべきビット位置を特定し、本番稼動状態で入力された新規アクセスイベント11において該ビット位置における変化が停止したかどうかも考慮して正常動作からの逸脱判定が行われる。これにより、制御装置1において常時変化すべき内部要素が停止する異常モードを容易に検知可能となる。
That is, the bit position that should be constantly changed in the
なお、本発明は前記した実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、前記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。 In addition, this invention is not limited to above-described embodiment, Various modifications are included. For example, the above-described embodiment has been described in detail for easy understanding of the present invention, and is not necessarily limited to one having all the configurations described.
1 制御装置
2 メモリ
3 CPU
4 I/O
5 システムバス
6 異常検知部
6C CPU
6M メモリ
6I インタフェース
10 イベント収集・選別部(イベント収集部)
11 アクセスイベント
20 属性識別部
21 アクセス属性情報
30 特徴値抽出部
31 特徴値
40 変化頻度集計部
41 各ビット位置の変化度数(各ビット位置の変化頻度)
50 変換ルール生成部
60 特徴値変換部
61 変換ルールセット
62 変換ルール
70 正常範囲判定部(判定部)
71 アラーム
111 学習用アクセスイベント
1
4 I / O
5
6M
DESCRIPTION OF
50 conversion
71
Claims (10)
前記アクセスイベントから前記制御信号データである特徴値を抽出する特徴値抽出部と、
前記抽出した特徴値について各ビット位置の変化頻度を集計する変化頻度集計部と、
前記変化頻度集計部で記録された前記各ビット位置の変化頻度に基づいて、該変化頻度の小さい順に前記各ビットを再配置するための変換ルールを生成する変換ルール生成部と、
前記特徴値抽出部から前記特徴値を受信した場合、前記変換ルールに基づいて該受信した特徴値における各ビットの位置の値を変換する特徴値変換部と、
前記変換後の特徴値と予め設定された値の範囲とを比較し、前記変換後の特徴値が前記範囲から逸脱していた場合に異常である旨を管理端末に告知する判定部とを有して、制御信号の異常を検知する異常検知部を備えて設備を制御する
ことを特徴とする制御装置。 An event collection unit that collects access events including control signal data composed of multiple digits of bits;
A feature value extraction unit that extracts a feature value that is the control signal data from the access event;
A change frequency totaling unit that counts the change frequency of each bit position for the extracted feature value;
A conversion rule generation unit that generates a conversion rule for rearranging the bits in ascending order of the change frequency based on the change frequency of the bit positions recorded by the change frequency totaling unit;
A feature value conversion unit that converts the value of each bit position in the received feature value based on the conversion rule when the feature value is received from the feature value extraction unit;
A determination unit that compares the converted feature value with a preset range of values and notifies the management terminal that the converted feature value is abnormal when the converted feature value deviates from the range; And a control device comprising an abnormality detection unit for detecting an abnormality of the control signal to control the facility.
ことを特徴とする請求項1に記載の制御装置。 The control apparatus according to claim 1, wherein the abnormality detection unit performs processing by a CPU independent of a CPU of the control apparatus.
ことを特徴とする請求項1に記載の制御装置。 The abnormality detection unit detects that the access event is abnormal by detecting a change in a position of the bit with a small change frequency that is an upper bit of the converted characteristic value. Item 2. The control device according to Item 1.
ことを特徴とする請求項1に記載の制御装置。 The abnormality detection unit indicates that the access event is abnormal when the change frequency, which is a lower bit of the converted feature value, has not changed for a predetermined period at a bit position that is equal to or higher than a predetermined frequency. The control device according to claim 1, wherein the control device is detected.
ことを特徴とする請求項1に記載の制御装置。 The abnormality detection unit has a learning mode for generating the conversion rule and a diagnosis mode for diagnosing whether the operation of the control program itself is within a normal operation range while executing the control program of the equipment. The control device according to claim 1.
複数桁のビットで構成される制御信号データを含むアクセスイベントを収集し、前記アクセスイベントから前記制御信号データである特徴値を抽出し、前記抽出した特徴値について各ビット位置の変化頻度を集計し、前記各ビット位置の変化頻度に基づいて、該変化頻度の小さい順に前記各ビットを再配置するための変換ルールを生成したのちに、前記特徴値を受信した場合、前記変換ルールに基づいて該受信した特徴値における各ビットの位置の値を変換し、前記変換後の特徴値と予め設定された値の範囲とを比較し、前記変換後の特徴値が前記範囲から逸脱していた場合に異常である旨を管理端末に告知する
ことを特徴とする制御方法。 The abnormality detector of the control device that controls the equipment
Collecting access events including control signal data composed of multiple-digit bits, extracting feature values as the control signal data from the access events, and summing up the frequency of change of each bit position for the extracted feature values When the feature value is received after generating a conversion rule for rearranging each bit based on the change frequency of each bit position in ascending order of the change frequency, the conversion rule is used based on the conversion rule. When the value of each bit position in the received feature value is converted, the converted feature value is compared with a preset value range, and the converted feature value deviates from the range A control method characterized by notifying the management terminal of an abnormality.
ことを特徴とする請求項6に記載の制御方法。 The control method according to claim 6, wherein the abnormality detection unit performs processing by a CPU independent of a CPU of the control device.
ことを特徴とする請求項6に記載の制御方法。 The abnormality detection unit detects that the access event is abnormal by detecting a change in a position of the bit with a small change frequency that is an upper bit of the converted characteristic value. Item 7. The control method according to Item 6.
ことを特徴とする請求項6に記載の制御装置。 The abnormality detection unit indicates that the access event is abnormal when the change frequency, which is a lower bit of the converted feature value, has not changed for a predetermined period at a bit position that is equal to or higher than a predetermined frequency. It detects. The control device according to claim 6 characterized by things.
ことを特徴とする請求項6に記載の制御方法。 The abnormality detection unit has a learning mode for generating the conversion rule and a diagnosis mode for diagnosing whether the operation of the control program itself is within a normal operation range while executing the control program of the equipment. The control method according to claim 6.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012118153A JP2013246531A (en) | 2012-05-24 | 2012-05-24 | Control device and control method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012118153A JP2013246531A (en) | 2012-05-24 | 2012-05-24 | Control device and control method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2013246531A true JP2013246531A (en) | 2013-12-09 |
Family
ID=49846270
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012118153A Pending JP2013246531A (en) | 2012-05-24 | 2012-05-24 | Control device and control method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2013246531A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2018193571A1 (en) * | 2017-04-20 | 2020-03-05 | 日本電気株式会社 | Device management system, model learning method and model learning program |
DE102020102860A1 (en) | 2020-02-05 | 2021-08-05 | Festo Se & Co. Kg | Method and instruction recognition unit for verifying message behavior |
-
2012
- 2012-05-24 JP JP2012118153A patent/JP2013246531A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2018193571A1 (en) * | 2017-04-20 | 2020-03-05 | 日本電気株式会社 | Device management system, model learning method and model learning program |
JP7081593B2 (en) | 2017-04-20 | 2022-06-07 | 日本電気株式会社 | Equipment management system, model learning method and model learning program |
DE102020102860A1 (en) | 2020-02-05 | 2021-08-05 | Festo Se & Co. Kg | Method and instruction recognition unit for verifying message behavior |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6025753B2 (en) | Computer-implemented method, computer-readable storage medium, and system for monitoring performance metrics | |
US10630565B2 (en) | Overload management for internet of things (IoT) gateways | |
EP3458918B1 (en) | Systems and methods for detecting anomalous software on a programmable logic controller | |
US20180234326A1 (en) | Device identity augmentation | |
JP4618263B2 (en) | Software behavior monitoring apparatus and software behavior monitoring system | |
EP4022405B1 (en) | Systems and methods for enhancing data provenance by logging kernel-level events | |
US10114718B2 (en) | Prevention of event flooding | |
US11228485B2 (en) | Dynamic action dashlet for real-time systems operation management | |
JPWO2018073960A1 (en) | Display method, display device, and program | |
JP2019536146A (en) | Programmable clock monitor | |
JPWO2018073955A1 (en) | System analysis method, system analysis apparatus, and program | |
TW201738795A (en) | Intrusion detection device, intrusion detection method, and intrusion detection program | |
JP2013246531A (en) | Control device and control method | |
US10459730B2 (en) | Analysis system and analysis method for executing analysis process with at least portions of time series data and analysis data as input data | |
KR20140068698A (en) | Apparatus and method for data processing in SCADA System | |
CN105074833B (en) | The device that unauthorized for identifying the system mode to control and adjustment unit manipulates and the nuclear facilities with the device | |
JP7264231B2 (en) | MONITORING METHOD, MONITORING DEVICE, AND PROGRAM | |
JP6973445B2 (en) | Display method, display device, and program | |
CN105893726B (en) | A kind of monitoring method of characteristic signal monitoring point | |
Leangsuksun et al. | Ipmi-based efficient notification framework for large scale cluster computing | |
JP6762442B1 (en) | Data processing equipment, methods, and programs | |
JP7315017B2 (en) | Time series data processing method | |
CN208077148U (en) | A kind of data storage device | |
KR20230099509A (en) | Apparatus for predicting ai based error vulerable element in information infra | |
CN113986142A (en) | Disk fault monitoring method and device, computer equipment and storage medium |