JP2016224480A - Information gathering system and method - Google Patents

Information gathering system and method Download PDF

Info

Publication number
JP2016224480A
JP2016224480A JP2015106853A JP2015106853A JP2016224480A JP 2016224480 A JP2016224480 A JP 2016224480A JP 2015106853 A JP2015106853 A JP 2015106853A JP 2015106853 A JP2015106853 A JP 2015106853A JP 2016224480 A JP2016224480 A JP 2016224480A
Authority
JP
Japan
Prior art keywords
incident
log
control
data
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015106853A
Other languages
Japanese (ja)
Other versions
JP6433851B2 (en
Inventor
尚 河内
Takashi Kawachi
尚 河内
江端 智一
Tomokazu Ebata
智一 江端
宏樹 内山
Hiroki Uchiyama
宏樹 内山
信 萱島
Makoto Kayashima
信 萱島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2015106853A priority Critical patent/JP6433851B2/en
Publication of JP2016224480A publication Critical patent/JP2016224480A/en
Application granted granted Critical
Publication of JP6433851B2 publication Critical patent/JP6433851B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Abstract

PROBLEM TO BE SOLVED: To detect a computer virus or an illegal access or the possibility of illegal access from the outside after satisfying constraints on processing time as a control system.SOLUTION: An information gathering system has: a control device including a control unit for outputting a control directive to a control object under a control cycle on the basis of status information, and a control packet generation unit for generating a control packet under a control cycle that stores control data of status information and control directives and an incident log conforming to priority stipulated in an incident list in a data part of a prescribed length; and a management server including an incident detection unit for detecting log data that is likely to cause an incident from the incident log stored in a control packet from the control device and outputting a warning message in response to the detected log data, and an incident list creation unit for updating the incident list that stipulates the priority of the incident log in response to log data detection by the incident detection unit.SELECTED DRAWING: Figure 1

Description

本発明は、制御システムにおける情報収集システムおよび方法に関し、特に制御システムで発生するサイバー攻撃等のインシデントを検知する情報収集システムおよび方法に関する。   The present invention relates to an information collection system and method in a control system, and more particularly to an information collection system and method for detecting an incident such as a cyber attack occurring in a control system.

電力、鉄道、水道、ガスといった社会インフラや自動車を制御する制御システムは、センサによる制御対象の状態情報をもとにバルブやアクチュエータといった装置を動作させ、制御対象の状態を、あらかじめ設定されている状態(たとえば、圧力や温度)に保つことが要求される。この要求を満たすために、制御システムはセンサからの状態情報を取得し、制御対象の状態を確認し、必要に応じて制御対象を制御する。   Control systems that control automobiles, such as electric power, railways, water, and gas, operate the devices such as valves and actuators based on the status information of the objects to be controlled by sensors, and the states of the objects to be controlled are preset. It is required to maintain a state (for example, pressure or temperature). In order to satisfy this requirement, the control system acquires state information from the sensor, confirms the state of the controlled object, and controls the controlled object as necessary.

制御システムは、一般に周期的に処理を実行し、周期的に実行される処理は1周期の間で完結することが要求される。すなわち、処理が1周期を超えて実行されると、1周期の時間を基準とする速度や状態の変化情報に基づいて、制御システムは制御対象を制御できないことになる。したがって、制御対象の状態によって処理時間が長くなっても、1周期の間で完結することが要求される。このような処理時間の制約を満たすように構築されている制御システムの周期や周期内の空き時間は、電力、鉄道、水道、自動車といった制御対象によって異なる。   A control system generally performs processing periodically and is required to be completed in one cycle. That is, if the process is executed beyond one cycle, the control system cannot control the control target based on the speed and state change information based on the time of one cycle. Therefore, even if the processing time becomes longer depending on the state of the controlled object, it is required to be completed within one cycle. The period of the control system constructed so as to satisfy such processing time constraints and the idle time within the period vary depending on control targets such as electric power, railway, water supply, and automobile.

これまでの制御システムの多くは、専用OSや専用プロトコルを利用していたので、インターネット等の外部ネットワークからアクセスされなかった。したがって、制御システムは、コンピュータウィルスやDoS攻撃といったサイバー攻撃を考慮に入れて設計、運用する必要がなかった。しかしながら、制御システムの運用効率向上および/または開発や運用に係るコスト削減のために、汎用OSや汎用プロトコルの利用、さらに外部ネットワークとの接続などが進められ、制御システムは変化している。制御システムの変化は、コンピュータウィルスや外部からの不正アクセスへの対応を必要としている。   Many of the conventional control systems have used a dedicated OS or a dedicated protocol, and thus have not been accessed from an external network such as the Internet. Therefore, the control system need not be designed and operated taking into account cyber attacks such as computer viruses and DoS attacks. However, in order to improve the operation efficiency of the control system and / or to reduce the costs associated with development and operation, the use of a general-purpose OS and a general-purpose protocol and connection with an external network have been promoted, and the control system is changing. Changes in the control system require countermeasures against computer viruses and unauthorized access from outside.

このような課題に対して、特許文献1は、制御システム内で用いる通信のパターン(送信元、送信先、プロトコル等)やデータのフォーマットをリスト化し、リスト化されたパターンに合致しない通信を不正な通信として検知することを開示している。   In response to such a problem, Patent Document 1 lists communication patterns (transmission source, transmission destination, protocol, etc.) and data formats used in the control system, and illegally communicates that do not match the listed patterns. It is disclosed that it is detected as a simple communication.

非特許文献1は、通信パケットに認証データを付与し、正当な認証データを持たない通信パケットを不正な通信パケットとして識別することを開示している。   Non-Patent Document 1 discloses that authentication data is assigned to a communication packet and a communication packet that does not have valid authentication data is identified as an unauthorized communication packet.

特許文献2は、ネットワーク負荷、監視端末の処理負荷を考慮し、保護対象となるデータに対する不正アクセス情報の監視端末への送信の要否を条件に基づいて決定することを開示している。   Japanese Patent Application Laid-Open No. H10-228561 discloses that the necessity of transmission of unauthorized access information to data to be protected to the monitoring terminal is determined based on the condition in consideration of the network load and the processing load of the monitoring terminal.

特開2012−34273号公報JP 2012-34273 A 特開2005−18186号公報JP-A-2005-18186

S.Kent,K.Seo,”Security Architecture for the Internet Protocol(RFC4301)”,[online], 2005年12月,IETF,[2014年11月25日検索],インターネット<URL: https://tools.ietf.org/html/rfc4301>S. Kent, K. Seo, “Security Architecture for the Internet Protocol (RFC4301)”, [online], December 2005, IETF, [November 25, 2014 search], Internet <URL: https: // tools. ietf. org / html / rfc4301>

制御システムの変化に伴う、コンピュータウィルスや外部からの不正アクセスへの対応として、特許文献1および非特許文献1は、不正な通信の検知または不正な通信パケットの識別について、また特許文献2はネットワーク負荷、監視端末の処理負荷を考慮し、送信すべき不正アクセス情報の絞り込みについて開示しているが、制御システムの周期的な処理の実行に伴う処理時間の制約について考慮されていない。   Patent Document 1 and Non-Patent Document 1 describe detection of unauthorized communication or identification of unauthorized communication packets, and Patent Document 2 describes a network as countermeasures against computer viruses and unauthorized access from outside due to changes in the control system. Although narrowing down of unauthorized access information to be transmitted is disclosed in consideration of the load and the processing load of the monitoring terminal, the restriction on the processing time associated with the execution of the periodic processing of the control system is not considered.

処理時間の制約を満たさない制御システムは制御対象を制御できないことになるので、情報収集システムは、処理時間の制約を満たした上で、コンピュータウィルスや外部からの不正アクセスまたはその可能性を検知する必要がある。   Since a control system that does not satisfy the processing time constraint cannot control the control target, the information collection system detects a computer virus, an unauthorized access from outside, or the possibility of it, while satisfying the processing time constraint. There is a need.

開示する情報収集システムは、制御周期の下で、制御対象の状態情報に基づいて制御対象へ制御指令を出力する制御部、および、状態情報と制御指令との制御データおよびインシデントリストに定められた優先度に従ったインシデントログを、制御周期の制約の下での所定長のデータ部に格納した制御パケットを生成する制御パケット生成部を含む制御装置、並びに、制御装置からの制御パケットに格納されたインシデントログを格納するインシデントログ格納部、インシデントログ格納部に格納されたインシデントログからインシデントの発生の可能性のあるログデータを検出し、検出したログデータに対応して警告メッセージを出力するインシデント検知部、および、インシデント検知部によるログデータの検出に対応して、インシデントログの優先度を定めたインシデントリストを更新するインシデントリスト作成部を含む管理サーバを有する。   The information collection system to be disclosed is defined in a control unit that outputs a control command to a control target based on the status information of the control target, and control data of the status information and the control command and an incident list under the control cycle The incident log according to the priority is stored in a control device including a control packet generation unit that generates a control packet stored in a data portion having a predetermined length under the restriction of the control cycle, and stored in a control packet from the control device. Incident log storage that stores incident logs, and incident data that detects the possibility of occurrence of incidents from incident logs stored in the incident log storage, and outputs warning messages in response to the detected log data In response to the detection of log data by the detector and the incident detector Having a management server including an incident list creation unit that updates the incident list that defines the priority of the log.

開示する情報収集システムによれば、制御システムとしての処理時間の制約を満たした上で、コンピュータウィルスや外部からの不正アクセスまたはその可能性を検知できる。   According to the disclosed information collection system, it is possible to detect a computer virus, unauthorized access from the outside, or the possibility thereof, while satisfying the restriction of processing time as a control system.

情報収集システムの構成図である。It is a block diagram of an information collection system. インシデント−ログ対応表の例である。It is an example of an incident-log correspondence table. インシデントリストの例である。It is an example of an incident list. 制御パケットの例である。It is an example of a control packet. 制御パケット生成部の処理フローチャートである。It is a process flowchart of a control packet production | generation part. ログパケットの例である。It is an example of a log packet. ログパケット生成部の処理フローチャートである。It is a process flowchart of a log packet production | generation part. インシデント検知部の処理フローチャートである。It is a process flowchart of an incident detection part. ログデータリストの例である。It is an example of a log data list. 更新されたインシデントリストの例である。It is an example of the updated incident list. インシデント検知部の一部の代替処理フローチャートである。It is a part alternative process flowchart of an incident detection part.

図1は、情報収集システムの構成図である。情報収集システムは、制御システムへのコンピュータウィルスやDoS攻撃といったサイバー攻撃のインシデントログ(以下、単にログと呼ぶことがある。)を収集する。   FIG. 1 is a configuration diagram of an information collection system. The information collection system collects incident logs (hereinafter, simply referred to as logs) of cyber attacks such as computer viruses and DoS attacks on the control system.

情報収集システムは、センタサーバ10、管理サーバ20、制御装置30(以下、一般に複数の制御装置があるが、1つを代表させて説明する。)、及び、これらを接続するネットワーク80、90を含む。センタサーバ10、管理サーバ20、および制御装置30は、制御対象によって、規模の大小や接続する入出力装置に差異などがあるが、CPU、記憶装置を有するコンピュータである。   The information collection system includes a center server 10, a management server 20, a control device 30 (hereinafter, a plurality of control devices are generally described, but one will be described as a representative), and networks 80 and 90 connecting them. Including. The center server 10, the management server 20, and the control device 30 are computers having a CPU and a storage device, although there are differences in scale and input / output devices to be connected depending on the control target.

センタサーバ10は、インシデント検知部11、インシデントリスト作成部12、およびインシデントログ収集部13の各処理部、インシデント−ログ対応表14、インシデントログ格納部15、およびインシデントリスト16のテーブルまたは記憶部、並びに管理サーバ20とネットワーク80を介して通信する通信部17を有する。   The center server 10 includes an incident detection unit 11, an incident list creation unit 12, and an incident log collection unit 13 processing unit, an incident-log correspondence table 14, an incident log storage unit 15, and a table or storage unit for the incident list 16. The communication unit 17 communicates with the management server 20 via the network 80.

インシデント検知部11は、インシデントログ格納部15に格納されたインシデントログから、マルウェア等の感染や外部からの不正アクセスなどのインシデントを、後述するインシデント−ログ対応表14の判定基準144を参照して、検知する。インシデント検知部11は、検知したインシデントに基づいて、インシデントリスト作成部12に指示すると共に、センタサーバ10の出力装置(図示略)に警報メッセージなどを出力する。   The incident detection unit 11 refers to an incident log stored in the incident log storage unit 15 for incidents such as malware infection or unauthorized access from the outside with reference to a determination criterion 144 in the incident-log correspondence table 14 described later. Detect. The incident detection unit 11 instructs the incident list creation unit 12 based on the detected incident and outputs an alarm message or the like to an output device (not shown) of the center server 10.

インシデントリスト作成部12は、インシデント検知部11からの指示、および、予め作成され、必要に応じて更新されるインシデント−ログ対応表14に基づいて、収集すべきインシデントに対応するログ(インシデントログ)の優先度を表すインシデントリスト16を作成する。インシデントリスト16は、通信部17によって、管理サーバ20、および管理サーバ20を介して制御装置30に送信される。   The incident list creation unit 12 is a log (incident log) corresponding to an incident to be collected based on an instruction from the incident detection unit 11 and an incident-log correspondence table 14 created in advance and updated as necessary. An incident list 16 representing the priorities of is created. The incident list 16 is transmitted to the control device 30 via the management server 20 and the management server 20 by the communication unit 17.

インシデントログ収集部13は、管理サーバ20から送信されたインシデントログ、および管理サーバ20を介して通信部17が受信する、制御装置30から送信されたインシデントログをインシデントログ格納部15に格納する。   The incident log collection unit 13 stores the incident log transmitted from the management server 20 and the incident log transmitted from the control device 30 received by the communication unit 17 via the management server 20 in the incident log storage unit 15.

管理サーバ20は、制御管理部21、ログ収集部24、およびログパケット生成部26の各処理部、制御管理ファイル22、ログ格納部25、およびインシデントリスト28のテーブルまたは記憶部、並びに、センタサーバ10とネットワーク80を介して通信する通信部27、および制御装置30とネットワーク90を介して通信する通信部23を有する。   The management server 20 includes a control management unit 21, a log collection unit 24, and processing units of the log packet generation unit 26, a control management file 22, a log storage unit 25, a table or storage unit for the incident list 28, and a center server. 10 and a communication unit 27 that communicates with the control device 30 via the network 90.

制御管理部21は、制御管理ファイル22に格納されている、制御装置30からの、制御対象の状態を表す状態情報に基づいて、たとえば、制御装置30によるアクチュエータの制御指令の変更や、複数の制御装置30の間の同期(制御タイミング)などを制御する。制御管理部21による制御装置30を制御するための指令は、通信部23によって制御装置30に送信される。   Based on the state information representing the state of the control target from the control device 30 stored in the control management file 22, the control management unit 21 changes, for example, an actuator control command by the control device 30, Controls synchronization (control timing) between the control devices 30. A command for controlling the control device 30 by the control management unit 21 is transmitted to the control device 30 by the communication unit 23.

ログ収集部24は、制御管理ファイル22に格納されている、制御装置30から受信した制御パケットのデータ部(ペイロード)に含まれる制御装置30のインシデントログ、および管理サーバ20の状態情報から収集したインシデント検知のためのインシデントログをログ格納部25に格納する。管理サーバ20の状態情報から収集するインシデントログは、制御管理部21が、インシデントリスト28を参照して収集する。収集するインシデントログは、制御管理ファイル22に格納されるが、その多くは制御管理部21のOSが管理する記憶領域にある管理サーバ20の状態情報である。この記憶領域は、OSやOSの制御下で動作するシステムタスク以外からはアクセス禁止として制御されるが、一般にOSに、管理サーバ20の状態情報を出力するシステムタスクが存在するので、このシステムタスクを用いることにより、所望のインシデントログが制御管理ファイル22に格納される。   The log collection unit 24 collects from the incident log of the control device 30 included in the data part (payload) of the control packet received from the control device 30 and the state information of the management server 20 stored in the control management file 22 An incident log for detecting an incident is stored in the log storage unit 25. The incident log collected from the status information of the management server 20 is collected by the control management unit 21 with reference to the incident list 28. Incident logs to be collected are stored in the control management file 22, most of which is status information of the management server 20 in a storage area managed by the OS of the control management unit 21. This storage area is controlled as access prohibition except for the OS and system tasks that operate under the control of the OS, but generally there is a system task that outputs status information of the management server 20 in the OS. By using, a desired incident log is stored in the control management file 22.

ログパケット生成部26は、ログ格納部25に格納されているインシデントログを送信するためのログパケットを生成する。生成されたログパケットは、通信部27によってセンタサーバ10に送信される。ログ収集部24とログパケット生成部26とを一体構成として、収集したインシデントログを基にログパケットを生成し、ログ格納部25を設けなくてもよい。   The log packet generator 26 generates a log packet for transmitting the incident log stored in the log storage unit 25. The generated log packet is transmitted to the center server 10 by the communication unit 27. The log collection unit 24 and the log packet generation unit 26 are integrated, and a log packet is generated based on the collected incident log, and the log storage unit 25 may not be provided.

制御装置30は、制御部31、制御パケット生成部34、およびログ選択部35の各処理部、制御情報ファイル32およびインシデントリスト36のテーブルまたは記憶部、並びに管理サーバ20および他の制御装置30と通信する通信部33を有する。ログ選択部35は、図1では明示的に図示してあるが、制御パケット生成部34の一部(一部の処理、またはサブルーチン)として動作する。   The control device 30 includes a control unit 31, a control packet generation unit 34, a processing unit of the log selection unit 35, a table or storage unit of the control information file 32 and the incident list 36, and the management server 20 and other control devices 30. It has the communication part 33 which communicates. Although explicitly shown in FIG. 1, the log selection unit 35 operates as a part (part of processing or a subroutine) of the control packet generation unit 34.

制御部31は、センサから得られる制御対象の状態情報を制御情報ファイル32に格納すると共に、制御情報ファイル32に格納されている、制御管理部21からの指令(制御目標値の変更など)、および制御対象の状態情報に基づいた制御指令をアクチュエータに出力する。制御部31は、アクチュエータに出力した制御指令も制御情報ファイル32に格納する。また、制御部31は、管理サーバ20および他の制御装置30へ送信すべき制御対象の状態情報および制御指令を制御データとして制御パケット生成部34へ出力する。   The control unit 31 stores the state information of the control target obtained from the sensor in the control information file 32, and also commands (control target value change, etc.) stored in the control information file 32 from the control management unit 21. And a control command based on the state information of the controlled object is output to the actuator. The control unit 31 also stores the control command output to the actuator in the control information file 32. Further, the control unit 31 outputs the control target state information and the control command to be transmitted to the management server 20 and other control devices 30 to the control packet generation unit 34 as control data.

制御パケット生成部34は、管理サーバ20および他の制御装置30へ送信すべき制御データである、制御対象の状態情報および制御指令を所定のフォーマットに設定した制御パケットを生成する。   The control packet generation unit 34 generates a control packet that is control data to be transmitted to the management server 20 and the other control device 30 and that is set with the status information and control command to be controlled in a predetermined format.

制御装置30が送信する制御パケットは、ネットワーク90における輻輳を避けるために、制御周期(制御対象により異なり、100m秒、1秒、1分など)毎に1回、宛先を特定しないブロードキャストまたは必要な複数の宛先を指定するマルチキャストにより送信される。制御パケットに宛先を付したPoint to Point通信が用いられる場合もあるが、同じまたは類似の状態情報および制御指令を含む複数の制御パケットを制御装置30が送信することになり、ネットワーク90において輻輳が発生する可能性が高くなるので、ネットワーク90の通信容量に余裕がある場合に用いられる。   In order to avoid congestion in the network 90, the control packet transmitted by the control device 30 is broadcast or necessary to specify a destination once every control cycle (depending on the control target, 100 milliseconds, 1 second, 1 minute, etc.) Sent by multicast specifying multiple destinations. Point-to-point communication with a destination attached to the control packet may be used, but the control device 30 transmits a plurality of control packets including the same or similar state information and control commands, and congestion occurs in the network 90. This is used when there is a margin in the communication capacity of the network 90.

制御パケット生成部34は、制御パケットのデータ部の容量のうち、状態情報および制御指令の制御データ量を除くデータ量をインシデントログの送信に用いる。制御パケット生成部34は、インシデントログの送信に用いるデータ量をログ選択部35に出力する。   The control packet generator 34 uses the amount of data excluding the status information and the amount of control data in the control command out of the capacity of the data portion of the control packet for transmission of the incident log. The control packet generator 34 outputs the data amount used for transmission of the incident log to the log selector 35.

ログ選択部35は、インシデントログの送信に用いるデータ量および、インシデントリスト36の内容に応じて、送信すべきインシデントログの指定を制御パケット生成部34に出力する。制御パケット生成部34は、送信すべきインシデントログの指定に応じて、制御情報ファイル32から指定されたインシデントログを読み出し、制御パケットに格納する。生成された制御パケットは、通信部33によって、ネットワーク90を介して送信される。   The log selection unit 35 outputs the designation of the incident log to be transmitted to the control packet generation unit 34 according to the data amount used for transmission of the incident log and the contents of the incident list 36. The control packet generator 34 reads the designated incident log from the control information file 32 according to the designation of the incident log to be transmitted, and stores it in the control packet. The generated control packet is transmitted by the communication unit 33 via the network 90.

通常、制御システムは、制御管理部21、制御管理ファイル22、および通信部23を有する管理サーバ20、並びに、制御部31、制御パケット生成部34、制御情報ファイル32および通信部33を有する制御装置30により構成される。情報収集システムは、通常の制御システムに、センタサーバ10およびネットワーク80を付加し、さらに管理サーバ20および制御装置30に、前述した処理部や記憶部を付加したものである。また、情報収集システムでは、管理サーバ20の制御管理ファイル22にはインシデントログが格納され、制御装置30の制御パケット生成部34には制御パケットにインシデントログを格納する処理が付加される。また、センタサーバ10は、説明の分かり易さおよび管理サーバ20の処理能力や記憶容量等に余裕がない場合を想定して設けているが、管理サーバ20の処理能力などに十分な余裕がある場合は、センタサーバ10の各処理部および各記憶部を管理サーバ20に設けてもよい。   Normally, the control system includes a management server 20 having a control management unit 21, a control management file 22, and a communication unit 23, and a control device having a control unit 31, a control packet generation unit 34, a control information file 32, and a communication unit 33. 30. The information collection system is obtained by adding the center server 10 and the network 80 to a normal control system, and further adding the processing unit and the storage unit described above to the management server 20 and the control device 30. In the information collection system, an incident log is stored in the control management file 22 of the management server 20, and a process of storing the incident log in the control packet is added to the control packet generation unit 34 of the control device 30. Further, although the center server 10 is provided assuming that the explanation is easy to understand and the processing capacity and storage capacity of the management server 20 have no margin, the processing capacity of the management server 20 has sufficient margin. In this case, each processing unit and each storage unit of the center server 10 may be provided in the management server 20.

収集するインシデントログは、制御情報ファイル32に格納されるが、その多くは制御装置30のOSが管理する記憶領域にある制御装置30の状態情報である。この記憶領域は、OSやOSの制御下で動作するシステムタスク以外からはアクセス禁止として制御されるが、一般にOSに、制御装置30の状態情報を出力するシステムタスクが存在するので、このシステムタスクを用いることにより、所望のインシデントログが制御情報ファイル32に格納される。   Incident logs to be collected are stored in the control information file 32, most of which are status information of the control device 30 in a storage area managed by the OS of the control device 30. This storage area is controlled as access prohibition except for the OS and system tasks that operate under the control of the OS, but generally there is a system task that outputs the status information of the control device 30 in the OS. The desired incident log is stored in the control information file 32.

インシデントログの送信に用いるデータ量について説明を補足する。ネットワーク90を介して、制御装置30が送信する制御パケットのデータ部(ヘッダなどを除いたペイロード)の長さを、たとえば1kB(1000バイト)とする。この値は、制御周期の間に、制御部31および制御パケット生成部34の処理を完了し、さらに生成された制御パケットを、ネットワーク90を介して送信完了する必要があるという制約条件を持つ制御装置30において、ネットワーク90の使用に許容される通信帯域や通信部23および通信部33の性能、通信プロトコルなどにより決定される値であるので、1kBは説明の都合上の値である。通常の制御システムの運用において、制御データである、状態情報および制御指令の通信のために800バイトを使用するならば、インシデントログの送信に用いるデータ量の上限は200バイトである。制御システムの場合は、通信に係る処理の複雑さを避けるために、予め定めた固定長の制御パケットが用いられる。   A supplementary explanation of the amount of data used for incident log transmission. The length of the data portion (payload excluding the header) of the control packet transmitted by the control device 30 via the network 90 is, for example, 1 kB (1000 bytes). This value is a control having a constraint that it is necessary to complete the processing of the control unit 31 and the control packet generation unit 34 during the control cycle, and to complete transmission of the generated control packet via the network 90. In the device 30, 1 kB is a value for convenience of explanation because it is a value determined by the communication band allowed for use of the network 90, the performance of the communication unit 23 and the communication unit 33, the communication protocol, and the like. In operation of a normal control system, if 800 bytes are used for communication of status information and control commands, which are control data, the upper limit of the amount of data used for transmission of incident logs is 200 bytes. In the case of a control system, a predetermined fixed-length control packet is used to avoid the complexity of processing related to communication.

なお、可変長の制御パケットが用いられる場合は、ネットワーク90や通信部などの性能、通信プロトコルなどにより決定される、制御装置30に許容されるデータ部の長さ(容量)から、この制御装置30が用いる制御データの長さを減算した長さをインシデントログの送信に用いる。   In the case where a variable-length control packet is used, the control device is determined based on the length (capacity) of the data portion allowed by the control device 30 determined by the performance of the network 90 and the communication unit, the communication protocol, and the like. The length obtained by subtracting the length of the control data used by 30 is used for transmission of the incident log.

一方、インシデントは、制御システム全体の状態に影響を及ぼすものから、ほとんど影響しないものまであり、それらのインシデントに対応する(インシデントを特定できる)インシデントログの情報量は多く、多くの場合、インシデントログの送信に用いるデータ量の上限を超える。そこで、インシデントログを選択的に制御パケットに格納する必要がある。   On the other hand, incidents range from those that affect the overall state of the control system to those that have little effect, and the amount of information in the incident log corresponding to these incidents (which can identify incidents) is large. Exceeds the upper limit of the amount of data used for transmission. Therefore, it is necessary to selectively store the incident log in the control packet.

ここで、制御システムにおける、マルウェア等の感染や外部からの不正アクセスなどのインシデントについて、図示するまでもない簡単な例を挙げて説明する。最も典型的な例は、管理サーバ20のインターネットなどの公衆網への接続である。管理サーバ20を操作するユーザは、制御や状態情報の統計処理やグラフ化などのためにインターネット上の情報(プログラムやデータ)を必要とすることがある。また管理サーバ20のユーザは、制御システムの管理者との間の問い合わせや応答に電子メールを使用することもある。管理サーバ20に入ったインシデントが、ネットワーク90を介して制御装置30に伝わる、または影響を及ぼす。制御装置30をインターネットなどの公衆網に接続する例として、センサとしてWebカメラを用いる場合や、遠隔のセンサの値を、インターネットを介して制御装置30が受信する例がある。このような例は、専用線を用いる場合に比べて安価であるからである。このような通信環境においては、マルウェア等の感染や外部からの不正アクセスなどのインシデントが、認証情報の付加やコンピュータウィルスの検知などのセキュリティ対策を超えて発生する可能性がある。   Here, incidents such as malware infection and unauthorized external access in the control system will be described with a simple example that is not shown. The most typical example is the connection of the management server 20 to a public network such as the Internet. A user who operates the management server 20 may need information (programs and data) on the Internet for control, statistical processing of status information, and graphing. In addition, the user of the management server 20 may use e-mail for inquiries and responses with the administrator of the control system. An incident that enters the management server 20 is transmitted to or affects the control device 30 via the network 90. Examples of connecting the control device 30 to a public network such as the Internet include a case where a Web camera is used as a sensor, and a case where the control device 30 receives the value of a remote sensor via the Internet. This is because such an example is cheaper than when a dedicated line is used. In such a communication environment, incidents such as malware infection and unauthorized external access may occur beyond security measures such as addition of authentication information and detection of computer viruses.

図2は、インシデント−ログ対応表14の例である。インシデント−ログ対応表14の内容は、センタサーバ10に接続する入力装置から、センタサーバ10のユーザによって入力され、必要に応じて更新される。インシデント−ログ対応表14は、優先度140、インシデント名141、インシデントコード142、ログデータ種別143、ログコード144、ログデータ長145、および判定基準146を有する。   FIG. 2 is an example of the incident-log correspondence table 14. The contents of the incident-log correspondence table 14 are input by the user of the center server 10 from an input device connected to the center server 10 and updated as necessary. The incident-log correspondence table 14 has a priority 140, an incident name 141, an incident code 142, a log data type 143, a log code 144, a log data length 145, and a determination criterion 146.

優先度140は、インシデントの重要性であり、対応するインシデントログを制御装置30が送信するときの優先度として用いられる。ここでは、「1」を最優先とし、数字が大きくなるにつれて、優先度が低下するものとする。インシデント名141はインシデントの名称であり、インシデントコード142はインシデントを識別するコードである。ログデータ種別143は、インシデントの発生を判定するためのログデータの種別であり、ログコード144はログデータの種別を識別するコードである。たとえば、インシデント名140が「サービス不能」のインシデントにはインシデントコード142「A」を付し、「サービス不能」のインシデントの発生を判定するためのログデータ種別143の「ネットワーク帯域」にログコード144「A01」を付してある。   The priority 140 is the importance of an incident, and is used as a priority when the control device 30 transmits a corresponding incident log. Here, “1” is the highest priority, and the priority decreases as the number increases. The incident name 141 is the name of the incident, and the incident code 142 is a code for identifying the incident. The log data type 143 is a type of log data for determining the occurrence of an incident, and the log code 144 is a code for identifying the type of log data. For example, an incident code 142 “A” is attached to an incident whose incident name 140 is “service impossible”, and a log code 144 is added to “network bandwidth” of the log data type 143 for determining the occurrence of an incident “service impossible”. “A01” is attached.

なお、あるログコード144に対応するログデータを収集したとしても、そのログコード144に対応するインシデントが必ずしも発生しているとは限らない。逆に、あるインシデントが発生したならば、対応するログコード144のログデータが収集される。すなわち、ログデータの収集は、インシデントの発生の可能性を示すことになる。   Note that even if log data corresponding to a certain log code 144 is collected, an incident corresponding to the log code 144 does not necessarily occur. On the contrary, if a certain incident occurs, log data of the corresponding log code 144 is collected. That is, the collection of log data indicates the possibility of occurrence of an incident.

ログデータ長145は、ログコード144のインシデントログの長さである。この長さには、後述するインシデントログを収集した時刻データを含む。ファイル名のように、長さが不定なインシデントログがある。このような場合は、予め想定される最長のファイル名の長さを設定し、設定した長さを超えるファイル名の場合は、ファイル名の先頭から設定した長さの文字列をインシデントログとして収集する。   The log data length 145 is the length of the incident log with the log code 144. This length includes time data at which an incident log described later is collected. There is an incident log with an indefinite length, such as a file name. In such a case, set the length of the longest anticipated file name in advance, and if the file name exceeds the set length, the character string of the length set from the beginning of the file name is collected as the incident log. To do.

判定基準146は、収集したインシデントログからインシデント検知部がインシデントの発生(の可能性)を判定するために用いられる。図2では、ログデータ種別143が「ネットワーク帯域」や「CPU利用率」の判定基準を「○Mbps以下」、「○○%以上」と例示しているが、これらの継続時間を判定基準に含めてもよい。また、ログデータ種別143が「不適切なファイル名」の判定基準を「有り」としているが、インシデントログとしては検出した不適切なファイル名が収集される。   The determination criterion 146 is used by the incident detection unit to determine the occurrence (possibility) of an incident from the collected incident logs. In FIG. 2, the log data type 143 exemplifies the determination criteria of “network bandwidth” and “CPU utilization” as “less than Mbps” and “more than XX%”, but these durations are used as the determination criteria. May be included. Further, although the log data type 143 sets the determination criterion “inappropriate file name” to “present”, the detected inappropriate file name is collected as the incident log.

センタサーバ10は、インシデント−ログ対応表14の入力、または更新に応じて、優先度140、インシデントコード142、ログコード144およびログデータ長145の対応関係を管理サーバ20および制御装置30に送信しておく。管理サーバ20および制御装置30の各々は、制御周期毎に、ログコード144の各々に対応するインシデントログを前述のシステムタスクを利用して収集し、収集した時刻(時刻データ)を付して、制御管理ファイル22または制御情報ファイル32に格納する。したがって、管理サーバ20と制御装置30との特性が異なる場合、制御装置30によって特性が異なる場合、インシデント−ログ対応表14は管理サーバ用と制御装置用との2種類以上を設けてもよいが、ここでは簡単のために1種類として説明する。   The center server 10 transmits the correspondence relationship of the priority 140, the incident code 142, the log code 144, and the log data length 145 to the management server 20 and the control device 30 according to the input or update of the incident-log correspondence table 14. Keep it. Each of the management server 20 and the control device 30 collects incident logs corresponding to each of the log codes 144 by using the aforementioned system task for each control cycle, and adds the collected time (time data), It is stored in the control management file 22 or the control information file 32. Therefore, when the characteristics of the management server 20 and the control device 30 are different, or when the characteristics are different depending on the control device 30, the incident-log correspondence table 14 may be provided with two or more types for the management server and the control device. Here, it is described as one type for simplicity.

図3は、インシデントリスト16の例である。インシデントリスト16は、インシデントリスト作成部12によって作成され、優先度160、インシデントコード161、ログコード162、およびログデータ長163を有する。優先度160は、インシデント−ログ対応表14の中から、インシデントリスト作成部12が選択したインシデントの優先度140に対応し、インシデントコード161は選択したインシデントのインシデントコード141に対応し、ログコード162は、選択したインシデントを検知するためにインシデントリスト作成部12が選択したログデータ種別143のログコード144に対応し、ログデータ長163は、ログコード144に対応するインシデントログのログデータ長145に対応する。インシデントリスト16も、インシデント−ログ対応表14の種類に対応して、管理サーバ用と制御装置用との2種類以上を設けてもよいが、ここでは簡単のために1種類とする。   FIG. 3 is an example of the incident list 16. The incident list 16 is created by the incident list creation unit 12, and has a priority 160, an incident code 161, a log code 162, and a log data length 163. The priority 160 corresponds to the priority 140 of the incident selected by the incident list creation unit 12 from the incident-log correspondence table 14, the incident code 161 corresponds to the incident code 141 of the selected incident, and the log code 162 Corresponds to the log code 144 of the log data type 143 selected by the incident list creation unit 12 to detect the selected incident, and the log data length 163 corresponds to the log data length 145 of the incident log corresponding to the log code 144 Correspond. The incident list 16 may be provided with two or more types for the management server and the control device corresponding to the types of the incident-log correspondence table 14, but here, for the sake of simplicity, only one type is provided.

インシデントリスト16が通信部17によって、管理サーバ20および制御装置30に送信され、各々インシデントリスト28およびインシデントリスト36として格納されたものとして、制御装置30の動作を説明し、続いて管理サーバ20の動作を説明する。   Assuming that the incident list 16 is transmitted to the management server 20 and the control device 30 by the communication unit 17 and stored as the incident list 28 and the incident list 36, respectively, the operation of the control device 30 will be described. The operation will be described.

制御情報ファイル32には、前述のように、制御部31によって、センサから得られる制御対象の状態情報およびアクチュエータに出力した制御指令、並びに、制御装置30のOSが管理する記憶領域にある制御装置30の状態情報が格納されている。制御装置30の状態情報に関しては、インシデントリスト36のログコード162に対応する情報に限定してシステムタスクを用いることにより、インシデントを検知するために不使用のデータがインシデントログとして制御情報ファイル32に格納されることが避けられる。   In the control information file 32, as described above, the control unit 31 stores the control target state information obtained from the sensor, the control command output to the actuator, and the control device in the storage area managed by the OS of the control device 30. 30 state information are stored. Regarding the status information of the control device 30, by using the system task only for the information corresponding to the log code 162 of the incident list 36, the unused data for detecting the incident is stored in the control information file 32 as an incident log. Avoid being stored.

図4は、制御パケット生成部34が生成する制御パケット40の例である。制御パケット40は、ヘッダ長、パケット長、送信元アドレスなどを含むヘッダ部41、並びに、制御データ部42およびログデータ部43を格納するデータ部(ペイロード)を有する。制御データ部42は、前述したように、制御部31が入力した状態情報、出力した制御情報、並びに管理サーバ20および他の制御装置30へ送信すべき制御に係る制御データを格納する。制御パケット生成部34による、ヘッダ部41及び制御データ部42の設定や格納は、通常の制御システムと同様であるので、説明を簡略にする。ログデータ部43は、以降がログデータ43であることを表す区切り(コード)44、並びにログコード45とログコード45に対応するインシデントログ46の組の列を格納する。   FIG. 4 is an example of the control packet 40 generated by the control packet generator 34. The control packet 40 has a header part 41 including a header length, a packet length, a transmission source address, and the like, and a data part (payload) for storing the control data part 42 and the log data part 43. As described above, the control data unit 42 stores the state information input by the control unit 31, the output control information, and control data related to control to be transmitted to the management server 20 and other control devices 30. Since the setting and storage of the header part 41 and the control data part 42 by the control packet generator 34 are the same as those in a normal control system, the description will be simplified. The log data unit 43 stores a delimiter (code) 44 indicating that the subsequent log data 43 and a column of pairs of the log code 45 and the incident log 46 corresponding to the log code 45.

図5は、制御パケット生成部34の処理フローチャートである。制御パケット生成部34は、制御装置30の所定の制御周期(センサから状態情報を入力し、アクチュエータに制御指令を出力する周期)のタイマにより周期起動されてもよいが、所定の制御周期で制御部31が動作するので、制御部31が動作終了直前で、制御パケット生成部34を起動する。   FIG. 5 is a process flowchart of the control packet generator 34. The control packet generation unit 34 may be periodically started by a timer of a predetermined control cycle (a cycle in which state information is input from the sensor and a control command is output to the actuator) of the control device 30, but is controlled at a predetermined control cycle. Since the unit 31 operates, the control unit 31 activates the control packet generation unit 34 immediately before the operation ends.

このように起動する理由は次のとおりである。同じ周期の周期タイマにより制御部31と制御パケット生成部34を起動すると、制御部31と制御パケット生成部34との優先制御(一般に、制御部31を優先する。)を実行する必要があり、周期は同じで起動タイミングをずらす方法をとると、制御部31と制御パケット生成部34との一方が動作中に他方が起動されると優先制御を必要とされ、または、制御部31の動作終了と制御パケット生成部34の動作開始との間に無駄時間が生じ、制御部31の動作開始から制御パケット生成部34の動作終了までの時間が、所定の制御周期を超える可能性があることによる。   The reason for starting up in this way is as follows. When the control unit 31 and the control packet generation unit 34 are activated by the periodic timer having the same period, priority control (generally, the control unit 31 is given priority) between the control unit 31 and the control packet generation unit 34 must be executed. If the period is the same and the activation timing is shifted, priority control is required when one of the control unit 31 and the control packet generation unit 34 is activated while the other is activated, or the operation of the control unit 31 is terminated. And the start of the operation of the control packet generator 34, and there is a possibility that the time from the start of the operation of the controller 31 to the end of the operation of the control packet generator 34 may exceed a predetermined control cycle. .

制御パケット生成部34は、制御パケット40のヘッダ部41を設定し、制御情報ファイル32から送信すべき制御データを読み出し、データ部に制御データを格納する(S340)。制御パケット生成部34は、制御パケット40のデータ部の容量のうち、制御データ量(制御データ部42の長さ)を除くデータ量(ログデータ部43の長さ)をインシデントログの送信に用いる。制御パケット生成部34は、制御パケット40のデータ部の長さから制御データ部42の長さを減じたログデータ部43の長さから、さらに区切り44の長さを減じたデータ量を、インシデントログの送信に用いる実際のデータ量としてログ選択部35に出力する(S341)。制御パケット生成部34は、この段階で制御パケット40の区切り44に所定の区切り符号を格納する。   The control packet generator 34 sets the header part 41 of the control packet 40, reads the control data to be transmitted from the control information file 32, and stores the control data in the data part (S340). The control packet generation unit 34 uses the data amount (the length of the log data unit 43) excluding the control data amount (the length of the control data unit 42) out of the capacity of the data unit of the control packet 40 for transmission of the incident log. . The control packet generation unit 34 calculates the amount of data obtained by subtracting the length of the delimiter 44 from the length of the log data unit 43 obtained by subtracting the length of the control data unit 42 from the length of the data unit of the control packet 40. The actual data amount used for log transmission is output to the log selection unit 35 (S341). The control packet generator 34 stores a predetermined delimiter code in the delimiter 44 of the control packet 40 at this stage.

制御パケット生成部34の一部として動作するログ選択部35は、制御装置30のワークエリアに、ログコードとログデータ長の組を格納するログコードリストを作成する。ログ選択部35は、ログコードリストに格納されたログコードの長さ(図2、図3のログコードの例から分かるように、ログコードの長さは、ログコードに依存せずに固定長に設計可能である。)とログデータ長の合計が、インシデントログの送信に用いる実際のデータ量を超えるかを判定する(S342)。インシデントログの送信に用いる実際のデータ量を超えるならば、制御パケット生成部34のS345の処理へ移る。   The log selection unit 35 that operates as a part of the control packet generation unit 34 creates a log code list that stores sets of log codes and log data lengths in the work area of the control device 30. The log selection unit 35 determines the length of the log code stored in the log code list (as can be seen from the log code examples in FIGS. 2 and 3), the log code length does not depend on the log code. It is determined whether the total of the log data length exceeds the actual data amount used for transmission of the incident log (S342). If the actual amount of data used for the incident log transmission is exceeded, the process proceeds to S345 in the control packet generator 34.

ログコードリストを作成(ワークエリアに領域を確保)した直後は、ログコードリストにログコードおよびログデータ長は格納されていないので、インシデントログの送信に用いる実際のデータ量を超えない。もし超えるならば、ヘッダ部41と制御データ部42との長さが、制御パケット40に許容される長さを超えているので、不適合な制御パケットである。   Immediately after creating the log code list (reserving an area in the work area), the log code and the log data length are not stored in the log code list, so that the actual data amount used for transmitting the incident log is not exceeded. If it exceeds, the length of the header part 41 and the control data part 42 exceeds the length allowed for the control packet 40, and therefore, it is an incompatible control packet.

インシデントログの送信に用いる実際のデータ量を超えないならば、ログ選択部35は、インシデントリスト36の最後まで参照したかを判定する(S343)。最後まで参照したならば、制御パケット生成部34のS346の処理へ移る。   If the actual amount of data used for the incident log transmission is not exceeded, the log selection unit 35 determines whether the end of the incident list 36 has been referred to (S343). If the reference is made to the end, the process proceeds to S346 of the control packet generator 34.

最後まで参照してないならば、ログ選択部35は、インシデントリスト36のログコードおよびログデータ長をログコードリストに格納する(S344)。S342〜S344の処理ループの各回の処理において、インシデントリスト36の優先度の高い方からログコードおよびログデータ長を順次選択し、ログコードリストに格納することになる。インシデントリスト36と同じ、図3のインシデントリスト16を用いて具体例を説明する。初回のループ処理では、優先度160が「1」のログコード162「A01」とそのログデータ長163「8Byte」が選択され、ログコードリストに格納される。2回目のループ処理では、優先度160が「1」のログコード162「A03」とそのログデータ長163「24Byte」が選択され、ログコードリストに格納される。同じ優先度の場合、インシデントリスト36の上位から順に選択する。   If not referred to until the end, the log selection unit 35 stores the log code and the log data length of the incident list 36 in the log code list (S344). In each process of the processing loop of S342 to S344, the log code and the log data length are sequentially selected from the higher priority of the incident list 36 and stored in the log code list. A specific example will be described using the incident list 16 in FIG. 3 which is the same as the incident list 36. In the first loop processing, a log code 162 “A01” with a priority 160 of “1” and its log data length 163 “8 Byte” are selected and stored in the log code list. In the second loop process, the log code 162 “A03” with the priority 160 of “1” and its log data length 163 “24 Byte” are selected and stored in the log code list. In the case of the same priority, the incident list 36 is selected in order from the top.

制御パケット生成部34は、最後に格納したログコードおよびログデータ長をログコードリストから削除する(S345)。ログコードリストに最後に格納したログコードおよびログデータ長を格納したことにより、インシデントログの送信に用いる実際のデータ量を超えたので、最後に格納したログコードおよびログデータ長をログコードリストから削除する。   The control packet generator 34 deletes the last stored log code and log data length from the log code list (S345). By storing the last stored log code and log data length in the log code list, the actual amount of data used for incident log transmission has been exceeded, so the last stored log code and log data length are stored in the log code list. delete.

制御パケット生成部34は、ログコードリストに従って、ログコードリストのログコード、およびログコードに対応するインシデントログを制御情報ファイル32から読み出し、ログパケット40の、ログコード45及びインシデントログ46の組として制御パケットに順次格納する(S346)。ログコードリストに従っているので、インシデントログの送信に用いる実際のデータ量を超えない範囲で、ログコード45及びインシデントログ46の組が列として制御パケットに格納される。   The control packet generator 34 reads the log code of the log code list and the incident log corresponding to the log code from the control information file 32 according to the log code list, and sets the log packet 40 as a set of the log code 45 and the incident log 46. The data is sequentially stored in the control packet (S346). Since the log code list is followed, a set of the log code 45 and the incident log 46 is stored in the control packet as a column within a range not exceeding the actual data amount used for transmission of the incident log.

制御パケット生成部34は、通信部33およびネットワーク90を介して、生成した制御パケット40を管理サーバ20および他の制御装置30に送信する(S347)。   The control packet generation unit 34 transmits the generated control packet 40 to the management server 20 and other control devices 30 via the communication unit 33 and the network 90 (S347).

この制御パケット生成部34の動作により、制御周期の制約の中で、制御部30のインシデントログを効率的に収集できる。   By the operation of the control packet generation unit 34, the incident log of the control unit 30 can be efficiently collected within the restriction of the control cycle.

管理サーバ20の動作を説明する。制御管理部21は、通常の制御システムにおける動作と同様であり、管理サーバ20の周期タイマにより起動され、制御管理ファイル22に格納されている、制御装置30からの、制御データに基づいて、たとえば、制御装置30によるアクチュエータの制御指令の変更や複数の制御装置30の間の同期(制御タイミング)などを制御する。制御管理部21による制御装置30を制御するための指令は、通信部23によって制御装置30に送信される。前述の管理するための、指令を含めた管理データは、制御管理ファイル22に格納される。制御管理部21は、前述の管理及び指令の送信の一連の処理を終了した段階で、ログパケット生成部26を起動する。   The operation of the management server 20 will be described. The control management unit 21 is the same as the operation in the normal control system, and is started based on the control data from the control device 30 that is activated by the periodic timer of the management server 20 and stored in the control management file 22, for example. The control device 30 controls the change of the actuator control command, the synchronization (control timing) among the plurality of control devices 30, and the like. A command for controlling the control device 30 by the control management unit 21 is transmitted to the control device 30 by the communication unit 23. The management data including the command for management described above is stored in the control management file 22. The control management unit 21 activates the log packet generation unit 26 at the stage where the above-described series of processes of management and command transmission is completed.

制御管理ファイル22には、各制御装置30の制御データ(インシデントログデータを含む)、管理サーバ20の管理データ、および、管理サーバ20のOSが管理する記憶領域にある管理サーバ20の状態情報が格納されている。各制御装置30の制御データは、制御装置30のアドレスなどを用いた識別子で識別されればよく、順不同で良い。管理サーバ20の状態情報に関しては、インシデントリスト28のログコード162に対応する情報に限定してシステムタスクを用いることにより、インシデントを検知するために不使用のデータがインシデントログとして制御管理ファイル22に格納されることが避けられる。   The control management file 22 includes control data (including incident log data) of each control device 30, management data of the management server 20, and status information of the management server 20 in a storage area managed by the OS of the management server 20. Stored. The control data of each control device 30 may be identified by an identifier using the address of the control device 30 or the like, and may be in any order. Regarding the status information of the management server 20, by using a system task only for information corresponding to the log code 162 of the incident list 28, unused data is detected as an incident log in the control management file 22 in order to detect an incident. Avoid being stored.

図6は、ログパケット生成部26が生成するログパケット50の例である。ログパケット50は、ヘッダ長、パケット長、送信元アドレス、送信先アドレスなどを含むヘッダ部51、並びに、管理サーバ20のログデータ部(以下、管理ログ部)52および制御装置30のログデータ部(以下、制御ログ部)53を格納するデータ部を有する。制御ログ部53は、制御装置30毎のログデータであり、N台の制御装置30がネットワーク90を介して管理サーバ20に接続しているものとして図示している。   FIG. 6 is an example of the log packet 50 generated by the log packet generator 26. The log packet 50 includes a header portion 51 including a header length, a packet length, a transmission source address, a transmission destination address, etc., a log data portion (hereinafter, management log portion) 52 of the management server 20 and a log data portion of the control device 30. (Hereinafter referred to as control log unit) 53 has a data unit for storing it. The control log unit 53 is log data for each control device 30 and is illustrated as having N control devices 30 connected to the management server 20 via the network 90.

管理ログ部52および制御ログ部53は同じ形式である。図6には、ある制御装置30の制御ログ部53を代表させて図示している。制御ログ部53は、制御装置30を識別する識別子54(管理ログ部52の場合は、管理サーバ20の識別子)、並びにログコード55とログコード55に対応するログ56の組の列を格納する。制御ログ部53は、図4に示した制御パケット40の制御データ部42及びログデータ部43が制御管理ファイル22に格納されているので、そのログデータ部43の区切り44を制御装置30の識別子に置換したものである。制御装置30の識別子は、制御パケット40のヘッダ部41に含まれる送信元アドレスに基づく。制御装置30の送信元アドレスを識別子として用いてもよいし、送信元アドレスと識別子との対応表を管理サーバ20およびセンタサーバ10が持ち、送信元アドレスから識別子へ変換してもよい。   The management log unit 52 and the control log unit 53 have the same format. FIG. 6 shows a control log unit 53 of a certain control device 30 as a representative. The control log unit 53 stores an identifier 54 for identifying the control device 30 (in the case of the management log unit 52, the identifier of the management server 20), and a sequence of pairs of the log 56 corresponding to the log code 55 and the log code 55. . Since the control data unit 42 and the log data unit 43 of the control packet 40 shown in FIG. 4 are stored in the control management file 22, the control log unit 53 uses the partition 44 of the log data unit 43 as the identifier of the control device 30. Is replaced. The identifier of the control device 30 is based on the transmission source address included in the header part 41 of the control packet 40. The transmission source address of the control device 30 may be used as the identifier, or the management server 20 and the center server 10 may have a correspondence table between the transmission source address and the identifier, and may be converted from the transmission source address to the identifier.

なお、ネットワーク80は、センタサーバ10と管理サーバ20との1対1通信に供されるので、ネットワーク90上の制御パケット40に比べて、ログパケット50のパケット長を長くすることができる。さらに、前述したように、センタサーバ10と管理サーバ20とを同じサーバで一体として構成できる場合は、管理サーバ20のログ格納部25とセンタサーバ10のインシデントログ格納部15を同一(ログ格納部25およびインシデントログ格納部15の一方を省略するとともに、ログパケット生成部26、通信部27、ネットワーク80、通信部17、およびインシデントログ収集部13を省略した構成)にできるので、ログパケット50のパケット長を考慮に入れる必要がない。   Since the network 80 is used for one-to-one communication between the center server 10 and the management server 20, the packet length of the log packet 50 can be made longer than the control packet 40 on the network 90. Further, as described above, when the center server 10 and the management server 20 can be configured integrally with the same server, the log storage unit 25 of the management server 20 and the incident log storage unit 15 of the center server 10 are the same (log storage unit). 25 and the incident log storage unit 15 can be omitted, and the log packet generation unit 26, the communication unit 27, the network 80, the communication unit 17, and the incident log collection unit 13 can be omitted. There is no need to take packet length into account.

ログ収集部24による、管理サーバ20の状態情報からのインシデントログの収集は、前述したとおりである。また、ログ収集部24による、制御管理ファイル22に格納されている制御装置30のインシデントログの収集は、図6を用いたログパケット50の説明と重複するので省略する。ログ収集部24は、制御管理ファイル22に格納されている、管理サーバ20および制御装置30のインシデントログを、ログ格納部25に格納する。ログ格納部25に格納されるインシデントログは、管理サーバ20および制御装置30の識別子で識別できればよいので、特定の順序に従う必要はない。   The collection of incident logs from the status information of the management server 20 by the log collection unit 24 is as described above. Also, the collection of the incident log of the control device 30 stored in the control management file 22 by the log collection unit 24 is omitted because it overlaps with the description of the log packet 50 using FIG. The log collection unit 24 stores the incident logs of the management server 20 and the control device 30 stored in the control management file 22 in the log storage unit 25. Since the incident log stored in the log storage unit 25 only needs to be identified by the identifiers of the management server 20 and the control device 30, it is not necessary to follow a specific order.

図7は、ログパケット生成部26の処理フローチャートである。ログパケット生成部26は、ログパケット50のヘッダ部51を設定する(S260)。ログパケット生成部26は、管理サーバ20のインシデントログをログ格納部25から読み出し、ログパケット50の管理ログ部52に格納する(S261)。   FIG. 7 is a process flowchart of the log packet generator 26. The log packet generator 26 sets the header 51 of the log packet 50 (S260). The log packet generation unit 26 reads the incident log of the management server 20 from the log storage unit 25 and stores it in the management log unit 52 of the log packet 50 (S261).

ログパケット生成部26は、ログ格納部25に格納されている、制御装置30からのインシデントログをログパケット50に格納したかを判定する(S262)。格納が完了しているならば、ログパケット生成部26はS264へ移る。   The log packet generation unit 26 determines whether the incident log from the control device 30 stored in the log storage unit 25 is stored in the log packet 50 (S262). If the storage has been completed, the log packet generator 26 proceeds to S264.

格納が完了していないならば、ログパケット生成部26は、次の制御装置30からのインシデントログを、制御装置30の識別子を付して、ログパケット50の制御ログ部に格納し(S263)、S262へ移る。   If the storage is not completed, the log packet generator 26 stores the incident log from the next control device 30 with the identifier of the control device 30 in the control log portion of the log packet 50 (S263). , The process proceeds to S262.

ログパケット生成部26は、通信部27およびネットワーク80を介して、生成したログパケット50をセンタサーバ10に送信する(S264)。   The log packet generation unit 26 transmits the generated log packet 50 to the center server 10 via the communication unit 27 and the network 80 (S264).

センタサーバ10のインシデントログ収集部13は、通信部17を介して受信するログパケット50のデータ部(インシデントログである管理ログ部52および制御ログ部53)をインシデントログ格納部15に格納する。インシデントログ収集部13は、ログパケット50を受信した通信部17からの受信割込みにより起動され、インシデントログ格納部15への格納完了に伴い、インシデント検知部11を起動し、処理を終了する。   The incident log collection unit 13 of the center server 10 stores the data part (the management log part 52 and the control log part 53 which are incident logs) of the log packet 50 received via the communication part 17 in the incident log storage part 15. The incident log collection unit 13 is activated by a reception interrupt from the communication unit 17 that has received the log packet 50, and upon completion of storage in the incident log storage unit 15, activates the incident detection unit 11 and ends the process.

図8は、インシデント検知部11の処理フローチャートである。インシデント検知部11は、センタサーバ10のワークエリアにログデータリストの領域を確保する(S110)。ログデータリストについては後述する。   FIG. 8 is a process flowchart of the incident detection unit 11. The incident detection unit 11 secures a log data list area in the work area of the center server 10 (S110). The log data list will be described later.

インシデント検知部11は、インシデントログ格納部15に格納されている全てのインシデントログデータ(管理ログ部52および制御ログ部53の内容に相当)がチェック済みかを判定する(S111)。具体的には、管理サーバ20のインシデントログおよびN台の制御装置30のインシデントログがチェック済みかを判定する。チェック済みならば、インシデント検知部11はS115へ移る。   The incident detection unit 11 determines whether all incident log data (corresponding to the contents of the management log unit 52 and the control log unit 53) stored in the incident log storage unit 15 have been checked (S111). Specifically, it is determined whether the incident log of the management server 20 and the incident logs of the N control devices 30 have been checked. If checked, the incident detection unit 11 proceeds to S115.

なお、インシデントログ格納部15に格納されているインシデントログは、一つのログパケット50のデータ部である。図示を省略するが、インシデント検知部11は、後述のS121の処理の後、インシデントログ格納部15に格納されているインシデントログを削除して、処理を終了する。   The incident log stored in the incident log storage unit 15 is a data part of one log packet 50. Although illustration is omitted, the incident detection unit 11 deletes the incident log stored in the incident log storage unit 15 after the process of S121 described later, and ends the process.

チェック済みでないならば、インシデント検知部11は、インシデントログ格納部15からチェック済みでないインシデントログデータを識別子54単位で読み出し(S112)、読み出したインシデントログデータに警告すべきインシデントログが少なくとも一つあるかを判定する(S113)。警告すべきインシデントログがないならば、インシデント検知部11はS111へ戻る。   If not checked, the incident detection unit 11 reads unchecked incident log data from the incident log storage unit 15 in units of identifiers 54 (S112), and there is at least one incident log to be warned in the read incident log data. Is determined (S113). If there is no incident log to be warned, the incident detection unit 11 returns to S111.

インシデントログデータは、図6のログパケット50の形式でインシデントログ格納部15に格納されているので、インシデント検知部11はログコード55とログ56の組に関して、ログコード55と同じ、インシデント−ログ対応表14のログコード144の判定基準146を用いて、ログ56を順次判定する。たとえば、ログコード55が「A01」のログ56の内容が、判定基準146「○Mbps以下」であるかを判定する。この例の場合、「○Mbps以下」であるならば、警告すべきインシデントログ(前述のインシデント発生の可能性を表すログ)と判定する。   Since the incident log data is stored in the incident log storage unit 15 in the format of the log packet 50 of FIG. 6, the incident detection unit 11 is the same as the log code 55 with respect to the combination of the log code 55 and the log 56. The log 56 is sequentially determined using the determination standard 146 of the log code 144 in the correspondence table 14. For example, it is determined whether the content of the log 56 with the log code 55 “A01” is the determination criterion 146 “◯ Mbps or less”. In the case of this example, if it is “○ Mbps or less”, it is determined as an incident log to be warned (a log indicating the possibility of occurrence of the above-mentioned incident).

警告すべきインシデントログが少なくとも一つあるならば、インシデント検知部11は、識別子、インシデントコード、ログコード、ログデータを対応付けて、ログデータリストに格納する(S114)。格納後、インシデント検知部11はS111へ戻る。   If there is at least one incident log to be warned, the incident detection unit 11 associates the identifier, the incident code, the log code, and the log data and stores them in the log data list (S114). After storing, the incident detection unit 11 returns to S111.

インシデント検知部11がログデータリストに格納する識別子、ログコード、およびログデータは、識別子54、ログコード55、およびログデータ56であり、インシデントコードはインシデント−ログ対応表14を参照した、ログコード55と同じログコード144に対応するインシデントコード142である。   The identifier, log code, and log data stored in the log data list by the incident detection unit 11 are the identifier 54, the log code 55, and the log data 56. The incident code is a log code that refers to the incident-log correspondence table 14. The incident code 142 corresponds to the same log code 144 as 55.

図9は、ログデータリスト900の例である。ログデータリスト900は、上述のインシデントログの格納に対応して、識別子901、インシデントコード902、ログコード603、およびログデータ904を含む。インシデント検知部11は、警告すべきインシデントログがあるとの判定に対応して、順次ログデータリスト900に識別子901などを格納する。同じ識別子54に対応して、警告すべきインシデントログが複数あるならば、インシデント検知部11は、ログデータリスト900の複数行に識別子901などを格納する。   FIG. 9 is an example of the log data list 900. The log data list 900 includes an identifier 901, an incident code 902, a log code 603, and log data 904 corresponding to the storage of the incident log described above. The incident detection unit 11 sequentially stores the identifier 901 and the like in the log data list 900 in response to the determination that there is an incident log to be warned. If there are a plurality of incident logs to be warned corresponding to the same identifier 54, the incident detection unit 11 stores the identifier 901 and the like in a plurality of rows of the log data list 900.

図9に示すログデータリスト900の例は、識別子901が「2」の制御装置30に、インシデントコード902が「B」、ログコード603が「B01」、およびログデータ904が「85%」の警告すべきインシデントログがあり、並びに、識別子901が「3」の制御装置30に、インシデントコード902が「B」であり、ログコード603「B01」に対応してログデータ904が「95%」、およびログコード603「B03」に対応してログデータ904が「90%」の警告すべきインシデントログがあると、インシデント検知部11が判定したことを表している。   In the example of the log data list 900 illustrated in FIG. 9, the identifier 901 is “2”, the incident code 902 is “B”, the log code 603 is “B01”, and the log data 904 is “85%”. There is an incident log to be warned, and the identifier 901 is “3” in the control device 30, the incident code 902 is “B”, and the log data 904 is “95%” corresponding to the log code 603 “B01”. , And the log code 603 “B03” indicates that the incident detection unit 11 has determined that there is an incident log whose log data 904 is “90%”.

インシデント検知部11は、インシデントログ格納部15に格納されている全てのインシデントログデータをチェック済みであるならば、ログデータリスト900が空かを判定し(S115)、空ならば処理を終了する。ログデータリスト900の空は、警告すべきインシデントログがないと判定されたことを意味する。   The incident detection unit 11 determines whether the log data list 900 is empty if all the incident log data stored in the incident log storage unit 15 have been checked (S115). . The empty log data list 900 means that it is determined that there is no incident log to be warned.

ログデータリスト900が空でなければ、インシデント検知部11は、ログデータリスト900に複数種(異なる複数)の識別子901があるかを判定し(S116)、1種類の識別子ならば、インシデント検知部11はS118へ移る。複数種の識別子901があることは、管理サーバ20とN台の制御装置30との中で、複数台において警告すべきインシデントログがあると判定されたことを表している。図9に示すログデータリスト900の例は、識別子901が「2」と「3」との複数台において警告すべきインシデントログがあると判定されたことを表している。   If the log data list 900 is not empty, the incident detection unit 11 determines whether there are a plurality of (different plural) identifiers 901 in the log data list 900 (S116). 11 moves to S118. The presence of a plurality of types of identifiers 901 indicates that it is determined that there are incident logs to be warned in the plurality of management servers 20 and N control devices 30. The example of the log data list 900 illustrated in FIG. 9 indicates that it is determined that there is an incident log to be warned in a plurality of identifiers 901 having “2” and “3”.

インシデント検知部11は、複数種の識別子901に共通して同じインシデントコード902があるかを判定し(S117)、ないならば、インシデント検知部11はS120へ移る。複数種の識別子901に共通して同じインシデントコード902があるならば、同じ原因によるインシデントの発生の可能性がある。   The incident detection unit 11 determines whether there is the same incident code 902 common to a plurality of types of identifiers 901 (S117). If there is no incident detection unit 11, the incident detection unit 11 proceeds to S120. If there is the same incident code 902 common to a plurality of types of identifiers 901, there is a possibility of occurrence of an incident due to the same cause.

インシデント検知部11は、同じインシデントコード902に複数のログコード903があるかを判定し(S118)、ないならば、インシデント検知部11はS120へ移る。この判定は、ログデータリスト900に1種の識別子901があり、1種の識別子901に対応した同じインシデントコード902が複数ある場合と、複数の識別子901があり、複数または1種の識別子901に対応した同じインシデントコード902に複数のログコード903がある場合に実行される。複数か1種の識別子901かに係らず、同じ原因によるインシデントの発生の可能性があるかを、インシデント検知部11が判定していることを意味する。   The incident detection unit 11 determines whether there are a plurality of log codes 903 in the same incident code 902 (S118), and if there is not, the incident detection unit 11 proceeds to S120. This determination is made when there is one type of identifier 901 in the log data list 900 and there are a plurality of the same incident codes 902 corresponding to one type of identifier 901, and there are a plurality of identifiers 901. This is executed when there are a plurality of log codes 903 in the corresponding incident code 902. This means that the incident detection unit 11 determines whether there is a possibility of occurrence of an incident due to the same cause regardless of a plurality of types or one type of identifier 901.

同じインシデントコード902に複数のログコード903があるならば、インシデント検知部11は、重要なインシデントの発生の可能性があるとして、重要警告メッセージをセンタサーバ10の出力装置(図示略)に出力する(S119)。出力装置が表示装置の場合は、重要警告メッセージと共にログデータリスト900を表示することにより、重要警告メッセージの詳細がセンタサーバ10のユーザによって認識される。   If there are a plurality of log codes 903 in the same incident code 902, the incident detection unit 11 outputs an important warning message to an output device (not shown) of the center server 10 because there is a possibility that an important incident has occurred. (S119). When the output device is a display device, the log data list 900 is displayed together with the important warning message, whereby the details of the important warning message are recognized by the user of the center server 10.

ログデータリスト900に複数の識別子901があるが、同じインシデントコード902がない場合、および同じインシデントコード902に複数のログコード903がない場合、インシデント検知部11は、警告メッセージをログデータリスト900と共にセンタサーバ10の出力装置に出力する(S120)。   When there are a plurality of identifiers 901 in the log data list 900 but the same incident code 902 does not exist, and when the same incident code 902 does not have a plurality of log codes 903, the incident detection unit 11 sends a warning message together with the log data list 900. The data is output to the output device of the center server 10 (S120).

インシデント検知部11は、重要警告メッセージまたは警告メッセージを出力後、ログデータリスト900に含まれるインシデント902、ログコード903およびログデータ904に応じたインシデントリスト16の更新を、インシデントリスト作成部12に指示する。   After outputting the important warning message or warning message, the incident detection unit 11 instructs the incident list creation unit 12 to update the incident list 16 according to the incident 902, the log code 903, and the log data 904 included in the log data list 900. To do.

図10は、インシデント検知部11からの更新指示に基づいて、インシデントリスト作成部12によって、図3に示すインシデントリスト16が更新された例である。図10に示すインシデントリスト16は、図3と比較すると、ログコード162およびログデータ長163の組として、「A04」および「24Byte」、並びに、「B03」および「24Byte」が追加されている。この追加は、ログデータリスト900のログコード903が「B01」(CPU利用率が高い)の原因が、「B02」(ネットワーク使用率が高い)に関係し、さらにログコード162「A04」(送信元が異常なパケット)および「B03」(ファイルの拡張子異常)に関係しているのではないかとの設計ポリシーに基づいている。ログコード162およびログデータ長163の組の追加により、インシデントリスト16の容量が、管理サーバ20や制御装置30の記憶装置の容量制限や、ネットワーク90上での容量制限を超える場合は、優先度の低いログコード162およびログデータ長163の組を削除する。   FIG. 10 is an example in which the incident list creation unit 12 updates the incident list 16 shown in FIG. 3 based on the update instruction from the incident detection unit 11. Compared with FIG. 3, “A04” and “24 Byte” and “B03” and “24 Byte” are added to the incident list 16 illustrated in FIG. 10 as a set of the log code 162 and the log data length 163. This addition is related to the reason that the log code 903 of the log data list 900 is “B01” (CPU utilization is high), “B02” (network utilization is high), and the log code 162 “A04” (transmission). This is based on the design policy that the packet is originally related to an abnormal packet) and “B03” (file extension error). When the capacity of the incident list 16 exceeds the capacity limit of the storage device of the management server 20 or the control apparatus 30 or the capacity limit on the network 90 due to the addition of the combination of the log code 162 and the log data length 163, the priority A pair of a low log code 162 and a log data length 163 is deleted.

図11は、図8のインシデント検知部11の一部の処理(S116〜S120)の代替処理フローチャートである。図11は、ログデータリスト900の、優先度を表すインシデントコード902に注目した処理である。   FIG. 11 is an alternative process flowchart of a part of the processes (S116 to S120) of the incident detection unit 11 of FIG. FIG. 11 shows a process focusing on the incident code 902 indicating the priority in the log data list 900.

インシデント検知部11は、インシデントコード902に「A」(優先度140が「1」)がある場合(S150)、および「B」(優先度140が「2」)が複数ある場合(S151)に第1警告メッセージ(第1が最も重要であり、第2、第3、の順に、重要性低下)を出力する(S152)。同様に、インシデント検知部11は、インシデントコード902に「B」が一つある場合(S153)、および「C」(優先度140が「3」)が複数ある場合(S154)に第2警告メッセージを出力する(S155)。さらに同様に、インシデント検知部11は、インシデントコード902に「C」が一つある場合(S156)、および「D」以下(優先度140が「4以下」)が複数ある場合(S157)に第3警告メッセージを出力し(S158)、「D」以下が一つ又はない場合に第4警告メッセージを出力する(S159)。   The incident detection unit 11 has a case where the incident code 902 includes “A” (priority 140 is “1”) (S150) and a plurality of “B” (priority 140 is “2”) (S151). A first warning message (the first is the most important and the importance decreases in the order of second, third) is output (S152). Similarly, the incident detection unit 11 outputs the second warning message when there is one “B” in the incident code 902 (S153) and when there are a plurality of “C” (priority 140 is “3”) (S154). Is output (S155). Similarly, the incident detection unit 11 determines whether the incident code 902 has one “C” (S156) and when there are a plurality of “D” or less (priority 140 is “4 or less”) (S157). 3 warning message is output (S158), and if there is no or less than "D", the fourth warning message is output (S159).

インシデント検知部11の警告メッセージを出力する処理として、図8および図11の2種類を説明したが、最も簡単には、ログデータリスト900に少なくとも一つのインシデントログがあれば、ログデータリスト900と共に警告メッセージを出力してもよい。   Although the two types of processing of outputting the warning message of the incident detection unit 11 have been described with reference to FIGS. 8 and 11, the simplest case is that if there is at least one incident log in the log data list 900, together with the log data list 900 A warning message may be output.

このように、インシデントの重要性(インシデント−ログ対応表14の優先度140)、およびインシデントの発生の可能性を表すログデータ(インシデント−ログ対応表14のログデータ種別143およびログコード144)に関しての選択や順序付けは、制御システムおよび制御対象の状態変化を把握または想定した設計ポリシーに基づけばよい。   As described above, regarding the importance of the incident (priority 140 of the incident-log correspondence table 14) and the log data (log data type 143 and log code 144 of the incident-log correspondence table 14) representing the possibility of occurrence of the incident. The selection and ordering may be based on a design policy that grasps or assumes the state change of the control system and the control target.

同様に、インシデントの発生の可能性を表すログデータを収集したときに、インシデントリスト16の更新内容に関しても、制御システムおよび制御対象の状態変化を把握または想定した設計ポリシーに基づけばよい。   Similarly, when log data representing the possibility of occurrence of an incident is collected, the updated contents of the incident list 16 may be based on a design policy that grasps or assumes the state change of the control system and the control target.

本実施形態の情報収集システムによれば、制御システムとしての処理時間の制約を満たした上で、コンピュータウィルスや外部からの不正アクセスまたはその可能性を検知できる。   According to the information collection system of this embodiment, it is possible to detect a computer virus, an unauthorized access from the outside, or the possibility thereof, while satisfying the restriction of processing time as a control system.

10:センタサーバ、11:インシデント検知部、12:インシデントリスト作成部、13:インシデントログ収集部、15:インシデントログ格納部、16:インシデントリスト、17:通信部、20:管理サーバ、21:制御管理部、22:制御管理ファイル、23:通信部、24:ログ収集部、25: ログ格納部、26:ログパケット生成部、27:通信部、28:インシデントリスト、30:制御装置、31:制御部、32、制御情報ファイル、33: 通信部、34: 制御パケット生成部、35:ログ選択部、36インシデントリスト、40:制御パケット、50:ログパケット、80: ネットワーク、90:ネットワーク。   10: Center server 11: Incident detection unit 12: Incident list creation unit 13: Incident log collection unit 15: Incident log storage unit 16: Incident list 17: Communication unit 20: Management server 21: Control Management unit, 22: Control management file, 23: Communication unit, 24: Log collection unit, 25: Log storage unit, 26: Log packet generation unit, 27: Communication unit, 28: Incident list, 30: Control device, 31: Control unit, 32, control information file, 33: communication unit, 34: control packet generation unit, 35: log selection unit, 36 incident list, 40: control packet, 50: log packet, 80: network, 90: network.

Claims (10)

制御周期の下で、制御対象の状態情報に基づいて前記制御対象へ制御指令を出力する制御部、および、前記状態情報と前記制御指令との制御データおよびインシデントリストに定められた優先度に従ったインシデントログを、前記制御周期の制約の下での所定長のデータ部に格納した制御パケットを生成する制御パケット生成部を含む制御装置、並びに、
前記制御装置からの前記制御パケットに格納された前記インシデントログを格納するインシデントログ格納部、前記インシデントログ格納部に格納された前記インシデントログからインシデントの発生の可能性のある第1のログデータを検出し、検出した前記第1のログデータに対応して警告メッセージを出力するインシデント検知部、および、前記インシデント検知部による前記第1のログデータの検出に対応して、前記インシデントログの前記優先度を定めた前記インシデントリストを更新するインシデントリスト作成部を含む管理サーバを有することを特徴とする情報収集システム。 A control unit that outputs a control command to the control target based on the status information of the control target under the control cycle, and the priority set in the control data and the incident list of the status information and the control command A control device including a control packet generator that generates a control packet in which the incident log is stored in a data portion having a predetermined length under the restriction of the control cycle, and
An incident log storage unit that stores the incident log stored in the control packet from the control device, and first log data that may cause an incident from the incident log stored in the incident log storage unit An incident detector that detects and outputs a warning message in response to the detected first log data; and the priority of the incident log in response to detection of the first log data by the incident detector An information collection system comprising: a management server including an incident list creation unit that updates the incident list that defines the degree. 前記インシデントリストは、前記インシデントに定めた前記優先度に対応した、前記インシデントログを表す第2のログデータおよび前記第2のログデータの長さであるログデータ長を含み、前記第1のログデータは前記第2のログデータに含まれることを特徴とする請求項1に記載の情報収集システム。   The incident list includes second log data representing the incident log corresponding to the priority set for the incident, and a log data length that is a length of the second log data, and the first log The information collection system according to claim 1, wherein data is included in the second log data. 前記インシデント検知部は、前記第1のログデータに対応して設定された判定基準に基づいて、前記インシデントの発生の可能性のある前記第1のログデータを検出することを特徴とする請求項2に記載の情報収集システム。   The said incident detection part detects the said 1st log data with the possibility of generation | occurrence | production of the said incident based on the criteria set corresponding to the said 1st log data. 2. The information collection system according to 2. 前記管理サーバは、複数の前記制御装置と接続し、前記インシデントログ格納部は、複数の前記制御装置からの前記制御パケットに格納された前記インシデントログを格納することを特徴とする請求項3に記載の情報収集システム。   The management server is connected to a plurality of the control devices, and the incident log storage unit stores the incident logs stored in the control packets from the plurality of control devices. The information collection system described. 前記管理サーバは、センタサーバと接続し、複数の前記制御装置からの前記制御パケットに格納された前記インシデントログを含むログパケットを前記センタサーバに送信し、
前記インシデントログ格納部、インシデント検知部およびインシデントリスト作成部を前記センタサーバに設けたことを特徴とする請求項4に記載の情報収集システム。 The management server is connected to a center server, and transmits a log packet including the incident log stored in the control packet from a plurality of the control devices to the center server,
5. The information collection system according to claim 4, wherein the incident log storage unit, incident detection unit, and incident list creation unit are provided in the center server. 制御装置に接続する情報収集システムによる情報収集方法であって、
前記制御装置は、制御周期の下で、制御対象の状態情報に基づいて前記制御対象へ制御指令を出力し、前記状態情報と前記制御指令との制御データおよびインシデントリストに定められた優先度に従ったインシデントログを、前記制御周期の制約の下での所定長のデータ部に格納した制御パケットを生成し、
前記情報収集システムは、前記制御装置からの前記制御パケットに格納された前記インシデントログを収集し、収集した前記インシデントログからインシデントの発生の可能性のあるログデータを検出し、検出した前記ログデータに対応して警告メッセージを出力し、
前記ログデータを検出に対応して、前記インシデントログの前記優先度を定めた前記インシデントリストを更新することを特徴とする情報収集方法。 An information collection method by an information collection system connected to a control device,
The control device outputs a control command to the control target based on the status information of the control target under the control cycle, and the control data of the status information and the control command and the priority set in the incident list Generate a control packet in which the incident log that follows is stored in a data part of a predetermined length under the restriction of the control cycle,
The information collection system collects the incident log stored in the control packet from the control device, detects log data that may cause an incident from the collected incident log, and detects the detected log data A warning message is output in response to
The information collection method comprising: updating the incident list in which the priority of the incident log is determined in response to detection of the log data. 前記インシデントリストは、前記インシデントに定めた前記優先度に対応した、前記インシデントログを表す第2のログデータおよび前記第2のログデータの長さであるログデータ長を含み、前記第1のログデータは前記第2のログデータに含まれることを特徴とする請求項6に記載の情報収集方法。   The incident list includes second log data representing the incident log corresponding to the priority set for the incident, and a log data length that is a length of the second log data, and the first log The information collection method according to claim 6, wherein data is included in the second log data. 前記情報収集システムは、前記第1のログデータに対応して設定された判定基準に基づいて、前記インシデントの発生の可能性のある前記第1のログデータを検出することを特徴とする請求項7に記載の情報収集方法。   The information collection system detects the first log data with the possibility of occurrence of the incident based on a determination criterion set corresponding to the first log data. 8. The information collecting method according to 7. 前記情報収集システムは、複数の前記制御装置と接続し、複数の前記制御装置からの前記制御パケットに格納された前記インシデントログを収集することを特徴とする請求項8に記載の情報収集方法。   The information collection method according to claim 8, wherein the information collection system is connected to a plurality of the control devices and collects the incident logs stored in the control packets from the plurality of control devices. 前記情報収集システムは、センタサーバを含み、複数の前記制御装置からの前記制御パケットに格納された前記インシデントログを含むログパケットを前記センタサーバに送信し、
前記センタサーバが、前記制御装置からの前記制御パケットに格納された前記インシデントログを収集し、収集した前記インシデントログからインシデントの発生の可能性のあるログデータを検出し、検出した前記ログデータに対応して警告メッセージを出力し、前記ログデータを検出に対応して、前記インシデントログの前記優先度を定めた前記インシデントリストを更新する処理を実行することを特徴とする請求項9に記載の情報収集方法。 The information collection system includes a center server, and transmits a log packet including the incident log stored in the control packet from a plurality of the control devices to the center server,
The center server collects the incident log stored in the control packet from the control device, detects log data that may cause an incident from the collected incident log, and detects the detected log data The warning message is output correspondingly, and the process of updating the incident list that defines the priority of the incident log is executed in response to the detection of the log data. Information collection method.
JP2015106853A 2015-05-26 2015-05-26 Information collection system and method Active JP6433851B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015106853A JP6433851B2 (en) 2015-05-26 2015-05-26 Information collection system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015106853A JP6433851B2 (en) 2015-05-26 2015-05-26 Information collection system and method

Publications (2)

Publication Number Publication Date
JP2016224480A true JP2016224480A (en) 2016-12-28
JP6433851B2 JP6433851B2 (en) 2018-12-05

Family

ID=57745883

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015106853A Active JP6433851B2 (en) 2015-05-26 2015-05-26 Information collection system and method

Country Status (1)

Country Link
JP (1) JP6433851B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018037708A1 (en) * 2016-08-25 2018-03-01 クラリオン株式会社 Vehicle-mounted device and log collection system
JP2019053412A (en) * 2017-09-13 2019-04-04 株式会社日立製作所 Information collection device and information collection system
US11474889B2 (en) 2020-06-17 2022-10-18 Denso Corporation Log transmission controller

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7439669B2 (en) 2020-07-14 2024-02-28 株式会社デンソー log analysis device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010226181A (en) * 2009-03-19 2010-10-07 Fujitsu Ltd Network monitor and control apparatus
WO2014018291A2 (en) * 2012-07-24 2014-01-30 General Electric Company Systems and methods for improving control system reliability
JP2015097035A (en) * 2013-11-15 2015-05-21 株式会社日立システムズ System for suppressing failure message burst transmission, method for suppressing failure message burst transmission, and program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010226181A (en) * 2009-03-19 2010-10-07 Fujitsu Ltd Network monitor and control apparatus
WO2014018291A2 (en) * 2012-07-24 2014-01-30 General Electric Company Systems and methods for improving control system reliability
JP2015097035A (en) * 2013-11-15 2015-05-21 株式会社日立システムズ System for suppressing failure message burst transmission, method for suppressing failure message burst transmission, and program

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018037708A1 (en) * 2016-08-25 2018-03-01 クラリオン株式会社 Vehicle-mounted device and log collection system
JP2018032254A (en) * 2016-08-25 2018-03-01 クラリオン株式会社 On-vehicle device and log collection system
US11115425B2 (en) 2016-08-25 2021-09-07 Clarion Co., Ltd. In-vehicle apparatus and log collection system
JP2019053412A (en) * 2017-09-13 2019-04-04 株式会社日立製作所 Information collection device and information collection system
US11474889B2 (en) 2020-06-17 2022-10-18 Denso Corporation Log transmission controller

Also Published As

Publication number Publication date
JP6433851B2 (en) 2018-12-05

Similar Documents

Publication Publication Date Title
JP4128974B2 (en) Layer 2 loop detection system
US9819590B2 (en) Method and apparatus for notifying network abnormality
JP6433851B2 (en) Information collection system and method
JP6726331B2 (en) Systems and methods for regulating access requests
US20130282867A1 (en) Information system, control apparatus, method of providing virtual network, and program
WO2012056816A1 (en) Network system and method for controlling communication traffic
JP6433865B2 (en) Communication device
JP2008154204A (en) Flow information restricting apparatus and method
US7200105B1 (en) Systems and methods for point of ingress traceback of a network attack
JP2017005402A (en) Communication device
JP4616020B2 (en) Network monitoring program and network system
US9998542B2 (en) System and method for determining routing information
JP2009522867A (en) Network traffic monitoring apparatus and method
JP6115148B2 (en) Alarm management device, communication device, alarm control device, alarm management method, communication method, alarm control method, alarm management program, communication program, and alarm control program
KR101889502B1 (en) Abnormal traffic detection method on control system protocol
JP6466279B2 (en) Communication device
US20100070668A1 (en) Interrupt control apparatus, interrupt control system, interrupt control method, and interrupt control program
JP5140692B2 (en) Polling transmission system, polling transmission method, and polling transmission program
KR20170008814A (en) Communication apparatus, control apparatus, communication system, and transmission control method
CN111371668B (en) Method, device, equipment and storage medium for periodically sending based on free ARP
CN115280724A (en) Method for handling data anomalies, in particular in a motor vehicle
CN115398429A (en) Method for handling data anomalies, in particular in a motor vehicle
TWI716613B (en) Transmission method of server event alert
JP6652912B2 (en) Network device and abnormality detection system
US11637739B2 (en) Direct memory access (DMA) engine for diagnostic data

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171212

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180831

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180911

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180927

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181009

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181107

R150 Certificate of patent or registration of utility model

Ref document number: 6433851

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150