JP2017216569A - 通信装置、制御システム、及び、通信制御方法 - Google Patents

通信装置、制御システム、及び、通信制御方法 Download PDF

Info

Publication number
JP2017216569A
JP2017216569A JP2016108801A JP2016108801A JP2017216569A JP 2017216569 A JP2017216569 A JP 2017216569A JP 2016108801 A JP2016108801 A JP 2016108801A JP 2016108801 A JP2016108801 A JP 2016108801A JP 2017216569 A JP2017216569 A JP 2017216569A
Authority
JP
Japan
Prior art keywords
data
list
identification information
communication device
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016108801A
Other languages
English (en)
Inventor
泰輔 植田
Yasusuke Ueda
泰輔 植田
誠由 高瀬
Masayoshi Takase
誠由 高瀬
矢野 正
Tadashi Yano
正 矢野
祐輔 矢島
Yusuke Yajima
祐輔 矢島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2016108801A priority Critical patent/JP2017216569A/ja
Publication of JP2017216569A publication Critical patent/JP2017216569A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】機器の異常検出時に波及範囲を抑えながらセキュリティ対策を実施する。【解決手段】第1のデータと、前記第1のデータに起因して発生する第2のデータとを送受信する通信装置であって、前記記憶装置は、前記第1のデータの通信を制御するためのアクセスリストと、関連する識別情報群を管理するためのグルーピングデータベースと、前記第1のデータの識別情報と前記第2のデータの識別情報とを対応づける対応データベースとを有し、前記通信装置は、前記第2のデータの異常を検出すると、前記対応データベースを参照して、前記異常が検出された第2のデータに対応する第1のデータを特定し、前記グルーピングデータベースを参照して、前記特定された第1のデータと関連する前記第1のデータの識別情報群を決定し、前記アクセスリストを参照して、前記決定された第1のデータの識別情報群から通信を遮断する第1のデータを決定する。【選択図】図2

Description

本発明は、制御システムにおいて通信制御を行う通信装置に関する。
近年、クラウドやモノのインターネットと呼ばれるIoT(Internet of Things)の進展により、通信を介した事業やサービスが多様化され、様々な機器やサービスがネットワークで接続されるようになった。重要インフラや産業向けの制御システム(ICS:Industrial Control System)においても、制御対象のフィールド機器(モータ、ポンプ、発電機など)を制御したり、機器に設置されて周囲の状況を観測するセンサのデータをネットワーク経由で取得することによって、稼働中の機器の監視や制御システムの運用を効率化する動きがある。
それに伴って、従来は独立したネットワークや専用のコントローラで構成されていた制御システムのオープン化が進展している。例えば、制御システムが企業内のネットワークに接続したり、インターネットやイントラネットで利用されているTCP/IP(Internet Protocol)を制御システムの通信プロトコルとして利用したり、機器の制御や監視に利用している制御コンピュータなどに情報処理システムで用いられている汎用のオペレーティングシステムが利用されている。
このような背景の元、制御システムにおいて、外部から持ち込まれた可搬型の外部記憶媒体からコンピュータウィルスが侵入したり、外部から持ち込まれたノートパソコン経由で悪意のある攻撃を受ける可能性がある。制御システムや重要インフラにおいて前述のような脆弱性をついた攻撃や不正侵入などの事態が発生した場合には、その異常や攻撃を迅速に検知し、セキュリティ対策を行う技術が必要になっている。
本技術分野の背景技術として、以下の先行技術がある。
特開2014−179074号公報(特許文献1)には、制御システム挙動を測定するように構成されているデバイス監視構成要素と、デバイス監視構成要素および通信ネットワークに通信可能に結合された侵入防止システムとを含むシステムが開示されている。この侵入防止システムは、制御システム内の異常を検出した時は、デバイスの動作を中止する制御信号を送信する。
特開2012−226680号公報(特許文献2)には、制御装置と、制御装置に接続される制御ネットワークと、制御ネットワークを介して制御装置により制御される複数の機器とを備える産業制御システムの管理システムであって、産業制御システムの一部ずつを制御する制御ゾーン毎に設けられ、制御ゾーン内の機器と制御ネットワークとの間の通信を中継する複数のファイヤウォール部と、複数のファイヤウォール部のそれぞれからイベントを収集して解析し、制御ゾーン毎の異常を検知するイベント解析部と、異常が検知された制御ゾーンに設けられたファイヤウォール部を介する通信動作を変更する通信管理部と、を備える管理システムが開示されている。この管理システムは、異常を検出した制御ゾーンをシャットダウンして切り離す。
特開2014−179074号公報 特開2012−226680号公報
産業制御システムには、モノを動かす機器の駆動装置(モータ、油圧装置、エンジン)が接続されたり、圧延プラントのように高温・高圧の材料を扱っており、火災や生産設備の破壊などに結びつくような被害を発生させる可能性がある。このため、産業制御システムでは、上述したように、ウィルスによる感染や外部からの悪意のある攻撃を検出した場合など、セキュリティの上の異常検出した場合には制御対象の機器を安全停止し、システムから切り離しできることが必要である。
その一方で、産業制御システムの機器の停止やシステムの切り離しは機会損失が大きく、人々の生活に影響が出る可能性があるため、異常検出後の対策によるシステムへの波及範囲を抑えつつ、システムの稼働を維持できることが望ましい。
しかしながら、特許文献1に記載された技術では、機器の異常を検出した時点でデバイスの動作を中止するため、複数の機器が連携して動作する場合に安全な対策をとれない。
また、特許文献2に記載された技術では、機器の異常を検出した時点でシステム(制御ゾーン)をシャットダウンするため、産業制御システムへの波及範囲が必要以上に大きくなる。
そこで、本発明は、制御システムにおいて、機器の異常検出時に波及範囲を抑えながらセキュリティ対策を実施し、制御システムの可用性を向上する技術を提供することを目的とする。
本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、第1のデータと、前記第1のデータに起因して発生する第2のデータとを送受信する通信装置であって、記憶装置と、データを送受信するインタフェースとを備え、前記記憶装置は、受信した前記第1のデータの識別情報を保持し、前記第1のデータの通信を制御するためのアクセスリストと、前記第1のデータの識別情報のうち、関連する識別情報群を管理するためのグルーピングデータベースと、前記第1のデータの識別情報と前記第2のデータの識別情報とを対応づける対応データベースとを有し、前記通信装置は、前記第2のデータの異常を検出すると、前記対応データベースを参照して、前記異常が検出された第2のデータに対応する第1のデータを特定し、前記グルーピングデータベースを参照して、前記特定された第1のデータと関連する前記第1のデータの識別情報群を決定し、前記アクセスリストを参照して、前記決定された第1のデータの識別情報群から通信を遮断する第1のデータを決定する。
本発明の一態様によれば、システムの稼働率を向上できる。前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
実施例1の制御システムの構成図である。 実施例1の通信装置のブロック図である。 実施例1のアクセスリストの説明図である。 実施例1の機器−センサ対応データベースの説明図である。 実施例1のグルーピングデータベースの説明図である。 実施例1の制御システムにおける事前学習動作の例を示すシーケンス図である。 実施例1の制御システムにおける複数の機器がグルーピングされていない場合の異常検知動作の例を示すシーケンス図である。 実施例1の制御システムにおける複数の機器がグルーピングされている場合の異常検知動作の例を示すシーケンス図である。 実施例1の通信装置における通信ネットワーク側から受信するパケットの処理のフローチャートである。 実施例1の通信装置における制御装置側から受信するパケットの処理のフローチャートである。 実施例2のアクセスリストの説明図である。 実施例2の制御システムにおけるグレーリスト対象のコマンド設定の異常を検知する動作の例を示すシーケンス図である。 実施例2の制御システムにおけるホワイトリスト対象のコマンド設定の異常を検知する動作の例を示すシーケンス図である。 実施例2の通信装置における通信ネットワーク側から受信するパケットの処理のフローチャートである。 実施例2の通信装置における制御装置側から受信するパケットの処理のフローチャートである。 実施例2の通信装置における制御装置側から受信するパケットの処理のフローチャートである。
以下、本発明の実施例について、図面を参照して説明する。以下に述べる実施例は本発明の一例であって、本発明を制限するものではない。
(実施例1)
以下、実施例1について図1〜図9を用いて説明する。
<制御システムの構成例>
図1は、実施例1の制御システムの構成図である。
本実施例の制御システムは、複数の機器101−1〜101−K(機器を総称する場合、「機器101」と記載する)、複数のセンサ102−1〜102−L(センサを総称する場合、「センサ102」と記載する)、制御装置103、通信装置2、制御サーバ104、及び、分析サーバ105を有する。なお、Kは任意の自然数であり、本制御システムに備わる機器の数は任意である。また、Lは任意の自然数であり、本制御システムに備わるセンサの数は任意である。機器101、センサ102、及び、制御装置103は、制御ネットワーク106を構築し、通信装置2、制御サーバ104、及び、分析サーバ105は、通信ネットワーク107を構築する。
機器101は、制御装置103の制御対象となるフィールド機器であり、例えば、ポンプ、モータ、発電機等であるが、その他のものでもよい。
センサ102は、機器101及びその周囲の環境・状況を計測するフィールドセンサであり、例えば、回転数、温度、加速度、水位、電流・電圧等の物理量を計測し、計測した物理量の情報をセンサデータとして出力する。
制御装置103は、制御ネットワーク106を介して機器101及びセンサ102と接続される。制御装置103は、制御サーバ104から通信ネットワーク107を介してコマンド設定により設定される設定値に基づいて制御プロセスを実行する論理制御装置であり、機器101に制御コマンドを送信し、センサ102から取得するセンサデータを制御サーバ104宛に送信する。
通信装置2は、制御装置103に接続され、通信ネットワーク107を介して制御サーバ104及び分析サーバ105に接続される。通信装置2は、制御サーバ104から制御装置103に設定されるコマンド設定を中継し、中継する際にコマンド設定に関する情報を保持する。また、通信装置2は、制御装置103から制御サーバ104に送信されるセンサデータを中継し、中継する際にセンサデータの情報を保持する。
また、通信装置2は、保持しているセンサデータの情報を分析サーバ105に送信する。さらに、通信装置2は、分析サーバ105からセンサデータ値の異常検知用のクラスタ分布データを取得し、制御装置103から制御サーバ104に送信されるセンサデータの異常を検知する機能を有する。さらに、通信装置2は、センサデータの異常を検知した場合、制御サーバ104から制御装置103に設定されるコマンド設定の通過や廃棄などの通信制御を実行し、制御装置103に停止コマンドを送信する機能を有する。
制御サーバ104は、通信ネットワーク107を介して通信装置2に接続され、操作員などから設定されるコマンド設定を制御装置103宛に送信する。また、制御サーバ104は、制御装置103から送られるセンサデータを取得し、センサデータ及び制御プロセスの状態を表示する機能を有する。
分析サーバ105は、通信ネットワーク107を介して通信装置2に接続され、通信装置2が保持するセンサデータを取得する。分析サーバ105は、取得したセンサデータから異常検知用のクラスタ分布データを計算し、通信装置2に通知する。また、分析サーバ105は、通信装置2における異常検知機能や通信制御機能を制御するための学習指示や異常検知開始指示を通信装置2に送信する。
<通信装置のブロック構成例>
次に、図2を用いて通信装置2の論理構成を説明する。図2は、実施例1の通信装置2のブロック図である。
通信装置2は、複数のインタフェース201−1及び201−2(インタフェースを総称する場合、「インタフェース201」と記載する)、複数のパケット解析部202−1及び202−2(パケット解析部を総称する場合、「パケット解析部202」と記載する)、リスト検索部203、異常監視部204、リスト判定部205、センサ応答学習部206、複数のパケット挿入調整部207−1及び207−2(パケット挿入調整部を総称する場合、「パケット挿入調整部207」と記載する)、装置管理部208、クラスタ分布データベース209、センサデータ用データベース210、アクセスリスト3、機器−センサ対応データベース4、及び、グルーピングデータベース5を有する。
インタフェース201は、一般的な通信装置で用いられる、所定のプロトコルで通信する通信インタフェースである。通信装置2は、インタフェース201を介して他の装置に接続され、データを送受信する。本実施例では、通信装置2は、インタフェース201−1を介して制御装置103と接続され、インタフェース201−2を介して通信ネットワーク107を介して制御サーバ104及び分析サーバ105と接続される。
パケット解析部202は、インタフェース201から入力されたパケットを解析し、後段の機能部へパケットを転送する。パケット解析部202−1は、制御装置103から送信されるセンサデータのパケットを解析して、センサデータを抽出し、センサ102を識別するためのIDを特定する。パケット解析部202−2は、制御サーバ104から送信されるコマンド設定、又は分析サーバ105から送信される異常検知用のクラスタ分布データなどのパケットを解析し、コネクションを識別するためのIDを特定する。
リスト検索部203は、アクセスリスト3にコネクションとしてコマンド設定の情報を登録する。また、リスト検索部203は、アクセスリスト3を参照し、パケット挿入調整部207−2へ転送するパケットの通過や廃棄を判定する。アクセスリスト3の詳細は図3で説明する。また、リスト検索部203の処理の詳細は図8で説明する。
異常監視部204は、パケット解析部202−1から受信したセンサデータをセンサデータ用データベース210に格納し、パケット挿入調整部207−1へ転送する。センサデータ用データベース210は、センサ102から取得するセンサデータを格納するためのデータベースである。
また、異常監視部204は、クラスタ分布データベース209を参照し、抽出したセンサデータが異常な値を示しているか否かを検出する。クラスタ分布データベース209は、分析サーバ105より取得する異常検知用のクラスタ分布データを格納するためのデータベースである。例えば、クラスタ分布データベース209は、クラスタ分布データとして、各センサデータの平均、分散、異常判定のための閾値などの情報を含んでもよい。
さらに、異常監視部204は、センサデータの異常を検出すると、機器−センサ対応データベース4を参照して取得した機器IDや、グルーピングデータベース5を参照して取得したグループIDを用いたアクセスリスト3の検索を、リスト判定部205に指示する。機器−センサ対応データベース4の詳細は図4で説明し、グルーピングデータベース5の詳細は図5で説明する。
リスト判定部205は、異常監視部204より指示を受信すると、アクセスリスト3を検索し、該当機器ID宛に異常なコマンド設定が送信されていないか否かを確認する。また、リスト判定部205は、異常なコマンド設定を確認すると、アクセスリスト3の登録情報を変更し、リスト検索部203におけるパケットの通過や廃棄の判定を制御する。異常監視部204及びリスト判定部205の処理の詳細は図9で説明する。
センサ応答学習部206は、センサデータ用データベース210及びアクセスリスト3を参照し、コマンド設定の受信とセンサデータの応答値の変動を学習する。学習の際、学習のために必要な情報を、図示しないメモリに保持してもよい。センサ応答学習部206は、学習の結果によってアクセスリスト3の登録情報を変更し、リスト検索部203におけるパケットの通過や廃棄の判定を制御する。
パケット挿入調整部207は、複数の機能部から入力されるパケットの挿入順序を調整し、インタフェース201に出力する。
装置管理部208は、データが一時的に格納される記憶領域を有し、通信装置2が有する各機能部(インタフェース201、パケット解析部202、リスト検索部203、異常監視部204、リスト判定部205、センサ応答学習部206、及び、パケット挿入調整部207)の設定値を保持する。装置管理部208は、通信装置2が有する各機能部に図示しない制御線を介して接続される。通信装置2が有する各機能部は、装置管理部208の設定値を用いて処理を実行し、処理結果を装置管理部208に通知し、装置管理部208は、通知結果を保持する。
また、装置管理部208は、通信装置2が有する各データベース(クラスタ分布データベース209、センサデータ用データベース210、アクセスリスト3、機器−センサ対応データベース4、及び、グルーピングデータベース5)にデータを読み書きする。装置管理部208は、通信装置2が有する各データベースに図示しない制御線を介して接続される。
通信装置2の各機能部は、プロセッサが実行するプログラムや、所定の動作をする論理回路(例えば、Field−Programmable Gate Array)によって構成される。プロセッサが実行するプログラムは、リムーバブルメディア(フラッシュメモリなど)又はネットワークを介して通信装置2に提供され、非一時的記憶媒体である記憶装置(磁気記憶装置(HDD)、フラッシュメモリ(SSD)など)に格納される。このため、通信装置2は、リムーバブルメディアからデータを読み込むインタフェースを有するとよい。
通信装置2は、物理的に一つの計算機上で、又は、論理的又は物理的に複数の計算機上で構成されてもよい。前述した各機能部のプログラムは、同一の計算機上で別個のスレッドで動作してもよく、複数の物理的計算機資源上に構築された仮想計算機上で動作してもよい。
ここで、本実施例で通信装置2が送受信するデータのフォーマットの一例を説明する。本実施例の制御システムで転送されるデータは、例えば、イーサネット(登録商標)のパケットである。当該形式のパケットは、宛先MACアドレス、送信元MACアドレス、イーサタイプ値、ペイロード、及びフレームチェックシーケンス(FCS)を含む。
宛先MACアドレスには、宛先の通信装置2のMACアドレスが登録され、送信元MACアドレスには、送信元の装置(例えば、制御装置103)のMACアドレスが設定される。イーサタイプ値には、パケットが運ぶ上位層のプロトコルの識別子が設定される。フレームチェックシーケンス(FCS)には、フレームの誤りを検出するための値が設定される。なお、パケットのペイロードには、IPヘッダ、TCPヘッダ、又は他のプロトコルのヘッダを含んでもよい。また、IPヘッダに含まれる宛先IPアドレスや送信元IPアドレス、他のプロトコルのヘッダに含まれる識別子等の値をコネクションの識別子として利用してもよい。
<アクセスリストの構成例>
図3は、実施例1のアクセスリスト3の説明図である。
アクセスリスト3は、論理的にホワイトリスト及びブラックリストの二つのリストを含むリストとして構成され、各コネクションがホワイトリストに登録されているか、ブラックリストに登録されているかを管理する。本実施例では、リスト検索部203は、ホワイトリストに登録されているコネクションを通過するパケットであると判定し、ブラックリストに登録されているコネクションを廃棄するパケットであると判定する。
アクセスリスト3は、コネクションID301ごとに、ホワイトリストValid302、ブラックリストValid303を有し、コネクション情報として送信元アドレス304、宛先アドレス305及び機器ID306を保持し、管理情報として登録時間307及び受信数308を保持する。
ホワイトリストValid302は、コネクションID301のコネクションがホワイトリストに登録されているかを示す。例えば、ホワイトリストValid302が有効の場合、ホワイトリストに登録されており、ホワイトリストValid302が無効の場合、ホワイトリストに登録されていないことを示してもよい。
ブラックリストValid303は、コネクションID301のコネクションがブラックリストに登録されているかを示す。例えば、ブラックリストValid303が有効の場合、ブラックリストに登録されており、ブラックリストValid303が無効の場合、ブラックリストに登録されていないことを示してもよい。
コネクション情報として、送信元アドレス304には、受信したパケットの送信元のアドレス(例えば、制御サーバ104のIPアドレスなど)が登録される。宛先アドレス305には、受信したパケットの宛先のアドレス(例えば、制御装置103のIPアドレスなど)が登録される。機器ID306には、機器101を識別するための識別情報が登録される。
また、管理情報として、登録時間307には、該当コネクションID301のパケットがホワイトリスト又はブラックリストに追加された時間が登録される。受信数308には、該当コネクションID301のパケットを受信した回数が登録される。
<機器−センサ対応データベースの構成例>
図4は、実施例1の機器−センサ対応データベース4の説明図である。
機器−センサ対応データベース4は、異常監視部204によって参照され、制御システムの各センサ102から取得するセンサデータに該当する異常検知用のクラスタ分布データと、該当センサ102を備える機器101とを対応づける。機器−センサ対応データベース4は、センサデータを識別するための識別情報であるセンサデータID401ごとに、該当するクラスタ分布データを指定するクラスタDB_ID402、及び対応機器を指定する機器ID403を保持する。また、機器−センサ対応データベース4は、装置管理部208から設定される。
<グルーピングデータベースの構成例>
図5は、実施例1のグルーピングデータベース5の説明図である。
グルーピングデータベース5は、異常監視部204によって参照され、制御システムにおいて機器101が構成する制御グループを管理する。グルーピングデータベース5は、機器ID501及びグループID502を含み、機器ID501ごとに、制御グループを示すグループID502を保持する。また、グルーピングデータベース5は、装置管理部208から設定される。
次に、図6、図7A、図7Bを用いて実施例1の制御システムの動作のシーケンス例を説明する。本実施例では、制御システムの動作が事前学習動作と異常検知動作に分けられ、運用開始前に制御システムの正常状態を学習し、運用開始後に制御システム内の異常状態を検出する例を示す。
事前学習動作では、通信装置2は、制御サーバ104から制御装置103宛に送信されるコマンド設定と、制御装置103から制御サーバ104に送られるセンサデータとを対応づける。分析サーバ105は、センサデータを分析し、異常検知用のクラスタ分布データを作成する。
異常検知動作は、センサデータの分析後に開始される。通信装置2は、異常と想定されるコマンド設定の有無とセンサデータの異常な値とを対応づけて、コマンド設定の通過や廃棄を判定する。本実施例では、制御サーバ104が乗っ取られ、異常なコマンド設定が送信された場合、通信装置2が異常を検知する動作を示す。また、異常検知動作において、図7Aでは制御システムにおいて機器101がグルーピングされていない場合を示し、図7bではグルーピングされている場合を示す。
<制御システムの事前学習動作のシーケンス例>
図6は、実施例1の制御システムにおける事前学習動作の例を示すシーケンス図である。
はじめに、制御サーバ104は、機器101−1を制御するためのコマンド設定を制御装置103宛に送信する(S600)。制御装置103は、制御コマンドを機器101−1に送信する(S601)。
また、同様に、制御サーバ104は、機器101−2を制御するためのコマンド設定を制御装置103宛に送信する(S602)。制御装置103は、制御コマンドを機器101−2に送信する(S603)。
次に、制御装置103は、センサデータをセンサ102−1から取得し(S604)、センサデータを制御サーバ104宛に送信する(S605)。
また、同様に、制御装置103は、センサデータをセンサ102−2から取得し(S606)、センサデータを制御サーバ104宛に送信する(S607)。
ここで、分析サーバ105は、通信装置2のデータベース(機器−センサ対応データベース4やグルーピングデータベース5など)を設定し(S608)、通信装置2に事前学習指示を通知する(S609)。
制御サーバ104は、機器101−1を制御するためのコマンド設定を制御装置103宛に継続して送信する(S610)。制御装置103は、制御コマンドを機器101−1に送信する(S612)。この際、通信装置2は、S610のコマンド設定のパケットをホワイトリストとしてアクセスリスト3に登録する(S611)。
また、同様に、制御サーバ104は、機器101−2を制御するためのコマンド設定を制御装置103宛に継続して送信し(S613)、制御装置103は、機器101−2に制御コマンドを送信する(S615)。この際、通信装置2は、S613のコマンド設定のパケットをホワイトリストとしてアクセスリスト3に登録する(S614)。
次に、制御装置103は、センサデータをセンサ102−1から取得し(S616)、センサデータを制御サーバ104宛に送信する(S618)。この際、通信装置2は、S618のセンサデータを取得し(センサデータ用データベース210に格納し)、受信したコマンド設定と当該機器からの応答のセンサデータの値とを学習する(S617)。
また、同様に、制御装置103は、センサデータをセンサ102−2から取得し(S619)、センサデータを制御サーバ104宛に送信する(S621)。この際、通信装置2は、S621のセンサデータを取得し(センサデータ用データベース210に格納し)、受信したコマンド設定と当該機器からの応答のセンサデータの値とを学習する(S620)。
次に、通信装置2は、取得したセンサデータを分析サーバ105に通知する(S622)。分析サーバ105は、センサデータを分析した後、異常検知用のクラスタ分布データを通信装置2に送信する(S623)。通信装置2がクラスタ分布データベース209を設定することにより、事前学習動作を終了する。
<制御システムの異常動作のシーケンス例>
図7Aは、実施例1の制御システムにおける複数の機器101がグルーピングされていない場合の異常検知動作の例を示すシーケンス図である。
はじめに、分析サーバ105は、通信装置2に異常検知の開始を指示する(S701)。
制御サーバ104は、機器101−1を制御するためのコマンド設定を制御装置103宛に継続して送信している(S702)。制御装置103は、制御コマンドを機器101−1に送信する(S704)。この際、通信装置2は、アクセスリスト3を参照し、コマンド設定のパケットが登録されているリストを判定する。具体的には、通信装置2は、S702のコマンド設定のパケットがホワイトリストに登録されていることを確認して、コマンド設定のパケットを制御装置103に転送する(S703)。
また、同様に、制御サーバ104は、機器101−2を制御するためのコマンド設定を制御装置103宛に継続して送信している(S705)。制御装置103は、制御コマンドを機器101−2に送信する(S707)。この際、通信装置2は、アクセスリスト3を参照し、コマンド設定のパケットが登録されているリストを判定する。具体的には、通信装置2は、S705のコマンド設定のパケットがホワイトリストに登録されていることを確認して、コマンド設定のパケットを制御装置103に転送する(S706)。
次に、制御装置103は、センサデータをセンサ102−1から取得し(S708)、センサデータを制御サーバ104宛に送信する(S710)。この際、通信装置2は、センサデータを取得して、センサデータ用データベース210に格納し、さらに、クラスタ分布データベース209を参照して、取得したセンサデータが異常な値を示すか否かを判定する。具体的には、通信装置2は、S708のセンサデータが正常な値を示すことを確認して、センサデータを制御サーバ104に転送する(S709)。
また、同様に、制御装置103は、センサデータをセンサ102−2から取得し(S711)、センサデータを制御サーバ104宛に送信する(S713)。この際、通信装置2は、センサデータを取得して、センサデータ用データベース210に格納し、さらに、クラスタ分布データベース209を参照して、取得したセンサデータが異常な値を示すか否かを判定する。具体的には、通信装置2は、S711のセンサデータが正常な値を示すことを確認して、センサデータを制御サーバ104に転送する(S712)。
次に、通信装置2は、取得したセンサデータを分析サーバ105に通知する(S714)。なお、本実施例では事前学習によりセンサデータを学習しているが、運用中も分析サーバ105がセンサデータを分析し、異常検知用のクラスタ分布データを通信装置2に送信して、センサデータを学習してもよい。
ここで、制御サーバ104が乗っ取り攻撃を受けると(S715)、制御サーバ104は、機器101−1を制御するためのコマンド設定に異常な値を設定して制御装置103宛に送信する(S716)。この際、通信装置2は、S716のコマンド設定のパケットがアクセスリスト3においてホワイトリストとして登録されていることを確認して、コマンド設定のパケットを制御装置103に転送する(S717)。そして、制御装置103は、異常な設定に基づいた制御コマンドを機器101−1に送信する(S718)。機器101−1は、異常な動作を開始する。
次に、制御装置103は、センサデータをセンサ102−1から取得し(S719)、センサデータを制御サーバ104宛に送信する(S721)。この際、通信装置2は、S721のセンサデータが異常な値を示すことを検知する(S720)。また、通信装置2は、取得した異常な値を示すセンサデータを分析サーバ105に通知する(S722)。
通信装置2は、ステップS720で異常を検知すると、機器101−1宛のコマンド設定のパケットをアクセスリスト3においてブラックリストに登録する(S723)。
制御サーバ104は、機器101−1を制御するためのコマンド設定を制御装置103宛に継続して送信する(S724)。S724のコマンド設定には異常な値が設定されている。この際、通信装置2は、S724のコマンド設定のパケットがブラックリストに登録されていることを確認し、コマンド設定を廃棄する(S725)。
また、通信装置2は、ステップS720で異常を検知すると、機器101−1を停止するためのコマンド設定を制御装置103宛に送信する(S726)。そして、制御装置103は、機器101−1に制御コマンドを送信する(S728)。なお、通信装置2は、ステップS726で機器101−1を停止するためのコマンド設定を送信したが、安全に動作を継続させるためのコマンド設定を送信してもよい。また、通信装置2は、ブラックリストによりコマンド設定を廃棄し、停止コマンド設定を送信したことを分析サーバ105に通知してもよい(S727)。
次に、制御装置103は、センサ102−1からセンサデータを取得し(S729)、センサデータを制御サーバ104宛に送信する(S731)。この際、通信装置2は、機器101−1の停止により、S731のセンサデータが正常な値の範囲に含まれることを確認して、センサデータを制御サーバ104に転送する(S730)。
また、制御装置103は、センサ102−2からセンサデータを取得し(S732)、センサデータを制御サーバ104宛に送信する(S734)。機器101−2は異常なコマンド設定による制御コマンドを受信していない。通信装置2は、S734のセンサデータが正常な値を示すことを確認して、センサデータを制御サーバ104に転送する(S733)。次に、通信装置2は、取得したセンサデータを分析サーバ105に通知する(S735)。
図7Bは、実施例1の制御システムにおける複数の機器101がグルーピングされている場合の異常検知動作の例を示すシーケンス図である。
図7Aでは、機器101−1と機器101−2が同じ制御グループではなく、グルーピングされていないため、異常を検出した機器101−1のみを停止するためのコマンド設定を送信した。一方、図7Bでは、機器101−1と機器101−2とが同じ制御グループにグルーピングされている。同じ制御グループ内では、関連する機器101が異常動作をすると、他の機器101にも影響が生じる可能性があるため、通信装置2は、異常を検出した機器101−1を停止するためのコマンド設定を送信し、機器101−1と同じグループの機器101−2を停止するためのコマンド設定を送信する。S701からS725までの処理は、図7Aと同じであるため、説明を省略する。
通信装置2は、ステップS720でセンサデータの異常を検出すると、機器101−1を停止するためのコマンド設定を制御装置103宛に送信し(S750)、制御装置103は、機器101−1に制御コマンドを送信する(S751)。
同様に、通信装置2は、機器101−2を停止するためのコマンド設定を制御装置103宛に送信する(S752)。制御装置103は、制御コマンドを機器101−2に送信する(S753)。また、通信装置2は、ブラックリストによりコマンド設定を廃棄し、停止コマンド設定を送信したことを分析サーバ105に通知してもよい(S754)。
次に、制御装置103は、センサデータをセンサ102−1から取得し(S755)、センサデータを制御サーバ104宛に送信する(S757)。この際、通信装置2は、機器101−1の停止により、ステップS757のセンサデータが正常な値の範囲に含まれることを確認して、センサデータを制御サーバ104に転送する(S756)。
なお、通信装置2は、ステップS750、S752で機器101−1、101−2を停止するためのコマンド設定を送信したが、安全に動作を継続させるためのコマンド設定を送信してもよい。
また、同様に、制御装置103は、センサ102−2からセンサデータを取得し(S758)、制御サーバ104宛にセンサデータを送信する(S761)。この際、通信装置2は、機器101−2の停止によりS761のセンサデータが正常な値の範囲に含まれることを確認して、センサデータを制御サーバ104に転送する(S760)。次に、通信装置2は、取得したセンサデータを分析サーバ105に通知する(S762)。
<パケットの処理のフローチャートの例>
次に、図8及び図9を用いて実施例1の通信装置2のパケットの処理の例を説明する。
図8は、実施例1の通信装置2における通信ネットワーク107側から受信するパケットの処理S850のフローチャートである。
通信装置2がパケットをインタフェース201−2から受信した場合(S800)、パケット解析部202−2がパケットデータを解析し、コネクションIDを特定する(S801)。その後、パケット解析部202−2は、ステップS800で受信したパケットが装置管理部208宛のパケットか否かを判定する(S802)。
ステップS802で装置管理部208宛のパケットであると判定された場合(Yes)、パケット解析部202−2は、パケットを装置管理部208に転送する。実施例1では、分析サーバ105から受信するクラスタ分布データ、事前学習指示、異常検知の開始指示などのパケットが装置管理部208に転送される。通信装置2は、装置管理部208経由で各機能部や各データベースを設定し(S803)、処理S850を終了する(S811)。
また、パケット解析部202−2は、制御サーバ104から受信するコマンド設定のパケットを装置管理部208に転送せず、リスト検索部203に転送する。ステップS802で装置管理部208宛のパケットではないと判定された場合(No)、通信装置2は、リスト検索部203がリスト透過モードであるか否かを判定する(S804)。例えば、リスト透過モードは、事前学習の指示がされる前にコマンド設定をそのまま中継する場合に使用される。
ステップS804でリスト検索部203がリスト透過モードであると判定された場合(Yes)、リスト検索部203はパケットをパケット挿入調整部207−2に転送し、インタフェース201−1からパケットを出力して(S810)、処理S850を終了する(S811)。一方、ステップS804でリスト検索部203がリスト透過モードではないと判定された場合(No)、通信装置2は、次に、リスト検索部203が事前学習モードであるか否かを判定する(S805)。
ステップS805でリスト検索部203が事前学習モードであると判定された場合(Yes)、リスト検索部203は、ステップS801で特定したコネクションIDが示すアクセスリスト3のエントリにおいて、ホワイトリストValid302を有効に設定し、コネクション情報及び管理情報を更新する(S806)。その後、リスト検索部203はパケットをパケット挿入調整部207−2に転送し、インタフェース201−1からパケットを出力して(S810)、処理S850を終了する(S811)。
ステップS805でリスト検索部203が事前学習モードでないと判定された場合(No)、リスト検索部203は、ステップS801で特定したコネクションIDを検索キーとしてアクセスリスト3を検索する(S807)。一方、ステップS805でリスト検索部203が事前学習モードではないと判定された場合(No)、異常検知の開始指示が設定されたことを示す。
ステップS807の後、リスト検索部203は、アクセスリスト3内のブラックリストValid303が有効であるか否かを判定する(S808)。ステップS808でブラックリストValid303が有効であると判定された場合(Yes)、リスト検索部203は、処理S850を終了し(S811)、パケットを廃棄する。なお、通信装置2は、ステップS808でブラックリストValid303の有効判定によりパケットを廃棄したことを装置管理部208に通知してもよい。
ステップS808でブラックリストValid303が無効であると判定された場合(No)、通信装置2は、アクセスリスト3内のホワイトリストValid302が有効であるか否かを判定する(S809)。ステップS809でホワイトリストValid302が無効であると判定された場合(No)、リスト検索部203は、処理S850を終了し(S811)、パケットを廃棄する。
ステップS809でホワイトリストValid302が有効であると判定された場合(Yes)、リスト検索部203はパケット挿入調整部207−2にパケットを転送し、インタフェース201−1からパケットを出力して(S810)、処理S850を終了する(S811)。
図9は、実施例1の通信装置2における制御装置103側から受信するパケットの処理S950のフローチャートである。
通信装置2がインタフェース201−1からパケットを受信した場合(S900)、パケット解析部202−1がパケットデータを解析し、センサIDを特定し、センサデータを取得して、異常監視部204に送る(S901)。その後、異常監視部204は、ステップS901で取得したセンサデータをセンサデータ用データベース210に格納する(S902)。さらに、異常監視部204は、ステップS901で取得したセンサIDを検索キーとして機器−センサ対応データベース4を検索し、クラスタDB_ID402及び機器ID403を取得する。また、異常監視部204は、取得したクラスタDB_ID402を検索キーとしてクラスタ分布データベース209を検索し、取得したセンサデータの正常な値を示すかを取得する。さらに、異常監視部204は、取得した機器ID403を検索キーとしてグルーピングデータベース5を検索し、グループID502を取得する(S903)。
その後、通信装置2は、処理S904及び処理S905〜S908を並列に処理する。なお、処理S904と処理S905からS908とを順番に実行してもよく、いずれの処理を先に実行してもよい。
ステップS904で、異常監視部204はパケットをパケット挿入調整部207−1に転送し、インタフェース201−2からパケットを出力する(S904)。
一方、ステップS905で、異常監視部204は、分析サーバ105より異常検出が指示され、かつ、取得したセンサデータから異常を検出したか否かを判定する。ステップS905で、異常検出の指示がない、又は、取得したセンサデータから異常検出なしと判定された場合(No)、通信装置2は処理S950を終了待ち状態とする。
ステップS905で、異常検出が指示され、かつ、取得したセンサデータから異常を検出したと判定された場合(Yes)、リスト判定部205は、アクセスリスト3の全エントリを検索し、ホワイトリストValid302が有効であり、かつ、ステップS903で取得した機器ID403宛のコネクション情報(機器ID306)を持つエントリの有無を判定する(S906)。
ステップS907で該当するエントリが無いと判定された場合(No)、通信装置2は処理S950を終了待ち状態とする。なお、この場合は、制御サーバ104から送信されるコマンド設定の異常の有無とは関係なく、制御システムの機器101が故障していることが推定される。図9には図示していないが、ステップS907で該当するエントリが無いと判定された場合、通信装置2は、機器の故障被疑を分析サーバ105に通知してもよい。
ステップS907で該当するエントリが有ると判定された場合(Yes)、リスト判定部205は、該当するエントリの機器ID403と同じグループID502を持つ機器ID501を抽出する。リスト判定部403は、アクセスリスト3において、抽出した機器ID501を持つコネクションのホワイトリストValid302を無効に設定し、ブラックリストValid303を有効に設定する。さらに、リスト判定部205は、抽出した機器ID501宛の停止コマンド用のパケットを作成し、作成したパケットをパケット挿入調整部207−2に転送し、インタフェース201−1から停止コマンド用のパケットを出力する(S908)。そして、通信装置2は処理S950を終了待ち状態とする。
その後、処理S904が終了し、かつ、処理S905〜S908が終了した後に、処理S950を終了する(S909)。
前述のとおり、実施例1によれば、アクセスリスト3、機器−センサ対応データベース4、及びグルーピングデータベース5を用いて、機器101へのコマンド設定とセンサ102のセンサデータと制御グループ(複数の機器101の関係)を対応づけて異常を監視するので、システムのセキュリティを向上できる。また、必要最低限の機器101を安全に停止できる。従って、実施例1の制御システムでは、機器の異常検出時に波及範囲を抑えながらセキュリティ対策を実施し、制御システムの可用性を向上できる。このため、システムの稼働率を向上できる。
さらに、分析サーバ105を設けることによって、収集したデータを通信装置2が解析しなくてもよくなり、通信装置2の処理負荷を軽減できる。また、分析サーバ105が分析したデータを使用して機器の異常を判定するので、検出精度を向上できる。
(実施例2)
実施例1では、アクセスリスト3をホワイトリストとブラックリスト(及びその他)として使用する例を示した。実施例2では、アクセスリスト3をホワイトリスト、グレーリスト、及びブラックリストとして使用する例を示す。アクセスリスト3に登録されていないパケットを受信した場合、実施例1では廃棄したが、実施例2では優先度が低いパケットとしてグレーリストに登録する。
以下、実施例2について図10から図14Bを用いて説明する。
<アクセスリストの記憶内容例>
図10は、実施例2のアクセスリスト3の説明図である。
アクセスリスト3は、論理的にホワイトリスト、グレーリスト、及びブラックリストの三つのリストを含むリストとして構成され、各コネクションがホワイトリストに登録されているか、グレーリストに登録されているか、ブラックリストに登録されているかを管理する。本実施例では、リスト検索部203は、ホワイトリスト又はグレーリストに登録されているコネクションを通過するパケットであると判定し、ブラックリストに登録されているコネクションを廃棄するパケットであると判定する。
アクセスリスト3は、コネクションID1001ごとに、ホワイトリストValid1002、グレーリストValid1003、ブラックリストValid1004を有し、コネクション情報として送信元アドレス1005、宛先アドレス1006、機器ID1007を保持し、管理情報として登録時間1008及び受信数1009を保持する。
グレーリストValid1003は、コネクションID1001のコネクションがグレーリストに登録されているかを示す。例えば、グレーリストValid1003が有効の場合、グレーリストに登録されており、グレーリストValid1003が無効の場合、グレーリストに登録されていないことを示してもよい。その他の情報は、実施例1のアクセスリスト3(図3)と同じであるため説明は省略する。
次に、図11及び図12を用いて実施例2の制御システムの動作のシーケンス例を示す。実施例2の事前学習動作は、実施例1の動作と同じである。実施例2では、異常検知動作について説明する。
異常検知動作は、センサデータの分析後に開始され、通信装置2が、異常と推定されるコマンド設定の有無とセンサデータの異常な値とを対応づけて、コマンド設定の通過や廃棄を判定する。本実施例では、制御サーバ104と異なる他のサーバであり、制御システムへの侵入や成りすましによる攻撃を狙う悪意サーバから制御装置103に異常なコマンド設定が送信された場合、通信装置2が異常を検知する動作の例を説明する。図11では、悪意サーバから侵入攻撃(制御サーバ104と異なるアドレスを持つ悪意サーバからの攻撃)を受けてグレーリスト対象のコマンド設定の異常として検知する場合を説明し、図12では、悪意サーバから成りすまし攻撃(制御サーバ104と同じアドレスを持つサーバから攻撃)を受けてホワイトリスト対象のコマンド設定の異常として検知する場合を説明する。
<制御システムの異常動作のシーケンス例>
図11は、実施例2の制御システムにおけるグレーリスト対象のコマンド設定の異常を検知する動作の例を示すシーケンス図である。
はじめに、分析サーバ105は、通信装置2に異常検知の開始を指示する(S1101)。
制御サーバ104は、機器101−1を制御するためのコマンド設定を制御装置103宛に継続して送信している(S1102)。制御装置103は、制御コマンドを機器101−1に送信する(S1104)。この際、通信装置2は、アクセスリスト3を参照し、コマンド設定のパケットが登録されているリストを判定する。具体的には、通信装置2は、S1102のコマンド設定のパケットがホワイトリストに登録されていることを確認して、コマンド設定のパケットを制御装置103に転送する(S1103)。
また、同様に、制御サーバ104は、機器101−2を制御するためのコマンド設定を制御装置103宛に継続して送信している(S1105)。制御装置103は、制御コマンドを機器101−2に送信する(S1107)。この際、通信装置2は、アクセスリスト3を参照し、コマンド設定のパケットが登録されているリストを判定する。具体的には、通信装置2は、S1105のコマンド設定のパケットがホワイトリストに登録されていることを確認して、コマンド設定のパケットを制御装置103に転送する(S1106)。
次に、制御装置103は、センサデータをセンサ102−1から取得し(S1108)、センサデータを制御サーバ104宛に送信する(S1110)。この際、通信装置2は、センサデータを取得して、センサデータ用データベース210に格納し、さらに、クラスタ分布データベース209を参照して、取得したセンサデータが異常な値を示すか否かを判定する。具体的には、通信装置2は、S1110のセンサデータが正常な値を示すことを確認して、センサデータを制御サーバ104に転送する(S1109)。
また、同様に、制御装置103は、センサデータをセンサ102−2から取得し(S1111)、センサデータを制御サーバ104宛に送信する(S1113)。この際、通信装置2は、センサデータを取得して、センサデータ用データベース210に格納し、さらに、クラスタ分布データベース209を参照して、取得したセンサデータが異常な値を示すか否かを判定する。具体的には、通信装置2は、S1113のセンサデータが正常な値を示すことを確認して、センサデータを制御サーバ104に転送する(S1112)。
次に、通信装置2は、取得したセンサデータを分析サーバ105に通知する(S1114)。なお、本実施例では事前学習によりセンサデータを学習しているが、運用中も分析サーバ105がセンサデータを分析し、異常検知用のクラスタ分布データを通信装置2に送信して、センサデータを学習してもよい。
ここで、悪意サーバに制御システムへ侵入され(S1115)、悪意サーバが、機器101−1を制御するためのコマンド設定に異常な値を設定して制御装置103宛に送信する(S1116)。この際、通信装置2は、S1116のコマンド設定のパケットが送信元アドレスが異なり、アクセスリスト3に登録されていないため、グレーリストとしてアクセスリスト3に登録する(S1117)。また、制御装置103は、異常な設定に基づいた制御コマンドを機器101−1に送信する(S1118)。機器101−1は、異常な動作を開始する。
次に、制御装置103は、センサ102−1からセンサデータを取得し(S1119)、センサデータを制御サーバ104宛に送信する(S1121)。この際、通信装置2は、S1121のセンサデータが異常な値を示すことを検知する(S1120)。また、通信装置2は、取得した異常な値を示すセンサデータを分析サーバ105に通知する(S1122)。
通信装置2は、ステップS1120で異常を検知すると、アクセスリスト3を参照し、機器101−1宛のコマンド設定のパケットのコネクションがグレーリストに登録されているか否かを判定する。該当するコネクションがグレーリストに有った場合、通信装置2は、アクセスリスト3において該当コネクションをブラックリストに登録する(S1123)。
制御サーバ104は、機器101−1を制御するためのコマンド設定を制御装置103宛に継続して送信する(S1124)。制御サーバ104からのコマンド設定は正当なコマンド設定である。この際、通信装置2は、S1124のコマンド設定のパケットがホワイトリストに登録されていることを確認し、コマンド設定を通過させる(S1125)。制御装置103は、制御コマンドを機器101−1に送信する(S1126)。
一方、悪意サーバも、制御装置103宛に、機器101−1を制御するためのコマンド設定に継続して送信する(S1128)。S1128のコマンド設定には異常な値が設定されている。この際、通信装置2は、S1128のコマンド設定のパケットがブラックリストに登録されていることを確認し、コマンド設定を廃棄する(S1127)。
また、制御サーバ104は、機器101−2を制御するためのコマンド設定を制御装置103宛に継続して送信している(S1129)。この際、通信装置2は、S1129のコマンド設定のパケットがホワイトリストに登録されていることを確認し、コマンド設定を通過させる(S1130)。制御装置103は、機器101−1に制御コマンドを送信する(S1131)。
次に、制御装置103は、センサ102−1からセンサデータを取得し(S1132)、センサデータを制御サーバ104宛に送信する(S1134)。この際、悪意サーバから機器101−1宛のコマンド設定が廃棄されているので、通信装置2は、S1134のセンサデータが正常な値の範囲に含まれることを確認して、センサデータを制御サーバ104に転送する(S1133)。
また、制御装置103は、センサ102−2からセンサデータを取得し(S1135)、センサデータを制御サーバ104宛に送信する(S1137)。機器101−2は異常なコマンド設定による制御コマンドを受信していない。通信装置2は、S1137のセンサデータが正常な値を示すことを確認して、センサデータを制御サーバ104に転送する(S1136)。次に、通信装置2は、取得したセンサデータを分析サーバ105に通知する(S1138)。
ここで、S1120で異常を検知した通信装置2は、グレーリストによる低優先パケットをブラックリストに登録して廃棄しており、機器101−1を停止するための制御コマンドを送信していない。正当な制御サーバ104から送信されたホワイトリストのパケットは廃棄しないため、センサ102−1のセンサデータは正常に復旧し、制御システムの動作を継続させることができる。
図12は、実施例2の制御システムにおけるホワイトリスト対象のコマンド設定の異常を検知する動作の例を示すシーケンス図である。S1201からS1214までの処理は、図11におけるS1101からS1114までの処理と同じであるため、説明を省略する。
悪意サーバが制御サーバ104に成りすまし(S1215)、悪意サーバは、機器101−1を制御するためのコマンド設定に異常な値を設定して制御装置103宛に送信する(S1216)。この際、通信装置2は、S1216のコマンド設定のパケットがアクセスリスト3においてホワイトリストとして登録されていることを確認して、コマンド設定のパケットを制御装置103に転送する(S1217)。制御装置103は、機器101−1にその異常な設定に基づいた制御コマンドを送信する(S1218)。そして、機器101−1は、異常な動作を開始する。
次に、制御装置103は、センサ102−1からセンサデータを取得し(S1219)、センサデータを制御サーバ104宛に送信する(S1221)。この際、通信装置2は、S1221のセンサデータが異常な値を示すことを検知する(S1220)。また、通信装置2は、取得した異常な値を示すセンサデータを分析サーバ105に通知する(S1222)。
通信装置2は、ステップS1220で異常を検知すると、アクセスリスト3を参照し、機器101−1宛のコマンド設定のパケットのコネクションがグレーリストに登録されているか否かを判定する。該当するコネクションがグレーリストに無かった場合、通信装置2は、機器101−1宛のコマンド設定のパケットのコネクションがホワイトリストに登録されているか否かを判定する。該当するコネクションがホワイトリストに有った場合、通信装置2は、アクセスリスト3において該当コネクションをブラックリストに登録する(S1223)。
制御サーバ104は、機器101−1を制御するためのコマンド設定を制御装置103宛に継続して送信する(S1224)。この際、通信装置2は、S1224のコマンド設定のパケットがブラックリストに登録されていることを確認し、コマンド設定を廃棄する(S1225)。
一方、悪意サーバも、機器101−1を制御するためのコマンド設定を制御装置103宛に継続して送信する(S1226)。S1226のコマンド設定には異常な値が設定されている。この際、通信装置2は、S1226のコマンド設定のパケットがブラックリストに登録されていることを確認し、コマンド設定を廃棄する(S1227)。
また、通信装置2は、ステップS1220で異常を検知した場合、機器101−1を停止するためのコマンド設定を制御装置103宛に送信する(S1228)。制御装置103は、制御コマンドを機器101−1に送信する(S1229)。
なお、図12では、機器101がグルーピングされていないので、機器101−2を停止するためのコマンド設定は送信していない。しかし、機器101−1と機器101−2とがグルーピングされている場合、通信装置2は、機器101−1を停止するためのコマンド設定及び機器101−2を停止するためのコマンド設定を送信する。
なお、通信装置2は、ステップS1228で機器101−1を停止するためのコマンド設定を送信したが、安全に動作を継続させるためのコマンド設定を送信してもよい。また、通信装置2は、ブラックリストによりコマンド設定を廃棄し、停止コマンド設定を送信したことを分析サーバ105に通知してもよい(S1230)。
また、制御サーバ104は、機器101−2を制御するためのコマンド設定を制御装置103宛に継続して送信する(S1231)。この際、通信装置2は、S1231のコマンド設定のパケットがホワイトリストに登録されていることを確認し、コマンド設定を通過させる(S1232)。制御装置103は、機器101−1に制御コマンドを送信する(S1233)。
次に、制御装置103は、センサデータをセンサ102−1から取得し(S1234)、取得したセンサデータを制御サーバ104宛に送信する(S1236)。この際、通信装置2は、機器101−1の停止により、S1236のセンサデータが正常な値の範囲に含まれることを確認して、センサデータを制御サーバ104に転送する(S1235)。
また、制御装置103は、センサデータをセンサ102−2から取得し(S1237)、センサデータを制御サーバ104宛に送信する(S1239)。この際、機器101−2は異常なコマンド設定による制御コマンドを受信していないため、通信装置2は、S1239のセンサデータが正常な値を示すことを確認して、センサデータを制御サーバ104に転送する(S1238)。次に、通信装置2は、取得したセンサデータを分析サーバ105に通知する(S1240)。
<パケットの処理のフローチャートの例>
次に、図13、図14A及び図14Bを用いて実施例2の通信装置2のパケットの処理のフローチャートの例を示す。
図13は、実施例2の通信装置2における通信ネットワーク107側から受信するパケットの処理S1350のフローチャートである。
通信装置2がインタフェース201−2からパケットを受信した場合(S1300)、パケット解析部202−2がパケットデータを解析し、コネクションIDを特定する(S1301)。その後、パケット解析部202−2は、ステップS1300で受信したパケットが装置管理部208宛のパケットか否かを判定する(S1302)。
ステップS1302で装置管理部208宛のパケットであると判定された場合(Yes)、パケット解析部202−2は、装置管理部208にパケットを転送する。実施例1と同様に、分析サーバ105から受信するクラスタ分布データ、事前学習指示、異常検知の開始指示などのパケットが装置管理部208に転送される。通信装置2は、装置管理部208経由で各機能部や各データベースを設定し(S1303)、処理S1350を終了する(S1313)。
また、パケット解析部202−2は、制御サーバ104から受信するコマンド設定のパケットを装置管理部208に転送せず、リスト検索部203に転送する。ステップS1302で装置管理部208宛のパケットではないと判定された場合(No)、通信装置2は、リスト検索部203がリスト透過モードであるか否かを判定する(S1304)。例えば、リスト透過モードは、事前学習の指示がされる前にコマンド設定をそのまま中継する場合に使用される。
ステップS1304でリスト検索部203がリスト透過モードであると判定された場合(Yes)、リスト検索部203はパケットをパケット挿入調整部207−2に転送し、インタフェース201−1からパケットを出力して(S1312)、処理S1350を終了する(S1313)。一方、ステップS1304でリスト検索部203がリスト透過モードではないと判定された場合(No)、通信装置2は、次に、リスト検索部203が事前学習モードであるか否かを判定する(S1305)。
ステップS1305で、リスト検索部203が事前学習モードであると判定された場合(Yes)、リスト検索部203は、ステップS1301で特定したコネクションIDが示すアクセスリスト3のエントリにおいて、ホワイトリストValid1002を有効に設定し、コネクション情報及び管理情報を更新する(S1306)。その後、リスト検索部203はパケットをパケット挿入調整部207−2に転送し、インタフェース201−1からパケットを出力して(S1312)、処理S1350を終了する(S1313)。
ステップS1305でリスト検索部203が事前学習モードでないと判定された場合(No)、リスト検索部203は、ステップS1301で特定したコネクションIDを検索キーとしてアクセスリスト3を検索する(S1307)。一方、ステップS1305でリスト検索部203が事前学習モードでない場合(No)、異常検知の開始指示が設定されたことを示す。
ステップS1307の後、リスト検索部203は、アクセスリスト3内のブラックリストValid1004が有効であるか否かを判定する(S1308)。ステップS1308でブラックリストValid1004が有効であると判定された場合(Yes)、リスト検索部203は、処理S1350を終了し(S1313)、パケットを廃棄する。なお、通信装置2は、ステップS1308でブラックリストValid1004の有効判定によりパケットを廃棄したことを装置管理部208に通知してもよい。
ステップS1308でブラックリストValid1004が無効であると判定された場合(No)、通信装置2は、アクセスリスト3内のホワイトリストValid1002が有効であるか否かを判定する(S1309)。ステップS1309でホワイトリストValid1002が有効であると判定された場合(Yes)、リスト検索部203はパケット挿入調整部207−2にパケットを転送し、インタフェース201−1からパケットを出力して(S1312)、処理S1350を終了する(S1312)。
ステップS1309でホワイトリストValid1002が無効であると判定された場合(No)、リスト検索部203は、アクセスリスト3内のグレーリストValid1003が有効であるか否かを判定する(S1310)。ステップS1310でグレーリストValid1003が有効であると判定された場合(Yes)、リスト検索部203はパケット挿入調整部207−2にパケットを転送し、インタフェース201−1からパケットを出力して(S1312)、処理S1350を終了する(S1312)。
ステップS1310でグレーリストValid1003が無効であると判定された場合(No)、リスト検索部203は、ステップS1301で特定したコネクションIDが示すアクセスリスト3のエントリにおいて、グレーリストValid1003を有効に設定し、コネクション情報及び管理情報を更新する(S1311)。その後、リスト検索部203はパケット挿入調整部207−2にパケットを転送し、インタフェース201−1からパケットを出力して(S1312)、処理S1350を終了する(S1313)。
図14A及び図14Bは、実施例2の通信装置2における制御装置103側から受信するパケットの処理S1450のフローチャートである。
通信装置2がインタフェース201−1からパケットを受信した場合(S1400)、パケット解析部202−1がパケットデータを解析し、センサIDを特定し、センサデータを取得して、異常監視部204に送る(S1401)。その後、異常監視部204は、ステップS1401で取得したセンサデータをセンサデータ用データベース210に格納する(S1402)。さらに、異常監視部204は、ステップS1401で取得したセンサIDを検索キーとして機器−センサ対応データベース4を検索し、クラスタDB_ID402及び機器ID403を取得する。また、異常監視部204は、取得したクラスタDB_ID402を検索キーとしてクラスタ分布データベース209を検索し、取得したセンサデータの正常な値を示すかを取得する。さらに、通信装置2は、取得した機器ID403を検索キーとしてグルーピングデータベース5を検索し、グループID502を取得する(S1403)。
その後、通信装置2は、処理S1404及び処理S1405〜S1411を並列に処理する。なお、処理S1404と処理S1405からS1411とを順番に実行してもよく、いずれの処理を先に実行してもよい。
ステップS1404で、異常監視部204は、パケット挿入調整部207−1にパケットを転送し、インタフェース201−2からパケットを出力する(S1404)。
一方、ステップS1405で、異常監視部204は、分析サーバ105より異常検出が指示され、かつ、取得したセンサデータから異常を検出したか否かを判定する。ステップS1405で、異常検出の指示がない、又は、取得したセンサデータから異常検出なしと判定された場合(No)、通信装置2は処理S1450を終了待ち状態とする。
ステップS1405で、異常検出が指示され、かつ、取得したセンサデータから異常を検出したと判定された場合(Yes)、リスト判定部205は、アクセスリスト3の全エントリを検索し、グレーリストValid1003が有効であり、かつ、ステップS1403で取得した機器ID403宛のコネクション情報(機器ID1007)を持つエントリの有無を判定する(S1406)。
ステップS1407で該当するエントリが有ると判定された場合(Yes)、リスト判定部205は、アクセスリスト3において、取得した機器ID403宛のコネクション情報(機器ID1007)を持つコネクションのグレーリストValid1003を無効に設定し、ブラックリストValid1004を有効に設定する(S1408)。その後、通信装置2は処理S1450を終了待ち状態とする。
ステップS1407で該当するエントリが無いと判定された場合(No)、リスト判定部205は、アクセスリスト3の全エントリを検索し、ホワイトリストValid1002が有効であり、かつ、ステップS1403で取得した機器ID403宛のコネクション情報(機器ID1007)を持つエントリの有無を判定する(S1409)。
ステップS1410で該当するエントリが無いと判定された場合(No)、通信装置2は処理S1450を終了待ち状態とする。なお、この場合は、制御サーバ104から送信されるコマンド設定の異常の有無とは関係なく、制御システムの機器101が故障していることが推定される。図14には図示していないが、ステップS1410で該当するエントリが無いと判定された場合、通信装置2は、機器の故障被疑を分析サーバ105に通知してもよい。
ステップS1410で該当するエントリが有ると判定された場合(Yes)、リスト判定部205は、該当するエントリの機器ID403と同じグループID502を持つ機器ID501を抽出する。リスト判定部205は、アクセスリスト3において、抽出した機器ID501を持つコネクションのホワイトリストValid1002を無効に設定し、ブラックリストValid1004を有効に設定する。さらに、リスト判定部205は、抽出した機器ID501宛の停止コマンド用のパケットを作成し、作成したパケットをパケット挿入調整部207−2に転送し、インタフェース201−1から停止コマンド用のパケットを出力する(S1411)。そして、通信装置2は処理S1450を終了待ち状態とする。
その後、処理S1404が終了し、かつ、処理S1405〜S1411が終了した後に、処理S1450を終了する(S1412)。
前述のとおり、実施例2によれば、アクセスリスト3、機器−センサ対応データベース4、及びグルーピングデータベース5を用いて、機器101へのコマンド設定とセンサ102のセンサデータと制御グループ(複数の機器101の関係)を対応づけて異常を監視することで、必要最低限の機器101を安全に停止できる。さらに、実施例2によれば、アクセスリスト3を、通信を制御する優先度が異なる制御リスト(ホワイトリスト、グレーリスト、ブラックリスト)を使用し、通信を通過させる優先度が低い順にリストを参照して、通信を遮断するデータを決定するので、侵入や成りすましなどコマンド設定の異常の種類により、機器101を復旧させてシステムを継続させたり、必要最低限の機器101を安全に停止させたり、様々な対応が可能となる。また、新たなアドレスの機器をグレーリストに登録した後に、センサデータを判定してブラックリストやホワイトリストに登録するので、システムの変更に柔軟に対応でき、新しい構成のシステムにも対応できる。
従って、実施例2によれば、制御システムにおいて、機器の異常検出時に波及範囲を抑えながらセキュリティ対策を実施し、制御システムの可用性を向上できる。このため、システムの稼働率を向上できる。
なお、本実施例では、通信装置2を制御装置103と制御サーバ104(通信ネットワーク107)との間に設けたが、例えば、機器101(制御ネットワーク106)と制御装置103との間に設け、機器101への制御コマンドとセンサデータと制御グループ(複数の機器101の関係)とを対応づけて異常を監視する制御システムに本発明を適用してもよい。また、制御装置103がなく、制御サーバ104から機器101宛に直接制御コマンドが送信される場合でも、機器101への制御コマンドとセンサデータと制御グループ(複数の機器101の関係)を対応づけて異常を監視する制御システムに本発明を適用してもよい。
なお、本実施例では、通信装置2は、アクセスリスト3においてホワイトリストにもブラックリストにも登録されていないコマンド設定のパケットをグレーリストに登録したが、例えば、センサ応答学習部206の学習結果などと組み合わせ、グレーリストに登録したコマンド設定のパケットによりセンサデータが正常である(例えば、所定回数のセンサデータに異常が見られない、所定時間のセンサデータに異常が見られない)ことを判断すると、該当パケットをホワイトリストに登録してもよい。
なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。
また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。
各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記憶装置、又は、ICカード、SDカード、DVD等の記録媒体に格納することができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。
2 通信装置
101−1、101−2 機器
102−1、102−2 センサ
103 制御装置
104 制御サーバ
105 分析サーバ
106 制御ネットワーク
107 通信ネットワーク

Claims (14)

  1. 第1のデータと、前記第1のデータに起因して発生する第2のデータとを送受信する通信装置であって、
    記憶装置と、データを送受信するインタフェースとを備え、
    前記記憶装置は、
    受信した前記第1のデータの識別情報を保持し、前記第1のデータの通信を制御するためのアクセスリストと、
    前記第1のデータの識別情報のうち、関連する識別情報群を管理するためのグルーピングデータベースと、
    前記第1のデータの識別情報と前記第2のデータの識別情報とを対応づける対応データベースとを有し、
    前記通信装置は、
    前記第2のデータの異常を検出すると、前記対応データベースを参照して、前記異常が検出された第2のデータに対応する第1のデータを特定し、
    前記グルーピングデータベースを参照して、前記特定された第1のデータと関連する前記第1のデータの識別情報群を決定し、
    前記アクセスリストを参照して、前記決定された第1のデータの識別情報群から通信を遮断する第1のデータを決定することを特徴とする通信装置。
  2. 請求項1に記載の通信装置であって、
    前記第1のデータは、機器を制御するためのコマンドを含み、
    前記第2のデータは、前記機器を監視するセンサから出力されるセンサデータを含むことを特徴とする通信装置。
  3. 請求項2に記載の通信装置であって、
    前記異常が検出された第2のデータに対応する第1のデータと関連する識別情報群について、機器の動作を停止するコマンドを含む第1のデータを送信することを特徴とする通信装置。
  4. 請求項1に記載の通信装置であって、
    前記アクセスリストは、通信を制御する優先度が異なる複数の制御リストを含み、
    前記通信装置は、通信を通過させる優先度が低い順に前記制御リストを参照して、前記決定された第1のデータの識別情報群から通信を遮断する第1のデータを決定することを特徴とする通信装置。
  5. 請求項4に記載の通信装置であって、
    前記アクセスリストは、前記制御リストとして、遮断すべきデータの識別情報が保持されるブラックリストと、通過させる優先度が低いデータの識別情報が保持されるグレーリストと、通過させる優先度が高いデータの識別情報が保持されるホワイトリストとを含み、
    前記通信装置は、
    受信した前記第1のデータの識別情報が前記ブラックリストにも前記ホワイトリストにも保持されていない場合、前記受信した第1のデータの識別情報を前記グレーリストに登録し、
    当該第1のデータに起因して発生する第2のデータの異常を検出すると、当該第1のデータの識別情報を前記ブラックリストに登録することを特徴とする通信装置。
  6. 請求項4に記載の通信装置であって、
    前記アクセスリストは、前記制御リストとして、遮断すべきデータの識別情報が保持されるブラックリストと、通過させる優先度が低いデータの識別情報が保持されるグレーリストと、通過させる優先度が高いデータの識別情報が保持されるホワイトリストとを含み、
    前記通信装置は、
    受信した前記第1のデータの識別情報が前記ブラックリストにも前記ホワイトリストにも保持されていない場合、前記受信した第1のデータの識別情報を前記グレーリストに登録し、
    当該第1のデータに起因して発生する第2のデータの正常を検出すると、当該第1のデータの識別情報を前記ホワイトリストに登録することを特徴とする通信装置。
  7. 請求項1に記載の通信装置であって、
    前記第2のデータを分析する分析サーバに接続されており、
    前記分析サーバが前記第2のデータを分析した結果を用いて、前記第2のデータの異常を検出することを特徴とする通信装置。
  8. 機器を制御するための制御システムであって、
    制御対象となる機器と、
    前記機器を監視するセンサと、
    前記機器を制御するためのコマンドを含む第1のデータを出力し、前記センサから出力されるセンサデータを含む第2のデータを取得する計算機と、
    前記計算機と前記機器との間でデータを送受信する通信装置とを備え、
    前記通信装置は、記憶装置と、データを送受信するインタフェースとを有し、
    前記記憶装置は、
    受信した前記第1のデータの識別情報を保持し、前記第1のデータの通信を制御するためのアクセスリストと、
    前記第1のデータの識別情報のうち、関連する識別情報群を管理するためのグルーピングデータベースと、
    前記第1のデータの識別情報と前記第2のデータの識別情報とを対応づける対応データベースとを有し、
    前記通信装置は、
    前記第2のデータの異常を検出すると、前記対応データベースを参照して、前記異常が検出された第2のデータに対応する第1のデータを特定し、
    前記グルーピングデータベースを参照して、前記特定された第1のデータと関連する前記第1のデータの識別情報群を決定し、
    前記アクセスリストを参照して、前記決定された第1のデータの識別情報群から通信を遮断する第1のデータを決定することを特徴とする制御システム。
  9. 請求項8に記載の制御システムであって、
    前記通信装置は、前記異常が検出された第2のデータに対応する第1のデータと関連する識別情報群について、機器の動作を停止するコマンドを含む第1のデータを送信することを特徴とする制御システム。
  10. 請求項8に記載の制御システムであって、
    前記アクセスリストは、通信を制御する優先度が異なる複数の制御リストを含み、
    前記通信装置は、通信を通過させる優先度が低い順に前記制御リストを参照して、前記決定された第1のデータの識別情報群から通信を遮断する第1のデータを決定することを特徴とする制御システム。
  11. 請求項10に記載の制御システムであって、
    前記アクセスリストは、前記制御リストとして、遮断すべきデータの識別情報が保持されるブラックリストと、通過させる優先度が低いデータの識別情報が保持されるグレーリストと、通過させる優先度が高いデータの識別情報が保持されるホワイトリストとを含み、
    前記通信装置は、
    受信した前記第1のデータの識別情報が前記ブラックリストにも前記ホワイトリストにも保持されていない場合、前記受信した第1のデータの識別情報を前記グレーリストに登録し、
    当該第1のデータに起因して発生する第2のデータの異常を検出すると、当該第1のデータの識別情報を前記ブラックリストに登録することを特徴とする制御システム。
  12. 請求項10に記載の制御システムであって、
    前記アクセスリストは、前記制御リストとして、遮断すべきデータの識別情報が保持されるブラックリストと、通過させる優先度が低いデータの識別情報が保持されるグレーリストと、通過させる優先度が高いデータの識別情報が保持されるホワイトリストとを含み、
    前記通信装置は、
    受信した前記第1のデータの識別情報が前記ブラックリストにも前記ホワイトリストにも保持されていない場合、前記受信した第1のデータの識別情報を前記グレーリストに登録し、
    当該第1のデータに起因して発生する第2のデータの正常を検出すると、当該第1のデータの識別情報を前記ホワイトリストに登録することを特徴とする制御システム。
  13. 請求項8に記載の制御システムであって、
    前記通信装置には、前記第2のデータを分析する分析サーバに接続されており、
    前記通信装置は、前記分析サーバが前記第2のデータを分析した結果を用いて、前記第2のデータの異常を検出することを特徴とする制御システム。
  14. 第1のデータと、前記第1のデータに起因して発生する第2のデータとを送受信する通信装置における通信制御方法であって、
    前記通信装置は、記憶装置と、データを送受信するインタフェースとを有し、
    前記記憶装置は、
    受信した前記第1のデータの識別情報を保持し、前記第1のデータの通信を制御するためのアクセスリストと、
    前記第1のデータの識別情報のうち、関連する識別情報群を管理するためのグルーピングデータベースと、
    前記第1のデータの識別情報と前記第2のデータの識別情報とを対応づける対応データベースとを有し、
    前記方法は、
    前記通信装置が、前記第2のデータの異常を検出すると、前記対応データベースを参照して、前記異常が検出された第2のデータに対応する第1のデータを特定し、
    前記通信装置が、前記グルーピングデータベースを参照して、前記特定された第1のデータと関連する前記第1のデータの識別情報群を決定し、
    前記通信装置が、前記アクセスリストを参照して、前記決定された第1のデータの識別情報群から通信を遮断する第1のデータを決定することを特徴とする通信制御方法。
JP2016108801A 2016-05-31 2016-05-31 通信装置、制御システム、及び、通信制御方法 Pending JP2017216569A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016108801A JP2017216569A (ja) 2016-05-31 2016-05-31 通信装置、制御システム、及び、通信制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016108801A JP2017216569A (ja) 2016-05-31 2016-05-31 通信装置、制御システム、及び、通信制御方法

Publications (1)

Publication Number Publication Date
JP2017216569A true JP2017216569A (ja) 2017-12-07

Family

ID=60575901

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016108801A Pending JP2017216569A (ja) 2016-05-31 2016-05-31 通信装置、制御システム、及び、通信制御方法

Country Status (1)

Country Link
JP (1) JP2017216569A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018064293A (ja) * 2016-07-05 2018-04-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム
JP2019129412A (ja) * 2018-01-24 2019-08-01 株式会社東芝 異常要因判定装置、制御システム、および異常要因判定方法
JP2019213058A (ja) * 2018-06-05 2019-12-12 株式会社東芝 異常診断装置、異常診断システムおよび異常診断方法
JP2019213010A (ja) * 2018-06-01 2019-12-12 西日本電信電話株式会社 通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラム
WO2019240020A1 (ja) * 2018-06-13 2019-12-19 パナソニックIpマネジメント株式会社 不正通信検知装置、不正通信検知方法及び製造システム
JP2020188397A (ja) * 2019-05-16 2020-11-19 三菱電機株式会社 通信制御システム、サーバ装置、通信制御方法、および通信制御プログラム

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018064293A (ja) * 2016-07-05 2018-04-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム
JP2019129412A (ja) * 2018-01-24 2019-08-01 株式会社東芝 異常要因判定装置、制御システム、および異常要因判定方法
JP2019213010A (ja) * 2018-06-01 2019-12-12 西日本電信電話株式会社 通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラム
JP2019213058A (ja) * 2018-06-05 2019-12-12 株式会社東芝 異常診断装置、異常診断システムおよび異常診断方法
JP7186518B2 (ja) 2018-06-05 2022-12-09 株式会社東芝 異常診断装置、異常診断システムおよび異常診断方法
WO2019240020A1 (ja) * 2018-06-13 2019-12-19 パナソニックIpマネジメント株式会社 不正通信検知装置、不正通信検知方法及び製造システム
JPWO2019240020A1 (ja) * 2018-06-13 2021-06-24 パナソニックIpマネジメント株式会社 不正通信検知装置、不正通信検知方法及び製造システム
JP7378089B2 (ja) 2018-06-13 2023-11-13 パナソニックIpマネジメント株式会社 不正通信検知装置、不正通信検知方法及び製造システム
JP2020188397A (ja) * 2019-05-16 2020-11-19 三菱電機株式会社 通信制御システム、サーバ装置、通信制御方法、および通信制御プログラム

Similar Documents

Publication Publication Date Title
JP2017216569A (ja) 通信装置、制御システム、及び、通信制御方法
CN104457649B (zh) 磁悬浮系统中的轴检测方法和装置
Altinors et al. A sound based method for fault detection with statistical feature extraction in UAV motors
US9380070B1 (en) Intrusion detection mechanism
US11595431B2 (en) Information processing apparatus, moving apparatus, and method
US11775400B2 (en) Redundant processing fabric for autonomous vehicles
EP3380901A1 (en) Systems and methods for identifiying compromised devices within industrial control systems
EP3066579A1 (en) Computing architecture for operating on sequential data
WO2017131263A1 (ko) 교차 프로젝트 결함 예측을 위한 최단 이웃점을 이용한 하이브리드 인스턴스 선택 방법
US11030031B2 (en) Redundant sensor fabric for autonomous vehicles
EP3432184B1 (en) Intrusion detection device, intrusion detection method, and intrusion detection program
US10778508B2 (en) Bypass switch with evaluation mode for in-line monitoring of network traffic
US20200314130A1 (en) Attack detection device, attack detection method, and computer readable medium
CN106055976A (zh) 文件检测方法及沙箱控制器
CN109591009A (zh) 机器人系统
US20220191113A1 (en) Method and apparatus for monitoring abnormal iot device
KR20180035854A (ko) 검색 시스템
CN110520806B (zh) 对可编程逻辑控制器的偏差工程修改的识别
CN104515945B (zh) 隐藏故障检测电路及利用隐藏故障检测电路检测隐藏故障的方法
US11122065B2 (en) Adaptive anomaly detection for computer systems
JP6897145B2 (ja) 情報処理装置、情報処理システム及び情報処理装置制御方法
JP2020061667A (ja) ネットワーク装置、パケットを処理する方法、及びプログラム
EP3136584A2 (en) Sensor and control systems for electrical machines
Yetgi̇n et al. Cable and wire detection system for aircrafts
US9508113B2 (en) Pipeline system including feedback routes and method of operating the same