JP2018018325A - 異常検知システム及び異常検知方法 - Google Patents

異常検知システム及び異常検知方法 Download PDF

Info

Publication number
JP2018018325A
JP2018018325A JP2016148484A JP2016148484A JP2018018325A JP 2018018325 A JP2018018325 A JP 2018018325A JP 2016148484 A JP2016148484 A JP 2016148484A JP 2016148484 A JP2016148484 A JP 2016148484A JP 2018018325 A JP2018018325 A JP 2018018325A
Authority
JP
Japan
Prior art keywords
data
abnormality
operation system
virtual
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016148484A
Other languages
English (en)
Other versions
JP6743553B2 (ja
Inventor
清水 良昭
Yoshiaki Shimizu
良昭 清水
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuji Electric Co Ltd
Original Assignee
Fuji Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Electric Co Ltd filed Critical Fuji Electric Co Ltd
Priority to JP2016148484A priority Critical patent/JP6743553B2/ja
Publication of JP2018018325A publication Critical patent/JP2018018325A/ja
Application granted granted Critical
Publication of JP6743553B2 publication Critical patent/JP6743553B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Testing And Monitoring For Control Systems (AREA)

Abstract

【課題】プラント又はプラントに用いられる装置の異常を検知することを目的とする。
【解決手段】物理量又は機器の状態を計測するフィールド機器を少なくとも有する運用システムと、前記フィールド機器に接続される仮想システムと、前記運用システム及び前記仮想システムと接続される照合システムを含む異常検知システムにおいて、前記仮想システムが、前記フィールド機器から、前記フィールド機器による計測結果を示す入力信号を入力し、前記仮想システムが、前記入力信号に基づいて、前記運用システムと等価の処理結果を示す第1データを生成し、前記照合システムが、前記仮想システムから前記第1データと、前記運用システムから前記入力信号に基づく処理の処理結果を示す第2データとを取得し、前記照合システムが、前記第1データ及び前記第2データを照合して前記運用システム又は前記運用システムを用いるプラントの異常を検知することで上記課題を解決する。
【選択図】図8

Description

本発明は、異常検知システム及び異常検知方法に関する。
従来、制御システム等を有するプラントにおいて、制御システム等の異常を検知する方法が知られている。
それは、制御システムを構成する制御用サーバ(HMI(Human−Machine Interface)等)と制御機器(PLC(Programmable Logic Controller)、コントローラ等)との間に異常検知装置を設置して制御システム等の異常を検知する方法である。具体的には、制御用サーバや制御機器、制御用サーバと制御機器をつなぐ回線上のネットワーク機器(ルータ、ゲートウェイ等)に異常検知機能を具備したり、同回線上に異常検知機器を直接つなぐ等して、サーバや機器の状態やネットワーク上のデータ等を解析することによって異常を検知するものである。
例えば、まず、制御システムの異常を検知する異常検知装置が、セキュリティ・ゲートウェイを有する。そして、セキュリティ・ゲートウェイは、制御ネットワーク内を伝送するセンサデータ、センサ信号、アクチュエータに対する操作コマンド及びアクチュエータに対する制御信号等のトラフィック(traffic)を監視する。次に、セキュリティ・ゲートウェイは、監視の結果、所定のフォーマット形式で、イベント情報を生成して、解析エンジンへイベント情報を渡す。続いて、解析エンジンは、イベント情報を解析して制御ネットワークで発生した異常を検知する(例えば、特許文献1等)。
特開2012−168686号公報
しかしながら、従来の方法では、例えば、異常検知装置を具備させた制御用サーバ、制御機器、ネットワーク機器等の保守メンテナンス作業の過程やネットワーク経由でコンピュータウィルスに感染させたり、脆弱性等を突くことで異常検知装置の機能を無効化させたりすることが可能で、データが改ざんされた場合であっても、異常が検知できない場合がある。
本発明の1つの側面は、このような問題に鑑みてなされたものであり、プラント又はプラントに用いられる装置の異常を検知することを目的とする。
上述した課題を解決し、目的を達成するため、本発明の一実施形態における、物理量又は機器の状態を計測するフィールド機器を少なくとも有する運用システムと、前記フィールド機器に接続される仮想システムと、前記運用システム及び前記仮想システムと接続される照合システムを含む異常検知システムは、
上述した制御用サーバと制御機器との間で異常を検知する方法とは異なり、
前記フィールド機器から、前記フィールド機器による計測結果を示す入力信号を入力する入力部と、
前記入力信号に基づいて、前記運用システムと等価の処理結果を示す第1データを生成するデータ生成部と
を有する前記仮想システムと、
前記仮想システムから前記第1データと、前記運用システムから前記入力信号に基づく処理の処理結果を示す第2データとを取得する取得部と、
前記第1データ及び前記第2データを照合して前記運用システム又は前記運用システムを用いるプラントの異常を検知する検知部と
を有する前記照合システムと
を含む。
本発明によれば、プラント又はプラントに用いられる装置の異常を検知することができる。
本発明の一実施形態における異常検知システムの全体構成の一例を示すシステム図である。 本発明の一実施形態における異常検知システムが有する照合システムを実現するのに用いられる情報処理装置のハードウェア構成の一例を示すブロック図である。 本発明の一実施形態における異常検知システムによる全体処理の一例を示すシーケンス図である。 本発明の第2実施形態の一実施形態における異常検知システムによる全体処理の一例を示すシーケンス図である。 本発明の第2実施形態の一実施形態における異常検知システムの全体構成の一例を示すシステム図である。 本発明の第2実施形態の一実施形態における異常検知システムによる照合の一例を示すフローチャートである。 本発明の一実施形態における異常検知システムによる照合において用いられる通し番号の一例を示すタイミングチャートである。 本発明の一実施形態における異常検知システムの機能構成の一例を示す機能ブロック図である。
本発明の実施形態を以下の順序で説明する。

1.異常検知システムの全体構成例
2.異常検知システムが有する各システムのハードウェア構成例
3.異常検知システムによる全体処理例
4.異常検知システムの機能構成例

(第1実施形態)
≪ 1. 異常検知システムの全体構成例 ≫
図1は、本発明の一実施形態における異常検知システムの全体構成の一例を示すシステム図である。図示するように、異常検知システム10は、運用システム1と、仮想システム2と、照合システム3とを有する。
工場等のプラントでは、運用システム1によって、様々な物理量又はプラントで用いられる機器の状態等が計測される。具体的には、物理量は、例えば、温度、圧力、速度、モータの回転数、電力量又は寸法等である。このように、物理量は、センサ等であるフィールド機器1FMによって計測される機械的又は電気的な値である。また、機器の状態は、例えば、対象となる機器が動作中であるか否か、機器が故障中であるか否か又は機器の電源がオンであるかオフであるか等の様々な状態を示すパラメータである。
次に、運用システム1では、フィールド機器1FMによる計測結果が信号(以下「入力信号SIP」という。)となって入力モジュール1IMに入力される。そして、入力モジュール1IMは、入力信号SIPに対してA/D(analog−digital)変換等を行う。次に、入力モジュール1IMは、A/D変換によって、コントローラ1CRが処理可能なデータ形式の値、いわゆるディジタル値を生成する。すなわち、入力モジュール1IMは、コントローラ1CR等が入力信号SIPを処理することができる形式に変換する。なお、フィールド機器1FMからは、ディジタル値が送信されてもよい。
続いて、コントローラ1CRは、ディジタル値に基づいて、処理を行う。コントローラ1CRが、どのような処理を行うかは、あらかじめ設定される設定条件、コントローラ1CRの種類及び入力信号SIPの種類等によって様々である。
例えば、フィールド機器1FMが温度を計測する装置であるとする。そして、フィールド機器1FMは、入力信号SIPによって、計測結果を示す電圧値(単位系は、V(ボルト)等である。)を入力モジュール1IMに出力する。次に、入力モジュール1IMは、A/D変換によって、ディジタル値(単位系は、次元なしである。)を生成する。続いて、コントローラ1CRは、ディジタル値を温度(単位系は、℃(度)等である。)等の人間が意味の分かる形式の値(以下「工業値」という。)に変換する処理等を行う。また、工業値は、温度に限られず、他の種類でもよい。
なお、コントローラ1CRは、入力信号SIPに基づいて、他の機器等を制御する等の処理を行ってもよい。
そして、運用システム1による処理結果を示すデータ(以下「第2データD2」という。)は、HMI端末1HMに送信される。また、HMI端末1HMに送信されると、例えば、第2データD2は、HMI端末1HMにおいてデータベースDBに保存される。続いて、HMI端末1HMは、プラントの管理者等であるユーザURに、管理用のパラメータ、すなわち、第2データD2を表示する。
また、運用システム1は、SCADA(Supervisory Control And Data Acquisition)等の監視制御コンピュータ、DCS(分散形制御システム、Distributed Control System)、PLC又はこれらの組み合わせを有してもよい。さらに、運用システム1には、コントローラ1CR及び入力モジュール1IM等が複数あってもよい。
運用システム1が有する各装置には、Windows(登録商標)又はLinux(登録商標)等の汎用OS(Operating System)が用いられたり、ネットワークにイーサネット(登録商標)等の汎用ネットワークが用いられる場合がある。そのため、運用システム1に対して、いわゆるサイバー攻撃がされる場合がある。
具体的には、図示するように、運用システム1が有する各機器の入力又は出力、すなわち、各機器を接続させたネットワーク上において送受信される信号及びデータを狙ったサイバー攻撃(以下「第1サイバー攻撃AT1」という。)が運用システム1に対して行われる場合がある。図示する例では、第1サイバー攻撃AT1は、各機器の間を送受信する信号等がサイバー攻撃の標的となり、第1サイバー攻撃AT1によって、データが改ざんされたり、データが不正に取得されたりする。
また、図示するように、運用システム1が有する各機器が保存するデータを狙ったサイバー攻撃(以下「第2サイバー攻撃AT2」という。)が運用システム1に対して行われる場合がある。図示する例では、第2サイバー攻撃AT2は、まず、運用システム1に不正に侵入し、データベースDBに保存されているデータを標的として、データを改ざんしたり、データを不正に取得したりするサイバー攻撃である。
他にも、運用システム1が有する各機器にインストールされたプログラムDPを狙ったサイバー攻撃(以下「第3サイバー攻撃AT3」という。)が運用システム1に対して行われる場合がある。図示する例では、例えば、HMI端末1HMには、あらかじめ第2データD2をユーザURに表示させるプログラムDPがインストールされるとする。
より具体的には、HMI端末1HMは、プログラムDPによって、グラフ表示等によって、第2データD2をユーザURに時系列に表示したり、表等の形式に加工して表示したりする。すなわち、プログラムDPは、データに基づいて、プラント又はプラントが用いる機器をユーザURが監視するための数値又は状態等を表示する。このような処理を行うプログラムDPに対して第3サイバー攻撃AT3が行われると、例えば、プログラムDPによって表示される数値が変えられたり、「異常」を示すメッセージが変えられ、ユーザURがプラントの異常を察知できなくなったりする。
このように、運用システム1に対して、第1サイバー攻撃AT1、第2サイバー攻撃AT2及び第3サイバー攻撃AT3等のサイバー攻撃がされ、プラント又はプラントが有する機器に異常が発生する場合がある。そこで、異常検知システム10は、仮想システム2及び照合システム3によって、プラント又はプラントが有する機器の異常を検知する。
仮想システム2は、図示するように、フィールド機器1FMから入力信号SIPを入力する。つまり、仮想システム2は、テスト信号等ではなく、コントローラ1CR等と同様に、フィールド機器1FMの計測結果に基づいて処理を行う。なお、入力信号SIPは、運用システム1用とは別に、フィールド機器1FMから仮想システム2に送信される。つまり、フィールド機器1FMは、運用システム1と、仮想システム2とに、同じ内容を示す入力信号SIPを2回送信する。
また、フィールド機器1FMから運用システム1に入力信号SIPを送信する経路と、フィールド機器1FMから仮想システム2に入力信号SIPを送信する経路は、別々でもよい。具体的には、フィールド機器1FMと運用システム1を接続させるケーブルと、フィールド機器1FMと仮想システム2を接続させるケーブルとは、異なるケーブル等である。
仮想システム2は、コントローラ1CR等の処理結果と等価の処理結果となる処理を行う。つまり、上記のように、運用システム1において、まず、温度が計測され、ディジタル値が生成されて、ディジタル値が温度を示す工業値に変換される場合では、仮想システム2は、同様に、入力信号SIPを変換してディジタル値を生成し、ディジタル値をA/D変換して温度を示す工業値を生成する処理を行う。
したがって、仮想システム2が運用システム1と等価の処理を行うため、仮想システム2の処理結果を示すデータ(以下「第1データD1」という。)は、第2データD2と同一の結果を示すデータとなる。
そこで、照合システム3は、運用システム1及び仮想システム2から、第1データD1及び第2データD2を取得し、第1データD1と、第2データD2とを照合する。そして、照合の結果に基づいて、ユーザURに対して、異常の検出結果等を通知する。
また、異常検知システムが有する各システムは、例えば、以下のようなハードウェア構成のシステムである。
≪ 2. 異常検知システムが有する各システムのハードウェア構成例 ≫
仮想システム2は、例えば、電子回路等である。すなわち、仮想システム2は、例えば、ASIC(Application Specific Integrated Circuit)又はFPGA(Field−Programmable Gate Array)等によって実現される。また、仮想システム2は、ファームウェア等に基づいて動作する情報処理装置等によって実現されてもよい。このように、仮想システム2は、電子回路等の高速に処理が可能な情報処理装置によって実現されるのが望ましいが、運用システム1の処理速度によっては、PC(Personal Computer)又はサーバ等の情報処理装置によって実現されてもよい。一方で、照合システムは、例えば、以下のような情報処理装置等によって、実現される。
図2は、本発明の一実施形態における異常検知システムが有する照合システムを実現するのに用いられる情報処理装置のハードウェア構成の一例を示すブロック図である。図示するように、照合システム3は、CPU(Central Processing Unit)HW1と、記憶装置HW2と、ネットワークI/F(interface)HW3と、入力I/FHW4と、出力I/FHW5とを有する。すなわち、照合システム3は、PC、サーバ又はワークステーション等の情報処理装置である。
CPUHW1は、処理を実現するための演算及びデータの加工を行う演算装置並びにハードウェアを制御する制御装置である。
記憶装置HW2は、いわゆるメモリ(memory)等の主記憶装置である。また、記憶装置HW2は、プログラム、設定値又はデータ等を記憶する。なお、記憶装置HW2は、補助記憶装置等を更に有してもよい。
ネットワークI/FHW3は、ネットワークを介してデータ等を入出力するインタフェースである。例えば、ネットワークI/FHW3は、コネクタ、ケーブル及びドライバ等である。
入力I/FHW4は、ユーザによる操作及び外部装置からのデータを入力するインタフェースである。例えば、入力I/FHW4は、キーボード、マウス又はこれらの組み合わせ等の入力装置である。さらに、入力I/FHW4は、入力装置及び外部装置を接続させるコネクタ及びドライバ等である。
出力I/FHW5は、ユーザに対する表示及び外部装置にデータを出力するインタフェースである。例えば、出力I/FHW5は、ディスプレイ等の出力装置である。さらに、出力I/FHW5は、出力装置及び外部装置を接続させるコネクタ及びドライバ等である。
なお、ハードウェア構成は、図示する構成に限られない。例えば、照合システム3は、演算装置、制御装置又は記憶装置を内部又は外部に更に有するハードウェア構成でもよい。
また、仮想システム2及び照合システム3は、1以上の情報処理装置によって実現される。すなわち、仮想システム2及び照合システム3は、それぞれ複数の情報処理装置によって実現され、冗長、分散又は並列に処理を行う構成等でもよい。
≪ 3. 異常検知システムによる全体処理例 ≫
図3は、本発明の一実施形態における異常検知システムによる全体処理の一例を示すシーケンス図である。
≪ 計測例 ≫(ステップS101)
ステップS101では、運用システム1は、フィールド機器によって計測を行う。そして、運用システム1は、計測結果を示す入力信号を生成する。
≪ 入力信号の入力例 ≫(ステップS102)
ステップS102では、運用システム1は、入力モジュール等によって、入力信号をコントローラに入力する。一方で、運用システム1は、同様の計測結果を示す入力信号を仮想システム2に送信して、入力信号を仮想システム2に入力する。
≪ コントローラ等による処理例 ≫(ステップS103)
ステップS103では、運用システム1は、コントローラ等によって、入力信号に基づいて処理を行う。そして、ステップS103では、運用システム1は、処理結果を示す第2データを照合システム3に送信する。
≪ 運用システム1と等価の処理例 ≫(ステップS104)
ステップS104では、仮想システム2は、コントローラ等によって、運用システム1と等価の処理を行う。そして、ステップS104では、仮想システム2は、処理結果を示す第1データを照合システム3に送信する。
すなわち、ステップS103と、ステップS104とは、等価の処理である。図示するように、ステップS103と、ステップS104とは、ともに、ステップS102で入力される同一の入力信号に基づいて処理が行われる。
≪ 第1データ及び第2データの取得例 ≫(ステップS105)
ステップS105では、照合システム3は、第1データ及び第2データを取得する。すなわち、図示する全体処理では、照合システム3は、ステップS103によって送信される第2データと、ステップS104によって送信される第1データとを受信して、それぞれのデータを取得する。
≪ 異常の検知例 ≫(ステップS106)
ステップS106では、照合システム3は、第1データ及び第2データを照合して異常を検知する。具体的には、照合システム3は、第1データ及び第2データが同一であるか否かを判定する。上記の通り、ステップS103と、ステップS104とは、等価の処理であり、かつ、同一の入力信号を入力して行われる。そのため、運用システム1がサイバー攻撃等を受けていない場合等では、第2データは、改ざん等が行われていないため、第1データ及び第2データは、同一となる。したがって、第1データ及び第2データが同一であると、照合システム3は、照合結果として、異常がない状態、すなわち、運用システム1及び運用システム1が用いる機器が「正常」な状態であると判定する。
一方で、運用システム1が何らかのサイバー攻撃を受け、運用システム1上の何らかのプログラム、データ又は信号が改ざんされた場合には、処理結果となる第1データも改ざんによって変えられる場合がある。そのため、運用システム1がサイバー攻撃等を受けた場合等では、第2データは、サイバー攻撃による改ざん等により、第1データとは異なる結果を示すデータとなる。したがって、改ざん等があった場合には、第1データ及び第2データは、異なるデータとなる。ゆえに、第1データ及び第2データが同一でないと、照合システム3は、異常が発生している状態、すなわち、運用システム1又はフィールド機器等の運用システム1が用いる機器が「異常」な状態であると判定する。このようにして、照合システム3は、運用システム1又は運用システム1が用いる機器の異常を検知する。
≪ 通知例 ≫(ステップS107)
ステップS107では、照合システム3は、ユーザURに異常を通知する。例えば、ステップS107では、照合システム3は、ステップS106で運用システム1又は運用システム1が用いる機器の異常が検知されると、ユーザURが操作している情報処理装置にメール等を送信したり、パトライト(登録商標)等を点灯させたり、又は、ブザー等の警報機を動作させたりして、ユーザURに対して異常を検知したことを通知する。このように、通知がされると、ユーザURは、運用システム1又は運用システム1が用いる機器において異常が発生していることを知ることができる。
(第2実施形態)
第2実施形態では、例えば、異常検知システム10は、第1実施形態と同様の全体構成及びハードウェア構成である。第2実施形態は、第1実施形態と全体処理が異なる。第2実施形態では、例えば、異常検知システム10は、以下のような全体処理を行う。
図4は、本発明の第2実施形態の一実施形態における異常検知システムによる全体処理の一例を示すシーケンス図である。図3と比較すると、図4には、ステップS201及びステップS202が加わる点が異なる。以下、異なる点を中心に説明し、重複する説明を省略する。
ステップS201及びステップS202は、ステップS104と同様の処理をステップS104とは別に行う。すなわち、ステップS201及びステップS202は、ステップS103と同一の入力信号に対して、ステップS103と同様の処理を行う。
例えば、図示するように、ステップS201、ステップS202及びステップS104は、並列に処理される。なお、図示する例では、ステップS201、ステップS202及びステップS104は、並列に処理しているが、ステップS201、ステップS202及びステップS104は、並列でなく、順に処理されてもよい。そして、ステップS201及びステップS202のそれぞれの処理結果を示すデータは、ステップS104と同様に、照合システム3に送信される。
つまり、仮想システム2は、ステップS104と同様の処理を冗長して行う。なお、冗長させる数は、図示するように、3つに限られない。すなわち、仮想システム2では、ステップS104と同様の処理は、複数であればよい。以下、ステップS104と同様の処理が行われる数を「処理数N」とする。具体的には、図3のように、冗長がない場合は、「処理数N=1」とする。一方で、図4に示す場合は、「処理数N=3」となる。
また、処理数によって、照合システム3に送信される第1データの数は、変化する。「処理数N」とすると、第1データ及び第2データは、以下のようになる。
図5は、本発明の第2実施形態の一実施形態における異常検知システムの全体構成の一例を示すシステム図である。図示するように、第2データD2は、運用システム1から、1つ照合システム3に送信される。一方で、N個の第1データが、仮想システム2から、照合システム3に送信される。図示する例では、第1データは、第11データD11、第12データD12、・・・・、第1NデータD1Nがそれぞれ送信される。
そして、照合システム3は、第2データと、複数の第1データとを取得すると(図4に示すステップS105)、第2データ及び複数の第1データに基づいて、照合を行う。例えば、以下のように、照合システム3は、照合を行う。
図6は、本発明の第2実施形態の一実施形態における異常検知システムによる照合の一例を示すフローチャートである。すなわち、図4に示すステップS106では、照合システム3は、図示する処理を行う。
≪ 第1データが同一であるか否かの判断例 ≫(ステップS301)
ステップS301では、照合システムは、第1データが同一であるか否か判断する。図5に示すように、「処理数N」が2以上である場合には、第1データは、複数となる。そこで、照合システムは、同一のデータであるか否かを判定する。
具体的には、図5に示す例では、照合システムは、第11データD11と、第12データD12とが同一であるか否かを判定する。また、図5に示すように、第1データが多くある場合には、照合システムは、更に第1データの他の組み合わせで判定してもよい。
各第1データは、同一の入力信号及び同一の処理結果であるため、異常がない、つまり、仮想システムが「正常」な状態であれば、各第1データは、同一のデータとなる。一方で、仮想システムがサイバー攻撃を受けた場合には、第1データ等が改ざんされている場合がある。このように、仮想システムにおいてデータが改ざんされると、各第1データは、異なるデータとなる。そこで、ステップS301では、照合システムは、第1データが同一であるか否かを判断し、仮想システムの状態を判定する。
次に、第1データが同一であると照合システムが判断すると(ステップS301でYES)、照合システムは、ステップS303に進む。一方で、第1データが同一でないと照合システムが判断すると(ステップS301でNO)、照合システムは、ステップS302に進む。
≪ 仮想システムの異常の検知例 ≫(ステップS302)
ステップS302では、照合システムは、仮想システムの異常を検知する。すなわち、ステップS302では、照合システムは、仮想システムがサイバー攻撃を受けた状態であると判定する。後段のステップS107(図4参照)によって、仮想システムが異常である等が通知されてもよい。
≪ 第1データと第2データが同一であるか否かの判断例 ≫(ステップS303)
ステップS303では、照合システムは、第1データと第2データが同一であるか否か判断する。次に、第1データと第2データが同一であると照合システムが判断すると(ステップS303でYES)、照合システムは、処理を終了する。すなわち、この場合は、「異常なし」と照合システムが判断する場合である。一方で、第1データと第2データが同一でないと照合システムが判断すると(ステップS303でNO)、照合システムは、ステップS304に進む。
≪ 運用システムの異常の検知例 ≫(ステップS304)
ステップS304では、照合システムは、仮想システムの異常を検知する。例えば、ステップS303及びステップS304は、第1実施形態のステップS106(図3参照)と同様の処理である。
以上のように、第1データを冗長して生成するようにすると、異常検知システムは、仮想システムの異常を検知することができる。
(変形例)
照合は、第1実施形態及び第2実施形態のように、データが同一であるか否かのみを判定する処理に限られない。例えば、照合は、所定時間、各データを蓄積して、それぞれのデータの時系列における傾向等が一致しているか否か等を判定してもよい。例えば、一方のデータが時間経過と共に増加していく値を示すのに対して、他方のデータが時間経過と共に減少していく値を示す場合には、各データの傾向が異なるため、照合システムは、異常と検知してもよい。
また、照合は、統計データを比較する処理でもよい。例えば、照合システムは、まず、所定時間、各データを蓄積する。そして、照合システムは、各データの平均値をそれぞれ計算する。次に、照合システムは、各データの平均値が一致するか否かを判定する。このように、平均値等の統計データを比較し、統計データが異なる場合には、照合システムは、異常と検知してもよい。
なお、統計データ又は傾向等を照合に用いる場合には、照合システムは、例えば、第1データと第2データの同一を判定する処理は、リアルタイム処理とし、一方で、統計データ又は傾向等を用いる処理は、バッチ処理としてもよい。
また、照合では、同一は、完全に各データが示す値が同じである場合に限られない。運用システムによる処理と、仮想システムによるシミュレーション等による処理とでは、誤差等が異なる場合がある。したがって、誤差等による違いを無視するため、同一の判定には、許容値等が設定されてもよい。なお、許容値は、あらかじめ設定されるとする。
さらに、第1データ及び第2データには、照合において、照合対象となる各データを特定できる通し番号等の特定データが付与されてもよい。なお、特定データは、いわゆるタイムスタンプ等でもよい。運用システムと、仮想システムでは、処理速度が異なる場合がある。したがって、同一のタイミングで、運用システム及び仮想システムに、それぞれ入力信号が入力されても、処理結果を示すそれぞれのデータが同一のタイミングで出力されるとは限らない。そのため、照合システムが、どのデータと、どのデータを照合すればよいかわからなくなる場合がある。そこで、入力信号において、通し番号等が、例えば、以下のように付与されると、照合システムは、照合対象となるデータの組み合わせが特定できる。
図7は、本発明の一実施形態における異常検知システムによる照合において用いられる通し番号の一例を示すタイミングチャートである。例えば、図示するように、入力信号SIPの入力があると、仮想システムは、入力信号SIPに基づいて第1データを生成し、第1データを照合システムに送信するため、仮想システムは、第1データを示す第1データ信号SD1を送信する。また、運用システムは、入力信号SIPに基づいて第2データを生成し、第2データを照合システムに送信するため、仮想システムは、第2データを示す第2データ信号SD2を送信する。
具体的には、この例では、入力信号SIPが示す「IN1」のデータに基づいて、運用システムは、処理を行って第2データである「OT21」のデータを生成し、同様に、「IN1」のデータに基づいて、仮想システムは、運用システムと等価の処理結果を示す第1データである「OT11」のデータを生成する。
図示するように、運用システムと、仮想システムとが等価の処理を行う場合であっても、各システムの処理速度又はネットワーク環境等によって、照合システムにデータが送信されるタイミングが異なる場合がある。図示する例は、各システムが「正常」な状態であれば、同一となる「OT21」のデータが照合システムに送信されるタイミングと、「OT11」のデータが照合システムに送信されるタイミングとに、時間TEのずれが生じる場合の例である。このように、時間TE等のずれがあると、照合システムは、どの第1データと、第2データとを照合したらよいかわからない場合がある。
そこで、図示するように、通し番号SNMを示す信号が、各データと同じタイミングで付与されて送信されるようにする。このようにすると、時間TEのずれが生じても、照合システムは、同一の通し番号SNM同士の第1データと、第2データとを照合すればよいと判断できる。具体的には、通し番号SNMがともに「1」の第1データと、第2データとが照合されると、時間TEのずれが生じても、「OT21」と、「OT11」とが照合システムによって照合される。このように、仮想システム及び運用システムは、通し番号SNM等を示す特定データを付与して照合システムに各データを送信してもよい。
≪ 4. 異常検知システムの機能構成例 ≫
図8は、本発明の一実施形態における異常検知システムの機能構成の一例を示す機能ブロック図である。図示するように、例えば、異常検知システム10では、仮想システム2は、入力部FN1と、データ生成部FN2とを含む。また、図示する例の異常検知システム10では、運用システム1は、処理部FN3を含む。そして、図示する例の異常検知システム10では、照合システム3は、取得部FN4と、検知部FN5と、通知部FN6とを含む。
入力部FN1は、運用システム1が有するフィールド機器1FMから、フィールド機器1FMによる計測結果を示す入力信号SIPを入力する。なお、入力部FN1は、例えば、電子回路等が有するインタフェース等によって実現される。
データ生成部FN2は、入力信号SIPに基づいて、運用システム1が有する処理部FN3と等価の処理を行い、その後、運用システム1による処理結果を示す第1データD1を生成する。なお、データ生成部FN2は、例えば、電子回路が有する演算装置等によって実現される。
処理部FN3は、入力信号SIPに基づいて、様々な処理を行い、第2データD2を生成する。なお、処理部FN3は、例えば、コントローラ1CR(図1参照)等によって実現される。
取得部FN4は、仮想システム2から、データ生成部FN2が生成する第1データD1と、運用システムから、処理部FN3が生成する第2データD2とを取得する。なお、取得部FN4は、例えば、ネットワークI/FHW3(図2参照)又は入力I/FHW4(図2参照)等によって実現される。
検知部FN5は、取得部FN4が取得する第1データD1及び第2データD2を照合して運用システム1又は運用システム1を用いるプラントの異常を検知する。なお、検知部FN5は、例えば、CPUHW1(図2参照)等によって実現される。
通知部FN6は、検知部FN5が異常を検知すると、異常をユーザUR等に通知する。なお、通知部FN6は、例えば、ネットワークI/FHW3(図2参照)又は出力I/FHW5(図2参照)等によって実現される。
仮想システム2があると、異常検知システム10は、運用システム1と等価の処理結果を示す第1データD1を生成することができる。具体的には、仮想システム2は、入力部FN1によって、運用システム1が用いるのと同一の入力信号SIPをフィールド機器1FMから入力することができる。
そして、仮想システム2は、データ生成部FN2によって、処理部FN3と等価の処理を行うことができる。そのため、仮想システム2は、運用システム1が「正常」な状態であれば、処理部FN3によって生成される第2データD2と、同一の処理結果を示す第1データD1を生成することができる。したがって、第1データD1と、第2データD2を照合システム3が照合すると、異常検知システム10は、運用システム1又は運用システム1を用いるプラントの異常を検知することができる。
具体的には、照合システム3は、まず、取得部FN4によって、第1データD1と、第2データD2を取得する。次に、照合システム3は、検知部FN5によって、第1データD1と、第2データD2とを照合する。例えば、第1データD1と、第2データD2とが異なる場合であると、照合システム3は、運用システム1又は運用システム1を用いるプラントがサイバー攻撃によってデータの改ざん等を受けた「異常」な状態であると検知することができる。
比較例として、サイバー攻撃の対策は、例えば、ファイヤウォール(Firewall)の設置又はアンチウィルスソフトの導入等がある。このようにして、各システムの外部から不正にアクセスしたり、コンピュータウィルスを入れたり、不正侵入用に、いわゆるバックドアを生成したり又はシステムの管理者権限が奪われたりするのを防ぐ方法がある。特に、汎用OS又は汎用ネットワークが用いられると、セキュリティ上の脆弱性を利用して、サイバー攻撃がされる場合がある。このように、サイバー攻撃がされると、データが改ざんされたり、インストールされたプログラムが変えられたりする。
例えば、データが改ざんされた場合であっても、ユーザが監視していると、値の異常な変動等をユーザが察知して、サイバー攻撃を受けたこと等を発見できる場合がある。一方で、ユーザが監視に用いるビュワーソフトのプログラムまで改ざんされてしまうと、改ざんされた状態であることを示すプログラムが異なるデータを表示するため、ユーザが監視していても、悪意を持った者によるサイバー攻撃を受けたこと等を発見できる場合もある。
これに対して、本実施形態のように、各データが照合されると、監視に用いるビュワーソフトのプログラム等が改ざんされても、異常検知システム10は、異常を検知することができる。
なお、仮想システムと、運用システムとは異なる装置で実現されるのが望ましい。すなわち、仮想システムと、運用システムとは、物理的に別々の装置であるのが望ましい。同一の装置によって仮想システムと、運用システムとが実現されると、例えば、装置に、サイバー攻撃を受ける可能性が高いセキュリティ上の脆弱性があると、双方のシステムが共に改ざんされてしまう可能性が高くなる。一方で、仮想システムと、運用システムとは、物理的に別々の装置であると、それぞれ異なる構成であるため、直ぐに双方とも改ざんされてしまう可能性を低くすることができる。
なお、本発明の一実施形態に係る各処理の全部又は一部は、低水準言語、高水準言語又はこれらを組み合わせて記述されるコンピュータに、異常検知方法を実行させるためのプログラムによって実現されてもよい。すなわち、プログラムは、情報処理装置等のコンピュータに各処理の全部又は一部を実行させるためのコンピュータプログラムである。
また、プログラムは、コンピュータが読み取り可能な記録媒体に格納して頒布することができる。なお、記録媒体は、フラッシュメモリ、フレキシブルディスク、CD−ROM若しくはブルーレイディスク等の光ディスク、SD(登録商標)カード、補助記憶装置又はMO等でもよい。さらにまた、プログラムは、電気通信回線を通じて頒布することができる。
さらに、本発明の一実施形態に係る各処理の全部又は一部は、1以上の情報処理装置を有する情報処理システムによって、処理の全部又は一部が並行、分散、冗長又はこれらの組み合わせで処理されてもよい。
また、本発明の一実施形態に係る各処理は、図示した順序に限られない。例えば、各処理の一部又は全部は、異なる順序、並行、分散又は省略されて処理されてもよい。
以上、本発明の好ましい実施例について詳述したが、本発明は、上述の実施形態に限定されず、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形又は変更が可能である。
10 異常検知システム
1 運用システム
2 仮想システム
3 照合システム
FN1 入力部
FN2 データ生成部
FN3 処理部
FN4 取得部
FN5 検知部
FN6 通知部
D1 第1データ
D2 第2データ
SIP 入力信号
1FM フィールド機器

Claims (10)

  1. 物理量又は機器の状態を計測するフィールド機器を少なくとも有する運用システムと、前記フィールド機器に接続される仮想システムと、前記運用システム及び前記仮想システムと接続される照合システムを含む異常検知システムであって、
    前記フィールド機器から、前記フィールド機器による計測結果を示す入力信号を入力する入力部と、
    前記入力信号に基づいて、前記運用システムと等価の処理結果を示す第1データを生成するデータ生成部と
    を有する前記仮想システムと、
    前記仮想システムから前記第1データと、前記運用システムから前記入力信号に基づく処理の処理結果を示す第2データとを取得する取得部と、
    前記第1データ及び前記第2データを照合して前記運用システム又は前記運用システムを用いるプラントの異常を検知する検知部と
    を有する前記照合システムと
    を含む異常検知システム。
  2. 前記データ生成部は、前記第1データを複数生成する請求項1に記載の異常検知システム。
  3. 前記検知部は、複数の前記第1データを照合して前記仮想システムの異常を検知する請求項2に記載の異常検知システム。
  4. 前記検知部は、少なくとも、前記第1データと、前記第2データとが同一であるか否かに基づいて照合して前記運用システム又は前記運用システムを用いるプラントの異常を検知する請求項1乃至3のいずれか1項に記載の異常検知システム。
  5. 前記検知部は、前記第1データ及び前記第2データのそれぞれの傾向、統計データ又はこれらの組み合わせに基づいて更に照合して前記運用システム又は前記運用システムを用いるプラントの異常を検知する請求項4に記載の異常検知システム。
  6. 前記検知部が異常を検知すると、異常を通知する通知部を更に含む請求項1乃至5のいずれか1項に記載の異常検知システム。
  7. 前記仮想システム及び前記運用システムは、前記第1データ及び前記第2データに、照合において、照合対象となるデータを特定できる特定データを付与して送信する請求項1乃至6のいずれか1項に記載の異常検知システム。
  8. 前記仮想システムと、前記運用システムとは異なる装置で実現される請求項1乃至7のいずれか1項に記載の異常検知システム。
  9. 物理量又は機器の状態を計測するフィールド機器を少なくとも有する運用システムと、前記フィールド機器に接続される仮想システムと、前記運用システム及び前記仮想システムと接続される照合システムを含む異常検知システムが行う異常検知方法であって、
    前記仮想システムが、前記フィールド機器から、前記フィールド機器による計測結果を示す入力信号を入力する入力手順と、
    前記仮想システムが、前記入力信号に基づいて、前記運用システムと等価の処理結果を示す第1データを生成するデータ生成手順と、
    前記照合システムが、前記仮想システムから前記第1データと、前記運用システムから前記入力信号に基づく処理の処理結果を示す第2データとを取得する取得手順と、
    前記照合システムが、前記第1データ及び前記第2データを照合して前記運用システム又は前記運用システムを用いるプラントの異常を検知する検知手順と
    を含む異常検知方法。
  10. 前記検知手順では、複数の前記第1データを照合して前記仮想システムの異常を検知する請求項9に記載の異常検知方法。
JP2016148484A 2016-07-28 2016-07-28 異常検知システム及び異常検知方法 Expired - Fee Related JP6743553B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016148484A JP6743553B2 (ja) 2016-07-28 2016-07-28 異常検知システム及び異常検知方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016148484A JP6743553B2 (ja) 2016-07-28 2016-07-28 異常検知システム及び異常検知方法

Publications (2)

Publication Number Publication Date
JP2018018325A true JP2018018325A (ja) 2018-02-01
JP6743553B2 JP6743553B2 (ja) 2020-08-19

Family

ID=61076775

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016148484A Expired - Fee Related JP6743553B2 (ja) 2016-07-28 2016-07-28 異常検知システム及び異常検知方法

Country Status (1)

Country Link
JP (1) JP6743553B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022055022A1 (ko) * 2020-09-11 2022-03-17 주식회사 필드솔루션 Iot를 이용한 장치의 데이터 수집 및 관리 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022055022A1 (ko) * 2020-09-11 2022-03-17 주식회사 필드솔루션 Iot를 이용한 장치의 데이터 수집 및 관리 시스템

Also Published As

Publication number Publication date
JP6743553B2 (ja) 2020-08-19

Similar Documents

Publication Publication Date Title
CN113016168B (zh) 工业系统事件检测和对应的响应
US10698378B2 (en) Industrial control system smart hardware monitoring
EP3101581B1 (en) Security system for industrial control infrastructure using dynamic signatures
US10250619B1 (en) Overlay cyber security networked system and method
US10044749B2 (en) System and method for cyber-physical security
EP3101586B1 (en) Active response security system for industrial control infrastructure
US20180276375A1 (en) System and method for detecting a cyber-attack at scada/ics managed plants
US20150229660A1 (en) Method for Monitoring Security in an Automation Network, and Automation Network
EP3101491A1 (en) Security system for industrial control infrastructure
WO2015104691A2 (en) Systems, methods, and devices for detecting anomalies in an industrial control system
JP6693114B2 (ja) 制御装置及び統合生産システム
JP6759572B2 (ja) 統合生産システム
EP3101490A1 (en) Rapid configuration security system for industrial control infrastructure
JP2019057276A (ja) 冗長デバイス及びスマートコントラクトを使用して、サイバーフィジカルシステムへの攻撃を検出するための方法及びシステム
CA2927826C (en) Industrial control system smart hardware monitoring
JP2017129894A (ja) サイバー攻撃検知システム
US20170026341A1 (en) Automation network and method for monitoring the security of the transfer of data packets
US20210336979A1 (en) Partial Bayesian network with feedback
WO2022115419A1 (en) Method of detecting an anomaly in a system
JP6743553B2 (ja) 異常検知システム及び異常検知方法
CN112799356A (zh) 用于安全的数据记录的装置和方法
Weiss et al. Changing the paradigm of control system cybersecurity
CN111936945A (zh) 工业机器的灵活状况监测
JP2018055271A (ja) 監視装置、監視システム及び監視方法
JP6238849B2 (ja) プラント計装システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190613

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200608

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200630

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200713

R150 Certificate of patent or registration of utility model

Ref document number: 6743553

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees