JP2019129412A - Abnormal factor determination device, control system, and abnormal factor determination method - Google Patents
Abnormal factor determination device, control system, and abnormal factor determination method Download PDFInfo
- Publication number
- JP2019129412A JP2019129412A JP2018010012A JP2018010012A JP2019129412A JP 2019129412 A JP2019129412 A JP 2019129412A JP 2018010012 A JP2018010012 A JP 2018010012A JP 2018010012 A JP2018010012 A JP 2018010012A JP 2019129412 A JP2019129412 A JP 2019129412A
- Authority
- JP
- Japan
- Prior art keywords
- abnormality
- factor determination
- information
- analysis unit
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明の実施形態は、異常要因判定装置、制御システム、および異常要因判定方法に関する。 Embodiments of the present invention relate to an abnormality factor determination device, a control system, and an abnormality factor determination method.
プラントやFA(Factory Automation)等に設置された機器を制御する制御システムでは、近年、ネットワーク化が進んでいる。このような制御システムでは、ネットワークのセキュリティ対策が重要になる。
そこで、制御システム内におけるネットワークの異常を検知するIDS(Intrusion Detection System)と呼ばれる装置が知られている。
In the control system which controls the equipment installed in a plant, FA (Factory Automation), etc., networking has advanced in recent years. In such a control system, network security measures are important.
Therefore, a device called an IDS (Intrusion Detection System) for detecting a network abnormality in a control system is known.
上述した制御システムで起こり得る異常は、例えば、ネットワークを介した攻撃と、機器の故障との2種類に分類できる。これらの異常に対して取るべき対策は、全く異なる。 Abnormalities that may occur in the control system described above can be classified into, for example, two types: attacks via networks and equipment failures. The measures to be taken against these anomalies are quite different.
しかし、従来の装置は、上記2種類の異常のうち、いずれか一方のみを検知することを前提としているので、異常の要因を特定できない。そのため、制御システムで異常が発生した場合、異常への対処に多くの時間を要することが予想される。 However, since the conventional apparatus is premised on detecting only one of the above two types of abnormalities, it can not identify the cause of the abnormality. Therefore, when an abnormality occurs in the control system, it is expected that it will take a lot of time to cope with the abnormality.
本発明の実施形態は、システムの異常に対して迅速に対処することが可能な異常要因判定装置、制御システム、および異常要因判定方法を提供することを目的とする。 An embodiment of the present invention aims to provide an abnormality factor determination device, a control system, and an abnormality factor determination method capable of quickly dealing with a system abnormality.
一実施形態によれば、異常要因判定装置は、ネットワークを介したデータ通信により機器を制御する制御装置を含む制御システム内に設けられている。この異常要因判定装置は、データ通信で用いられるデータに含まれる情報を取得する取得部と、その情報を分析し、その分析結果に基づいて制御システムで発生した異常の要因を、ネットワークに対する攻撃か、または機器の故障であるかを判別する分析部と、を備える。 According to one embodiment, the abnormality factor determination device is provided in a control system that includes a control device that controls the device by data communication via a network. This abnormality factor determination device includes an acquisition unit that acquires information included in data used in data communication, analyzes the information, and determines whether the abnormality factor that has occurred in the control system based on the analysis result is an attack on the network. Or an analysis unit for discriminating whether the device is malfunctioning.
本実施形態によれば、制御システムの異常に対して迅速に対処することが可能となる。 According to the present embodiment, it is possible to promptly cope with the abnormality of the control system.
以下、本発明の実施形態を図面を参照して説明する。本実施形態は、本発明を限定するものではない。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. This embodiment does not limit the present invention.
(第1実施形態)
図1は、第1実施形態に係る制御システムの構成を示すブロック図である。図1に示す制御システム1は、制御装置10と、HMI(Human Machine Interface)20と、ツール30と、ネットワークスイッチ40と、異常要因判定装置50と、を備える。
First Embodiment
FIG. 1 is a block diagram illustrating a configuration of a control system according to the first embodiment. A
制御装置10は、ネットワークを介したデータ通信により、プラントやFA等に設置された機器を制御する。制御装置10は、例えば、図1に示すようにコントローラ11と、センサ12と、アクチュエータ13と、を有する。コントローラ11は、例えばPLC(Programmable Logic Controller)で構成されている。センサ12は、制御対象機器の状態や環境等をセンシングする。アクチュエータ13は、コントローラ11の制御に基づいて動作する。本実施形態では、複数の制御装置10が制御システム1内に設けられているが、制御装置10の数は特に制限されない。さらに、制御装置10の構成も、上記機器を制御する構成であればよく、図1に示す構成に限定されない。
The
HMI20は、ネットワークスイッチ40を介して各制御装置10の状態を監視する。ツール30は、ネットワークスイッチ40を介して各制御装置10の制御プログラムを変更するエンジニアリングツールである。
The HMI 20 monitors the state of each
ネットワークスイッチ40は、各制御装置10をネットワークに接続する。本実施形態では、このネットワークは、Ethernet(登録商標)であるが、他の規格のネットワークであってもよい。また、ネットワークスイッチ40はミラーポートを有し、このミラーポートに異常要因判定装置50が接続される。これにより、異常要因判定装置50は、ネットワークスイッチ40を介して、制御システム1内を伝送するパケット形式の全てのデータを取得できる。
The
異常要因判定装置50は、図1に示すように通信インターフェース部51と、タイマ部52と、取得部53と、分析部54と、保存部55と、表示部56と、を有する。異常要因判定装置50を構成するこれらの構成要素は、ハードウェアで実現されてもよいし、ソフトウェアで実現されてもよい。また、表示部56は、異常要因判定装置50の構成要素に含まれていてもよいし、異常要因判定装置50に外付けされてもよい。
As illustrated in FIG. 1, the abnormality
通信インターフェース部51は、ネットワークスイッチ40を介してデータを入出力する。タイマ部52は現在時刻を取得する。取得部53は、通信インターフェース部51で受信したデータからヘッダ情報を取得する。また、取得部53は、タイマ部52から取得した時刻情報をヘッダ情報に付与して分析部54へ出力する。
The
分析部54は、取得部53から入力された情報を分析し、その分析結果に基づいて異常の要因を判別する。保存部55は、分析部54で用いられる判定テーブルを保存する。ここで図2(a)および図2(b)を参照して判定テーブルについて説明する。
The
図2(a)に示す判定テーブル100は、予めデータ通信が許可された送信元と送信先の組み合わせと、その組み合わせ毎に予め設定されたデータの伝送周期と、前回のデータ取得時刻と、を示す。判定テーブル100では、IPアドレスが送信元および送信先の識別情報として用いられている。また、データ取得時刻は、データ取得のたびに更新される。一方、図2(b)に示す判定テーブル101は、判定テーブル100の項目に加えてプロトコル情報も示す。この判定テーブル101によれば、セキュリティの判定をより厳密にすることができる。 The determination table 100 shown in FIG. 2A includes a combination of a transmission source and a transmission destination for which data communication is permitted in advance, a data transmission cycle set in advance for each combination, and a previous data acquisition time. Show. In the determination table 100, the IP address is used as identification information of the transmission source and the transmission destination. Also, the data acquisition time is updated each time data is acquired. On the other hand, the determination table 101 shown in FIG. 2B indicates protocol information in addition to the items of the determination table 100. According to this determination table 101, security determination can be made more strict.
以下、上述した異常要因判定装置50による異常要因判定方法について説明する。異常要因判定装置50は、制御システム1で発生した異常の要因を判別するために、新規データを受信するたびにヘッダ情報判定処理および時間情報判定処理を順次に行う。
Hereinafter, an abnormality factor determination method by the above-described abnormality
図3は、ヘッダ情報判定処理のフローチャートである。図3に示すフローチャートでは、まず、通信インターフェース部51がネットワークスイッチ40を介してデータを受信する(ステップS101)。続いて、取得部53が、通信インターフェース部51で受信されたデータのヘッダ情報を取得する(ステップS102)。このとき、取得部53は、タイマ部52から時刻情報を取得して、ヘッダ情報とともに分析部54へ出力する。
FIG. 3 is a flowchart of the header information determination process. In the flowchart shown in FIG. 3, first, the
分析部54は、ヘッダ情報に示された送信元IPアドレスおよび送信先IPアドレスの組み合わせが、保存部55の判定テーブルに登録されているか否かを判定する(ステップS103)。上記組み合わせが登録されている場合、分析部54は、正常であると判定する(ステップS104)。
The
上記組み合わせが登録されていない場合、分析部54は、判定テーブルに登録された複数の送信元IPアドレスの中で、ヘッダ情報の送信元IPアドレスと一致するものが存在するか否かを探索する(ステップS105)。一致する送信元IPアドレスが存在する場合、分析部54は、検知フラグFLGを「1」に設定する(ステップS106)。反対に、一致する送信元IPアドレスが存在しない場合、分析部54は、検知フラグFLGを「0」に設定する(ステップS107)。
When the combination is not registered, the
検知フラグFLGが「1」である場合、送信元IPアドレスのみが判定テーブルに登録されているので、当該送信元IPアドレスに対応する端末が不正に操作されている可能性がある。そのため、分析部54は、ネットワークを介した攻撃が送信元の不正操作であると判定する。この場合、表示部56は、例えば図4(a)に示す画像200のように、異常の要因が不正操作であることとその対策を表示する(ステップS108)。
When the detection flag FLG is “1”, since only the source IP address is registered in the determination table, there is a possibility that the terminal corresponding to the source IP address is illegally operated. Therefore, the
一方、検知フラグFLGが「0」である場合、送信元および送信先のそれぞれのIPアドレスが判定テーブルに登録されていないので、不正な接続が発生した可能性がある。そのため、分析部54は、ネットワークを介した攻撃が不正接続であると判定する。この場合、表示部56は、例えば図4(b)に示す画像201のように、異常の要因が不正接続であることとその対策を表示する(ステップS109)。なお、分析部54がネットワークを介した攻撃内容を分析する際、図2(b)に示す判定テーブル101を用いると、不正なプロトコルによる接続を検知することができる。また、画像200および画像201は、表示部56だけでなくHMI20にも表示されてよい。
On the other hand, when the detection flag FLG is “0”, the IP addresses of the transmission source and the transmission destination are not registered in the determination table, so there is a possibility that an illegal connection has occurred. Therefore, the
以上説明したヘッダ情報判定処理が完了すると、次に時刻情報判定処理が実行される。図5は、時刻情報判定処理のフローチャートである。図5に示すフローチャートでは、通信インターフェース部51がデータを受信した場合(ステップS201)、分析部54は、上述したヘッダ情報判定処理で取得部53から入力されたヘッダ情報および時刻情報に基づいて差分時間Δt1を算出する(ステップS202)。差分時間Δt1は、時刻情報に示された現在時刻と、判定テーブルに記録された前回のデータ取得時刻の差に相当する。すなわち、差分時間Δt1は、前回から今回までのデータの取得時刻の差分時間に相当する。
When the header information determination process described above is completed, a time information determination process is next executed. FIG. 5 is a flowchart of the time information determination process. In the flowchart shown in FIG. 5, when the
続いて、分析部54は、算出した差分時間Δt1が伝送周期の許容範囲内であるか否かを判定する(ステップS203)。許容範囲は、例えば、判定テーブルに記録された伝送周期の±10%に設定されている。差分時間Δt1が許容範囲内である場合、分析部54は、正常であると判定し、判定テーブルの前回取得時刻を今回の取得時刻に更新する(ステップS204)。
Subsequently, the
一方、差分時間Δt1が許容範囲外である場合、分析部54は、異常の要因を機器の故障に分類される伝送周期異常と判定する(ステップS205)。この場合、表示部56は、例えば図6(a)に示す画像202のように、異常の要因が伝送周期異常であることとその対策を表示する(ステップS206)。
On the other hand, when the difference time Δt1 is outside the allowable range, the
ステップS201において、通信インターフェース部51がデータを受信していない場合、分析部54は、経過時間Δt2を算出する(ステップS207)。経過時間Δt2は、タイマ部52の時刻情報に示された現在時刻と判定テーブルに記録された前回のデータ取得時刻の差に相当する。すなわち、経過時間Δt2は、前回のデータ取得時刻からの経過時間に相当する。
In step S201, when the
続いて、分析部54は、算出した経過時間Δt2が周期に基づいて設定されたしきい値を超えているか否かを判定する(ステップS208)。しきい値は、例えば伝送周期の2倍に設定される。経過時間Δt2がしきい値を超えていない場合、分析部54は、正常であると判定する(ステップS209)。
Subsequently, the
一方、経過時間Δt2がしきい値を超えた場合、分析部54は、異常の要因を機器の故障に分類される出力停止異常と判定する(ステップS210)。この場合、表示部56は、例えば図6(b)に示す画像203のように、異常の要因が出力停止異常であることとその対策を表示する(ステップS211)。なお、画像202および画像203も、表示部56だけでなくHMI20にも表示されてよい。
On the other hand, when the elapsed time Δt2 exceeds the threshold value, the
以上説明した本実施形態によれば、制御システム1内で異常が発生した場合、分析部54が、その異常の要因を、ネットワークを介した攻撃か、または機器の故障であるかを判別する。これにより、異常の要因が特定されるので、迅速に対処することが可能となる。
According to the present embodiment described above, when an abnormality occurs in the
また、本実施形態では、異常の要因がネットワークを介した攻撃の場合、攻撃の内容が不正接続および不正操作に細分化されている。同様に、異常の要因が機器の故障である場合、故障の内容がデータ伝送の周期異常および出力停止異常に細分化されている。このように異常要因を細分化することによって、ユーザは異常の要因をより正確に把握して適切な処置を取ることが可能となる。なお、攻撃の細分化については、例えば、なりすまし、データ改ざん、否認、情報暴露、サービス不能、権限昇格などを追加してもよい。また、故障の細分化についても、動作の繰り返し等などを追加してもよい。 Further, in the present embodiment, when the cause of the abnormality is an attack via a network, the contents of the attack are subdivided into the unauthorized connection and the unauthorized operation. Similarly, when the cause of the abnormality is a device failure, the content of the failure is subdivided into a data transmission cycle abnormality and an output stop abnormality. By subdividing the cause of abnormality in this manner, the user can more accurately understand the cause of the abnormality and take appropriate measures. For example, spoofing, data falsification, denial, information disclosure, inability to service, privilege escalation, etc. may be added for the subdivision of attacks. Further, repetition of operation or the like may be added to the breakdown of the failure.
(第2実施形態)
以下、第2実施形態について、第1実施形態と異なる点を中心に説明する。本実施形態に係る制御システムでは、異常要因判定装置50の構成が第1実施形態と異なる。図7は、第2実施形態に係る異常要因判定装置の構成を示すブロック図である。上述した第1実施形態と同様の構成要素には同じ符号を付し、詳細な説明を省略する。
Second Embodiment
Hereinafter, the second embodiment will be described focusing on differences from the first embodiment. In the control system according to the present embodiment, the configuration of the abnormality
図7に示すように、本実施形態に係る異常要因判定装置50は、モード切替部57を有する点で第1実施形態と異なる。なお、本実施形態においても、異常要因判定装置50は、ハードウェアで実現されてもよいし、ソフトウェアで実現されてもよい。また、表示部56は、異常要因判定装置50の構成要素に含まれていてもよいし、異常要因判定装置50に外付けされてもよい。
As shown in FIG. 7, the abnormality
モード切替部57は、分析部54の動作モードを、異常の要因を判別する診断モードと、判定テーブルを作成する学習モードとの間で切り替える。モード切替部57は、予め設定された時間帯に応じて分析部54の動作モードを切り替えてもよいし、ユーザの操作を受け付けたときに切り替えてもよい。
The
診断モードでは、分析部54は、第1実施形態で説明したヘッダ情報判定処理および時間情報判定処理を順次に実行する。次に、図8を参照して診断モードの動作内容について説明する。
In the diagnosis mode, the
図8は、診断モードのフローチャートである。図8に示すフローチャートでは、通信インターフェース部51がネットワークスイッチ40を介してデータを受信し(ステップS301)、取得部53が、受信データのヘッダ情報を取得する(ステップS302)。このとき、取得部53は、タイマ部52から時刻情報を取得して、ヘッダ情報とともに分析部54へ出力する。
FIG. 8 is a flowchart of the diagnosis mode. In the flowchart shown in FIG. 8, the
分析部54は、ヘッダ情報に示された送信元IPアドレスおよび送信先IPアドレスがが保存部55に保存された判定テーブルに既に登録されているか否かを判定する(ステップS303)。送信元IPアドレスおよび送信先IPアドレスが登録されている場合、分析部54は、データ伝送の周期を算出して判定テーブルに登録する(ステップS304)。ステップS304では、分析部54は、時刻情報に示された現在時刻と判定テーブルに記録された前回取得時刻との差分時間を周期として算出する。
The
一方、送信元IPアドレスおよび送信先IPアドレスが登録されていない場合、分析部54は、これらと時刻情報を判定テーブルに登録する(ステップS305)。この時刻情報に示された現在時刻は、データ取得時刻として判定テーブルに記録される。診断モードでは、データ受信のたびに、上述したステップS301〜ステップS305の動作が繰り返される。
On the other hand, when the transmission source IP address and the transmission destination IP address are not registered, the
以上説明した本実施形態によれば、分析部54が診断モードである場合には第1実施形態と同様に、異常の要因が特定されるので、迅速に対処することが可能となる。さらに、学習モードでは、異常の要因を特定するための判定テーブルが自動的に作成される。よって、ユーザの負荷を軽減することが可能になる。
According to the present embodiment described above, when the
(第3実施形態)
第3実施形態に係る制御システムの構成は、図1に示す第1実施形態に係る制御システム1と同様であるため、詳細な説明を省略する。以下、本実施形態に係る異常要因判定装置50による異常要因判定方法について説明する。
Third Embodiment
The configuration of the control system according to the third embodiment is the same as that of the
図9は、第3実施形態に係る異常要因判定方法のフローチャートである。図9に示すフローチャートでは、まず、通信インターフェース部51がネットワークスイッチ40を介してデータを受信する(ステップS401)。
FIG. 9 is a flowchart of the abnormality factor determination method according to the third embodiment. In the flowchart shown in FIG. 9, first, the
次に、取得部53が、受信データからヘッダ情報および補助情報を取得して分析部54へ出力する(ステップS402)。補助情報は、例えば、センサ12のセンシングデータ、制御装置10の状態を示す情報、および動作ログ等の少なくとも一つを含んでいる。本実施形態では、この補助情報は、ネットワークを伝送するデータに含まれている。
Next, the
次に、分析部54が、ヘッダ情報および補助情報を分析し(ステップS403)、異常の有無を判定する(ステップS404)。ステップS404では、例えば、分析部54は、ヘッダ情報の送信元および送信先を保存部55の判定テーブルと照合した結果に応じて判定する。
Next, the
異常が検知されなかった場合、分析部54は正常であると判定する(ステップS405)。反対に、異常が検知された場合、分析部54は、異常の要因を判定する(ステップS406)。ステップS406では、例えば、分析部54は、第1実施形態と同様にヘッダ情報に基づいて異常の要因をネットワークを介した攻撃と判定する。または、分析部54は、補助情報に示されたセンシングデータに基づいて異常の要因を機器の故障と判定する。このようにして判定された結果は、表示部56とHMI20の少なくとも一方に表示される(ステップS407)。
If no abnormality is detected, the
以上説明した本実施形態によれば、分析部54によって異常の要因が特定されるので、迅速に対処することが可能となる。さらに、本実施形態では、分析部54は、ヘッダ情報だけでなく異常要因の判定を補助する補助情報も利用している。そのため、より高精度に異常の要因を判定することが可能となる。
According to the present embodiment described above, since the cause of the abnormality is identified by the
(第4実施形態)
第4実施形態は、上述した補助情報が伝送情報ではなく各制御装置10内に存在する点で第3実施形態と異なる。この補助情報は、例えば、制御装置10の自己診断機能の診断結果、制御装置10の状態情報、および制御装置10の動作ログの少なくとも一つを含んでいる。
Fourth Embodiment
The fourth embodiment is different from the third embodiment in that the above-described auxiliary information is present not in transmission information but in each
制御装置10の自己診断機能は、起動時や稼働中の定期的なタイミングで実施され、自己の機能が正しく動作しているかを診断する機能である。この診断結果を補助情報として利用することによって、ネットワークデータに含まれる情報だけでは分からない異常を検知することができる。また、制御装置の状態情報には、例えば、制御装置のON状態またはOFF状態、正常または異常、動作中または停止中などを示す情報が該当する。
The self-diagnosis function of the
以下、本実施形態に係る異常要因判定装置50による異常要因判定方法について説明する。図10は、第4実施形態に係る異常要因判定方法のフローチャートである。図10に示すフローチャートでは、まず、通信インターフェース部51がネットワークスイッチ40を介してデータを受信する(ステップS501)。
Hereinafter, an abnormality factor determination method by the abnormality
次に、取得部53が、受信データからヘッダ情報を取得して分析部54へ出力する(ステップS502)。続いて、分析部54は、ヘッダ情報を分析し(ステップS503)、異常の有無を判定する(ステップS504)。
Next, the
異常が検知されなかった場合、分析部54は正常であると判定する(ステップS505)。反対に、異常が検知された場合、分析部54は、異常の要因を分析し(ステップS506)、異常要因を特定できたか否かを判定する(ステップS507)。ステップS507では、例えば、ヘッダ情報と保存部55に保存された要因リストとの照合結果によって、両者の一致度が基準値以上であれば、異常要因を特定することができる。異常要因が特定されると、異常の内容とその対策が、表示部56とHMI20の少なくとも一方に表示される(ステップS508)。
If no abnormality is detected, the
ステップS507において、例えば、情報不足等により要因が特定できなかった場合、分析部54は、制御装置10に対して補助情報を要求する(ステップS509)。その後、分析部54は、制御装置10から取得した補助情報と、先に取得したヘッダ情報とを用いて再度異常要因を分析する。このとき、分析部54は、異常要因を特定できるまで制御装置10から1つずつ補助情報を取得しながら異常要因を分析する処理を繰り返してもよい。また、分析部54は、制御装置10から一斉に補助情報を取得して一度の処理で異常要因を分析してもよい。
In step S507, for example, when a factor can not be identified due to a lack of information or the like, the
以上説明した本実施形態によれば、第3実施形態と同様に、補助情報を利用することによって、より高精度に異常の要因を判定することが可能となる。さらに本実施形態では、補助情報は必要に応じて取得されるので、装置の処理負荷を軽減することが可能となる。 According to the present embodiment described above, as in the third embodiment, by using the auxiliary information, it is possible to more accurately determine the cause of the abnormality. Furthermore, in the present embodiment, the auxiliary information is acquired as needed, so that the processing load on the apparatus can be reduced.
なお、本実施形態に係る異常要因判定装置50は、異常要因を特定できない場合に制御装置10から補助情報を取得しているが、補助情報の取得形態はこれに限定されない。例えば、異常要因判定装置50は、定期的に制御装置10から補助情報を取得してもよい。この場合も、高精度に異常の要因を判定することが可能となる。
Note that the abnormality
(変形例)
図11は、変形例に係る制御システムの構成を示すブロック図である。図11に示す制御システム1aでは、各制御装置10内に異常要因判定装置50aが設けられている。各異常要因判定装置50aは、上述した第1実施形態〜第4実施形態の異常要因判定装置50のいずれかを適用できる。
(Modification)
FIG. 11 is a block diagram illustrating a configuration of a control system according to a modification. In the
異常要因判定装置50aは、ネットワークスイッチ14を介して制御装置10内のネットワークに接続されている。異常要因判定装置50aは、制御装置10内で発生した異常要因を、ネットワークを介した攻撃か、または制御対象の機器の故障であるかを判別する。各異常要因判定装置50aで判別された異常要因は、ネットワークスイッチ40を介して異常要因判定装置50bに送信される。異常要因判定装置50bは、これらの異常要因に基づいてシステム全体の異常要因を特定する。なお、異常要因判定装置50aと異常要因判定装置50bとの通信は、無線で直接的に行ってもよい。
The abnormality
以上説明した本変形例によれば、第1実施形態〜第4実施形態で説明した異常要因判定装置50の処理機能を異常要因判定装置50aと異常要因判定装置50bとに分担させている。このような処理形式であっても異常の要因を判別できるので、迅速に対処することができる。
According to this modification described above, the processing function of the abnormality
なお、上述した実施形態および変形例では、異常が検知された場合にその異常の要因を「攻撃」または「故障」に判別しているが、異常検知処理と要因判別処理を同時に実施してもよい。この場合、例えば、正常と各異常の要因を識別するようなクラスタ分析を行うことによって、異常の要因を一つまたは少数に絞り込むことができる。 In the above-described embodiment and modification, when an abnormality is detected, the cause of the abnormality is determined to be “attack” or “failure”. However, even if the abnormality detection process and the factor determination process are performed at the same time, Good. In this case, for example, the cause of the abnormality can be narrowed down to one or a few by performing cluster analysis to identify the cause of each abnormality from normal.
以上、いくつかの実施形態および変形例を説明したが、これらの実施形態は、例としてのみ提示したものであり、発明の範囲を限定することを意図したものではない。本明細書で説明した新規なシステムは、その他の様々な形態で実施することができる。また、本明細書で説明したシステムの形態に対し、発明の要旨を逸脱しない範囲内で、種々の省略、置換、変更を行うことができる。添付の特許請求の範囲およびこれに均等な範囲は、発明の範囲や要ことに含まれるこのような形態や変形例を含むように意図されている。 Although several embodiments and modifications have been described above, these embodiments are presented only as examples and are not intended to limit the scope of the invention. The novel systems described herein can be implemented in various other forms. In addition, various omissions, substitutions, and changes can be made to the form of the system described in the present specification without departing from the scope of the invention. The appended claims and their equivalents are intended to cover such forms and modifications as would fall within the scope and spirit of the invention.
10 制御装置、40 ネットワークスイッチ、50 異常要因判定装置、53 取得部、54 分析部、55 保存部、56 表示部
DESCRIPTION OF
Claims (13)
前記データ通信で用いられるデータに含まれる情報を取得する取得部と、
前記情報を分析し、その分析結果に基づいて前記制御システムで発生した異常の要因を、前記ネットワークを介した攻撃か、または前記機器の故障であるかを判別する分析部と、を備える異常要因判定装置。 An abnormality factor determination device provided in a control system including a control device that controls a device by data communication via a network,
An acquisition unit for acquiring information included in data used in the data communication;
An abnormality factor comprising: an analysis unit that analyzes the information and determines whether an abnormality factor occurring in the control system is an attack via the network or a failure of the device based on the analysis result Judgment device.
前記分析部は、前記ヘッダ情報に示された前記送信元および前記送信先の組み合わせが前記判定テーブルに登録されていない場合、前記異常の要因を前記攻撃と判定する、請求項3に記載の異常要因判定装置。 The information is header information indicating a transmission source and a transmission destination of the data,
The abnormality according to claim 3, wherein the analysis unit determines that the cause of the abnormality is the attack when the combination of the transmission source and the transmission destination indicated in the header information is not registered in the determination table. Factor determination device.
前記分析部は、前回から今回までの前記データの取得時刻の差分時間が前記伝送周期の許容範囲外である場合、前記異常の要因を前記故障と判定する、請求項3から5のいずれかに記載の異常要因判定装置。 The determination table indicates a transmission cycle of the data set in advance for each combination,
The analysis unit determines that the cause of the abnormality is the failure when a difference time between acquisition times of the data from the previous time to the current time is out of an allowable range of the transmission cycle. The abnormality factor determination device described above.
前記異常要因判定装置は、
前記データ通信で用いられるデータに含まれる情報を取得する取得部と、
前記情報を分析し、その分析結果に基づいて前記制御システムで発生した異常の要因を、前記ネットワークを介した攻撃か、または前記機器の故障であるかを判別する分析部と、を有する、制御システム。 A control system comprising: a control device that controls equipment by data communication via a network; a network switch that connects the control device to the network; and an abnormality factor determination device that is connected to the network switch,
The abnormality factor determination device is
An acquisition unit for acquiring information included in data used in the data communication;
An analysis unit that analyzes the information and determines whether an abnormality factor that has occurred in the control system is an attack via the network or a failure of the device based on the analysis result, system.
前記データ通信で用いられるデータに含まれる情報を取得し、
前記情報を分析し、
分析結果に基づいて前記制御システムで発生した異常の要因を、前記ネットワークを介した攻撃か、または前記機器の故障であるかを判別する、異常要因判定方法。 A method of determining an abnormal factor of a control system including a control device that controls an apparatus by data communication via a network, the method comprising:
Obtaining information contained in the data used in the data communication;
Analyze the information,
The abnormal factor determination method which determines whether the cause of the abnormality which generate | occur | produced in the said control system based on an analysis result is the attack via the said network, or it is a failure of the said apparatus.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018010012A JP6937251B2 (en) | 2018-01-24 | 2018-01-24 | Abnormal factor determination device, control system, and abnormal factor determination method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018010012A JP6937251B2 (en) | 2018-01-24 | 2018-01-24 | Abnormal factor determination device, control system, and abnormal factor determination method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019129412A true JP2019129412A (en) | 2019-08-01 |
JP6937251B2 JP6937251B2 (en) | 2021-09-22 |
Family
ID=67472392
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018010012A Active JP6937251B2 (en) | 2018-01-24 | 2018-01-24 | Abnormal factor determination device, control system, and abnormal factor determination method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6937251B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117686682A (en) * | 2024-02-04 | 2024-03-12 | 新奥新能源工程技术有限公司 | Indoor gas fault monitoring method and system |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016170664A1 (en) * | 2015-04-24 | 2016-10-27 | 株式会社日立製作所 | Abnormal-packet filtering apparatus and abnormal-packet filtering method |
JP2017192105A (en) * | 2016-04-15 | 2017-10-19 | 株式会社東芝 | Redundancy processing unit, and abnormality determination method |
JP2017191958A (en) * | 2016-04-11 | 2017-10-19 | 株式会社日立製作所 | Redundancy management system, redundancy switching method, and redundancy switching program |
JP2017216569A (en) * | 2016-05-31 | 2017-12-07 | 株式会社日立製作所 | Communication device, control system, and communication control method |
JP2018007179A (en) * | 2016-07-07 | 2018-01-11 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Device, method and program for monitoring |
-
2018
- 2018-01-24 JP JP2018010012A patent/JP6937251B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016170664A1 (en) * | 2015-04-24 | 2016-10-27 | 株式会社日立製作所 | Abnormal-packet filtering apparatus and abnormal-packet filtering method |
JP2017191958A (en) * | 2016-04-11 | 2017-10-19 | 株式会社日立製作所 | Redundancy management system, redundancy switching method, and redundancy switching program |
JP2017192105A (en) * | 2016-04-15 | 2017-10-19 | 株式会社東芝 | Redundancy processing unit, and abnormality determination method |
JP2017216569A (en) * | 2016-05-31 | 2017-12-07 | 株式会社日立製作所 | Communication device, control system, and communication control method |
JP2018007179A (en) * | 2016-07-07 | 2018-01-11 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Device, method and program for monitoring |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117686682A (en) * | 2024-02-04 | 2024-03-12 | 新奥新能源工程技术有限公司 | Indoor gas fault monitoring method and system |
CN117686682B (en) * | 2024-02-04 | 2024-04-16 | 新奥新能源工程技术有限公司 | Indoor gas fault monitoring method and system |
Also Published As
Publication number | Publication date |
---|---|
JP6937251B2 (en) | 2021-09-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6711710B2 (en) | Monitoring device, monitoring method, and monitoring program | |
US9866577B2 (en) | Method for detecting intrusions on a set of virtual resources | |
US10833889B2 (en) | Method and device for monitoring control systems | |
JP6711452B2 (en) | Extraction device, extraction method, and program | |
CN105553973A (en) | System and method for detecting industrial control equipment abnormality | |
JP2019050477A (en) | Incident analysis device and analysis method thereof | |
JP6937251B2 (en) | Abnormal factor determination device, control system, and abnormal factor determination method | |
US20170026341A1 (en) | Automation network and method for monitoring the security of the transfer of data packets | |
US11095651B2 (en) | Communication apparatus and non-transitory computer readable storage medium | |
WO2019240020A1 (en) | Improper communication detector, improper communication detection method, and manufacturing system | |
WO2014042636A1 (en) | Packet intrusion inspection in an industrial control network | |
JP7462550B2 (en) | Communication monitoring and handling device, communication monitoring and handling method, and communication monitoring and handling system | |
JP7102315B2 (en) | Abnormal factor determination device, control system, and abnormal factor determination method | |
KR101970523B1 (en) | Facilities control system and operating method of the same | |
JP7186518B2 (en) | Abnormality Diagnosis Device, Abnormality Diagnosis System and Abnormality Diagnosis Method | |
US10805334B2 (en) | Method and system for detection and avoidance of weaknesses in a network connected device | |
JP2019205125A (en) | Abnormal factor determination device, control system, and abnormal factor determination method | |
JP2019004284A (en) | Abnormality detection device and abnormality detection method | |
JP7034885B2 (en) | Abnormal factor determination device and its display device | |
US20230216873A1 (en) | Detection system, detection method, and recording medium | |
US20220150142A1 (en) | Monitoring system, setting device, and monitoring method | |
JP7010268B2 (en) | Communication monitoring system and communication monitoring method | |
JP6869869B2 (en) | Countermeasure planning system and monitoring device for control system | |
JP2018142092A (en) | Operation checking device, operation checking program, operation checking method, and operation checking system | |
JP4572906B2 (en) | Terminal monitoring system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200302 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210202 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210319 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210513 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210803 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210830 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6937251 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |