JP2019129412A - Abnormal factor determination device, control system, and abnormal factor determination method - Google Patents

Abnormal factor determination device, control system, and abnormal factor determination method Download PDF

Info

Publication number
JP2019129412A
JP2019129412A JP2018010012A JP2018010012A JP2019129412A JP 2019129412 A JP2019129412 A JP 2019129412A JP 2018010012 A JP2018010012 A JP 2018010012A JP 2018010012 A JP2018010012 A JP 2018010012A JP 2019129412 A JP2019129412 A JP 2019129412A
Authority
JP
Japan
Prior art keywords
abnormality
factor determination
information
analysis unit
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018010012A
Other languages
Japanese (ja)
Other versions
JP6937251B2 (en
Inventor
俊也 丸地
Shunya Maruchi
俊也 丸地
秀享 三宅
Hideyuki Miyake
秀享 三宅
遵 金井
Jun Kanai
遵 金井
森 俊樹
Toshiki Mori
俊樹 森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Energy Systems and Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Energy Systems and Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Energy Systems and Solutions Corp filed Critical Toshiba Corp
Priority to JP2018010012A priority Critical patent/JP6937251B2/en
Publication of JP2019129412A publication Critical patent/JP2019129412A/en
Application granted granted Critical
Publication of JP6937251B2 publication Critical patent/JP6937251B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

To provide an abnormal factor determination device capable of quickly responding to system abnormality.SOLUTION: According to one embodiment, an abnormal factor determination device is provided in a control system that includes a control unit to control equipment by data communication via a network. The abnormal factor determination device includes: an acquisition section which acquires information included in data used in the data communication; and an analytical section which analyzes the information and determines, based on analysis results of the information, whether a factor of abnormality occurring in the control system is an attack via the network or a failure of the equipment.SELECTED DRAWING: Figure 1

Description

本発明の実施形態は、異常要因判定装置、制御システム、および異常要因判定方法に関する。   Embodiments of the present invention relate to an abnormality factor determination device, a control system, and an abnormality factor determination method.

プラントやFA(Factory Automation)等に設置された機器を制御する制御システムでは、近年、ネットワーク化が進んでいる。このような制御システムでは、ネットワークのセキュリティ対策が重要になる。
そこで、制御システム内におけるネットワークの異常を検知するIDS(Intrusion Detection System)と呼ばれる装置が知られている。
In the control system which controls the equipment installed in a plant, FA (Factory Automation), etc., networking has advanced in recent years. In such a control system, network security measures are important.
Therefore, a device called an IDS (Intrusion Detection System) for detecting a network abnormality in a control system is known.

特開2012−169731号公報JP 2012-169731 A

上述した制御システムで起こり得る異常は、例えば、ネットワークを介した攻撃と、機器の故障との2種類に分類できる。これらの異常に対して取るべき対策は、全く異なる。   Abnormalities that may occur in the control system described above can be classified into, for example, two types: attacks via networks and equipment failures. The measures to be taken against these anomalies are quite different.

しかし、従来の装置は、上記2種類の異常のうち、いずれか一方のみを検知することを前提としているので、異常の要因を特定できない。そのため、制御システムで異常が発生した場合、異常への対処に多くの時間を要することが予想される。   However, since the conventional apparatus is premised on detecting only one of the above two types of abnormalities, it can not identify the cause of the abnormality. Therefore, when an abnormality occurs in the control system, it is expected that it will take a lot of time to cope with the abnormality.

本発明の実施形態は、システムの異常に対して迅速に対処することが可能な異常要因判定装置、制御システム、および異常要因判定方法を提供することを目的とする。   An embodiment of the present invention aims to provide an abnormality factor determination device, a control system, and an abnormality factor determination method capable of quickly dealing with a system abnormality.

一実施形態によれば、異常要因判定装置は、ネットワークを介したデータ通信により機器を制御する制御装置を含む制御システム内に設けられている。この異常要因判定装置は、データ通信で用いられるデータに含まれる情報を取得する取得部と、その情報を分析し、その分析結果に基づいて制御システムで発生した異常の要因を、ネットワークに対する攻撃か、または機器の故障であるかを判別する分析部と、を備える。   According to one embodiment, the abnormality factor determination device is provided in a control system that includes a control device that controls the device by data communication via a network. This abnormality factor determination device includes an acquisition unit that acquires information included in data used in data communication, analyzes the information, and determines whether the abnormality factor that has occurred in the control system based on the analysis result is an attack on the network. Or an analysis unit for discriminating whether the device is malfunctioning.

本実施形態によれば、制御システムの異常に対して迅速に対処することが可能となる。   According to the present embodiment, it is possible to promptly cope with the abnormality of the control system.

第1実施形態に係る制御システムの構成を示すブロック図である。It is a block diagram which shows the structure of the control system which concerns on 1st Embodiment. (a)は判定テーブルの一例を示す図であり、(b)は判定テーブルの他の一例を示す図である。(A) is a figure which shows an example of a determination table, (b) is a figure which shows another example of a determination table. ヘッダ情報判定処理のフローチャートである。It is a flowchart of a header information determination process. (a)は不正操作異常を通知するための表示画像の一例であり、(b)は不正接続異常を通知するための表示画像の一例である。(A) is an example of a display image for notifying an unauthorized operation abnormality, and (b) is an example of a display image for notifying an unauthorized connection abnormality. 時刻情報判定処理のフローチャートである。It is a flowchart of a time information determination process. (a)は周期異常を通知するための表示画像の一例であり、(b)は出力停止異常を通知するための表示画像の一例である。(A) is an example of the display image for notifying periodic abnormality, (b) is an example of the display image for notifying an output stop abnormality. 第2実施形態に係る異常要因判定装置の構成を示すブロック図である。It is a block diagram which shows the structure of the abnormality factor determination apparatus which concerns on 2nd Embodiment. 診断モードのフローチャートである。It is a flowchart of diagnostic mode. 第3実施形態に係る異常要因判定方法のフローチャートである。It is a flow chart of the unusual factor judging method concerning a 3rd embodiment. 図10は、第4実施形態に係る異常要因判定方法のフローチャートである。FIG. 10 is a flowchart of the abnormality factor determination method according to the fourth embodiment. 変形例に係る制御システムの構成を示すブロック図である。It is a block diagram showing composition of a control system concerning a modification.

以下、本発明の実施形態を図面を参照して説明する。本実施形態は、本発明を限定するものではない。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. This embodiment does not limit the present invention.

(第1実施形態)
図1は、第1実施形態に係る制御システムの構成を示すブロック図である。図1に示す制御システム1は、制御装置10と、HMI(Human Machine Interface)20と、ツール30と、ネットワークスイッチ40と、異常要因判定装置50と、を備える。
First Embodiment
FIG. 1 is a block diagram illustrating a configuration of a control system according to the first embodiment. A control system 1 shown in FIG. 1 includes a control device 10, an HMI (Human Machine Interface) 20, a tool 30, a network switch 40, and an abnormality factor determination device 50.

制御装置10は、ネットワークを介したデータ通信により、プラントやFA等に設置された機器を制御する。制御装置10は、例えば、図1に示すようにコントローラ11と、センサ12と、アクチュエータ13と、を有する。コントローラ11は、例えばPLC(Programmable Logic Controller)で構成されている。センサ12は、制御対象機器の状態や環境等をセンシングする。アクチュエータ13は、コントローラ11の制御に基づいて動作する。本実施形態では、複数の制御装置10が制御システム1内に設けられているが、制御装置10の数は特に制限されない。さらに、制御装置10の構成も、上記機器を制御する構成であればよく、図1に示す構成に限定されない。   The control device 10 controls devices installed in a plant or an FA by data communication via a network. The control device 10 has, for example, a controller 11, a sensor 12, and an actuator 13 as shown in FIG. The controller 11 is configured by, for example, a PLC (Programmable Logic Controller). The sensor 12 senses the state of the control target device, the environment, and the like. The actuator 13 operates based on the control of the controller 11. Although a plurality of control devices 10 are provided in the control system 1 in the present embodiment, the number of control devices 10 is not particularly limited. Furthermore, the configuration of the control device 10 may be any configuration that controls the above-described device, and is not limited to the configuration shown in FIG.

HMI20は、ネットワークスイッチ40を介して各制御装置10の状態を監視する。ツール30は、ネットワークスイッチ40を介して各制御装置10の制御プログラムを変更するエンジニアリングツールである。   The HMI 20 monitors the state of each control device 10 via the network switch 40. The tool 30 is an engineering tool that changes the control program of each control device 10 via the network switch 40.

ネットワークスイッチ40は、各制御装置10をネットワークに接続する。本実施形態では、このネットワークは、Ethernet(登録商標)であるが、他の規格のネットワークであってもよい。また、ネットワークスイッチ40はミラーポートを有し、このミラーポートに異常要因判定装置50が接続される。これにより、異常要因判定装置50は、ネットワークスイッチ40を介して、制御システム1内を伝送するパケット形式の全てのデータを取得できる。   The network switch 40 connects each control device 10 to the network. In this embodiment, this network is Ethernet (registered trademark), but may be a network of another standard. Also, the network switch 40 has a mirror port, and the abnormality factor determination device 50 is connected to this mirror port. As a result, the abnormality factor determination device 50 can acquire all data in the packet format transmitted in the control system 1 through the network switch 40.

異常要因判定装置50は、図1に示すように通信インターフェース部51と、タイマ部52と、取得部53と、分析部54と、保存部55と、表示部56と、を有する。異常要因判定装置50を構成するこれらの構成要素は、ハードウェアで実現されてもよいし、ソフトウェアで実現されてもよい。また、表示部56は、異常要因判定装置50の構成要素に含まれていてもよいし、異常要因判定装置50に外付けされてもよい。   As illustrated in FIG. 1, the abnormality factor determination device 50 includes a communication interface unit 51, a timer unit 52, an acquisition unit 53, an analysis unit 54, a storage unit 55, and a display unit 56. These components constituting the abnormality factor determination device 50 may be realized by hardware or may be realized by software. Further, the display unit 56 may be included in the components of the abnormality factor determination device 50 or may be externally attached to the abnormality factor determination device 50.

通信インターフェース部51は、ネットワークスイッチ40を介してデータを入出力する。タイマ部52は現在時刻を取得する。取得部53は、通信インターフェース部51で受信したデータからヘッダ情報を取得する。また、取得部53は、タイマ部52から取得した時刻情報をヘッダ情報に付与して分析部54へ出力する。   The communication interface unit 51 inputs and outputs data via the network switch 40. The timer unit 52 acquires the current time. The acquisition unit 53 acquires header information from the data received by the communication interface unit 51. In addition, the acquisition unit 53 adds the time information acquired from the timer unit 52 to the header information and outputs the header information to the analysis unit 54.

分析部54は、取得部53から入力された情報を分析し、その分析結果に基づいて異常の要因を判別する。保存部55は、分析部54で用いられる判定テーブルを保存する。ここで図2(a)および図2(b)を参照して判定テーブルについて説明する。   The analysis unit 54 analyzes the information input from the acquisition unit 53, and determines the cause of the abnormality based on the analysis result. The storage unit 55 stores the determination table used by the analysis unit 54. Here, the determination table will be described with reference to FIGS. 2 (a) and 2 (b).

図2(a)に示す判定テーブル100は、予めデータ通信が許可された送信元と送信先の組み合わせと、その組み合わせ毎に予め設定されたデータの伝送周期と、前回のデータ取得時刻と、を示す。判定テーブル100では、IPアドレスが送信元および送信先の識別情報として用いられている。また、データ取得時刻は、データ取得のたびに更新される。一方、図2(b)に示す判定テーブル101は、判定テーブル100の項目に加えてプロトコル情報も示す。この判定テーブル101によれば、セキュリティの判定をより厳密にすることができる。   The determination table 100 shown in FIG. 2A includes a combination of a transmission source and a transmission destination for which data communication is permitted in advance, a data transmission cycle set in advance for each combination, and a previous data acquisition time. Show. In the determination table 100, the IP address is used as identification information of the transmission source and the transmission destination. Also, the data acquisition time is updated each time data is acquired. On the other hand, the determination table 101 shown in FIG. 2B indicates protocol information in addition to the items of the determination table 100. According to this determination table 101, security determination can be made more strict.

以下、上述した異常要因判定装置50による異常要因判定方法について説明する。異常要因判定装置50は、制御システム1で発生した異常の要因を判別するために、新規データを受信するたびにヘッダ情報判定処理および時間情報判定処理を順次に行う。   Hereinafter, an abnormality factor determination method by the above-described abnormality factor determination device 50 will be described. The abnormality factor determination device 50 sequentially performs a header information determination process and a time information determination process each time new data is received in order to determine the cause of the abnormality that has occurred in the control system 1.

図3は、ヘッダ情報判定処理のフローチャートである。図3に示すフローチャートでは、まず、通信インターフェース部51がネットワークスイッチ40を介してデータを受信する(ステップS101)。続いて、取得部53が、通信インターフェース部51で受信されたデータのヘッダ情報を取得する(ステップS102)。このとき、取得部53は、タイマ部52から時刻情報を取得して、ヘッダ情報とともに分析部54へ出力する。   FIG. 3 is a flowchart of the header information determination process. In the flowchart shown in FIG. 3, first, the communication interface unit 51 receives data via the network switch 40 (step S101). Subsequently, the acquisition unit 53 acquires header information of the data received by the communication interface unit 51 (step S102). At this time, the acquisition unit 53 acquires time information from the timer unit 52 and outputs the time information to the analysis unit 54 together with the header information.

分析部54は、ヘッダ情報に示された送信元IPアドレスおよび送信先IPアドレスの組み合わせが、保存部55の判定テーブルに登録されているか否かを判定する(ステップS103)。上記組み合わせが登録されている場合、分析部54は、正常であると判定する(ステップS104)。   The analysis unit 54 determines whether or not the combination of the transmission source IP address and the transmission destination IP address indicated in the header information is registered in the determination table of the storage unit 55 (step S103). If the combination is registered, the analysis unit 54 determines that the combination is normal (step S104).

上記組み合わせが登録されていない場合、分析部54は、判定テーブルに登録された複数の送信元IPアドレスの中で、ヘッダ情報の送信元IPアドレスと一致するものが存在するか否かを探索する(ステップS105)。一致する送信元IPアドレスが存在する場合、分析部54は、検知フラグFLGを「1」に設定する(ステップS106)。反対に、一致する送信元IPアドレスが存在しない場合、分析部54は、検知フラグFLGを「0」に設定する(ステップS107)。   When the combination is not registered, the analysis unit 54 searches for a match with the source IP address of the header information among the plurality of source IP addresses registered in the determination table. (Step S105). If there is a matching source IP address, the analysis unit 54 sets the detection flag FLG to “1” (step S106). Conversely, if there is no matching source IP address, the analysis unit 54 sets the detection flag FLG to “0” (step S107).

検知フラグFLGが「1」である場合、送信元IPアドレスのみが判定テーブルに登録されているので、当該送信元IPアドレスに対応する端末が不正に操作されている可能性がある。そのため、分析部54は、ネットワークを介した攻撃が送信元の不正操作であると判定する。この場合、表示部56は、例えば図4(a)に示す画像200のように、異常の要因が不正操作であることとその対策を表示する(ステップS108)。   When the detection flag FLG is “1”, since only the source IP address is registered in the determination table, there is a possibility that the terminal corresponding to the source IP address is illegally operated. Therefore, the analysis unit 54 determines that the attack via the network is an unauthorized operation of the transmission source. In this case, the display unit 56 displays that the cause of the abnormality is an unauthorized operation and countermeasures, for example, as in an image 200 shown in FIG. 4A (step S108).

一方、検知フラグFLGが「0」である場合、送信元および送信先のそれぞれのIPアドレスが判定テーブルに登録されていないので、不正な接続が発生した可能性がある。そのため、分析部54は、ネットワークを介した攻撃が不正接続であると判定する。この場合、表示部56は、例えば図4(b)に示す画像201のように、異常の要因が不正接続であることとその対策を表示する(ステップS109)。なお、分析部54がネットワークを介した攻撃内容を分析する際、図2(b)に示す判定テーブル101を用いると、不正なプロトコルによる接続を検知することができる。また、画像200および画像201は、表示部56だけでなくHMI20にも表示されてよい。   On the other hand, when the detection flag FLG is “0”, the IP addresses of the transmission source and the transmission destination are not registered in the determination table, so there is a possibility that an illegal connection has occurred. Therefore, the analysis unit 54 determines that the attack via the network is an unauthorized connection. In this case, the display unit 56 displays that the cause of the abnormality is an unauthorized connection and countermeasures, for example, as in the image 201 shown in FIG. 4B (step S109). Note that, when the analysis unit 54 analyzes the content of the attack via the network, using the determination table 101 shown in FIG. 2B, it is possible to detect a connection based on an unauthorized protocol. Further, the image 200 and the image 201 may be displayed not only on the display unit 56 but also on the HMI 20.

以上説明したヘッダ情報判定処理が完了すると、次に時刻情報判定処理が実行される。図5は、時刻情報判定処理のフローチャートである。図5に示すフローチャートでは、通信インターフェース部51がデータを受信した場合(ステップS201)、分析部54は、上述したヘッダ情報判定処理で取得部53から入力されたヘッダ情報および時刻情報に基づいて差分時間Δt1を算出する(ステップS202)。差分時間Δt1は、時刻情報に示された現在時刻と、判定テーブルに記録された前回のデータ取得時刻の差に相当する。すなわち、差分時間Δt1は、前回から今回までのデータの取得時刻の差分時間に相当する。   When the header information determination process described above is completed, a time information determination process is next executed. FIG. 5 is a flowchart of the time information determination process. In the flowchart shown in FIG. 5, when the communication interface unit 51 receives data (step S201), the analysis unit 54 performs a difference based on the header information and time information input from the acquisition unit 53 in the header information determination process described above. The time Δt1 is calculated (step S202). The difference time Δt1 corresponds to the difference between the current time indicated in the time information and the previous data acquisition time recorded in the determination table. That is, the difference time Δt1 corresponds to the difference time of the acquisition time of the data from the previous time to the current time.

続いて、分析部54は、算出した差分時間Δt1が伝送周期の許容範囲内であるか否かを判定する(ステップS203)。許容範囲は、例えば、判定テーブルに記録された伝送周期の±10%に設定されている。差分時間Δt1が許容範囲内である場合、分析部54は、正常であると判定し、判定テーブルの前回取得時刻を今回の取得時刻に更新する(ステップS204)。   Subsequently, the analysis unit 54 determines whether the calculated difference time Δt1 is within the allowable range of the transmission cycle (step S203). The allowable range is set to, for example, ± 10% of the transmission cycle recorded in the determination table. When the difference time Δt1 is within the allowable range, the analysis unit 54 determines that the difference is normal, and updates the previous acquisition time in the determination table to the current acquisition time (step S204).

一方、差分時間Δt1が許容範囲外である場合、分析部54は、異常の要因を機器の故障に分類される伝送周期異常と判定する(ステップS205)。この場合、表示部56は、例えば図6(a)に示す画像202のように、異常の要因が伝送周期異常であることとその対策を表示する(ステップS206)。   On the other hand, when the difference time Δt1 is outside the allowable range, the analysis unit 54 determines that the abnormality factor is a transmission cycle abnormality classified as a device failure (step S205). In this case, the display unit 56 displays that the cause of the abnormality is a transmission cycle abnormality and a countermeasure against it, as in the image 202 shown in FIG. 6A, for example (step S206).

ステップS201において、通信インターフェース部51がデータを受信していない場合、分析部54は、経過時間Δt2を算出する(ステップS207)。経過時間Δt2は、タイマ部52の時刻情報に示された現在時刻と判定テーブルに記録された前回のデータ取得時刻の差に相当する。すなわち、経過時間Δt2は、前回のデータ取得時刻からの経過時間に相当する。   In step S201, when the communication interface unit 51 does not receive data, the analysis unit 54 calculates an elapsed time Δt2 (step S207). The elapsed time Δt2 corresponds to the difference between the current time indicated by the time information of the timer unit 52 and the previous data acquisition time recorded in the determination table. That is, the elapsed time Δt2 corresponds to the elapsed time from the previous data acquisition time.

続いて、分析部54は、算出した経過時間Δt2が周期に基づいて設定されたしきい値を超えているか否かを判定する(ステップS208)。しきい値は、例えば伝送周期の2倍に設定される。経過時間Δt2がしきい値を超えていない場合、分析部54は、正常であると判定する(ステップS209)。   Subsequently, the analysis unit 54 determines whether the calculated elapsed time Δt2 exceeds the threshold set based on the period (step S208). The threshold is set to, for example, twice the transmission cycle. If the elapsed time Δt2 does not exceed the threshold value, the analysis unit 54 determines that it is normal (step S209).

一方、経過時間Δt2がしきい値を超えた場合、分析部54は、異常の要因を機器の故障に分類される出力停止異常と判定する(ステップS210)。この場合、表示部56は、例えば図6(b)に示す画像203のように、異常の要因が出力停止異常であることとその対策を表示する(ステップS211)。なお、画像202および画像203も、表示部56だけでなくHMI20にも表示されてよい。   On the other hand, when the elapsed time Δt2 exceeds the threshold value, the analysis unit 54 determines that the cause of the abnormality is an output stop abnormality classified as a failure of the device (step S210). In this case, the display unit 56 displays that the cause of the abnormality is an output stop abnormality and a countermeasure for the abnormality, as in an image 203 shown in FIG. 6B, for example (step S211). The image 202 and the image 203 may be displayed not only on the display unit 56 but also on the HMI 20.

以上説明した本実施形態によれば、制御システム1内で異常が発生した場合、分析部54が、その異常の要因を、ネットワークを介した攻撃か、または機器の故障であるかを判別する。これにより、異常の要因が特定されるので、迅速に対処することが可能となる。   According to the present embodiment described above, when an abnormality occurs in the control system 1, the analysis unit 54 determines whether the cause of the abnormality is an attack through the network or a device failure. As a result, the cause of the abnormality is identified, and it is possible to cope with it promptly.

また、本実施形態では、異常の要因がネットワークを介した攻撃の場合、攻撃の内容が不正接続および不正操作に細分化されている。同様に、異常の要因が機器の故障である場合、故障の内容がデータ伝送の周期異常および出力停止異常に細分化されている。このように異常要因を細分化することによって、ユーザは異常の要因をより正確に把握して適切な処置を取ることが可能となる。なお、攻撃の細分化については、例えば、なりすまし、データ改ざん、否認、情報暴露、サービス不能、権限昇格などを追加してもよい。また、故障の細分化についても、動作の繰り返し等などを追加してもよい。   Further, in the present embodiment, when the cause of the abnormality is an attack via a network, the contents of the attack are subdivided into the unauthorized connection and the unauthorized operation. Similarly, when the cause of the abnormality is a device failure, the content of the failure is subdivided into a data transmission cycle abnormality and an output stop abnormality. By subdividing the cause of abnormality in this manner, the user can more accurately understand the cause of the abnormality and take appropriate measures. For example, spoofing, data falsification, denial, information disclosure, inability to service, privilege escalation, etc. may be added for the subdivision of attacks. Further, repetition of operation or the like may be added to the breakdown of the failure.

(第2実施形態)
以下、第2実施形態について、第1実施形態と異なる点を中心に説明する。本実施形態に係る制御システムでは、異常要因判定装置50の構成が第1実施形態と異なる。図7は、第2実施形態に係る異常要因判定装置の構成を示すブロック図である。上述した第1実施形態と同様の構成要素には同じ符号を付し、詳細な説明を省略する。
Second Embodiment
Hereinafter, the second embodiment will be described focusing on differences from the first embodiment. In the control system according to the present embodiment, the configuration of the abnormality factor determination device 50 is different from that of the first embodiment. FIG. 7 is a block diagram illustrating a configuration of the abnormality factor determination device according to the second embodiment. The same code | symbol is attached | subjected to the component similar to 1st Embodiment mentioned above, and detailed description is abbreviate | omitted.

図7に示すように、本実施形態に係る異常要因判定装置50は、モード切替部57を有する点で第1実施形態と異なる。なお、本実施形態においても、異常要因判定装置50は、ハードウェアで実現されてもよいし、ソフトウェアで実現されてもよい。また、表示部56は、異常要因判定装置50の構成要素に含まれていてもよいし、異常要因判定装置50に外付けされてもよい。   As shown in FIG. 7, the abnormality factor determination device 50 according to the present embodiment differs from the first embodiment in that the mode switching unit 57 is provided. Also in the present embodiment, the abnormality factor determination device 50 may be realized by hardware or software. Further, the display unit 56 may be included in the components of the abnormality factor determination device 50 or may be externally attached to the abnormality factor determination device 50.

モード切替部57は、分析部54の動作モードを、異常の要因を判別する診断モードと、判定テーブルを作成する学習モードとの間で切り替える。モード切替部57は、予め設定された時間帯に応じて分析部54の動作モードを切り替えてもよいし、ユーザの操作を受け付けたときに切り替えてもよい。   The mode switching unit 57 switches the operation mode of the analysis unit 54 between a diagnostic mode for determining a cause of abnormality and a learning mode for generating a determination table. The mode switching unit 57 may switch the operation mode of the analysis unit 54 according to a preset time zone, or may be switched when a user operation is accepted.

診断モードでは、分析部54は、第1実施形態で説明したヘッダ情報判定処理および時間情報判定処理を順次に実行する。次に、図8を参照して診断モードの動作内容について説明する。   In the diagnosis mode, the analysis unit 54 sequentially executes the header information determination process and the time information determination process described in the first embodiment. Next, the operation contents of the diagnostic mode will be described with reference to FIG.

図8は、診断モードのフローチャートである。図8に示すフローチャートでは、通信インターフェース部51がネットワークスイッチ40を介してデータを受信し(ステップS301)、取得部53が、受信データのヘッダ情報を取得する(ステップS302)。このとき、取得部53は、タイマ部52から時刻情報を取得して、ヘッダ情報とともに分析部54へ出力する。   FIG. 8 is a flowchart of the diagnosis mode. In the flowchart shown in FIG. 8, the communication interface unit 51 receives data via the network switch 40 (step S301), and the acquisition unit 53 acquires header information of the received data (step S302). At this time, the acquisition unit 53 acquires time information from the timer unit 52 and outputs the time information to the analysis unit 54 together with the header information.

分析部54は、ヘッダ情報に示された送信元IPアドレスおよび送信先IPアドレスがが保存部55に保存された判定テーブルに既に登録されているか否かを判定する(ステップS303)。送信元IPアドレスおよび送信先IPアドレスが登録されている場合、分析部54は、データ伝送の周期を算出して判定テーブルに登録する(ステップS304)。ステップS304では、分析部54は、時刻情報に示された現在時刻と判定テーブルに記録された前回取得時刻との差分時間を周期として算出する。   The analysis unit 54 determines whether or not the transmission source IP address and the transmission destination IP address indicated in the header information are already registered in the determination table stored in the storage unit 55 (step S303). When the transmission source IP address and the transmission destination IP address are registered, the analysis unit 54 calculates a data transmission cycle and registers it in the determination table (step S304). In step S304, the analysis unit 54 calculates, as a cycle, the difference between the current time indicated in the time information and the previously acquired time recorded in the determination table.

一方、送信元IPアドレスおよび送信先IPアドレスが登録されていない場合、分析部54は、これらと時刻情報を判定テーブルに登録する(ステップS305)。この時刻情報に示された現在時刻は、データ取得時刻として判定テーブルに記録される。診断モードでは、データ受信のたびに、上述したステップS301〜ステップS305の動作が繰り返される。   On the other hand, when the transmission source IP address and the transmission destination IP address are not registered, the analysis unit 54 registers these and time information in the determination table (step S305). The current time indicated in this time information is recorded in the determination table as the data acquisition time. In the diagnostic mode, each time data is received, the operations of steps S301 to S305 described above are repeated.

以上説明した本実施形態によれば、分析部54が診断モードである場合には第1実施形態と同様に、異常の要因が特定されるので、迅速に対処することが可能となる。さらに、学習モードでは、異常の要因を特定するための判定テーブルが自動的に作成される。よって、ユーザの負荷を軽減することが可能になる。   According to the present embodiment described above, when the analysis unit 54 is in the diagnosis mode, the cause of the abnormality is specified as in the first embodiment, so that it is possible to deal with it quickly. Furthermore, in the learning mode, a determination table for identifying the cause of the abnormality is automatically created. Therefore, it is possible to reduce the load on the user.

(第3実施形態)
第3実施形態に係る制御システムの構成は、図1に示す第1実施形態に係る制御システム1と同様であるため、詳細な説明を省略する。以下、本実施形態に係る異常要因判定装置50による異常要因判定方法について説明する。
Third Embodiment
The configuration of the control system according to the third embodiment is the same as that of the control system 1 according to the first embodiment shown in FIG. Hereinafter, an abnormality factor determination method by the abnormality factor determination device 50 according to the present embodiment will be described.

図9は、第3実施形態に係る異常要因判定方法のフローチャートである。図9に示すフローチャートでは、まず、通信インターフェース部51がネットワークスイッチ40を介してデータを受信する(ステップS401)。   FIG. 9 is a flowchart of the abnormality factor determination method according to the third embodiment. In the flowchart shown in FIG. 9, first, the communication interface unit 51 receives data via the network switch 40 (step S401).

次に、取得部53が、受信データからヘッダ情報および補助情報を取得して分析部54へ出力する(ステップS402)。補助情報は、例えば、センサ12のセンシングデータ、制御装置10の状態を示す情報、および動作ログ等の少なくとも一つを含んでいる。本実施形態では、この補助情報は、ネットワークを伝送するデータに含まれている。   Next, the acquisition unit 53 acquires header information and auxiliary information from the reception data and outputs the header information and the auxiliary information to the analysis unit 54 (step S402). The auxiliary information includes, for example, at least one of sensing data of the sensor 12, information indicating the state of the control device 10, and an operation log. In the present embodiment, this auxiliary information is included in data transmitted over the network.

次に、分析部54が、ヘッダ情報および補助情報を分析し(ステップS403)、異常の有無を判定する(ステップS404)。ステップS404では、例えば、分析部54は、ヘッダ情報の送信元および送信先を保存部55の判定テーブルと照合した結果に応じて判定する。   Next, the analysis unit 54 analyzes the header information and the auxiliary information (step S403), and determines the presence or absence of an abnormality (step S404). In step S404, for example, the analysis unit 54 determines the transmission source and the transmission destination of the header information according to the result of comparison with the determination table of the storage unit 55.

異常が検知されなかった場合、分析部54は正常であると判定する(ステップS405)。反対に、異常が検知された場合、分析部54は、異常の要因を判定する(ステップS406)。ステップS406では、例えば、分析部54は、第1実施形態と同様にヘッダ情報に基づいて異常の要因をネットワークを介した攻撃と判定する。または、分析部54は、補助情報に示されたセンシングデータに基づいて異常の要因を機器の故障と判定する。このようにして判定された結果は、表示部56とHMI20の少なくとも一方に表示される(ステップS407)。   If no abnormality is detected, the analysis unit 54 determines that it is normal (step S405). Conversely, when an abnormality is detected, the analysis unit 54 determines the cause of the abnormality (step S406). In step S406, for example, the analysis unit 54 determines that the cause of the abnormality is an attack via the network based on the header information as in the first embodiment. Alternatively, the analysis unit 54 determines the cause of the abnormality as the failure of the device based on the sensing data indicated in the auxiliary information. The result thus determined is displayed on at least one of the display unit 56 and the HMI 20 (step S407).

以上説明した本実施形態によれば、分析部54によって異常の要因が特定されるので、迅速に対処することが可能となる。さらに、本実施形態では、分析部54は、ヘッダ情報だけでなく異常要因の判定を補助する補助情報も利用している。そのため、より高精度に異常の要因を判定することが可能となる。   According to the present embodiment described above, since the cause of the abnormality is identified by the analysis unit 54, it is possible to cope with the problem promptly. Furthermore, in the present embodiment, the analysis unit 54 uses not only header information but also auxiliary information that assists determination of an abnormal factor. Therefore, the cause of the abnormality can be determined with higher accuracy.

(第4実施形態)
第4実施形態は、上述した補助情報が伝送情報ではなく各制御装置10内に存在する点で第3実施形態と異なる。この補助情報は、例えば、制御装置10の自己診断機能の診断結果、制御装置10の状態情報、および制御装置10の動作ログの少なくとも一つを含んでいる。
Fourth Embodiment
The fourth embodiment is different from the third embodiment in that the above-described auxiliary information is present not in transmission information but in each control device 10. The auxiliary information includes, for example, at least one of a diagnosis result of the self-diagnosis function of the control device 10, state information of the control device 10, and an operation log of the control device 10.

制御装置10の自己診断機能は、起動時や稼働中の定期的なタイミングで実施され、自己の機能が正しく動作しているかを診断する機能である。この診断結果を補助情報として利用することによって、ネットワークデータに含まれる情報だけでは分からない異常を検知することができる。また、制御装置の状態情報には、例えば、制御装置のON状態またはOFF状態、正常または異常、動作中または停止中などを示す情報が該当する。   The self-diagnosis function of the control device 10 is a function that is executed at the time of startup or at regular timing during operation, and diagnoses whether the self-function is operating correctly. By using this diagnosis result as auxiliary information, it is possible to detect an abnormality that can not be understood only by the information contained in the network data. Further, the state information of the control device corresponds to, for example, information indicating the ON state or OFF state of the control device, normal or abnormal, operating or stopped.

以下、本実施形態に係る異常要因判定装置50による異常要因判定方法について説明する。図10は、第4実施形態に係る異常要因判定方法のフローチャートである。図10に示すフローチャートでは、まず、通信インターフェース部51がネットワークスイッチ40を介してデータを受信する(ステップS501)。   Hereinafter, an abnormality factor determination method by the abnormality factor determination device 50 according to the present embodiment will be described. FIG. 10 is a flowchart of the abnormality factor determination method according to the fourth embodiment. In the flowchart shown in FIG. 10, first, the communication interface unit 51 receives data via the network switch 40 (step S501).

次に、取得部53が、受信データからヘッダ情報を取得して分析部54へ出力する(ステップS502)。続いて、分析部54は、ヘッダ情報を分析し(ステップS503)、異常の有無を判定する(ステップS504)。   Next, the acquisition unit 53 acquires header information from the reception data and outputs the header information to the analysis unit 54 (step S502). Subsequently, the analysis unit 54 analyzes the header information (step S503), and determines the presence or absence of an abnormality (step S504).

異常が検知されなかった場合、分析部54は正常であると判定する(ステップS505)。反対に、異常が検知された場合、分析部54は、異常の要因を分析し(ステップS506)、異常要因を特定できたか否かを判定する(ステップS507)。ステップS507では、例えば、ヘッダ情報と保存部55に保存された要因リストとの照合結果によって、両者の一致度が基準値以上であれば、異常要因を特定することができる。異常要因が特定されると、異常の内容とその対策が、表示部56とHMI20の少なくとも一方に表示される(ステップS508)。   If no abnormality is detected, the analysis unit 54 determines that it is normal (step S505). On the other hand, when an abnormality is detected, the analysis unit 54 analyzes the cause of the abnormality (step S506) and determines whether the abnormality factor has been identified (step S507). In step S507, for example, if the degree of coincidence between the header information and the factor list stored in the storage unit 55 is greater than or equal to a reference value, an abnormal factor can be identified. When the cause of abnormality is identified, the content of the abnormality and the countermeasure therefor are displayed on at least one of the display unit 56 and the HMI 20 (step S508).

ステップS507において、例えば、情報不足等により要因が特定できなかった場合、分析部54は、制御装置10に対して補助情報を要求する(ステップS509)。その後、分析部54は、制御装置10から取得した補助情報と、先に取得したヘッダ情報とを用いて再度異常要因を分析する。このとき、分析部54は、異常要因を特定できるまで制御装置10から1つずつ補助情報を取得しながら異常要因を分析する処理を繰り返してもよい。また、分析部54は、制御装置10から一斉に補助情報を取得して一度の処理で異常要因を分析してもよい。   In step S507, for example, when a factor can not be identified due to a lack of information or the like, the analysis unit 54 requests the control device 10 for auxiliary information (step S509). Thereafter, the analysis unit 54 analyzes the cause of the abnormality again using the auxiliary information acquired from the control device 10 and the header information acquired earlier. At this time, the analysis unit 54 may repeat the process of analyzing the abnormal factor while acquiring the auxiliary information one by one from the control device 10 until the abnormal factor can be identified. Further, the analysis unit 54 may acquire auxiliary information simultaneously from the control device 10 and analyze the cause of abnormality in one process.

以上説明した本実施形態によれば、第3実施形態と同様に、補助情報を利用することによって、より高精度に異常の要因を判定することが可能となる。さらに本実施形態では、補助情報は必要に応じて取得されるので、装置の処理負荷を軽減することが可能となる。   According to the present embodiment described above, as in the third embodiment, by using the auxiliary information, it is possible to more accurately determine the cause of the abnormality. Furthermore, in the present embodiment, the auxiliary information is acquired as needed, so that the processing load on the apparatus can be reduced.

なお、本実施形態に係る異常要因判定装置50は、異常要因を特定できない場合に制御装置10から補助情報を取得しているが、補助情報の取得形態はこれに限定されない。例えば、異常要因判定装置50は、定期的に制御装置10から補助情報を取得してもよい。この場合も、高精度に異常の要因を判定することが可能となる。   Note that the abnormality factor determination device 50 according to the present embodiment acquires auxiliary information from the control device 10 when the abnormality factor cannot be specified, but the auxiliary information acquisition mode is not limited to this. For example, the abnormality factor determination device 50 may periodically acquire the auxiliary information from the control device 10. Also in this case, the cause of the abnormality can be determined with high accuracy.

(変形例)
図11は、変形例に係る制御システムの構成を示すブロック図である。図11に示す制御システム1aでは、各制御装置10内に異常要因判定装置50aが設けられている。各異常要因判定装置50aは、上述した第1実施形態〜第4実施形態の異常要因判定装置50のいずれかを適用できる。
(Modification)
FIG. 11 is a block diagram illustrating a configuration of a control system according to a modification. In the control system 1 a shown in FIG. 11, an abnormality factor determination device 50 a is provided in each control device 10. Each abnormality factor determination device 50a can apply any of the abnormality factor determination devices 50 according to the first to fourth embodiments described above.

異常要因判定装置50aは、ネットワークスイッチ14を介して制御装置10内のネットワークに接続されている。異常要因判定装置50aは、制御装置10内で発生した異常要因を、ネットワークを介した攻撃か、または制御対象の機器の故障であるかを判別する。各異常要因判定装置50aで判別された異常要因は、ネットワークスイッチ40を介して異常要因判定装置50bに送信される。異常要因判定装置50bは、これらの異常要因に基づいてシステム全体の異常要因を特定する。なお、異常要因判定装置50aと異常要因判定装置50bとの通信は、無線で直接的に行ってもよい。   The abnormality factor determination device 50 a is connected to the network in the control device 10 via the network switch 14. The abnormal factor determination device 50a determines whether the abnormal factor generated in the control device 10 is an attack via a network or a failure of a device to be controlled. The abnormal factor determined by each abnormal factor determination device 50a is transmitted to the abnormal factor determination device 50b via the network switch 40. The abnormality factor determination device 50b identifies an abnormality factor of the entire system based on these abnormality factors. Communication between the abnormality factor determination device 50a and the abnormality factor determination device 50b may be directly performed wirelessly.

以上説明した本変形例によれば、第1実施形態〜第4実施形態で説明した異常要因判定装置50の処理機能を異常要因判定装置50aと異常要因判定装置50bとに分担させている。このような処理形式であっても異常の要因を判別できるので、迅速に対処することができる。   According to this modification described above, the processing function of the abnormality factor determination device 50 described in the first to fourth embodiments is shared between the abnormality factor determination device 50a and the abnormality factor determination device 50b. Even with this type of processing, the cause of the abnormality can be determined, so that it is possible to cope with the problem promptly.

なお、上述した実施形態および変形例では、異常が検知された場合にその異常の要因を「攻撃」または「故障」に判別しているが、異常検知処理と要因判別処理を同時に実施してもよい。この場合、例えば、正常と各異常の要因を識別するようなクラスタ分析を行うことによって、異常の要因を一つまたは少数に絞り込むことができる。   In the above-described embodiment and modification, when an abnormality is detected, the cause of the abnormality is determined to be “attack” or “failure”. However, even if the abnormality detection process and the factor determination process are performed at the same time, Good. In this case, for example, the cause of the abnormality can be narrowed down to one or a few by performing cluster analysis to identify the cause of each abnormality from normal.

以上、いくつかの実施形態および変形例を説明したが、これらの実施形態は、例としてのみ提示したものであり、発明の範囲を限定することを意図したものではない。本明細書で説明した新規なシステムは、その他の様々な形態で実施することができる。また、本明細書で説明したシステムの形態に対し、発明の要旨を逸脱しない範囲内で、種々の省略、置換、変更を行うことができる。添付の特許請求の範囲およびこれに均等な範囲は、発明の範囲や要ことに含まれるこのような形態や変形例を含むように意図されている。   Although several embodiments and modifications have been described above, these embodiments are presented only as examples and are not intended to limit the scope of the invention. The novel systems described herein can be implemented in various other forms. In addition, various omissions, substitutions, and changes can be made to the form of the system described in the present specification without departing from the scope of the invention. The appended claims and their equivalents are intended to cover such forms and modifications as would fall within the scope and spirit of the invention.

10 制御装置、40 ネットワークスイッチ、50 異常要因判定装置、53 取得部、54 分析部、55 保存部、56 表示部 DESCRIPTION OF SYMBOLS 10 control apparatus, 40 network switch, 50 abnormality factor determination apparatus, 53 acquisition part, 54 analysis part, 55 storage part, 56 display part

Claims (13)

ネットワークを介したデータ通信により機器を制御する制御装置を含む制御システム内に設けられた異常要因判定装置であって、
前記データ通信で用いられるデータに含まれる情報を取得する取得部と、
前記情報を分析し、その分析結果に基づいて前記制御システムで発生した異常の要因を、前記ネットワークを介した攻撃か、または前記機器の故障であるかを判別する分析部と、を備える異常要因判定装置。
An abnormality factor determination device provided in a control system including a control device that controls a device by data communication via a network,
An acquisition unit for acquiring information included in data used in the data communication;
An abnormality factor comprising: an analysis unit that analyzes the information and determines whether an abnormality factor occurring in the control system is an attack via the network or a failure of the device based on the analysis result Judgment device.
前記分析部の判別結果を表示する表示部を備える、請求項1に記載の異常要因判定装置。   The abnormality factor determination device according to claim 1, further comprising a display unit configured to display the determination result of the analysis unit. 前記データ通信を予め許可された送信元と送信先の組み合わせを登録した判定テーブルを保存する保存部を備える、請求項1または2に記載の異常要因判定装置。   The abnormality factor determination device according to claim 1, further comprising a storage unit configured to store a determination table in which a combination of a transmission source and a transmission destination permitted in advance for the data communication is registered. 前記情報は、前記データの送信元および送信先を示すヘッダ情報であり、
前記分析部は、前記ヘッダ情報に示された前記送信元および前記送信先の組み合わせが前記判定テーブルに登録されていない場合、前記異常の要因を前記攻撃と判定する、請求項3に記載の異常要因判定装置。
The information is header information indicating a transmission source and a transmission destination of the data,
The abnormality according to claim 3, wherein the analysis unit determines that the cause of the abnormality is the attack when the combination of the transmission source and the transmission destination indicated in the header information is not registered in the determination table. Factor determination device.
前記ヘッダ情報の前記送信元のみが前記判定テーブルの前記送信元と一致する場合、前記分析部は、前記攻撃を前記送信元の不正操作であると判定する、請求項4に記載の異常要因判定装置。   The abnormality factor determination according to claim 4, wherein, when only the transmission source of the header information matches the transmission source of the determination table, the analysis unit determines that the attack is an unauthorized operation of the transmission source. apparatus. 前記判定テーブルは、前記組み合わせ毎に予め設定された前記データの伝送周期を示し、
前記分析部は、前回から今回までの前記データの取得時刻の差分時間が前記伝送周期の許容範囲外である場合、前記異常の要因を前記故障と判定する、請求項3から5のいずれかに記載の異常要因判定装置。
The determination table indicates a transmission cycle of the data set in advance for each combination,
The analysis unit determines that the cause of the abnormality is the failure when a difference time between acquisition times of the data from the previous time to the current time is out of an allowable range of the transmission cycle. The abnormality factor determination device described above.
前記分析部は、前回の前記データの取得時刻からの経過時間が前記伝送周期に基づいて設定されたしきい値を超えた場合も、前記異常の要因を前記故障と判定する、請求項6に記載の異常要因判定装置。   The analysis unit determines that the cause of the abnormality is the failure even when an elapsed time from the previous data acquisition time exceeds a threshold set based on the transmission cycle. The abnormality factor determination device described. 前記分析部の動作モードを、前記異常の要因を判別する診断モードと、前記判定テーブルを作成する学習モードとの間で切り替え可能なモード切替部を備える、請求項3から7のいずれかに記載の異常要因判定装置。   8. The apparatus according to claim 3, further comprising a mode switching unit capable of switching an operation mode of the analysis unit between a diagnosis mode for determining the cause of the abnormality and a learning mode for creating the determination table. Abnormality factor determination device. 前記分析部は、前記情報と、前記異常の要因の判別を補助する補助情報とを用いて前記異常の要因を判別する、請求項1または2に記載の異常要因判定装置。   The abnormality factor determination device according to claim 1, wherein the analysis unit determines the cause of the abnormality using the information and auxiliary information that assists the determination of the cause of the abnormality. 前記補助情報は、前記データまたは前記制御装置内に存在する、請求項9に記載の異常要因判定装置。   The abnormality factor determination device according to claim 9, wherein the auxiliary information is present in the data or the control device. 前記補助情報は、前記制御装置が正常または異常であるかを自己診断した結果、前記制御装置の状態情報、および前記制御装置の動作ログの少なくとも一つを含む、請求項9または10に記載の異常要因判定装置。   The said auxiliary information includes at least one of status information of the control device and an operation log of the control device as a result of self-diagnosis as to whether the control device is normal or abnormal. Abnormal factor determination device. ネットワークを介したデータ通信により機器を制御する制御装置と、前記制御装置を前記ネットワークに接続するネットワークスイッチと、前記ネットワークスイッチに接続された異常要因判定装置と、を備える制御システムであって、
前記異常要因判定装置は、
前記データ通信で用いられるデータに含まれる情報を取得する取得部と、
前記情報を分析し、その分析結果に基づいて前記制御システムで発生した異常の要因を、前記ネットワークを介した攻撃か、または前記機器の故障であるかを判別する分析部と、を有する、制御システム。
A control system comprising: a control device that controls equipment by data communication via a network; a network switch that connects the control device to the network; and an abnormality factor determination device that is connected to the network switch,
The abnormality factor determination device is
An acquisition unit for acquiring information included in data used in the data communication;
An analysis unit that analyzes the information and determines whether an abnormality factor that has occurred in the control system is an attack via the network or a failure of the device based on the analysis result, system.
ネットワークを介したデータ通信により機器を制御する制御装置を含む制御システムの異常要因判定方法であって、
前記データ通信で用いられるデータに含まれる情報を取得し、
前記情報を分析し、
分析結果に基づいて前記制御システムで発生した異常の要因を、前記ネットワークを介した攻撃か、または前記機器の故障であるかを判別する、異常要因判定方法。
A method of determining an abnormal factor of a control system including a control device that controls an apparatus by data communication via a network, the method comprising:
Obtaining information contained in the data used in the data communication;
Analyze the information,
The abnormal factor determination method which determines whether the cause of the abnormality which generate | occur | produced in the said control system based on an analysis result is the attack via the said network, or it is a failure of the said apparatus.
JP2018010012A 2018-01-24 2018-01-24 Abnormal factor determination device, control system, and abnormal factor determination method Active JP6937251B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018010012A JP6937251B2 (en) 2018-01-24 2018-01-24 Abnormal factor determination device, control system, and abnormal factor determination method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018010012A JP6937251B2 (en) 2018-01-24 2018-01-24 Abnormal factor determination device, control system, and abnormal factor determination method

Publications (2)

Publication Number Publication Date
JP2019129412A true JP2019129412A (en) 2019-08-01
JP6937251B2 JP6937251B2 (en) 2021-09-22

Family

ID=67472392

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018010012A Active JP6937251B2 (en) 2018-01-24 2018-01-24 Abnormal factor determination device, control system, and abnormal factor determination method

Country Status (1)

Country Link
JP (1) JP6937251B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117686682A (en) * 2024-02-04 2024-03-12 新奥新能源工程技术有限公司 Indoor gas fault monitoring method and system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016170664A1 (en) * 2015-04-24 2016-10-27 株式会社日立製作所 Abnormal-packet filtering apparatus and abnormal-packet filtering method
JP2017192105A (en) * 2016-04-15 2017-10-19 株式会社東芝 Redundancy processing unit, and abnormality determination method
JP2017191958A (en) * 2016-04-11 2017-10-19 株式会社日立製作所 Redundancy management system, redundancy switching method, and redundancy switching program
JP2017216569A (en) * 2016-05-31 2017-12-07 株式会社日立製作所 Communication device, control system, and communication control method
JP2018007179A (en) * 2016-07-07 2018-01-11 エヌ・ティ・ティ・コミュニケーションズ株式会社 Device, method and program for monitoring

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016170664A1 (en) * 2015-04-24 2016-10-27 株式会社日立製作所 Abnormal-packet filtering apparatus and abnormal-packet filtering method
JP2017191958A (en) * 2016-04-11 2017-10-19 株式会社日立製作所 Redundancy management system, redundancy switching method, and redundancy switching program
JP2017192105A (en) * 2016-04-15 2017-10-19 株式会社東芝 Redundancy processing unit, and abnormality determination method
JP2017216569A (en) * 2016-05-31 2017-12-07 株式会社日立製作所 Communication device, control system, and communication control method
JP2018007179A (en) * 2016-07-07 2018-01-11 エヌ・ティ・ティ・コミュニケーションズ株式会社 Device, method and program for monitoring

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117686682A (en) * 2024-02-04 2024-03-12 新奥新能源工程技术有限公司 Indoor gas fault monitoring method and system
CN117686682B (en) * 2024-02-04 2024-04-16 新奥新能源工程技术有限公司 Indoor gas fault monitoring method and system

Also Published As

Publication number Publication date
JP6937251B2 (en) 2021-09-22

Similar Documents

Publication Publication Date Title
JP6711710B2 (en) Monitoring device, monitoring method, and monitoring program
US9866577B2 (en) Method for detecting intrusions on a set of virtual resources
US10833889B2 (en) Method and device for monitoring control systems
JP6711452B2 (en) Extraction device, extraction method, and program
CN105553973A (en) System and method for detecting industrial control equipment abnormality
JP2019050477A (en) Incident analysis device and analysis method thereof
JP6937251B2 (en) Abnormal factor determination device, control system, and abnormal factor determination method
US20170026341A1 (en) Automation network and method for monitoring the security of the transfer of data packets
US11095651B2 (en) Communication apparatus and non-transitory computer readable storage medium
WO2019240020A1 (en) Improper communication detector, improper communication detection method, and manufacturing system
WO2014042636A1 (en) Packet intrusion inspection in an industrial control network
JP7462550B2 (en) Communication monitoring and handling device, communication monitoring and handling method, and communication monitoring and handling system
JP7102315B2 (en) Abnormal factor determination device, control system, and abnormal factor determination method
KR101970523B1 (en) Facilities control system and operating method of the same
JP7186518B2 (en) Abnormality Diagnosis Device, Abnormality Diagnosis System and Abnormality Diagnosis Method
US10805334B2 (en) Method and system for detection and avoidance of weaknesses in a network connected device
JP2019205125A (en) Abnormal factor determination device, control system, and abnormal factor determination method
JP2019004284A (en) Abnormality detection device and abnormality detection method
JP7034885B2 (en) Abnormal factor determination device and its display device
US20230216873A1 (en) Detection system, detection method, and recording medium
US20220150142A1 (en) Monitoring system, setting device, and monitoring method
JP7010268B2 (en) Communication monitoring system and communication monitoring method
JP6869869B2 (en) Countermeasure planning system and monitoring device for control system
JP2018142092A (en) Operation checking device, operation checking program, operation checking method, and operation checking system
JP4572906B2 (en) Terminal monitoring system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200302

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210319

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210513

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210803

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210830

R150 Certificate of patent or registration of utility model

Ref document number: 6937251

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150