JP2020120274A - Unauthorized access monitoring device, unauthorized access monitoring method, and central monitoring system - Google Patents
Unauthorized access monitoring device, unauthorized access monitoring method, and central monitoring system Download PDFInfo
- Publication number
- JP2020120274A JP2020120274A JP2019009910A JP2019009910A JP2020120274A JP 2020120274 A JP2020120274 A JP 2020120274A JP 2019009910 A JP2019009910 A JP 2019009910A JP 2019009910 A JP2019009910 A JP 2019009910A JP 2020120274 A JP2020120274 A JP 2020120274A
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- notification
- monitoring
- monitoring device
- cov
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、不正アクセス監視装置、不正アクセス監視方法、および中央監視システムに関し、特に中央監視システムにおける不正アクセスの監視技術に関する。 The present invention relates to an unauthorized access monitoring device, an unauthorized access monitoring method, and a central monitoring system, and more particularly to an unauthorized access monitoring technology in the central monitoring system.
従来、ビル建物に設置されている各種設備を管理する設備管理システムとして、BACnet(Building Automation and Control Networking protocol:登録商標)と呼ばれるインテリジェントビル用ネットワークのための通信プロトコル規格を利用した、いわゆるBACnetシステムが普及しつつある。 Conventionally, a so-called BACnet system using a communication protocol standard for an intelligent building network called BACnet (Building Automation and Control Networking protocol) is used as a facility management system for managing various facilities installed in a building. Is becoming popular.
例えば、特許文献1は、設備に設けられているフィールド機器からデータを収集するコントローラと、コントローラがBACnetなどの通信ネットワークを介して複数接続され、フィールド機器からのデータによって設備に関する情報を表示する中央監視装置とを有する中央監視システムを開示している。
For example, in
このようなBACnetシステムは、元々クローズドな環境に適用されていたため、不正アクセスに関しては、これまであまり重要視されていなかった。しかしながら、近年、IoTや他のシステムとの連携が進みつつあり、外部からアクセス可能なオープンな環境に変わりつつある。このため、悪意のある者が、不正アクセスしてBACnetシステムに接続できた場合、BACnetシステム内の各種機器が様々に不正操作される可能性があるという問題点があった。 Since such a BACnet system has been originally applied to a closed environment, the unauthorized access has not been given much importance so far. However, in recent years, cooperation with IoT and other systems is progressing, and the environment is changing to an open environment accessible from outside. For this reason, if a malicious person can make unauthorized access and connect to the BACnet system, various devices in the BACnet system may be manipulated in various ways.
例えば、BACnetプロトコルにおけるアナログ入力点(Analog Input(AI)ポイント)は、室温や湿度などの環境指数を中央監視装置で監視するために使われることがある。攻撃を行う者がそのAIポイントが属するデバイスを偽って中央監視装置に値変化通知(Change Of Value:COV)を送信することで、中央監視装置上のモニタ画面に偽りの室温や室内湿度を表示させることが可能である。 For example, an analog input point (Analog Input (AI) point) in the BACnet protocol may be used to monitor an environmental index such as room temperature and humidity with a central monitoring device. The attacker impersonates the device to which the AI point belongs and sends a value change notification (Change Of Value: COV) to the central monitoring unit, thereby displaying the false room temperature and room humidity on the monitor screen of the central monitoring unit. It is possible to
また、中央監視装置上で動作する制御プログラム、例えば、空調制御プログラムに、偽りの室温や室内湿度を入力として与えることが可能である。このことを利用して、特定のエリアの室温、例えば、データセンタ室などの室温を実際より低く偽装することで冷房を止め、データセンタ室内に設置されているサーバにダメージを与えるなどの攻撃が可能となる。 Further, it is possible to give a false room temperature or room humidity as an input to a control program operating on the central monitoring device, for example, an air conditioning control program. By utilizing this, the room temperature in a specific area, for example, the room temperature in the data center room, etc., can be disguised as being lower than the actual temperature to stop the cooling and attack the server installed in the data center room. It will be possible.
本発明は、上述した課題を解決するためになされたものであり、中央監視装置の情報処理能力に影響を与えずに通信ネットワークにおける不正アクセスを監視することができる不正アクセス監視技術を提供することを目的とする。 The present invention has been made to solve the above-described problems, and provides an unauthorized access monitoring technology capable of monitoring unauthorized access in a communication network without affecting the information processing capability of the central monitoring device. With the goal.
上述した課題を解決するために、本発明に係る不正アクセス監視装置は、設備機器が通信ネットワークを介して送信した計測値に関する通知を検知するように構成された監視部と、前記監視部が前回検知した通知に含まれる前記計測値と、前記監視部が今回検知した通知に含まれる前記計測値との差分を求めるように構成された演算部と、前記演算部が求めた前記差分が、設定されたしきい値を超えた場合に不正アクセスが発生したものと判断するように構成された判断部とを備え、前記設備機器による前記計測値に関する通知は、設定された値の変化が前記計測値に生じた場合に送信されることを特徴とする。 In order to solve the above-mentioned problem, an unauthorized access monitoring device according to the present invention is configured such that a monitoring unit configured to detect a notification regarding a measurement value transmitted by a facility device via a communication network, and the monitoring unit previously configured to detect the notification. A calculation unit configured to calculate a difference between the measurement value included in the detected notification and the measurement value included in the notification detected this time by the monitoring unit, and the difference calculated by the calculation unit are set. A determination unit configured to determine that an unauthorized access has occurred when the threshold value is exceeded, and the notification of the measured value by the equipment is such that a change in the set value is the measured value. It is characterized in that it is transmitted when a value occurs.
また、本発明に係る不正アクセス監視装置において、前記設定されたしきい値は、前記設定された値以上であってもよい。 Further, in the unauthorized access monitoring device according to the present invention, the set threshold value may be equal to or more than the set value.
また、本発明に係る不正アクセス監視装置において、前記判断部が、不正アクセスが発生したものと判断した場合に、警報を出力するように構成された警報部をさらに備えていてもよい。 The unauthorized access monitoring device according to the present invention may further include an alarm unit configured to output an alarm when the determination unit determines that an unauthorized access has occurred.
また、本発明に係る不正アクセス監視装置において、前記通知に含まれる前記計測値は、環境に関する指数を含んでいてもよい。 Further, in the unauthorized access monitoring device according to the present invention, the measurement value included in the notification may include an index related to the environment.
上述した課題を解決するために、本発明に係る不正アクセス監視方法は、設備機器が通信ネットワークを介して送信した計測値に関する通知を検知する監視ステップと、前記監視ステップで、前回検知された通知に含まれる前記計測値と、前記監視ステップで今回検知された通知に含まれる前記計測値との差分を求める演算ステップと、前記演算ステップで求められた前記差分が、設定されたしきい値を超えた場合に不正アクセスが発生したものと判断する判断ステップとを備え、前記設備機器による前記計測値に関する通知は、設定された値の変化が前記計測値に生じた場合に送信されることを特徴とする。 In order to solve the above-mentioned problem, the unauthorized access monitoring method according to the present invention provides a monitoring step of detecting a notification regarding a measurement value transmitted by a facility device via a communication network, and a notification detected last time in the monitoring step. And a calculation step for obtaining a difference between the measurement value included in the notification detected this time in the monitoring step, and the difference obtained in the calculation step, the set threshold value. A determination step of determining that an unauthorized access has occurred when the number exceeds the limit, and the notification of the measured value by the equipment is transmitted when a change in the set value occurs in the measured value. Characterize.
また、本発明に係る不正アクセス監視方法において、前記判断ステップで不正アクセスが発生したものと判断された場合に、警報を出力する警報ステップをさらに備えていてもよい。 Further, the unauthorized access monitoring method according to the present invention may further include an alarm step of outputting an alarm when it is determined in the determination step that an unauthorized access has occurred.
上述した課題を解決するために、本発明に係る中央監視システムは、設備機器と、前記設備機器と通信ネットワークを介して接続され前記設備機器を制御および監視する中央監視装置と、前記通信ネットワークに接続され前記設備機器に対する不正アクセスを監視する不正アクセス監視装置とを備え、前記不正アクセス監視装置は、前記設備機器が前記通信ネットワークを介して送信した計測値に関する通知を検知するように構成された監視部と、前記監視部が前回検知した通知に含まれる前記計測値と、前記監視部が今回検知した通知に含まれる前記計測値との差分を求めるように構成された演算部と、前記演算部が求めた前記差分が、設定されたしきい値を超えた場合に不正アクセスが発生したものと判断するように構成された判断部とを備え、前記設備機器による前記計測値に関する通知は、設定された値の変化が前記計測値に生じた場合に送信されることを特徴とする。 In order to solve the above-mentioned problems, a central monitoring system according to the present invention provides a facility device, a central monitoring device connected to the facility device via a communication network to control and monitor the facility device, and the communication network. An unauthorized access monitoring device that is connected and monitors unauthorized access to the equipment, and the unauthorized access monitoring device is configured to detect a notification regarding a measurement value transmitted by the equipment via the communication network. A monitoring unit; an arithmetic unit configured to obtain a difference between the measurement value included in the notification previously detected by the monitoring unit and the measurement value included in the notification detected this time by the monitoring unit; The difference obtained by the unit, comprising a determination unit configured to determine that an unauthorized access has occurred when it exceeds a set threshold value, the notification regarding the measured value by the equipment, It is transmitted when a change in the set value occurs in the measured value.
本発明によれば、設備機器が通信ネットワークを介して送信した計測値に関する通知における前回の計測値と今回の計測値との差分が、設定されたしきい値を超えた場合に不正アクセスが発生したものと、通信ネットワーク上に設置された不正アクセス監視装置が判断する。そのため、中央監視装置の情報処理能力に影響を与えずに、通信ネットワークにおける不正アクセスを監視することができる。 According to the present invention, an unauthorized access occurs when the difference between the previous measurement value and the current measurement value in the notification of the measurement value transmitted by the equipment device via the communication network exceeds the set threshold value. The unauthorized access monitoring device installed on the communication network determines that it has done so. Therefore, it is possible to monitor unauthorized access in the communication network without affecting the information processing capability of the central monitoring device.
以下、本発明の好適な実施の形態について、図1から図4を参照して詳細に説明する。
本発明の実施の形態に係る不正アクセス監視装置1は、例えば、ビルディングオートメーション(BA)システムなどの中央監視システムに設けられる。BAシステムは、例えばオフィスビルなどのビルに設置されている空調機器、照明機器、セキュリティ設備などの各種設備の集中管理および制御を行う。
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to FIGS. 1 to 4.
The unauthorized
本実施の形態に係る中央監視システムは、管理対象の情報を一元的に管理する中央監視装置3、中央監視装置3が管理および制御を行う設備機器2、および通信ネットワークNWにおける設備機器2に対する不正アクセスを監視する不正アクセス監視装置1を備える。中央監視装置3と、設備機器2と、不正アクセス監視装置1とはBACnetなどの通信プロトコルが用いられる通信ネットワークNWを介して互いに接続されている。
The central monitoring system according to the present embodiment is an unauthorized access to the central monitoring device 3 that centrally manages information to be managed, the facility device 2 that the central monitoring device 3 manages and controls, and the facility device 2 in the communication network NW. An unauthorized
設備機器2には、フィールド機器などの各種機器が含まれ、例えば、室温や湿度などに代表される環境指数を計測する。フィールド機器の具体例としては、空調機器、ファン、温度センサ等がある。 The facility device 2 includes various devices such as field devices, and measures an environmental index represented by, for example, room temperature and humidity. Specific examples of field devices include air conditioners, fans, and temperature sensors.
設備機器2は、室内の温度や湿度などのアナログ値を継続的に計測し、計測値に予め設定された値の変化が生じた場合には、通信ネットワークNWを介して中央監視装置3に計測値に関する通知として値変化通知(以下、COV通知という。)を送信する。 The equipment device 2 continuously measures analog values such as indoor temperature and humidity, and when the measured values change in a preset value, the central monitoring device 3 measures them via the communication network NW. A value change notification (hereinafter referred to as a COV notification) is transmitted as a value notification.
具体的には、設備機器2が時系列データとして計測する室内の温度や湿度について、BACnet通信の仕様で定められた、COV Incrementのプロパティで設定された、COV通知を送信するのに必要な値変化分を超える温度や湿度の変化が生ずるたびに、設備機器2はCOV通知を送信する。 Specifically, for the room temperature and humidity that the equipment 2 measures as time-series data, the values required to send the COV notification set in the COV Increment property specified in the BACnet communication specifications. Each time a change in temperature or humidity that exceeds the change occurs, the facility device 2 transmits a COV notification.
設備機器2が計測する、温度や湿度などの環境指数は、一般的に、短期間では急激に変化することはない。もしも、火災などの特別な原因により、温度や湿度が急激に変化した場合には、通常、火災警報器など空調用の温度センサなどとは別の手段で検知される。 Environmental indexes such as temperature and humidity measured by the equipment 2 generally do not change rapidly in a short period of time. If the temperature or humidity suddenly changes due to a special cause such as a fire, it is usually detected by means other than a temperature sensor for air conditioning such as a fire alarm.
このことから、設備機器2が中央監視装置3に送信するCOV通知の計測値は、通常は、設備機器2が前回送信したCOV通知の計測値に対して急激な変化が生じていることはない。すなわち、設備機器2が前回送信したCOV通知の計測値と、今回送信したCOV通知の計測値とは、通常であれば、前述したように設備機器2がCOV通知を送信するのに必要な値変化分程度の差分を有することが想定される。 From this, the measured value of the COV notification transmitted by the facility device 2 to the central monitoring apparatus 3 does not normally have a sudden change from the measured value of the COV notification transmitted by the facility device 2 last time. .. That is, the measured value of the COV notification transmitted last time by the equipment 2 and the measured value of the COV notification transmitted this time are normally the values required for the equipment 2 to transmit the COV notification as described above. It is assumed that the difference is about the amount of change.
本実施の形態では、設備機器2に対する不正アクセスによってCOV通知の計測値が書き換えられた場合に、前回送信されたCOV通知の計測値と、今回送信されたCOV通知の計測値との差分が一般的な環境指数における変化を超える、通常では生じないような大きな差分となり得る点に着目する。 In the present embodiment, when the measured value of the COV notification is rewritten due to an unauthorized access to the equipment 2, the difference between the measured value of the COV notification transmitted last time and the measured value of the COV notification transmitted this time is generally. Pay attention to the fact that it can be a large difference that does not normally occur and exceeds the change in the environmental index.
また、不正アクセスとは、例えば、外部などから通信ネットワークNW上の設備機器2に直接的または間接的にアクセスし、設備機器2の計測値を偽装して実際とは異なる計測値に基づくCOV通知を中央監視装置3に送信すること等をいう。 Further, the unauthorized access is, for example, a direct or indirect access to the equipment 2 on the communication network NW from the outside or the like to disguise the measurement value of the equipment 2 and notify the COV based on the measurement value different from the actual value. Is transmitted to the central monitoring device 3.
次に、不正アクセス監視装置1の構成について説明する。不正アクセス監視装置1は、通信ネットワークNW上の設備機器2に対する不正アクセスを監視する。
図1に示すように、不正アクセス監視装置1は、COV監視部(監視部)10、演算部11、判断部12、警報部13、および記憶部14を備える。
Next, the configuration of the unauthorized
As illustrated in FIG. 1, the unauthorized
COV監視部10は、設備機器2が通信ネットワークNWを介して送信したCOV通知を継続的に検知する。なお、COV監視部10は、一定の期間にわたって継続的にCOV通知を検知してもよい。
The
例えば、COV監視部10は、通信ネットワークNW上を流れる全てのパケットをキャプチャして、キャプチャしたパケットを解析して設備機器2が送信したCOV通知を検知することができる。
For example, the
あるいは、COV監視部10は、所定のフロープロトコルを用いて、予め指定した送信先IPアドレス、送信元IPアドレスなどのフロー条件に合致するパケットのみを取得して、解析に必要なヘッダなど必要な情報のみを取得する構成としてもよい。
Alternatively, the
COV監視部10は、COV通知を検知した時刻情報と共にCOV通知を記憶部14に記録する。COV通知が検知された時刻は、不正アクセス監視装置1が備える内蔵時計107やタイムサーバ(図示しない)を参照して取得することができる。
The
演算部11は、COV監視部10が前回検知したCOV通知の計測値と、COV監視部10が今回検知したCOV通知の計測値との差分を求める。例えば、演算部11は、設備機器2が温度センサである場合に、前回および今回のCOV通知に含まれる室内温度の差分を求める。前述したように、演算部11によって求められた計測値の差分は、通常であれば、BACnet通信の仕様で定められたCOV Incrementプロパティで設定された、計測値に対する変化分に相当する値となる。
The
判断部12は、演算部11が求めた前回のCOV通知の計測値と、今回のCOV通知の計測値との差分が、設定されたしきい値を超えている場合に不正アクセスが発生したものと判断する。例えば、しきい値として、COV Incrementプロパティで設定された、COV通知を送信するのに必要な値変化分と同じ値を設定することができる。あるいは、COV通知に必要な値変化分の値より一定の割合だけ大きい値、例えば、必要な値変化分の1.1倍の値などを、しきい値として設定することができる。なお、しきい値は、設備機器2が計測する環境指数の種類や特性、およびCOV Incrementプロパティで指定されている値変化分に応じて適宜設定することができる。
The
警報部13は、判断部12によって不正アクセスが発生したものと判断された場合に、警報を出力する。具体的には、警報部13は、判断部12による不正アクセスが発生したとの判断に基づいて、警報を示す信号を生成する。また、警報部13は、BACnet通信などにより通信ネットワークNWを介して警報を示す情報を中央監視装置3に送信することができる。あるいは、不正アクセス監視装置1が備える図示されない表示画面にテキストデータを表示したり、LEDの点滅、図示されないスピーカからの音声出力などにより警報を出力してもよい。また、通信ネットワークNW上の特定の通信端末(図示しない)に対して警報を送信する構成を採用してもよい。
The
記憶部14は、判断部12によって用いられるしきい値を記憶する。また、記憶部14は、COV監視部10が検知したCOV通知および送信元の設備機器2の識別情報と検知された時刻とを紐づけて記憶する。
The
[不正アクセス監視装置のハードウェア構成]
次に、上述した構成を有する不正アクセス監視装置1のハードウェア構成の一例について、図2を参照して説明する。
[Hardware configuration of unauthorized access monitoring device]
Next, an example of the hardware configuration of the unauthorized
図2に示すように、不正アクセス監視装置1は、例えば、バス101を介して接続されるCPU102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力インターフェース106を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。
As shown in FIG. 2, the unauthorized
主記憶装置103には、CPU102が各種制御や演算を行うためのプログラムが予め格納されている。CPU102と主記憶装置103とによって、図1に示した判断部12など、不正アクセス監視装置1の各機能が実現される。
Programs for the
通信インターフェース104は、通信ネットワークNWを介して設備機器2が送信したCOV通知を受信したり、中央監視装置3との通信を行うためのインターフェース回路である。
The
補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。
The
補助記憶装置105は、不正アクセス監視装置1が不正アクセスを監視するためのプログラムを格納するプログラム格納領域を有する。補助記憶装置105によって、図1で説明した記憶部14が実現される。さらには、例えば、上述したデータやプログラムなどをバックアップするためのバックアップ領域などを有していてもよい。
The
入出力インターフェース106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするI/O端子により構成される。
The input/
内蔵時計107は、時刻を計時して現在時刻を示す信号を供給する。内蔵時計107の代わりに通信インターフェース104を介して外部のタイムサーバから現在時刻を取得してもよい。
The built-in
[不正アクセス監視装置の動作]
次に、上述した構成を有する不正アクセス監視装置1の動作について、図3のフローチャートを用いて説明する。以下においては、判断部12が不正アクセスの発生の有無を判断する際に用いられるしきい値が予め記憶部14に記憶されているものとする。
[Operation of unauthorized access monitoring device]
Next, the operation of the unauthorized
まず、COV監視部10は、通信ネットワークNW上を流れるパケットのキャプチャを開始する(ステップS1)。次に、COV監視部10は、キャプチャされたパケットを解析して、設備機器2が送信したCOV通知を検知する(ステップS2)。なお、COV監視部10は、COV通知を少なくとも一定の期間にわたって継続的に検知する。COV監視部10が検知したCOV通知は、検知した時刻情報とともに記憶部14に記憶される。
First, the
その後、演算部11は、前回検知されたCOV通知の計測値と、今回検知されたCOV通知の計測値との差分を求める(ステップS3)。より詳細には、演算部11は、前回検知されたCOV通知の計測値を記憶部14から読み出して、今回検知されたCOV通知の計測値との差分を求める。
Then, the calculating
次に、判断部12は、ステップS3で演算部11が算出した前回のCOV通知に含まれる計測値と今回のCOV通知に含まれる計測値との差分が、設定されたしきい値を超える場合には(ステップS4:YES)、不正アクセスが発生したものと判断し、警報部13は警報を出力する(ステップS5)。具体的には、判断部12は、記憶部14に記憶されているしきい値を読み出し、ステップS3で求められた差分に対するしきい値処理を実行する。また、警報部13により生成された警報は、例えば、通信ネットワークNWを介して、BACnet通信などにより中央監視装置3に送信される。
Next, the
[中央監視システムのシーケンス]
次に上述した構成を有する不正アクセス監視装置1を備える中央監視システムの動作について、図4のシーケンス図を用いて説明する。
[Central monitoring system sequence]
Next, the operation of the central monitoring system including the unauthorized
図4に示すように、設備機器2は、設定された値の変化が計測値に生ずると、通信ネットワークNWを介して中央監視装置3にCOV通知を送信する(ステップS100)。設定された値の変化とは、COV Incrementのプロパティにおいて予め設定されている計測値の増加または減少の許容値である。不正アクセス監視装置1は、例えば、通信ネットワークNW上を流れるパケットのキャプチャにより、設備機器2が送信したCOV通知を検知する(ステップS101)。一方において、中央監視装置3は、設備機器2が送信したCOV通知を受信する(ステップS102)。
As shown in FIG. 4, when a change in the set value occurs in the measured value, the equipment 2 transmits a COV notification to the central monitoring device 3 via the communication network NW (step S100). The change in the set value is a permissible value for increasing or decreasing the measured value set in advance in the COV Increment property. The unauthorized
その後、設備機器2は、再び、設定された値の変化が計測値に生ずると、通信ネットワークNWを介して中央監視装置3にCOV通知を送信する(ステップS103)。不正アクセス監視装置1は、設備機器2によって送信されたCOV通知を検知する(ステップS104)。一方で、中央監視装置3は、設備機器2が送信したCOV通知を受信する(ステップS105)。
After that, when the change in the set value occurs in the measured value again, the equipment device 2 transmits the COV notification to the central monitoring device 3 via the communication network NW (step S103). The unauthorized
次に、不正アクセス監視装置1は、ステップS101およびステップS104のそれぞれで検知した前回および今回のCOV通知が示す計測値の差分に基づいて、不正アクセスの発生の有無を判断する(ステップS106)。より詳細には、演算部11が前回および今回の計測値の差分を算出する。そして、判断部12が、記憶部14に予め記憶されているしきい値を読み出して、計測値の差分がしきい値を超える場合には、不正アクセスが発生したものと判断する。
Next, the unauthorized
その後、不正アクセス監視装置1は、不正アクセスが発生したことを示す警報を生成し、通信ネットワークNWを介して中央監視装置3に送信する(ステップS107)。例えば、中央監視装置3の図示されない表示画面などに、設備機器2に対して不正アクセスが生じたことを示す警報メッセージが表示される。
After that, the unauthorized
以上説明したように、本実施の形態に係る不正アクセス監視装置1によれば、設備機器2が通信ネットワークNWを介して送信した複数のCOV通知の計測値において、前回検知されたCOV通知の計測値と今回検知されたCOV通知の計測値との差分が、設定されたしきい値を超える場合には、不正アクセスが発生したものと判断する。このように、不正アクセスの発生の有無についての判断を通信ネットワークNW上に設けられた不正アクセス監視装置1が行うので、中央監視装置3の情報処理能力に影響を与えずに、通信ネットワークNWにおける不正アクセスを監視することができる。
As described above, according to the unauthorized
なお、説明した実施の形態では、通信ネットワークNWを介して接続されている設備機器2は1台である場合を例に挙げて説明したが、設備機器2の数は、複数であってもよい。この場合、判断部12が用いるしきい値は、設備機器2毎に設定され記憶部14に予め記憶される。
In the above-described embodiment, the case where the number of the facility devices 2 connected via the communication network NW is one has been described as an example, but the number of the facility devices 2 may be plural. .. In this case, the threshold value used by the
以上、本発明の不正アクセス監視装置、不正アクセス監視方法、および中央監視システムにおける実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。 The embodiments of the unauthorized access monitoring device, the unauthorized access monitoring method, and the central monitoring system according to the present invention have been described above, but the present invention is not limited to the described embodiments, and the invention described in the claims. Various modifications that can be envisioned by those skilled in the art can be made within the range.
1…不正アクセス監視装置、2…設備機器、3…中央監視装置、10…COV監視部、11…演算部、12…判断部、13…警報部、14…記憶部、101…バス、102…CPU、103…主記憶装置、104…通信インターフェース、105…補助記憶装置、106…入出力インターフェース、107…内蔵時計、NW…通信ネットワーク。
DESCRIPTION OF
Claims (7)
前記監視部が前回検知した通知に含まれる前記計測値と、前記監視部が今回検知した通知に含まれる前記計測値との差分を求めるように構成された演算部と、
前記演算部が求めた前記差分が、設定されたしきい値を超えた場合に不正アクセスが発生したものと判断するように構成された判断部と
を備え、
前記設備機器による前記計測値に関する通知は、設定された値の変化が前記計測値に生じた場合に送信される
ことを特徴とする不正アクセス監視装置。 A monitoring unit configured to detect a notification regarding measurement values transmitted by the equipment device via the communication network;
The operation unit configured to obtain a difference between the measurement value included in the notification detected by the monitoring unit last time and the measurement value included in the notification detected by the monitoring unit this time,
A determination unit configured to determine that an unauthorized access has occurred when the difference calculated by the calculation unit exceeds a set threshold value,
The unauthorized access monitoring device, wherein the notification about the measured value by the equipment is transmitted when a change in a set value occurs in the measured value.
前記設定されたしきい値は、前記設定された値以上であることを特徴とする不正アクセス監視装置。 In the unauthorized access monitoring device according to claim 1,
The unauthorized access monitoring device, wherein the set threshold value is equal to or more than the set value.
前記判断部が、不正アクセスが発生したものと判断した場合に、警報を出力するように構成された警報部をさらに備えることを特徴とする不正アクセス監視装置。 In the unauthorized access monitoring device according to claim 1 or 2,
The unauthorized access monitoring device, further comprising an alarm unit configured to output an alarm when the determination unit determines that an unauthorized access has occurred.
前記通知に含まれる前記計測値は、環境に関する指数を含むことを特徴とする不正アクセス監視装置。 The unauthorized access monitoring device according to any one of claims 1 to 3,
The unauthorized access monitoring device, wherein the measurement value included in the notification includes an index relating to the environment.
前記監視ステップで、前回検知された通知に含まれる前記計測値と、前記監視ステップで今回検知された通知に含まれる前記計測値との差分を求める演算ステップと、
前記演算ステップで求められた前記差分が、設定されたしきい値を超えた場合に不正アクセスが発生したものと判断する判断ステップと
を備え、
前記設備機器による前記計測値に関する通知は、設定された値の変化が前記計測値に生じた場合に送信される
ことを特徴とする不正アクセス監視方法。 A monitoring step of detecting a notification regarding measurement values transmitted by the facility device via the communication network;
In the monitoring step, a calculation step of obtaining a difference between the measurement value included in the notification detected last time and the measurement value included in the notification detected this time in the monitoring step,
A determination step of determining that an unauthorized access has occurred when the difference obtained in the calculation step exceeds a set threshold value,
The unauthorized access monitoring method, wherein the notification about the measured value by the equipment is transmitted when a change in a set value occurs in the measured value.
前記判断ステップで不正アクセスが発生したものと判断された場合に、警報を出力する警報ステップをさらに備えることを特徴とする不正アクセス監視方法。 The unauthorized access monitoring method according to claim 5,
The unauthorized access monitoring method, further comprising an alarm step of outputting an alarm when it is determined in the determination step that an unauthorized access has occurred.
前記不正アクセス監視装置は、
前記設備機器が前記通信ネットワークを介して送信した計測値に関する通知を検知するように構成された監視部と、
前記監視部が前回検知した通知に含まれる前記計測値と、前記監視部が今回検知した通知に含まれる前記計測値との差分を求めるように構成された演算部と、
前記演算部が求めた前記差分が、設定されたしきい値を超えた場合に不正アクセスが発生したものと判断するように構成された判断部と
を備え、
前記設備機器による前記計測値に関する通知は、設定された値の変化が前記計測値に生じた場合に送信される
ことを特徴とする中央監視システム。 An equipment device, a central monitoring device connected to the equipment device via a communication network to control and monitor the equipment device, and an unauthorized access monitoring device connected to the communication network to monitor unauthorized access to the equipment device ,
The unauthorized access monitoring device,
A monitoring unit configured to detect a notification regarding a measurement value transmitted by the equipment device via the communication network,
An operation unit configured to obtain a difference between the measurement value included in the notification previously detected by the monitoring unit and the measurement value included in the notification currently detected by the monitoring unit,
And a determination unit configured to determine that an unauthorized access has occurred when the difference obtained by the calculation unit exceeds a set threshold value,
The central monitoring system, wherein the notification regarding the measured value by the equipment is transmitted when a change in a set value occurs in the measured value.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019009910A JP2020120274A (en) | 2019-01-24 | 2019-01-24 | Unauthorized access monitoring device, unauthorized access monitoring method, and central monitoring system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019009910A JP2020120274A (en) | 2019-01-24 | 2019-01-24 | Unauthorized access monitoring device, unauthorized access monitoring method, and central monitoring system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2020120274A true JP2020120274A (en) | 2020-08-06 |
Family
ID=71891326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019009910A Pending JP2020120274A (en) | 2019-01-24 | 2019-01-24 | Unauthorized access monitoring device, unauthorized access monitoring method, and central monitoring system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2020120274A (en) |
-
2019
- 2019-01-24 JP JP2019009910A patent/JP2020120274A/en active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10139122B2 (en) | Diagnostic data bus for acquiring and communicating diagnostic information from HVAC systems | |
| EP2907102B1 (en) | Field device having tamper attempt reporting | |
| WO2016112642A1 (en) | Method and apparatus for monitoring intelligent device | |
| CN110793653A (en) | Temperature monitoring method and device | |
| JP6711710B2 (en) | Monitoring device, monitoring method, and monitoring program | |
| CN106487612A (en) | A kind of server node monitoring method, monitoring server and system | |
| KR100984246B1 (en) | Method, system, and computer-readable recording medium for supervising real-time fire using zigbee wireless communication | |
| CN110673525A (en) | Equipment linkage triggering method and device | |
| CN114387762A (en) | Building data management method, device, equipment and storage medium | |
| JP4827780B2 (en) | Air conditioning control system | |
| CN105423482A (en) | Temperature detection method and air conditioner | |
| CN112765679B (en) | Sensor data management method, device, system and storage medium | |
| JP2022117261A (en) | IoT system and management server | |
| JP2020120274A (en) | Unauthorized access monitoring device, unauthorized access monitoring method, and central monitoring system | |
| KR101970523B1 (en) | Facilities control system and operating method of the same | |
| JP2020119273A (en) | Unauthorized access monitoring device, unauthorized access monitoring method, and central monitoring system | |
| US20210382988A1 (en) | Robust monitoring of computer systems and/or control systems | |
| KR20190048191A (en) | 3D Implementation integrated management system and building integrated control | |
| KR101420230B1 (en) | Hacking Monitoring Method, Media Recorded with Program for Hacking Monitoring, and Terminal Embedded with Program for Hacking Monitoring | |
| US20240044534A1 (en) | Monitoring and identifying changes to heating ventilation and air conditioning (hvac) conditions | |
| WO2023282193A1 (en) | Malware detection method, malware detection device, and program | |
| CN107632564A (en) | Computer room air channel monitoring method, device and storage medium based on Internet of Things | |
| EP4369230A1 (en) | Malware detection method, malware detection device, and program | |
| JP6835526B2 (en) | Unauthorized access monitoring device and method | |
| JP2021072586A (en) | Unauthorized connection detection device, unauthorized connection detection system, and unauthorized connection detection method |