JP2020145537A - 通信中継装置 - Google Patents

通信中継装置 Download PDF

Info

Publication number
JP2020145537A
JP2020145537A JP2019039398A JP2019039398A JP2020145537A JP 2020145537 A JP2020145537 A JP 2020145537A JP 2019039398 A JP2019039398 A JP 2019039398A JP 2019039398 A JP2019039398 A JP 2019039398A JP 2020145537 A JP2020145537 A JP 2020145537A
Authority
JP
Japan
Prior art keywords
pattern
detection
relay device
communication relay
detection circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019039398A
Other languages
English (en)
Inventor
寛 岩澤
Hiroshi Iwasawa
寛 岩澤
遠藤 浩通
Hiromichi Endo
浩通 遠藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2019039398A priority Critical patent/JP2020145537A/ja
Priority to PCT/JP2019/046203 priority patent/WO2020179152A1/ja
Publication of JP2020145537A publication Critical patent/JP2020145537A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】通信の停止を伴うことなく検知パターンの更新を行い得る通信中継装置を提供する。【解決手段】通信中継装置1は、複数のパターン検出回路(111,112,113,114)を有し、これらのうち1つ以上のパターン検出回路の検知パターンが空き状態であって、前記検知パターンの更新を行う場合、空き状態のパターン検出回路から新たな検知パターンの更新を行う。【選択図】 図2

Description

本発明は、不正な通信を遮断する機能を有する通信中継装置に係り、特に制御システム等のリアルタイム性が求められるシステムに用いられる通信中継装置に関する。
製造業における化学プラントや組み立て装置等の設備を制御する制御システムは、安全かつ安定な動作を維持する必要がある。しかし、制御装置に対してその動作を阻害したり誤った動作を行わせる意図で、制御システム用のネットワークを介して不正な内容のデータが送られる場合がある。対策として、このような不正な通信を遮断する能力を具備したファイアウォールやIPS(Intrusion Protection System)等を介して防御対象の装置を制御システムネットワークに接続する方法が知られている。
このファイアウォール等について、特に制御システムにこれらを直接実装する場合においては、「センシング−制御演算−アクチュエーション」の一連の動作を定められた制御周期の時間内に完結させる(リアルタイム性を確保する)必要があるため、通信に要する時間によってこれを超過することが無いようにファイアウォール等での遅延時間を極力小さくする必要がある。特許文献1には、FPGA(Field Programmable Gate Array)等を用いてハードウェアで構成したウィルス照合器を用いて不正な通信を検出することで、短い遅延時間での処理を実現し、リアルタイム性を高めた通信中継装置が開示されている。
特開2008−299864号公報
一方で、新たな脅威に対応させるためには、不正な通信を判別するための検知パターンを定期的に更新する必要がある。特許文献1に記載される通信中継装置では、この検知パターンの更新は通信が行われていないタイミングで通信を停止して行っており、常に通信を行えるようにする必要のある用途には適さなかった。
そこで、本発明は、通信の停止を伴うことなく検知パターンの更新を行い得る通信中継装置を提供する。
上記課題を解決するため、本発明に係る通信中継装置は、複数のパターン検出回路を有し、これらのうち1つ以上のパターン検出回路の検知パターンが空き状態であって、前記検知パターンの更新を行う場合、空き状態のパターン検出回路から新たな検知パターンの更新を行うことを特徴とする。
本発明によれば、通信の停止を伴うことなく検知パターンの更新を行い得る通信中継装置を提供することが可能となる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
本発明の一実施例に係る通信中継装置を有する制御システムの全体概略構成図である。 図1に示す通信中継装置の内部構成例を示すブロック図である。 図2に示す検知回路の内部構成例を示すブロック図である。
以下、本発明の実施例について、図面を用いて説明する。本明細書及び図面において実質的に同一の機能又は構成を有する構成要素については、同一の符号を付して重複する説明を省略する。
[制御システム全体の構成]
まず、本実施例に係る通信中継装置を含む制御システム全体の構成について説明する。図1は、本発明の一実施例に係る通信中継装置を有する制御システムの全体概略構成図である。
図1に示すように、制御システムは一例として、外部ネットワーク向けのファイアウォール21、端末装置22、生産管理サーバ23、HMI(Human Machine Interface)装置24、監視制御サーバ25、通信中継装置1、制御装置26、及び制御対象設備27から構成される。これらは相互に通信可能に接続されて階層状のネットワークを形成している。
制御対象設備27は、制御装置26に接続されている。制御装置26は更に、通信中継装置1に接続されている。通信中継装置1は更に、制御システムネットワーク3を介して、監視制御サーバ25に接続されている。監視制御サーバ25は更に、制御系情報ネットワーク33を介して、HMI装置24及び生産管理サーバ23に接続されている。生産管理サーバ23は更に、情報系ネットワーク32を介して、端末装置22及びファイアウォール21に接続されている。ファイアウォール21は更に、インターネットなどの外部ネットワーク31に接続されている。
ファイアウォール21は、情報系ネットワーク32と外部ネットワーク31との間の通信を中継すると共に、外部ネットワーク31から情報系ネットワーク32への不正アクセスを防ぐ。
生産管理サーバ23は、プラントの生産目標や生産個数指示などの計画値を決定し、計画値を監視制御サーバ25へ送信する。端末装置22は、情報系ネットワーク32を介して生産管理サーバ23にアクセスすることにより、生産管理サーバ23へ計画値に関する情報を入力し、生産管理サーバ23から出力される実績などの情報を図示しない表示装置に表示する。これにより、端末装置22の管理者は、制御システムの実績を監視することができる。
監視制御サーバ25は、生産管理サーバ23から受信した計画値に基づいて、制御対象設備27の指令値を決定し、制御システムネットワーク3及び通信中継装置1を介して、制御装置26へ指令値を送信する。HMI装置24は、制御系情報ネットワーク33を介して監視制御サーバ25にアクセスすることにより、監視制御サーバ25へ指令値に関する情報を入力し、監視制御サーバ25から出力される状態などの情報を図示しない表示装置に表示する。これにより、HMI装置24の管理者は、制御対象設備27の状態を監視することができる。
制御装置26は、監視制御サーバ25から受信した指令値に基づいて、制御対象設備27を制御する。制御対象設備27は、例えば、スイッチ、バルブ、及びセンサ等である。指令値は、例えば、スイッチやバルブの開閉や開度などである。状態は、例えば、センサにより計測される圧力、温度、回転数等である。
[通信中継装置の役割]
通信中継装置1は、単なる通信の中継の機能を有するのみならず、制御システムネットワーク3から送信される不正な通信を検出及び遮断する能力を有る。この不正な通信は、監視制御サーバ25等の内部装置がコンピュータウィルス等に感染した結果として生成されるものもあれば、攻撃者がシステム内部に侵入し、制御システムネットワーク3に直接PC等を接続して送信するような場合も考えられる。いずれの場合も、外部ネットワーク向けのファイアウォール21のみではその不正な通信を防ぐことはできないため、制御装置26毎に設置した通信中継装置1による保護が必要となる。
[通信中継装置の構成]
次に、通信中継装置1の詳細について説明する。図2は、図1に示す通信中継装置1の内部構成例を示すブロック図である。
通信中継装置1は、制御システムネットワーク3を通じて第1通信装置2に接続され、また、保護対象の第2通信装置4に接続されている。第1通信装置2は、例えば監視制御サーバ25である。第2通信装置4は、例えば制御装置26である。通信中継装置1は更に、複数の検知回路111、検知回路112、検知回路113、検知回路114、除去回路12、更新選択器13、選択回路14から構成される。
次に、通信中継装置1内部の動作について説明する。まず、あるタイミングにおいて、複数の検知回路のうち検知回路111は空き回路(空状態)として用いられ、その他の検知回路112、検知回路113、及び検知回路114はそれぞれ異なる検知パターン15が記憶されている。この状態で、制御システムネットワーク3から入力信号5が入力されると、入力信号5は検知回路111、検知回路112、検知回路113、検知回路114、及び除去回路12に入力される。ここで、検知回路111は空き回路であるため何も出力しないが、その他の検知回路112、検知回路113、及び検知回路114は各々に記憶された検知パターン15と入力信号5とを照合し、パターンが合致した場合に検知信号17をアクティブとする。具体的には、検知パターン15には不正な通信に特徴的なパターンを用いる。換言すれば、検知パターン15は、例えば、ウィルス定義情報または不正通信の不正アドレス等を含む。なお、検知回路112、検知回路113、及び検知回路114には、それぞれ異なる検知パターンが格納されている。すなわち、検知パターンの種別に応じて検知回路の数が定まる。
検知信号17は除去回路12へ入力され、除去回路12は検知信号17のいずれかがアクティブな場合、すなわち何らかの不正な通信が検出された場合には入力信号5を出力信号6として伝達せず、除去する。逆に、除去回路12は検知信号17のいずれもアクティブでない場合、すなわち不正な通信が検出されていない場合には入力信号5を出力信号6としてそのまま伝達する。
ここで、検知回路の詳細について説明する。図3は、図2に示す検知回路112の内部構成例を示すブロック図である。一例として、検知回路112を示すが、検知回路111、検知回路113、及び検知回路114もそのハードウェア構成は同様である。
図3に示すように、検知回路112は、シフトレジスタ121と特徴値比較部122から構成される。シフトレジスタ122は入力信号5を通じて受信したデータ列を1bitずつ格納しながら図中右側へシフトする動作を行う。これらの動作により、受信したデータ列はシフトレジスタ121の長さと動作周波数の積に比例した一定期間、シフトレジスタ121内に溜め込まれることになる。
また、特徴値比較部122は内部にマッチングパターンレジスタ123を内蔵しており、マッチングパターンレジスタ123はシフトレジスタ121に溜め込まれたデータ列に対し、自らのパターンが合致するかを照合し、合致する場合には検知信号17を出力する。
従って、空き回路として用いられる検知回路111のマッチングパターンレジスタ123には、全てのbitが“0”のデータ列が格納されている。
なお、本実施例では、検知回路111、検知回路112、検知回路113、及び検知回路114の4個の検知回路を実装している場合を一例としてしめしているが、実装する検知回路の数はこれより多くても良い。実際には、多様な脅威に対応するため、一般に数十から数百を超える数の検知回路が必要となる。
〔検知パターンの更新]
上述の通信中継装置1の構成で不正な通信を検知し除去することができるが、そのままでは新たな脅威に対応することができず、すぐに陳腐化してしまう可能性がある。これを防ぐためには、検知パターン15を随時更新することが必要である。ただし、リアルタイム性を確保するにはその更新のために通信を停止することは適切ではなく、通信を停止することなく検知パターン15を更新する工夫が必要である。これを実現するため、本実施例においては検知回路111、検知回路112、検知回路113、及び検知回路114のうちの空き回路を積極的に活用する。
以下、本実施例における検知パターン15の更新方法について、詳細を説明する。更新のためには、更新選択器13、選択回路14、および通信中継装置1の外部にある更新サーバ7を用いる。更新の対象となる新しい検知パターン16は更新サーバ7に蓄えられており、更新選択器13からの操作に従い選択回路14を通じて検知回路111、検知回路112、検知回路113、及び114へ配信される。
ここで、配信・更新する順番およびタイミングに気を付ける必要がある。すなわち、最初に空き回路として用いられている検知回路、現在の例では検知回路111を最初に更新し、当該検知回路111を有効化する。その後、すでに有効化している検知回路112、検知回路113、及び検知回路114のうち一つ、例えば、検知回路112を無効化し、新たに更新対象とするというステップで順次更新していく。更に具体的に説明すると、検知回路112を無効化は、検知回路112を構成するマッチングパターンレジスタ123(図3)に格納されている検知パターン15を表す全てのbitを“0”のデータ列として書き込む。これにより、検知回路112が空き回路となる。
また、検知回路113及び検知回路114については、マッチングパターンレジスタ123(図3)に格納されている検知パターン15を表す全てのbitを“0”のデータ列として書き込む。その後、マッチングパターンレジスタ123に更新の対象となる新しい検知パターン16のデータ列を書き込むことで更新を行う。
このようにすることで、本実施例では常に3個以上の検知回路が有効になっている状態を維持することができ、通信を停止することなく検知パターン15を更新することができる。
なお、更新サーバ7と通信中継装置1との間のデータのやりとりは、専用の配線を用いてもよいし、制御システムネットワーク3を通じて入力信号5と同じ経路で配信される形でもよい。後者は通常の通信とパターンの配信との弁別処理が複雑となるが、配線の数を節約できるメリットがある。
[優先度に応じた更新順序]
更に好適な構成として、検知パターン15の更新の順番について、検知パターン15内の優先順位が高いものから順番に更新していく方式が考えられる。この場合の優先順位としては、例えば、検知パターンに対応する脅威の強度の度合、迅速に対応する必要性の度合等に基づき順位が設定される。このような構成とすることで、優先度が高い脅威に対して迅速に対応することができ、不正な通信に対して最大限に保護を行うことができる。
[繰り返し更新によるソフトエラー対策]
また、別の好適な構成として、例えば図2の構成において、検知回路111、検知回路112、及び検知回路113を新しい検知パターン16に更新した後も更新を終了することなく、同じ検知パターン16の組み合わせで引き続き検知回路114→111→112→113→114・・・、のように繰り返し継続して更新を行う方式が考えられる。ここで、ソフトエラーとは、例えば、マッチングパターンレジスタ123(図3)を構成するフリップフロップ回路が飛来する宇宙線等の外的刺激によって意図せず内部状態が遷移してしまい、マッチングパターンレジスタ123の記憶内容が変わってしまう現象である。すなわち、外的要因により、例えば、マッチングパターンレジスタ123に格納されている検知パターンのbit“1”が“0”に変化することを示す。ソフトエラーはいつ生ずるかわからないため、更新処理を繰り返し実行することが効果的である。換言すれば、更新を継続しない場合と比べ、通常時はその検知動作の結果は変わらないが、検知回路を構成するマッチングパターンレジスタ123(記憶素子)にソフトエラーが生じた場合にその検知動作が改善される。
上述のように、ソフトエラーとは、レジスタを構成するフリップフロップ回路が飛来する宇宙線等の外的刺激によって意図せず内部状態が遷移してしまい、レジスタの記憶内容が変わってしまう現象を指す。このソフトエラーが生じると検知回路は正しい動作を行えなくなってしまう。しかし、このソフトエラーは再度正しい値で上書きすれば元通りの正常な動作に戻るため、上述したように、検知回路111、検知回路112、検知回路113、及び検知回路114を検知パターン16で繰り返し継続して更新することで自動的に修復することができる。
[ソフトウェア型検知回路との併用]
以上で述べた通信中継装置は不正な通信の検知に用いる、検知回路111、検知回路112、検知回路113、及び検知回路114にFPGA(Field Programmable Gate Array)等を用いたハードウェア型の検知回路を採用した場合に好適な構成となっている。しかし、ハードウェア型の検知回路は、対応したい脅威の数と同じ数だけの検知回路を実装する必要があり、対応すべき脅威の数が非常に多くなると実装が困難になる可能性がある。これを解決するには、多数の脅威に対応することが比較的容易な、CPU(Central Processing Unit)を用いたソフトウェア型検知回路(図示しない)を併用することが次善策として考えられる。ただし、ソフトウェア型検知回路は遅延時間が大きいため、リアルタイム性を維持しようとすると不正な通信をその場で遮断することができず、一旦伝達した後に、事後に通知して対応するような形となる。
以上の通り本実施例によれば、通信の停止を伴うことなく検知パターンの更新を行い得る通信中継装置を提供することが可能となる。
なお、本発明は上記の実施例に限定されるものではなく、様々な変形例が含まれる。上記の実施例は本発明を分かりやすく説明するために用いたものであり、必ずしも全ての構成を備えるものに限定されるものではない。
1…通信中継装置
2…第1通信装置
3…制御システムネットワーク
4…第2通信装置
5…入力信号
6…出力信号
7…更新サーバ
12…除去回路
13…更新選択器
14…選択回路
15…検知パターン
16…新しい検知パターン
21…ファイアウォール
22…端末装置
23…生産管理サーバ
24…HMI装置
25…監視制御サーバ
26…制御装置
27…制御対象設備
31…外部ネットワーク
32…情報系ネットワーク
33…制御系情報ネットワーク
111,112,113,114…検知回路
116…新しい検知パターン
121…シフトレジスタ
122…特徴値比較部
123…マッチングパターンレジスタ

Claims (5)

  1. 複数のパターン検出回路を有し、これらのうち1つ以上のパターン検出回路の検知パターンが空き状態であって、前記検知パターンの更新を行う場合、空き状態のパターン検出回路から新たな検知パターンの更新を行うことを特徴とする通信中継装置。
  2. 請求項1に記載の通信中継装置において、
    更新選択器と選択回路とを備え、
    前記選択回路は、前記更新選択器の操作に基づき外部サーバに格納される更新の対象となる新たな検知パターンを前記パターン検出回路へ配信することを特徴とする通信中継装置。
  3. 請求項1または請求項2に記載の通信中継装置において、
    検知パターンに対応する脅威の強度の度合または迅速に対応する必要性の度合に基づき設定される優先度の高い検知パターンから順に更新することを特徴とする通信中継装置。
  4. 請求項1または請求項2に記載の通信中継装置において、
    最後のパターン検出回路のパターン更新が完了してもパターンの更新を終了することなく、繰り返し同じパターンでの更新を実行することを特徴とする通信中継装置。
  5. 請求項1または請求項2に記載の通信中継装置において、
    前記検知パターンは、ウィルス定義情報を含むことを特徴とする通信中継装置。
JP2019039398A 2019-03-05 2019-03-05 通信中継装置 Pending JP2020145537A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2019039398A JP2020145537A (ja) 2019-03-05 2019-03-05 通信中継装置
PCT/JP2019/046203 WO2020179152A1 (ja) 2019-03-05 2019-11-26 通信中継装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019039398A JP2020145537A (ja) 2019-03-05 2019-03-05 通信中継装置

Publications (1)

Publication Number Publication Date
JP2020145537A true JP2020145537A (ja) 2020-09-10

Family

ID=72337853

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019039398A Pending JP2020145537A (ja) 2019-03-05 2019-03-05 通信中継装置

Country Status (2)

Country Link
JP (1) JP2020145537A (ja)
WO (1) WO2020179152A1 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004075056A1 (ja) * 2003-02-21 2004-09-02 National Institute Of Advanced Industrial Science And Technology ウイルスチェック装置及びシステム
US8359645B2 (en) * 2005-03-25 2013-01-22 Microsoft Corporation Dynamic protection of unpatched machines
US8429749B2 (en) * 2007-03-27 2013-04-23 National Institute Of Advanced Industrial Science And Technology Packet data comparator as well as virus filter, virus checker and network system using the same
JP6234804B2 (ja) * 2013-12-19 2017-11-22 株式会社日立製作所 通信中継装置

Also Published As

Publication number Publication date
WO2020179152A1 (ja) 2020-09-10

Similar Documents

Publication Publication Date Title
US10374894B2 (en) Uninterruptable verification and control upgrade for real-time control system
JP4505608B2 (ja) 工業用制御装置を冗長制御装置と同期化するための方法および装置
JP6745921B2 (ja) Plcの仮想的なパッチおよびセキュリティコンテキストの自動配信
KR20180019481A (ko) 보안 감시
JP6054010B2 (ja) データ判定装置、データ判定方法及びプログラム
US20070226551A1 (en) Apparatus and method for checking an error recognition functionality of a memory circuit
CN103366113A (zh) 用于可信平台证明的系统和方法
JP7026028B2 (ja) 冗長デバイス及びスマートコントラクトを使用して、サイバーフィジカルシステムへの攻撃を検出するための方法及びシステム
CN102985914A (zh) 通过端口共享硬件对存储设备的带外访问
CN109644129A (zh) 用于硬件加速密码的密钥的线程所有权
CN101369141B (zh) 用于可编程数据处理设备的保护单元
CN110325930A (zh) 安全系统和安全控制器
JP5975923B2 (ja) 車両用制御装置
EP3926429A1 (en) Control system
JP2020145537A (ja) 通信中継装置
US7555627B2 (en) Input-output control apparatus, input-output control method, process control apparatus and process control method
JP4894854B2 (ja) データ送信装置、データ送受信システム及びデータ送受信システムの制御方法
EP3759606B1 (en) An apparatus and method for accessing metadata when debugging a device
US11093615B2 (en) Method and computer with protection against cybercriminal threats
CN106874796B (zh) 系统运行中指令流的安全检测和容错方法
Penera et al. Packet scheduling attacks on shipboard networked control systems
US20180231949A1 (en) Safety Controller Using Hardware Memory Protection
WO2020109252A1 (en) Test system and method for data analytics
US10884840B2 (en) Controlled monitoring based on root cause analysis recommendations
WO2017099066A1 (ja) 診断装置、診断方法、及び、診断プログラムが記録された記録媒体