JP2020149171A - Security abnormality detection system - Google Patents

Security abnormality detection system Download PDF

Info

Publication number
JP2020149171A
JP2020149171A JP2019044408A JP2019044408A JP2020149171A JP 2020149171 A JP2020149171 A JP 2020149171A JP 2019044408 A JP2019044408 A JP 2019044408A JP 2019044408 A JP2019044408 A JP 2019044408A JP 2020149171 A JP2020149171 A JP 2020149171A
Authority
JP
Japan
Prior art keywords
security
human
state
unit
determination unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019044408A
Other languages
Japanese (ja)
Other versions
JP7257823B2 (en
Inventor
真史 大谷
Masashi Otani
真史 大谷
光伸 吉永
Mitsunobu Yoshinaga
光伸 吉永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2019044408A priority Critical patent/JP7257823B2/en
Publication of JP2020149171A publication Critical patent/JP2020149171A/en
Application granted granted Critical
Publication of JP7257823B2 publication Critical patent/JP7257823B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Testing And Monitoring For Control Systems (AREA)
  • Alarm Systems (AREA)

Abstract

To obtain a security abnormality detection system that prevents spoofing and detects security abnormalities more accurately.SOLUTION: A facility status determination unit 104 determines the status of a facility including the operation and stop of the facility to be monitored and controlled by a monitoring control system. A human characteristic determination unit 106 determines human characteristics including the role type of humans engaged in the monitoring and control system. A human behavior determination unit 108 which determines the human behavior. A human condition determination unit 110 determines the human condition including the degree of human tension. An environmental condition determination unit 112 determines the environmental condition including disasters and fires. Using each of determination results, a security status determination unit 114 determines whether the security status is abnormal or normal in light of a security status determination rule created in advance, and a determination result output unit 115 outputs the result.SELECTED DRAWING: Figure 1

Description

本願は、セキュリティ異常検知システムに関するものである。 The present application relates to a security anomaly detection system.

サイバー攻撃の対象が情報システムだけでなく監視制御システムに拡大しており、監視制御システム向けのセキュリティシステムの開発が喫緊の課題になっている。
監視制御システムは、温度センサ、圧力センサなど、監視の対象となる被監視機器からの情報を運転員に提示するとともに、運転員の操作に応じて、モータ、ポンプ、弁など各種機器を制御するシステムである。監視制御システムは、発電プラント、化学プラント、受配電設備、上下水道設備など、幅広い分野で用いられている。
The targets of cyber attacks are expanding not only to information systems but also to monitoring and control systems, and the development of security systems for monitoring and control systems has become an urgent issue.
The monitoring and control system presents information from monitored devices such as temperature sensors and pressure sensors to the operator, and controls various devices such as motors, pumps, and valves according to the operator's operation. It is a system. Monitoring and control systems are used in a wide range of fields such as power plants, chemical plants, power receiving and distribution facilities, and water and sewage facilities.

従来のセキュリティシステムにおいては、取得した画像または音響から得られた画像認識または音響解析の出力結果と、予め登録した正解情報とを照合することにより、不正な人間を検知する。(例えば,特許文献1参照)
また、監視制御システム向けの攻撃検知システムにおいては、プラントにおけるセキュリティイベント、設備状態、プラントパラメータ等を用いて、過去の正常状態との相関関係をもとにセキュリティ異常を検出する。(例えば,特許文献2参照)
In a conventional security system, an unauthorized person is detected by collating the output result of image recognition or acoustic analysis obtained from the acquired image or sound with the correct answer information registered in advance. (See, for example, Patent Document 1)
Further, in the attack detection system for the monitoring and control system, a security abnormality is detected based on the correlation with the past normal state by using the security event, the equipment state, the plant parameter, etc. in the plant. (See, for example, Patent Document 2)

特開2016−177484号公報(第6〜14頁、第2図)Japanese Unexamined Patent Publication No. 2016-177484 (pages 6 to 14, FIG. 2) 特開2017−129894号公報(第3〜4頁、第1図)JP-A-2017-129894 (Pages 3-4, Fig. 1)

従来のセキュリティシステムは、不正な人間の侵入あるいは不正なコンピュータへの侵入を、正常または異常の状態と照合することにより、セキュリティ異常を検出するものであった。
しかしながら、これでは、正しい人間、正しい侵入になりすまして攻撃を仕掛けられた場合、セキュリティ異常の検知が難しい。例えば、職員の情報を盗用した「なりすまし」、職員による「内部犯行」などの攻撃の場合、セキュリティ異常の検知が困難であるという問題があった。
A conventional security system detects a security abnormality by collating an unauthorized human intrusion or an intrusion into an unauthorized computer with a normal or abnormal state.
However, with this, it is difficult to detect security anomalies when an attack is launched by impersonating the right person or the right intrusion. For example, in the case of attacks such as "spoofing" that steals staff information and "internal crime" by staff, there is a problem that it is difficult to detect a security abnormality.

また、従来の監視制御システム向けの攻撃検知システムは、セキュリティイベント、設備状態、プラントパラメータ、およびアタックシナリオの相関を用いて、セキュリティ異常を検知している。
しかしながら、このシステムでは、設備の情報に加えて、緊張状態、ストレス状態などの人間の状態を活用してセキュリティ異常を検知する方法については言及されていない。
また、監視制御システムの設備情報に基づき、セキュリティ異常を検知するため、セキュリティ異常の発生は検知できるが、発生原因の究明が困難という問題、および、すでに検知した時点でセキュリティ侵害が進展しているという問題があった。
In addition, conventional attack detection systems for monitoring and control systems detect security anomalies using correlations between security events, equipment status, plant parameters, and attack scenarios.
However, this system does not mention a method of detecting a security abnormality by utilizing human conditions such as tension and stress in addition to equipment information.
In addition, since security abnormalities are detected based on the equipment information of the monitoring and control system, the occurrence of security abnormalities can be detected, but the problem is that it is difficult to determine the cause of the occurrence, and security breaches are progressing when they are already detected. There was a problem.

本願は、上記のような課題を解決するための技術を開示するものであり、なりすましを防ぎ、より正確にセキュリティ異常を検知するセキュリティ異常検知システムを提供することを目的とする。 The present application discloses a technique for solving the above-mentioned problems, and an object of the present application is to provide a security anomaly detection system that prevents spoofing and detects security anomalies more accurately.

本願に開示されるセキュリティ異常検知システムは、監視制御システムに従事する人間の役割種別を判定する役割種別判定部、人間の挙動を判定する人間挙動判定部、監視制御システムによる監視制御対象の設備の運転および停止を含む設備の状態を判定する設備状態判定部、人間の役割種別と人間の挙動と設備の状態とに基づき、監視制御システムの異常または正常のセキュリティ状態が予め定義されたセキュリティ状態判定規則を格納するセキュリティ状態判定規則格納部、役割種別判定部、人間挙動判定部および設備状態判定部により、それぞれ判定された人間の役割種別と人間の挙動と設備の状態とを、セキュリティ状態判定規則に照らして、監視制御システムのセキュリティ状態が異常か正常かを判定するセキュリティ状態判定部、このセキュリティ状態判定部の判定結果を出力する判定結果出力部を備えたものである。 The security abnormality detection system disclosed in the present application includes a role type determination unit that determines the role type of a person engaged in a monitoring control system, a human behavior determination unit that determines human behavior, and equipment to be monitored and controlled by the monitoring control system. Equipment status determination unit that determines the status of equipment including start and stop, security status determination in which abnormal or normal security status of the monitoring control system is defined in advance based on the role type of human beings, human behavior, and equipment status. Security status judgment rule that stores rules Security status judgment rule that determines the human role type, human behavior, and equipment status determined by the storage unit, role type judgment unit, human behavior judgment unit, and equipment status judgment unit, respectively. In light of the above, it is provided with a security state determination unit that determines whether the security status of the monitoring control system is abnormal or normal, and a determination result output unit that outputs the determination result of this security status determination unit.

本願に開示されるセキュリティ異常検知システムによれば、なりすましを防ぎ、より正確にセキュリティ異常を検知することができる。 According to the security anomaly detection system disclosed in the present application, spoofing can be prevented and security anomalies can be detected more accurately.

実施の形態1によるセキュリティ異常検知システムを示す機能ブロック図である。It is a functional block diagram which shows the security abnormality detection system by Embodiment 1. FIG. 実施の形態1によるセキュリティ異常検知システムのハードウェア構成図である。It is a hardware configuration diagram of the security abnormality detection system according to Embodiment 1. 実施の形態1によるセキュリティ異常検知システムの動作を示すフローチャートである。It is a flowchart which shows the operation of the security abnormality detection system by Embodiment 1. FIG. 実施の形態1によるセキュリティ異常検知システムのセキュリティ状態判定規則の登録例を示す図である。It is a figure which shows the registration example of the security state determination rule of the security abnormality detection system according to Embodiment 1. FIG. 実施の形態1によるセキュリティ異常検知システムの画面出力例を示す図である。It is a figure which shows the screen output example of the security abnormality detection system by Embodiment 1. FIG. 実施の形態2によるセキュリティ異常検知システムを示す機能ブロック図である。It is a functional block diagram which shows the security abnormality detection system by Embodiment 2. FIG. 実施の形態2によるセキュリティ異常検知システムのセキュリティ状態判定規則の登録例を示す図である。It is a figure which shows the registration example of the security state determination rule of the security abnormality detection system according to Embodiment 2. FIG. 実施の形態2によるセキュリティ異常検知システムの画面出力例を示す図である。It is a figure which shows the screen output example of the security abnormality detection system by Embodiment 2. FIG.

実施の形態1.
以下、実施の形態1のセキュリティ異常検知システムについて、図に基づいて説明する。
Embodiment 1.
Hereinafter, the security abnormality detection system of the first embodiment will be described with reference to the drawings.

図1は、実施の形態1によるセキュリティ異常検知システムを示す機能ブロック図である。
図1において、センサ情報格納部101には、カメラ、視線検知センサ、位置検出センサなどの各種センサのセンサ出力情報が時系列に格納されている。
ログ情報格納部102には、OS(Operating System)ログ、セキュリティログ、操作ログなどの各種装置のログ出力情報が時系列に格納されている。センサ出力情報およびログ出力情報は、ファイル形式、データベース形式などの各種形式で保存されている。
セキュリティ状態判定規則格納部113には、図4で後述するセキュリティ状態判定規則が、予め格納されている。
FIG. 1 is a functional block diagram showing a security abnormality detection system according to the first embodiment.
In FIG. 1, the sensor information storage unit 101 stores sensor output information of various sensors such as a camera, a line-of-sight detection sensor, and a position detection sensor in time series.
The log information storage unit 102 stores log output information of various devices such as an OS (Operating System) log, a security log, and an operation log in chronological order. The sensor output information and log output information are saved in various formats such as a file format and a database format.
The security state determination rule storage unit 113 stores in advance the security state determination rule described later in FIG.

設備状態情報取得部103は、設備状態の判定に必要な情報を、センサ情報格納部101とログ情報格納部102から取得する。
設備状態判定部104は、設備状態情報取得部103により取得された設備状態情報に基づき、設備状態を判定する。
人間特性情報取得部105は、人間特性の判定に必要な情報を、センサ情報格納部101とログ情報格納部102から取得する。
人間特性判定部106(役割種別判定部)は、監視対象の人間と検知した全ての人間に対して、人間特性情報取得部105により取得された人間特性情報に基づき、人間特性を判定する。
The equipment status information acquisition unit 103 acquires information necessary for determining the equipment status from the sensor information storage unit 101 and the log information storage unit 102.
The equipment status determination unit 104 determines the equipment status based on the equipment status information acquired by the equipment status information acquisition unit 103.
The human characteristic information acquisition unit 105 acquires information necessary for determining the human characteristic from the sensor information storage unit 101 and the log information storage unit 102.
The human characteristic determination unit 106 (role type determination unit) determines the human characteristics of all the humans detected as the monitoring target humans based on the human characteristic information acquired by the human characteristic information acquisition unit 105.

人間挙動情報取得部107は、人間挙動の判定に必要な情報を、センサ情報格納部101とログ情報格納部102から取得する。
人間挙動判定部108は、監視対象の人間と検知した全ての人間に対して、人間挙動情報取得部107により取得された人間挙動情報に基づき、人間挙動を判定する。
人間状態情報取得部109は、人間状態の判定に必要な情報を、センサ情報格納部101とログ情報格納部102から取得する。
人間状態判定部110は、監視対象の人間と検知した全ての人間に対して、人間状態情報取得部109により取得された人間状態情報に基づき、人間状態を判定する。
The human behavior information acquisition unit 107 acquires information necessary for determining human behavior from the sensor information storage unit 101 and the log information storage unit 102.
The human behavior determination unit 108 determines the human behavior of all the humans detected as the monitoring target humans based on the human behavior information acquired by the human behavior information acquisition unit 107.
The human state information acquisition unit 109 acquires information necessary for determining the human state from the sensor information storage unit 101 and the log information storage unit 102.
The human state determination unit 110 determines the human state of all the humans detected as the human being to be monitored based on the human state information acquired by the human state information acquisition unit 109.

環境状態情報取得部111は、環境状態の判定に必要な情報を、センサ情報格納部101とログ情報格納部102から取得する。
環境状態判定部112は、環境状態情報取得部111により取得された環境状態情報に基づき、環境状態を判定する。
The environmental state information acquisition unit 111 acquires information necessary for determining the environmental state from the sensor information storage unit 101 and the log information storage unit 102.
The environmental state determination unit 112 determines the environmental state based on the environmental state information acquired by the environmental state information acquisition unit 111.

セキュリティ状態判定部114は、セキュリティ状態判定規則格納部113に格納された全てのセキュリティ状態判定規則に従って、各種判定部(設備状態判定部104、人間特性判定部106、人間挙動判定部108、人間状態判定部110、環境状態判定部112)から得られた判定結果を基にして、セキュリティ状態を判定する。
判定結果出力部115は、セキュリティ状態判定部114の判定結果に基づき、「セキュリティ異常」と判定された場合は、警報を出力装置5に出力する。
The security state determination unit 114 follows various determination units (equipment state determination unit 104, human characteristic determination unit 106, human behavior determination unit 108, human state) according to all the security state determination rules stored in the security state determination rule storage unit 113. The security state is determined based on the determination results obtained from the determination unit 110 and the environment state determination unit 112).
The determination result output unit 115 outputs an alarm to the output device 5 when it is determined that the security status is abnormal based on the determination result of the security state determination unit 114.

図2は、実施の形態1によるセキュリティ異常検知システムのハードウェア構成図である。
図2において、プロセッサ1は、ハードディスク3に保存されたプログラムを用いて、演算時の一時記憶にメモリ2を使用して、入力装置4からの入力に応じた処理を実行する。実行結果を出力装置5に出力する。メモリ2は、主記憶装置またはメインメモリとも呼ばれ、RAM(Random Access Memory)により構成されている。メモリ2に記憶されたデータは必要に応じてハードディスク3に保存される。ハードディスク3は、プログラムおよびデータを保存する。ハードディスク3に保存されたプログラムおよびデータは、必要に応じてメモリ2にロードされる。システムバス6は、プロセッサ1、メモリ2、ハードディスク3、入力装置4および出力装置5を接続する。
FIG. 2 is a hardware configuration diagram of the security abnormality detection system according to the first embodiment.
In FIG. 2, the processor 1 uses the program stored in the hard disk 3 to use the memory 2 for temporary storage at the time of calculation, and executes a process corresponding to the input from the input device 4. The execution result is output to the output device 5. The memory 2 is also called a main storage device or a main memory, and is composed of a RAM (Random Access Memory). The data stored in the memory 2 is stored in the hard disk 3 as needed. The hard disk 3 stores programs and data. The programs and data stored in the hard disk 3 are loaded into the memory 2 as needed. The system bus 6 connects the processor 1, the memory 2, the hard disk 3, the input device 4, and the output device 5.

なお、設備状態情報取得部103、設備状態判定部104、人間特性情報取得部105、人間特性判定部106、人間挙動情報取得部107、人間挙動判定部108、人間状態情報取得部109、人間状態判定部110、環境状態情報取得部111、環境状態判定部112、セキュリティ状態判定部114は、プロセッサ1がメモリ2またはハードディスク3に記憶されたプログラムを実行することにより実現される。また、複数のプロセッサ1および複数のメモリ2および複数のハードディスク3が連携して上記機能を実現してもよい。
また、センサ情報格納部101、ログ情報格納部102、セキュリティ状態判定規則格納部113は、ハードディスク3上に形成される。
The equipment state information acquisition unit 103, the equipment state determination unit 104, the human characteristic information acquisition unit 105, the human characteristic determination unit 106, the human behavior information acquisition unit 107, the human behavior determination unit 108, the human condition information acquisition unit 109, and the human state. The determination unit 110, the environment state information acquisition unit 111, the environment state determination unit 112, and the security state determination unit 114 are realized by the processor 1 executing a program stored in the memory 2 or the hard disk 3. Further, a plurality of processors 1, a plurality of memories 2, and a plurality of hard disks 3 may cooperate to realize the above function.
Further, the sensor information storage unit 101, the log information storage unit 102, and the security state determination rule storage unit 113 are formed on the hard disk 3.

図4は、実施の形態1によるセキュリティ異常検知システムのセキュリティ状態判定規則の登録例を示す図である。
図4において、セキュリティ状態判定規則格納部113に格納されるセキュリティ状態判定規則が示されている。セキュリティ状態判定規則は、「名称」、「設定項目」、「設定内容」を有している。図4では、定常運転中の保守員が異常操作を行った場合に、セキュリティ異常になるように「設定内容」で設定されている。
FIG. 4 is a diagram showing a registration example of a security state determination rule of the security abnormality detection system according to the first embodiment.
In FIG. 4, the security state determination rule stored in the security state determination rule storage unit 113 is shown. The security status determination rule has a "name", a "setting item", and a "setting content". In FIG. 4, it is set in the "setting contents" so that a security abnormality occurs when a maintenance worker during steady operation performs an abnormal operation.

図5は、実施の形態1によるセキュリティ異常検知システムの画面出力例を示す図である。
図5において、判定結果出力部115の画面出力例を示している。図5では、発生された警報について、「発生時刻」、「警報内容」、「対象人物」、および「重要度」を発生順に表示している。
FIG. 5 is a diagram showing a screen output example of the security abnormality detection system according to the first embodiment.
FIG. 5 shows an example of screen output of the determination result output unit 115. In FIG. 5, the “occurrence time”, “alarm content”, “target person”, and “importance” of the generated alarms are displayed in the order of occurrence.

次に、動作について説明する。
図3を用いて、セキュリティ異常検知システムの処理について説明する。
なお、図3のセキュリティ異常検知の処理は、予め決められた周期に従い、定期的に動作するものとする。
Next, the operation will be described.
The processing of the security abnormality detection system will be described with reference to FIG.
It should be noted that the security abnormality detection process of FIG. 3 shall be periodically operated according to a predetermined cycle.

ステップS101では、設備状態情報取得部103の処理により、設備状態の情報を取得し、さらに、設備状態判定部104の処理により、設備状態を判定する。
まず、設備状態情報取得部103により、センサ情報格納部101およびログ情報格納部102から、設備状態の判定に必要な情報を取得する。
ここで、設備状態とは、監視制御システムの監視制御対象の設備の状態である。実施の形態1では、設備状態を監視対象のプラント状態としている。プラント状態には、起動中、停止中、定常運転中、異常発生中、点検中などがある。
また、設備状態の判定に用いる設備状態情報としては、例えば、モータ、ポンプ、弁等の運転、停止などのデジタル情報、温度、流量などのアナログ情報などがある。
次いで、設備状態判定部104により、設備状態情報取得部103により取得された設備状態情報に基づき、設備状態を判定する。
In step S101, the equipment status information is acquired by the processing of the equipment status information acquisition unit 103, and the equipment status is further determined by the processing of the equipment status determination unit 104.
First, the equipment status information acquisition unit 103 acquires information necessary for determining the equipment status from the sensor information storage unit 101 and the log information storage unit 102.
Here, the equipment state is the state of the equipment to be monitored and controlled by the monitoring control system. In the first embodiment, the equipment state is the plant state to be monitored. Plant states include starting, stopping, steady operation, abnormalities, and inspections.
Further, as the equipment state information used for determining the equipment state, for example, there are digital information such as operation and stop of motors, pumps, valves and the like, analog information such as temperature and flow rate, and the like.
Next, the equipment status determination unit 104 determines the equipment status based on the equipment status information acquired by the equipment status information acquisition unit 103.

ステップS102では、人間特性情報取得部105の処理により、人間特性の情報を取得し、さらに、人間特性判定部106の処理により、人間特性を判定する。
まず、人間特性情報取得部105により、センサ情報格納部101およびログ情報格納部102から、人間特性の判定に必要な情報を、取得する。
ここで、人間特性とは、セキュリティ異常を発生させるリスクのある人間の特性である。実施の形態1では、人間特性を人間の役割(役割種別)としている。
人間の役割としては、運転員、当直長、保守員、経営層、外部組織などがある。人間特性の判定に用いる人間特性情報としては、例えば、入退室管理システムの入退室情報、パソコンのログイン情報、カメラからの画像情報などがある。
次いで、人間特性判定部106により、監視対象の人間と、検知した全ての人間に対して、人間特性情報取得部105により取得された人間特性情報に基づき、人間特性を判定する。
In step S102, the human characteristic information is acquired by the processing of the human characteristic information acquisition unit 105, and further, the human characteristic is determined by the processing of the human characteristic determination unit 106.
First, the human characteristic information acquisition unit 105 acquires information necessary for determining human characteristics from the sensor information storage unit 101 and the log information storage unit 102.
Here, the human characteristic is a human characteristic at risk of causing a security abnormality. In the first embodiment, the human characteristic is a human role (role type).
Human roles include operators, shift managers, maintenance personnel, management, and external organizations. The human characteristic information used for determining the human characteristic includes, for example, entry / exit information of the entry / exit management system, login information of a personal computer, image information from a camera, and the like.
Next, the human characteristic determination unit 106 determines the human characteristics of the person to be monitored and all the detected humans based on the human characteristic information acquired by the human characteristic information acquisition unit 105.

ステップS103では、人間挙動情報取得部107の処理により、人間挙動情報を取得し、さらに、人間挙動判定部108の処理により、人間挙動を判定する。
まず、人間挙動情報取得部107により、センサ情報格納部101およびログ情報格納部102から、人間挙動の判定に必要な情報を取得する。
ここで、人間挙動とは、セキュリティ異常を発生させるリスクのある人間の挙動である。実施の形態1では、人間の挙動は、パソコンへのログイン、メディア・USB(Universal Serial Bus)の挿入、ソフトウェア更新、現場での設備監視・制御、遠隔接続による設備監視・制御、会話などである。
また、人間挙動の判定に用いる人間挙動情報としては、例えば、パソコンのOSログ、監視対象設備の操作ログ、位置、移動速度、視線、姿勢、音声などがある。
次いで、人間挙動判定部108により、監視対象の人間と検知した全ての人間に対して、人間挙動情報取得部107により取得された人間挙動情報に基づき、人間挙動を判定する。
In step S103, human behavior information is acquired by the processing of the human behavior information acquisition unit 107, and further, the human behavior is determined by the processing of the human behavior determination unit 108.
First, the human behavior information acquisition unit 107 acquires information necessary for determining human behavior from the sensor information storage unit 101 and the log information storage unit 102.
Here, the human behavior is a human behavior at a risk of causing a security abnormality. In the first embodiment, the human behavior is login to a personal computer, insertion of media / USB (Universal USB), software update, on-site equipment monitoring / control, equipment monitoring / control by remote connection, conversation, and the like. ..
Further, as human behavior information used for determining human behavior, for example, there are an OS log of a personal computer, an operation log of a device to be monitored, a position, a moving speed, a line of sight, a posture, a voice, and the like.
Next, the human behavior determination unit 108 determines the human behavior of all the humans detected as the monitoring target humans based on the human behavior information acquired by the human behavior information acquisition unit 107.

ステップS104では、人間状態情報取得部109の処理により、人間状態情報を取得し、さらに、人間状態判定部110の処理により、人間状態を判定する。
まず、人間状態情報取得部109により、センサ情報格納部101およびログ情報格納部102から、人間状態の判定に必要な情報を取得する。
ここで、人間状態とは、セキュリティ異常を発生させるリスクのある人間の状態である。実施の形態1では、人間状態を人間の緊張状態および負荷状態としている。
人間の緊張状態は、高緊張状態、低緊張状態、高負荷状態、低負荷状態などがある。人間状態の判定に用いる人間状態情報としては、例えば、心拍数、体温、血圧などの生体情報、カメラ画像から得られる表情の変化、音声の周波数の変化などがある。
次いで、人間状態判定部110により、監視対象の人間と検知した全ての人間に対して、人間状態情報取得部109により取得された人間状態情報に基づき、人間状態を判定する。
In step S104, the human state information is acquired by the processing of the human state information acquisition unit 109, and further, the human state is determined by the processing of the human state determination unit 110.
First, the human state information acquisition unit 109 acquires information necessary for determining the human state from the sensor information storage unit 101 and the log information storage unit 102.
Here, the human state is a human state at risk of causing a security abnormality. In the first embodiment, the human state is a human tension state and a load state.
Human tension includes high tension, low tension, high load, and low load. The human state information used for determining the human state includes, for example, biological information such as heart rate, body temperature, and blood pressure, changes in facial expressions obtained from camera images, and changes in voice frequency.
Next, the human state determination unit 110 determines the human state of all the humans detected as the human being to be monitored based on the human state information acquired by the human state information acquisition unit 109.

ステップS105では、環境状態情報取得部111の処理により、環境状態情報を取得し、さらに、環境状態判定部112の処理により、環境状態を判定する。
まず、環境状態情報取得部111により、センサ情報格納部101およびログ情報格納部102から、環境状態の判定に必要な情報を取得する。
実施の形態1では、環境状態は、火災、地震、台風、異常なし、などである。環境状態の判定に用いる環境状態情報としては、例えば、災害システムの災害情報、火災検知システムの火災情報、カメラからの画像情報などがある。
次いで、環境状態判定部112により、環境状態情報取得部111により取得された環境状態情報に基づき、環境状態を判定する。
In step S105, the environment state information is acquired by the processing of the environment state information acquisition unit 111, and further, the environment state is determined by the processing of the environment state determination unit 112.
First, the environment state information acquisition unit 111 acquires information necessary for determining the environment state from the sensor information storage unit 101 and the log information storage unit 102.
In the first embodiment, the environmental conditions are fire, earthquake, typhoon, no abnormality, and the like. The environmental state information used for determining the environmental state includes, for example, disaster information of a disaster system, fire information of a fire detection system, image information from a camera, and the like.
Next, the environmental state determination unit 112 determines the environmental state based on the environmental state information acquired by the environmental state information acquisition unit 111.

ステップS106では、セキュリティ状態判定部114の処理により、セキュリティ状態を判定する。
セキュリティ状態判定規則格納部113には、予めセキュリティ状態判定規則(図4参照)が格納されている。
図4に示すような、セキュリティ状態判定規則の設定は、設備状態、人間特性、人間挙動、人間状態、環境状態の各設定項目に対して、設定内容をプルダウン形式で選択することにより行われる。
In step S106, the security status is determined by the processing of the security status determination unit 114.
The security state determination rule storage unit 113 stores the security state determination rule (see FIG. 4) in advance.
As shown in FIG. 4, the security state determination rule is set by selecting the setting contents in the pull-down format for each setting item of the equipment state, the human characteristic, the human behavior, the human state, and the environmental state.

図4の例では、設備状態が「定常運転中」、人間特性が「保守員」、人間挙動が「設備Aの制御」、人間状態が「高緊張状態・高負荷状態」、環境状態「異常なし」である状態を、「重要度大」の「セキュリティ異常」として登録している。
これは、「定常運転中」に「保守員」が「設備Aの制御」を実施するのは、通常はあり得ないケースであるため、「セキュリティ異常」と設定している例である。制御用端末が乗っ取られて遠隔接続により、不正に制御されていたり、保守員になりすました実行犯が、不正な制御を実施したりしている場合などの「セキュリティ異常」を想定している。
また、環境状態「異常なし」、設備状態「定常運転中」であるにも関わらず、保守員が「高緊張状態・高負荷状態」であることから、保守員が「セキュリティ異常」の発生と関係がある可能性があるため、「重要度大」としている。
In the example of FIG. 4, the equipment state is "steady operation", the human characteristic is "maintenance worker", the human behavior is "control of equipment A", the human state is "high tension / high load state", and the environmental state is "abnormal". The state of "None" is registered as "Security error" of "High importance".
This is an example in which "security abnormality" is set because it is usually impossible for a "maintenance worker" to perform "control of equipment A" during "steady operation". It is assumed that there is a "security error" such as when the control terminal is hijacked and is illegally controlled by remote connection, or when the perpetrator impersonating a maintenance person is performing illegal control.
In addition, even though the environmental condition is "no abnormality" and the equipment condition is "steady operation", the maintenance staff is in a "high tension state / high load state". Since it may be related, it is said to be "high importance".

セキュリティ状態判定部114により、セキュリティ状態判定規則格納部113に格納された全てのセキュリティ状態判定規則に従って、各種判定部(設備状態判定部104、人間特性判定部106、人間挙動判定部108、人間状態判定部110、環境状態判定部112)から得られた判定結果に基づき、セキュリティ状態を判定する。
監視対象の人間と、検知した全ての人間に対して、セキュリティ状態および対象人物を判定する。設定されたセキュリティ状態判定規則を満たす場合は、設定された状態であると判定する。
According to all the security state judgment rules stored in the security state judgment rule storage unit 113 by the security state judgment unit 114, various judgment units (equipment state judgment unit 104, human characteristic judgment unit 106, human behavior judgment unit 108, human state) The security state is determined based on the determination results obtained from the determination unit 110 and the environment state determination unit 112).
The security status and the target person are determined for the person to be monitored and all the detected people. If the set security status determination rule is satisfied, it is determined that the security status is set.

すなわち、図4の例では、「セキュリティ異常」の規則を設定しているため、規則を満たす場合は「セキュリティ異常」、満たさない場合は「セキュリティ正常」と判定する(ステップS106)。
具体的には、設備状態が「定常運転中」、環境状態が「異常なし」であり、保守員Aに対して、人間特性が「保守員」、人間挙動が「設備Aの制御」、人間状態が「高緊張状態」である場合、「重要度大」の「セキュリティ異常」が発生、対象人物は「保守員A」と判定するようになっている。
That is, in the example of FIG. 4, since the rule of "security abnormality" is set, it is determined that "security abnormality" is satisfied when the rule is satisfied, and "security is normal" when the rule is not satisfied (step S106).
Specifically, the equipment status is "during steady operation", the environmental condition is "no abnormality", the human characteristic is "maintenance staff", the human behavior is "control of equipment A", and human beings. When the state is "high tension state", "security abnormality" of "high importance" occurs, and the target person is determined to be "maintenance worker A".

ステップS107では、判定結果出力部115の処理により、セキュリティ状態判定部114の判定結果を出力する。
すなわち、判定結果出力部115により、セキュリティ状態判定部114の判定結果に基づき、「セキュリティ異常」と判定された場合は、警報を外部の出力装置5に出力する。
実施の形態1の判定結果出力部115の画面出力例は、図5に示すとおりである。図5では、発生時刻、警報内容、対象人物、および重要度を発生順に表示している。
In step S107, the determination result of the security state determination unit 114 is output by the processing of the determination result output unit 115.
That is, when the determination result output unit 115 determines that the security status is abnormal based on the determination result of the security state determination unit 114, an alarm is output to the external output device 5.
An example of screen output of the determination result output unit 115 of the first embodiment is as shown in FIG. In FIG. 5, the occurrence time, alarm content, target person, and importance are displayed in the order of occurrence.

実施の形態1によれば、人間特性、人間挙動に加えて、人間状態、設備状態、環境状態を判定した判定結果にもとづき、予め設定したセキュリティ状態判定規則に従ってセキュリティ状態を判定することにより、迅速かつ正確なセキュリティ異常検知が可能となる。 According to the first embodiment, in addition to the human characteristics and human behavior, the security state is quickly determined according to the preset security state determination rule based on the determination result of determining the human state, the equipment state, and the environmental state. Moreover, accurate security abnormality detection is possible.

なお、上述の実施の形態1の説明では、人間特性、人間挙動、人間状態、設備状態、環境状態について、説明を簡単にするために単純な例で説明したが、それだけに限定されるものではない。
例えば、人間の特性として性格あるいは過去の経歴を用いたり、人間状態として感情または緊張レベルを用いたりしてセキュリティ状態を判定することも可能である。
In the above description of the first embodiment, human characteristics, human behavior, human state, equipment state, and environmental state have been described by simple examples for the sake of simplicity, but the description is not limited thereto. ..
For example, it is possible to determine the security state by using personality or past career as a human characteristic, or by using emotion or tension level as a human state.

また、実施の形態1の説明では、セキュリティ状態判定規則について、より単純な例で説明したが、それだけに限定されるものではない。例えば、セキュリティ状態判定規則が複数個設定し、規則毎に、優先順位および処理する周期を個別に設定することにより、より複雑なセキュリティ状態の判定が可能となる。 Further, in the description of the first embodiment, the security state determination rule has been described by a simpler example, but the present invention is not limited to that. For example, by setting a plurality of security state determination rules and individually setting the priority and the processing cycle for each rule, it is possible to determine a more complicated security state.

また、実施の形態1の説明では、判定結果出力について、より単純な例で説明したが、それだけに限定されるものではない。例えば、実際のセキュリティ異常の発生場所である、保守員Aが存在する領域における警報発生をグラフィカルに表示するなど、様々な出力形式が考えられる。 Further, in the description of the first embodiment, the determination result output has been described by a simpler example, but the present invention is not limited to that. For example, various output formats are conceivable, such as graphically displaying the alarm occurrence in the area where the maintenance worker A exists, which is the actual location where the security error occurs.

さらにまた、実施の形態1の説明では、実際に人物が監視対象領域に存在する例で説明したが、それだけに限定されるものではない。例えば、ログイン情報により設備の使用者を管理することにより、遠隔から回線を通じて制御する場合などについても適用可能である。 Furthermore, in the description of the first embodiment, the example in which the person actually exists in the monitored area has been described, but the description is not limited to that. For example, it can be applied to the case of remotely controlling through a line by managing the user of the equipment by the login information.

実施の形態2.
実施の形態2のハードウェア構成は、実施の形態1のハードウェア構成を示す図2と同じである。
図6は、実施の形態2によるセキュリティ異常検知システムを示す機能ブロック図である。
図6において、符号101〜115は図1におけるものと同一のものである。図6では、セキュリティ異常検知システムに、正解情報入力部116およびセキュリティ状態学習部117が設けられている。
正解情報入力部116では、セキュリティ状態判定部114によるセキュリティ状態の判定結果が、正解か否かをセキュリティ管理者により入力される。セキュリティ状態学習部117は、正解情報入力部116により入力されたセキュリティ状態の正解情報に基づき、セキュリティ状態判定規則格を出力する。
Embodiment 2.
The hardware configuration of the second embodiment is the same as that of FIG. 2 showing the hardware configuration of the first embodiment.
FIG. 6 is a functional block diagram showing a security abnormality detection system according to the second embodiment.
In FIG. 6, reference numerals 101 to 115 are the same as those in FIG. In FIG. 6, the security abnormality detection system is provided with a correct answer information input unit 116 and a security state learning unit 117.
In the correct answer information input unit 116, the security administrator inputs whether or not the security state determination result by the security state determination unit 114 is a correct answer. The security state learning unit 117 outputs the security state determination rule based on the correct answer information of the security state input by the correct answer information input unit 116.

図7は、実施の形態2によるセキュリティ異常検知システムのセキュリティ状態判定規則の登録例を示す図である。
図7の例は、「点検中の保守員のメディア・USBの挿入」の状態が発生した場合についてのもので、図7に示すセキュリティ状態判定規則の設定内容が、「セキュリティ正常」であることが登録されている。
FIG. 7 is a diagram showing a registration example of a security state determination rule of the security abnormality detection system according to the second embodiment.
The example of FIG. 7 is for the case where the state of "inserting the media / USB of the maintenance staff during inspection" occurs, and the setting content of the security status judgment rule shown in FIG. 7 is "security normal". Is registered.

図8は、実施の形態2によるセキュリティ異常検知システムの画面出力例を示す図である。
図8において、判定結果出力部115により出力された判定結果出力画面の下部に、正解情報入力部116により、「規則違反を検出しました。セキュリティ異常ですか?」というダイアログが表示されている。
セキュリティ状態判定部114によるセキュリティ状態の判定結果、セキュリティ異常が判定された場合に、図8の画面を出力するとともに、このダイアログを表示する。このダイアログで、「点検中の保守員のメディア・USBの挿入」の状態が、正解か否かをセキュリティ管理者に入力させるようになっている。
FIG. 8 is a diagram showing a screen output example of the security abnormality detection system according to the second embodiment.
In FIG. 8, the correct answer information input unit 116 displays a dialog "A rule violation has been detected. Is it a security error?" At the bottom of the judgment result output screen output by the judgment result output unit 115.
When a security abnormality is determined as a result of the security status determination by the security status determination unit 114, the screen of FIG. 8 is output and this dialog is displayed. In this dialog, the security administrator is asked to enter whether or not the status of "insert media / USB of maintenance staff during inspection" is correct.

次に、動作について説明する。
図6から図8を用いて、実施の形態2のセキュリティ異常検知システムについて、実施の形態1と異なる部分について説明する。
実施の形態1では、セキュリティ状態判定規則において、セキュリティ状態が「セキュリティ異常」の規則を設定する方法について説明した。
実施の形態2は、セキュリティ状態判定規則において、セキュリティ状態が「セキュリティ正常」の規則を設定する方法についてのものである。前者はブラックリスト方式、後者はホワイトリスト方式と呼ばれている。
Next, the operation will be described.
The security abnormality detection system of the second embodiment will be described with reference to FIGS. 6 to 8 in a portion different from that of the first embodiment.
In the first embodiment, a method of setting a rule whose security state is "security abnormality" in the security state determination rule has been described.
The second embodiment relates to a method of setting a rule whose security state is "normal security" in the security state determination rule. The former is called the blacklist method and the latter is called the whitelist method.

実施の形態2におけるセキュリティ状態判定規則の設定例を示す図7では、設備状態が「点検中」、人間特性が「保守員」、人間挙動が「メディア・USBの挿入」、人間状態が「全ての状態」、環境状態「全ての状態」である状態を、「重要度低」の「セキュリティ正常」として設定されている。
これは、「点検中」に「保守員」が「メディア・USBの挿入」を実施するのは、通常ケースであるため、「セキュリティ正常」と登録している例である。
In FIG. 7, which shows a setting example of the security status determination rule in the second embodiment, the equipment status is "under inspection", the human characteristic is "maintenance worker", the human behavior is "insertion of media / USB", and the human status is "all". The state of "state" and the environmental state "all states" are set as "security normal" of "low importance".
This is an example in which "security is normal" is registered because it is a normal case that a "maintenance worker" performs "media / USB insertion" during "inspection".

実施の形態2では、実施の形態1と同様に、セキュリティ状態判定部114は、セキュリティ状態判定規則格納部113に格納された全てのセキュリティ状態判定規則に従って、各種判定部(設備状態判定部104、人間特性判定部106、人間挙動判定部108、人間状態判定部110、環境状態判定部112)から得られた判定結果に基づき、セキュリティ状態を判定する。 In the second embodiment, as in the first embodiment, the security state determination unit 114 has various determination units (equipment state determination unit 104, according to all the security state determination rules stored in the security state determination rule storage unit 113. The security state is determined based on the determination results obtained from the human characteristic determination unit 106, the human behavior determination unit 108, the human state determination unit 110, and the environmental state determination unit 112).

その結果、「セキュリティ異常」と判定された場合、判定結果出力部115は、警報を外部の出力装置5に出力する。実施の形態2の判定結果出力部115の画面出力例を図8に示す。
図8では、「セキュリティ異常」と判定された時の各種判定部(設備状態判定部104、人間特性判定部106、人間挙動判定部108、人間状態判定部110、環境状態判定部112)の判定結果を表示している。
As a result, when it is determined as "security abnormality", the determination result output unit 115 outputs an alarm to the external output device 5. FIG. 8 shows an example of screen output of the determination result output unit 115 of the second embodiment.
In FIG. 8, various determination units (equipment condition determination unit 104, human characteristic determination unit 106, human behavior determination unit 108, human condition determination unit 110, environmental condition determination unit 112) are determined when a “security abnormality” is determined. The result is displayed.

ここで、正解情報入力部116により、セキュリティ管理者にセキュリティ状態判定の正解情報を入力させるようにする。
実施の形態2では、図8に示すとおり、正解情報入力部116は、判定結果出力画面の下部に、「規則違反を検出しました。セキュリティ異常ですか?」というダイアログを表示して、セキュリティ異常検知システムにより判定されたセキュリティ状態が、正解か否かを、セキュリティ管理者に入力させる。
実施の形態2では、セキュリティ管理者が、人間特性「保守員」が、設備状態「点検中」に「メディア・USBの挿入」することも通常ケースであると判断して、「NO」ボタンを選択する。
Here, the correct answer information input unit 116 causes the security administrator to input the correct answer information for determining the security status.
In the second embodiment, as shown in FIG. 8, the correct answer information input unit 116 displays a dialog "A rule violation has been detected. Is it a security error?" At the bottom of the judgment result output screen, and the security error. Have the security administrator enter whether the security status determined by the detection system is correct or not.
In the second embodiment, the security manager determines that it is a normal case for the human characteristic "maintenance worker" to "insert media / USB" while the equipment status is "inspection", and clicks the "NO" button. select.

セキュリティ状態学習部117は、正解情報入力部116で入力されたセキュリティ状態の正解情報に基づき、セキュリティ状態判定規則格を出力する。
具体的には、表示された条件が、セキュリティ異常でないと判断されたため、セキュリティ状態の判断結果を「セキュリティ正常」として登録する。
実施の形態2の例では、設備状態が「点検中」、人間特性が「運転員」、人間挙動が「メディア・USBの挿入」、人間状態が「全ての状態」、環境状態「全ての状態」である状態を「セキュリティ正常」として登録される。
すなわち、セキュリティ異常との判定に用いられたセキュリティ状態判定規則格は、セキュリティ正常と判定するように更新される。
The security state learning unit 117 outputs the security state determination rule based on the correct answer information of the security state input by the correct answer information input unit 116.
Specifically, since it is determined that the displayed condition is not a security abnormality, the determination result of the security status is registered as "security normal".
In the example of the second embodiment, the equipment state is "inspection", the human characteristic is "operator", the human behavior is "media / USB insertion", the human state is "all states", and the environmental state "all states". Is registered as "security normal".
That is, the security status determination rule used for determining the security abnormality is updated so as to determine that the security is normal.

実施の形態2によれば、正解情報入力部116で入力された正解情報を用いて、セキュリティ状態判定規則を作成することにより、迅速かつ正確なセキュリティ異常の検知に加えて、使用期間が増えるほど、セキュリティ異常検知の精度を高めることが可能になる。 According to the second embodiment, by creating a security status determination rule using the correct answer information input by the correct answer information input unit 116, in addition to quick and accurate detection of a security abnormality, the more the usage period increases. , It becomes possible to improve the accuracy of security abnormality detection.

本開示は、様々な例示的な実施の形態及び実施例が記載されているが、1つ、または複数の実施の形態に記載された様々な特徴、態様、及び機能は判定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
Although the present disclosure describes various exemplary embodiments and examples, the various features, embodiments, and functions described in one or more embodiments are the embodiments of the determination. It is not limited to application, but can be applied to embodiments alone or in various combinations.
Therefore, innumerable variations not illustrated are envisioned within the scope of the techniques disclosed herein. For example, it is assumed that at least one component is modified, added or omitted, and further, at least one component is extracted and combined with the components of other embodiments.

1 プロセッサ、2 メモリ、3 ハードディスク、4 入力装置、5 出力装置、
6 システムバス、101 センサ情報格納部、102 ログ情報格納部、
103 設備状態情報取得部、104 設備状態判定部、
105 人間特性情報取得部、106 人間特性判定部、
107 人間挙動情報取得部、108 人間挙動判定部、
109 人間状態情報取得部、110 人間状態判定部、
111 環境状態情報取得部、112 環境状態判定部、
113 セキュリティ状態判定規則格納部、114 セキュリティ状態判定部、
115 判定結果出力部、116 正解情報入力部、117 セキュリティ状態学習部
1 processor, 2 memory, 3 hard disk, 4 input device, 5 output device,
6 System bus, 101 sensor information storage unit, 102 log information storage unit,
103 Equipment status information acquisition unit, 104 Equipment status determination unit,
105 Human characteristic information acquisition unit, 106 Human characteristic judgment unit,
107 Human Behavior Information Acquisition Unit, 108 Human Behavior Judgment Unit,
109 Human condition information acquisition unit, 110 Human condition determination unit,
111 Environmental status information acquisition unit, 112 Environmental status determination unit,
113 Security status judgment rule storage unit, 114 Security status judgment unit,
115 Judgment result output unit, 116 Correct answer information input unit, 117 Security status learning unit

Claims (4)

監視制御システムに従事する人間の役割種別を判定する役割種別判定部、
上記人間の挙動を判定する人間挙動判定部、
上記監視制御システムによる監視制御対象の設備の運転および停止を含む上記設備の状態を判定する設備状態判定部、
上記人間の役割種別と上記人間の挙動と上記設備の状態とに基づき、上記監視制御システムの異常または正常のセキュリティ状態が予め定義されたセキュリティ状態判定規則を格納するセキュリティ状態判定規則格納部、
上記役割種別判定部、上記人間挙動判定部および上記設備状態判定部により、それぞれ判定された上記人間の役割種別と上記人間の挙動と上記設備の状態とを、上記セキュリティ状態判定規則に照らして、上記監視制御システムのセキュリティ状態が異常か正常かを判定するセキュリティ状態判定部、
このセキュリティ状態判定部の判定結果を出力する判定結果出力部を備えたことを特徴とするセキュリティ異常検知システム。
Role type determination unit that determines the role type of humans engaged in the monitoring and control system,
Human behavior judgment unit that judges the above human behavior,
Equipment status determination unit that determines the status of the equipment, including the operation and stop of the equipment subject to monitoring and control by the monitoring control system,
A security state judgment rule storage unit that stores a security state judgment rule in which an abnormal or normal security state of the monitoring control system is defined in advance based on the human role type, the human behavior, and the state of the equipment.
The human role type, the human behavior, and the state of the equipment determined by the role type determination unit, the human behavior determination unit, and the equipment state determination unit are compared with the security state determination rule. Security status determination unit that determines whether the security status of the above monitoring and control system is abnormal or normal,
A security abnormality detection system including a judgment result output unit that outputs the judgment result of the security status judgment unit.
上記人間の生体情報および画像情報を取得して、上記人間の緊張の程度を含む人間の状態を判定する人間状態判定部を備え、
上記セキュリティ状態判定規則には、上記人間の状態に基づいて、異常または正常の上記セキュリティ状態が予め定義され、
上記セキュリティ状態判定部は、上記人間状態判定部により判定された上記人間の状態に基づいて、上記監視制御システムのセキュリティ状態が異常か正態かを判定することを特徴とする請求項1に記載のセキュリティ異常検知システム。
It is provided with a human condition determination unit that acquires the human biological information and image information and determines the human condition including the degree of human tension.
In the security state determination rule, the abnormal or normal security state is defined in advance based on the human state.
The first aspect of claim 1, wherein the security state determination unit determines whether the security state of the monitoring and control system is abnormal or normal based on the human state determined by the human state determination unit. Security anomaly detection system.
災害および火災を含む環境状態を判定する環境状態判定部を備え、
上記セキュリティ状態判定規則には、上記環境状態に基づいて、異常または正常の上記セキュリティ状態が予め定義され、
上記セキュリティ状態判定部は、上記環境状態判定部により判定された上記環境状態に基づいて、上記監視制御システムのセキュリティ状態が異常か正常かを判定することを特徴とする請求項1または請求項2に記載のセキュリティ異常検知システム。
Equipped with an environmental condition judgment unit that determines environmental conditions including disasters and fires
In the security state determination rule, the abnormal or normal security state is defined in advance based on the environment state.
Claim 1 or claim 2 is characterized in that the security state determination unit determines whether the security state of the monitoring control system is abnormal or normal based on the environment state determined by the environment state determination unit. Security anomaly detection system described in.
上記判定結果出力部により出力された上記セキュリティ状態判定部の判定結果が、正しいか否かを入力させる正解情報入力部、
この正解情報入力部により入力された情報に基づき、上記セキュリティ状態判定規則を生成するセキュリティ状態学習部を備えたことを特徴とする請求項1から請求項3のいずれか一項に記載のセキュリティ異常検知システム。
A correct answer information input unit for inputting whether or not the judgment result of the security state judgment unit output by the judgment result output unit is correct.
The security abnormality according to any one of claims 1 to 3, wherein a security state learning unit that generates the security state determination rule based on the information input by the correct answer information input unit is provided. Detection system.
JP2019044408A 2019-03-12 2019-03-12 Security anomaly detection system Active JP7257823B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019044408A JP7257823B2 (en) 2019-03-12 2019-03-12 Security anomaly detection system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019044408A JP7257823B2 (en) 2019-03-12 2019-03-12 Security anomaly detection system

Publications (2)

Publication Number Publication Date
JP2020149171A true JP2020149171A (en) 2020-09-17
JP7257823B2 JP7257823B2 (en) 2023-04-14

Family

ID=72430554

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019044408A Active JP7257823B2 (en) 2019-03-12 2019-03-12 Security anomaly detection system

Country Status (1)

Country Link
JP (1) JP7257823B2 (en)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004178258A (en) * 2002-11-27 2004-06-24 Mitsubishi Heavy Ind Ltd Port security system
JP2010176561A (en) * 2009-01-30 2010-08-12 Equos Research Co Ltd Security system
JP2010205081A (en) * 2009-03-04 2010-09-16 Sogo Keibi Hosho Co Ltd Device, method, and program for managing integrated log
JP2013131159A (en) * 2011-12-22 2013-07-04 Hitachi Plant Technologies Ltd Area monitoring system
JP2016212788A (en) * 2015-05-13 2016-12-15 株式会社日立システムズ Operation execution monitoring system and operation execution monitoring method
JP2017129894A (en) * 2016-01-18 2017-07-27 三菱電機株式会社 Cyberattack detection system
JP2017158110A (en) * 2016-03-03 2017-09-07 Hack Japan ホールディングス株式会社 Information processing system
US20180089870A1 (en) * 2016-09-26 2018-03-29 Rockwell Automation Technologies, Inc. Augmented reality presentation of an industrial environment
JP2018073417A (en) * 2016-10-24 2018-05-10 フィッシャー−ローズマウント システムズ,インコーポレイテッド Process device condition and performance monitoring
JP2018136617A (en) * 2017-02-20 2018-08-30 綜合警備保障株式会社 Security system, management apparatus, and security method

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004178258A (en) * 2002-11-27 2004-06-24 Mitsubishi Heavy Ind Ltd Port security system
JP2010176561A (en) * 2009-01-30 2010-08-12 Equos Research Co Ltd Security system
JP2010205081A (en) * 2009-03-04 2010-09-16 Sogo Keibi Hosho Co Ltd Device, method, and program for managing integrated log
JP2013131159A (en) * 2011-12-22 2013-07-04 Hitachi Plant Technologies Ltd Area monitoring system
JP2016212788A (en) * 2015-05-13 2016-12-15 株式会社日立システムズ Operation execution monitoring system and operation execution monitoring method
JP2017129894A (en) * 2016-01-18 2017-07-27 三菱電機株式会社 Cyberattack detection system
JP2017158110A (en) * 2016-03-03 2017-09-07 Hack Japan ホールディングス株式会社 Information processing system
US20180089870A1 (en) * 2016-09-26 2018-03-29 Rockwell Automation Technologies, Inc. Augmented reality presentation of an industrial environment
JP2018073417A (en) * 2016-10-24 2018-05-10 フィッシャー−ローズマウント システムズ,インコーポレイテッド Process device condition and performance monitoring
JP2018136617A (en) * 2017-02-20 2018-08-30 綜合警備保障株式会社 Security system, management apparatus, and security method

Also Published As

Publication number Publication date
JP7257823B2 (en) 2023-04-14

Similar Documents

Publication Publication Date Title
WO2020215907A1 (en) Server room inspection system
EP3139359B1 (en) System and method providing early prediction and forecasting of false alarms by applying statistical inference models
US20160205123A1 (en) System, apparatus, and method for detecting home anomalies
CN104376271A (en) System and method for virtual region based access control operations using bim
US11151380B2 (en) Augmented reality risk vulnerability analysis
US10395222B2 (en) Information display method, information display apparatus, information display system, and non-transitory computer readable storage medium
JPWO2018216197A1 (en) Abnormality importance calculation system, abnormality importance calculation device, and abnormality importance calculation program
JPWO2005048119A1 (en) Unauthorized operation determination system, unauthorized operation determination method, and unauthorized operation determination program
US11798387B2 (en) Determination and notification of a location of a building safety system event
US9865154B2 (en) Adaptive exit arm times based on real time events and historical data in a home security system
KR102299704B1 (en) System for smart deep learning video surveillance by linking disaster environment metadata
WO2022115419A1 (en) Method of detecting an anomaly in a system
WO2020166329A1 (en) Control system
US20230259251A1 (en) Systems and methods for managing security events using a graphical user interface
JP7257823B2 (en) Security anomaly detection system
Al Farooq et al. Detecting safety and security faults in plc systems with data provenance
US10218722B2 (en) Method and system for developing an anomaly detector for detecting an anomaly parameter on network terminals in a distributed network
US11900791B2 (en) Self-testing fire sensing device for confirming a fire
JPWO2017154758A1 (en) Information processing system, information processing method, client, and computer program
Nakajima et al. Applying Quality Requirements Framework to an IoT System and its Evaluation
CN113360354A (en) User operation behavior monitoring method, device, equipment and readable storage medium
JP2012079203A (en) Monitoring control system
KR20210101024A (en) Old people monitoring system
US11508234B1 (en) Reducing false alarms in security system
JP6053646B2 (en) Monitoring device, information processing system, monitoring method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211118

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20211118

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221004

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230112

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230307

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230404

R151 Written notification of patent or utility model registration

Ref document number: 7257823

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151