JP2020162075A - 監視システム、設定装置および監視方法 - Google Patents
監視システム、設定装置および監視方法 Download PDFInfo
- Publication number
- JP2020162075A JP2020162075A JP2019062274A JP2019062274A JP2020162075A JP 2020162075 A JP2020162075 A JP 2020162075A JP 2019062274 A JP2019062274 A JP 2019062274A JP 2019062274 A JP2019062274 A JP 2019062274A JP 2020162075 A JP2020162075 A JP 2020162075A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- monitoring
- data
- unit
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Environmental & Geological Engineering (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Programmable Controllers (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
Description
上記によれば、制御装置の通信のセキュリティを設定することができる。さらに設定後は、制御装置自身による通信の監視が可能となる。
まず、本実施の形態に従う監視システムにおいて監視対象の通信を行う制御装置1を説明する。
次に、本実施の形態に従う制御装置1を構成する各ユニットのハードウェア構成例について説明する。
図2は、本実施の形態に従う制御装置1を構成する制御ユニット100のハードウェア構成例を示す模式図である。図2を参照して、制御ユニット100は、主たるコンポーネントとして、CPU(Central Processing Unit)やGPU(Graphical Processing Unit)などのプロセッサ102と、チップセット104と、主記憶装置106と、二次記憶装置108と、通信コントローラ110と、USB(Universal Serial Bus)コントローラ112と、メモリカードインターフェイス114と、ネットワークコントローラ116,118,120と、内部バスコントローラ122と、インジケータ124とを含む。
図3は、本実施の形態に従う制御装置1を構成する通信ユニット200のハードウェア構成例を示す模式図である。図3を参照して、通信ユニット200は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ202と、チップセット204と、主記憶装置206と、二次記憶装置208と、通信コントローラ210と、USBコントローラ212と、メモリカードインターフェイス214と、ネットワークコントローラ216,218と、インジケータ224とを含む。
図4は、本実施の形態に従う制御装置1を構成するセーフティユニット300のハードウェア構成例を示す模式図である。図4を参照して、セーフティユニット300は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ302と、チップセット304と、主記憶装置306と、二次記憶装置308と、メモリカードインターフェイス314と、内部バスコントローラ322と、インジケータ324とを含む。
次に、本実施の形態に従う制御装置1を含む制御システム10の典型例について説明する。以下の説明においてデータベースを「DB」と表記する。図5は、本実施の形態に従う制御装置1を含む制御システム10の典型例を示す模式図である。
本実施の形態に従う制御装置1は、設備や機械を正常運転することを妨げる任意のセキュリティ脅威を検知し、必要な対策を実行可能になっている。
DoS攻撃あるいはDDoS攻撃等の脅威を検知するためには、FAネットワークの監視を行うことが望まれる。しかし、FAネットワークの監視に関して、以下に挙げる課題が想定される。
次に、上述したような制御システム10におけるFAネットワークを監視するためのユーザインターフェイスの一例について説明する。図5に示したサポート装置600は、FAネットワークに関する通信を監視する監視システムの設定装置として機能する。
図7は、本実施の形態に従う監視システムの概略的な構成を示した図である。図7に示すように、監視システムは、ツール602A(監視設定ツール)、通信ユニット200および、制御ユニット100を含む。プロセッサ602がネットワーク監視プログラム6106を実行することにより、ツール602Aがサポート装置600(図6を参照)に実装される。
図8は、図7に示した構成によってFAネットワークの通信負荷の監視を実現するためのシナリオを示した模式図である。図8に示すように、収集フェーズP1、分析フェーズP2および活用フェーズP3の3つのフェーズによって、監視システムによるネットワークの通信負荷の監視が実現される。「フェーズ」との用語は「ステップ」に置き換えてもよい。
図9は、図8に示した収集フェーズの概要を説明した図である。図9に示すように、設定ツール621は、データの収集に関する設定を実行する。設定ツール621は、設定内容を示す情報をデータ収集モジュール253に送る。データ収集モジュール253は、その設定内容に従って、通信データを収集する。データ収集モジュール253は、収集された通信フローデータをデータ管理モジュール282へと送る。
図10は、分析フェーズの概要を説明した図である。図10を参照して、分析アプリ622は、収集データDB624からの通信データ、設定ツール621からの設定情報、およびプロトコルDB623からのプロトコル情報を受ける。「設定情報」、および「プロトコル情報」は、通信の設定に関する予め登録された情報である。
図15は、通信拒否のアクションの設定を説明するための図である。図11に示した拒否ボタン652をユーザが選択した場合に、インターフェイス画面661がサポート装置600に表示される。インターフェイス画面661には、送信先から制御装置1へのアクセスを拒否するための複数の選択肢が、チェックボックス形式で表示される。図15には、「該当の送信元MACアドレスからの通信を全て遮断する」、「該当の送信元IPアドレスからの通信を全て遮断する」および「該当の通信のみを遮断する」の3つの選択肢が示されている。
また、ユーザは、ツールの監視結果を変数に格納するように選択することができる。変数のタイプは、BOOL型およびSTRING型から選択することができる。
図18は、活用フェーズの概要を説明した図である。図18に示すように、活用フェーズにおいては、監視設定ツールは不要である。通信エンジン250において、データ収集モジュール253は、設定内容に従って、監視対象の通信データを監視して、監視結果である通信フローデータをデータ管理モジュール282へと送る。データ管理モジュール282は、その収集したデータを分析および検索モジュール281に送る。
(A2)イベントログを表示する。
(A4)警告メッセージを含むメールを送信する。
(B2)メモリの記憶内容をクリアすることによる情報の秘匿。
(B4)生産情報をローカルの場所に保存する。
以上説明したように、本実施形態は以下に列挙する開示を含む。
前記FAネットワーク上の通信の状況を示すデータを収集するデータ収集部(253,282,260,624)と、
前記FAネットワーク上での前記通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、前記通信の監視のための監視設定情報(631,632,633,634)を生成するデータ分析部(622)と、
前記監視設定情報(631,632,633,634)に従って、監視対象の通信を監視する監視部(251,252,1012,1010)とを含む、監視システム。
前記監視部(251,252,1012,1010)は、前記帯域幅が前記しきい値を上回る場合に、ユーザへの通知を出力する、構成1.に記載の監視システム。
前記データは、送信元のアドレスと、送信先のアドレスと、データ交換の頻度と、通信データの総量とを含み、
前記予め登録された情報は、前記送信元の名称と、前記送信先の名称と、前記送信元と前記送信先との間の前記通信を示す名称とを含み、
前記データ分析部(622)は、前記データと前記予め登録された情報とを関連付けた実通信情報(R1−R4)を生成して、前記実通信情報(R1−R4)を前記表示部(600,800)に表示させる、構成1.または構成2.に記載の監視システム。
前記アクションの前記選択肢は、
前記送信元と前記送信先との間の前記通信の監視(653)と、
前記送信元と前記送信先との間の前記通信の拒否(652)とを含む、構成3.に記載の監視システム。
前記監視システムは、監視設定情報(631,632,633,634)に従って前記通信を監視する監視部(251,252,1012,1010)を含み、
前記設定装置(600)は、
前記FAネットワーク上の通信の状況を示すデータを収集するデータ収集部(624)と、
前記FAネットワーク上での前記通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、前記通信の監視のための前記監視設定情報(631,632,633,634)を生成するデータ分析部(622)とを備える、設定装置。
前記監視システムのデータ収集部(253,282,260,624)が、前記FAネットワーク上の通信の状況を示すデータを収集するステップ(P1)と、
前記監視システムのデータ分析部(622)が、前記FAネットワーク上での前記通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、前記通信の監視のための監視設定情報(631,632,633,634)を生成するステップ(P2)と、
前記監視システムの監視部(251,252,1012,1010)が前記監視設定情報(631,632,633,634)に従って、監視対象の通信を監視するステップ(P3)とを含む、監視方法。
Claims (7)
- FAネットワークに関する通信を監視する監視システムであって、
前記FAネットワーク上の通信の状況を示すデータを収集するデータ収集部と、
前記FAネットワーク上での前記通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、前記通信の監視のための監視設定情報を生成するデータ分析部と、
前記監視設定情報に従って、監視対象の通信を監視する監視部とを含む、監視システム。 - 前記監視設定情報は、前記監視対象の通信の帯域幅のしきい値を含み、
前記監視部は、前記帯域幅が前記しきい値を上回る場合に、ユーザへの通知を出力する、請求項1に記載の監視システム。 - 前記監視システムは、表示部をさらに備え、
前記データは、送信元のアドレスと、送信先のアドレスと、データ交換の頻度と、通信データの総量とを含み、
前記予め登録された情報は、前記送信元の名称と、前記送信先の名称と、前記送信元と前記送信先との間の前記通信を示す名称とを含み、
前記データ分析部は、前記データと前記予め登録された情報とを関連付けた実通信情報を生成して、前記実通信情報を前記表示部に表示させる、請求項1または請求項2に記載の監視システム。 - 前記データ分析部は、前記送信元と前記送信先との間の前記通信に対するアクションの選択肢を選択するためのユーザの入力を受け付けて、前記監視設定情報を生成するように構成され、
前記アクションの前記選択肢は、
前記送信元と前記送信先との間の前記通信の監視と、
前記送信元と前記送信先との間の前記通信の拒否とを含む、請求項3に記載の監視システム。 - 前記監視部は、前記FAネットワークに接続された制御装置に含まれる、請求項1から請求項4のいずれか1項に記載の監視システム。
- FAネットワークに関する通信を監視する監視システムのための設定装置であって、
前記監視システムは、監視設定情報に従って前記通信を監視する監視部を含み、
前記設定装置は、
前記FAネットワーク上の通信の状況を示すデータを収集するデータ収集部と、
前記FAネットワーク上での前記通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、前記通信の監視のための前記監視設定情報を生成するデータ分析部とを備える、設定装置。 - FAネットワークに関する通信を監視する監視システムによる監視方法であって、
前記監視システムのデータ収集部が、前記FAネットワーク上の通信の状況を示すデータを収集するステップと、
前記監視システムのデータ分析部が、前記FAネットワーク上での前記通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、前記通信の監視のための監視設定情報を生成するステップと、
前記監視システムの監視部が前記監視設定情報に従って、監視対象の通信を監視するステップとを含む、監視方法。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019062274A JP7176455B2 (ja) | 2019-03-28 | 2019-03-28 | 監視システム、設定装置および監視方法 |
CN202080019458.5A CN113545010A (zh) | 2019-03-28 | 2020-03-04 | 监视系统、设定装置及监视方法 |
PCT/JP2020/009137 WO2020195640A1 (ja) | 2019-03-28 | 2020-03-04 | 監視システム、設定装置および監視方法 |
US17/440,195 US11695660B2 (en) | 2019-03-28 | 2020-03-04 | Monitoring system, setting device, and monitoring method |
EP20778910.8A EP3952219A4 (en) | 2019-03-28 | 2020-03-04 | MONITORING SYSTEM, CONTROL DEVICE AND MONITORING METHOD |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019062274A JP7176455B2 (ja) | 2019-03-28 | 2019-03-28 | 監視システム、設定装置および監視方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020162075A true JP2020162075A (ja) | 2020-10-01 |
JP7176455B2 JP7176455B2 (ja) | 2022-11-22 |
Family
ID=72610016
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019062274A Active JP7176455B2 (ja) | 2019-03-28 | 2019-03-28 | 監視システム、設定装置および監視方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11695660B2 (ja) |
EP (1) | EP3952219A4 (ja) |
JP (1) | JP7176455B2 (ja) |
CN (1) | CN113545010A (ja) |
WO (1) | WO2020195640A1 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002325095A (ja) * | 2001-04-24 | 2002-11-08 | Mitsubishi Electric Corp | データ通信システム、データ送信装置及びデータ通信方法 |
JP2018097839A (ja) * | 2017-06-08 | 2018-06-21 | オムロン株式会社 | 制御装置、制御プログラムおよび制御方法 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070087198A (ko) * | 2004-12-21 | 2007-08-27 | 미슬토우 테크놀로지즈, 인코포레이티드 | 네트워크 인터페이스 및 방화벽 장치 |
US20110138463A1 (en) * | 2009-12-07 | 2011-06-09 | Electronics And Telecommunications Research Institute | Method and system for ddos traffic detection and traffic mitigation using flow statistics |
CN101834760B (zh) * | 2010-05-20 | 2013-01-30 | 杭州华三通信技术有限公司 | 一种基于ips设备的攻击检测方法及ips设备 |
US8565755B1 (en) * | 2010-09-30 | 2013-10-22 | Juniper Networks, Inc. | Network control of radio resources to mitigate network overuse by machine to machine devices |
US9467361B2 (en) * | 2011-12-20 | 2016-10-11 | Shoretel, Inc. | Bandwidth utilization monitoring for a communication system |
US20140006338A1 (en) * | 2012-06-29 | 2014-01-02 | Applied Materials, Inc. | Big data analytics system |
US9786197B2 (en) * | 2013-05-09 | 2017-10-10 | Rockwell Automation Technologies, Inc. | Using cloud-based data to facilitate enhancing performance in connection with an industrial automation system |
JP6114214B2 (ja) | 2014-02-25 | 2017-04-12 | アラクサラネットワークス株式会社 | ネットワーク装置、及び、通信方法 |
WO2016206042A1 (en) * | 2015-06-25 | 2016-12-29 | Thomson Licensing | Gateway and diagnosing method thereof |
CN106209870B (zh) * | 2016-07-18 | 2019-07-09 | 北京科技大学 | 一种针对分布式工业控制系统的网络入侵检测系统 |
EP3557354B1 (en) * | 2016-12-14 | 2023-03-01 | Omron Corporation | Control device, control program, and control method |
US20190068466A1 (en) * | 2017-08-30 | 2019-02-28 | Intel Corporation | Technologies for auto-discovery of fault domains |
US20190116100A1 (en) * | 2017-10-16 | 2019-04-18 | n-Join Research Ltd. | Machine-to-machine (m2m) communication monitoring |
CN108900538B (zh) * | 2018-08-09 | 2021-03-23 | 深圳市永达电子信息股份有限公司 | 一种工控信号检测方法和装置 |
-
2019
- 2019-03-28 JP JP2019062274A patent/JP7176455B2/ja active Active
-
2020
- 2020-03-04 WO PCT/JP2020/009137 patent/WO2020195640A1/ja unknown
- 2020-03-04 EP EP20778910.8A patent/EP3952219A4/en active Pending
- 2020-03-04 CN CN202080019458.5A patent/CN113545010A/zh active Pending
- 2020-03-04 US US17/440,195 patent/US11695660B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002325095A (ja) * | 2001-04-24 | 2002-11-08 | Mitsubishi Electric Corp | データ通信システム、データ送信装置及びデータ通信方法 |
JP2018097839A (ja) * | 2017-06-08 | 2018-06-21 | オムロン株式会社 | 制御装置、制御プログラムおよび制御方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2020195640A1 (ja) | 2020-10-01 |
EP3952219A4 (en) | 2022-12-14 |
EP3952219A1 (en) | 2022-02-09 |
US11695660B2 (en) | 2023-07-04 |
CN113545010A (zh) | 2021-10-22 |
US20220150142A1 (en) | 2022-05-12 |
JP7176455B2 (ja) | 2022-11-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6647310B2 (ja) | 工業プロセス制御および自動化システムのリスク・データを収集するためのインフラストラクチャ監視ツール | |
WO2014155650A1 (ja) | 情報制御装置、情報制御システム、及び情報制御方法 | |
Settanni et al. | Protecting cyber physical production systems using anomaly detection to enable self-adaptation | |
WO2017213915A1 (en) | Automation network topology determination for c&i systems | |
US12088614B2 (en) | Systems and methods for detecting anomalies in network communication | |
JP2017111532A (ja) | 制御装置及び統合生産システム | |
US10320747B2 (en) | Automation network and method for monitoring the security of the transfer of data packets | |
Guo et al. | A survey of industrial control system devices on the Internet | |
JP7180500B2 (ja) | 制御システム、および設定方法 | |
WO2020195640A1 (ja) | 監視システム、設定装置および監視方法 | |
WO2020189207A1 (ja) | コントローラシステム | |
WO2020246088A1 (ja) | 制御システム | |
JP7540524B2 (ja) | コントローラシステム | |
JP7225958B2 (ja) | 制御装置および制御システム | |
JP7010268B2 (ja) | 通信監視システムおよび通信監視方法 | |
JP7016837B2 (ja) | コントローラシステム | |
US12117807B2 (en) | Support device, recording medium storing setting program and method | |
JP2019129412A (ja) | 異常要因判定装置、制御システム、および異常要因判定方法 | |
JP2024090178A (ja) | 異常通信判別装置、異常通信判別方法および異常通信対処システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201215 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210921 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20211118 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220120 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220524 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221011 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221024 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7176455 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |