JP5028202B2 - Control network system - Google Patents
Control network system Download PDFInfo
- Publication number
- JP5028202B2 JP5028202B2 JP2007252977A JP2007252977A JP5028202B2 JP 5028202 B2 JP5028202 B2 JP 5028202B2 JP 2007252977 A JP2007252977 A JP 2007252977A JP 2007252977 A JP2007252977 A JP 2007252977A JP 5028202 B2 JP5028202 B2 JP 5028202B2
- Authority
- JP
- Japan
- Prior art keywords
- control
- packet
- network system
- route
- authentication code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 claims description 113
- 238000001514 detection method Methods 0.000 claims description 24
- 238000012795 verification Methods 0.000 claims description 18
- 230000005540 biological transmission Effects 0.000 claims description 17
- 238000013461 design Methods 0.000 claims description 15
- 230000000903 blocking effect Effects 0.000 claims description 10
- 238000006243 chemical reaction Methods 0.000 claims description 7
- 239000000284 extract Substances 0.000 claims description 6
- 238000000034 method Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 9
- 238000005259 measurement Methods 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 4
- 125000004122 cyclic group Chemical group 0.000 description 4
- 230000006872 improvement Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 125000002015 acyclic group Chemical group 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000008867 communication pathway Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Description
リアルタイム制御に係るデータ通信に供される制御ネットワークシステムに関する。 The present invention relates to a control network system used for data communication related to real-time control.
制御システムにおける、リアルタイム制御に係るデータ通信(以下制御通信)では、システムの制御周期との同期を維持することが重要である。従って、制御ネットワークに対する要求として、制御通信の通信速度(スループット)よりも、通信に伴う遅延(レイテンシ)や通信タイミングのゆらぎ(ジッタ)の少なさがより重視される場合がある。 In data communication related to real-time control (hereinafter referred to as control communication) in a control system, it is important to maintain synchronization with the control cycle of the system. Therefore, as a request for the control network, there is a case where importance is attached to the delay (latency) associated with communication and the fluctuation (jitter) of communication timing, rather than the communication speed (throughput) of control communication.
上記に関連する既存技術として、制御通信の周期を維持する方法が特許文献1に記載されている。こちらでは、自装置がリング状仮想サイクリック伝送路上に送出したサイクリックデータの受信時刻より、前記伝送路における制御通信の周期を推定している。前記伝送路の混雑等により受信周期が所定の値を逸脱した場合には、非サイクリックデータの送出を抑制して前記伝送路の混雑を解消し、サイクリックデータの通信周期を回復する。
As an existing technique related to the above,
また、別の既存技術として、ネットワーク上の通信が適正なものであるかどうかを判断し、該通信を制御する方法が特許文献2に記載されている。こちらでは、宛先アドレス等より設備通信として分類した通信パケットについて、特定アドレスへの連続送信や、一定頻度以上のマルチキャストおよびブロードキャストである場合にそのパケットを異常アクセスによるものと判断し、遮断等の措置をとっている。
Further, as another existing technique,
制御通信を麻痺させる目的で、悪意を持つ者が不正な機器を構成して制御ネットワークに接続したり、既にネットワークに接続されている正常な機器から不正な手段で制御権を奪ったりした上で、ネットワーク上に大量の不正パケットを放出させる、いわゆるDenial of Service(DoS)攻撃を実行する場合がある。 For the purpose of paralyzing control communication, a malicious person configures an unauthorized device and connects it to the control network, or deprives the right of control from a normal device already connected to the network by unauthorized means. In some cases, a so-called Denial of Service (DoS) attack is performed that releases a large number of illegal packets on the network.
特許文献1では、各プラント入出力装置は、他のプラント入出力装置から送信されたデータに対して送信制御を適用できない。このため、標的となる装置に対してのみ大量のパケットを送りつけるようなDoS攻撃が実行された場合、標的となる装置は送りつけられたパケットを遮断できない。また、標的以外の装置は異常を検出できないためアクションを起こすことができない。
In
また、不正な機器をスイッチングハブに直接接続された場合には、いずれの装置も流入してくる不正パケットを遮断することができない。 In addition, when an unauthorized device is directly connected to the switching hub, any device cannot block the incoming unauthorized packet.
一方、特許文献2では、異常アクセスと判定するための基準値を予め規定しておく必要があるが、本当の異常アクセスと、単に高負荷である状態を明確に区別できる基準値を設定することは現実には困難である。さらに、多数の機器が接続されたネットワークでは、転送元と転送先の全ての組み合わせについて前記のような基準値を個別に設定することは現実的でない。
On the other hand, in
本発明は、悪意を持った者によって引き起こされる障害にも対処でき、制御通信の周期の安定化を図ると共に、制御通信に適したセキュリティ向上を実現できる制御ネットワークシステムを提供することを目的とする。 It is an object of the present invention to provide a control network system that can cope with a failure caused by a malicious person, stabilizes the cycle of control communication, and realizes security improvement suitable for control communication. .
本発明は、上記課題を解決するために、所定の周期で制御通信を行う複数の制御機器と、複数のセグメントから構成される通信路と、複数のセグメントの各セグメント間に配置され、セグメントと制御機器との接続状態を制御するネットワークスイッチと、通信路と接続された障害検知手段と、を有し、障害検知手段は、通信路上から収集したパケットのヘッダ部分から経路を抽出し、且つパケットの収集時刻からパケット情報を生成する経路分類部と、パケット情報から各経路における制御通信周期を算出する周期計測部と、その算出された各経路における制御通信周期と、予め記憶された各経路における制御通信周期の適正範囲と、を比較し、制御通信周期が適正範囲を逸脱した場合、障害検知信号を出力する逸脱判定部と、前記障害検知信号を検出すると、逸脱の原因となった制御通信の経路を推定すると、前記適正範囲を逸脱した経路におけるパケット送信元の前記制御機器が逸脱の原因であると推定するとともに、前記逸脱した経路における前記制御通信周期が前記適正範囲よりも短い周期で逸脱したか、または、長い周期で逸脱したかを判断し、短い周期で逸脱した場合には、逸脱の原因と推定された前記制御機器による不正パケットの放出が障害原因であると推定する障害原因推定部と、前記推定された経路における前記制御機器のアドレスを送信元とするパケット情報の送信を遮断する指令を、前記ネットワークスイッチに出力する遮断ルール生成部と、を有する構成とする。
In order to solve the above problems, the present invention provides a plurality of control devices that perform control communication in a predetermined cycle, a communication path that includes a plurality of segments, and a segment that is disposed between each segment of the plurality of segments. A network switch for controlling a connection state with the control device; and a failure detection unit connected to the communication path, wherein the failure detection unit extracts a path from a header portion of the packet collected from the communication path, and the packet A route classifying unit that generates packet information from the collection time, a cycle measuring unit that calculates a control communication cycle in each route from the packet information, a control communication cycle in each calculated route, and a pre-stored route in each route A deviation determination unit that outputs a failure detection signal when the control communication cycle deviates from the appropriate range; Detecting the signal result, it estimates the path caused the control communication deviation Then, with estimates that the appropriate range wherein the packet sender in deviant path control device is the cause of the deviation, in the deviant path It is judged whether the control communication cycle has deviated at a cycle shorter than the appropriate range or deviated at a long cycle. A failure cause estimator that estimates that the release of a packet is a cause of failure, and a block that outputs to the network switch a command that blocks transmission of packet information that uses the address of the control device in the estimated route as a transmission source And a rule generation unit.
悪意を持った者によって引き起こされる障害にも対処でき、制御通信の周期の安定化を図ると共に、制御通信に適したセキュリティ向上を実現できる制御ネットワークシステムが提供できる。 It is possible to provide a control network system that can cope with a failure caused by a malicious person, stabilize the cycle of control communication, and realize security improvement suitable for control communication.
以下、図面を参照し、本発明の実施例について説明する。 Embodiments of the present invention will be described below with reference to the drawings.
本発明の第一の実施形態を表す制御ネットワークシステムの構成を図1に示す。 FIG. 1 shows the configuration of a control network system representing the first embodiment of the present invention.
複数の制御ネットワークセグメント20は、それぞれネットワークスイッチ3によって連結され、一つの通信路である制御ネットワーク2を形成する。制御ネットワーク2のトポロジーとして、本図ではバス接続のように記載しているが、実施の際はスター型,リング型など任意のトポロジーを採用してよく、それにより本発明の内容が影響を受けることはない。
The plurality of
ネットワークスイッチ2は、複数の制御ネットワークセグメント20の各セグメント間に配置され、その制御ネットワークセグメント20と制御機器1との接続状態を制御するものであって、アクセス制御リスト31で指定されたアドレス情報を持つパケットに対して通過または遮断のアクションをとることができる。アクセス制御リスト31で指定するアドレスは、IEEE802.3アドレス(いわゆるMACアドレス)のほか、Internet Protocol(IP)アドレスや、Transmission Control Protocol(TCP)/User Datagram Protocol(UDP)におけるポート番号を用いて記述できてもよい。制御機器1は、ネットワークスイッチ2の機器用ポート32を介して接続される。機器用ポート32はネットワークスイッチ2に複数備わっていてよい。
The
制御機器1は、それぞれが所定の周期で制御演算,制御通信を実行しており、その過程において、他の制御機器との間で制御ネットワーク2を介して制御通信を実行する。一方、不正機器1xは悪意を持つ者によって構成された機器であり、ネットワークスイッチ3を経由して制御ネットワーク2へ大量のパケットを放出し、制御機器1による制御通信を妨害しようとする。
Each of the
障害検知装置4は、通信路である制御ネットワーク2と接続され、通信路上に設けられ、通信路上に伝送されたパケットを収集するパケット収集用ポート33を通じて通信パケットを収集する。このとき、各パケットを収集した時刻を該パケットに関連づけて記録しておく(図示せず)。パケット収集用ポート33には、独立したリピータハブを用いてもよいし、ネットワークスイッチ2の機器用ポート32の一つを用いてもよい(ただし、前記機器用ポートは、制御ネットワーク2上の全てのパケットを転送するよう設定したものであること)。なお、障害検知装置4は通信を妨害しないよう、パケットを収集するのみであり、収集したパケットに対していかなる形の返信もしない。
The
経路分類部40は、通信路である制御ネットワーク2から収集したパケットのヘッダ部分から経路を示す送信元および送信先アドレスを抽出し、かつ、前記パケットのヘッダ部分と前記パケットの収集時刻からパケット情報410を生成する。なお、経路を示すそれぞれのアドレスは、システムで用いられるIPアドレス,IEEE802.3アドレス,TCP/UDPのポート番号、およびそれらの組み合わせを任意に用いてよい。さらに、前記パケット情報410を、経路が同じもの同士でグループ化してパケット情報蓄積部41に蓄積する。また、経路の送信先アドレスがブロードキャストアドレスやマルチキャストアドレスである場合、そのことを示すマーク(図中では、ブロードキャストパケットに対し“B”)を付けた上で、他の単一アドレスと同様に扱う。図2に、前記手順を模式的に表した図を示す。
The
以上、パケットを収集して、経路分類部40にてパケット情報410を生成し、パケット情報蓄積部41に蓄積するまでの手順は、制御ネットワーク2にパケットが流れるたびに実行される必要がある。
As described above, the procedure from collecting packets to generating
周期計測部42は、パケット情報410から各経路における制御通信周期である平均周期を算出する。具体的には、パケット情報蓄積部41に蓄積されたパケット情報410から経路と収集時刻の組を単位時間(例えば1秒)分だけ読み出し、同一経路を持つ組に対して収集時刻の統計処理を施し、各経路における制御通信の平均周期(T)43を算出する。図3に、前記手順を模式的に表した図を示す。このとき、平均周期に加えて、周期の分散(σ2)や平均周期の変動率(ΔT/Δt)などのような統計量も求めておくとよい(後述)。
The
通信周期の適正範囲44は、障害検知装置4の起動時に予め設定されるパラメータであり、ネットワークシステム上で利用する予定の各経路における適正な通信周期の範囲が定義される。
The appropriate communication cycle range 44 is a parameter that is set in advance when the
逸脱判定部50は、周期計測部42において算出された各経路の制御通信周期である平均周期43と、各経路における制御通信周期の適正範囲44とを比較する。その結果、平均周期43が適正範囲44に収まっていた場合には、該経路の通信は正常であると判定し、次の経路における通信周期を判定する。もし、平均周期43が適正範囲44から逸脱していた場合には、該通信に障害が発生していると判定し、該通信の経路情報および障害の程度情報(例えば、適正範囲44からの平均周期43の逸脱割合)を含む障害検知信号51を出力する。
The
このとき、障害検知信号51を、例えば別途設けた操作卓5で受信し、オペレータに対し障害の発生を報告する警報6を生成するために利用してもよい。また、算出された経路の平均周期43に対応する適正範囲44が定義されていない場合、そもそもシステムにおいて想定していない不正な通信が発生したということであり、平均周期43の値にかかわらず直ちに障害検知信号51を出力する。
At this time, the
以上、周期計測部42にて平均周期43を算出し、適正範囲44と比較するまでの手順は、任意に設定した単位時間を周期として実行してよい。その場合、パケット情報蓄積部41に必要な蓄積容量は設定する単位時間に比例するため、どちらか一方が制約条件となる場合はそちらをもとに他方を決定するとよい。
As described above, the procedure from the calculation of the
障害原因推定部52は、障害検知信号51が出力されたことを検出すると、周期計測部42において算出された全経路の平均周期を取得して調べることで、逸脱の原因となった制御通信の経路を推定する、つまり障害の直接の原因となっている通信がどの経路上のものかを推定する。以下、原因の推定についての単純な例を図4から6に示し説明する。
When the failure
図4に示すように、障害と判定された経路(1x→1a)において、通常の制御通信における適正な通信周期よりも大幅に短い周期でパケットが送信されている場合、送信元アドレスが不正機器1xによって取得されており、そこから制御機器1aへのDoS攻撃が行われていると推定される。この場合、同時に、制御機器1aを送信元とする別の経路(1a→1b,1a→1c)で適正な通信周期からの遅延による障害が検知されている可能性があり、あわせてDoS攻撃が行われているとの推定を強めることができる。 As shown in FIG. 4, when a packet is transmitted on a route (1x → 1a) determined to be a failure with a period significantly shorter than an appropriate communication period in normal control communication, the transmission source address is an unauthorized device. It is presumed that a DoS attack to the control device 1a is being performed. In this case, at the same time, there is a possibility that a failure due to a delay from an appropriate communication cycle is detected on another route (1a → 1b, 1a → 1c) having the transmission source of the control device 1a, and a DoS attack is also performed. It is possible to strengthen the presumption that it is done.
図5に示すように、障害と判定された経路がブロードキャスト経路(1x→1a,1b,1c,…)であり、かつ通常の制御通信における適正な通信周期よりも短い周期でパケットが送信されている場合、送信元アドレスが不正機器1xによって取得されており、そこから無差別型のDoS攻撃が行われていると推定される。
As shown in FIG. 5, the route determined to be a failure is a broadcast route (
図6に示すように、障害と判定された経路(1a→1b)において、通常の制御通信における適正な通信周期よりも大幅に長い周期でパケットが送信されているが、他の経路(1b→1cなど)では障害が検出されていない場合、制御機器1a単独の故障であり、ネットワークシステムとしての障害ではないと推定される。 As shown in FIG. 6, in the route (1a → 1b) determined to be a failure, a packet is transmitted with a period significantly longer than the proper communication cycle in normal control communication, but other routes (1b → 1b) If no failure is detected in 1c and the like), it is estimated that this is a failure of the control device 1a alone and not a failure as a network system.
いずれの例でも、上記のように障害検出時点での各経路の平均周期のみで判断することは可能であるが、周期計測部42において周期の分散(σ2)や平均周期の変動率(ΔT/Δt)などの統計量をあわせて求めておくと、例えば周期の分散により適正範囲44からの逸脱が有意なものであるか否かを判断することができたり、平均周期の変動率により、障害が突発的なものか一定の期間継続する可能性があるのかといったことを判断でき、障害の原因推定の精度を高めることができて好適である。
In any of the examples, it is possible to make a determination based only on the average period of each path at the time of failure detection as described above. However, the
障害原因推定部52において障害原因となっている経路が特定され、かつその原因がDoS攻撃などの有害なものであると推定された場合、その経路で行われている通信を遮断してネットワークシステムを障害状態から回復させる必要がある。
If the failure
障害原因推定部52は、前記推定した障害原因経路のアドレス情報を遮断経路情報53として遮断ルール生成部54へ出力する。遮断ルール生成部54は図7に示すように、遮断経路情報53で示されたアドレス情報に基づきアクセス制御リスト31により障害原因経路の遮断をネットワークスイッチ3に指令する。図中の“deny src 1x dst all”は、「アドレス1xを送信元とする、任意の送信先へのパケットを遮断する」という意味である。
The failure
最終的に、各々のネットワークスイッチ3がネットワークセグメント20の境界で障害原因経路に属する通信パケットを阻止することにより、障害が排除されて正常な制御通信を行える状態が回復される。
Eventually, each network switch 3 blocks communication packets belonging to the failure cause path at the boundary of the
本実施例では、以上説明した動作により制御ネットワーク上の制御通信を監視し、制御にとって有害な異常をきたしていると推定される経路の通信を遮断することで、他の制御通信の周期を維持し、システム全体としての安定性を向上させることができる。 In this embodiment, the control communication on the control network is monitored by the above-described operation, and the communication of the route that is estimated to cause an abnormality harmful to the control is interrupted to maintain the cycle of other control communication. In addition, the stability of the entire system can be improved.
本発明の第二の実施形態を表す制御ネットワークシステムの構成を図8に示す。 FIG. 8 shows the configuration of the control network system representing the second embodiment of the present invention.
本実施例では、制御ネットワークを乱し、システムの制御動作を妨害する目的で、不正機器1xが制御ネットワーク3に接続されていると仮定する。
In this embodiment, it is assumed that the
第一の実施例では、制御通信周期の適正範囲44が定義されていない通信経路を不正な通信とみなし、障害として扱うことを説明したが、不正機器1xは自らの存在を隠し、妨害動作をなるべく長い間行えるよう、しばしば既存の制御機器1a,1b,…のアドレスを詐称してパケットを送信する場合がある。それにより、信頼できない経路情報に基いて周期の監視がなされるため、正確な障害検知ができなくなるほか、場合によっては本来正常であるはずの制御機器1aや1bを含む経路が異常を判断され、誤って遮断されてしまう可能性がある。上記のような事例に対処するために、悪意を持つ者が故意に制御通信の周期を乱そうとして送信するパケットについても正しく検知し、適切に対処することを目的とする。
In the first embodiment, it has been described that a communication path in which the appropriate range 44 of the control communication cycle is not defined is regarded as unauthorized communication and treated as a failure. However, the
本実施例では、第一の実施例における構成に加え、制御機器1aおよび1bが各々認証コード生成部60と認証コード検証部61を備え、かつ障害検知装置4も認証コード検証部61を備える。
In the present embodiment, in addition to the configuration in the first embodiment, the
制御装置1aから制御装置1bへの通常の制御通信においては、図9に示すように、制御装置1aの内部で生成された制御通信メッセージ62に、認証コード生成部60で生成した認証コード63を付加し、制御通信パケット65を生成して制御装置1bへ送信する。制御装置1bは、受信した制御通信パケット65を制御通信メッセージ62と認証コード63とに再分解し、認証コード検証部61において、受信された認証コード63と同じ認証コードを生成できるかどうかを検証する。
In normal control communication from the control device 1a to the
前記認証コード63は、前記制御通信メッセージ62と、予め制御装置1の間で合意されている秘密の共通鍵64とから、メッセージ認証コード(Message Authentication Code; MAC)として知られている技術を用いて生成・検証されるものである。MACを生成する過程で用いられる、ハッシュ関数と呼ばれる関数の数学的性質より、共通鍵64を知らない者が同一の認証コード63を生成することは著しく困難である。本実施例では、認証コード生成部60が予め定められた共通鍵64に基づいてパケットを生成する。また認証コード検証部61は、その共通鍵に基づいて認証コードを検証する。なお、共通鍵64は、制御機器1及び障害検知装置4内に予め記憶しておく。
The
従って、本実施例では、共通鍵64の秘密が保たれている限り、正当な制御機器1a,1b,…のみが有効な認証コードを63を含む制御通信パケット65を生成することができ、例え不正機器1xが制御機器1aなどのアドレスを不当に名乗っていても、不正機器1xから送信されたパケットを峻別することが可能である。
Therefore, in this embodiment, as long as the secret of the
障害検知装置4において、上記の手順により制御通信パケット65から認証コード63と同一の認証コードを生成できた場合、実施例1と同様にして経路ごとに集計し、適正な周期であるかどうかをチェックする。一方、図10に示すように、受信した制御通信パケット65から生成した認証コード63xと受信したした認証コード63とが一致しなかった場合、パケット情報蓄積部41で不正なパケットであることを示すマーク(図中の“!”)を付け、他の正当なパケットとは区別して集計する。そのようなパケットの発生が散発的であれば、ノイズ等による単なるパケット破損の可能性が高いが、ある頻度を超えて検出されるような場合には不正機器による攻撃の可能性が高いと推定される。そのような場合には、集計や適正周期のチェックなど行わず、遮断ルール生成部54から不正パケットを遮断するためのアクセス制御リスト31をネットワークスイッチ2へ即座に出力するような構成にしてもよい。
In the
本発明の第三の実施形態を表す制御ネットワークシステムの構成を図11に示す。 FIG. 11 shows a configuration of a control network system representing the third embodiment of the present invention.
基本的構成は、障害検知装置4も含めて実施例1と同様であるが、設計情報変換・検証手段71およびそれに与える設計情報70が追加されている。
The basic configuration is the same as that of the first embodiment including the
第一および第二の実施例では、各経路における通信周期の適正範囲44の与え方を定義しなかったが、大規模なシステムでは制御通信の経路数が膨大になると考えられ、これらを手作業で決定し入力することは非常に煩雑な作業となる。本実施例では、上記適正範囲を制御ネットワークシステムの設計情報70に基づいて抽出することにより上記問題の解決を図る。また、逆に、運転中のシステムにおいて観測された制御通信の周期を設計の見直しを行う際の情報として用い、システムの改善に資することも目的とする。
In the first and second embodiments, the method of giving the appropriate range 44 of the communication cycle in each route was not defined. However, in a large-scale system, it is considered that the number of control communication routes becomes enormous, and these are handled manually. It is a very complicated task to determine and input in the above. In the present embodiment, the above problem is solved by extracting the appropriate range based on the
利用する設計情報70としては、実際に制御機器1に搭載される設定ファイルや制御用ソフトウェアなどの具体的なデータのほか、各制御装置1が行うべき制御通信の具体的な仕様(制御データのスループットやデータ長、許容される遅延時間など。もちろん通信周期そのものであってもよい)が定義された電子的な文書を用いてもよい。設計情報変換・検証手段71は、制御ネットワークシステムの起動時に、与えられた前記設計情報70を走査して含まれている制御通信の仕様情報を抽出し、さらにそれらに基づいて各制御通信周期の適正範囲44を算出し、障害検知装置4に設定する。
As
システムの定常運転中、障害検知装置4は各制御通信経路を監視し、周期計測部42にて制御通信周期である平均周期43を算出する。設計情報変換・検証手段71は所定の頻度で各経路の平均周期43を取得し、その取得した平均周期と前記算出した適正範囲44と比較し、その比較結果を報告書であるレポート72を作成してシステムの管理者に通知する。通知されたレポート72より、通信周期が適正範囲44に収まってはいるが変動に対して余裕のない経路や、通信周期の変動が大きく安定性に欠ける経路があるかどうかを読み取ることができ、例えばそれらを解決するための通信仕様見直しを検討する資料として用いることができる。
During steady operation of the system, the
1 制御機器
1x 不正機器
2 制御ネットワーク
3 ネットワークスイッチ
4 障害検知装置
5 操作卓
6 警報
20 ネットワークセグメント
31 アクセス制御リスト
32 機器用ポート
33 パケット収集用ポート
40 経路分類部
41 パケット情報蓄積部
42 周期計測部
43 平均周期
44 適正範囲
50 逸脱判定部
51 障害検知信号
52 障害原因推定部
53 遮断経路情報
54 遮断ルール生成部
60 認証コード生成部
61 認証コード検証部
62 制御通信メッセージ
63 認証コード
64 共通鍵
65 制御通信パケット
70 設計情報
71 設計情報変換・検証手段
72 レポート
410 パケット情報
DESCRIPTION OF
Claims (10)
複数のセグメントから構成される通信路と、
前記複数のセグメントの各セグメント間に配置され、前記セグメントと前記制御機器との接続状態を制御するネットワークスイッチと、
前記通信路と接続された障害検知手段と、を有し、
前記障害検知手段は、
前記通信路上から収集したパケットのヘッダ部分から経路を抽出し、且つ前記パケットの収集時刻からパケット情報を生成する経路分類部と、
前記パケット情報から各経路における制御通信周期を算出する周期計測部と、
前記算出された各経路における制御通信周期と、予め設定された前記各経路における制御通信周期の適正範囲と、を比較し、前記制御通信周期が前記適正範囲を逸脱した場合、障害検知信号を出力する逸脱判定部と、
前記障害検知信号を検出すると、前記適正範囲を逸脱した経路におけるパケット送信元の前記制御機器が逸脱の原因であると推定するとともに、前記逸脱した経路における前記制御通信周期が前記適正範囲よりも短い周期で逸脱したか、または、長い周期で逸脱したかを判断し、短い周期で逸脱した場合には、逸脱の原因と推定された前記制御機器による不正パケットの放出が障害原因であると推定する障害原因推定部と、
前記推定された経路における前記制御機器のアドレスを送信元とするパケット情報の送信を遮断する指令を、前記ネットワークスイッチに出力する遮断ルール生成部と、
を有する制御ネットワークシステム。 A plurality of control devices that perform control communication in a predetermined cycle;
A communication path composed of a plurality of segments;
A network switch that is arranged between each of the plurality of segments and controls a connection state between the segment and the control device;
Fault detection means connected to the communication path,
The failure detection means includes
A route classifying unit that extracts a route from a header portion of a packet collected from the communication path and generates packet information from a collection time of the packet;
A cycle measuring unit that calculates a control communication cycle in each path from the packet information;
The calculated control communication cycle in each route is compared with a preset appropriate range of the control communication cycle in each route, and a failure detection signal is output when the control communication cycle deviates from the appropriate range A deviation determination unit to
When the failure detection signal is detected , it is estimated that the control device of the packet transmission source in the route that deviates from the appropriate range is the cause of the deviation, and the control communication cycle in the deviated route is shorter than the appropriate range. Judgment whether it deviated in a cycle or deviated in a long cycle, and when deviating in a short cycle, it is presumed that the emission of an illegal packet by the control device presumed to be the cause of the deviation is the cause of the failure A failure cause estimation unit;
A blocking rule generating unit that outputs a command to block transmission of packet information whose source is the address of the control device in the estimated route to the network switch;
A control network system.
前記障害原因推定部は、前記逸脱した経路における前記制御通信周期が前記適正範囲よりも長い周期で逸脱した場合であって、前記逸脱した経路とは別の経路の前記制御通信周期が前記適正範囲を逸脱していない場合には、前記逸脱した経路におけるパケット送信元の前記制御機器の故障が障害原因であると推定することを特徴とする制御ネットワークシステム。 The control network system according to claim 1,
The failure cause estimation unit is a case where the control communication cycle in the deviated route deviates at a cycle longer than the appropriate range, and the control communication cycle of a route different from the deviated route is in the appropriate range. If it does not deviate from the above, it is estimated that a failure of the control device of the packet transmission source in the deviated route is the cause of the failure .
前記通信路上に設けられ、前記通信路上に伝送されるパケットを収集するパケット収集用ポートを有する制御ネットワークシステム。 The control network system according to claim 1 or 2,
A control network system having a packet collection port that is provided on the communication path and collects packets transmitted on the communication path.
前記経路分類部で生成されたパケット情報を経路が同じもの同士でグループ化して蓄積するパケット情報蓄積部を有する制御ネットワークシステム。 The control network system according to claim 1 or 2,
A control network system including a packet information storage unit that stores packet information generated by the route classification unit in groups of the same routes.
前記制御機器は、
生成された制御通信メッセージに対して認証コードを付加し、パケットを生成して出力する認証コード生成部と、
入力されたパケットから前記制御通信メッセージと前記認証コードを分離させ、分離した前記認証コードと同じ認証コードを生成可能かどうかを検証する認証コード検証部と、
を有する制御ネットワークシステム。 The control network system according to claim 1 or 2,
The control device is
An authentication code generation unit that adds an authentication code to the generated control communication message, generates a packet, and outputs the packet;
An authentication code verification unit that separates the control communication message and the authentication code from the input packet and verifies whether or not the same authentication code as the separated authentication code can be generated;
A control network system.
前記認証コード生成部は、予め定められた共通鍵に基づいて認証コードを生成し、
前記認証コード検証部は、前記共通鍵を用いて前記認証コードを検証する制御ネットワークシステム。 The control network system according to claim 5, wherein
The authentication code generation unit generates an authentication code based on a predetermined common key,
The authentication code verification unit is a control network system that verifies the authentication code using the common key.
前記障害検知手段は、入力されたパケットから前記制御通信メッセージと前記認証コードを分離させ、分離した前記認証コードと同じ認証コードを生成可能かどうかを検証する認証コード検証部を有し、
前記認証コード検証部は、前記通信路上から収集したパケットに対して前記共通鍵を用いて分離した前記認証コードを検証し、
前記経路分類部は、前記認証コード検証部で検証された結果、正当性が確認されたパケットについてのみ、前記パケットのヘッダ部分から経路を抽出し、且つ前記パケットの収集時刻からパケット情報を生成する制御ネットワークシステム。 The control network system according to claim 6, wherein
The failure detection unit includes an authentication code verification unit that separates the control communication message and the authentication code from an input packet and verifies whether or not the same authentication code as the separated authentication code can be generated,
The authentication code verification unit verifies the authentication code separated using the common key for packets collected from the communication path,
The route classification unit extracts a route from the header portion of the packet only for a packet whose validity is confirmed as a result of verification by the authentication code verification unit, and generates packet information from the collection time of the packet Control network system.
前記制御通信周期の適正範囲は、制御ネットワークシステムの設計情報に基づいて生成する設計情報変換・検証手段を有する制御ネットワークシステム。 The control network system according to claim 1 or 2,
A control network system comprising design information conversion / verification means for generating an appropriate range of the control communication cycle based on design information of the control network system.
前記設計情報変換・検証手段は、制御ネットワークシステムの起動時に、前記設計情報から制御通信の仕様情報を抽出し、前記仕様情報に基づいて前記制御通信周期の適正範囲を算出する制御ネットワークシステム。 The control network system according to claim 8,
The design information conversion / verification unit is a control network system that extracts control communication specification information from the design information when the control network system is activated, and calculates an appropriate range of the control communication cycle based on the specification information.
前記設計情報変換・検証手段は、所定の頻度で各経路の制御通信周期を取得し、前記取得した各経路の制御通信周期と前記算出された前記制御通信周期の適正範囲とを比較し、比較した結果を報告書として出力する制御ネットワークシステム。 The control network system according to claim 9, wherein
The design information conversion / verification unit acquires a control communication cycle of each route at a predetermined frequency, compares the acquired control communication cycle of each route with the calculated appropriate range of the control communication cycle, and compares Control network system that outputs the result of the operation as a report.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007252977A JP5028202B2 (en) | 2007-09-28 | 2007-09-28 | Control network system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007252977A JP5028202B2 (en) | 2007-09-28 | 2007-09-28 | Control network system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009088732A JP2009088732A (en) | 2009-04-23 |
JP5028202B2 true JP5028202B2 (en) | 2012-09-19 |
Family
ID=40661608
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007252977A Expired - Fee Related JP5028202B2 (en) | 2007-09-28 | 2007-09-28 | Control network system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5028202B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5772666B2 (en) * | 2012-03-05 | 2015-09-02 | 株式会社オートネットワーク技術研究所 | Communications system |
EP3905599A4 (en) * | 2018-12-28 | 2022-03-02 | Panasonic Intellectual Property Corporation of America | Statistic information generation device, statistic information generation method, and program |
JP7403414B2 (en) | 2020-08-18 | 2023-12-22 | 株式会社日立製作所 | Communication relay device and communication relay method |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4326768B2 (en) * | 2002-08-23 | 2009-09-09 | 株式会社東芝 | Plant network health diagnosis apparatus and method |
JP2004104540A (en) * | 2002-09-11 | 2004-04-02 | Hitachi Ltd | Support system for analyzing network performance fault |
JP4268453B2 (en) * | 2003-05-29 | 2009-05-27 | 株式会社ルートレック・ネットワークス | Communication control method and apparatus |
-
2007
- 2007-09-28 JP JP2007252977A patent/JP5028202B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2009088732A (en) | 2009-04-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1806888B1 (en) | Denial-of-service attack detecting system, and denial-of-service attack detecting method | |
Subramanian et al. | Listen and whisper: Security mechanisms for BGP | |
US8584237B2 (en) | Improper communication detection system | |
KR101761737B1 (en) | System and Method for Detecting Abnormal Behavior of Control System | |
KR102088299B1 (en) | Apparatus and method for detecting drdos | |
JP2006352831A (en) | Network controller and method of controlling the same | |
KR20140088340A (en) | APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH | |
JP6435695B2 (en) | Controller and its attacker detection method | |
KR101711022B1 (en) | Detecting device for industrial control network intrusion and detecting method of the same | |
US20070166051A1 (en) | Repeater, repeating method, repeating program, and network attack defending system | |
JP5017440B2 (en) | Network control apparatus and control method thereof | |
JP2007179131A (en) | Event detection system, management terminal and program, and event detection method | |
CN1906905B (en) | Service disabling attack protecting system, and service disabling attack protecting method | |
WO2007081023A1 (en) | Traffic analysis diagnosis device, traffic analysis diagnosis system, and traffic tracking system | |
KR20090090641A (en) | System for active security surveillance | |
KR101352553B1 (en) | Method and System for DDoS Traffic Detection and Traffic Mitigation using Flow Statistic | |
Mzrak et al. | Detecting malicious packet losses | |
Sen | A robust mechanism for defending distributed denial of service attacks on web servers | |
JP2007288246A (en) | Attack detector | |
JP5028202B2 (en) | Control network system | |
KR101380015B1 (en) | Collaborative Protection Method and Apparatus for Distributed Denial of Service | |
Toprak et al. | Detection of DHCP starvation attacks in software defined networks: A case study | |
KR101065800B1 (en) | Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof | |
RU2531878C1 (en) | Method of detection of computer attacks in information and telecommunication network | |
JP7060800B2 (en) | Infection spread attack detection system and method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090327 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110714 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110719 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110912 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111206 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120206 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120529 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120625 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150629 Year of fee payment: 3 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5028202 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
LAPS | Cancellation because of no payment of annual fees |