JP6937251B2 - Abnormal factor determination device, control system, and abnormal factor determination method - Google Patents

Abnormal factor determination device, control system, and abnormal factor determination method Download PDF

Info

Publication number
JP6937251B2
JP6937251B2 JP2018010012A JP2018010012A JP6937251B2 JP 6937251 B2 JP6937251 B2 JP 6937251B2 JP 2018010012 A JP2018010012 A JP 2018010012A JP 2018010012 A JP2018010012 A JP 2018010012A JP 6937251 B2 JP6937251 B2 JP 6937251B2
Authority
JP
Japan
Prior art keywords
abnormality
source
determination
determination table
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018010012A
Other languages
Japanese (ja)
Other versions
JP2019129412A (en
Inventor
俊也 丸地
俊也 丸地
秀享 三宅
秀享 三宅
遵 金井
遵 金井
森 俊樹
俊樹 森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Energy Systems and Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Energy Systems and Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Energy Systems and Solutions Corp filed Critical Toshiba Corp
Priority to JP2018010012A priority Critical patent/JP6937251B2/en
Publication of JP2019129412A publication Critical patent/JP2019129412A/en
Application granted granted Critical
Publication of JP6937251B2 publication Critical patent/JP6937251B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明の実施形態は、異常要因判定装置、制御システム、および異常要因判定方法に関する。 Embodiments of the present invention relate to an abnormality factor determination device, a control system, and an abnormality factor determination method.

プラントやFA(Factory Automation)等に設置された機器を制御する制御システムでは、近年、ネットワーク化が進んでいる。このような制御システムでは、ネットワークのセキュリティ対策が重要になる。
そこで、制御システム内におけるネットワークの異常を検知するIDS(Intrusion Detection System)と呼ばれる装置が知られている。 In recent years, networking has progressed in control systems that control equipment installed in plants, FAs (Factory Automation), and the like. In such a control system, network security measures are important.
Therefore, a device called an IDS (Intrusion Detection System) that detects a network abnormality in a control system is known.

特開2012−169731号公報Japanese Unexamined Patent Publication No. 2012-169731

上述した制御システムで起こり得る異常は、例えば、ネットワークを介した攻撃と、機器の故障との2種類に分類できる。これらの異常に対して取るべき対策は、全く異なる。 The abnormalities that can occur in the control system described above can be classified into two types, for example, an attack via a network and a device failure. The measures to be taken against these anomalies are completely different.

しかし、従来の装置は、上記2種類の異常のうち、いずれか一方のみを検知することを前提としているので、異常の要因を特定できない。そのため、制御システムで異常が発生した場合、異常への対処に多くの時間を要することが予想される。 However, since the conventional device is premised on detecting only one of the above two types of abnormalities, the cause of the abnormality cannot be identified. Therefore, when an abnormality occurs in the control system, it is expected that it will take a lot of time to deal with the abnormality.

本発明の実施形態は、システムの異常に対して迅速に対処することが可能な異常要因判定装置、制御システム、および異常要因判定方法を提供することを目的とする。 An object of the present invention is to provide an abnormality factor determination device, a control system, and an abnormality factor determination method capable of quickly dealing with an abnormality in a system.

一実施形態によれば、異常要因判定装置は、ネットワークを介したデータ通信により機器を制御する制御装置を含む制御システム内に設けられている。この異常要因判定装置は、データ通信で用いられるデータに含まれる情報を取得する取得部と、その情報を分析し、その分析結果に基づいて制御システムで発生した異常の要因を、ネットワークに対する攻撃か、または機器の故障であるかを判別する分析部と、を備える。 According to one embodiment, the abnormality factor determination device is provided in a control system including a control device that controls the device by data communication via a network. This anomaly factor determination device analyzes the acquisition unit that acquires the information contained in the data used in data communication and the information, and based on the analysis result, determines the cause of the anomaly that occurred in the control system as an attack on the network. , Or an analysis unit for determining whether the device is out of order.

本実施形態によれば、制御システムの異常に対して迅速に対処することが可能となる。 According to this embodiment, it is possible to quickly deal with an abnormality in the control system.

第1実施形態に係る制御システムの構成を示すブロック図である。It is a block diagram which shows the structure of the control system which concerns on 1st Embodiment. (a)は判定テーブルの一例を示す図であり、(b)は判定テーブルの他の一例を示す図である。(A) is a diagram showing an example of a determination table, and (b) is a diagram showing another example of the determination table. ヘッダ情報判定処理のフローチャートである。It is a flowchart of a header information determination process. (a)は不正操作異常を通知するための表示画像の一例であり、(b)は不正接続異常を通知するための表示画像の一例である。(A) is an example of a display image for notifying an unauthorized operation abnormality, and (b) is an example of a display image for notifying an unauthorized connection abnormality. 時刻情報判定処理のフローチャートである。It is a flowchart of time information determination processing. (a)は周期異常を通知するための表示画像の一例であり、(b)は出力停止異常を通知するための表示画像の一例である。(A) is an example of a display image for notifying a cycle abnormality, and (b) is an example of a display image for notifying an output stop abnormality. 第2実施形態に係る異常要因判定装置の構成を示すブロック図である。It is a block diagram which shows the structure of the abnormality factor determination apparatus which concerns on 2nd Embodiment. 診断モードのフローチャートである。It is a flowchart of a diagnostic mode. 第3実施形態に係る異常要因判定方法のフローチャートである。It is a flowchart of the abnormality factor determination method which concerns on 3rd Embodiment. 図10は、第4実施形態に係る異常要因判定方法のフローチャートである。FIG. 10 is a flowchart of the abnormality factor determination method according to the fourth embodiment. 変形例に係る制御システムの構成を示すブロック図である。It is a block diagram which shows the structure of the control system which concerns on the modification.

以下、本発明の実施形態を図面を参照して説明する。本実施形態は、本発明を限定するものではない。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. The present embodiment is not limited to the present invention.

(第1実施形態)
図1は、第1実施形態に係る制御システムの構成を示すブロック図である。図1に示す制御システム1は、制御装置10と、HMI(Human Machine Interface)20と、ツール30と、ネットワークスイッチ40と、異常要因判定装置50と、を備える。 (First Embodiment)
FIG. 1 is a block diagram showing a configuration of a control system according to the first embodiment. The control system 1 shown in FIG. 1 includes a control device 10, an HMI (Human Machine Interface) 20, a tool 30, a network switch 40, and an abnormality factor determination device 50.

制御装置10は、ネットワークを介したデータ通信により、プラントやFA等に設置された機器を制御する。制御装置10は、例えば、図1に示すようにコントローラ11と、センサ12と、アクチュエータ13と、を有する。コントローラ11は、例えばPLC(Programmable Logic Controller)で構成されている。センサ12は、制御対象機器の状態や環境等をセンシングする。アクチュエータ13は、コントローラ11の制御に基づいて動作する。本実施形態では、複数の制御装置10が制御システム1内に設けられているが、制御装置10の数は特に制限されない。さらに、制御装置10の構成も、上記機器を制御する構成であればよく、図1に示す構成に限定されない。 The control device 10 controls equipment installed in a plant, FA, or the like by data communication via a network. The control device 10 includes, for example, a controller 11, a sensor 12, and an actuator 13 as shown in FIG. The controller 11 is composed of, for example, a PLC (Programmable Logic Controller). The sensor 12 senses the state, environment, and the like of the device to be controlled. The actuator 13 operates under the control of the controller 11. In the present embodiment, a plurality of control devices 10 are provided in the control system 1, but the number of control devices 10 is not particularly limited. Further, the configuration of the control device 10 may be any configuration as long as it controls the above-mentioned equipment, and is not limited to the configuration shown in FIG.

HMI20は、ネットワークスイッチ40を介して各制御装置10の状態を監視する。ツール30は、ネットワークスイッチ40を介して各制御装置10の制御プログラムを変更するエンジニアリングツールである。 The HMI 20 monitors the state of each control device 10 via the network switch 40. The tool 30 is an engineering tool that changes the control program of each control device 10 via the network switch 40.

ネットワークスイッチ40は、各制御装置10をネットワークに接続する。本実施形態では、このネットワークは、Ethernet(登録商標)であるが、他の規格のネットワークであってもよい。また、ネットワークスイッチ40はミラーポートを有し、このミラーポートに異常要因判定装置50が接続される。これにより、異常要因判定装置50は、ネットワークスイッチ40を介して、制御システム1内を伝送するパケット形式の全てのデータを取得できる。 The network switch 40 connects each control device 10 to the network. In this embodiment, this network is Ethernet®, but it may be a network of other standards. Further, the network switch 40 has a mirror port, and the abnormality factor determination device 50 is connected to the mirror port. As a result, the abnormality factor determination device 50 can acquire all the data in the packet format transmitted in the control system 1 via the network switch 40.

異常要因判定装置50は、図1に示すように通信インターフェース部51と、タイマ部52と、取得部53と、分析部54と、保存部55と、表示部56と、を有する。異常要因判定装置50を構成するこれらの構成要素は、ハードウェアで実現されてもよいし、ソフトウェアで実現されてもよい。また、表示部56は、異常要因判定装置50の構成要素に含まれていてもよいし、異常要因判定装置50に外付けされてもよい。 As shown in FIG. 1, the abnormality factor determination device 50 includes a communication interface unit 51, a timer unit 52, an acquisition unit 53, an analysis unit 54, a storage unit 55, and a display unit 56. These components constituting the abnormality factor determination device 50 may be realized by hardware or software. Further, the display unit 56 may be included in the components of the abnormality factor determination device 50, or may be externally attached to the abnormality factor determination device 50.

通信インターフェース部51は、ネットワークスイッチ40を介してデータを入出力する。タイマ部52は現在時刻を取得する。取得部53は、通信インターフェース部51で受信したデータからヘッダ情報を取得する。また、取得部53は、タイマ部52から取得した時刻情報をヘッダ情報に付与して分析部54へ出力する。 The communication interface unit 51 inputs / outputs data via the network switch 40. The timer unit 52 acquires the current time. The acquisition unit 53 acquires header information from the data received by the communication interface unit 51. Further, the acquisition unit 53 adds the time information acquired from the timer unit 52 to the header information and outputs the time information to the analysis unit 54.

分析部54は、取得部53から入力された情報を分析し、その分析結果に基づいて異常の要因を判別する。保存部55は、分析部54で用いられる判定テーブルを保存する。ここで図2(a)および図2(b)を参照して判定テーブルについて説明する。 The analysis unit 54 analyzes the information input from the acquisition unit 53, and determines the cause of the abnormality based on the analysis result. The storage unit 55 stores the determination table used by the analysis unit 54. Here, the determination table will be described with reference to FIGS. 2 (a) and 2 (b).

図2(a)に示す判定テーブル100は、予めデータ通信が許可された送信元と送信先の組み合わせと、その組み合わせ毎に予め設定されたデータの伝送周期と、前回のデータ取得時刻と、を示す。判定テーブル100では、IPアドレスが送信元および送信先の識別情報として用いられている。また、データ取得時刻は、データ取得のたびに更新される。一方、図2(b)に示す判定テーブル101は、判定テーブル100の項目に加えてプロトコル情報も示す。この判定テーブル101によれば、セキュリティの判定をより厳密にすることができる。 The determination table 100 shown in FIG. 2A shows a combination of a source and a destination for which data communication is permitted in advance, a data transmission cycle preset for each combination, and a previous data acquisition time. show. In the determination table 100, the IP address is used as the source and destination identification information. In addition, the data acquisition time is updated each time data is acquired. On the other hand, the determination table 101 shown in FIG. 2B shows protocol information in addition to the items of the determination table 100. According to the determination table 101, the security determination can be made more rigorous.

以下、上述した異常要因判定装置50による異常要因判定方法について説明する。異常要因判定装置50は、制御システム1で発生した異常の要因を判別するために、新規データを受信するたびにヘッダ情報判定処理および時間情報判定処理を順次に行う。 Hereinafter, the method for determining an abnormality factor by the above-mentioned abnormality factor determination device 50 will be described. The abnormality factor determination device 50 sequentially performs header information determination processing and time information determination processing each time new data is received in order to determine the cause of the abnormality that has occurred in the control system 1.

図3は、ヘッダ情報判定処理のフローチャートである。図3に示すフローチャートでは、まず、通信インターフェース部51がネットワークスイッチ40を介してデータを受信する(ステップS101)。続いて、取得部53が、通信インターフェース部51で受信されたデータのヘッダ情報を取得する(ステップS102)。このとき、取得部53は、タイマ部52から時刻情報を取得して、ヘッダ情報とともに分析部54へ出力する。 FIG. 3 is a flowchart of the header information determination process. In the flowchart shown in FIG. 3, first, the communication interface unit 51 receives data via the network switch 40 (step S101). Subsequently, the acquisition unit 53 acquires the header information of the data received by the communication interface unit 51 (step S102). At this time, the acquisition unit 53 acquires the time information from the timer unit 52 and outputs it to the analysis unit 54 together with the header information.

分析部54は、ヘッダ情報に示された送信元IPアドレスおよび送信先IPアドレスの組み合わせが、保存部55の判定テーブルに登録されているか否かを判定する(ステップS103)。上記組み合わせが登録されている場合、分析部54は、正常であると判定する(ステップS104)。 The analysis unit 54 determines whether or not the combination of the source IP address and the destination IP address shown in the header information is registered in the determination table of the storage unit 55 (step S103). When the above combination is registered, the analysis unit 54 determines that it is normal (step S104).

上記組み合わせが登録されていない場合、分析部54は、判定テーブルに登録された複数の送信元IPアドレスの中で、ヘッダ情報の送信元IPアドレスと一致するものが存在するか否かを探索する(ステップS105)。一致する送信元IPアドレスが存在する場合、分析部54は、検知フラグFLGを「1」に設定する(ステップS106)。反対に、一致する送信元IPアドレスが存在しない場合、分析部54は、検知フラグFLGを「0」に設定する(ステップS107)。 When the above combination is not registered, the analysis unit 54 searches for whether or not there is a plurality of source IP addresses registered in the determination table that match the source IP address of the header information. (Step S105). If there is a matching source IP address, the analysis unit 54 sets the detection flag FLG to "1" (step S106). On the contrary, when there is no matching source IP address, the analysis unit 54 sets the detection flag FLG to “0” (step S107).

検知フラグFLGが「1」である場合、送信元IPアドレスのみが判定テーブルに登録されているので、当該送信元IPアドレスに対応する端末が不正に操作されている可能性がある。そのため、分析部54は、ネットワークを介した攻撃が送信元の不正操作であると判定する。この場合、表示部56は、例えば図4(a)に示す画像200のように、異常の要因が不正操作であることとその対策を表示する(ステップS108)。 When the detection flag FLG is "1", since only the source IP address is registered in the determination table, there is a possibility that the terminal corresponding to the source IP address is illegally operated. Therefore, the analysis unit 54 determines that the attack via the network is an unauthorized operation of the transmission source. In this case, the display unit 56 displays, for example, as shown in the image 200 shown in FIG. 4A, that the cause of the abnormality is an illegal operation and its countermeasures (step S108).

一方、検知フラグFLGが「0」である場合、送信元および送信先のそれぞれのIPアドレスが判定テーブルに登録されていないので、不正な接続が発生した可能性がある。そのため、分析部54は、ネットワークを介した攻撃が不正接続であると判定する。この場合、表示部56は、例えば図4(b)に示す画像201のように、異常の要因が不正接続であることとその対策を表示する(ステップS109)。なお、分析部54がネットワークを介した攻撃内容を分析する際、図2(b)に示す判定テーブル101を用いると、不正なプロトコルによる接続を検知することができる。また、画像200および画像201は、表示部56だけでなくHMI20にも表示されてよい。 On the other hand, when the detection flag FLG is "0", the IP addresses of the source and the destination are not registered in the determination table, so that there is a possibility that an illegal connection has occurred. Therefore, the analysis unit 54 determines that the attack via the network is an unauthorized connection. In this case, the display unit 56 displays, for example, as shown in the image 201 shown in FIG. 4B, that the cause of the abnormality is an unauthorized connection and its countermeasures (step S109). When the analysis unit 54 analyzes the content of the attack via the network, the determination table 101 shown in FIG. 2B can be used to detect the connection by an invalid protocol. Further, the image 200 and the image 201 may be displayed not only on the display unit 56 but also on the HMI 20.

以上説明したヘッダ情報判定処理が完了すると、次に時刻情報判定処理が実行される。図5は、時刻情報判定処理のフローチャートである。図5に示すフローチャートでは、通信インターフェース部51がデータを受信した場合(ステップS201)、分析部54は、上述したヘッダ情報判定処理で取得部53から入力されたヘッダ情報および時刻情報に基づいて差分時間Δt1を算出する(ステップS202)。差分時間Δt1は、時刻情報に示された現在時刻と、判定テーブルに記録された前回のデータ取得時刻の差に相当する。すなわち、差分時間Δt1は、前回から今回までのデータの取得時刻の差分時間に相当する。 When the header information determination process described above is completed, the time information determination process is then executed. FIG. 5 is a flowchart of the time information determination process. In the flowchart shown in FIG. 5, when the communication interface unit 51 receives the data (step S201), the analysis unit 54 makes a difference based on the header information and the time information input from the acquisition unit 53 in the header information determination process described above. The time Δt1 is calculated (step S202). The difference time Δt1 corresponds to the difference between the current time shown in the time information and the previous data acquisition time recorded in the determination table. That is, the difference time Δt1 corresponds to the difference time of the data acquisition time from the previous time to the present time.

続いて、分析部54は、算出した差分時間Δt1が伝送周期の許容範囲内であるか否かを判定する(ステップS203)。許容範囲は、例えば、判定テーブルに記録された伝送周期の±10%に設定されている。差分時間Δt1が許容範囲内である場合、分析部54は、正常であると判定し、判定テーブルの前回取得時刻を今回の取得時刻に更新する(ステップS204)。 Subsequently, the analysis unit 54 determines whether or not the calculated difference time Δt1 is within the permissible range of the transmission cycle (step S203). The permissible range is set to, for example, ± 10% of the transmission cycle recorded in the determination table. When the difference time Δt1 is within the permissible range, the analysis unit 54 determines that it is normal, and updates the previous acquisition time of the determination table to the current acquisition time (step S204).

一方、差分時間Δt1が許容範囲外である場合、分析部54は、異常の要因を機器の故障に分類される伝送周期異常と判定する(ステップS205)。この場合、表示部56は、例えば図6(a)に示す画像202のように、異常の要因が伝送周期異常であることとその対策を表示する(ステップS206)。 On the other hand, when the difference time Δt1 is out of the permissible range, the analysis unit 54 determines that the cause of the abnormality is a transmission cycle abnormality classified as a device failure (step S205). In this case, the display unit 56 displays, for example, as shown in the image 202 shown in FIG. 6A, that the cause of the abnormality is a transmission cycle abnormality and its countermeasures (step S206).

ステップS201において、通信インターフェース部51がデータを受信していない場合、分析部54は、経過時間Δt2を算出する(ステップS207)。経過時間Δt2は、タイマ部52の時刻情報に示された現在時刻と判定テーブルに記録された前回のデータ取得時刻の差に相当する。すなわち、経過時間Δt2は、前回のデータ取得時刻からの経過時間に相当する。 In step S201, when the communication interface unit 51 has not received the data, the analysis unit 54 calculates the elapsed time Δt2 (step S207). The elapsed time Δt2 corresponds to the difference between the current time shown in the time information of the timer unit 52 and the previous data acquisition time recorded in the determination table. That is, the elapsed time Δt2 corresponds to the elapsed time from the previous data acquisition time.

続いて、分析部54は、算出した経過時間Δt2が周期に基づいて設定されたしきい値を超えているか否かを判定する(ステップS208)。しきい値は、例えば伝送周期の2倍に設定される。経過時間Δt2がしきい値を超えていない場合、分析部54は、正常であると判定する(ステップS209)。 Subsequently, the analysis unit 54 determines whether or not the calculated elapsed time Δt2 exceeds the threshold value set based on the period (step S208). The threshold value is set to, for example, twice the transmission cycle. If the elapsed time Δt2 does not exceed the threshold value, the analysis unit 54 determines that it is normal (step S209).

一方、経過時間Δt2がしきい値を超えた場合、分析部54は、異常の要因を機器の故障に分類される出力停止異常と判定する(ステップS210)。この場合、表示部56は、例えば図6(b)に示す画像203のように、異常の要因が出力停止異常であることとその対策を表示する(ステップS211)。なお、画像202および画像203も、表示部56だけでなくHMI20にも表示されてよい。 On the other hand, when the elapsed time Δt2 exceeds the threshold value, the analysis unit 54 determines that the cause of the abnormality is an output stop abnormality classified as a device failure (step S210). In this case, the display unit 56 displays that the cause of the abnormality is the output stop abnormality and the countermeasures thereof, as shown in the image 203 shown in FIG. 6B, for example (step S211). The images 202 and 203 may also be displayed not only on the display unit 56 but also on the HMI 20.

以上説明した本実施形態によれば、制御システム1内で異常が発生した場合、分析部54が、その異常の要因を、ネットワークを介した攻撃か、または機器の故障であるかを判別する。これにより、異常の要因が特定されるので、迅速に対処することが可能となる。 According to the present embodiment described above, when an abnormality occurs in the control system 1, the analysis unit 54 determines whether the cause of the abnormality is an attack via a network or a device failure. As a result, the cause of the abnormality is identified, and it is possible to deal with it promptly.

また、本実施形態では、異常の要因がネットワークを介した攻撃の場合、攻撃の内容が不正接続および不正操作に細分化されている。同様に、異常の要因が機器の故障である場合、故障の内容がデータ伝送の周期異常および出力停止異常に細分化されている。このように異常要因を細分化することによって、ユーザは異常の要因をより正確に把握して適切な処置を取ることが可能となる。なお、攻撃の細分化については、例えば、なりすまし、データ改ざん、否認、情報暴露、サービス不能、権限昇格などを追加してもよい。また、故障の細分化についても、動作の繰り返し等などを追加してもよい。 Further, in the present embodiment, when the cause of the abnormality is an attack via a network, the content of the attack is subdivided into unauthorized connection and unauthorized operation. Similarly, when the cause of the abnormality is a device failure, the details of the failure are subdivided into a data transmission cycle abnormality and an output stop abnormality. By subdividing the abnormal factors in this way, the user can more accurately grasp the abnormal factors and take appropriate measures. Regarding the subdivision of attacks, for example, spoofing, data falsification, denial, information disclosure, service inability, privilege promotion, etc. may be added. Further, with respect to the subdivision of the failure, the repetition of the operation and the like may be added.

(第2実施形態)
以下、第2実施形態について、第1実施形態と異なる点を中心に説明する。本実施形態に係る制御システムでは、異常要因判定装置50の構成が第1実施形態と異なる。図7は、第2実施形態に係る異常要因判定装置の構成を示すブロック図である。上述した第1実施形態と同様の構成要素には同じ符号を付し、詳細な説明を省略する。 (Second Embodiment)
Hereinafter, the second embodiment will be described focusing on the differences from the first embodiment. In the control system according to the present embodiment, the configuration of the abnormality factor determination device 50 is different from that of the first embodiment. FIG. 7 is a block diagram showing the configuration of the abnormality factor determination device according to the second embodiment. The same components as those in the first embodiment described above are designated by the same reference numerals, and detailed description thereof will be omitted.

図7に示すように、本実施形態に係る異常要因判定装置50は、モード切替部57を有する点で第1実施形態と異なる。なお、本実施形態においても、異常要因判定装置50は、ハードウェアで実現されてもよいし、ソフトウェアで実現されてもよい。また、表示部56は、異常要因判定装置50の構成要素に含まれていてもよいし、異常要因判定装置50に外付けされてもよい。 As shown in FIG. 7, the abnormality factor determination device 50 according to the present embodiment is different from the first embodiment in that it has a mode switching unit 57. In this embodiment as well, the abnormality factor determination device 50 may be realized by hardware or software. Further, the display unit 56 may be included in the components of the abnormality factor determination device 50, or may be externally attached to the abnormality factor determination device 50.

モード切替部57は、分析部54の動作モードを、異常の要因を判別する診断モードと、判定テーブルを作成する学習モードとの間で切り替える。モード切替部57は、予め設定された時間帯に応じて分析部54の動作モードを切り替えてもよいし、ユーザの操作を受け付けたときに切り替えてもよい。 The mode switching unit 57 switches the operation mode of the analysis unit 54 between the diagnostic mode for determining the cause of the abnormality and the learning mode for creating the determination table. The mode switching unit 57 may switch the operation mode of the analysis unit 54 according to a preset time zone, or may switch when the user's operation is accepted.

診断モードでは、分析部54は、第1実施形態で説明したヘッダ情報判定処理および時間情報判定処理を順次に実行する。次に、図8を参照して診断モードの動作内容について説明する。 In the diagnostic mode, the analysis unit 54 sequentially executes the header information determination process and the time information determination process described in the first embodiment. Next, the operation contents of the diagnostic mode will be described with reference to FIG.

図8は、診断モードのフローチャートである。図8に示すフローチャートでは、通信インターフェース部51がネットワークスイッチ40を介してデータを受信し(ステップS301)、取得部53が、受信データのヘッダ情報を取得する(ステップS302)。このとき、取得部53は、タイマ部52から時刻情報を取得して、ヘッダ情報とともに分析部54へ出力する。 FIG. 8 is a flowchart of the diagnostic mode. In the flowchart shown in FIG. 8, the communication interface unit 51 receives the data via the network switch 40 (step S301), and the acquisition unit 53 acquires the header information of the received data (step S302). At this time, the acquisition unit 53 acquires the time information from the timer unit 52 and outputs it to the analysis unit 54 together with the header information.

分析部54は、ヘッダ情報に示された送信元IPアドレスおよび送信先IPアドレスがが保存部55に保存された判定テーブルに既に登録されているか否かを判定する(ステップS303)。送信元IPアドレスおよび送信先IPアドレスが登録されている場合、分析部54は、データ伝送の周期を算出して判定テーブルに登録する(ステップS304)。ステップS304では、分析部54は、時刻情報に示された現在時刻と判定テーブルに記録された前回取得時刻との差分時間を周期として算出する。 The analysis unit 54 determines whether or not the source IP address and the destination IP address shown in the header information are already registered in the determination table stored in the storage unit 55 (step S303). When the source IP address and the destination IP address are registered, the analysis unit 54 calculates the data transmission cycle and registers it in the determination table (step S304). In step S304, the analysis unit 54 calculates the difference time between the current time shown in the time information and the previous acquisition time recorded in the determination table as a cycle.

一方、送信元IPアドレスおよび送信先IPアドレスが登録されていない場合、分析部54は、これらと時刻情報を判定テーブルに登録する(ステップS305)。この時刻情報に示された現在時刻は、データ取得時刻として判定テーブルに記録される。診断モードでは、データ受信のたびに、上述したステップS301〜ステップS305の動作が繰り返される。 On the other hand, when the source IP address and the destination IP address are not registered, the analysis unit 54 registers them and the time information in the determination table (step S305). The current time shown in this time information is recorded in the determination table as the data acquisition time. In the diagnostic mode, the operations of steps S301 to S305 described above are repeated each time data is received.

以上説明した本実施形態によれば、分析部54が診断モードである場合には第1実施形態と同様に、異常の要因が特定されるので、迅速に対処することが可能となる。さらに、学習モードでは、異常の要因を特定するための判定テーブルが自動的に作成される。よって、ユーザの負荷を軽減することが可能になる。 According to the present embodiment described above, when the analysis unit 54 is in the diagnostic mode, the cause of the abnormality is identified as in the first embodiment, so that it is possible to quickly deal with it. Further, in the learning mode, a determination table for identifying the cause of the abnormality is automatically created. Therefore, it is possible to reduce the load on the user.

(第3実施形態)
第3実施形態に係る制御システムの構成は、図1に示す第1実施形態に係る制御システム1と同様であるため、詳細な説明を省略する。以下、本実施形態に係る異常要因判定装置50による異常要因判定方法について説明する。 (Third Embodiment)
Since the configuration of the control system according to the third embodiment is the same as that of the control system 1 according to the first embodiment shown in FIG. 1, detailed description thereof will be omitted. Hereinafter, the abnormality factor determination method by the abnormality factor determination device 50 according to the present embodiment will be described.

図9は、第3実施形態に係る異常要因判定方法のフローチャートである。図9に示すフローチャートでは、まず、通信インターフェース部51がネットワークスイッチ40を介してデータを受信する(ステップS401)。 FIG. 9 is a flowchart of the abnormality factor determination method according to the third embodiment. In the flowchart shown in FIG. 9, first, the communication interface unit 51 receives data via the network switch 40 (step S401).

次に、取得部53が、受信データからヘッダ情報および補助情報を取得して分析部54へ出力する(ステップS402)。補助情報は、例えば、センサ12のセンシングデータ、制御装置10の状態を示す情報、および動作ログ等の少なくとも一つを含んでいる。本実施形態では、この補助情報は、ネットワークを伝送するデータに含まれている。 Next, the acquisition unit 53 acquires the header information and the auxiliary information from the received data and outputs the header information and the auxiliary information to the analysis unit 54 (step S402). The auxiliary information includes, for example, at least one of the sensing data of the sensor 12, the information indicating the state of the control device 10, the operation log, and the like. In this embodiment, this auxiliary information is included in the data transmitted through the network.

次に、分析部54が、ヘッダ情報および補助情報を分析し(ステップS403)、異常の有無を判定する(ステップS404)。ステップS404では、例えば、分析部54は、ヘッダ情報の送信元および送信先を保存部55の判定テーブルと照合した結果に応じて判定する。 Next, the analysis unit 54 analyzes the header information and the auxiliary information (step S403), and determines the presence or absence of an abnormality (step S404). In step S404, for example, the analysis unit 54 determines the source and destination of the header information according to the result of collating with the determination table of the storage unit 55.

異常が検知されなかった場合、分析部54は正常であると判定する(ステップS405)。反対に、異常が検知された場合、分析部54は、異常の要因を判定する(ステップS406)。ステップS406では、例えば、分析部54は、第1実施形態と同様にヘッダ情報に基づいて異常の要因をネットワークを介した攻撃と判定する。または、分析部54は、補助情報に示されたセンシングデータに基づいて異常の要因を機器の故障と判定する。このようにして判定された結果は、表示部56とHMI20の少なくとも一方に表示される(ステップS407)。 If no abnormality is detected, the analysis unit 54 determines that it is normal (step S405). On the contrary, when the abnormality is detected, the analysis unit 54 determines the cause of the abnormality (step S406). In step S406, for example, the analysis unit 54 determines that the cause of the abnormality is an attack via the network based on the header information as in the first embodiment. Alternatively, the analysis unit 54 determines that the cause of the abnormality is a device failure based on the sensing data shown in the auxiliary information. The result determined in this way is displayed on at least one of the display unit 56 and the HMI 20 (step S407).

以上説明した本実施形態によれば、分析部54によって異常の要因が特定されるので、迅速に対処することが可能となる。さらに、本実施形態では、分析部54は、ヘッダ情報だけでなく異常要因の判定を補助する補助情報も利用している。そのため、より高精度に異常の要因を判定することが可能となる。 According to the present embodiment described above, since the cause of the abnormality is identified by the analysis unit 54, it is possible to quickly deal with it. Further, in the present embodiment, the analysis unit 54 uses not only the header information but also the auxiliary information that assists in the determination of the abnormal factor. Therefore, it is possible to determine the cause of the abnormality with higher accuracy.

(第4実施形態)
第4実施形態は、上述した補助情報が伝送情報ではなく各制御装置10内に存在する点で第3実施形態と異なる。この補助情報は、例えば、制御装置10の自己診断機能の診断結果、制御装置10の状態情報、および制御装置10の動作ログの少なくとも一つを含んでいる。 (Fourth Embodiment)
The fourth embodiment is different from the third embodiment in that the above-mentioned auxiliary information exists in each control device 10 instead of the transmission information. This auxiliary information includes, for example, at least one of the diagnosis result of the self-diagnosis function of the control device 10, the state information of the control device 10, and the operation log of the control device 10.

制御装置10の自己診断機能は、起動時や稼働中の定期的なタイミングで実施され、自己の機能が正しく動作しているかを診断する機能である。この診断結果を補助情報として利用することによって、ネットワークデータに含まれる情報だけでは分からない異常を検知することができる。また、制御装置の状態情報には、例えば、制御装置のON状態またはOFF状態、正常または異常、動作中または停止中などを示す情報が該当する。 The self-diagnosis function of the control device 10 is a function that is performed at a periodic timing during startup or operation to diagnose whether or not the self-diagnosis function is operating correctly. By using this diagnosis result as auxiliary information, it is possible to detect an abnormality that cannot be understood only from the information contained in the network data. Further, the state information of the control device corresponds to, for example, information indicating an ON state or an OFF state of the control device, normal or abnormal, operating or stopped, and the like.

以下、本実施形態に係る異常要因判定装置50による異常要因判定方法について説明する。図10は、第4実施形態に係る異常要因判定方法のフローチャートである。図10に示すフローチャートでは、まず、通信インターフェース部51がネットワークスイッチ40を介してデータを受信する(ステップS501)。 Hereinafter, the abnormality factor determination method by the abnormality factor determination device 50 according to the present embodiment will be described. FIG. 10 is a flowchart of the abnormality factor determination method according to the fourth embodiment. In the flowchart shown in FIG. 10, first, the communication interface unit 51 receives data via the network switch 40 (step S501).

次に、取得部53が、受信データからヘッダ情報を取得して分析部54へ出力する(ステップS502)。続いて、分析部54は、ヘッダ情報を分析し(ステップS503)、異常の有無を判定する(ステップS504)。 Next, the acquisition unit 53 acquires header information from the received data and outputs it to the analysis unit 54 (step S502). Subsequently, the analysis unit 54 analyzes the header information (step S503) and determines the presence or absence of an abnormality (step S504).

異常が検知されなかった場合、分析部54は正常であると判定する(ステップS505)。反対に、異常が検知された場合、分析部54は、異常の要因を分析し(ステップS506)、異常要因を特定できたか否かを判定する(ステップS507)。ステップS507では、例えば、ヘッダ情報と保存部55に保存された要因リストとの照合結果によって、両者の一致度が基準値以上であれば、異常要因を特定することができる。異常要因が特定されると、異常の内容とその対策が、表示部56とHMI20の少なくとも一方に表示される(ステップS508)。 If no abnormality is detected, the analysis unit 54 determines that it is normal (step S505). On the contrary, when the abnormality is detected, the analysis unit 54 analyzes the cause of the abnormality (step S506) and determines whether or not the abnormality factor can be identified (step S507). In step S507, for example, if the degree of agreement between the header information and the factor list stored in the storage unit 55 is equal to or greater than the reference value, the abnormal factor can be identified. When the cause of the abnormality is identified, the content of the abnormality and its countermeasure are displayed on at least one of the display unit 56 and the HMI 20 (step S508).

ステップS507において、例えば、情報不足等により要因が特定できなかった場合、分析部54は、制御装置10に対して補助情報を要求する(ステップS509)。その後、分析部54は、制御装置10から取得した補助情報と、先に取得したヘッダ情報とを用いて再度異常要因を分析する。このとき、分析部54は、異常要因を特定できるまで制御装置10から1つずつ補助情報を取得しながら異常要因を分析する処理を繰り返してもよい。また、分析部54は、制御装置10から一斉に補助情報を取得して一度の処理で異常要因を分析してもよい。 In step S507, for example, when the cause cannot be identified due to lack of information or the like, the analysis unit 54 requests auxiliary information from the control device 10 (step S509). After that, the analysis unit 54 analyzes the abnormality factor again using the auxiliary information acquired from the control device 10 and the header information acquired earlier. At this time, the analysis unit 54 may repeat the process of analyzing the abnormal factor while acquiring auxiliary information one by one from the control device 10 until the abnormal factor can be identified. Further, the analysis unit 54 may acquire auxiliary information from the control device 10 all at once and analyze the abnormal factor in one process.

以上説明した本実施形態によれば、第3実施形態と同様に、補助情報を利用することによって、より高精度に異常の要因を判定することが可能となる。さらに本実施形態では、補助情報は必要に応じて取得されるので、装置の処理負荷を軽減することが可能となる。 According to the present embodiment described above, it is possible to determine the cause of the abnormality with higher accuracy by using the auxiliary information as in the third embodiment. Further, in the present embodiment, since the auxiliary information is acquired as needed, it is possible to reduce the processing load of the apparatus.

なお、本実施形態に係る異常要因判定装置50は、異常要因を特定できない場合に制御装置10から補助情報を取得しているが、補助情報の取得形態はこれに限定されない。例えば、異常要因判定装置50は、定期的に制御装置10から補助情報を取得してもよい。この場合も、高精度に異常の要因を判定することが可能となる。 The abnormality factor determination device 50 according to the present embodiment acquires auxiliary information from the control device 10 when the abnormality factor cannot be specified, but the acquisition form of the auxiliary information is not limited to this. For example, the abnormality factor determination device 50 may periodically acquire auxiliary information from the control device 10. In this case as well, it is possible to determine the cause of the abnormality with high accuracy.

(変形例)
図11は、変形例に係る制御システムの構成を示すブロック図である。図11に示す制御システム1aでは、各制御装置10内に異常要因判定装置50aが設けられている。各異常要因判定装置50aは、上述した第1実施形態〜第4実施形態の異常要因判定装置50のいずれかを適用できる。 (Modification example)
FIG. 11 is a block diagram showing a configuration of a control system according to a modified example. In the control system 1a shown in FIG. 11, an abnormality factor determination device 50a is provided in each control device 10. Any of the above-described abnormality factor determination devices 50 of the first embodiment to the fourth embodiment can be applied to each abnormality factor determination device 50a.

異常要因判定装置50aは、ネットワークスイッチ14を介して制御装置10内のネットワークに接続されている。異常要因判定装置50aは、制御装置10内で発生した異常要因を、ネットワークを介した攻撃か、または制御対象の機器の故障であるかを判別する。各異常要因判定装置50aで判別された異常要因は、ネットワークスイッチ40を介して異常要因判定装置50bに送信される。異常要因判定装置50bは、これらの異常要因に基づいてシステム全体の異常要因を特定する。なお、異常要因判定装置50aと異常要因判定装置50bとの通信は、無線で直接的に行ってもよい。 The abnormality factor determination device 50a is connected to the network in the control device 10 via the network switch 14. The abnormality factor determination device 50a determines whether the abnormality factor generated in the control device 10 is an attack via a network or a failure of a device to be controlled. The abnormality factor determined by each abnormality factor determination device 50a is transmitted to the abnormality factor determination device 50b via the network switch 40. The abnormality factor determination device 50b identifies the abnormality factor of the entire system based on these abnormality factors. The communication between the abnormality factor determination device 50a and the abnormality factor determination device 50b may be directly performed wirelessly.

以上説明した本変形例によれば、第1実施形態〜第4実施形態で説明した異常要因判定装置50の処理機能を異常要因判定装置50aと異常要因判定装置50bとに分担させている。このような処理形式であっても異常の要因を判別できるので、迅速に対処することができる。 According to the present modification described above, the processing function of the abnormality factor determination device 50 described in the first to fourth embodiments is shared between the abnormality factor determination device 50a and the abnormality factor determination device 50b. Even with such a processing format, the cause of the abnormality can be determined, so that it can be dealt with promptly.

なお、上述した実施形態および変形例では、異常が検知された場合にその異常の要因を「攻撃」または「故障」に判別しているが、異常検知処理と要因判別処理を同時に実施してもよい。この場合、例えば、正常と各異常の要因を識別するようなクラスタ分析を行うことによって、異常の要因を一つまたは少数に絞り込むことができる。 In the above-described embodiment and modification, when an abnormality is detected, the cause of the abnormality is determined as "attack" or "failure", but even if the abnormality detection process and the factor determination process are performed at the same time. good. In this case, for example, by performing a cluster analysis that distinguishes between normal and the cause of each abnormality, the cause of the abnormality can be narrowed down to one or a small number.

以上、いくつかの実施形態および変形例を説明したが、これらの実施形態は、例としてのみ提示したものであり、発明の範囲を限定することを意図したものではない。本明細書で説明した新規なシステムは、その他の様々な形態で実施することができる。また、本明細書で説明したシステムの形態に対し、発明の要旨を逸脱しない範囲内で、種々の省略、置換、変更を行うことができる。添付の特許請求の範囲およびこれに均等な範囲は、発明の範囲や要ことに含まれるこのような形態や変形例を含むように意図されている。 Although some embodiments and modifications have been described above, these embodiments are presented only as examples and are not intended to limit the scope of the invention. The novel system described herein can be implemented in a variety of other forms. In addition, various omissions, substitutions, and changes can be made to the form of the system described in the present specification without departing from the gist of the invention. The appended claims and their equivalent scope are intended to include such forms and variations that are included in the scope and gist of the invention.

10 制御装置、40 ネットワークスイッチ、50 異常要因判定装置、53 取得部、54 分析部、55 保存部、56 表示部 10 Control device, 40 Network switch, 50 Abnormal factor judgment device, 53 Acquisition unit, 54 Analysis unit, 55 Storage unit, 56 Display unit

Claims (9)

ネットワークを介したデータ通信により機器を制御する制御装置を含む制御システム内に設けられた異常要因判定装置であって、
前記データ通信で用いられるデータに含まれる情報を取得する取得部と、
前記情報を分析し、その分析結果に基づいて前記制御システムで発生した異常の要因を、前記ネットワークを介した攻撃か、または前記機器の故障であるかを判別する分析部と、
前記分析部の判別結果を表示する表示部と、
前記データ通信を予め許可された送信元と送信先の組み合わせを登録した判定テーブルを保存する保存部と、を備え、
前記情報は、前記データの送信元および送信先を示すヘッダ情報であり、
前記分析部は、前記ヘッダ情報に示された前記送信元および前記送信先の組み合わせが前記判定テーブルに登録されているか否か判定し、前記組み合わせが前記判定テーブルに登録されていない場合には前記ヘッダ情報の前記送信元のみが前記判定テーブルの前記送信元と一致するか否か判定し、前記ヘッダ情報の前記送信元のみが前記判定テーブルの前記送信元と一致する場合には前記攻撃を前記送信元の不正操作であると判定し、そうでない場合には、前記攻撃を不正接続であると判定する、異常要因判定装置。 An abnormality factor determination device installed in a control system including a control device that controls devices by data communication via a network.
An acquisition unit that acquires information contained in the data used in the data communication, and an acquisition unit.
An analysis unit that analyzes the information and determines whether the cause of the abnormality generated in the control system is an attack via the network or a failure of the device based on the analysis result.
A display unit that displays the determination result of the analysis unit and
It is provided with a storage unit for storing a determination table in which a combination of a source and a destination for which data communication is permitted in advance is registered.
The information is header information indicating a source and a destination of the data, and is
The analysis unit determines whether or not the combination of the source and the destination shown in the header information is registered in the determination table, and if the combination is not registered in the determination table, the analysis unit determines. It is determined whether or not only the source of the header information matches the source of the determination table, and if only the source of the header information matches the source of the determination table, the attack is performed. An abnormality factor determining device that determines that the source is an unauthorized operation, and if not, determines that the attack is an unauthorized connection. 前記判定テーブルは、前記組み合わせ毎に予め設定された前記データの伝送周期を示し、
前記分析部は、前回から今回までの前記データの取得時刻の差分時間が前記伝送周期の許容範囲外である場合、前記異常の要因を前記故障と判定する、請求項1に記載の異常要因判定装置。 The determination table shows the data transmission cycle preset for each combination.
The abnormality factor determination according to claim 1, wherein the analysis unit determines that the cause of the abnormality is the failure when the difference time between the acquisition times of the data from the previous time to the present time is outside the permissible range of the transmission cycle. Device. 前記分析部は、前回の前記データの取得時刻からの経過時間が前記伝送周期に基づいて設定されたしきい値を超えた場合も、前記異常の要因を前記故障と判定する、請求項に記載の異常要因判定装置。 The analyzer is also the elapsed time from the acquisition time of the last of said data exceeds a preset threshold based on the transmission period, determining the cause of the abnormality the malfunction, to claim 2 The above-mentioned abnormality factor determination device. 前記分析部の動作モードを、前記異常の要因を判別する診断モードと、前記判定テーブルを作成する学習モードとの間で切り替え可能なモード切替部を備える、請求項からのいずれかに記載の異常要因判定装置。 The operation mode according to any one of claims 1 to 3 , further comprising a mode switching unit capable of switching the operation mode of the analysis unit between a diagnostic mode for determining the cause of the abnormality and a learning mode for creating the determination table. Abnormal factor determination device. 前記分析部は、前記情報と、前記異常の要因の判別を補助する補助情報とを用いて前記異常の要因を判別する、請求項1に記載の異常要因判定装置。 The abnormality factor determination device according to claim 1, wherein the analysis unit determines the cause of the abnormality by using the information and auxiliary information that assists in the determination of the cause of the abnormality. 前記補助情報は、前記データまたは前記制御装置内に存在する、請求項に記載の異常要因判定装置。 The abnormality factor determination device according to claim 5 , wherein the auxiliary information is present in the data or the control device. 前記補助情報は、前記制御装置が正常または異常であるかを自己診断した結果、前記制御装置の状態情報、および前記制御装置の動作ログの少なくとも一つを含む、請求項またはに記載の異常要因判定装置。 The auxiliary information according to claim 5 or 6 , which includes at least one of the state information of the control device and the operation log of the control device as a result of self-diagnosis of whether the control device is normal or abnormal. Abnormal factor determination device. ネットワークを介したデータ通信により機器を制御する制御装置と、前記制御装置を前記ネットワークに接続するネットワークスイッチと、前記ネットワークスイッチに接続された異常要因判定装置と、を備える制御システムであって、
前記異常要因判定装置は、
前記データ通信で用いられるデータに含まれる情報を取得する取得部と、
前記情報を分析し、その分析結果に基づいて前記制御システムで発生した異常の要因を、前記ネットワークを介した攻撃か、または前記機器の故障であるかを判別する分析部と、
前記分析部の判別結果を表示する表示部と、
前記データ通信を予め許可された送信元と送信先の組み合わせを登録した判定テーブルを保存する保存部と、を備え、
前記情報は、前記データの送信元および送信先を示すヘッダ情報であり、
前記分析部は、前記ヘッダ情報に示された前記送信元および前記送信先の組み合わせが前記判定テーブルに登録されているか否か判定し、前記組み合わせが前記判定テーブルに登録されていない場合には前記ヘッダ情報の前記送信元のみが前記判定テーブルの前記送信元と一致するか否か判定し、前記ヘッダ情報の前記送信元のみが前記判定テーブルの前記送信元と一致する場合には前記攻撃を前記送信元の不正操作であると判定し、そうでない場合には、前記攻撃を不正接続であると判定する、制御システム。 A control system including a control device that controls a device by data communication via a network, a network switch that connects the control device to the network, and an abnormality factor determination device that is connected to the network switch.
The abnormality factor determination device is
An acquisition unit that acquires information contained in the data used in the data communication, and an acquisition unit.
An analysis unit that analyzes the information and determines whether the cause of the abnormality generated in the control system is an attack via the network or a failure of the device based on the analysis result.
A display unit that displays the determination result of the analysis unit and
It is provided with a storage unit for storing a determination table in which a combination of a source and a destination for which data communication is permitted in advance is registered.
The information is header information indicating a source and a destination of the data, and is
The analysis unit determines whether or not the combination of the source and the destination shown in the header information is registered in the determination table, and if the combination is not registered in the determination table, the analysis unit determines. It is determined whether or not only the source of the header information matches the source of the determination table, and if only the source of the header information matches the source of the determination table, the attack is performed. A control system that determines that the source is an unauthorized operation, and if not, that the attack is an unauthorized connection. ネットワークを介したデータ通信により機器を制御する制御装置を含む制御システムの異常要因判定方法であって、
前記データ通信を予め許可された送信元と送信先の組み合わせを登録した判定テーブルを保存する保存ステップと、
前記データ通信で用いられるデータに含まれる情報を取得する取得ステップと
前記情報を分析する分析ステップと
分析結果に基づいて前記制御システムで発生した異常の要因を、前記ネットワークを介した攻撃か、または前記機器の故障であるかを判別するする判別ステップと
前記判別ステップの結果を表示する表示ステップと、を備え、
前記分析ステップにおいて、ヘッダ情報に示された送信元および送信先の組み合わせが前記判定テーブルに登録されているか否か判定し、前記組み合わせが前記判定テーブルに登録されていない場合には前記ヘッダ情報の前記送信元のみが前記判定テーブルの前記送信元と一致するか否か判定し、
前記判別ステップにおいて、前記ヘッダ情報の前記送信元のみが前記判定テーブルの前記送信元と一致する場合には前記攻撃を前記送信元の不正操作であると判定し、そうでない場合には、前記攻撃を不正接続であると判定する、異常要因判定方法。 It is a method for determining the cause of an abnormality in a control system including a control device that controls a device by data communication via a network.
A save step for saving a judgment table in which a combination of a source and a destination for which data communication is permitted in advance is registered, and a save step.
An acquisition step for acquiring information contained in the data used in the data communication, and
Analysis steps to analyze the information and
Based on the analysis result, a determination step for determining whether the cause of the abnormality generated in the control system is an attack via the network or a failure of the device, and a determination step .
A display step for displaying the result of the determination step is provided.
In the analysis step, it is determined whether or not the combination of the source and the destination shown in the header information is registered in the determination table, and if the combination is not registered in the determination table, the header information It is determined whether or not only the source matches the source in the determination table.
In the determination step, if only the source of the header information matches the source of the determination table, the attack is determined to be an unauthorized operation of the source, otherwise the attack is determined. Anomalous factor determination method that determines that the connection is unauthorized.
JP2018010012A 2018-01-24 2018-01-24 Abnormal factor determination device, control system, and abnormal factor determination method Active JP6937251B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018010012A JP6937251B2 (en) 2018-01-24 2018-01-24 Abnormal factor determination device, control system, and abnormal factor determination method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018010012A JP6937251B2 (en) 2018-01-24 2018-01-24 Abnormal factor determination device, control system, and abnormal factor determination method

Publications (2)

Publication Number Publication Date
JP2019129412A JP2019129412A (en) 2019-08-01
JP6937251B2 true JP6937251B2 (en) 2021-09-22

Family

ID=67472392

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018010012A Active JP6937251B2 (en) 2018-01-24 2018-01-24 Abnormal factor determination device, control system, and abnormal factor determination method

Country Status (1)

Country Link
JP (1) JP6937251B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117686682B (en) * 2024-02-04 2024-04-16 新奥新能源工程技术有限公司 Indoor gas fault monitoring method and system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2016170664A1 (en) * 2015-04-24 2017-12-28 株式会社日立製作所 Abnormal packet filtering apparatus and abnormal packet filtering method
JP2017191958A (en) * 2016-04-11 2017-10-19 株式会社日立製作所 Redundancy management system, redundancy switching method, and redundancy switching program
JP2017192105A (en) * 2016-04-15 2017-10-19 株式会社東芝 Redundancy processing unit, and abnormality determination method
JP2017216569A (en) * 2016-05-31 2017-12-07 株式会社日立製作所 Communication device, control system, and communication control method
JP6711710B2 (en) * 2016-07-07 2020-06-17 エヌ・ティ・ティ・コミュニケーションズ株式会社 Monitoring device, monitoring method, and monitoring program

Also Published As

Publication number Publication date
JP2019129412A (en) 2019-08-01

Similar Documents

Publication Publication Date Title
US8584237B2 (en) Improper communication detection system
US20160212162A1 (en) Intrusion detection mechanism
CN103954011B (en) The indoor unit and outdoor unit matching process and device and air-conditioner set of air-conditioner set
JP6711710B2 (en) Monitoring device, monitoring method, and monitoring program
JP6937251B2 (en) Abnormal factor determination device, control system, and abnormal factor determination method
JP6711452B2 (en) Extraction device, extraction method, and program
JP2019050477A (en) Incident analysis device and analysis method thereof
WO2018193571A1 (en) Device management system, model learning method, and model learning program
WO2020166329A1 (en) Control system
JP2016197309A (en) Relay and program
JP4998580B2 (en) Communication diagnostic device and communication diagnostic method
JP2023068023A (en) controller system
JP7102315B2 (en) Abnormal factor determination device, control system, and abnormal factor determination method
JP2020053928A (en) Unauthorized access monitoring device and method
JP2016091179A (en) Central monitoring control system, server device, method for creating detection information, and detection information creation program
US11226611B2 (en) Control device, control method, and control program
EP3940476A1 (en) Controller system
KR101999781B1 (en) Monitoring apparatus and method for monitoring device without supporting Internet of Thing
JP7167714B2 (en) Abnormality determination device, abnormality determination method, and abnormality determination program
JP7010268B2 (en) Communication monitoring system and communication monitoring method
JP2019004284A (en) Abnormality detection device and abnormality detection method
JP7034885B2 (en) Abnormal factor determination device and its display device
JP2019205125A (en) Abnormal factor determination device, control system, and abnormal factor determination method
JP7414704B2 (en) Abnormality detection device, abnormality detection method, and program
US20230216873A1 (en) Detection system, detection method, and recording medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200302

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210319

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210513

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210803

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210830

R150 Certificate of patent or registration of utility model

Ref document number: 6937251

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150