JP7034885B2 - 異常要因判定装置およびその表示装置 - Google Patents

異常要因判定装置およびその表示装置 Download PDF

Info

Publication number
JP7034885B2
JP7034885B2 JP2018198217A JP2018198217A JP7034885B2 JP 7034885 B2 JP7034885 B2 JP 7034885B2 JP 2018198217 A JP2018198217 A JP 2018198217A JP 2018198217 A JP2018198217 A JP 2018198217A JP 7034885 B2 JP7034885 B2 JP 7034885B2
Authority
JP
Japan
Prior art keywords
determination
primary
data
judgment
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018198217A
Other languages
English (en)
Other versions
JP2020068401A (ja
Inventor
俊樹 森
俊也 丸地
智 天木
博司 中谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Energy Systems and Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Energy Systems and Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Energy Systems and Solutions Corp filed Critical Toshiba Corp
Priority to JP2018198217A priority Critical patent/JP7034885B2/ja
Publication of JP2020068401A publication Critical patent/JP2020068401A/ja
Application granted granted Critical
Publication of JP7034885B2 publication Critical patent/JP7034885B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明の実施形態は、異常要因判定装置およびその表示装置に関する。
プラントやFA(Factory Automation)等に設置された機器を制御する制御システムでは、近年、ネットワーク化が進んでいる。このような制御システムでは、ネットワークのセキュリティ対策が重要になる。そこで、制御システム内におけるネットワークの異常を検知するIDS(Intrusion Detection System)と呼ばれる装置が知られている。また、制御システムで起こり得る異常には例えばネットワークを介した攻撃と、機器の故障とがあり、これら異常の種類によってそれぞれ異なる対応が必要である。
従来、制御システムで検出された異常が、機器の故障に起因するか、またはネットワークを介した攻撃に起因するかを判定する異常要因判定装置が知られている。
特開2017-192105号公報
しかしながら、近年では機器の故障と見せかけた攻撃や、攻撃と似た振る舞いをする機器の故障など、異常の種類が多様化している。従来の異常要因判例装置がこれら異常の要因を判例する場合、一般的な攻撃や故障と比べて異常の要因の判定までに長い時間を要する。この判定に長い時間を要すると、異常に対して迅速に対応できなくなる可能性がある。
そこで本発明が解決しようとする課題は、異常要因の判定前に異常への対応を準備できる異常要因判定装置およびその表示装置を提供することである。
上記の課題を解決するために、実施形態の表示装置によれば、ネットワークを介したデータ通信により機器を制御する制御システム内の異常要因判定装置の表示装置において、各データの一次判定の結果を集計する集計部と、表示部と、を備え、この異常要因判定装置による異常要因の判定には一次判定と二次判定とがあり、前記一次判定では、前記判定の途中経過として前記データ通信により受信した複数のデータが前記ネットワークを介して攻撃を受けていることを示す攻撃判定条件または前記機器の故障を示す故障判定条件のどちらに該当するかをデータ毎に判定し、前記二次判定では、前記集計に基づき、前記攻撃判定条件または前記故障判定条件のうちより多くのデータが一次判定された一方を前記異常要因として判定し、前記表示部は、前記異常要因判定装置が前記一次判定中の場合には、前記攻撃判定条件または前記故障判定条件のどちらにより多くのデータが一次判定されたかを前記集計に基づいて表示し、前記異常要因判定装置が前記二次判定を完了した場合には前記二次判定の結果を表示する。
本発明の実施形態によれば、異常要因の判定前に、異常への対応を準備することができる。
実施形態に係る制御システムの構成を示すブロック図である。 実施形態に係る異常要因判定装置および表示装置の構成を示すブロック図である。 実施形態に係る異常要因判定装置による異常要因の判定処理を示すフローチャートである。 実施形態に係る表示装置の表示部から表示される集計結果の一例である。 実施形態に係る表示装置の表示部から表示される集計結果の他の一例である。
図1は、第1実施形態に係る制御システムの構成を示すブロック図である。図1に示す制御システム1は、制御装置10と、HMI(Human Machine Interface)20と、ツール30と、ネットワークスイッチ40と、異常要因判定装置50と、表示装置60とを備える。
制御装置10は、ネットワークを介したデータ通信により、プラントやFA等に設置された機器を制御する。この制御装置10は、コントローラと、センサと、アクチュエータと、を備えている(すべて図示省略)。コントローラ(図示省略)は、例えばPLC(Programmable Logic Controller)で構成されている。センサ(図示省略)は、制御対象機器の状態や環境等をセンシングする。アクチュエータ(図示省略)は、コントローラの制御に基づいて動作する。本実施形態では、一つの制御装置10が制御システム1内に設けられているが、複数の制御装置10が設けられていてもよい。さらに、制御装置10の構成も、上記機器を制御する構成であればよく、図1に示す構成に限定されない。
HMI20は、ネットワークスイッチ40を介して制御装置10の状態を監視する。
ツール30は、ネットワークスイッチ40を介して制御装置10の制御プログラムを変更するエンジニアリングツールである。
ネットワークスイッチ40は、制御装置10をネットワークに接続する。本実施形態では、このネットワークは、Ethernet(登録商標)であるが、他の規格のネットワークであってもよい。また、ネットワークスイッチ40はミラーポートを有し、このミラーポートに異常要因判定装置50が接続される。これにより、異常要因判定装置50は、ネットワークスイッチ40を介して、制御システム1内を伝送するパケット形式の全てのデータを取得できる。
次に、図1に示す異常要因判定装置50について、図2を用いて詳細に説明する。図2は、実施形態に係る異常要因判定装置および表示装置の構成を示すブロック図である。異常要因判定装置50は、通信インターフェース部51と、タイマ部52と、取得部53と、分析部54と、一次判定条件保存部55と、一次判定結果記憶部56と、を備える。異常要因判定装置50を構成するこれらの構成要素は、ハードウェアで実現されてもよいし、ソフトウェアで実現されてもよい。
通信インターフェース部51は、ネットワークスイッチ40を介してデータを入出力する。タイマ部52は現在時刻を取得する。
取得部53は、通信インターフェース部51で受信した制御装置10からのデータ情報を取得する。また、取得部53は、タイマ部52から取得した時刻情報をヘッダ情報に付与して分析部54へ出力する。
分析部54は、取得部53から入力されたデータ情報を一次判定条件と比較して、データ情報が一次判定条件に該当するかを一次判定し、その一次判定結果に基づいて異常の要因を判定する。一次判定条件保存部55は、分析部54によるデータ情報の一次判定条件を保存する。一次判定結果保存部56は、分析部54による判定の途中経過であるデータ情報の一次判定結果を保存する。本実施形態においては、一次判定条件保存部55と一次判定結果保存部56とが共に異常要因判定装置50に設けられている場合を例示して説明するが、例えばこれら保存部の少なくとも一方が外付けされてもよい。
ここでいう「一次判定」とは、分析部54が異常の要因を判定する途中経過として、各データ情報を一次判定条件と比較して、各データ情報を最も近い一次判定条件に振り分けることをいう。また「一次判定条件」とは、各データ情報を一次判定するためにあらかじめ設定された条件のことをいう。さらに「一次判定結果」とは、この一次判定条件との比較によりデータ情報が一次判定された結果をいう。一方、分析部54が異常の要因を最終的に判定することを、「二次判定」という。
例えば、1秒間のパケット数の変化量が所定値よりも大きいことを攻撃と一次判定するための一次判定条件(攻撃判定条件)として一次判定条件保存部55に保存した場合に、分析部54は、取得部53から入力された情報と、一次判定条件保存部55に保存された一次判定条件とを比較する。この比較の結果、データ情報の1秒間のパケット数の変化量が所定値よりも大きいならば、分析部54は、データ情報が攻撃判定条件を満たすと一次判定する。
また、例えば2秒以上所定の制御装置10からのデータの受信がないことを故障と一次判定するための一次判定条件(故障判定条件)として一次判定条件保存部55に保存した場合に、分析部54は、取得部53から入力された情報と、一次判定条件保存部55に保存された一次判定条件とを比較する。この比較の結果、2秒以上所定の制御装置10からのデータ情報の受信がないならば、分析部54は、データ情報が故障判定条件を満たすと一次判定する。
本実施形態における攻撃判定条件および故障判定条件は、上述した場合に限定されることはなく、そのデータ情報や、想定される攻撃および故障の種類等に応じて適宜設定される。
表示装置60は、分析部54による一次判定結果および二次判定結果の少なくとも一方を表示する装置である。表示装置60は、集計部61と、表示部62とを備える。
集計部61は、一次判定結果保存部56に保存された一次判定結果を一次判定結果保存部56から受信し、これら一次判定結果が攻撃判定条件と故障判定条件どちらにより多くの情報が該当するかを集計する。
表示部62は、集計部61による集計の結果および分析部54による異常の要因の判定結果を表示するモニタである。表示部62による表示の詳細については後述する。
次に、異常要因判定装置50による異常判定方法と、表示装置60の表示部62による表示方法について図3を用いて詳細に説明する。図3は、実施形態に係る異常要因判定装置による異常要因の判定処理を示すフローチャートである。
通信インターフェース部51がネットワークスイッチ40を介して制御装置10からのデータ情報を受信する(ステップS01)。続いて、取得部53が、通信インターフェース部51で受信されたデータ情報を受信する(ステップS02)。このとき、取得部53は、タイマ部52から時刻情報を受信して、通信インターフェース部51からのデータ情報と共に分析部54へ出力する。
分析部54は、取得部53からデータ情報と、一次判定条件保存部55に保存された一次判定条件とを受信して、このデータ情報を一次判定する(ステップS03)。すなわち、取得部53から受信したデータ情報と、一次判定条件保存部55に保存された一次判定条件(攻撃判定条件と故障判定条件)とを比較して、このデータ情報が攻撃判定条件に当てはまる場合には攻撃判定条件に該当し、故障判定条件に当てはまる場合には故障判定条件に該当する、と一次判定する。また、データ情報が一次判定条件保存部55に保存される一次判定条件のいずれに該当しない場合には、このデータ情報は正常であると一次判定する。
分析部54によるこの一次判定結果は、一次判定結果保存部56に送信される。一次判定結果保存部56では、この一次判定結果とデータの時刻情報とを紐付けて保存する(ステップS04)。以上のステップS01からS04は、通信インターフェース部51が新たなデータを受信する毎に実行される。
一方、分析部54は、データ情報の一次判定(ステップS01からS04)を所定の回数行い、それらの一次判定結果に基づいて異常の要因を二次判定する(ステップS05)。ここでいう二次判定とは、前述した通り、分析部54による異常要因の最終判定のことを示す。
分析部54が異常要因を判定中(ステップS05を実行中、つまりは二次判定の途中)の場合、表示装置60の集計部61は、一次判定結果保存部56からデータ情報毎の一次判定結果を受信して、これらの一次判定結果を集計する(ステップS16)。図4に示すように、表示部62は、集計部61による集計結果を受信して、攻撃と異常どちらの一次判定条件に、より多くのデータ情報が一次判定されているかを表示する(ステップS17)。ステップS16およびS17は、一次判定結果保存部56に新たなデータ情報の一次判定結果が記憶される毎に(つまり、ステップS04が行われる毎に)実行される。
一方、分析部54が異常要因を判定した(ステップS05が完了した)場合、表示部62は分析部54から判定結果を受信し、この判定結果を表示する(ステップS27)。
すなわち、表示装置60は、分析部54による異常要因の判定結果を表示部62で表示するだけでなく、分析部54が異常要因を二次判定中の場合は、二次判定の途中経過である一次判定の結果を表示部62で表示する。
上述した実施形態によれば、一次判定結果保存部56が分析部54による異常要因の判定の途中経過である一次判定結果を記憶し、異常要因の判定中であってもこれら一次判定結果を集計部61で集計して表示部62から表示できるようにする。これにより、分析部54が異常要因を判定する途中経過を把握できるため、判定結果が得られる前にどのような要因で異常が発生しているかを予測し、その対応の準備を行うことができる。
なお、本実施形態においては、表示部62が図4に示すような方法で集計結果を表示する場合を例示して説明したが、この表示形式は図4の場合に限定されず、例えば図5に示すように、表示部62が攻撃判定条件と異常判定条件に一次判定されたデータ情報それぞれのデータ個数(それぞれの一次判定条件に一次判定した回数)を表示してもよい。また、図4および図5では、一次判定条件に該当するデータ情報の個数だけを表示しているが、一次判定条件に該当するデータ情報の個数と共に、一次判定条件に該当しない(正常であると一次判定した)データ情報の個数を表示してもよい。
また、本実施形態においては、表示部62がモニタである場合を例示して説明したが、この表示部62は、少なくとも途中経過である一次判定結果について、攻撃と一次判定した場合と故障と一次判定した場合のどちらが多いか、そして判定の結果として異常の要因が攻撃と故障どちらに該当するかを区別できればよく、必ずしもモニタである必要はない。例えば、表示部62が、少なくとも二種類の一次判定結果と、少なくとも二種類の判定の結果のそれぞれを、色や明るさによる違いで表示する発光機器でもよい。また、この表示部62は必ずしも判定の途中経過である一次判定結果を常時表示する必要はなく、例えば攻撃判定条件と故障判定条件のそれぞれに一次判定されたデータ情報の個数の大小が逆転した場合にだけ表示してもよい。
さらに、本実施形態においては、集計部61による集計(ステップS16)および表示部62による表示(ステップS17)が、一次判定結果保存部56に新たなデータ情報の一次判定結果が保存される毎に実行される場合を例示して説明したが、集計部61による集計は、必ずしも一次判定結果保存部56に新たなデータ情報の一次判定結果が保存される毎に行う必要はない。例えば、一次判定結果保存部56に3回分の新たなデータ情報の一次判定結果が保存される毎など、所定の回数分の一次判定結果が新たに保存された場合に集計部61による集計を行ってもよい。
さらに、本実施形態においては、分析部54による判定の途中経過として、分析部54がデータ情報を攻撃判定条件と故障判定条件とに分類する場合を例示して説明したが、攻撃判定条件と故障判定条件として、その少なくとも一方の条件を複数設定してもよい。例えば、3種類の攻撃判定条件と2種類の故障判定条件とを一次判定条件としてそれぞれ設定するような構成としても構わない。ただし、この条件の数については特定の場合に限定されない。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の趣旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
1.制御システム、10.制御装置、20.HMI、30.ツール、40.ネットワークスイッチ、50.異常要因判定装置、51.通信インターフェース部、52.タイマ部、53.取得部、54.分析部、55.一次判定条件保存部、56.一次判定結果保存部、60.表示装置、61.集計部、62.表示部

Claims (3)

  1. ネットワークを介したデータ通信により機器を制御する制御システム内の異常要因判定装置の表示装置において、
    各データの一次判定の結果を集計する集計部と、
    表示部と、を備え、
    この異常要因判定装置による異常要因の判定には一次判定と二次判定とがあり、
    前記一次判定では、前記判定の途中経過として前記データ通信により受信した複数のデータが前記ネットワークを介して攻撃を受けていることを示す攻撃判定条件または前記機器の故障を示す故障判定条件のどちらに該当するかをデータ毎に判定し、
    前記二次判定では、前記集計に基づき、前記攻撃判定条件または前記故障判定条件のうちより多くのデータが一次判定された一方を前記異常要因として判定し、
    前記表示部は、
    前記異常要因判定装置が前記一次判定中の場合には、前記攻撃判定条件または前記故障判定条件のどちらにより多くのデータが一次判定されたかを前記集計に基づいて表示し、前記異常要因判定装置が前記二次判定を完了した場合には前記二次判定の結果を表示する異常要因判定装置の表示装置。
  2. ネットワークを介したデータ通信により機器を制御する制御システム内の異常要因判定装置の表示装置において、
    各データの一次判定の結果を集計する集計部と、
    表示部と、を備え、
    この異常要因判定装置による異常要因の判定には一次判定と二次判定とがあり、
    前記一次判定では、前記判定の途中経過として前記データ通信により受信した複数のデータが前記ネットワークを介して攻撃を受けていることを示す攻撃判定条件または前記機器の故障を示す故障判定条件のどちらに該当するかをデータ毎に判定し、
    前記二次判定では、前記集計に基づき、前記攻撃判定条件または前記故障判定条件のうちより多くのデータが一次判定された一方を前記異常要因として判定し、
    前記表示部は、
    前記異常要因判定装置が前記一次判定中の場合には、前記データが前記攻撃判定条件に一次判定された回数および前記データが前記故障判定条件に一次判定された回数のそれぞれを前記集計に基づいて表示し、前記異常要因判定装置が前記二次判定を完了した場合には、前記二次判定の結果を表示する表示装置。
  3. 請求項1または2に記載された表示装置を備える異常要因判定装置。
JP2018198217A 2018-10-22 2018-10-22 異常要因判定装置およびその表示装置 Active JP7034885B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018198217A JP7034885B2 (ja) 2018-10-22 2018-10-22 異常要因判定装置およびその表示装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018198217A JP7034885B2 (ja) 2018-10-22 2018-10-22 異常要因判定装置およびその表示装置

Publications (2)

Publication Number Publication Date
JP2020068401A JP2020068401A (ja) 2020-04-30
JP7034885B2 true JP7034885B2 (ja) 2022-03-14

Family

ID=70390600

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018198217A Active JP7034885B2 (ja) 2018-10-22 2018-10-22 異常要因判定装置およびその表示装置

Country Status (1)

Country Link
JP (1) JP7034885B2 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001333107A (ja) 2000-05-19 2001-11-30 Furukawa Electric Co Ltd:The ネットワーク伝送制御方法及びそのシステム
JP2006238043A (ja) 2005-02-24 2006-09-07 Mitsubishi Electric Corp ネットワーク異常検出装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001333107A (ja) 2000-05-19 2001-11-30 Furukawa Electric Co Ltd:The ネットワーク伝送制御方法及びそのシステム
JP2006238043A (ja) 2005-02-24 2006-09-07 Mitsubishi Electric Corp ネットワーク異常検出装置

Also Published As

Publication number Publication date
JP2020068401A (ja) 2020-04-30

Similar Documents

Publication Publication Date Title
US10110561B2 (en) Firewall with application packet classifer
EP3161562B1 (en) A method for controlling a process plant using a redundant local supervisory controller
WO2012134101A2 (en) Multiple plc simulation system
EP3617826B1 (en) Monitoring system
WO2017051575A1 (ja) 異常診断システム及び異常診断方法
JP6796373B2 (ja) プラント運転システム及びプラント運転方法
US20150073599A1 (en) Control device and control method
WO2012148041A1 (en) Method of alarming abnormal state of automated manufacturing system based on plc signal pattern
US20080258906A1 (en) Integration System, System Integration Method and Computer Readable Medium Having System Integration Program
JP6606293B2 (ja) 安全システムの安全チェーン内でデータ処理およびデータ送信を監視するための方法およびデバイス
JP7034885B2 (ja) 異常要因判定装置およびその表示装置
CN102739641A (zh) 用于自动化网络的入口保护器
US20200183340A1 (en) Detecting an undefined action in an industrial system
JP7081593B2 (ja) 機器管理システム、モデル学習方法およびモデル学習プログラム
JP7180500B2 (ja) 制御システム、および設定方法
JP2023068023A (ja) コントローラシステム
US20160116895A1 (en) Remote unit and abnormality determining method therein
EP3940476A1 (en) Controller system
JP7255369B2 (ja) 制御システム
US20210064004A1 (en) Control Device, Control Method, and Control Program
JP7102315B2 (ja) 異常要因判定装置、制御システム、および異常要因判定方法
WO2021182698A1 (ko) 공작설비 이상 감지 모니터링 방법
EP3671509B1 (en) Intrusion prevention device, intrusion prevention method, and program
CN108021407B (zh) 基于网络设备的业务处理方法及装置
JP6598288B2 (ja) 動的ゾーニングプラントシステム

Legal Events

Date Code Title Description
RD07 Notification of extinguishment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7427

Effective date: 20191219

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210203

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211028

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220302

R150 Certificate of patent or registration of utility model

Ref document number: 7034885

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150