JP7071876B2 - 制御システム、および異常要因判定方法 - Google Patents
制御システム、および異常要因判定方法 Download PDFInfo
- Publication number
- JP7071876B2 JP7071876B2 JP2018100685A JP2018100685A JP7071876B2 JP 7071876 B2 JP7071876 B2 JP 7071876B2 JP 2018100685 A JP2018100685 A JP 2018100685A JP 2018100685 A JP2018100685 A JP 2018100685A JP 7071876 B2 JP7071876 B2 JP 7071876B2
- Authority
- JP
- Japan
- Prior art keywords
- control
- network
- control device
- abnormality
- factor determination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明の実施形態は、異常要因判定装置、制御システム、および異常要因判定方法に関する。
近年、FA(Factory Automation)等の分野における制御装置(制御システム)は、汎用技術、標準技術の採用、オープンネットワークへの接続に伴い、コンピュータウイルスや不正アクセスなどのサイバー攻撃に備えるセキュリティ対策が必須となっている。
セキュリティ対策の一つとして、システムのネットワークを監視しネットワークへの侵入を検知する侵入検知システム(IDS: Intrusion Detection System)が存在する。これはシステム外部からの不正アクセスやシステム内部のマルウェア感染など、サイバー攻撃によるシステムの異常を検知するもので、主にIT(Information Technology)系システムで広く利用されている。
制御システムは、異常を検知した場合に、その異常が攻撃によるものか、故障によるものかで取るべき対応は異なる。例えば、攻撃によるものであれば攻撃源のみを遮断し、故障によるものであれば安全を優先するため、システムを停止させるなど、対応が異なる。
しかし、従来の装置は、上記2種類の異常のうち、いずれか一方のみを検知することを前提としているので、異常の要因を特定できない。そのため、制御システムで異常が発生した場合、異常への対処に多くの時間を要することが予想される。また、異常の要因を正しく判定できないと、取るべき対策が的外れになり、却って事態を悪化させるおそれがある。
本発明の実施形態は、システムの異常に対して迅速かつ正確に対処することが可能な異常要因判定装置、制御システム、および異常要因判定方法を提供することを目的とする。
一実施形態によれば、異常要因判定装置は、ネットワークを介して伝送されるネットワークデータを用いて機器を制御する制御装置を含む制御システム内に設けられている。この異常要因判定装置は、制御装置の動作状態を示す制御ステートを含む制御ステートデータを保存する保存部と、ネットワークデータを分析する際に、保存部に保存された制御ステートデータに基づいて、制御システムで発生した異常の要因を、ネットワークを介した攻撃であるか、または機器の故障であるかを判別する分析部と、を備える。
本実施形態によれば、システムの異常に対して迅速かつ正確に対処することが可能となる。
以下、本発明の実施形態を図面を参照して説明する。本実施形態は、本発明を限定するものではない。
(第1実施形態)
図1は、第1実施形態に係る制御システムの構成を示すブロック図である。図1に示す制御システム1は、制御装置11と、HMI(Human Machine Interface)12と、ネットワークスイッチ13と、異常要因判定装置14と、を備える。なお、制御システム1には、制御装置11およびHMI12が複数設けられていてもよいし、これらがネットワークスイッチ13を用いずに直接的に接続される構成であってもよい。
図1は、第1実施形態に係る制御システムの構成を示すブロック図である。図1に示す制御システム1は、制御装置11と、HMI(Human Machine Interface)12と、ネットワークスイッチ13と、異常要因判定装置14と、を備える。なお、制御システム1には、制御装置11およびHMI12が複数設けられていてもよいし、これらがネットワークスイッチ13を用いずに直接的に接続される構成であってもよい。
制御装置11は、ネットワークを介して伝送されるネットワークデータを用いてプラントやFA等に設置された機器を制御する。制御装置11は、コントローラ111と、センサ112と、アクチュエータ113と、を有する。コントローラ111は、例えばPLC(Programmable Logic Controller)で構成されている。センサ112は、制御対象機器の状態や環境等をセンシングする。アクチュエータ113は、コントローラ111の制御に基づいて動作する。なお、制御装置11の構成は、図1に示す構成に限定されず、自律動作する他、HMI12等のユーザ端末からの状態モニタリングや設定変更など、リモート制御も行うことができる構成であってよい。
また、制御装置11は、予め設計された制御ステートに応じた動作を行う。制御装置11は、例えば、「停止中」、「起動中」、「実行待ち」、「実行中」、「テスト中」、「プログラミング中」の6種の制御ステートを有する。ここで、「プログラミング中」には、制御プログラムの書き込みやダウンロードといった動作が含まれる。なお、制御ステートは、上記6種に限定されない。また、制御装置11毎に異なる制御ステートが規定されていてもよい。本実施形態では、コントローラ111が、制御装置11の現在の制御ステートを把握している。
制御装置11は、上記制御ステートと実行中処理、次実行予定処理を制御ステート情報として制御装置11の外部へ送信し、異常要因判定装置14は、制御ステート情報を受信する。制御装置11が、自身の周期処理毎に処理結果を上位装置へ送信する機能を有する場合、その通信機能を利用し、制御ステート情報を送信することができる。ここで、上位装置とは、制御装置11よりもネットワークの上位に位置する装置であり、例えば、HMI12や異常要因判定装置14が該当する。
制御装置11は、上位装置への周期的な通信処理に制御ステート情報を含めることもできるし、この通信処理とは別のタイミングで送信することもできる。後者の場合、周期処理のタイミングに囚われず柔軟な制御ステート情報の送信が可能となる。
また、制御ステート情報は、制御装置11から常に送信されるのではなく、特定のモード時のみ送信される構成であってもよい。例えば、制御システム1がテストモードと運用モードを有する場合、HMI12がテストモードであるか運用モードであるかを制御装置11へ伝達する。この場合、制御装置11はテストモード時に制御ステート情報を送信する。また、例えば、異常要因判定装置14が機械学習を利用する場合、制御装置11は、学習モードと判定モードとを有する。この場合、異常要因判定装置14は、学習モードであるか判定モードであるかを制御装置11へ通知する。このとき、制御ステート情報は、学習モード時に送信される。このように、制御装置11の動作状態を示す制御ステートの露出を限定することで、ネットワークの盗聴による制御装置11の内部情報の漏洩を軽減することが可能になる。
HMI12は、ネットワークスイッチ13を介して各制御装置11の状態を監視する。ネットワークスイッチ13は、各制御装置11をネットワークに接続する。本実施形態では、このネットワークは、Ethernet(登録商標)であるが、他の規格のネットワークであってもよい。また、ネットワークスイッチ13はミラーポートを有し、このミラーポートに異常要因判定装置14が接続される。これにより、異常要因判定装置14は、ネットワークスイッチ13を介して、制御システム1内を伝送する全てのネットワークデータを取得できる。
異常要因判定装置14は、ネットワークデータを分析して異常検知と異常の要因判定処理ができればどのような構成でもよいが、例えば、図1に示すように、通信部141と、分析部142と、保存部143と、表示部144と、を有する。表示部144は、異常要因判定装置14に外付けされてもよいし、HMI12等で遠隔表示するための機能であってもよい。また、異常要因判定装置14の構成要素はハードウェアでもよいし、ソフトウェアとして実現されていてもよい。
通信部141は、制御システム1内の各コンポーネントと通信を行う。分析部142は、通信部141で受信したネットワークデータを分析し、分析結果に基づいて異常の検知および異常の要因判別を行う。保存部143は、分析部142によってネットワークデータから抽出された制御ステート情報を含む制御ステートデータを保存する。この制御ステートデータは、分析部142による異常検知および要因分析に使用される。保存部143は、HDD(Hard Disk Drive)等の記憶装置でもよいし、DRAM(Dynamic Randam Access Memory)等の半導体メモリであってもよい。
図2は、制御ステートデータの一例を示す図である。図2に示す制御ステートデータ200は、各制御装置11の制御ステートを含むデータである。制御ステートデータ200には、制御装置11毎に、ID(Identification)、IP(Internet Protocol)アドレス、過去の制御ステート、現在の制御ステート、次に実行しようとしている処理情報が示されている。また、制御ステートデータ200には、過去の制御ステートとして、前回の制御ステートと前々回の制御ステートが保存されている。
以下、図3を参照して、第1実施形態に係る異常要因判定装置14による異常要因判定方法について説明する。図3は、異常要因判定の処理フローを示すフローチャートである。
異常要因判定装置14では、まず、通信部141がネットワークデータを受信する(ステップS11)。続いて、分析部142が、通信部141で受信されたネットワークデータの解析処理を実行する(ステップS12)。ステップS2では、分析部142は、例えばネットワークデータから制御ステート情報を抽出する。続いて、分析部142は、抽出した制御ステート情報に基づいて、保存部143に保存されている制御ステートデータ200を更新する(ステップS13)。
次に、分析部142は、更新後の制御ステートデータ200を用いて、受信したネットワークデータに対して、現在の制御ステートを考慮した異常検知および要因判定を行う(ステップS14)。ステップS14では、分析部142は、例えば以下のような判定を行う。
図2に示す制御ステートデータ200によれば、ID2で識別される制御装置11の制御ステートは、「停止中」であるので、この制御装置11が起点となる通信は発生しないはずである。しかし、受信したネットワークデータの送信元が、この制御装置11のIPアドレスであった場合、分析部142は、不正端末がこの制御装置11に成りすましていると判定する。また、ID1で識別される制御装置11は、「起動中」である。そのため、例えば、この制御装置11に対してプログラムの書き換えを要求するような通信を検知した場合、分析部142は、不正な操作であると判定する。
なお、分析部142の判定処理は、制御システム1の仕様に基づいて予め判定ルールを作成して実現してもよいし、機械学習等の手法を利用して判定ルールを改定しながら実現してもよい。また、分析部142の判定処理は、上述した方法に限定されない。例えば、分析部142は、ネットワークデータに関して異常パターンとのマッチングや正常時との乖離度等を分析することで異常を検知し、異常を検知した場合、その要因が攻撃によるものか故障によるものかを判別してもよい。
分析部142による判定結果が異常であった場合(ステップS15)、表示部144は判定結果を表示しユーザに注意を促す(ステップS16)。表示内容には、判定結果とともに判定原因となる端末情報や対処法が含まれていてもよい。
また、ステップS15で具体的な異常要因が判別できる場合、制御システム1が要因に応じた対応策を自動的に実行してもよい。例えば、異常要因が不正端末からの攻撃である場合には、ネットワークスイッチ13が、分析部142の指示に基づいて、その不正端末からの通信を遮断したり、各制御装置11に対して不正端末からの通信を無視したりするなどの処理を実行する。
また、異常要因が故障である場合、ネットワークスイッチ13は、分析部142の指示に基づいて制御装置11の接続を冗長構成の待機系に切り替える処理を実行する。例えば、図1に示す制御装置Bが、制御装置Aの冗長として設けられている場合、制御装置Aの故障に伴って、ネットワークスイッチ13は、制御装置Aのネットワークへの接続を切り離して制御装置Bのみをネットワークに接続させる。
上記のように、ネットワークスイッチ13が、分析部142の分析結果に応じて、ネットワークへの接続に関する処置を実行することによって、異常要因に応じた対応策が自動的に実行される。
以上説明した本実施形態によれば、制御システム1内に異常要因判定装置14を設けることで異常検知と要因判定を実施し、要因が攻撃によるものか、故障によるものかといった判定結果を出力できる。そのため、ユーザが異常の要因や故障箇所を把握することができるので、異常要因判定結果に基づいて対策の自動化をすることも可能となる。また、異常要因判定装置14は、各制御装置11の制御ステート情報を利用しているので、精度良く異常検知、要因判定を行うことが可能となる。
(第2実施形態)
以下、第2実施形態について、第1実施形態と異なる点を中心に説明する。図4は、第2実施形態に係る制御システムの構成を示すブロック図である。図4に示す制御システム2は、制御システム1の構成要素に加えて、各制御装置11を統括する集約サーバ15を備える点で第1実施形態と異なる。
以下、第2実施形態について、第1実施形態と異なる点を中心に説明する。図4は、第2実施形態に係る制御システムの構成を示すブロック図である。図4に示す制御システム2は、制御システム1の構成要素に加えて、各制御装置11を統括する集約サーバ15を備える点で第1実施形態と異なる。
集約サーバ15は、制御装置11とネットワークスイッチ13を介して接続されている。ただし、集約サーバ15は、制御装置11と直接接続されていてもよい。集約サーバ15は、例えば、制御装置11のパラメータ書き換えや制御指示を与えたり、各制御装置11から周期的に送信される処理結果を受信したりするといった、制御装置11の監視と制御を行う。また、集約サーバ15は、制御システム2の現場側ゲートウェイとして遠隔地に配置されたHMI12からの通信を中継する機能などを有する。本実施形態では、異常要因判定装置14は、集約サーバ15に内包される構成であってもよい。
集約サーバ15は、各制御装置11の動作状態を把握しているので、各制御装置11の制御ステートを保有している。集約サーバ15は、この制御ステートを、自発的にまたは異常要因判定装置14の要求に基づいて送信する。異常要因判定装置14は、集約サーバ15から制御ステートを受信して、第1実施形態と同様に異常検知と要因判定を実施する。
また、集約サーバ15は、制御装置11と比較してCPU(Central Processing Unit)処理能力が高く、機器認証やセキュア通信などの一般的な情報セキュリティ機能を組み込むことができる。そのため、集約サーバ15と異常要因判定装置14との通信路を暗号化することで、ステート情報とデータの漏洩を防ぐことも可能である。集約サーバ15に異常要因判定装置14を内包する構成の場合には、上記通信路の盗聴対策を実現することができる。
以下、図5を参照して、第2実施形態に係る異常要因判定装置14による異常要因判定方法について説明する。図5は、異常要因判定方法の処理フローを示すフローチャートである。図5に示すように、異常要因判定装置14は、制御ステートデータ200の更新処理と、異常検知および要因判定処理とをそれぞれ独立して非同期的に実行する。
まず、制御ステートデータ200の更新処理について説明する。ここでは、集約サーバ15が自発的に各制御装置11の制御ステートを送信する場合について説明する。この場合、異常要因判定装置14は、制御ステートの受信を待つ状態となっている(ステップS21)。その後、通信部141が集約サーバ15から制御ステートを受信すると(ステップS22)、分析部142は、保存部143に保存されている制御ステートデータ200を更新する(ステップS23)。その後、ステップS21に戻って、異常要因判定装置14は、制御ステートの受信を待つ状態に戻る。
次に、異常検知および要因判定処理について説明する。上記ステップS21~S23の動作が繰り返されている際に、通信部141がネットワークデータを受信すると(ステップS24)、分析部142は、保存部143から制御ステートデータ200を読み出す(ステップS25)。続いて、分析部142は、受信したネットワークデータに対して、ステップS25で読み出した現在の制御ステートに基づく異常検知および要因判定を行う(ステップS26)。分析部142による判定結果が異常であった場合(ステップS27)、表示部144は判定結果を表示しユーザに注意を促す(ステップS28)。
以上説明した本実施形態によれば、集約サーバ15が把握している制御ステート情報を利用した異常検知および要因判定処理が実現できる。そのため、各制御装置11が制御ステート情報を送信する分の帯域を削減できるようになる。
以上、いくつかの実施形態および変形例を説明したが、これらの実施形態は、例としてのみ提示したものであり、発明の範囲を限定することを意図したものではない。本明細書で説明した新規なシステムは、その他の様々な形態で実施することができる。また、本明細書で説明したシステムの形態に対し、発明の要旨を逸脱しない範囲内で、種々の省略、置換、変更を行うことができる。添付の特許請求の範囲およびこれに均等な範囲は、発明の範囲や要ことに含まれるこのような形態や変形例を含むように意図されている。
11 制御装置、13 ネットワークスイッチ、14 異常要因判定装置、15 集約サーバ、142 分析部、143 保存部、144 表示部
Claims (3)
- ネットワークを介して伝送されるネットワークデータを用いて機器を制御する制御装置と、前記制御装置を前記ネットワークに接続するネットワークスイッチと、前記ネットワークスイッチに接続された異常要因判定装置と、を備える制御システムであって、
前記異常要因判定装置は、
前記制御装置の動作状態を示す制御ステートを含む制御ステートデータを保存する保存部と、
前記ネットワークデータを分析する際に、前記保存部に保存された前記制御ステートデータに基づいて、前記制御システムで発生した異常の要因を、前記ネットワークを介した攻撃であるか、または前記制御装置の故障であるかを判別する分析部と、を有し、
前記ネットワークスイッチは、前記分析部の分析結果に応じて、前記ネットワークへの接続に関する処置を実行し、
前記制御装置は、前記制御ステートを定常的に前記異常要因判定装置へ送信するように構成される、制御システム。 - 前記制御装置から取得した前記制御ステートを前記異常要因判定装置へ送信する集約サーバを備える、請求項1に記載の制御システム。
- ネットワークを介して伝送されるネットワークデータを用いて機器を制御する制御装置と、前記制御装置を前記ネットワークに接続するネットワークスイッチと、前記ネットワークスイッチに接続された異常要因判定装置と、を含む制御システムの異常要因判定方法であって、
前記異常要因判定装置は、前記制御装置の動作状態を示す制御ステートを含む制御ステートデータを保存し、
前記異常要因判定装置は、前記ネットワークデータを分析する際に、保存された前記制御ステートデータに基づいて、前記制御システムで発生した異常の要因を、前記ネットワークを介した攻撃であるか、または前記制御装置の故障であるかを判別し、
前記ネットワークスイッチは、前記ネットワークデータの分析結果に応じて、前記ネットワークへの接続に関する処置を実行し、
前記制御装置は、前記制御ステートを定常的に送信するように構成される、
異常要因判定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018100685A JP7071876B2 (ja) | 2018-05-25 | 2018-05-25 | 制御システム、および異常要因判定方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018100685A JP7071876B2 (ja) | 2018-05-25 | 2018-05-25 | 制御システム、および異常要因判定方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019205125A JP2019205125A (ja) | 2019-11-28 |
| JP7071876B2 true JP7071876B2 (ja) | 2022-05-19 |
Family
ID=68727434
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018100685A Active JP7071876B2 (ja) | 2018-05-25 | 2018-05-25 | 制御システム、および異常要因判定方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7071876B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022127512A (ja) * | 2021-02-19 | 2022-08-31 | 日立Astemo株式会社 | 電子制御システム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014179074A (ja) | 2013-03-13 | 2014-09-25 | General Electric Co <Ge> | 産業用制御システムのためのインテリジェントサイバーフィジカル侵入検出および侵入防止システムならびに方法 |
| JP2016123029A (ja) | 2014-12-25 | 2016-07-07 | 株式会社東芝 | 制御装置、判定方法及びコンピュータプログラム |
| JP2017199365A (ja) | 2016-04-25 | 2017-11-02 | ゼネラル・エレクトリック・カンパニイ | 産業資産制御システム用のドメインレベル脅威検出 |
| JP2017228887A (ja) | 2016-06-21 | 2017-12-28 | 株式会社日立製作所 | 制御システム、ネットワーク装置、及び制御装置の制御方法 |
-
2018
- 2018-05-25 JP JP2018100685A patent/JP7071876B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014179074A (ja) | 2013-03-13 | 2014-09-25 | General Electric Co <Ge> | 産業用制御システムのためのインテリジェントサイバーフィジカル侵入検出および侵入防止システムならびに方法 |
| JP2016123029A (ja) | 2014-12-25 | 2016-07-07 | 株式会社東芝 | 制御装置、判定方法及びコンピュータプログラム |
| JP2017199365A (ja) | 2016-04-25 | 2017-11-02 | ゼネラル・エレクトリック・カンパニイ | 産業資産制御システム用のドメインレベル脅威検出 |
| JP2017228887A (ja) | 2016-06-21 | 2017-12-28 | 株式会社日立製作所 | 制御システム、ネットワーク装置、及び制御装置の制御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019205125A (ja) | 2019-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8584237B2 (en) | Improper communication detection system | |
| CN109791633B (zh) | 使用基于云的机器学习的静态和动态设备简档信誉 | |
| US9529690B2 (en) | Anomaly detection system, anomaly detection method, and program for the same | |
| CN109791514B (zh) | 抵抗网络攻击的控制系统设计 | |
| US11463409B2 (en) | System and method of utilizing network security devices for industrial device protection and control | |
| Robles-Durazno et al. | PLC memory attack detection and response in a clean water supply system | |
| WO2018198733A1 (ja) | セキュリティ監視システム及びセキュリティ監視方法 | |
| WO2018134939A1 (ja) | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| JP7071876B2 (ja) | 制御システム、および異常要因判定方法 | |
| US20210264026A1 (en) | Unauthorized communication detection device, unauthorized communication detection method and manufacturing system | |
| US10666671B2 (en) | Data security inspection mechanism for serial networks | |
| WO2018193571A1 (ja) | 機器管理システム、モデル学習方法およびモデル学習プログラム | |
| WO2020166329A1 (ja) | 制御システム | |
| RU2750629C2 (ru) | Система и способ выявления аномалий в технологической системе | |
| EP3598713B1 (en) | Establishing a secure communication in an industrial control environment | |
| Negi et al. | Intrusion Detection & Prevention in Programmable Logic Controllers: A Model-driven Approach | |
| JP2017228887A (ja) | 制御システム、ネットワーク装置、及び制御装置の制御方法 | |
| JP6187508B2 (ja) | 制御装置、バス回路、方法、及び、プログラム | |
| JP6937251B2 (ja) | 異常要因判定装置、制御システム、および異常要因判定方法 | |
| WO2020109252A1 (en) | Test system and method for data analytics | |
| US20230388323A1 (en) | System and method for enhancing computer network reliability by countering disruptions in network communications | |
| EP3598712B1 (en) | Commissioning an industrial controller system for establishing a secure communication | |
| WO2022019106A1 (ja) | 制御装置、制御方法および制御プログラム | |
| RU2747461C2 (ru) | Система и способ противодействия аномалиям в технологической системе | |
| JP5879223B2 (ja) | ゲートウェイ装置、ゲートウェイシステムおよび計算機システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210208 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211012 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211207 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220204 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220311 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220408 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220509 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7071876 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |