JP7102315B2 - 異常要因判定装置、制御システム、および異常要因判定方法 - Google Patents

異常要因判定装置、制御システム、および異常要因判定方法 Download PDF

Info

Publication number
JP7102315B2
JP7102315B2 JP2018193741A JP2018193741A JP7102315B2 JP 7102315 B2 JP7102315 B2 JP 7102315B2 JP 2018193741 A JP2018193741 A JP 2018193741A JP 2018193741 A JP2018193741 A JP 2018193741A JP 7102315 B2 JP7102315 B2 JP 7102315B2
Authority
JP
Japan
Prior art keywords
abnormality
data
log
storage unit
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018193741A
Other languages
English (en)
Other versions
JP2020061717A (ja
Inventor
俊也 丸地
俊樹 森
智 天木
博司 中谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Energy Systems and Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Energy Systems and Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Energy Systems and Solutions Corp filed Critical Toshiba Corp
Priority to JP2018193741A priority Critical patent/JP7102315B2/ja
Publication of JP2020061717A publication Critical patent/JP2020061717A/ja
Application granted granted Critical
Publication of JP7102315B2 publication Critical patent/JP7102315B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Description

本発明の実施形態は、異常要因判定装置、制御システム、および異常要因判定方法に関する。
プラントやFA(Factory Automation)等に設置された機器を制御する制御システムでは、近年、ネットワーク化が進んでいる。このような制御システムでは、ネットワークのセキュリティ対策が重要になる。
そこで、制御システム内におけるネットワークの異常を検知するIDS(Intrusion Detection System)と呼ばれる装置が知られている。
特開2012-169731号公報
上述した制御システムで起こり得る異常は、例えば、ネットワークを介した攻撃と、機器の故障との2種類に分類できる。これらの異常に対して取るべき対策は、全く異なる。
しかし、従来の装置は、上記2種類の異常のうち、いずれか一方のみを検知することを前提としているので、異常の要因を特定できない。そのため、制御システムで異常が発生した場合、異常への対処が不十分であることが予想される。
本発明の実施形態は、システムの異常に対して的確に対処することが可能な異常要因判定装置、制御システム、および異常要因判定方法を提供することを目的とする。
一実施形態によれば、異常要因判定装置は、ネットワークを介したデータ通信により機器を制御する制御装置を含む制御システム内に設けられている。この異常要因判定装置は、データ通信で用いられるデータを取得する取得部と、データの送受信に関する情報を登録した第1判定テーブルを保存する判定テーブル保存部と、制御システムで過去に発生した異常の要因を示す異常ログを保存する異常ログ保存部と、第1判定テーブルと異常ログとを用いて、取得部で取得されたデータを分析し、その分析結果に基づいて異常の要因を、ネットワークを介した攻撃か、または機器の故障であるかを判別する分析部と、を備える。
本実施形態によれば、制御システムの異常に対して的確に対処することが可能となる。
第1実施形態に係る制御システムの構成を示すブロック図である。 (a)は第1判定テーブルの一例を示し、(b)は第2判定テーブルの一例を示す図である。 異常ログテーブルの一例を示す図である。 異常要因判定処理のフローチャートである。 ヘッダ情報判定処理のフローチャートである。 異常ログ確認処理のフローチャートである。 時刻情報判定処理のフローチャートである。 ペイロード処理のフローチャートである。 第2実施形態に係る異常要因判定装置の構成を示すブロック図である。 第2実施形態に係る異常要因判定装置の全体的な処理内容を示すフローチャートである。 判定テーブル作成処理のフローチャートである。 第3実施形態に係る異常要因判定装置の構成を示すブロック図である。
以下、本発明の実施形態を図面を参照して説明する。本実施形態は、本発明を限定するものではない。
(第1実施形態)
図1は、第1実施形態に係る制御システムの構成を示すブロック図である。図1に示す制御システム1は、制御装置10と、HMI(Human Machine Interface)20と、ツール30と、ネットワークスイッチ40と、異常要因判定装置50と、を備える。
制御装置10は、ネットワークを介したデータ通信により、プラントやFA等に設置された機器を制御する。本実施形態では、複数の制御装置10が制御システム1内に設けられているが、制御装置10の数は特に制限されない。また、制御装置10の構成も、上記機器を制御できる構成であれば特に限定されない。
HMI20は、ネットワークスイッチ40を介して各制御装置10の状態を監視する。ツール30は、ネットワークスイッチ40を介して各制御装置10の制御プログラムを変更するエンジニアリングツールである。
ネットワークスイッチ40は、各制御装置10をネットワークに接続する。本実施形態では、このネットワークは、Ethernet(登録商標)であるが、他の規格のネットワークであってもよい。また、ネットワークスイッチ40はミラーポートを有し、このミラーポートに異常要因判定装置50が接続される。これにより、異常要因判定装置50は、ネットワークスイッチ40を介して、制御システム1内を伝送するパケット形式の全てのデータを取得できる。ただし、データ取得方法は、上記ミラーポートに制限されない。例えば、制御システム1内でブロードキャストやマルチキャスト伝送を用いて、異常要因判定装置50が取得可能な方法などを用いてもよい。
異常要因判定装置50は、通信インタフェース部51と、タイマ部52と、取得部53と、分析部54と、判定テーブル保存部55と、異常ログ保存部56と、表示部57と、を有する。異常要因判定装置50を構成するこれらの構成要素は、ハードウェアで実現されてもよいし、ソフトウェアで実現されてもよい。また、判定テーブル保存部55および異常ログ保存部56は、一体化されていてもよい。
通信インタフェース部51は、ネットワークスイッチ40を介してデータを入出力する。タイマ部52は現在時刻を取得する。取得部53は、通信インタフェース部51で受信したデータを取得する。また、取得部53は、タイマ部52から取得した時刻情報を取得データに付与して分析部54へ出力する。
分析部54は、判定テーブル保存部55と異常ログ保存部56とにそれぞれ保存されているテーブルを用いて、取得部53で取得されたデータを分析する。また、分析部54は、その分析結果に基づいて異常の要因を判別する。
判定テーブル保存部55は、分析部54の分析で用いられる2つの判定テーブルを保存する。ここで、図2(a)および図2(b)を参照して判定テーブル保存部55に保存される判定テーブルについて説明する。
図2(a)に示す第1判定テーブル101は、後述するヘッダ情報判定処理で用いられる。第1判定テーブル101には、予めデータ通信が許可された送信元と送信先の組み合わせと、その組み合わせ毎に予め設定されたデータの伝送周期と、前回のデータ取得時刻と、が示されている。本実施形態では、IPアドレスが送信元および送信先の識別情報として用いられている。また、データ取得時刻は、データ取得のたびに更新される。第1判定テーブル101の項目は、図2(a)に示す項目に制限されず、例えばプロトコル情報も含んでいてよい。この場合、セキュリティの判定をより厳密にすることができる。
図2(b)に示す第2判定テーブル102は、後述するペイロード判定処理で用いられる。取得部53で取得されるデータには、制御装置10の制御値として用いる第1フィールド部分と、伝送の健全性を確認するため、タイムスタンプのように通信パケットごとにインクリメントされる第2フィールド部分がある。そのため、第2判定テーブル102では、フィールドごとにフラグ(以下、FLG)が設定されている。本実施形態では、FLG「0」が第1フィールド部分に対応し、FLG「1」が第2フィールド部分に対応する。
また、第1フィールド部分、すなわち制御値には、最小値と最大値とが登録されている。一方、第2フィールド部分、すなわち健全性確認データには、前回値が登録されている。前回値は、健全性確認データの取得毎に更新される。
異常ログ保存部56は、分析部54の分析で用いられる異常ログテーブルを保存する。ここで、図3を参照して異常ログ保存部56に保存される異常ログテーブルについて説明する。
図3に示す異常ログテーブル103は、制御システム1で過去に発生した異常の発生時刻、種別、および内容を示す。なお、図3には、異常種別が「故障」しか記載されていないが、異常の要因がネットワークを介した攻撃である場合には、「攻撃」と記載される。
以下、図4を参照して、上述した異常要因判定装置50による異常要因判定方法について説明する。図4は、異常要因判定処理のフローチャートである。異常要因判定装置50では、通信インタフェース部51が、ネットワークスイッチ40を介して新たにデータを受信すると(ステップS100)、ヘッダ情報処理(ステップS200)、時刻情報判定処理(ステップS300)、およびペイロード処理(ステップS400)がこの順に行われる。以下、各処理について詳しく説明する。
図5は、ヘッダ情報判定処理のフローチャートである。まず、取得部53が、通信インタフェース部51で受信されたデータからヘッダ情報を取得する(ステップS201)。このとき、取得部53は、タイマ部52から時刻情報を取得して、取得したヘッダ情報とともに分析部54へ出力する。
分析部54は、ヘッダ情報に示された送信元IPアドレスおよび送信先IPアドレスの組み合わせが、判定テーブル保存部55の第1判定テーブル101に登録されているか否かを判定する(ステップS202)。上記組み合わせが登録されている場合、分析部54は、正常であると判定する(ステップS203)。この場合、処理が終了する。反対に、上記組み合わせが第1判定テーブル101に登録されていない場合、分析部54は、異常ログ確認処理を行う(ステップS204)
図6は、異常ログ確認処理のフローチャートである。異常ログ確認処理では、まず、分析部54は、異常要因が故障である異常ログが異常ログ保存部56の異常ログテーブル103に保存されているか否かを確認する(ステップS211)。故障の異常ログが保存されている場合、分析部54は、今回取得した異常データの時刻や内容を異常ログテーブル103に新たに保存する(ステップS212)。また、分析部54は、異常要因を機器の故障であると判定する(ステップS213)。そのため、異常ログテーブル103の異常種別は、「故障」と登録される。
故障の異常ログが異常ログテーブル103に保存されていない場合、分析部54は、異常要因が攻撃である異常ログが異常ログテーブル103に保存されているか否かを確認する(ステップS214)。攻撃の異常ログも保存されていない場合、分析部54は、今回取得した異常データの時刻や内容を異常ログテーブル103に新たに保存する(ステップS215)。また、分析部54は、異常要因をネットワークを介した攻撃であると判定する(ステップS216)。そのため、異常ログテーブル103の異常種別は、「攻撃」と登録される。
攻撃の異常ログが保存されている場合も、分析部54は、今回取得した異常データの時刻や内容を異常ログテーブル103に新たに保存する(ステップS217)。また、分析部54は、異常要因をネットワークを介した攻撃であると判定する(ステップS218)。
上述した異常ログ確認処理では、過去に異常ログが全くない、または攻撃の異常ログが異常ログテーブル103に保存されている場合、分析部54は、今回の異常の要因も攻撃である可能性が高いと判定し、表示部57がその旨を表示する。一方、故障の異常ログが異常ログテーブル103に保存されている場合、故障により送信先や伝送元のIPアドレスが変化してしまった可能性があるので、分析部54は、今回の異常の要因も故障である可能性が高いと判定し、表示部57がその旨を表示する。なお、攻撃の異常ログおよび故障の異常ログの両方が、異常ログテーブル103に保存されている場合には、分析部54は、例えば両者の頻度に基づいて、異常の要因を判定する。
異常ログ確認処理が終了すると、次に、時刻情報判定処理を行う。図7は、時刻情報判定処理のフローチャートである。
図7に示すフローチャートは、2種類の処理フローに分類される。一方の処理フローは、新規のパケットデータを受信した際に周期の異常を分析する周期異常分析フローである。他方の処理フローは、新規のパケットデータを受信するまでの間に出力を停止してしまった機器を分析する出力停止分析フローである。
周期異常分析フローでは、通信インタフェース部51がデータを受信すると(ステップS301)、分析部54は、上述したヘッダ情報判定処理で取得部53から入力されたヘッダ情報および時刻情報に基づいて差分時間Δt1を算出する(ステップS302)。差分時間Δt1は、時刻情報に示された現在時刻と、判定テーブルに記録された前回のデータ取得時刻の差に相当する。すなわち、差分時間Δt1は、前回から今回までのデータの取得時刻の差分時間に相当する。
続いて、分析部54は、算出した差分時間Δt1が伝送周期の許容範囲内であるか否かを判定する(ステップS303)。例えば伝送周期2msの許容範囲が±10%に設定されている場合、差分時間Δt1が1.8ms~2.2msの範囲内であれば、分析部54は、正常と判定する。この場合、分析部54は、第1判定テーブル101の前回取得時刻を今回の取得時刻に更新する(ステップS304)。
一方、差分時間Δt1が許容範囲外である場合、分析部54は、伝送周期異常と判定し、異常ログ確認処理を行う(ステップS305)。ステップS305の異常ログ確認処理では、異常ログテーブル103において、異常ログが何も登録されていない、または故障の異常ログが登録されている場合には、分析部54は、異常の要因を故障と判定する。一方、攻撃の異常ログが異常ログテーブル103に登録されている場合には、分析部54は、異常の要因を攻撃と判定する。その後、表示部57が判定結果に応じて故障または攻撃の可能性がある旨を表示するとともに、伝送周期異常であることも表示する(ステップS306)。これで、周期異常分析フローは終了する。
周期異常分析フローが終了してから通信インタフェース部51が次の新規のパケットデータを受信するまでの間に、出力停止分析処理を行う。出力停止分析フローでは、分析部54は、経過時間Δt2を算出する(ステップS307)。経過時間Δt2は、タイマ部52の時刻情報に示された現在時刻と判定テーブルに記録された前回のデータ取得時刻の差に相当する。すなわち、経過時間Δt2は、前回のデータ取得時刻からの経過時間に相当する。
続いて、分析部54は、算出した経過時間Δt2が周期に基づいて設定されたしきい値を超えているか否かを判定する(ステップS308)。しきい値は、例えば伝送周期の2倍に設定される。例えば、伝送周期が2msの場合、経過時間Δt2が4msを超えていなければ、分析部54は、正常であると判定する(ステップS309)。一方、経過時間Δt2が4msを超えている、すなわち前回のデータ受信時から4ms以上次のデータを受信していない場合、分析部54は、機器の出力が停止したと判断し、異常ログデータ確認処理を行う(ステップS310)。
ステップS310の異常ログ確認処理では、異常ログテーブル103において、異常ログが何も登録されていない、または故障の異常ログが登録されている場合には、分析部54は、異常の要因を故障と判定する。一方、攻撃の異常ログが異常ログテーブル103に登録されている場合には、分析部54は、異常の要因を攻撃と判定する。その後、表示部57が判定結果に応じて故障または攻撃の可能性がある旨を表示するとともに、出力停止異常であることも表示する(ステップS311)。これで、出力停止分析フローは終了する。
上記のように時刻情報判定処理が終了すると、最後にペイロード判定処理を行う。図8は、ペイロード処理のフローチャートである。
図8に示すフローチャートでは、まず、分析部54は、取得部53の取得データに示されたFLGが「0」であるか否かを確認する(ステップS401)。FLGが「0」である場合、分析部54は、第1フィールド値、すなわち取得データの第1フィールド部分に示された制御値を取得する(ステップS402)。続いて、分析部54は、取得した制御値が許容範囲内であるか否かを判定する(ステップS403)。ステップS403では、分析部54は、取得した制御値が、判定テーブル保存部55の第2判定テーブル102において、当該制御値と対応するフィールド番号の最小値と最大値で規定される許容範囲内であるか否かを確認する。取得した制御値が、上記許容範囲内に収まっている場合、分析部54は、正常であると判定し、ペイロード処理は終了する。一方、取得した制御値が、上記許容範囲外である場合、異常ログ確認処理を行う(ステップS404)。
ステップS404の異常ログ確認処理では、異常ログテーブル103において、異常ログが何も登録されていない、または故障の異常ログが登録されている場合には、分析部54は、異常の要因を故障と判定する。一方、攻撃の異常ログが異常ログテーブル103に登録されている場合には、分析部54は、異常の要因を攻撃と判定する。この場合、セキュリティ攻撃により制御値が意図的に変化した可能性が高いため、表示部57は、その旨を表示する(ステップS405)。
ステップS401において、FLGが「0」でない、つまり「1」である場合、分析部54は、第2フィールド値、すなわち取得データの第2フィールド部分に示された健全性確認データを取得する(ステップS405)。分析部54は、取得した健全性確認データが、第2判定テーブル102の前回値から更新された値であるか否かを確認する(ステップS406)。
取得した健全性確認データが更新されている場合、分析部54は、正常であると判定し、ペイロード処理は終了する。一方、取得した健全性確認データが更新されていない場合、異常ログ確認処理を行う(ステップS407)。ステップS407の異常ログ確認処理は、上述したステップS404の異常ログ確認処理と同様であるため、説明を省略する。その後、表示部57が判定結果に応じて故障または攻撃の可能性がある旨を表示する(ステップS408)。
以上説明した本実施形態によれば、制御システム1内で異常が発生した場合、分析部54が、その異常の要因を、ネットワークを介した攻撃か、または機器の故障であるかを判別する。これにより、制御システム1の異常に対して的確に対処することができる。
さらに、本実施形態では、分析部54は、異常ログ保存部56に保存された異常ログテーブル103を用いて判別している。このように、分析部54が今回取得したデータだけでなく、過去の異常ログも用いて異常要因を特定することによって、故障にみせかけた攻撃や、攻撃に近い挙動をする故障といった要因判定が困難な異常にも的確に対処することができる。
(第2実施形態)
以下、第2実施形態について、第1実施形態と異なる点を中心に説明する。本実施形態に係る制御システムでは、異常要因判定装置の構成が第1実施形態と異なる。図9は、第2実施形態に係る異常要因判定装置の構成を示すブロック図である。上述した第1実施形態と同様の構成要素には同じ符号を付し、詳細な説明を省略する。
図9に示す異常要因判定装置50aは、モード切替部58を有する点で第1実施形態と異なる。なお、本実施形態においても、異常要因判定装置50aは、ハードウェアで実現されてもよいし、ソフトウェアで実現されてもよい。
モード切替部58は、分析部54の動作モードを、異常の要因を判別する診断モードと、第1判定テーブル101および第2判定テーブル102を作成する学習モードとの間で切り替える。モード切替部58は、予め設定された時間帯に応じて分析部54の動作モードを切り替えてもよいし、ユーザの操作を受け付けたときに切り替えてもよい。
図10は、本実施形態に係る異常要因判定装置50aの全体的な処理内容を示すフローチャートである。この異常要因判定装置50aでは、通信インタフェース部51が、ネットワークスイッチ40を介して新たにデータを受信すると(ステップS501)、モード切替部58の状態に応じて、分析部54の動作モードが診断モードであるか否かを確認する(ステップS502)。
分析部54が診断モードである場合、ヘッダ情報処理(ステップS503)、時刻情報判定処理(ステップS504)、およびペイロード処理(S505)がこの順で行われる。これらの処理フローは、第1実施形態で説明したステップS200のヘッダ情報処理、ステップS300の時刻情報判定処理、およびステップS400のペイロード処理と同様であるので説明を省略する。
一方、分析部54が診断モードでない、つまり学習モードである場合、判定テーブル作成処理(ステップS506)が行われる。ここで、図11を参照して判定テーブル作成処理を説明する。
図11は、判定テーブル作成処理のフローチャートである。まず、取得部53が、通信インタフェース部51の受信データからヘッダ情報を取得する(ステップS601)。続いて、取得部53は、タイマ部52から時刻情報を取得して、ヘッダ情報とともに分析部54へ出力する(ステップS602)。
分析部54は、ヘッダ情報に示された送信元IPアドレスおよび送信先IPアドレスがが判定テーブル保存部55に保存された第1判定テーブル101に既に登録されているか否かを判定する(ステップS603)。送信元IPアドレスおよび送信先IPアドレスが登録されている場合、分析部54は、データ伝送の周期を算出して第1判定テーブル101に登録する(ステップS604)。ステップS604では、分析部54は、時刻情報に示された現在時刻と第1判定テーブル101に記録された前回取得時刻との差分時間を周期として算出する。
続いて、分析部54は、受信データから第1フィールド部分の制御値を取得する。このとき、取得した制御値に応じて最小値と最大値をそれぞれ変更する場合には、分析部54は、第2判定テーブル102に変更後の最小値と最大値を登録する。これにより、第2判定テーブル102が更新される(ステップS605)。
一方、送信元IPアドレスおよび送信先IPアドレスが第1判定テーブル101に登録されていない場合、分析部54は、これらを第1判定テーブル101に登録する(ステップS606)。さらに、分析部54は、取得した時刻情報も、第1判定テーブル101に登録する(ステップS607)。この時刻情報に示された現在時刻は、上記送信元IPアドレスおよび送信先IPアドレスのデータ取得時刻として、第1判定テーブル101に記録される。その後、分析部54は、取得した制御値に応じて最小値と最大値をそれぞれ変更する場合、ステップS605で説明したように第2判定テーブル102を更新する。
以上説明した本実施形態によれば、分析部54が診断モードである場合には第1実施形態と同様に、異常の要因が特定されるので、的確に対処することが可能となる。さらに、学習モードでは、異常の要因を特定するための第1判定テーブル101および第2判定テーブル102がそれぞれ自動的に作成される。よって、ユーザの負荷を軽減することが可能になる。
(第3実施形態)
以下、第3実施形態について、第1実施形態および第2実施形態と異なる点を中心に説明する。本実施形態に係る制御システムでは、異常要因判定装置の構成が第1実施形態と異なる。図12は、第3実施形態に係る異常要因判定装置の構成を示すブロック図である。上述した第1実施形態および第2実施形態と同様の構成要素には同じ符号を付し、詳細な説明を省略する。
図12に示す異常要因判定装置50bは、表示部57を有しない点で第1実施形態と異なる。なお、本実施形態においても、異常要因判定装置50bは、ハードウェアで実現されてもよいし、ソフトウェアで実現されてもよい。
異常要因判定装置50bでは、通信インタフェース部51が、ネットワークスイッチ40を介して新たにデータを受信すると、第1実施形態と同様に、ヘッダ情報処理、時刻情報判定処理、およびペイロード処理がこの順で行われる。これらの処理フローは、第1実施形態で説明したステップS200のヘッダ情報処理、ステップS300の時刻情報判定処理、およびステップS400のペイロード処理と同様である。
ただし、本実施形態では、異常要因判定装置50bに表示部57が設けられていない。そのため、各処理の異常ログ確認フローでは、分析部54は、異常の旨をHMI20へ通知する。この場合、HMI20が、異常の旨を表示する。
以上説明した本実施形態によれば、分析部54が、第1実施形態と同様に異常の要因を特定するので、制御システム1の異常に対して的確に対処することが可能となる。さらに、制御システム1のHMI20を活用することで、異常要因判定装置50bは表示機能が不要になる。これにより、異常要因判定装置50bの構成を簡略化でき、装置のコストを低減することができる。
なお、上述した各実施形態では、異常データを1回受信したときに異常判定を行っている。しかし、複数回連続して異常データを受信したときに異常判定を行うこととしてもよい。この場合、異常データの受信回数が、異常判定の回数に到達するまで警告状態として異常ログテーブル103に保存してもよい。
以上、いくつかの実施形態および変形例を説明したが、これらの実施形態は、例としてのみ提示したものであり、発明の範囲を限定することを意図したものではない。本明細書で説明した新規なシステムは、その他の様々な形態で実施することができる。また、本明細書で説明したシステムの形態に対し、発明の要旨を逸脱しない範囲内で、種々の省略、置換、変更を行うことができる。添付の特許請求の範囲およびこれに均等な範囲は、発明の範囲や要ことに含まれるこのような形態や変形例を含むように意図されている。
10 制御装置、40 ネットワークスイッチ、50、50a、50b 異常要因判定装置、53 取得部、54 分析部、55 判定テーブル保存部、56 異常ログ保存部、101 第1判定テーブル、102 第2判定テーブル

Claims (8)

  1. ネットワークを介したデータ通信により機器を制御する制御装置を含む制御システム内に設けられた異常要因判定装置であって、
    前記データ通信で用いられるデータを取得する取得部と、
    前記データの送受信に関する情報を登録した第1判定テーブルを保存する判定テーブル保存部と、
    前記制御システムで過去に発生した異常の要因を示す異常ログを保存する異常ログ保存部と、
    前記第1判定テーブルと前記異常ログとを用いて、前記取得部で取得された前記データを分析し、その分析結果に基づいて前記異常の要因を、前記ネットワークを介した攻撃か、または前記機器の故障であるかを判別する分析部と、
    を備え
    前記第1判定テーブルには、前記データ通信を予め許可された前記データの送信元および送信先を示すヘッダ情報が前記情報として登録され、
    前記分析部は、前記取得部で取得された前記データに前記ヘッダ情報が含まれておらず、かつ、前記異常ログ保存部に、前記異常ログが全く存在しないかまたは攻撃の異常ログが保存されている場合、前記異常の要因を前記ネットワークを介した攻撃であると判定するとともに、判定結果を前記異常ログ保存部に保存する、異常要因判定装置。
  2. 前記分析部は、前記取得部で取得された前記データに前記ヘッダ情報が含まれておらず、かつ、前記異常ログ保存部に故障の異常ログが保存されている場合、前記異常の要因を前記機器の故障であると判定するとともに、判定結果を前記異常ログ保存部に保存する、請求項に記載の異常要因判定装置。
  3. 前記判定テーブル保存部は、前記制御装置を制御する制御値の許容範囲を示す第2判定テーブルも保存し、
    前記分析部は、前記取得部で取得された前記データに含まれた前記制御値が前記許容範囲外であり、かつ、前記異常ログ保存部に、前記異常ログが全く存在しないかまたは故障の異常ログが保存されている場合、前記異常の要因を前記機器の故障であると判定するとともに、判定結果を前記異常ログ保存部に保存する、請求項1に記載の異常要因判定装置。
  4. 前記分析部は、前記取得部で取得された前記データに含まれた前記制御値が前記許容範囲外であり、かつ、前記異常ログ保存部に攻撃の異常ログが保存されている場合、前記異常の要因を前記ネットワークを介した攻撃であると判定するとともに、判定結果を前記異常ログ保存部に保存する、請求項に記載の異常要因判定装置。
  5. 前記分析部の動作モードを、前記異常の要因を判別する診断モードと、前記第1判定テーブルおよび前記第2判定テーブルを作成する学習モードとの間で切り替え可能なモード切替部を備える、請求項またはに記載の異常要因判定装置。
  6. 前記モード切替部が前記分析部の動作モードを前記学習モードに切り替えた場合、前記分析部は、前記取得部で取得した前記データの送信元、送信先、周期、取得時刻を前記第1判定テーブルに登録し、前記データの前記制御値に応じて前記許容範囲を更新する、請求項に記載の異常要因判定装置。
  7. ネットワークを介したデータ通信により機器を制御する制御装置と、前記制御装置を前記ネットワークに接続するネットワークスイッチと、前記ネットワークスイッチに接続された異常要因判定装置と、を備える制御システムであって、
    前記異常要因判定装置は、
    前記データ通信で用いられるデータを取得する取得部と、
    前記データの送受信に関する情報を登録した第1判定テーブルを保存する判定テーブル保存部と、
    前記制御システムで過去に発生した異常の要因を示す異常ログを保存する異常ログ保存部と、
    前記第1判定テーブルと前記異常ログとを用いて、前記取得部で取得された前記データを分析し、その分析結果に基づいて前記異常の要因を、前記ネットワークを介した攻撃か、または前記機器の故障であるかを判別する分析部と、
    を備え
    前記第1判定テーブルには、前記データ通信を予め許可された前記データの送信元および送信先を示すヘッダ情報が前記情報として登録され、
    前記分析部は、前記取得部で取得された前記データに前記ヘッダ情報が含まれておらず、かつ、前記異常ログ保存部に、前記異常ログが全く存在しないかまたは攻撃の異常ログが保存されている場合、前記異常の要因を前記ネットワークを介した攻撃であると判定するとともに、判定結果を前記異常ログ保存部に保存する、制御システム
  8. ネットワークを介したデータ通信により機器を制御する制御装置を含む制御システムの異常要因判定方法であって、
    前記制御システム内に設けられた異常要因判定装置に、前記データ通信で用いられるデータの送受信に関する情報を登録した第1判定テーブルであって、前記データ通信を予め許可された前記データの送信元および送信先を示すヘッダ情報が前記情報として登録された第1判定テーブルを保存し、
    前記異常要因判定装置に、前記制御システムで過去に発生した異常の要因を示す異常ログを保存し、
    前記異常要因判定装置が、記データを取得し、
    前記異常要因判定装置が、記第1判定テーブルと、前記異常ログとを用いて、取得したデータを分析し、
    前記異常要因判定装置が、分析結果に基づいて前記異常の要因を、前記ネットワークを介した攻撃か、または前記機器の故障であるかを判別することであって取得した前記データに前記ヘッダ情報が含まれておらず、かつ、前記異常要因判定装置に、前記異常ログが全く存在しないかまたは攻撃の異常ログが保存されている場合、前記異常の要因を前記ネットワークを介した攻撃であると判定するとともに、判定結果を前記異常要因判定装置に保存する、異常要因判定方法。
JP2018193741A 2018-10-12 2018-10-12 異常要因判定装置、制御システム、および異常要因判定方法 Active JP7102315B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018193741A JP7102315B2 (ja) 2018-10-12 2018-10-12 異常要因判定装置、制御システム、および異常要因判定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018193741A JP7102315B2 (ja) 2018-10-12 2018-10-12 異常要因判定装置、制御システム、および異常要因判定方法

Publications (2)

Publication Number Publication Date
JP2020061717A JP2020061717A (ja) 2020-04-16
JP7102315B2 true JP7102315B2 (ja) 2022-07-19

Family

ID=70220397

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018193741A Active JP7102315B2 (ja) 2018-10-12 2018-10-12 異常要因判定装置、制御システム、および異常要因判定方法

Country Status (1)

Country Link
JP (1) JP7102315B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023132005A (ja) * 2022-03-10 2023-09-22 日立Astemo株式会社 車両診断システム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150341380A1 (en) 2014-05-20 2015-11-26 Electronics And Telecommunications Research Institute System and method for detecting abnormal behavior of control system
US20170277582A1 (en) 2016-03-28 2017-09-28 Ca, Inc. Identification of distinguishable anomalies extracted from real time data streams
WO2018179329A1 (ja) 2017-03-31 2018-10-04 日本電気株式会社 抽出装置、抽出方法、コンピュータ可読媒体

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150341380A1 (en) 2014-05-20 2015-11-26 Electronics And Telecommunications Research Institute System and method for detecting abnormal behavior of control system
US20170277582A1 (en) 2016-03-28 2017-09-28 Ca, Inc. Identification of distinguishable anomalies extracted from real time data streams
WO2018179329A1 (ja) 2017-03-31 2018-10-04 日本電気株式会社 抽出装置、抽出方法、コンピュータ可読媒体

Also Published As

Publication number Publication date
JP2020061717A (ja) 2020-04-16

Similar Documents

Publication Publication Date Title
US7738461B2 (en) Communication apparatus and switching device
EP3026863B1 (en) Firewall with application packet classifier
US8064353B2 (en) Communication device, communication system, and communication fault detection method
US20090257431A1 (en) Global broadcast communication system
US8732536B2 (en) Communication system and communication apparatus state determining method
CN112637368B (zh) 分布式工业数据采集系统及方法
US20160105337A1 (en) Apparatus and method for analyzing a control network
JP7102315B2 (ja) 異常要因判定装置、制御システム、および異常要因判定方法
US20190033810A1 (en) Method and device for monitoring data processing and transmission in a security chain of a security system
JP2010187244A (ja) 端末装置間のトークン異常検出/回復方式
JP5866067B2 (ja) プログラマブル表示器
US10459816B2 (en) Communication setting notification apparatus
US11165602B2 (en) Communication system, controlled device, and control method for communication system
Johannes et al. Risk Analysis in Fieldbus Networks Using the Example of KNX
JP2011134061A (ja) プログラマブルコントローラ
US10805334B2 (en) Method and system for detection and avoidance of weaknesses in a network connected device
US20180077004A1 (en) Terminal monitoring control device
KR101628089B1 (ko) 네트워크 기기 및 그것의 장애 복구 보장 방법
CN110011914B (zh) 管理报文的转发方法及装置
US20230005359A1 (en) Method for automatically analyzing and filtering out redundant alarms in the fault management system of radio transceiver stations
JP6301750B2 (ja) 中継装置
JP7318021B2 (ja) 変電所自動化システムにおける装置に関するケーブル配線問題を検出及び軽減するための方法及びシステム
JP2020068401A (ja) 異常要因判定装置およびその表示装置
TWI401626B (zh) 電子郵件報警系統及方法
JP6162996B2 (ja) ネットワーク制御装置及び方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210301

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220706

R150 Certificate of patent or registration of utility model

Ref document number: 7102315

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150