JP7300874B2 - COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND CONTROL SYSTEM - Google Patents

COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND CONTROL SYSTEM Download PDF

Info

Publication number
JP7300874B2
JP7300874B2 JP2019076902A JP2019076902A JP7300874B2 JP 7300874 B2 JP7300874 B2 JP 7300874B2 JP 2019076902 A JP2019076902 A JP 2019076902A JP 2019076902 A JP2019076902 A JP 2019076902A JP 7300874 B2 JP7300874 B2 JP 7300874B2
Authority
JP
Japan
Prior art keywords
control device
communication data
communication
execution
communication control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019076902A
Other languages
Japanese (ja)
Other versions
JP2020177258A (en
Inventor
功 佐川
博和 廣瀬
誠司 松▲崎▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Heavy Industries Ltd
Original Assignee
Mitsubishi Heavy Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Heavy Industries Ltd filed Critical Mitsubishi Heavy Industries Ltd
Priority to JP2019076902A priority Critical patent/JP7300874B2/en
Publication of JP2020177258A publication Critical patent/JP2020177258A/en
Application granted granted Critical
Publication of JP7300874B2 publication Critical patent/JP7300874B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本開示は、制御システムのセキュリティの向上に関する。 The present disclosure relates to improving control system security.

石油、ガス、電力、製造などのインフラストラクチャを支える産業用制御システム(ICS:Industrial Control Systems)の制御装置(例えばDCS:Distributed Control System)は、制御ネットワークを介してプラントに設置された複数のフィールド機器に接続し、これらの制御や監視を行う(特許文献1~2参照)。例えば、制御装置は、プラントの操作および監視を行うためのHMI(Human Machine Interface)となる操作端末に通信ネットワーク(制御情報ネットワークなど)で接続され、このような操作端末から送信される命令に基づいて、各フィールド機器の制御や監視を実行する。 Industrial Control Systems (ICS) controllers (e.g. DCS: Distributed Control Systems) that support the infrastructure of oil, gas, power, manufacturing, etc. are connected to multiple fields installed in a plant via a control network. It connects to devices and controls and monitors them (see Patent Documents 1 and 2). For example, the control device is connected to an operation terminal that serves as an HMI (Human Machine Interface) for operating and monitoring the plant via a communication network (such as a control information network), and based on commands transmitted from such an operation terminal control and monitor each field device.

近年、このような産業用制御システムが外部ネットワークに接続されるようになってきており、サイバー攻撃に対するセキュリティ対策の重要性が増している。例えば、制御装置への指令(操作)が許可されている正規の操作端末がウイルス感染した場合や、不正なコンピュータによる正規の操作端末のなりすましが行われた場合に、制御装置に対して不正な制御指令がなされる可能性がある。このような不正な制御指令が制御装置に通信されるのをブロックする為にはまずは不正侵入を検知することが重要である。この不正侵入の検知は、ネットワークを流れる情報を監視する方法が一般的であり、例えば、制御装置宛てのパケットの構造(フォーマット)や値を評価することにより不正なパケット(不正侵入)を検知することが可能である。 In recent years, such industrial control systems have come to be connected to external networks, increasing the importance of security measures against cyberattacks. For example, if a legitimate operating terminal that is permitted to issue commands (operations) to the control device is infected with a virus, or if an unauthorized computer spoofs a legitimate operating terminal, unauthorized access to the control device may occur. A control command may be made. In order to block such unauthorized control commands from being communicated to the control device, it is important to first detect unauthorized access. This unauthorized intrusion is generally detected by monitoring the information flowing through the network. For example, by evaluating the structure (format) and value of the packet addressed to the control device, unauthorized packets (unauthorized intrusion) are detected. Is possible.

特開2011-221846号公報JP 2011-221846 A 特開2012-226680号公報JP 2012-226680 A

しかしながら、制御装置宛てのパケットの構造や値を評価することにより不正なパケットかどうかを判定する手法では、パケットが正しい構造、および適正な範囲の値を有している場合には、悪意のある不正パケットを検知できない。 However, in the method of determining whether or not a packet is malicious by evaluating the structure and values of the packet addressed to the control device, if the packet has a correct structure and values within a proper range, malicious Unauthorized packets cannot be detected.

上述の事情に鑑みて、本発明の少なくとも一実施形態は、正規の操作端末の操作に基づいて行われる制御装置への通信を検知し、許可する通信制御装置を提供することを目的とする。 In view of the above circumstances, it is an object of at least one embodiment of the present invention to provide a communication control device that detects and permits communication to a control device that is performed based on an authorized operation of an operation terminal.

(1)本発明の少なくとも一実施形態に係る通信制御装置は、
制御装置の操作端末で実行された前記制御装置に対する指令の実行操作を記録した操作ログを取得するよう構成された操作ログ取得部と、
前記制御装置を宛先とする通信データである対象通信データが、前記操作ログに記録された前記実行操作に応じて前記操作端末から送信された正規の通信データであるか否かを判定するための特徴情報を前記操作ログから抽出するよう構成された特徴情報抽出部と、
前記対象通信データに対する前記特徴情報に基づく通信制御の実行を指示するよう構成された指示部と、を備える。 (1) A communication control device according to at least one embodiment of the present invention,
an operation log acquisition unit configured to acquire an operation log recording an operation for executing a command to the control device, which is executed by an operation terminal of the control device;
determining whether target communication data, which is communication data destined for the control device, is legitimate communication data transmitted from the operation terminal in response to the execution operation recorded in the operation log; a feature information extraction unit configured to extract feature information from the operation log;
an instruction unit configured to instruct execution of communication control based on the feature information for the target communication data.

上記(1)の構成によれば、通信制御装置は、制御装置に対する指令(操作)が許可された正規の操作端末から取得した操作ログから、制御装置宛ての通信データ(対象通信データ)が正規の操作端末におけるオペレータの操作に基づいて送信された通信データであるか否かを判定するための特徴情報を抽出すると共に、その特徴情報に基づく通信制御の実行を通信制御実行部などに指示する。 According to the above configuration (1), the communication control device determines that the communication data addressed to the control device (target communication data) is authorized from the operation log acquired from the authorized operation terminal that is permitted to issue commands (operations) to the control device. Extracts feature information for determining whether or not the communication data is transmitted based on the operator's operation on the operation terminal, and instructs a communication control execution unit or the like to execute communication control based on the feature information .

これによって、制御装置宛ての対象通信データを受信した際に、上記の特徴情報を用いることで、対象通信データがオペレータの操作に基づいて送信されたものであるか否かの判定を可能にすることができる。したがって、オペレータの操作に基づいて行われた制御装置への通信(指令)を許可しつつ、上記の操作ログにないような、例えばウイルスに感染した正規の操作端末からのオペレータの操作に基づかずに行われた通信や、不正なコンピュータからの通信など、対象通信データの構造や値を評価することでは検知できない不正な通信(不正侵入)の検知を可能にすることができる。 Thus, when the target communication data addressed to the control device is received, it is possible to determine whether or not the target communication data has been transmitted based on the operator's operation by using the characteristic information. be able to. Therefore, while permitting the communication (command) to the control device based on the operator's operation, it is not based on the operator's operation from the legitimate operation terminal infected with virus, which is not in the above operation log. It is possible to detect unauthorized communication (unauthorized intrusion) that cannot be detected by evaluating the structure and value of the target communication data, such as communication made to a device or communication from an unauthorized computer.

(2)幾つかの実施形態では、上記(1)の構成において、
通信ネットワークから前記対象通信データを受信する受信部と、
受信された前記対象通信データが前記特徴情報に一致するか否かの判定を通して、前記対象通信データに対する前記通信制御を実行する通信制御実行部と、をさらに備える。
上記(2)の構成によれば、上述した指令部によって指示された特徴情報に基づいて、通信ネットワークから受信した対象通信データに対する通信制御を実行する。これによって、不正侵入の検知、および、その遮断を行うことができる。 (2) In some embodiments, in the configuration of (1) above,
a receiving unit that receives the target communication data from a communication network;
and a communication control execution unit that executes the communication control for the target communication data by determining whether or not the received target communication data matches the characteristic information.
According to the above configuration (2), communication control is executed for the target communication data received from the communication network based on the characteristic information instructed by the command section. This makes it possible to detect and block illegal intrusions.

(3)幾つかの実施形態では、上記(1)~(2)の構成において、
前記特徴情報は、前記実行操作された実行コマンドを含む。
上記(3)の構成によれば、特徴情報は、正規の操作端末においてオペレータにより実行された実行コマンドを含む。これによって、実行コマンドを含む特徴情報に基づいて、受信される対象通信データのうちからの、制御装置へ転送可能な対象通信データの判別を可能にすることができる。 (3) In some embodiments, in the configurations of (1) to (2) above,
The feature information includes the executed command.
According to the above configuration (3), the feature information includes an execution command executed by the operator at the authorized operation terminal. This makes it possible to determine target communication data that can be transferred to the control device from the received target communication data based on the feature information including the execution command.

(4)幾つかの実施形態では、上記(3)の構成において、
前記対象通信データを受信した受信時刻を生成するよう構成された受信時刻生成部を、さらに備え、
前記特徴情報は、前記実行コマンドが前記実行操作された操作時刻を、さらに含む。 (4) In some embodiments, in the configuration of (3) above,
further comprising a reception time generation unit configured to generate a reception time at which the target communication data is received;
The characteristic information further includes an operation time when the execution command is operated.

上記(4)の構成によれば、特徴情報は、正規の操作端末においてオペレータの操作により実行された実行コマンドおよびその操作時刻(コマンドの操作時刻)を含む。これによって、実行コマンドおよびその操作時刻を含む特徴情報に基づいて、受信される対象通信データのうちからの、制御装置へ転送可能な対象通信データの判別をより適切にできるようにすることができる。 According to the above configuration (4), the feature information includes the execution command executed by the operator's operation on the authorized operation terminal and the operation time (command operation time). This makes it possible to more appropriately determine target communication data that can be transferred to the control device from the received target communication data based on the feature information including the execution command and its operation time. .

(5)幾つかの実施形態では、上記(4)の構成において、
前記操作端末の内部時刻と、前記受信時刻生成部が前記受信時刻の生成に用いる内部時刻とはNTPプロトコルによって同期されている。 (5) In some embodiments, in the configuration of (4) above,
The internal time of the operating terminal and the internal time used by the reception time generator to generate the reception time are synchronized by the NTP protocol.

上記(5)の構成によれば、操作端末の内部時刻(システムクロック)と、通信制御装置の内部時刻(システムクロック)とがNTPプロトコルにより同期される。これによって、操作時刻と受信時刻が一致するか否かの判定を精度良く行うことができる。 According to the above configuration (5), the internal time (system clock) of the operation terminal and the internal time (system clock) of the communication control device are synchronized by the NTP protocol. This makes it possible to accurately determine whether or not the operation time and the reception time match.

(6)幾つかの実施形態では、上記(1)~(5)の構成において、
前記特徴情報は、前記対象通信データの宛先ポート番号を含む。
上記(6)の構成によれば、特徴情報は、宛先ポート番号を含む。これによって、宛先ポート番号を含む特徴情報に基づいて、受信される対象通信データのうちからの、制御装置へ転送可能な対象通信データの判別を可能にすることができる。 (6) In some embodiments, in the configurations of (1) to (5) above,
The characteristic information includes a destination port number of the target communication data.
According to configuration (6) above, the feature information includes the destination port number. This makes it possible to determine target communication data that can be transferred to the control device from the received target communication data based on the feature information including the destination port number.

(7)本発明の少なくとも一実施形態に係る通信制御方法は、
制御装置の操作端末で実行された前記制御装置に対する指令の実行操作を記録した操作ログを取得するよう構成された操作ログ取得ステップと、
前記制御装置を宛先とする通信データである対象通信データが、前記操作ログに記録された前記実行操作に応じて前記操作端末から送信された正規の通信データであるか否かを判定するための特徴情報を前記操作ログから抽出するよう構成された特徴情報抽出ステップと、
前記対象通信データに対する前記特徴情報に基づく通信制御の実行を指示するよう構成された指示ステップと、を備える。
上記(7)の構成によれば、上記(1)と同様の効果を奏する。 (7) A communication control method according to at least one embodiment of the present invention,
an operation log acquisition step configured to acquire an operation log recording operations for executing commands to the control device executed by an operation terminal of the control device;
determining whether target communication data, which is communication data destined for the control device, is legitimate communication data transmitted from the operation terminal in response to the execution operation recorded in the operation log; a feature information extraction step configured to extract feature information from the operation log;
and an instruction step configured to instruct execution of communication control based on the feature information for the target communication data.
According to the configuration of (7) above, the same effect as that of (1) above is achieved.

(8)本発明の少なくとも一実施形態に係る制御システムは、
上記(1)~(6)のいずれか1項に記載の通信制御装置と、
プラントの制御装置と、
前記制御装置に対する指令の実行操作に応じて、前記実行操作を記録した操作ログを生成し、前記通信制御装置に送信すると共に、前記指令を前記制御装置に送信する操作端末と、を備える。
上記(8)の構成によれば、上記(1)と同様の効果を奏する。 (8) A control system according to at least one embodiment of the present invention,
a communication control device according to any one of (1) to (6) above;
a plant controller;
an operation terminal that generates an operation log recording the execution operation in response to an instruction execution operation for the control device, transmits the operation log to the communication control device, and transmits the command to the control device.
According to the configuration of (8) above, the same effect as that of (1) above can be obtained.

本発明の少なくとも一実施形態によれば、正規の操作端末の操作に基づいて行われる制御装置への通信を検知し、許可する通信制御装置が提供される。 According to at least one embodiment of the present invention, there is provided a communication control device that detects and permits communication to the control device based on manipulation of an authorized operating terminal.

本発明の一実施形態に係る通信制御装置を含む制御システムの構成を概略的に示す図である。1 is a diagram schematically showing the configuration of a control system including a communication control device according to one embodiment of the present invention; FIG. 本発明の一実施形態に係る機能分散された通信制御装置の構成例を概略的に示す図である。1 is a diagram schematically showing a configuration example of a functionally distributed communication control apparatus according to an embodiment of the present invention; FIG. 本発明の一実施形態に係る操作端末、通信制御装置および制御装置間のシーケンス図である。3 is a sequence diagram among an operation terminal, a communication control device, and a control device according to one embodiment of the present invention; FIG. 本発明の一実施形態に係る通信制御方法を示す図である。It is a figure which shows the communication control method which concerns on one Embodiment of this invention.

以下、添付図面を参照して本発明の幾つかの実施形態について説明する。ただし、実施形態として記載されている又は図面に示されている構成部品の寸法、材質、形状、その相対的配置等は、本発明の範囲をこれに限定する趣旨ではなく、単なる説明例にすぎない。
例えば、「ある方向に」、「ある方向に沿って」、「平行」、「直交」、「中心」、「同心」或いは「同軸」等の相対的或いは絶対的な配置を表す表現は、厳密にそのような配置を表すのみならず、公差、若しくは、同じ機能が得られる程度の角度や距離をもって相対的に変位している状態も表すものとする。
例えば、「同一」、「等しい」及び「均質」等の物事が等しい状態であることを表す表現は、厳密に等しい状態を表すのみならず、公差、若しくは、同じ機能が得られる程度の差が存在している状態も表すものとする。
例えば、四角形状や円筒形状等の形状を表す表現は、幾何学的に厳密な意味での四角形状や円筒形状等の形状を表すのみならず、同じ効果が得られる範囲で、凹凸部や面取り部等を含む形状も表すものとする。
一方、一の構成要素を「備える」、「具える」、「具備する」、「含む」、又は、「有する」という表現は、他の構成要素の存在を除外する排他的な表現ではない。 Several embodiments of the present invention will now be described with reference to the accompanying drawings. However, the dimensions, materials, shapes, relative arrangements, etc. of the components described as embodiments or shown in the drawings are not intended to limit the scope of the present invention, and are merely illustrative examples. do not have.
For example, expressions denoting relative or absolute arrangements such as "in a direction", "along a direction", "parallel", "perpendicular", "center", "concentric" or "coaxial" are strictly not only represents such an arrangement, but also represents a state of relative displacement with a tolerance or an angle or distance to the extent that the same function can be obtained.
For example, expressions such as "identical", "equal", and "homogeneous", which express that things are in the same state, not only express the state of being strictly equal, but also have tolerances or differences to the extent that the same function can be obtained. It shall also represent the existing state.
For example, expressions that express shapes such as squares and cylinders do not only represent shapes such as squares and cylinders in a geometrically strict sense, but also include irregularities and chamfers to the extent that the same effect can be obtained. The shape including the part etc. shall also be represented.
On the other hand, the expressions "comprising", "comprising", "having", "including", or "having" one component are not exclusive expressions excluding the presence of other components.

図1は、本発明の一実施形態に係る通信制御装置1を含む制御システム8の構成を概略的に示す図である。図2は、本発明の一実施形態に係る機能分散された通信制御装置1の構成例を概略的に示す図である。図3は、本発明の一実施形態に係る操作端末82、通信制御装置1および制御装置81間のシーケンス図である。 FIG. 1 is a diagram schematically showing the configuration of a control system 8 including a communication control device 1 according to one embodiment of the invention. FIG. 2 is a diagram schematically showing a configuration example of a functionally distributed communication control apparatus 1 according to an embodiment of the present invention. FIG. 3 is a sequence diagram among the operation terminal 82, the communication control device 1 and the control device 81 according to one embodiment of the present invention.

図1~図3に示すように、制御システム8は、例えばプラントに設置されたフィールド機器(不図示)などの機器を制御するよう構成された制御装置81と、この制御装置81に通信ネットワークNを介して接続され、オペレータによる操作などに応じて制御装置81に対する指令(通信)の実行が可能な操作端末82と、上記の通信ネットワークNを介してなされる制御装置81への通信制御を実行する通信制御装置1と、を備える。 As shown in FIGS. 1 to 3, the control system 8 includes a control device 81 configured to control devices such as field devices (not shown) installed in a plant, and a communication network N connected to the control device 81. and an operation terminal 82 capable of executing commands (communications) to the control device 81 according to operations by an operator, etc., and executing communication control to the control device 81 via the communication network N and a communication control device 1 that performs

図1~図3に示す実施形態では、制御システム8は、電力、ガス、水道などの社会インフラや、発電プラント、化学プラントなどのプラントの監視および制御のための産業用制御システム(ICS)である。この制御システム8において、上記の制御装置81は、プラントの自動制御および現場との入出力処理を実行する例えばDCSなどの装置である。また、上記の操作端末82は、プラントの操作および監視を行うヒューマンマシンインタフェース(HMI)となるオペレータステーション(OPS)である。これらの制御装置81および操作端末82は、例えばイーサネット(登録商標)などで構築される通信ネットワークNである制御情報ネットワークN1にそれぞれ接続されている。そして、制御装置81は、オペレータの操作に従って操作端末82から送信され、制御情報ネットワークN1を通って通信されるプラントに対する指令を受信すると、その指令内容に応じて、制御ネットワークN2側に接続されているフィールド機器84の制御の実行といった指令の実行や、応答の返信の実行などを行うようになっている。 In the embodiments shown in FIGS. 1-3, the control system 8 is an industrial control system (ICS) for monitoring and controlling social infrastructure such as electric power, gas, and water, and plants such as power plants and chemical plants. be. In the control system 8, the control device 81 is a device such as a DCS that executes automatic control of the plant and input/output processing with the site. The operation terminal 82 is an operator station (OPS) that serves as a human-machine interface (HMI) for operating and monitoring the plant. The control device 81 and the operation terminal 82 are connected to a control information network N1, which is a communication network N constructed by Ethernet (registered trademark), for example. When the control device 81 receives a command for the plant transmitted from the operation terminal 82 according to the operator's operation and communicated through the control information network N1, it is connected to the control network N2 side according to the content of the command. It is designed to execute a command such as execution of control of the field device 84 in which the field device 84 is located, execute a reply of a response, and the like.

なお、図1~図3に示す実施形態では、操作端末82は制御情報ネットワークN1に接続されているが、他の幾つかの実施形態では、操作端末82は、制御情報ネットワークN1に接続された、不図示の企業内LANやインターネット(外部ネットワーク)などの他の通信ネットワークNに接続されていても良い。この制御情報ネットワークN1は、プラントの制御や監視、管理を行うための上述した操作端末82などの各種のコンピュータ装置と制御装置81とを接続するネットワーク(IPネットワークなど)であり、ファイアウォール(不図示)を介して、他の通信ネットワークに接続されている。 1 to 3, the operation terminal 82 is connected to the control information network N1, but in some other embodiments the operation terminal 82 is connected to the control information network N1. , an intra-company LAN (not shown) or the Internet (external network), or other communication network N. This control information network N1 is a network (IP network, etc.) that connects various computer devices such as the operation terminal 82 described above for controlling, monitoring, and managing the plant and the control device 81, and a firewall (not shown). ) to other communication networks.

そして、上記の通信制御装置1は、上述したような制御装置81および操作端末82と通信可能に通信ネットワークNに接続された状態で、制御装置81への通信制御を実行するように構成される。
以下、この通信制御装置1について、図1~図3を用いて詳細に説明する。 The communication control device 1 is configured to execute communication control to the control device 81 while being connected to the communication network N so as to be communicable with the control device 81 and the operation terminal 82 as described above. .
The communication control device 1 will be described in detail below with reference to FIGS. 1 to 3. FIG.

図1に示すように、通信制御装置1は、操作ログ取得部2と、特徴情報抽出部3と、指示部4と、を備える。図1~図3に示す実施形態では、通信制御装置1は、通信ネットワークNから通信データを受信する受信部22と、制御装置81を宛先とする通信の通信制御を実行する通信制御実行部5と、をさらに備える。通信制御装置1が備える上記の機能部について、それぞれ説明する。 As shown in FIG. 1 , the communication control device 1 includes an operation log acquisition section 2 , a characteristic information extraction section 3 and an instruction section 4 . In the embodiment shown in FIGS. 1 to 3, the communication control device 1 includes a receiving unit 22 that receives communication data from the communication network N, and a communication control execution unit 5 that executes communication control for communication with the control device 81 as the destination. And further comprising. Each of the functional units provided in the communication control device 1 will be described.

なお、通信制御装置1は、例えばコンピュータで構成されており、図示しないCPU(プロセッサ)や、ROMやRAMといったメモリなどの記憶装置mを備えている。そして、主記憶装置にロードされたプログラム(通信制御プログラム)の命令に従ってCPUが動作(データの演算など)することで、通信制御装置1が備える後述するような各機能部を実現する。また、以下の説明で用いる通信データは、制御装置に対して指令を行うために必要な情報(アプリケーション層のデータ。以下、通信情報)を運ぶ例えばIPパケットなどのOSIの第3層のデータであるものとして説明するが、通信情報を意味しても良いし、IPパケットを運ぶ第2層のイーサネット(登録商標)フレームなどを意味しても良い。 The communication control device 1 is composed of, for example, a computer, and includes a CPU (processor) (not shown) and a storage device m such as memory such as ROM and RAM. Then, the CPU operates (calculates data, etc.) according to the instructions of the program (communication control program) loaded in the main storage device, thereby realizing each functional unit provided in the communication control device 1, which will be described later. Communication data used in the following description is OSI layer 3 data such as an IP packet that carries information (application layer data, hereinafter referred to as communication information) necessary for issuing a command to the control device. Although described as one, it may mean communication information, or may mean a layer 2 Ethernet (registered trademark) frame carrying an IP packet, or the like.

操作ログ取得部2は、制御装置81の操作端末82において実行された制御装置81に対する指令の実行操作を記録した操作ログHを取得するよう構成された機能部である。より詳細には、操作ログ取得部2は、上記の受信部22および通信ネットワークN(図1~図3では制御情報ネットワークN1)を介して操作端末82と通信することにより、操作ログHを取得する。例えば、幾つかの実施形態では、操作端末82は、オペレータの操作に基づいて制御装置81への指令の通信を行う際に、操作ログHを通信制御装置1に対して送信することにより、操作ログ取得部2は操作ログHを取得しても良い(図3参照)。この場合、操作端末82は、通信制御装置1に代えて、通信ネットワークNに接続された他の装置(不図示)に対して操作の実行内容を送信すると共に、通信制御装置1はこの他の装置に蓄積された操作ログHを取得しても良い。他の幾つかの実施形態では、操作ログ取得部2から操作端末82に対して操作ログHの送信を要求することにより、操作ログ取得部2が操作ログHを取得するように構成されていても良い。 The operation log acquisition unit 2 is a functional unit configured to acquire an operation log H that records command execution operations for the control device 81 executed on the operation terminal 82 of the control device 81 . More specifically, the operation log acquisition unit 2 acquires the operation log H by communicating with the operation terminal 82 via the reception unit 22 and the communication network N (the control information network N1 in FIGS. 1 to 3). do. For example, in some embodiments, the operation terminal 82 transmits an operation log H to the communication control device 1 when communicating a command to the control device 81 based on an operator's operation. The log acquisition unit 2 may acquire the operation log H (see FIG. 3). In this case, instead of the communication control device 1, the operation terminal 82 transmits the operation execution details to another device (not shown) connected to the communication network N, and the communication control device 1 An operation log H accumulated in the device may be obtained. In some other embodiments, the operation log acquisition unit 2 is configured to acquire the operation log H by requesting the operation terminal 82 to transmit the operation log H from the operation log acquisition unit 2. Also good.

また、上記の操作ログHは、オペレータが、操作端末82のディスプレイ上の表示(表示画面)を見ながら、操作端末82の入出力装置(マウス、キーボード、タッチパネル、操作ボタンなど)を操作(実行操作)することにより制御装置81に対して実行された指令内容の記録である。この操作ログHは、操作端末82から制御装置81に送信される通信情報(前述)と同じ情報を含んでいても良いし、その通信情報に含まれる情報のうちの少なくとも一部(後述する実行コマンドCなど)を含んでも良い。後述する操作時刻Teを含んでも良い。通信を実行するのに用いた送信元や宛先に関するポート番号およびアドレスなどの通信制御情報(パケットのヘッダ部の情報)を含んでも良い。 In addition, the operation log H described above allows the operator to operate (execute) the input/output device (mouse, keyboard, touch panel, operation button, etc.) of the operation terminal 82 while viewing the display (display screen) of the operation terminal 82. It is a record of the command contents executed to the control device 81 by performing the operation. This operation log H may include the same information as the communication information (described above) transmitted from the operation terminal 82 to the control device 81, or at least part of the information included in the communication information (execution log described later). command C, etc.). An operation time Te, which will be described later, may be included. It may also include communication control information (packet header information) such as port numbers and addresses related to the source and destination used to execute communication.

すなわち、操作端末82においては、そのOS(Operating System)上で、プラントの操作および監視を行うアプリケーションが動作している。そして、このアプリケーションは、オペレータによる入出力装置の操作を通して制御装置81に対する指令の実行の入力(実行操作)を受けると、その指令内容に対応する操作ログHを生成すると共に、制御装置81への上記の指令の通信を実行するのに必要なアドレス、ポート番号などの情報を記憶装置mから取得しつつ、OSの機能(APIなど)を用いて指令の通信を実行するようになっている。つまり、上記の実行操作は、指令を選択あるいは入力した後、実行ボタンのクリック操作あるいはエンターキーの押下などであっても良く、この実行操作に応じて、操作ログHが生成、および制御装置81に対する通信が開始されても良い。なお、操作端末82は生成した操作ログHを蓄積した操作履歴を管理しても良い。 That is, in the operation terminal 82, an application for operating and monitoring the plant is running on its OS (Operating System). When this application receives an input (execution operation) to execute a command to the control device 81 through the operation of the input/output device by the operator, the application generates an operation log H corresponding to the contents of the command, and sends a command to the control device 81. While acquiring information such as the address and port number necessary for executing the command communication from the storage device m, the command communication is executed using the functions of the OS (such as API). In other words, the above execution operation may be a click operation of an execution button or pressing of an enter key after selecting or inputting a command. may be initiated. Note that the operation terminal 82 may manage an operation history in which the generated operation log H is accumulated.

ただし、本実施形態に本発明は限定されない。他の幾つかの実施形態では、通信制御装置1と操作端末82とは、両者を接続する通信ネットワークN(N1)とは異なるネットワーク、あるいは、両者を直接接続する通信線を介して通信することにより、操作ログ取得部2は操作端末82から操作ログHを取得しても良い。 However, the present invention is not limited to this embodiment. In some other embodiments, the communication control device 1 and the operation terminal 82 communicate via a network different from the communication network N (N1) that connects them, or via a communication line that directly connects them. Therefore, the operation log acquisition unit 2 may acquire the operation log H from the operation terminal 82 .

特徴情報抽出部3は、上述した操作ログHから特徴情報Fを抽出するよう構成された機能部である。この特徴情報Fは、通信ネットワークNなどから受信される、制御装置81を宛先とする通信データ(以下、対象通信データDc)が、操作ログHに記録された実行操作に応じて操作端末82から送信された正規の通信データであるか否かを判定するための情報である。より具体的には、特徴情報Fは1以上の個別情報を含んでおり、全ての個別情報に一致する情報が含まれる対象通信データDcを、正規の通信データと判定するのに用いられる。なお、個別情報は、後述するような実行コマンドCや操作時刻(実行時刻)を含んでいても良いし、ポート番号であっても良い。 The feature information extraction unit 3 is a functional unit configured to extract the feature information F from the operation log H described above. This feature information F is communication data addressed to the control device 81 (hereinafter referred to as target communication data Dc) received from the communication network N or the like from the operation terminal 82 according to the execution operation recorded in the operation log H. This is information for determining whether or not the transmitted regular communication data. More specifically, the feature information F includes one or more pieces of individual information, and is used to determine target communication data Dc containing information that matches all pieces of individual information as legitimate communication data. The individual information may include an execution command C and an operation time (execution time), which will be described later, or may be a port number.

図2~図3に示す実施形態では、操作ログHは、規定のフォーマットに従って生成されており、特徴情報抽出部3は、このフォーマットの情報に基づいて、操作ログHから特徴情報Fの抽出を行うようになっている。 In the embodiment shown in FIGS. 2 and 3, the operation log H is generated according to a prescribed format, and the characteristic information extraction unit 3 extracts the characteristic information F from the operation log H based on the information in this format. It is supposed to be done.

指示部4は、上記の通信ネットワークNから受信される対象通信データDcに対する特徴情報Fに基づく通信制御の実行を指示するよう構成された機能部である。図1~図3に示す実施形態では、図1に示すように、指示部4は、通信制御実行部5に接続されており、通信制御実行部5に対して上記の指示を送信(実行)する。この通信制御実行部5は、上述した受信部22に接続されており、受信部22が通信ネットワークNから受信した対象通信データDcが入力されるようになっている。そして、通信制御実行部5は、その対象通信データDcが特徴情報Fに一致するか否かの判定を実行すると共に、一致すると判定した対象通信データDcを制御装置81に転送し、一致しないと判定した対象通信データDcを制御装置81に転送せずに、例えば破棄などする。 The instruction unit 4 is a functional unit configured to instruct execution of communication control based on the feature information F for the target communication data Dc received from the communication network N described above. In the embodiment shown in FIGS. 1 to 3, as shown in FIG. 1, the instruction unit 4 is connected to the communication control execution unit 5, and transmits (executes) the above instruction to the communication control execution unit 5. do. The communication control execution unit 5 is connected to the reception unit 22 described above, and receives the target communication data Dc received by the reception unit 22 from the communication network N. As shown in FIG. Then, the communication control execution unit 5 determines whether or not the target communication data Dc matches the feature information F, and transfers the target communication data Dc determined to match to the control device 81. For example, the determined target communication data Dc is discarded without being transferred to the control device 81 .

また、上述した構成を備える通信制御装置1は、幾つかの実施形態では、全ての機能部が1つの筐体に収められているなど、1つの装置で実現されていても良い。他の幾つかの実施形態では、図2~図3に示すように、複数の筐体(装置)に機能分散されていても良い。また、少なくとも通信制御実行部5は、制御装置81と同じ筐体内に設けられるなど、通信制御装置1の機能部の一部または全部が、制御装置81の内部に設けられても良い。 Further, in some embodiments, the communication control device 1 having the above-described configuration may be realized by one device such that all functional units are housed in one housing. In some other embodiments, the functionality may be distributed across multiple enclosures (apparatuses), as shown in FIGS. 2-3. Moreover, part or all of the functional units of the communication control device 1 may be provided inside the control device 81 , such as at least the communication control execution unit 5 being provided in the same housing as the control device 81 .

図2~図3に示す実施形態では、通信制御装置1は、上述した操作ログ取得部2と、特徴情報抽出部3と、指示部4と、を備える仲介装置11と、上述した通信制御実行部5を備えるファイアウォール12とに機能分散されている。また、仲介装置11は操作ログHを通信するための受信部22を備え、ファイアウォール12は対象通信データDcを受信するための受信部22を備えており、それぞれが自身の受信部22を介して、制御情報ネットワークN1に接続されている。また、制御装置81は、ファイアウォール12を介して制御情報ネットワークN1に接続されている。そして、仲介装置11からファイアウォール12に対して、上記の指示としての特徴情報Fの通信が制御情報ネットワークN1を介してなされるようになっている。 In the embodiment shown in FIGS. 2 and 3, the communication control device 1 includes an intermediate device 11 including the operation log acquisition unit 2, the feature information extraction unit 3, and the instruction unit 4 described above, and the communication control execution unit described above. The firewall 12 with the part 5 is functionally distributed. Further, the intermediary device 11 has a receiving unit 22 for communicating the operation log H, and the firewall 12 has a receiving unit 22 for receiving the target communication data Dc. , is connected to the control information network N1. Also, the control device 81 is connected to the control information network N1 via the firewall 12 . Then, communication of the feature information F as the above instruction is performed from the intermediary device 11 to the firewall 12 via the control information network N1.

より詳細には、図2~図3に示す実施形態では、図3に示すような処理を経て、対象通信データDcに対する通信制御がなされるようになっている。すなわち、図3のステップS30において、操作端末82において、オペレータの操作によって制御装置81に対する指令が実行されると、まずは、ステップS31において、その操作ログHが仲介装置11に送信される。そして、ステップS32において、仲介装置11が上記の操作ログHを受信すると、ステップS33において操作ログHから特徴情報Fを抽出し、ファイアウォール12に送信する。ステップS34において、ファイアウォール12が特徴情報Fを受信すると、ステップS35において、通信制御実行部5に対して、特徴情報Fに一致する制御装置宛ての通信データの通過を許可し、特徴情報Fに一致しない制御装置宛ての通信データの通過を許可しない設定を行う。 More specifically, in the embodiment shown in FIGS. 2 and 3, communication control is performed on the target communication data Dc through the processing shown in FIG. That is, in step S30 of FIG. 3, when a command to the control device 81 is executed by the operator's operation on the operation terminal 82, first, the operation log H is transmitted to the intermediate device 11 in step S31. Then, in step S32, when the intermediary device 11 receives the operation log H, it extracts the characteristic information F from the operation log H and transmits it to the firewall 12 in step S33. In step S34, when the firewall 12 receives the characteristic information F, in step S35, the communication control execution unit 5 is permitted to pass communication data addressed to the control device that matches the characteristic information F, and Do not permit the passage of communication data destined for the control device.

一方、操作端末82は、ステップS31の実行後、規定期間の経過後に、ステップS36を実行し、上述したオペレータによる実行操作された指令を、制御装置81を宛先とする例えばIPパケットなどのパケット(つまり、対象通信データDc。以下同様。)に載せて制御情報ネットワークN1に送信する。ステップS37において、ファイアウォール12がこのパケットを受信すると、ステップS38において、受信したパケットと特徴情報Fとを比較する。そして、ファイアウォール12は、このパケットが特徴情報Fに一致すると判定した場合には、ステップS39において制御装置81に転送する。ステップS310において、このパケットを制御装置81が受信すると、ステップS311において制御装置81はパケットから指令を取得し、実行する。逆に、ステップS38において、ファイアウォール12が、受信したパケットが特徴情報Fに一致しないと判定し場合には、ステップS312において、このパケットを廃棄するようになっている。 On the other hand, after execution of step S31, the operation terminal 82 executes step S36 after the lapse of a specified period of time, and transmits the command executed by the operator as a packet such as an IP packet addressed to the control device 81 ( That is, the target communication data Dc (the same shall apply hereinafter) is placed on the target communication data Dc and transmitted to the control information network N1. When the firewall 12 receives this packet in step S37, it compares the received packet with the feature information F in step S38. Then, when the firewall 12 determines that this packet matches the feature information F, the firewall 12 transfers the packet to the control device 81 in step S39. In step S310, when the control device 81 receives this packet, in step S311, the control device 81 acquires and executes a command from the packet. Conversely, if the firewall 12 determines in step S38 that the received packet does not match the characteristic information F, this packet is discarded in step S312.

なお、ステップS39において、ファイアウォール12がパケットを制御装置81に転送した後、上記の特徴情報Fを削除などして無効化している。これによって、その後に受信した、この特徴情報Fに一致する別のパケットが、制御装置81へ転送されるのを防止することができる。同様に、設定された特徴情報Fは、所定の時間を経過した過後に、削除されても良い。 In step S39, after the firewall 12 transfers the packet to the control device 81, the feature information F is deleted and invalidated. As a result, it is possible to prevent another packet that is received afterward and that matches this characteristic information F from being transferred to the control device 81 . Similarly, the set feature information F may be deleted after a predetermined period of time has passed.

このように通信制御装置1を構成することで、制御装置81への不正な指令(通信)をブロックすることが可能となる。例えば、仮に、図2に示すように、制御装置81の指令(通信)が許可されていない例えばノートPCなどの不正端末9が、制御装置81に通信可能な通信ネットワークNに接続されており、制御装置81に対して指令を送信したとする。この場合、通信制御装置1(通信制御実行部5)は、この不正端末9から送信された対象通信データDcを受信したとしても、不正端末9から操作ログHを取得しないために、これの通過を許可する特徴情報Fを有していないので、この対象通信データDcの制御装置81への通過を許可することはない。 By configuring the communication control device 1 in this manner, it becomes possible to block unauthorized commands (communications) to the control device 81 . For example, as shown in FIG. 2, if an unauthorized terminal 9 such as a notebook PC for which the command (communication) of the control device 81 is not permitted is connected to a communication network N capable of communicating with the control device 81, Assume that a command is transmitted to the control device 81 . In this case, even if the communication control device 1 (communication control execution unit 5) receives the target communication data Dc transmitted from the unauthorized terminal 9, it does not acquire the operation log H from the unauthorized terminal 9. does not have the feature information F that permits the transmission of the target communication data Dc to the control device 81 .

また、仮に、正規の操作端末82がウイルスに感染し、ウイルスによってオペレータの操作なしに、制御装置81へ指令を実行したとしても、オペレータの操作に応じたものではないため、この指令の実行に関する操作ログHがない。よって、通信制御装置1が操作ログHを取得したとしても、このウイルス感染の操作端末82から送信された対象通信データDcはその操作ログHから生成された特徴情報Fに一致しないので、通信制御装置1(通信制御実行部5)は、その通過を許可することはない。 Further, even if the authorized operation terminal 82 is infected with a virus and the virus causes the control device 81 to execute a command without the operator's operation, since it does not correspond to the operator's operation, the execution of this command cannot be performed. There is no operation log H. Therefore, even if the communication control device 1 acquires the operation log H, the target communication data Dc transmitted from the virus-infected operation terminal 82 does not match the characteristic information F generated from the operation log H, so communication control is performed. The device 1 (communication control execution unit 5) does not permit the passage.

ただし、本実施形態に本発明は限定されない。他の幾つかの実施形態では、通信制御装置1は、複数の装置(筐体)に機能分散されていなくても良い。また、制御装置81は、通信ネットワークN(N1)に直接接続されていても良い。この場合、操作端末82は、通信データを、通信ネットワークN(N1)を介して通信制御装置1(ファイアウォール12)に送信する。また、制御装置81は、通信制御装置1宛ての通信データを制御装置81宛てとして、処理する。すなわち、この場合の通信制御装置1(ファイアウォール12)宛ての通信データは、上述した対象通信データDcであり、通信制御装置1は、許可した対象通信データDcを、通信ネットワークN(N1)を介して制御装置81に転送する。 However, the present invention is not limited to this embodiment. In some other embodiments, the communication control device 1 may not be functionally distributed over multiple devices (chassis). Also, the control device 81 may be directly connected to the communication network N (N1). In this case, the operation terminal 82 transmits communication data to the communication control device 1 (firewall 12) via the communication network N (N1). Further, the control device 81 processes communication data addressed to the communication control device 1 as addressed to the control device 81 . That is, the communication data addressed to the communication control device 1 (firewall 12) in this case is the target communication data Dc described above, and the communication control device 1 transmits the permitted target communication data Dc via the communication network N (N1). is transferred to the control device 81.

上記の構成によれば、通信制御装置1は、制御装置81に対する指令(操作)が許可された正規の操作端末82から取得した操作ログHから、制御装置81宛ての通信データ(対象通信データDc)が正規の操作端末82におけるオペレータの操作に基づいて送信された通信データであるか否かを判定するための特徴情報Fを抽出すると共に、その特徴情報Fに基づく通信制御の実行を通信制御実行部5などに指示する。 According to the above configuration, the communication control device 1 extracts communication data addressed to the control device 81 (object communication data Dc ) is the communication data transmitted based on the operation of the operator on the regular operation terminal 82, extracts characteristic information F for determining whether or not, and executes communication control based on the characteristic information F. Instruct the execution unit 5 or the like.

これによって、制御装置81宛ての対象通信データDcを受信した際に、上記の特徴情報Fを用いることで、対象通信データDcがオペレータの操作に基づいて送信されたものであるか否かの判定を可能にすることができる。したがって、オペレータの操作に基づいて行われた制御装置81への通信(指令)を許可しつつ、上記の操作ログHにないような、例えばウイルスに感染した正規の操作端末82からのオペレータの操作に基づかずに行われた通信や、不正なコンピュータからの通信など、対象通信データDcの構造や値を評価することでは検知できない不正な通信(不正侵入)の検知を可能にすることができる。 Thus, when the target communication data Dc addressed to the control device 81 is received, it is determined whether or not the target communication data Dc has been transmitted based on the operator's operation by using the characteristic information F described above. can make it possible. Therefore, while permitting the communication (command) to the control device 81 based on the operator's operation, the operator's operation from the legitimate operation terminal 82 infected with a virus, for example, which is not in the operation log H, is permitted. It is possible to detect unauthorized communication (unauthorized intrusion) that cannot be detected by evaluating the structure and value of the target communication data Dc, such as communication performed without based on and communication from an unauthorized computer.

次に、上述した特徴情報Fについて、より詳細に説明する。
幾つかの実施形態では、特徴情報Fは、制御装置81に対して実行(実行操作)された実行コマンドCを含んでも良い。つまり、操作ログHには、そのフォーマットに従った位置に格納された実行コマンドCが含まれており、特徴情報抽出部3は、特徴情報Fとして、操作ログHから実行コマンドCを抽出する。これによって、通信制御実行部5は、特徴情報Fに基づいて通信制御を実行することにより、正規の操作端末82においてオペレータの操作により実行された(実行操作された)実行コマンドCと同一のコマンドを含む対象通信データDcの通過を許可するようになる。 Next, the feature information F described above will be described in more detail.
In some embodiments, the characteristic information F may include an execution command C executed (executed operation) on the control device 81 . In other words, the operation log H includes the execution command C stored at a position according to the format, and the characteristic information extraction unit 3 extracts the execution command C from the operation log H as the characteristic information F. As a result, the communication control execution unit 5 executes communication control based on the characteristic information F, thereby executing the same command as the execution command C executed (executed) by the operator's operation on the regular operation terminal 82. Passage of target communication data Dc including

上記の構成によれば、特徴情報Fは、正規の操作端末82においてオペレータにより実行された実行コマンドCを含む。これによって、実行コマンドCを含む特徴情報Fに基づいて、受信される対象通信データDcのうちからの、制御装置81へ転送可能な対象通信データDcの判別を可能にすることができる。 According to the above configuration, the characteristic information F includes the execution command C executed by the operator at the authorized operation terminal 82 . This makes it possible to determine target communication data Dc that can be transferred to the control device 81 from the received target communication data Dc based on the characteristic information F including the execution command C. FIG.

また、幾つかの実施形態では、図1に示すように、通信制御装置1は、対象通信データDcを受信した受信時刻Trを生成するよう構成された受信時刻生成部6を、さらに備えても良い。そして、上述した特徴情報F、操作端末82において実行コマンドCの実行が操作(実行操作)された操作時刻Teを、さらに含んでも良い。つまり、操作ログHには、そのフォーマットに従った位置に格納された実行コマンドCおよび操作時刻Teが含まれており、特徴情報抽出部3は、特徴情報Fとして、操作ログHから実行コマンドCおよび操作時刻Teを抽出する。 In some embodiments, as shown in FIG. 1, the communication control device 1 may further include a reception time generator 6 configured to generate the reception time Tr at which the target communication data Dc is received. good. Further, the feature information F described above and the operation time Te at which the execution of the execution command C was operated (execution operation) on the operation terminal 82 may be further included. In other words, the operation log H includes the execution command C and the operation time Te stored at a position according to the format. and the operation time Te.

この場合、通信制御実行部5は、受信時刻生成部6によって生成された受信時刻Trと、特徴情報Fの操作時刻Teとが規定期間内にあり、かつ、特徴情報Fの実行コマンドCと同一のコマンドの情報を有する対象通信データDcを制御装置81へ転送する。操作端末82において制御装置81に対する指令が実行された後、その指令を制御装置81に伝えるための対象通信データDcが通信制御装置1によって受信されるまでには、処理時間、伝送遅延などによる遅れがある。よって、上記の規定期間は、これらの遅れの時間を考慮して定める。 In this case, the communication control execution unit 5 determines that the reception time Tr generated by the reception time generation unit 6 and the operation time Te of the feature information F are within a specified period and are the same as the execution command C of the feature information F. to the control device 81. The target communication data Dc having the command information of After the command to the control device 81 is executed by the operation terminal 82, there is a delay due to processing time, transmission delay, etc. until the communication control device 1 receives the target communication data Dc for transmitting the command to the control device 81. There is Therefore, the above prescribed period shall be determined in consideration of these delay times.

この際、幾つかの実施形態では、操作端末82の有する内部時刻と、上述した受信時刻生成部6が受信時刻Trの生成に用いる内部時刻とはNTP(Network Time Protocol)プロトコルによって同期されていても良い。すなわち、操作端末82および通信制御装置1は、NTPクライアントである。この際、NTPサーバは、制御情報ネットワークN1に接続されていても良いし、それ以外の他のネットワークに接続されていても良い。このように、操作端末82の内部時刻(システムクロック)と、通信制御装置1の内部時刻(システムクロック)とがNTPプロトコルにより同期されることによって、操作時刻Teと受信時刻Trが一致するか否かの判定を精度良く行うことができる。 At this time, in some embodiments, the internal time of the operation terminal 82 and the internal time used by the reception time generator 6 to generate the reception time Tr are synchronized by NTP (Network Time Protocol). Also good. That is, the operation terminal 82 and the communication control device 1 are NTP clients. At this time, the NTP server may be connected to the control information network N1, or may be connected to another network. By synchronizing the internal time (system clock) of the operation terminal 82 and the internal time (system clock) of the communication control device 1 by the NTP protocol, it is possible to determine whether the operation time Te and the reception time Tr match. It is possible to accurately determine whether or not.

上記の構成によれば、特徴情報Fは、正規の操作端末82におけるオペレータの操作により実行された実行コマンドCおよびその操作時刻Teを含む。これによって、実行コマンドCおよびその操作時刻Teを含む特徴情報Fに基づいて、受信される対象通信データDcのうちからの、制御装置81へ転送可能な対象通信データDcの判別をより適切にできるようにすることができる。 According to the above configuration, the characteristic information F includes the execution command C executed by the operator's operation on the regular operation terminal 82 and the operation time Te thereof. Accordingly, the target communication data Dc that can be transferred to the control device 81 can be more appropriately determined from among the received target communication data Dc based on the feature information F including the execution command C and its operation time Te. can be made

また、幾つかの実施形態では、特徴情報Fは、対象通信データDcの宛先ポート番号を含んでも良い。つまり、操作ログHには、そのフォーマットに従った位置に格納された宛先ポート番号が含まれており、特徴情報抽出部3は、特徴情報Fとして、操作ログHから宛先ポート番号を抽出する。これによって、通信制御実行部5は、受信された対象通信データDcの宛先ポート番号が特徴情報Fに含まれるポート番号に一致するかを判定の上、通信制御を実行するようになる。 Also, in some embodiments, the characteristic information F may include the destination port number of the target communication data Dc. That is, the operation log H contains destination port numbers stored at positions according to the format, and the feature information extraction unit 3 extracts the destination port numbers from the operation log H as feature information F. As a result, the communication control execution unit 5 determines whether the destination port number of the received target communication data Dc matches the port number included in the feature information F, and then executes communication control.

例えば、通信制御実行部5は、特徴情報Fに含まれる宛先ポート番号の受信を待機するようにすることで、特徴情報Fの宛先ポート番号に一致する宛先ポート番号を有する対象通信データDc以外は処理しないようにしても良い。そして、特徴情報Fの宛先ポート番号に一致する宛先ポート番号を有する対象通信データDcを受信した場合には、特徴情報Fに他の個別情報が含まれている場合いは、その一致判定を実行しても良い。 For example, the communication control execution unit 5 waits for the reception of the destination port number included in the feature information F, so that the target communication data Dc other than the target communication data Dc having the destination port number matching the destination port number of the feature information F You can choose not to process it. Then, when the target communication data Dc having the destination port number matching the destination port number of the feature information F is received, if the feature information F includes other individual information, the match determination is executed. You can

上記の構成によれば、特徴情報Fは、宛先ポート番号を含む。これによって、宛先ポート番号を含む特徴情報Fに基づいて、受信される対象通信データDcのうちからの、制御装置81へ転送可能な対象通信データDcの判別を可能にすることができる。 According to the above configuration, the feature information F includes the destination port number. This makes it possible to determine the target communication data Dc that can be transferred to the control device 81 from among the received target communication data Dc based on the feature information F including the destination port number.

以下、上述した通信制御装置1が実行する処理に対応する通信制御方法について、図4を用いて説明する。図4は、本発明の一実施形態に係る通信制御方法を示す図である。 A communication control method corresponding to the processing executed by the communication control device 1 described above will be described below with reference to FIG. FIG. 4 is a diagram showing a communication control method according to one embodiment of the present invention.

通信制御方法は、上述したような制御装置81への通信を制御する方法である。図4に示すように、通信制御方法は、操作ログ取得ステップと、特徴情報抽出ステップと、指示ステップと、を備える。図4に示す実施形態では、通信制御方法は、通信制御実行ステップを、さらに備える。
これらのステップについて、図4のステップ順に説明する。 The communication control method is a method of controlling communication to the control device 81 as described above. As shown in FIG. 4, the communication control method includes an operation log acquisition step, a characteristic information extraction step, and an instruction step. In the embodiment shown in FIG. 4, the communication control method further comprises a communication control execution step.
These steps will be described in the order of steps in FIG.

図4のステップS1において、操作ログ取得ステップを実行する。操作ログ取得ステップ(S1)は、上述した操作ログHを取得するステップである。この操作ログ取得ステップ(S1)は、既に説明した操作ログ取得部2が実行する処理内容と同様であるため、詳細は省略する。 In step S1 of FIG. 4, an operation log acquisition step is executed. The operation log acquisition step (S1) is a step of acquiring the operation log H described above. Since this operation log acquisition step (S1) is the same as the processing content executed by the operation log acquisition unit 2 already described, details thereof will be omitted.

図4のステップS2において、特徴情報抽出ステップを実行する。特徴情報抽出ステップ(S2)は、上述した特徴情報Fを操作ログHから抽出するステップである。この特徴情報抽出ステップ(S2)は、既に説明した特徴情報抽出部3が実行する処理内容と同様であるため、詳細は省略する。 At step S2 in FIG. 4, a feature information extraction step is executed. The characteristic information extraction step (S2) is a step of extracting the characteristic information F from the operation log H described above. Since this feature information extraction step (S2) is the same as the processing content executed by the feature information extraction unit 3 already described, details thereof will be omitted.

図4のステップS3において、指示ステップを実行する。指示ステップ(S3)は、上記の通信ネットワークNから受信される上述した対象通信データDcの特徴情報Fに基づく通信制御の実行を指示するステップである。より具体的には、特徴情報Fを、ファイアウォール12に設定する。この指示ステップ(S3)は、既に説明した指示部4が実行する処理内容と同様であるため、詳細は省略する。 In step S3 of FIG. 4, an instruction step is executed. The instructing step (S3) is a step of instructing execution of communication control based on the feature information F of the target communication data Dc received from the communication network N described above. More specifically, the feature information F is set in the firewall 12 . Since this instruction step (S3) is the same as the processing content executed by the instruction unit 4 already described, details thereof will be omitted.

図4のステップS4において、通信制御実行ステップを実行する。通信制御実行ステップ(S4)は、上記の通信ネットワークNから受信された対象通信データDcが特徴情報Fに一致するか否かの判定を通して、対象通信データDcに対する通信制御を実行するステップである。より具体的には、ファイアウォール12に対象通信データDcのフィルタリングを実行させる。この通信制御実行ステップ(S4)は、既に説明した通信制御実行部5が実行する処理内容と同様であるため、詳細は省略する。 In step S4 of FIG. 4, a communication control execution step is executed. The communication control execution step (S4) is a step of executing communication control for the target communication data Dc by determining whether or not the target communication data Dc received from the communication network N matches the characteristic information F. More specifically, the firewall 12 is caused to filter the target communication data Dc. Since this communication control execution step (S4) is the same as the processing content executed by the communication control execution unit 5 already described, details thereof will be omitted.

本発明は上述した実施形態に限定されることはなく、上述した実施形態に変形を加えた形態や、これらの形態を適宜組み合わせた形態も含む。 The present invention is not limited to the above-described embodiments, and includes modifications of the above-described embodiments and modes in which these modes are combined as appropriate.

1 通信制御装置
11 仲介装置
12 ファイアウォール
2 操作ログ取得部
22 受信部
3 特徴情報抽出部
4 指示部
5 通信制御実行部
6 受信時刻生成部
8 制御システム
81 制御装置
82 操作端末
84 フィールド機器
9 不正端末

N 通信ネットワーク
N1 制御情報ネットワーク
N2 制御ネットワーク
H 操作ログ
F 特徴情報
Dc 対象通信データ
C 実行コマンド
Te 操作時刻
Tr 受信時刻
m 記憶装置 1 Communication control device 11 Intermediary device 12 Firewall 2 Operation log acquisition unit 22 Reception unit 3 Characteristic information extraction unit 4 Instruction unit 5 Communication control execution unit 6 Reception time generation unit 8 Control system 81 Control device 82 Operation terminal 84 Field device 9 Unauthorized terminal

N communication network N1 control information network N2 control network H operation log F characteristic information Dc target communication data C execution command Te operation time Tr reception time m storage device

Claims (7)

制御装置の操作端末で実行された前記制御装置に対する指令の実行操作を記録した操作ログを取得するよう構成された操作ログ取得部と、
前記制御装置を宛先とする通信データである対象通信データが、前記操作ログに記録された前記実行操作に応じて前記操作端末から送信された正規の通信データであるか否かを判定するための特徴情報を前記操作ログから抽出するよう構成された特徴情報抽出部と、
前記対象通信データに対する前記特徴情報に基づく通信制御の実行を指示するよう構成された指示部と、を備え
前記操作端末のOS上で動作するアプリケーションが、
前記操作端末の入出力装置を介したオペレータの操作を検出し、前記操作に対応する前記操作ログを生成するとともに、
前記オペレータの前記操作を通じて前記指令を含む前記対象通信データを前記操作端末から前記制御装置に送る通信を行うとともに、
通信ネットワークを介して前記操作端末から前記操作ログおよび前記対象通信データを受信する受信部と、
受信された前記対象通信データが前記特徴情報に一致するか否かの判定を通して、前記対象通信データに対する前記通信制御を実行する通信制御実行部と、
をさらに備える
ことを特徴とする通信制御装置。 an operation log acquisition unit configured to acquire an operation log recording an operation for executing a command to the control device, which is executed by an operation terminal of the control device;
determining whether target communication data, which is communication data destined for the control device, is legitimate communication data transmitted from the operation terminal in response to the execution operation recorded in the operation log; a feature information extraction unit configured to extract feature information from the operation log;
an instruction unit configured to instruct execution of communication control based on the feature information for the target communication data ;
An application running on the OS of the operating terminal,
Detecting an operator's operation via an input/output device of the operation terminal, generating the operation log corresponding to the operation,
performing communication to send the target communication data including the command from the operation terminal to the control device through the operation by the operator;
a receiving unit that receives the operation log and the target communication data from the operation terminal via a communication network;
a communication control execution unit that executes the communication control for the target communication data by determining whether the received target communication data matches the feature information;
further provide
A communication control device characterized by: 前記特徴情報は、前記実行操作された実行コマンドを含むことを特徴とする請求項に記載の通信制御装置。 2. The communication control apparatus according to claim 1 , wherein said feature information includes said executed execution command. 前記対象通信データを受信した受信時刻を生成するよう構成された受信時刻生成部を、さらに備え、
前記特徴情報は、前記実行コマンドが前記実行操作された操作時刻を、さらに含むことを特徴とする請求項に記載の通信制御装置。 further comprising a reception time generation unit configured to generate a reception time at which the target communication data is received;
3. The communication control apparatus according to claim 2 , wherein said characteristic information further includes an operation time at which said execution operation of said execution command is performed. 前記操作端末の内部時刻と、前記受信時刻生成部が前記受信時刻の生成に用いる内部時刻とはNTPプロトコルによって同期されていることを特徴とする請求項に記載の通信制御装置。 4. The communication control apparatus according to claim 3 , wherein the internal time of said operating terminal and the internal time used by said reception time generator to generate said reception time are synchronized by an NTP protocol. 前記特徴情報は、前記対象通信データの宛先ポート番号を含むことを特徴とする請求項1~のいずれか1項に記載の通信制御装置。 The communication control device according to any one of claims 1 to 4 , wherein said feature information includes a destination port number of said target communication data. 制御装置の操作端末で実行された前記制御装置に対する指令の実行操作を記録した操作ログを取得するよう構成された操作ログ取得ステップと、
前記制御装置を宛先とする通信データである対象通信データが、前記操作ログに記録された前記実行操作に応じて前記操作端末から送信された正規の通信データであるか否かを判定するための特徴情報を前記操作ログから抽出するよう構成された特徴情報抽出ステップと、
前記対象通信データに対する前記特徴情報に基づく通信制御の実行を指示するよう構成された指示ステップと、を備え、
前記操作端末のOS上で動作するアプリケーションが、
前記操作端末の入出力装置を介したオペレータの操作を検出し、前記操作に対応する前記操作ログを生成するとともに、
前記オペレータの前記操作を通じて前記指令を含む前記対象通信データを前記操作端末から前記制御装置に送る通信を行うとともに、
通信ネットワークを介して前記操作端末から前記操作ログおよび前記対象通信データを受信する受信ステップと、
受信された前記対象通信データが前記特徴情報に一致するか否かの判定を通して、前記対象通信データに対する前記通信制御を実行する通信制御実行ステップと、
をさらに備える
ことを特徴とする通信制御方法。 an operation log acquisition step configured to acquire an operation log recording operations for executing commands to the control device executed by an operation terminal of the control device;
determining whether target communication data, which is communication data destined for the control device, is legitimate communication data transmitted from the operation terminal in response to the execution operation recorded in the operation log; a feature information extraction step configured to extract feature information from the operation log;
an instruction step configured to instruct execution of communication control based on the feature information for the target communication data;
An application running on the OS of the operating terminal,
Detecting an operator's operation via an input/output device of the operation terminal, generating the operation log corresponding to the operation,
performing communication to send the target communication data including the command from the operation terminal to the control device through the operation by the operator;
a receiving step of receiving the operation log and the target communication data from the operation terminal via a communication network;
a communication control execution step of executing the communication control for the target communication data through determination of whether the received target communication data matches the characteristic information;
further provide
A communication control method characterized by: 請求項1~のいずれか1項に記載の通信制御装置と、
プラントの制御装置と、
前記制御装置に対する指令の実行操作に応じて、前記実行操作を記録した操作ログを生成し、前記通信制御装置に送信すると共に、前記指令を前記制御装置に送信する操作端末と、を備えることを特徴とする制御システム。 A communication control device according to any one of claims 1 to 5 ;
a plant controller;
an operation terminal that generates an operation log recording the execution operation in response to an instruction execution operation for the control device, transmits the operation log to the communication control device, and transmits the command to the control device. A control system characterized by:
JP2019076902A 2019-04-15 2019-04-15 COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND CONTROL SYSTEM Active JP7300874B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019076902A JP7300874B2 (en) 2019-04-15 2019-04-15 COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND CONTROL SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019076902A JP7300874B2 (en) 2019-04-15 2019-04-15 COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND CONTROL SYSTEM

Publications (2)

Publication Number Publication Date
JP2020177258A JP2020177258A (en) 2020-10-29
JP7300874B2 true JP7300874B2 (en) 2023-06-30

Family

ID=72935518

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019076902A Active JP7300874B2 (en) 2019-04-15 2019-04-15 COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND CONTROL SYSTEM

Country Status (1)

Country Link
JP (1) JP7300874B2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004164258A (en) 2002-11-13 2004-06-10 Hitachi Ltd Access brokering device
JP2013109608A (en) 2011-11-22 2013-06-06 Hitachi Ltd Plant-monitoring and control terminal device, and plant-monitoring and control method
JP2018073247A (en) 2016-11-01 2018-05-10 日本電信電話株式会社 Illegal intrusion preventing apparatus, illegal intrusion preventing method, and illegal intrusion preventing program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004164258A (en) 2002-11-13 2004-06-10 Hitachi Ltd Access brokering device
JP2013109608A (en) 2011-11-22 2013-06-06 Hitachi Ltd Plant-monitoring and control terminal device, and plant-monitoring and control method
JP2018073247A (en) 2016-11-01 2018-05-10 日本電信電話株式会社 Illegal intrusion preventing apparatus, illegal intrusion preventing method, and illegal intrusion preventing program

Also Published As

Publication number Publication date
JP2020177258A (en) 2020-10-29

Similar Documents

Publication Publication Date Title
US10348763B2 (en) Responsive deception mechanisms
US11483143B2 (en) Enhanced monitoring and protection of enterprise data
JP6785225B2 (en) Distributed traffic management system and technology
US20170223037A1 (en) Using high-interaction networks for targeted threat intelligence
US20170093910A1 (en) Dynamic security mechanisms
Verba et al. Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS)
US20170149825A1 (en) Modification of a Server to Mimic a Deception Mechanism
JP2012175623A (en) Information processing system, information processing device, server device, and program
US11546295B2 (en) Industrial control system firewall module
US20080080522A1 (en) System and method of inserting a node into a virtual ring
Tekeoglu et al. An experimental framework for investigating security and privacy of IoT devices
JP7300874B2 (en) COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND CONTROL SYSTEM
Salazar et al. Enhancing the resiliency of cyber-physical systems with software-defined networks
US9756078B2 (en) Proactive internet connectivity probe generator
Erdem et al. Honeything: A new honeypot design for cpe devices
JP2006148182A (en) Communication apparatus or communication system capable of being simply operated
JP2010093431A (en) Communication abnormality generation device
CN111385293B (en) Network risk detection method and device
CN115623013A (en) Strategy information synchronization method, system and related product
CN115801292A (en) Access request authentication method and device, storage medium and electronic equipment
JP2007110590A (en) Remote access method
KR102156600B1 (en) System and method for creating association between packets collected in network and processes in endpoint computing device
KR101490227B1 (en) Method and apparatus for controlling traffic
CN108712370B (en) Honeypot system
Puche Rondon Novel Attacks and Defenses for Enterprise Internet-of-Things (E-IoT) Systems

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20220121

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220127

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230313

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230613

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230620

R150 Certificate of patent or registration of utility model

Ref document number: 7300874

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150