JPWO2012157471A1 - 複数の制御システムの異常を検知する異常検知システム - Google Patents

複数の制御システムの異常を検知する異常検知システム Download PDF

Info

Publication number
JPWO2012157471A1
JPWO2012157471A1 JP2013515083A JP2013515083A JPWO2012157471A1 JP WO2012157471 A1 JPWO2012157471 A1 JP WO2012157471A1 JP 2013515083 A JP2013515083 A JP 2013515083A JP 2013515083 A JP2013515083 A JP 2013515083A JP WO2012157471 A1 JPWO2012157471 A1 JP WO2012157471A1
Authority
JP
Japan
Prior art keywords
analysis device
analysis
event
abnormality
notified
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013515083A
Other languages
English (en)
Other versions
JP5571847B2 (ja
Inventor
道治 工藤
道治 工藤
直彦 浦本
直彦 浦本
一人 秋山
一人 秋山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2013515083A priority Critical patent/JP5571847B2/ja
Publication of JPWO2012157471A1 publication Critical patent/JPWO2012157471A1/ja
Application granted granted Critical
Publication of JP5571847B2 publication Critical patent/JP5571847B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0221Preprocessing measurements, e.g. data collection rate adjustment; Standardization of measurements; Time series or signal analysis, e.g. frequency analysis or wavelets; Trustworthiness of measurements; Indexes therefor; Measurements using easily measured parameters to estimate parameters difficult to measure; Virtual sensor creation; De-noising; Sensor fusion; Unconventional preprocessing inherently present in specific fault detection methods like PCA-based methods
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0224Process history based detection method, e.g. whereby history implies the availability of large amounts of data
    • G05B23/024Quantitative history assessment, e.g. mathematical relationships between available data; Functions therefor; Principal component analysis [PCA]; Partial least square [PLS]; Statistical classifiers, e.g. Bayesian networks, linear regression or correlation analysis; Neural networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14036Detection of fault in processor

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Debugging And Monitoring (AREA)
  • User Interface Of Digital Computer (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

複数の産業制御システム同士が連携して異常を検知する。複数の制御システムの異常を検知する異常検知システムであって、複数の制御システムのそれぞれに対応して設けられ、対応する制御システムで発生するイベントを取得して異常の有無を解析する複数の解析装置を備え、複数の解析装置のうち第1の解析装置は、対応する制御システムで発生したイベントを、複数の解析装置のうち第2の解析装置に通知すべきか否かを判定し、第2の解析装置は、第1の解析装置から通知されたイベントと、第1の解析装置以外の解析装置から通知されたイベントとの相関があることを条件として、異常と判断する異常検知システムを提供する。

Description

複数の制御システムの異常を検知する異常検知システムに関する。
工業システムおよびインフラストラクチャシステムの管理および制御をする産業制御システム(ICS)が知られている(例えば、非特許文献1参照)。従来、産業制御システムは、外部ネットワークとは接続されず、固有のプロトコルで動作するものが多かった。しかし、近年、産業制御システムは、インターネットプロトコル等の一般的なプロトコルにより接続され、また、外部ネットワークと接続されたシステムも多くなってきた。このため、複数の産業制御システム同士が互いに連携を取ることが可能となってきた。
非特許文献1 "SCADA"、[online]、ウィキペディア、[2011年3月30日検索]、インターネット〈URL:http://ja.wikipedia.org/wiki/SCADA〉
特許文献1 特表2007−506353号公報
ところで、それぞれの産業制御システムでは、内部に備える機器等に異常が発生していないかどうかを常時監視している。しかし、これまで、複数の産業制御システム同士が連携して異常を監視していなかった。
上記課題を解決するために、本発明の第1の態様においては、複数の制御システムの異常を検知する異常検知システムであって、前記複数の制御システムのそれぞれに対応して設けられ、対応する制御システムで発生するイベントを取得して異常の有無を解析する複数の解析装置を備え、前記複数の解析装置のうち第1の解析装置は、対応する前記制御システムで発生したイベントを、前記複数の解析装置のうち第2の解析装置に通知すべきか否かを判定し、前記第2の解析装置は、前記第1の解析装置から通知されたイベントと、前記第1の解析装置以外の解析装置から通知されたイベントとの相関があることを条件として、異常と判断する異常検知システム、方法およびプログラムを提供する。
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではない。また、これらの特徴群のサブコンビネーションもまた、発明となりうる。
本実施形態に係るコンピューティングシステム10の構成を示す。 本実施形態に係る第1の解析装置30−1および第2の解析装置30−2の構成を示す。 本実施形態に係る第1の解析装置30−1および第2の解析装置30−2の処理フローを示す。 第1の解析装置30−1が取得したイベントの一例および第1の解析装置30−1が送信するイベントの一例を示す。 付加情報を秘匿化するためのテーブルの一例を示す。 本実施形態に係るコンピュータ1900のハードウエア構成の一例を示す。
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
図1は、本実施形態に係るコンピューティングシステム10の構成を示す。本実施形態に係るコンピューティングシステム10は、複数の制御システム20と、複数の解析装置30と、ネットワーク40とを備える。
複数の制御システム20のそれぞれは、複数のコンピュータおよび複数の機器が接続されたシステムである。複数の制御システム20のそれぞれは、一例として、工業システムおよびインフラストラクチャ(交通およびエネルギ等)システム等の各オブジェクトの管理および制御をする産業制御システム(ICS)である。この場合、制御システム20は、複数の機器、機器を制御するPLC(Programmable Logic Controller)およびサーバ等を備える。
複数の制御システム20のそれぞれは、一例として、一つのビル内のネットワークに接続された様々なデバイス(例えば、電気、ガス、水道、空調およびセキュリティシステム等)を管理するシステムである。また、複数の制御システム20のそれぞれは、一つの大きな制御システム内における一部分のシステムであってもよい。例えば、複数の制御システム20のそれぞれは、都市全体を管理するシステムを構成する部分的な管理システム(例えば、ビル管理システム、工場管理システム、水道管理システム、および電気管理システム等)であってもよい。
また、制御システム20は、一例として、オフィス内または家庭内のネットワークに接続された様々なデバイス(例えば電話機およびコピー機、等々)を管理するシステムであってもよい。また、制御システム20は、企業等内のネットワークに接続された複数のコンピュータを管理するシステムであってもよいし、データセンタ等のネットワークに接続された多数のサーバを管理するシステムであってもよい。
複数の解析装置30のそれぞれは、複数の制御システム20のそれぞれに対応して設けられる。複数の解析装置30のそれぞれは、一つの制御システム20に対応して設けられてもよいし、2以上の制御システム20に対応して設けられてもよい。そして、複数の解析装置30のそれぞれは、対応する制御システム20で発生するイベントを取得して、対応する制御システム20の異常の有無を解析する。
ここで、イベントとは、対応する制御システム20において生じる事象であって、例えばセンサまたはコンピュータ等によって検出が可能な事象をいう。イベントは、一例として、制御システム20内の機器等に対して設けられたセンサにより検出された物理量(電力、温度、湿度、質量、体積および流量等)であってよい。また、イベントは、一例として、制御システム20内の情報処理装置等に入出力されるデータの測定値(例えば、データレート、データの送受信のレスポンス、エラーレート等)であってもよい。また、イベントは、一例として、制御システム20内の各機器の状態(例えば、可動の有無および動作モード等)、または、制御システム20内の情報処理装置を構成するリソースの状態(例えば、メモリのデータ占有量およびプロセッサの使用率等)であってもよい。
複数の解析装置30のそれぞれは、対応する制御システム20で発生するイベントを取得し、予め定められたイベントが取得されたか否かを判定する。複数の解析装置30のそれぞれは、予め定められたイベントが取得された場合には、対応する制御システム20が異常であると判定する。そして、複数の解析装置30のそれぞれは、対応する制御システム20が異常を有すると判定した場合、異常に応じた対処処理を実行する。
ネットワーク40は、複数の制御システム20および複数の解析装置30の間を互いに接続して、データの送受信を可能とする。ネットワーク40は、一例として、インターネット等の汎用プロトコルによりデータの伝送を行う。
図2は、本実施形態に係る第1の解析装置30−1および第2の解析装置30−2の構成を示す。本実施形態に係るコンピューティングシステム10において、複数の解析装置30は、互いに協働することにより、複数の制御システム20の異常を検知する異常検知システムとして機能する。
より詳しくは、複数の解析装置30のうち第1の解析装置30−1は、対応する制御システム20から取得したイベントを、複数の解析装置30のうち第2の解析装置30−2へと通知する。そして、第2の解析装置30−2は、第1の解析装置30−1および第1の解析装置30−1以外の他の解析装置30から通知されたイベントの間に相関があるか否かを検出し、相関があることを条件として異常と判断する。
なお、本実施形態において、コンピューティングシステム10に備えられる複数の解析装置30のうちの少なくとも1つは、第2の解析装置30−2として機能する。また、複数の制御システム20のうち第2の解析装置30−2以外の他の解析装置30は、第1の解析装置30−1として機能する。
第1の解析装置30−1は、対応する制御システム20で発生するイベントを取得して異常の有無を解析する解析部50を少なくとも備える。また、第2の解析装置30−2は、複数の制御システム20の何れかでの異常の有無を解析する解析制御部70を少なくとも備える。第2の解析装置30−2は、解析部50更に備えてもよい。
解析部50は、取得部52と、判定部54と、標準化部56と、秘匿部58と、イベント送信部60と、異常受信部62と、監視部64とを有する。また、解析制御部70は、イベント受信部72と、相関検出部74と、異常送信部76とを有する。
取得部52は、対応する制御システム20で発生するイベントを取得する。取得部52は、一例として、制御システム20内の各箇所に設けられた物理的なセンサにより検知された物理量(電力、温度、湿度、質量、体積および流量等)を、イベントとして取得する。また、取得部52は、一例として、制御システム20内の情報処理装置に入出力されるデータの測定値(例えば、データレート、データの送受信のレスポンス、エラーレート等)をイベントとして取得する。また、取得部52は、一例として、制御システム20内の各機器の状態、または、制御システム20内の情報処理装置を構成するリソース(例えば、メモリおよびプロセッサ等)の状態をイベントとして取得する。
判定部54は、取得したイベントに基づき、対応する制御システム20が異常であるか否かを判定する。判定部54は、一例として、取得したイベントの値が予め定められた値であるか否かを判定する。
判定部54は、一例として、センサにより検出された物理量が、予め定められた通常範囲外の値となった場合には、対応する制御システム20が異常であると判定する。また、判定部54は、一例として、制御システム20内の情報処理装置に入出力されるデータの測定値が、予め定められた通常範囲外の値となった場合、対応する制御システム20が異常であると判定する。また、判定部54は、一例として、制御システム20内の各機器の状態、または、制御システム20内の情報処理装置を構成するリソースの状態が、予め定められた状態となった場合、対応する制御システム20が異常であると判定する。
判定部54は、対応する制御システム20が異常であると判定した場合には、異常であることを監視部64に通知する。監視部64は、判定部54から異常であることの通知を受けたことに応じて、異常が発生した場合にすべき処理を実行する。監視部64は、一例として、異常を対応する制御システム20の管理者に報告する。また、監視部64は、一例として、対応する制御システム20の監視頻度を増加させる。この場合、例えば、監視部64は、取得部52に対してイベントの取得頻度を高める。また、監視部64は、一例として、異常の機器を停止したり、電源を止めたりする。
さらに、判定部54は、対応する制御システム20が異常ではないと判定される場合であっても、対応する制御システム20で発生したイベントを第2の解析装置30−2に通知すべきか否かを判定する。本実施形態においては、判定部54は、取得したイベントの値が、異常であるとは判定はされない値であって且つ異常と判定する閾値からの差分が予め定められた範囲内である場合、当該イベントを第2の解析装置30−2に通知すべきと判定する。なお、判定部54は、対応する制御システム20が異常であると判定したイベントも、第2の解析装置30−2に通知すべきと判定してもよい。
判定部54は、一例として、センサにより検出された物理量、または、制御システム20内の情報処理装置に入出力されるデータの測定値が、予め定められた通常範囲(正常と判定される範囲)内であって、異常と判定される閾値からの差分が所定値以下の範囲内である場合、当該イベントを第2の解析装置30−2に通知すべきと判定する。また、判定部54は、一例として、制御システム20内の各機器の状態または制御システム20内の情報処理装置を構成するリソースの状態が、正常であると判定される状態であって且つ予め設定された所定状態となった場合、当該イベントを第2の解析装置30−2に通知すべきと判定する。
標準化部56は、判定部54によって第2の解析装置30−2に通知するべきと判定された、対応する制御システム20で発生したイベントのデータ形式を標準化する。より詳しくは、標準化部56は、第2の解析装置30−2に通知するべきと判定されたイベントのデータ形式を、第2の解析装置30−2におけるデータ形式に変換して、イベントを標準化する。また、標準化部56は、一例として、対応する制御システム20で発生したイベントのデータ形式を、複数の制御システム20における標準のデータ形式に変換して、イベントを標準化してもよい。これにより、標準化部56は、第2の解析装置30−2に通知するイベントを、第2の解析装置30−2によって読み取り可能なデータ形式に変換することができる。
秘匿部58は、判定部54によって第2の解析装置30−2に通知するべきと判定された、対応する制御システム20で発生したイベントの内容を表すデータの一部を秘匿化する。秘匿部58は、一例として、イベントの内容のうち、他の解析装置30に知られたくない部分のデータを秘匿化する。秘匿部58は、一例として、セキュリティを確保するために他の制御システム20の管理者には知られたくない内容(例えば、センサの取り付け位置およびセンサの性能等)を表すデータを秘匿化する。
イベント送信部60は、標準化部56により標準化され且つ秘匿部58によりデータの一部が秘匿化された、対応する制御システム20で発生したイベントを、第2の解析装置30−2の解析制御部70に通知する。第1の解析装置30−1に備えられる解析部50は、イベントをメッセージ化して、ネットワーク40を介して第2の解析装置30−2の解析制御部70に通知する。第2の解析装置30−2に備えられる解析部50は、イベントをネットワーク40を介して解析制御部70に通知してもよいし、イベントをネットワーク40を介さずに解析制御部70に通知してもよい。
解析制御部70のイベント受信部72は、複数の解析装置30のそれぞれから通知されたイベントを受信する。より具体的には、イベント受信部72は、第1の解析装置30−1の解析部50から通知されたイベント、および、第2の解析装置30−2の解析部50から通知されたイベントを受信する。
解析制御部70の相関検出部74は、複数の解析装置30から通知されたイベント同士を比較して、予め定められた相関値以上の相関を有するかどうかを検出する。相関検出部74は、一例として、複数の解析装置30から通知された複数のイベントが、予め定められた相関値以上で相関を有する場合、複数の解析装置30の何れかが異常であると判断する。
解析制御部70の異常送信部76は、相関検出部74が異常と判断した場合に、複数の第1の解析装置30−1のそれぞれの解析部50および当該第2の解析装置30−2の解析部50に、異常を通知する。この場合において、異常送信部76は、複数の解析装置30のそれぞれに対して、その解析装置30から送信されたイベントであって、他の解析装置30から送信されたイベントと相関があり異常と判断されたイベントに含まれる秘匿化した部分のデータを、異常情報に含めて解析部50に通知する。
異常受信部62は、第2の解析装置30−2の解析制御部70から通知された異常情報を受信する。異常受信部62は、受信した異常情報を秘匿部58に転送する。
秘匿部58は、異常情報に含まれる秘匿化した部分のデータの秘匿状態を解除する。秘匿部58は、異常情報および秘匿化を解除したデータを監視部64に転送する。
監視部64は、第2の解析装置30−2の解析制御部70から異常情報が通知されたことに応じて、第2の解析装置30−2により通知された異常の内容を特定する。例えば、監視部64は、秘匿部58がセンサの取り付け位置を秘匿化してイベントを通知した場合、秘匿化を解除したデータからセンサの取り付け位置を検出する。これにより、秘匿部58は、第2の解析装置30−2により異常と判断されたイベントを発生したセンサの位置を特定することができる。そして、監視部64は、異常が発生した場合にすべき対応処理を実行する。
図3は、本実施形態に係る第1の解析装置30−1および第2の解析装置30−2の処理フローを示す。図4は、第1の解析装置30−1が取得したイベントの一例および第1の解析装置30−1が送信するイベントの一例を示す。図5は、付加情報を秘匿化するためのテーブルの一例を示す。
まず、ステップS11において、第1の解析装置30−1は、対応する制御システム20で発生するイベントを、一定時間毎に取得する。図4の例においては、第1の解析装置30−1は、対応する制御システム20が管理するビルの裏庭に設けられた機器の温度をイベントとして、10分毎に取得する。
続いて、ステップS12において、第1の解析装置30−1は、一定時間毎に取得したイベントのそれぞれについて、第2の解析装置30−2へと通知すべきか否かを判定する。第1の解析装置30−1は、一例として、イベントの変化が予め定められた変化量よりも大きい場合、当該イベントを第2の制御システム20−2へと通知すべきと判定する。
図4の例においては、第1の解析装置30−1は、対応する制御システム20が管理するビルの裏庭の機器の温度(イベント)が10分前から予め定められた範囲以上変化した場合、当該温度(イベント)を第2の制御システム20−2へと通知すべきと判定する。第1の解析装置30−1は、通知すべきと判断した場合(S12のYES)、処理をステップS13に進める。
続いて、ステップS13において、第1の解析装置30−1は、通知するべきイベントのデータ形式を標準化する。第1の解析装置30−1は、一例として、イベントの内容を表す識別情報、および、イベントの値を表すイベント値を、第2の解析装置30−2により読み取り可能なデータ形式(例えば当該コンピューティングシステム10において共通のデータ形式)に変換する。
図4の例においては、第1の解析装置30−1は、「温度」と表された個別の識別情報を「温度センサ」と表された共通の識別情報に変換する。また、図4の例においては、第1の解析装置30−1は、12時間形式で表された「時刻」(個別のイベント値)を、24時間形式で表された「時刻」(共通のイベント値)に変換する。また、図4の例においては、華氏で表された「温度」(個別のイベント値)を、摂氏で表された「温度」(共通のイベント値)に変換する。
続いて、ステップS14において、第1の解析装置30−1は、通知するべきイベントの内容を表すデータのうち、他の解析装置30に内容を知られたくない部分のデータ(例えば、セキュリティに関するデータ、および、イベントの詳細な測定ポイントを表すデータ等)を秘匿化する。第1の解析装置30−1は、一例として、イベントの付加情報であるセンサ位置情報を秘匿化する。図4の例においては、第1の解析装置30−1は、「バックヤード#1」と表されたセンサ位置情報を、「39485」と表されたランダムなコードに秘匿化する。
また、第1の解析装置30−1は、一例として、秘匿化前のデータと秘匿化後のデータと対応関係を示した変換テーブル格納する。そして、第1の解析装置30−1は、変換テーブルを参照してデータの秘匿化をする。この場合、第1の解析装置30−1は、例えば、図5に示すような、センサ位置を表すセンサ位置情報(バックヤード#1、バックヤード#2、メインドア#1、メインドア#2)を、対応するランダムコード(39485、13456、27321、53884)に変換する変換テーブルを格納する。
続いて、ステップS15において、第1の解析装置30−1は、イベントの送信先として、複数の解析装置30の中から少なくとも1つの第2の解析装置30−2を選択する。第1の解析装置30−1は、一例として、複数の解析装置30からイベントを受け取って異常が発生したか否かを判断することができる解析装置30が複数存在する場合、これらの中から1つまたは2以上の解析装置30を第2の解析装置30−2として選択する。
なお、第1の解析装置30−1は、複数の解析装置30のうちのいずれを第2の解析装置30−2とするかを動的に変更してもよい。例えば、第1の解析装置30−1は、一定期間(例えば、1日毎、1週間毎)において、いずれを第2の解析装置30−2とするかを設定する。
この場合において、第1の解析装置30−1は、複数の解析装置30のうちレスポンス時間が短い解析装置30を優先して第2の解析装置30−2として選択してもよい。これにより、第1の解析装置30−1は、より早く異常の通知を受けることができる。また、第1の解析装置30−1は、一定期間以上同一の第2の解析装置30−2に対してイベントの通知を継続したことを条件として、新たな第2の解析装置30−2を選択してもよい。これにより、第1の解析装置30−1は、第2の解析装置30−2を一つに固定させないことができる。
続いて、ステップS16において、ステップS15で選択した第2の解析装置30−2へと、ステップS13で標準化され且つステップS14で秘匿化されたイベントを通知する。続いて、ステップS17において、第2の解析装置30−2は、第1の解析装置30−1からイベントを受信する。
続いて、ステップS18において、第2の解析装置30−2は、複数の解析装置30から通知されたイベントの相関を検出して、複数の制御システム20の何れかにおいて異常が発生したか否かを判断する。より具体的には、第2の解析装置30−2は、第1の解析装置30−1から通知されたイベントと、第1の解析装置30−1以外の解析装置30から通知されたイベントとの相関があることを条件として、異常と判断する。第2の解析装置30−2は、一例として、第1の解析装置30−1から通知されたイベントの変化と、第1の解析装置30−1以外の他の解析装置30から通知されたイベントの変化に、予め定められた相関値以上の相関があることを条件として、異常と判断する。
例えば、相関検出部74は、一例として、複数の制御システム20のそれぞれに設置された複数の温度センサの温度が、互いに相関をもって変化した場合、異常と判断する。図4の場合、20時20分〜30分に温度センサの温度が上昇し、20時30分〜40分の間に温度センサの温度が下降する変化が、一つの制御システム20内において発生している。そこで、このような場合、第2の解析装置30−2は、複数の制御システム20に設けられた温度センサが、図4と同様の温度変化をしていることを条件として異常と判断する。
続いて、ステップS19において、第2の解析装置30−2は、ステップS18で異常と判断した場合、第1の解析装置30−1に異常を通知する。この場合において、第2の解析装置30−2は、第1の解析装置30−1から送信されたイベントであって、他の解析装置30から送信されたイベントと相関があり異常と判断したイベントに含まれていた秘匿化された部分のデータを、異常情報に含めて解析部50に通知する。
続いて、ステップS20において、第1の解析装置30−1は、第2の解析装置30−2から通知された異常情報を受信する。続いて、ステップS21において、第1の解析装置30−1は、第2の解析装置30−2から通知された異常情報に基づき、対応する制御システム20において発生した異常の内容を特定する。
第1の解析装置30−1は、第2の解析装置30−2から通知された異常情報に含まれる秘匿化された部分のデータを、変換テーブルを参照して秘匿化していないデータに戻す。そして、第1の解析装置30−1は、秘匿化が解除されたイベントから、対応する制御システムで発生した異常を特定する。例えば、第1の解析装置30−1は、図5に示されるような変換テーブルを参照して、異常が発生した箇所がビルの裏庭のセンサであることを特定する。
続いて、ステップS22において、第1の解析装置30−1は、対応する制御システム20を制御するためのモードを警戒モードに変更する。第1の解析装置30−1は、異常を対応する制御システム20の管理者に報告する。また、第1の解析装置30−1は、一例として、対応する制御システム20の監視頻度を増加させる。この場合、例えば、第1の解析装置30−1は、イベントの取得頻度を高めることにより、監視頻度を増加させてもよい。また、第1の解析装置30−1は、一例として、異常の機器を停止したり、電源を止めたりする。
以上のように、本実施形態に係るコンピューティングシステム10によれば、一つの制御システム20において単独では異常と検出されないような事象(イベント)が発生した場合であっても、複数の解析装置30の間において相関のある事象(イベント)が発生した場合には、異常と判断することができる。これにより、コンピューティングシステム10によれば、複数の解析装置30が連携して、より正確に且つ感度良く異常を検知することができる。
なお、第2の解析装置30−2は、第1の解析装置30−1から通知されたイベントと、第1の解析装置30−1以外の解析装置30から通知されたイベントとの相関がある場合に、第1の解析装置30−1に対して秘匿化されていないイベントの通知を要求してもよい。この場合、第1の解析装置30−1は、秘匿化されていないイベントの通知の要求に応じて、イベントを秘匿化せずに第2の解析装置30−2に通知する。
そして、第2の解析装置30−2は、第1の解析装置30−1から秘匿化されていないイベントを受け取って、第1の解析装置30−1から通知された秘匿化されていないイベントと、第1の解析装置30−1以外の解析装置30から通知されたイベントとの相関を再度検知する。そして、第2の解析装置30−2は、相関があることを条件として異常と判断する。これにより、第2の解析装置30−2は、異常が発生しているかどうかをより正確に判断することができる。
図6は、本実施形態に係るコンピュータ1900のハードウェア構成の一例を示す。本実施形態に係るコンピュータ1900は、ホスト・コントローラ2082により相互に接続されるCPU2000、RAM2020、グラフィック・コントローラ2075、及び表示装置2080を有するCPU周辺部と、入出力コントローラ2084によりホスト・コントローラ2082に接続される通信インターフェイス2030、ハードディスクドライブ2040、及びCD−ROMドライブ2060を有する入出力部と、入出力コントローラ2084に接続されるROM2010、フレキシブルディスク・ドライブ2050、及び入出力チップ2070を有するレガシー入出力部とを備える。
ホスト・コントローラ2082は、RAM2020と、高い転送レートでRAM2020をアクセスするCPU2000及びグラフィック・コントローラ2075とを接続する。CPU2000は、ROM2010及びRAM2020に格納されたプログラムに基づいて動作し、各部の制御を行う。グラフィック・コントローラ2075は、CPU2000等がRAM2020内に設けたフレーム・バッファ上に生成する画像データを取得し、表示装置2080上に表示させる。これに代えて、グラフィック・コントローラ2075は、CPU2000等が生成する画像データを格納するフレーム・バッファを、内部に含んでもよい。
入出力コントローラ2084は、ホスト・コントローラ2082と、比較的高速な入出力装置である通信インターフェイス2030、ハードディスクドライブ2040、CD−ROMドライブ2060を接続する。通信インターフェイス2030は、ネットワークを介して他の装置と通信する。ハードディスクドライブ2040は、コンピュータ1900内のCPU2000が使用するプログラム及びデータを格納する。CD−ROMドライブ2060は、CD−ROM2095からプログラム又はデータを読み取り、RAM2020を介してハードディスクドライブ2040に提供する。
また、入出力コントローラ2084には、ROM2010と、フレキシブルディスク・ドライブ2050、及び入出力チップ2070の比較的低速な入出力装置とが接続される。ROM2010は、コンピュータ1900が起動時に実行するブート・プログラム、及び/又は、コンピュータ1900のハードウェアに依存するプログラム等を格納する。フレキシブルディスク・ドライブ2050は、フレキシブルディスク2090からプログラム又はデータを読み取り、RAM2020を介してハードディスクドライブ2040に提供する。入出力チップ2070は、フレキシブルディスク・ドライブ2050を入出力コントローラ2084へと接続すると共に、例えばパラレル・ポート、シリアル・ポート、キーボード・ポート、マウス・ポート等を介して各種の入出力装置を入出力コントローラ2084へと接続する。
RAM2020を介してハードディスクドライブ2040に提供されるプログラムは、フレキシブルディスク2090、CD−ROM2095、又はICカード等の記録媒体に格納されて利用者によって提供される。プログラムは、記録媒体から読み出され、RAM2020を介してコンピュータ1900内のハードディスクドライブ2040にインストールされ、CPU2000において実行される。
コンピュータ1900にインストールされ、コンピュータ1900を解析部50として機能させるプログラムは、取得モジュールと、判定モジュールと、標準化モジュールと、秘匿モジュールと、イベント送信モジュールと、異常受信モジュールと、監視モジュールとを備える。これらのプログラム又はモジュールは、CPU2000等に働きかけて、コンピュータ1900を、取得部52、判定部54、標準化部56、秘匿部58、イベント送信部60、異常受信部62、および監視部64としてそれぞれ機能させる。
これらのプログラムに記述された情報処理は、コンピュータ1900に読込まれることにより、ソフトウェアと上述した各種のハードウェア資源とが協働した具体的手段である取得部52、判定部54、標準化部56、秘匿部58、イベント送信部60、異常受信部62、および監視部64として機能する。そして、これらの具体的手段によって、本実施形態におけるコンピューティングシステム10の使用目的に応じた情報の演算又は加工を実現することにより、使用目的に応じた特有の解析部50が構築される。
また、コンピュータ1900にインストールされ、コンピュータ1900を解析制御部70として機能させるプログラムは、イベント受信モジュールと、相関検出モジュールと、異常送信モジュールとを備える。これらのプログラム又はモジュールは、CPU2000等に働きかけて、コンピュータ1900を、イベント受信部72、相関検出部74および異常送信部76としてそれぞれ機能させる。
これらのプログラムに記述された情報処理は、コンピュータ1900に読込まれることにより、ソフトウェアと上述した各種のハードウェア資源とが協働した具体的手段であるイベント受信部72、相関検出部74および異常送信部76として機能する。そして、これらの具体的手段によって、本実施形態におけるコンピューティングシステム10の使用目的に応じた情報の演算又は加工を実現することにより、使用目的に応じた特有の解析制御部70が構築される。
一例として、コンピュータ1900と外部の装置等との間で通信を行う場合には、CPU2000は、RAM2020上にロードされた通信プログラムを実行し、通信プログラムに記述された処理内容に基づいて、通信インターフェイス2030に対して通信処理を指示する。通信インターフェイス2030は、CPU2000の制御を受けて、RAM2020、ハードディスクドライブ2040、フレキシブルディスク2090、又はCD−ROM2095等の記憶装置上に設けた送信バッファ領域等に記憶された送信データを読み出してネットワークへと送信し、もしくは、ネットワークから受信した受信データを記憶装置上に設けた受信バッファ領域等へと書き込む。このように、通信インターフェイス2030は、DMA(ダイレクト・メモリ・アクセス)方式により記憶装置との間で送受信データを転送してもよく、これに代えて、CPU2000が転送元の記憶装置又は通信インターフェイス2030からデータを読み出し、転送先の通信インターフェイス2030又は記憶装置へとデータを書き込むことにより送受信データを転送してもよい。
また、CPU2000は、ハードディスクドライブ2040、CD−ROMドライブ2060(CD−ROM2095)、フレキシブルディスク・ドライブ2050(フレキシブルディスク2090)等の外部記憶装置に格納されたファイルまたはデータベース等の中から、全部または必要な部分をDMA転送等によりRAM2020へと読み込ませ、RAM2020上のデータに対して各種の処理を行う。そして、CPU2000は、処理を終えたデータを、DMA転送等により外部記憶装置へと書き戻す。このような処理において、RAM2020は、外部記憶装置の内容を一時的に保持するものとみなせるから、本実施形態においてはRAM2020および外部記憶装置等をメモリ、記憶部、または記憶装置等と総称する。本実施形態における各種のプログラム、データ、テーブル、データベース等の各種の情報は、このような記憶装置上に格納されて、情報処理の対象となる。なお、CPU2000は、RAM2020の一部をキャッシュメモリに保持し、キャッシュメモリ上で読み書きを行うこともできる。このような形態においても、キャッシュメモリはRAM2020の機能の一部を担うから、本実施形態においては、区別して示す場合を除き、キャッシュメモリもRAM2020、メモリ、及び/又は記憶装置に含まれるものとする。
また、CPU2000は、RAM2020から読み出したデータに対して、プログラムの命令列により指定された、本実施形態中に記載した各種の演算、情報の加工、条件判断、情報の検索・置換等を含む各種の処理を行い、RAM2020へと書き戻す。例えば、CPU2000は、条件判断を行う場合においては、本実施形態において示した各種の変数が、他の変数または定数と比較して、大きい、小さい、以上、以下、等しい等の条件を満たすかどうかを判断し、条件が成立した場合(又は不成立であった場合)に、異なる命令列へと分岐し、またはサブルーチンを呼び出す。
また、CPU2000は、記憶装置内のファイルまたはデータベース等に格納された情報を検索することができる。例えば、第1属性の属性値に対し第2属性の属性値がそれぞれ対応付けられた複数のエントリが記憶装置に格納されている場合において、CPU2000は、記憶装置に格納されている複数のエントリの中から第1属性の属性値が指定された条件と一致するエントリを検索し、そのエントリに格納されている第2属性の属性値を読み出すことにより、所定の条件を満たす第1属性に対応付けられた第2属性の属性値を得ることができる。
以上に示したプログラム又はモジュールは、外部の記録媒体に格納されてもよい。記録媒体としては、フレキシブルディスク2090、CD−ROM2095の他に、DVD又はCD等の光学記録媒体、MO等の光磁気記録媒体、テープ媒体、ICカード等の半導体メモリ等を用いることができる。また、専用通信ネットワーク又はインターネットに接続されたサーバシステムに設けたハードディスク又はRAM等の記憶装置を記録媒体として使用し、ネットワークを介してプログラムをコンピュータ1900に提供してもよい。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
特許請求の範囲、明細書、および図面中において示した装置、システム、プログラム、および方法における動作、手順、ステップ、および段階等の各処理の実行順序は、特段「より前に」、「先立って」等と明示しておらず、また、前の処理の出力を後の処理で用いるのでない限り、任意の順序で実現しうることに留意すべきである。特許請求の範囲、明細書、および図面中の動作フローに関して、便宜上「まず、」、「次に、」等を用いて説明したとしても、この順で実施することが必須であることを意味するものではない。
10 コンピューティングシステム
20 制御システム
30 解析装置
40 ネットワーク
50 解析部
52 取得部
54 判定部
56 標準化部
58 秘匿部
60 イベント送信部
62 異常受信部
64 監視部
70 解析制御部
72 イベント受信部
74 相関検出部
76 異常送信部
1900 コンピュータ
2000 CPU
2010 ROM
2020 RAM
2030 通信インターフェイス
2040 ハードディスクドライブ
2050 フレキシブルディスク・ドライブ
2060 CD−ROMドライブ
2070 入出力チップ
2075 グラフィック・コントローラ
2080 表示装置
2082 ホスト・コントローラ
2084 入出力コントローラ
2090 フレキシブルディスク
2095 CD−ROM

Claims (18)

  1. 複数の制御システムの異常を検知する異常検知システムであって、
    前記複数の制御システムのそれぞれに対応して設けられ、対応する制御システムで発生するイベントを取得して異常の有無を解析する複数の解析装置を備え、
    前記複数の解析装置のうち第1の解析装置は、対応する前記制御システムで発生したイベントを、前記複数の解析装置のうち第2の解析装置に通知すべきか否かを判定し、
    前記第2の解析装置は、前記第1の解析装置から通知されたイベントと、前記第1の解析装置以外の解析装置から通知されたイベントとの相関があることを条件として、異常と判断する
    異常検知システム。
  2. 前記複数の解析装置のそれぞれは、対応する前記制御システムで発生したイベントのデータ形式を、前記第2の解析装置におけるデータ形式に変換して、前記イベントを標準化する標準化部を有する
    請求項1に記載の異常検知システム。
  3. 前記第1の解析装置の標準化部は、対応する前記制御システムで発生したイベントのデータ形式を、前記複数の制御システムにおける標準のデータ形式に変換して、前記イベントを標準化する請求項2に記載の異常検知システム。
  4. 前記複数の解析装置のそれぞれは、対応する前記制御システムで発生したイベントの内容を表すデータの一部を秘匿化する秘匿部を有する
    請求項1から3のいずれか一項に記載の異常検知システム。
  5. 前記第1の解析装置の前記秘匿部は、秘匿化前のデータと秘匿化後のデータと対応関係を示した変換テーブルを格納し、
    前記第2の解析装置は、異常と判断した場合、前記第1の解析装置から受け取った秘匿後のイベントに含まれる秘匿化後のデータを含む異常情報を前記第1の解析装置へと通知し、
    前記第1の解析装置の前記秘匿部は、前記第2の解析装置から通知された前記異常情報に含まれる秘匿化されたデータを前記変換テーブルを参照して秘匿化前のデータに変換して、対応する前記制御システムで発生した異常を特定する
    請求項4に記載の異常検知システム。
  6. 前記第2の解析装置は、
    前記第1の解析装置から通知されたイベントと、前記第1の解析装置以外の解析装置から通知されたイベントとの相関がある場合に、前記第1の解析装置に対して秘匿化されていないイベントの通知を要求し、
    前記第1の解析装置から秘匿化されていないイベントを受け取って、前記第1の解析装置から通知された秘匿化されていないイベントと、前記第1の解析装置以外の解析装置から通知されたイベントとの相関があることを条件として異常と判断する
    請求項4または5に記載の異常検知システム。
  7. 前記第2の解析装置は、前記複数の解析装置の少なくとも一部に対して異常を通知し、 異常の通知を受けた前記複数の解析装置の少なくとも一部は、対応する前記制御システムの監視頻度を増加させる
    請求項1から6のいずれか一項に記載の異常検知システム。
  8. 前記第1の解析装置は、前記複数の解析装置のうちのいずれを前記第2の解析装置とするかを動的に変更する請求項1から7のいずれか一項に記載の異常検知システム。
  9. 前記第1の解析装置は、一定期間以上同一の前記第2の解析装置に対してイベントの通知を継続したことを条件として、新たな前記第2の解析装置を選択する請求項8に記載の異常検知システム。
  10. 前記第1の解析装置は、前記複数の解析装置のうちレスポンス時間が短い解析装置を優先して前記第2の解析装置として選択する請求項8または9に記載の異常検知システム。
  11. 前記第1の解析装置は、対応する前記制御システムで発生するイベントを取得して異常の有無を解析する解析部を有し、
    前記第2の解析装置は、前記複数の制御システムの何れかでの異常の有無を解析する解析制御部を有し、
    前記第1の解析装置の前記解析部は、対応する前記制御システムで発生するイベントを取得して前記第2の解析装置に通知すべきか否かを判定し、前記第2の解析装置に通知すべきと判定した場合には、取得したイベントを前記第2の解析装置の前記解析制御部へと転送し、
    前記第2の解析装置の前記解析制御部は、複数の前記第1の解析装置からのイベント同士の相関を検出し、相関があることを条件として異常と判断し、異常と判断した場合に前記第1の解析装置の前記解析部へと通知し、
    前記第1の解析装置の前記解析部は、前記第2の解析装置から通知された異常を対応する前記制御システムの管理者に対して報告する
    請求項1から10のいずれか一項に記載の異常検知システム。
  12. 前記第2の解析装置は、異常と判断した場合、前記第1の解析装置に異常を通知し、
    前記第1の解析装置は、前記第2の解析装置から通知された異常を前記制御システムの管理者に対して報告する
    請求項1から11のいずれか一項に記載の異常検知システム。
  13. 前記第2の解析装置は、前記第1の解析装置から通知されたイベントの変化と、前記第1の解析装置以外の解析装置から通知されたイベントの変化との間の相関があることを条件として異常と判断する
    請求項1から12のいずれか一項に記載の異常検知システム。
  14. 請求項11に記載された異常検知システムにおける前記解析部として機能する装置。
  15. 請求項11に記載された異常検知システムにおける前記解析制御部として機能する装置。
  16. コンピュータを、請求項14に記載の装置として機能させるプログラム。
  17. コンピュータを、請求項15に記載の装置として機能させるプログラム。
  18. 複数の制御システムの異常を検知する異常検知方法であって、
    前記複数の制御システムのそれぞれに対応して、対応する制御システムで発生するイベントを取得して異常の有無を解析する複数の解析装置を設け、
    前記複数の解析装置のうち第1の解析装置が、対応する前記制御システムで発生したイベントを、前記複数の解析装置のうち第2の解析装置に通知すべきか否かを判定するステップと、
    前記第2の解析装置が、前記第1の解析装置から通知されたイベントと、前記第1の解析装置以外の解析装置から通知されたイベントとの相関があることを条件として、異常と判断するステップとを
    備える異常検知方法。
JP2013515083A 2011-05-13 2012-05-08 複数の制御システムの異常を検知する異常検知システム Active JP5571847B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013515083A JP5571847B2 (ja) 2011-05-13 2012-05-08 複数の制御システムの異常を検知する異常検知システム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2011108651 2011-05-13
JP2011108651 2011-05-13
JP2013515083A JP5571847B2 (ja) 2011-05-13 2012-05-08 複数の制御システムの異常を検知する異常検知システム
PCT/JP2012/061770 WO2012157471A1 (ja) 2011-05-13 2012-05-08 複数の制御システムの異常を検知する異常検知システム

Publications (2)

Publication Number Publication Date
JPWO2012157471A1 true JPWO2012157471A1 (ja) 2014-07-31
JP5571847B2 JP5571847B2 (ja) 2014-08-13

Family

ID=47176804

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013515083A Active JP5571847B2 (ja) 2011-05-13 2012-05-08 複数の制御システムの異常を検知する異常検知システム

Country Status (7)

Country Link
US (1) US9360855B2 (ja)
JP (1) JP5571847B2 (ja)
CN (1) CN103502949B (ja)
DE (1) DE112012001160T5 (ja)
GB (1) GB2505367B (ja)
SG (1) SG194695A1 (ja)
WO (1) WO2012157471A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020201638A (ja) * 2019-06-07 2020-12-17 京セラドキュメントソリューションズ株式会社 監視システムおよび監視プログラム

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10386827B2 (en) * 2013-03-04 2019-08-20 Fisher-Rosemount Systems, Inc. Distributed industrial performance monitoring and analytics platform
WO2015137481A1 (ja) * 2014-03-14 2015-09-17 Necフィールディング株式会社 情報提供装置、情報提供システム、情報提供方法、及びプログラム
US10162969B2 (en) * 2014-09-10 2018-12-25 Honeywell International Inc. Dynamic quantification of cyber-security risks in a control system
JP6382735B2 (ja) * 2015-01-26 2018-08-29 株式会社東芝 監視制御システム及びコントローラ
US10652103B2 (en) * 2015-04-24 2020-05-12 Goldman Sachs & Co. LLC System and method for handling events involving computing systems and networks using fabric monitoring system
IL242808A0 (en) * 2015-11-26 2016-04-21 Rafael Advanced Defense Sys System and method to detect cyber attacks on ics/scada controlled plants
US10107718B2 (en) * 2016-02-29 2018-10-23 Epro Gmbh Apparatus for capturing data related to an event indicating abnormal function of a machine
JP6953690B2 (ja) * 2016-08-10 2021-10-27 株式会社ジェイテクト 解析システム
US20180107202A1 (en) * 2016-10-18 2018-04-19 Micron Technology, Inc. System and method for detecting fault events
CN110226190A (zh) * 2017-01-27 2019-09-10 三菱电机株式会社 检索装置、监视装置、监视方法和检索程序
CN110224970B (zh) * 2018-03-01 2021-11-23 西门子公司 一种工业控制系统的安全监视方法和装置
EP3553616A1 (de) * 2018-04-11 2019-10-16 Siemens Aktiengesellschaft Ursachenbestimmung von anomalieereignissen
CN108900538B (zh) * 2018-08-09 2021-03-23 深圳市永达电子信息股份有限公司 一种工控信号检测方法和装置
US10896261B2 (en) 2018-11-29 2021-01-19 Battelle Energy Alliance, Llc Systems and methods for control system security
US11321304B2 (en) * 2019-09-27 2022-05-03 International Business Machines Corporation Domain aware explainable anomaly and drift detection for multi-variate raw data using a constraint repository
DE102020108070A1 (de) * 2020-03-24 2021-09-30 Basler Aktiengesellschaft Robuste Überwachung von Computersystemen und/oder Steuerungssystemen
CN113093578A (zh) * 2021-04-09 2021-07-09 上海商汤智能科技有限公司 控制方法及装置、电子设备和存储介质

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3206891A1 (de) * 1982-02-26 1983-09-15 Robert Bosch Gmbh, 7000 Stuttgart Verfahren zur fehlerdiagnose fuer speicherprogrammierbare steuerungen
JPS62161037A (ja) * 1986-01-09 1987-07-17 Nippon Denso Co Ltd 車両に搭載される総合診断装置
US5680541A (en) 1991-12-16 1997-10-21 Fuji Xerox Co., Ltd. Diagnosing method and apparatus
JP2959251B2 (ja) * 1991-12-16 1999-10-06 富士ゼロックス株式会社 診断装置
US5875431A (en) * 1996-03-15 1999-02-23 Heckman; Frank Legal strategic analysis planning and evaluation control system and method
US6347374B1 (en) * 1998-06-05 2002-02-12 Intrusion.Com, Inc. Event detection
US6178362B1 (en) 1998-09-24 2001-01-23 Silicon Energy Corp. Energy management system and method
US7539549B1 (en) * 1999-09-28 2009-05-26 Rockwell Automation Technologies, Inc. Motorized system integrated control and diagnostics using vibration, pressure, temperature, speed, and/or current analysis
US6405318B1 (en) * 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system
DE10297009B4 (de) 2001-06-25 2020-07-23 Schneider Electric Systems Usa, Inc. Sensorfusion unter Verwendung von selbstvaluierenden Prozesssensoren
JP4334176B2 (ja) 2002-01-22 2009-09-30 株式会社東芝 建物省エネルギー評価監視装置
JP4221994B2 (ja) 2002-04-23 2009-02-12 パナソニック電工株式会社 マネージメント・システム及びそれを用いたビル管理システム
JP4160799B2 (ja) 2002-08-09 2008-10-08 株式会社日立製作所 監視部ユニット、それを用いた監視システム、及び異常監視方法
KR100432675B1 (ko) 2003-09-19 2004-05-27 주식회사 아이앤아이맥스 네트워크상의 장비들 간의 통신제어방법 및 이를 위한 장치
JP4363244B2 (ja) 2003-10-30 2009-11-11 株式会社日立製作所 エネルギー管理装置
JP2005149006A (ja) 2003-11-13 2005-06-09 Toshiba Corp プロセス管理装置
JP4534719B2 (ja) 2004-10-29 2010-09-01 株式会社富士通ゼネラル ゲートウェイ装置
JP4310648B2 (ja) 2005-03-28 2009-08-12 日本電気株式会社 設備環境データ分析システムおよび設備環境データ分析方法
JP2006331372A (ja) 2005-05-30 2006-12-07 Ipsquare Inc エージェント装置、管理マネージャ装置および環境エネルギー管理システム
EP1893964A1 (en) * 2005-06-21 2008-03-05 Abb Research Ltd. Diagnostic device for use in process control system
US8284254B2 (en) * 2005-08-11 2012-10-09 Sightlogix, Inc. Methods and apparatus for a wide area coordinated surveillance system
US8131396B2 (en) * 2007-04-26 2012-03-06 Mitsubishi Electric Corporation Numerical control apparatus and numerical control system
US7539593B2 (en) 2007-04-27 2009-05-26 Invensys Systems, Inc. Self-validated measurement systems
US8378670B1 (en) 2007-10-02 2013-02-19 Aichi Steel Corporation Magneto-impedance element and magneto-impedance sensor including detection coil
US8090592B1 (en) * 2007-10-31 2012-01-03 At&T Intellectual Property I, L.P. Method and apparatus for multi-domain anomaly pattern definition and detection
JP2009199246A (ja) * 2008-02-20 2009-09-03 Toshiba Corp ノード稼働監視システムおよびノード稼働監視方法
CN102047192B (zh) * 2008-05-30 2014-06-25 东芝三菱电机产业系统株式会社 远程监控装置
JP5185173B2 (ja) 2009-03-26 2013-04-17 日本電信電話株式会社 自動警報通知装置、自動警報通知システム、および自動警報通知方法
AU2010230857B2 (en) * 2009-04-01 2015-05-14 Icetana Pty Ltd Systems and methods for detecting anomalies from data
DE112012000772B4 (de) * 2011-03-28 2014-11-20 International Business Machines Corporation Anomalieerkennungssystem

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020201638A (ja) * 2019-06-07 2020-12-17 京セラドキュメントソリューションズ株式会社 監視システムおよび監視プログラム

Also Published As

Publication number Publication date
GB2505367B (en) 2014-09-17
GB201320978D0 (en) 2014-01-15
WO2012157471A1 (ja) 2012-11-22
DE112012001160T5 (de) 2013-12-19
GB2505367A (en) 2014-02-26
US9360855B2 (en) 2016-06-07
SG194695A1 (en) 2013-12-30
US20150293516A1 (en) 2015-10-15
CN103502949B (zh) 2016-01-20
JP5571847B2 (ja) 2014-08-13
CN103502949A (zh) 2014-01-08

Similar Documents

Publication Publication Date Title
JP5571847B2 (ja) 複数の制御システムの異常を検知する異常検知システム
US9760468B2 (en) Methods and arrangements to collect data
US20120272308A1 (en) Management system, management method and management program for managing industrial control system
JP4872944B2 (ja) 運用管理装置、運用管理システム、情報処理方法、及び運用管理プログラム
WO2017112147A1 (en) Selective measurement reporting from internet of things devices
US20140108652A1 (en) Method and system for identifying virtualized operating system threats in a cloud computing environment
JP2007323193A (ja) 性能負荷異常検出システム、性能負荷異常検出方法、及びプログラム
CN111522703A (zh) 监控访问请求的方法、设备和计算机程序产品
CN107943654A (zh) 一种快速判定服务器环境温度监控异常原因的方法
JP5545761B2 (ja) 障害解析支援システム、障害解析支援方法、および障害解析支援プログラム
JP2014182646A (ja) ソフトウェアの実行を監視する装置、方法およびプログラム
CN110851316A (zh) 异常预警方法及装置、系统、电子设备、存储介质
US11733689B2 (en) Control system, programmable logic controller, and information processing method
CN114969175A (zh) 保险平台与外部系统的对接方法及相关设备
JP5590196B2 (ja) 運用管理装置、運用管理システム、情報処理方法、及び運用管理プログラム
EP3748451B1 (en) Information processing apparatus, alarm management system, and alarm management method
CN114024867B (zh) 网络异常检测方法及装置
JP6896035B2 (ja) 監視システム、監視SaaS提供装置、管理装置、及びプログラム
JP5655639B2 (ja) 監視装置、監視方法、プログラム及び監視システム
JP2011146073A (ja) 運用管理装置、運用管理システム、情報処理方法、及び運用管理プログラム
US20230097979A1 (en) Network diagnostic sampling in a distributed computing environment
WO2020240766A1 (ja) 評価装置、システム、制御方法、及びプログラム
JP2021064414A (ja) システム
CN118132310A (zh) 异常检测方法及电子设备
CN116954975A (zh) 软件产品的故障处理方法、系统、装置以及存储介质

Legal Events

Date Code Title Description
A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20140523

TRDD Decision of grant or rejection written
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20140602

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140610

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140626

R150 Certificate of patent or registration of utility model

Ref document number: 5571847

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150