JPWO2019187155A1 - 情報処理装置、情報処理方法およびプログラム - Google Patents

情報処理装置、情報処理方法およびプログラム Download PDF

Info

Publication number
JPWO2019187155A1
JPWO2019187155A1 JP2020508919A JP2020508919A JPWO2019187155A1 JP WO2019187155 A1 JPWO2019187155 A1 JP WO2019187155A1 JP 2020508919 A JP2020508919 A JP 2020508919A JP 2020508919 A JP2020508919 A JP 2020508919A JP WO2019187155 A1 JPWO2019187155 A1 JP WO2019187155A1
Authority
JP
Japan
Prior art keywords
communication
process data
communication pattern
information processing
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020508919A
Other languages
English (en)
Inventor
貴史 小梨
貴史 小梨
山野 悟
悟 山野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2019187155A1 publication Critical patent/JPWO2019187155A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0224Process history based detection method, e.g. whereby history implies the availability of large amounts of data
    • G05B23/024Quantitative history assessment, e.g. mathematical relationships between available data; Functions therefor; Principal component analysis [PCA]; Partial least square [PLS]; Statistical classifiers, e.g. Bayesian networks, linear regression or correlation analysis; Neural networks
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25232DCS, distributed control system, decentralised control unit

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Small-Scale Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Abstract

情報処理装置は、システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する取得部と、通信パケットに関する通信パターンとプロセスデータとの対応関係に基づいて、ネットワーク上における異常な通信パターンを検知する検知部とを備える。

Description

本発明は、情報処理装置、情報処理方法およびプログラムに関する。
特許文献1には、発電プラントなどの産業制御システムにおける制御ネットワークを対象とした異常検知装置が開示されている。この異常検知装置は、プログラムモード、稼動モード、保守モードなどの運用モードごとに機器間の正常通信パターンを事前に記憶しておき、現在の運用モードの正常通信パターンに適合しない通信を異常として検知する。
特許第5844944号公報
しかしながら、産業制御システムにおいては、同一の運用モードであっても機器の制御方法は一定ではなく、システムとして多様な状態を持ち、多種多様な正常通信パターンが存在し得る。特許文献1の技術では、それぞれの運用モードに対して画一的な正常通信パターンを用いて異常検知が行われるため、ある運用モードにおいて複数のシステム状態が存在する場合に異常検知を精度良く行うことは困難である。
本発明は、上述の課題に鑑みてなされたものであって、産業制御システムにおける異常検知を精度良く行うことが可能な情報処理装置、情報処理方法およびプログラムを提供することを目的とする。
本発明の一観点によれば、システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する取得部と、前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における異常な前記通信パターンを検知する検知部とを備えることを特徴とする情報処理装置が提供される。
本発明の他の観点によれば、システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するステップとを備えることを特徴とする情報処理方法が提供される。
本発明の他の観点によれば、コンピュータに、システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するステップとを実行させることを特徴とするプログラムが提供される。
本発明の他の観点によれば、システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する取得部と、前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するモデルを作成する学習部とを備えることを特徴とする情報処理装置が提供される。
本発明の他の観点によれば、システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するモデルを作成するステップとを備えることを特徴とする情報処理方法が提供される。
本発明によれば、産業制御システムにおける異常検知を精度良く行うことが可能な情報処理装置、情報処理方法およびプログラムが提供される。
第1実施形態に係る産業制御システムの概略構成を示すブロック図である。 第1実施形態に係る異常検知装置のブロック図である。 第1実施形態に係る判定部の詳細なブロック図である。 第1実施形態に係るパケット学習部の詳細なブロック図である。 第1実施形態に係るプロセスデータの特徴空間を示す模式図である。 第1実施形態に係るモデルの一例を示すテーブルである。 第1実施形態に係る異常検知装置のハードウェアブロック図である。 第1実施形態に係る異常検知装置の動作を表すフローチャートである。 第1実施形態に係る判定部の動作を表すフローチャートである。 第1実施形態に係るパケット学習部の動作を表すフローチャートである。 第1実施形態に係る異常検知装置の動作を表すフローチャートである。 第1実施形態に係る判定部の動作を表すフローチャートである。 第1実施形態に係る検知部の動作を表すフローチャートである。 第2実施形態に係る情報処理装置の概略構成図である。 第3実施形態に係る情報処理装置の概略構成図である。
[第1実施形態]
図1は、本実施形態に係る産業制御システムの概略構成を示すブロック図である。産業制御システム10は、火力発電所、化学製造工場などの各種のプラントシステムを監視制御するコンピュータシステムである。産業制御システム10は、エンジニアリングステーション101、HMI(Human Machine Interface)102、DCS(Distributed Control System)103、PLC(Programmable Logic Controller)104、異常検知装置105、ヒストリアン106、ファイアウォール107、制御ネットワーク108、フィールド機器109、フィールドネットワーク110およびフィールドネットワーク111を備える。
エンジニアリングステーション101は、産業制御システム10で用いられる制御プログラムを作成し、HMI102、DCS103またはPLC104にプログラムを書き込むための端末である。HMI102は、エンジニアリングステーション101から書き込まれたプログラムに基づいて、監視制御対象となるプラントシステムのシステム状態(稼動状況)などを表示するとともに、オペレータにより稼働状況の確認、システムの運転パラメータの調節やフィールド機器109の設定変更などの制御を行うために使用される端末である。具体的には、HMI102は、エンジニアリングステーション101、DCS103、PLC104およびヒストリアン106に対して各種のコマンドを含む通信パケットを送信するとともに、その応答の通信パケットを受信する。コマンドとしては、DCS103およびPLC104に対して表示用のデータを送信させるコマンドや、DCS103およびPLC104に対してフィールド機器109のレジスタ等を設定させるコマンドなどが該当する。これにより、HMI102は、例えばDCS103およびPLC104から表示用のデータを受信して表示を行う。また、HMI102は、設定値が変更されると、その設定値をDCS103およびPLC104に送信する。そして、DCS103およびPLC104は、フィールド機器109における設定値を設定する。
DCS103は、制御ネットワーク108とフィールドネットワーク110との間に接続され、エンジニアリングステーション101から書き込まれたプログラムに基づいて、フィールド機器109の制御を行う。例えば、DCS103は、フィールド機器109に対して必要に応じて若しくは数百ミリ秒から数秒間隔でコマンドを含む通信パケットを送信するとともに、その応答の通信パケットを受信する。また、DCS103はフィールド機器109が自律的に送信する通信パケットを受信する。DCS103の数は特に限定されない。
PLC104は、制御ネットワーク108とフィールドネットワーク111との間に接続されている。フィールドネットワーク111は、上述のフィールドネットワーク110とは分離されたネットワークである。PLC104は、エンジニアリングステーション101から書き込まれたプログラムに基づいて、フィールド機器109の制御を行う。例えば、PLC104は、フィールド機器109に対して必要に応じて若しくは数百ミリ秒から数秒間隔で通信パケットを送信するとともに、その応答の通信パケットを受信する。また、PLC104はフィールド機器109が自律的に送信する通信パケットを受信する。PLC104の数は特に限定されない。なお、産業制御システム10は、DCS103およびPLC104のいずれか一方のみを備えていてもよい。また、DCS103の配下にPLC104を接続し、その先にフィールド機器109を接続してもよい。
異常検知装置105は、エンジニアリングステーション101、HMI102、DCS103、PLC104、ヒストリアン106の間で送信される通信パケットの通信パターンを監視し、通信パターンの異常を検知する。ここで、通信パターンは、通信パケット単体若しくは周期性および順序性を有する一連の通信パケット群(シーケンス)で構成されるものとする。異常検知装置105は、ネットワークを流れる通信パケットのペイロードまたはヒストリアン106から取得したデータに基づいてプラントシステムのシステム状態を判定する。さらに異常検知装置105は、システム状態に応じて事前に作成されたモデルを用いて、適切な通信パケットが送信されているか否かを判断する。
サイバー攻撃などにより、DCS103またはPLC104に対して異常(不正)な通信パケットが送信された場合、当該通信パケットに関する通信パターンの特性が、そのときのシステム状態の正常時の特性(正常特性)と異なるものとなる。例えば、正常特性と比較して、特定の通信パターンの発生頻度が増加する、現在のシステム状態では想定されない通信パターンが発生する、などの変化が生じ得る。異常検知装置105は、このような通信パターンの特性の変化を検知して、制御異常が発生しているか否かを判断することができる。異常な通信パターンとしては、サイバー攻撃による不正な通信パターンだけでなく、機器の異常によって出力された通信パターンなども該当する。
なお、本実施形態において、異常検知装置105は制御ネットワーク108に接続され、制御ネットワーク108における異常な通信パターンを検知することを対象としているが、このような構成に限定されない。異常検知装置105はフィールドネットワーク110、111に接続され、DCS103またはPLC104とフィールド機器109の間で送信される異常な通信パターンの通信パケットを検知するように構成されていてもよい。
ヒストリアン106は、DCS103、PLC104、HMI102などから収集されたセンサデータまたはアクチュエータデータやアラーム情報等を多次元の時系列データとして記憶する装置である。
ファイアウォール107は、産業制御システム10とインターネットなどの外部ネットワーク120との境界に設置され、内外の通信を監視することで、外部の攻撃から産業制御システム10を保護するためのソフトウェアや機器である。すなわち、ファイアウォール107は、外部ネットワーク120から産業制御システム10へのサイバー攻撃などを抑制するためのセキュリティ機能を有している。例えば、ファイアウォール107は、ファイアウォール107を通過する通信パケットのIP(Internet Protocol)アドレス、ポート番号などを監視し、予め設定した条件によって当該通信パケットのフィルタリングを行う。
制御ネットワーク108には、エンジニアリングステーション101、HMI102、DCS103、PLC104、異常検知装置105、ヒストリアン106、ファイアウォール107が接続される。接続方法は有線、無線を問わない。制御ネットワーク108は、例えば、HMI102への表示用のデータを含む通信パケット、DCS103またはPLC104へのフィールド機器109の設定の情報を含む通信パケット、DCS103(またはPLC104)間で同期をとるための通信パケットなどを伝送する。
なお、制御ネットワーク108は、ファイアウォール107を介して、オフィスなどに設置される不図示の情報ネットワークと接続されていてもよい。情報ネットワークは、PC(Personal Computer)、ファイルサーバ、Webサーバ、メールサーバ、プリンタなどを含み、他のプラントの制御ネットワークと接続され得る。
フィールド機器109は、プラントシステムに設置されたセンサ、バルブおよびアクチュエータなどの機器である。センサとしては、例えば、温度センサ、圧力センサ、流量センサ、回転数センサ、組成センサなどが該当する。バルブとしては、例えば、圧力制御弁、流量制御弁、開閉弁などが該当する。アクチュエータとしては、例えば、ポンプ、ファンなどが該当する。なお、フィールド機器109の数および種類は限定されず、数百から数千程度の異なるフィールド機器109が含まれ得る。
フィールド機器109は、アクチュエータの設定により制御され、センサの測定値を出力する。アクチュエータデータは、例えばバルブ開度のような操作量などを含む。アクチュエータデータは、例えば必要に応じて若しくは数百ミリ秒から数秒間隔の周期で設定され得る。また、センサデータは、例えば温度、圧力、流量、水位、回転数、原材料の品質(組成)などを含む。センサデータは、例えば数百ミリ秒から数秒間隔で取得され得る。
センサデータおよびアクチュエータデータは、プラントシステムに設置された複数のフィールド機器109における計測および設定の状態を示す。異常検知装置105は、フィールド機器109の状態を解析することで、産業制御システム10の監視制御対象であるプラントシステムの詳細なシステム状態(稼動状況)を把握できる。以下、本実施形態では、センサデータおよびアクチュエータデータを「プロセスデータ」と総称して説明する。なお、プロセスデータには、HMI102から収集されるアラーム情報やプロセスデータの平均値、分散、標準偏差、時間変化(微分値)、累積値(積分値)などを含んでもよい。センサデータおよびアクチュエータデータの詳細については後述する。
フィールドネットワーク110には、DCS103およびフィールド機器109が接続される。同様に、フィールドネットワーク111には、PLC104および他のフィールド機器109が接続される。接続方法は有線、無線を問わない。また、フィールドネットワーク110、111は、バス接続を前提とするフィールドバスでもRS−485のようなシリアル通信でも構わない。フィールドネットワーク110、111は、これらの装置間で通信を行うために使用され、例えばフィールド機器109を制御するためのアクチュエータデータを含む通信パケット、フィールド機器109で測定されたセンサデータを含む通信パケットなどを伝送する。なお、DCS103およびPLC104は同一のフィールドネットワークに接続されても構わない。
図2は、本実施形態に係る異常検知装置105のブロック図である。異常検知装置105は、取得部201、パケット学習部202、判定部203、記憶部204、検知部205を備える。異常検知装置105は、通信パケットおよびプロセスデータ(センサデータおよびアクチュエータ)に基づいて予め学習を行い、学習結果に基づいて異常検知を行う。
取得部201は、学習時および検知時において、制御ネットワーク108で伝送される通信パケットを取得する。取得された通信パケットは、パケット学習部202に入力される。なお、取得部201は、フィールドネットワーク110、111で伝送される通信パケットを収集する他の装置から通信パケットを取得するように構成されてもよい。また、取得部201は、学習時および検知時において、プロセスデータを制御ネットワーク108で伝送される通信パケットのペイロードから取得してもヒストリアン106から取得しても構わない。
パケット学習部202は、学習時において、プラントシステムのシステム状態ごとに通信パターンの正常特性を学習する。正常特性の学習は、システム状態ごとに分類された学習用の通信パターン(通信パケット単体若しくは通信パケットのシーケンス)を用いて行われる。パケット学習部202は、システム状態と通信パターンの正常特性を関連付けたモデルを作成する。
判定部203は、学習時において、取得部201を介してヒストリアン106からプロセスデータを取得する。プロセスデータは、様々なシステム状態で収集されたものであって、例えば、外気温などの環境値、プラントシステムに供給される原材料の品質などの外乱による外的要因や、自動運用モードおよび手動運用モード、PID制御などの制御パラメータや目標値などのアクチュエータの設定による内的要因に応じて変化するシステム状態において収集されたデータを含む。自動運用モードではフィールド機器109の設定が自動的に制御され、手動運用モードではオペレータによりフィールド機器109の設定が手動で調節される。判定部203は、学習用のプロセスデータを複数のシステム状態に分類し、それぞれをクラスとして定義する。判定部203は、制御ネットワーク108で伝送される通信パケットのペイロードからプロセスデータを取得するように構成されてもよい。
判定部203は、検知時において、取得部201を介してプロセスデータを取得する。プロセスデータは、ほぼリアルタイムに取得され、判定部203により処理される。判定部203は、プロセスデータの分類先となるクラスを判定し、クラスで定義されたシステム状態を、現在のシステム状態として出力する。
記憶部204は、パケット学習部202により作成されたモデル、判定部203により分類されたシステム状態のクラスに関する情報、判定部203により判定された現在のシステム状態などを記憶する。
検知部205は、通信パターンおよびプロセスデータに基づいて、制御ネットワーク108における異常な通信パターン検知する。例えば、検知部205は、記憶部204に記憶されたモデルを用いて、現在のシステム状態において制御ネットワーク108を流れる通信パターンの特性が正常特性と合致しない場合に、異常な通信パターンの通信パケットが送信されていると判断する。検知部205は、検知結果を異常検知装置105の画面、情報ネットワークのPC、HMI102、ヒストリアン106、などの外部装置に出力する。
図3は、本実施形態に係る判定部203の詳細なブロック図である。判定部203は、状態学習部301、状態判定部302を備える。学習時において、状態学習部301は、学習用のプロセスデータから特徴量(特徴ベクトル)を抽出する。例えば、状態学習部301は、主成分分析を用いてDCS103またはPLC104から収集される多次元のプロセスデータをより低次元のプロセスデータに縮約する。そして、状態学習部301は、特徴空間上でプロセスデータをシステム状態の複数のクラスに分類する。例えば、図5に示すように、プロセスデータから2つの特徴量(特徴量1および特徴量2)が抽出され、これらの特徴量を軸とする2次元の特徴空間が形成される。特徴空間において、近隣に位置するプロセスデータの集合は、それぞれ異なるシステム状態としてクラス501、502、503に分類される。特徴量の抽出手法は、主成分分析に限定されず、ディープラーニング、SVM(Support Vector Machine)などを用いてもよい。特徴量は2つに限らず、1つでも3つ以上でも構わない。分類されるシステム状態は複数ではなく一つでも構わない。
さらに、状態学習部301は、各クラスに対応するシステム状態を定義する。例えば、図5において、特徴量1が水温、特徴量2が材料性質を表すものとする。この場合、クラス501は「水温、材料性質が適正時のシステム状態」、クラス502は「水温が高い時のシステム状態」、クラス503は「材料性質が悪い時のシステム状態」をそれぞれ表すシステム状態して定義される。このように、状態学習部301は、プラントシステムにおいて外的要因や内的要因に応じて変化する多様なシステム状態を、学習用のプロセスデータに基づいて抽出することができる。学習時のプロセスデータは、プラントシステムの正常時におけるシステム状態を反映している。特徴量は水温、材料性質のように1種類のプロセスデータに限らず、2種類以上のプロセスデータにそれぞれ重み付けを行った和のような組合せでも構わない。
検知時において、状態判定部302は、検知対象のプロセスデータから特徴量を抽出する。検知対象のプロセスデータは、DCS103またはPLC104からリアルタイムに収集されたプロセスデータであって、プラントシステムの現在のシステム状態を反映している。状態判定部302は、状態学習部301と同様に特徴空間を形成し、プロセスデータの特徴空間上での位置を確認することで、プロセスデータの分類先となるクラスを判定する。状態判定部302は、判定されたクラスに対応するシステム状態を出力する。
図4は、本実施形態に係るパケット学習部202の詳細なブロック図である。パケット学習部202は、特性抽出部401、モデル作成部402を備える。学習時において、特性抽出部401は、学習用の通信パターンの特性(正常特性)を算出する。ここで算出される特性は、例えば通信パターンに含まれるコマンドに基づき、コマンドの種別毎の通信頻度や周期など、または順序を有する一連の通信パケット群に含まれるそれぞれのコマンドのシーケンス(時系列の並び順)の種別毎の通信頻度や周期などであり得る。ここで、コマンドには、MACアドレス、IPアドレス、ポート番号等、さらにはリード/ライトのようなコマンド種別、リード/ライトを行うアドレス、ライトを行うデータ、リードしたデータなどを含むものとする。
また学習時において、モデル作成部402は、入力されたシステム状態と、特性抽出部401で算出された通信パターンの正常特性とを関連付ける。ここで入力されるシステム状態は、状態学習部301により学習用のプロセスデータから抽出されたものであって、一つもしくは異なる複数のシステム状態を含む。モデル作成部402は、各システム状態における通信パターンの正常特性をモデルとして出力する。
図6は、本実施形態に係るモデルの一例を示すテーブルである。モデルには、システム状態ID(Identification)、システム状態を主に決定する要素である水温、材料性質、制御パラメータなどの属性情報、各システム状態における通信パターンの正常特性などの情報が含まれる。システム状態IDは、システム状態ごとに付され、システム状態を識別するための符号である。属性情報に関して言えば、例えば、状態1は、水温および材料性質が適正なシステム状態であることを表している。同様に、状態2は、水温が高く、材料性質が適正なシステム状態、状態3は、水温が適正で材料性質が悪いシステム状態であることを表している。属性情報は、水温、材料性質、制御パラメータに限定されず、例えばセンサデータおよびアクチュエータに含まれる任意の情報であってよい。なお、属性情報は、モデルの構成要件として必須ではない。
図6の例において、正常特性は、所定期間内の通信パターンの種別(A〜D)毎の発生頻度で表されている。例えば、状態1では、通信パターンA〜Dがそれぞれ3、101、0、2の頻度で発生することが正常である。同様に、状態2では、通信パターンA〜Dがそれぞれ1、9、45、60の頻度で発生することが正常であり、状態3では、通信パターンA〜Dがそれぞれ1、20、0、40の頻度で発生することが正常である。正常特性は、異常な通信パターンが発生しているか否かを判断するための指標であって、運用時に算出される通信パターンの特性と比較される。発生頻度の対象となる通信パターンは、通信パケット単体だけでなく、周期性および順序性を有する通信パケットのシーケンスでも構わない。また、正常特性は通信パターンの種別毎の発生確率でも構わない。
図7は、本実施形態に係る異常検知装置105のハードウェアブロック図である。異常検知装置105は、CPU701、メモリ702、記憶装置703、通信インタフェース(I/F)704を備える。CPU701は、メモリ702、記憶装置703に記憶されたプログラムに従って所定の動作を行うとともに、異常検知装置105の各部を制御する機能を有する。また、CPU701は、取得部201、パケット学習部202、判定部203、検知部205の機能を実現するプログラムを実行する。
メモリ702は、RAM(Random Access Memory)などから構成され、CPU701の動作に必要なメモリ領域を提供する。また、メモリ702は、取得部201、パケット学習部202、判定部203、検知部205の機能を実現するバッファ領域として使用され得る。記憶装置703は、例えばフラッシュメモリ、SSD(Solid State Drive)、HDD(Hard Disk Drive)などであって、記憶部204の機能を実現する記憶領域を提供する。
記憶装置703には、異常検知装置105を動作させるOS(Operating System)などの基本プログラム、学習処理および異常検知処理を行うアプリケーションプログラムなどが記憶される。通信インタフェース704は、USB(Universal Serial Bus)、イーサネット(登録商標)、Wi−Fi(登録商標)などの規格に基づいて外部装置との通信を行うためのモジュールである。
なお、図7に示されているハードウェア構成は例示であり、これら以外の装置が追加されていてもよく、一部の装置が設けられていなくてもよい。例えば、一部の機能がネットワークを介して他の装置により提供されてもよく、本実施形態を構成する機能が複数の装置に分散されて実現されるものであってもよい。
図8は、本実施形態に係る異常検知装置105の動作を表すフローチャートである。ここでは、学習時における動作を説明する。まず、判定部203は、入力された学習用のプロセスデータから複数のシステム状態を抽出する(ステップS11)。例えば、学習用のプロセスデータは複数のクラスに分類され、各クラスに対応するシステム状態が定義される。判定部203は、抽出されたシステム状態を保存するとともに、パケット学習部202にシステム状態を出力する。
続いて、パケット学習部202は、取得部201で取得された学習用の通信パターンからシステム状態毎に正常特性を算出する(ステップS12)。例えば、正常特性として、通信パターンに関する所定期間内の発生頻度が算出される。パケット学習部202は、算出された正常特性とシステム状態とを関連付けたモデルを作成し、当該モデルを記憶部204に記憶する(ステップS13)。
図9は、本実施形態に係る判定部203の動作を表すフローチャートである。このフローチャートは、図8の状態抽出処理(ステップS11)を詳細に示すものである。まず、状態学習部301は、学習用のプロセスデータから特徴ベクトル(特徴量)を算出する(ステップS111)。例えば、状態学習部301は、プロセスデータに含まれる複数の種類のデータの中から、主成分分析を用いて寄与率の高い種類のデータを特徴量として算出する。
続いて、状態学習部301は、特徴ベクトルからなる特徴空間を生成し、学習用のプロセスデータを特徴空間に転写する(ステップS112)。状態学習部301は、図5に示すような特徴空間上でプロセスデータを複数のクラスに分類し(ステップS113)、各クラスを異なるシステム状態として出力する(ステップS114)。例えば、状態学習部301は、図6に示されるように、各システム状態にシステム状態IDを付すとともに、各システム状態における通信パターンの正常特性などを記述する。
図10は、本実施形態に係るパケット学習部202の動作を表すフローチャートである。このフローチャートは、図8の特性算出処理(ステップS12)を詳細に示すものである。まず、特性抽出部401は、学習用の通信パターンに含まれるすべてのパターン種別を取得する(ステップS121)。例えば、パターン種別として、「read」、「write」などのコマンドの種別が取得される。
特性抽出部401は、パターン種別リストを作成し、取得されたすべてのパターン種別を当該パターン種別リストに格納する(ステップS122)。ここで、特性抽出部401は、パターン種別リストの中から着目する1つの種別(着目パターン種別)を選択する(ステップS123)。特性抽出部401は、ステップS114において状態学習部301から出力され、モデル作成部402に入力されたすべてのシステム状態を取得する(ステップS124)。
特性抽出部401は、システム状態リストを作成し、取得されたすべてのシステム状態を当該システム状態リストに格納する(ステップS125)。ここで、特性抽出部401は、システム状態リストの中から着目する1つの状態(着目システム状態)を選択する(ステップS126)。特性抽出部401は、着目パターン種別の正常特性を算出する(ステップS127)。
例えば、特性抽出部401は、学習用の通信パターンについて、着目システム状態に該当する期間に発生したパターンの総数(Nt)をカウントする。さらに、特性抽出部401は、学習用の通信パターンについて、着目システム状態に該当する期間に発生した着目パターン種別のパターンの個数(N)をカウントする。特性抽出部401は、着目パターン種別のパターンの個数(N)をもとに種別毎に単位時間あたりの正常発生頻度(Fn)を算出する。また、種別毎のパターンの個数(N)をすべての種別のパターンの総数(Nt)で除算することにより、着目パターン種別の正常発生確率(Pn)を算出する。
モデル作成部402は、特性抽出部401により算出された正常発生頻度(Fn)などの正常特性を、着目システム状態に関連付けてモデルを作成する(ステップS128)。作成されたモデルは記憶部204に記憶される。特性抽出部401は、システム状態リストから着目システム状態を削除する(ステップS129)。
特性抽出部401は、システム状態リスト内に残っているシステム状態があるか否かを判断する(ステップS130)。残りのシステム状態がある場合(ステップS130でYES)、特性抽出部401はステップS126に戻り、システム状態リストの中から新たな着目システム状態を選択する。新たな着目システム状態に対して、特性算出処理から状態削除処理(ステップS127〜S129)が再度実行される。残りのシステム状態がない場合(ステップS130でNO)、特性抽出部401は、パターン種別リストから着目パターン種別を削除する(ステップS131)。
特性抽出部401は、パターン種別リスト内に残っているパターン種別があるか否かを判断する(ステップS132)。残りのパターン種別がある場合(ステップS132でYES)、特性抽出部401はステップS123に戻り、パターン種別リストの中から新たな着目パターン種別を選択する。新たな着目パターン種別に対して、状態取得処理から種別削除処理(ステップS124〜S131)が再度実行される。残りのパターン種別がない場合(ステップS132でNO)、処理は図8のフローチャートに戻る。学習対象とする通信パターンは、通信パケット単体だけでなく、周期性および順序性を有する通信パケットのシーケンスでも構わない。
図11は、本実施形態に係る異常検知装置105の動作を表すフローチャートである。ここでは、検知時における動作を説明する。まず、取得部201は現在の(すなわち検知対象となる)通信パターンの情報を取得するとともに、判定部203は現在のプロセスデータを取得する(ステップS21)。判定部203は、取得されたプロセスデータからプラントシステムのシステム状態を判定するとともに(ステップS22)、記憶部204に記憶されたモデルを用いて、システム状態に関連付けられた正常特性を取得する(ステップS23)。
次に、検知部205は、取得部201で取得された通信パターンの情報に基づいて、通信パターンの特性を算出する(ステップS24)。例えば、検知部205は、通信パターンの特性として、通信パターンの種別毎の単位時間あたりの発生頻度を算出する。検知部205は、算出された特性が正常特性に合致するか否かを判断する(ステップS25)。ここで合致とは、完全な一致に限らず、類似または所定の範囲内にある場合を含み得る。例えば、検知部205は、種別毎の単位時間あたりの発生頻度の分布について、正常特性による分布との類似性を判断する。
正常特性に合致しないと判断された場合(ステップS25でNO)、検知部205は、異常な通信パターンの通信パケットが送信されていることを検知し(ステップS26)、警告情報を出力する。検知部205は、状態判定処理(ステップS22)において、該当するシステム状態がない(システム状態異常)と判定された場合にも、制御異常が発生しているとみなす。一方、正常特性に合致すると判定された場合(ステップS25でYES)、検知部205は、異常な通信パターンのパケットが送信されていないとみなす。フローチャートの処理はステップS21に戻り、ステップS21〜S26までの処理が所定の周期で繰り返される。検知対象となる通信パターンは、通信パケット単体だけでなく、周期性および順序性を有する通信パケットのシーケンスでも構わない。
図12は、本実施形態に係る判定部203の動作を表すフローチャートである。このフローチャートは、図11の状態判定処理(ステップS22)を詳細に示すものである。まず、状態判定部302は、現在のプロセスデータを学習済みの特徴空間に転写する(ステップS221)。学習済みの特徴空間は、上述のとおり状態学習部301により事前に生成されている。
状態判定部302は、プロセスデータが学習時に分類されたクラスのいずれかに該当するか否かを判断する(ステップS222)。すなわち、状態判定部302は、特徴空間上において、転写されたプロセスデータの位置を確認して、プロセスデータが含まれるクラスを判断する。分類されたクラスに該当すると判断された場合(ステップS222でYES)、状態判定部302は、該当クラスに対応するシステム状態を出力する(ステップS223)。分類されたクラスに該当しないと判断された場合(ステップS222でNO)、状態判定部302は、現在のプロセスデータが、学習時に定義されたシステム状態のいずれにも該当しないこと(システム状態異常)を出力する(ステップS224)。
図13は、本実施形態に係る検知部205の動作を表すフローチャートである。このフローチャートは、図11の特性算出処理(ステップS24)を詳細に示すものである。まず、検知部205は、現在の通信パターンに含まれるすべてのパターン種別を取得する(ステップS241)。ここで取得されるパターン種別の例として、パケット学習部202で取得されるパターン種別と同様のものが挙げられる。
検知部205は、パターン種別リストを作成し、取得されたすべてのパターン種別を当該パターン種別リストに格納する(ステップS242)。ここで、検知部205は、パターン種別リストの中から着目する1つの種別(着目パターン種別)を選択する(ステップS243)。
検知部205は、着目パターン種別の特性を算出する(ステップS244)。例えば、検知部205は、現在の通信パターンについて、所定期間内に発生したパターンの総数(Nt)をカウントする。さらに、特性抽出部401は、現在の通信パターンについて、所定期間内に発生した着目パターン種別のパターンの個数(N)をカウントする。検知部205は、着目パターン種別のパターンの個数(N)をもとに種別毎に単位時間あたりの正常発生頻度(F)を算出する。また、種別毎のパターンの個数(N)をすべての種別のパターンの総数(Nt)で除算することにより、着目パターン種別の発生確率(P)を算出する。算出された特性は、着目パターン種別に関連付けて記憶される。
検知部205は、特性が算出されていないパターン種別が、パターン種別リスト内に残っているか否かを判断する(ステップS245)。残りのパターン種別がある場合(ステップS245でYES)、検知部205はステップS243に戻り、パターン種別リストの中から新たな着目パターン種別を選択する。新たな着目パターン種別に対して、特性算出処理(ステップS244)が再度実行される。残りのパターン種別がない場合(ステップS245でNO)、処理は図11のフローチャートに戻る。検知対象とする通信パターンは、通信パケット単体だけでなく、周期性および順序性を有する通信パケットのシーケンスでも構わない。
本実施形態によれば、プラントシステムを制御するための通信パケットの通信パターンおよび該システムから収集されたプロセスデータに基づいて、ネットワーク上における異常な通信パターンを検知する。プロセスデータから様々なシステム状態を抽出することができ、システム状態に応じたモデルを用いて通信パターン(通信パケット)の異常を検知することができるため、異常検知を精度良く行うことが可能となる。
プロセスデータを分析することで、オペレータにより切り替え可能な「立ち上げ」、「運転中」、「立ち下げ」、「保守」といったフェーズに基づく運用モードだけではなく、各フェーズにおける多様なシステム状態を抽出することができる。例えば、外気温などの環境値、プラントシステムに供給される原材料の品質などの外的要因や、自動運用モードおよび手動運用モード、PID制御などの制御パラメータや目標値などの内的要因に応じて変化する多様なシステム状態を抽出することができる。これにより、システム状態に応じたモデルをより細分化して作成することができるため、検知精度を向上させることが可能となる。
上述のように、外気温などの外的要因や制御パラメータなどの内的要因によってプラントシステムのシステム状態は変化する。本実施形態によれば、例えば、外気温が低いにもかかわらず冷却材を投入するコマンドが攻撃者から投入された場合に、外気温などのプロセスデータから学習したシステム状態をもとに外気温が低いときに発生することのない異常なコマンド(すなわち、システム状態に適さないコマンド)が投入されたことを迅速に検知できる。また、制御パラメータや目標値の設定変更によってプラント内の温度が安定状態若しくは過渡状態に変動するプラントシステムにおいて、安定状態にもかかわらず設定値を変更するコマンドが攻撃者から投入された場合に、温度やその時間変化などのプロセスデータから学習したシステム状態をもとに安定状態で発生することのない異常なコマンドが投入されたことを迅速に検知できる。
[第2実施形態]
図14は、本実施形態に係る情報処理装置1400の概略構成図である。情報処理装置1400は、取得部1401、検知部1402を備える。取得部1401は、システムを監視制御するための通信パケットとシステムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する。検知部1402は、通信パケットに関する通信パターンとプロセスデータとの対応関係に基づいて、ネットワーク上における異常な通信パターンを検知する。本実施形態に係る情報処理装置1400によれば、産業制御システムにおける異常検知を精度良く行える。
[第3実施形態]
図15は、本実施形態に係る情報処理装置1500の概略構成図である。情報処理装置1500は、取得部1501、学習部1502を備える。取得部1501は、システムを監視制御するための通信パケットとシステムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する。学習部1502は、通信パケットに関する通信パターンとプロセスデータとの対応関係に基づいて、ネットワーク上における通信パケットの異常な通信パターンを検知するモデルを作成する。本実施形態に係る情報処理装置1500によれば、産業制御システムにおける異常検知を精度良く行えるモデルが得られる。
[変形実施形態]
本発明は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において適宜変更可能である。例えば、異常検知装置105(図2)、判定部203(図3)、パケット学習部202(図4)の構成は一例であって、例示されたもの以外の構成要素をさらに有していてもよい。また、1つの構成要素が複数の構成要素に分散されていてもよく、複数の構成要素が1つの構成要素に集約されていてもよい。
上述の実施形態の機能を実現するように該実施形態の構成を動作させるプログラムを記憶媒体に記録させ、記憶媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記憶媒体も各実施形態の範囲に含まれる。また、上述のプログラムが記録された記憶媒体だけでなく、そのプログラム自体も各実施形態に含まれる。また、上述の実施形態に含まれる1又は2以上の構成要素は、各構成要素の機能を実現するように構成されたASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の回路であってもよい。
該記憶媒体としては例えばフロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、CD(Compact Disk)−ROM、磁気テープ、不揮発性メモリカード、ROMを用いることができる。また該記憶媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、OS上で動作して処理を実行するものも各実施形態の範疇に含まれる。
上述の実施形態の一部または全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する取得部と、
前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における異常な前記通信パターンを検知する検知部とを備えることを特徴とする情報処理装置。
(付記2)
前記プロセスデータから抽出される特徴量に基づいて、前記プロセスデータが分類される前記システムのシステム状態を判定する判定部を備え、
前記検知部は、それぞれの前記システム状態における前記通信パターンの特性を表すモデルを用いて、前記異常な前記通信パターンを検知することを特徴とする付記1に記載の情報処理装置。
(付記3)
前記モデルは、前記システム状態における前記通信パターンの正常特性を表し、前記検知部は、前記通信パターンの前記特性が前記正常特性と合致しない場合に、前記異常な前記通信パターンが発生していると判断することを特徴とする付記2に記載の情報処理装置。
(付記4)
前記通信パターンは、前記システムに対する時系列のコマンドを含み、前記通信パターンの前記特性は、前記コマンドの種別毎の発生頻度または発生確率で表されることを特徴とする付記3に記載の情報処理装置。
(付記5)
前記機器は、前記システムに設置されたセンサおよびアクチュエータを含み、
前記プロセスデータは、前記センサによって測定されたセンサデータと、前記アクチュエータの設定を示すアクチュエータデータとを含むことを特徴とする付記1乃至4のいずれかに記載の情報処理装置。
(付記6)
前記判定部は、前記システムの外乱による外的要因および前記アクチュエータの設定による内的要因で決定される前記システム状態を前記プロセスデータに基づいて分類することを特徴とする付記5に記載の情報処理装置。
(付記7)
システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、
前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するステップとを備えることを特徴とする情報処理方法。
(付記8)
コンピュータに、
システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、
前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するステップとを実行させることを特徴とするプログラム。
(付記9)
システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する取得部と、
前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するモデルを作成する学習部とを備えることを特徴とする情報処理装置。
(付記10)
システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、
前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するモデルを学習するステップとを備えることを特徴とする情報処理方法。
10 産業制御システム
101 エンジニアリングステーション
102 HMI
103 DCS
104 PLC
105 異常検知装置(情報処理装置)
106 ヒストリアン
107 ファイアウォール
108 制御ネットワーク
109 フィールド機器
110、111 フィールドネットワーク
120 外部ネットワーク
201 取得部
202 パケット学習部
203 判定部
204 記憶部
205 検知部
301 状態学習部
302 状態判定部
401 特性抽出部
402 モデル作成部
501、502、503 クラス
701 CPU
702 メモリ
703 記憶装置
704 通信I/F
1400、1500 情報処理装置
1401、1501 取得部
1402 検知部
1502 学習部
本発明の他の観点によれば、システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するモデルを学習するステップとを備えることを特徴とする情報処理方法が提供される。
図2は、本実施形態に係る異常検知装置105のブロック図である。異常検知装置105は、取得部201、パケット学習部202、判定部203、記憶部204、検知部205を備える。異常検知装置105は、通信パケットおよびプロセスデータ(センサデータおよびアクチュエータデータ)に基づいて予め学習を行い、学習結果に基づいて異常検知を行う。
図6は、本実施形態に係るモデルの一例を示すテーブルである。モデルには、システム状態ID(Identification)、システム状態を主に決定する要素である水温、材料性質、制御パラメータなどの属性情報、各システム状態における通信パターンの正常特性などの情報が含まれる。システム状態IDは、システム状態ごとに付され、システム状態を識別するための符号である。属性情報に関して言えば、例えば、状態1は、水温および材料性質が適正なシステム状態であることを表している。同様に、状態2は、水温が高く、材料性質が適正なシステム状態、状態3は、水温が適正で材料性質が悪いシステム状態であることを表している。属性情報は、水温、材料性質、制御パラメータに限定されず、例えばセンサデータおよびアクチュエータデータに含まれる任意の情報であってよい。なお、属性情報は、モデルの構成要件として必須ではない。

Claims (10)

  1. システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する取得部と、
    前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における異常な前記通信パターンを検知する検知部とを備えることを特徴とする情報処理装置。
  2. 前記プロセスデータから抽出される特徴量に基づいて、前記プロセスデータが分類される前記システムのシステム状態を判定する判定部を備え、
    前記検知部は、それぞれの前記システム状態における前記通信パターンの特性を表すモデルを用いて、前記異常な前記通信パターンを検知することを特徴とする請求項1に記載の情報処理装置。
  3. 前記モデルは、前記システム状態における前記通信パターンの正常特性を表し、前記検知部は、前記通信パターンの前記特性が前記正常特性と合致しない場合に、前記異常な前記通信パターンが発生していると判断することを特徴とする請求項2に記載の情報処理装置。
  4. 前記通信パターンは、前記システムに対する時系列のコマンドを含み、前記通信パターンの前記特性は、前記コマンドの種別毎の発生頻度または発生確率で表されることを特徴とする請求項3に記載の情報処理装置。
  5. 前記機器は、前記システムに設置されたセンサおよびアクチュエータを含み、
    前記プロセスデータは、前記センサによって測定されたセンサデータと、前記アクチュエータの設定を示すアクチュエータデータとを含むことを特徴とする請求項1乃至4のいずれか1項に記載の情報処理装置。
  6. 前記判定部は、前記システムの外乱による外的要因および前記アクチュエータの設定による内的要因で決定される前記システム状態を前記プロセスデータに基づいて分類することを特徴とする請求項5に記載の情報処理装置。
  7. システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、
    前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するステップとを備えることを特徴とする情報処理方法。
  8. コンピュータに、
    システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、
    前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するステップとを実行させることを特徴とするプログラム。
  9. システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する取得部と、
    前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するモデルを作成する学習部とを備えることを特徴とする情報処理装置。
  10. システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、
    前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するモデルを学習するステップとを備えることを特徴とする情報処理方法。
JP2020508919A 2018-03-30 2018-03-30 情報処理装置、情報処理方法およびプログラム Pending JPWO2019187155A1 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/013985 WO2019187155A1 (ja) 2018-03-30 2018-03-30 情報処理装置、情報処理方法およびプログラム

Publications (1)

Publication Number Publication Date
JPWO2019187155A1 true JPWO2019187155A1 (ja) 2021-02-12

Family

ID=68059662

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020508919A Pending JPWO2019187155A1 (ja) 2018-03-30 2018-03-30 情報処理装置、情報処理方法およびプログラム

Country Status (3)

Country Link
US (1) US20210026343A1 (ja)
JP (1) JPWO2019187155A1 (ja)
WO (1) WO2019187155A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11765188B2 (en) * 2020-12-28 2023-09-19 Mellanox Technologies, Ltd. Real-time detection of network attacks
CN114019946B (zh) * 2021-11-11 2023-08-29 辽宁石油化工大学 工控终端的监控数据处理方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003108224A (ja) * 2001-09-28 2003-04-11 Toshiba Corp プラント運転異常検出方法、プログラム及び装置
JP2007109141A (ja) * 2005-10-17 2007-04-26 Hitachi Ltd ストレージシステム
JP2009054843A (ja) * 2007-08-28 2009-03-12 Omron Corp プロセス異常検出装置および方法並びにプログラム
JP2012194936A (ja) * 2011-03-18 2012-10-11 Mitsubishi Electric Corp プラント機器の異常診断装置
JP5844944B2 (ja) * 2013-03-29 2016-01-20 株式会社日立製作所 情報制御装置、情報制御システム、及び情報制御方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003108224A (ja) * 2001-09-28 2003-04-11 Toshiba Corp プラント運転異常検出方法、プログラム及び装置
JP2007109141A (ja) * 2005-10-17 2007-04-26 Hitachi Ltd ストレージシステム
JP2009054843A (ja) * 2007-08-28 2009-03-12 Omron Corp プロセス異常検出装置および方法並びにプログラム
JP2012194936A (ja) * 2011-03-18 2012-10-11 Mitsubishi Electric Corp プラント機器の異常診断装置
JP5844944B2 (ja) * 2013-03-29 2016-01-20 株式会社日立製作所 情報制御装置、情報制御システム、及び情報制御方法

Also Published As

Publication number Publication date
US20210026343A1 (en) 2021-01-28
WO2019187155A1 (ja) 2019-10-03

Similar Documents

Publication Publication Date Title
US10027699B2 (en) Production process knowledge-based intrusion detection for industrial control systems
Maglaras et al. Intrusion detection in SCADA systems using machine learning techniques
EP1728133B1 (en) Abnormal situation prevention in a process plant
EP3001265A1 (en) Computer-implemented method and system for machine tool damage assessment, prediction, and planning in manufacturing shop floor
US9874869B2 (en) Information controller, information control system, and information control method
TW202122946A (zh) 工廠加工、設備及自動化系統之動態監測及保護
WO2017139074A1 (en) Prediction of potential cyber security threats and risks in an industrial control system using predictive cyber analytics
EP1725919A2 (en) Configuration system and method for abnormal situation prevention in a process plant
CN107831736B (zh) 使用用于造纸机或其它系统的模型参数数据群集的模型-工厂失配检测
JP2010015608A (ja) プロセス制御システム及びプロセス制御方法
US20190205531A1 (en) Using machine learning to detect communication channel abnormalities in an ics/iiot application
JP7458097B2 (ja) 工場制御システムをインテリジェントにエミュレートし、応答データをシミュレートするための方法、システム及び装置
Sheikh et al. Cyber attack and fault identification of hvac system in building management systems
US11550312B2 (en) Method for analyzing malfunctions in a system of process automation
JPWO2019187155A1 (ja) 情報処理装置、情報処理方法およびプログラム
CN110365717A (zh) 基于hart-ip协议的工业入侵监测方法和系统
JP7134062B2 (ja) 工作機械の異常診断システム、異常診断方法、異常診断プログラム
JP7081593B2 (ja) 機器管理システム、モデル学習方法およびモデル学習プログラム
CN106439199B (zh) 一种基于dcs数据的控制阀故障监控方法
US11449044B2 (en) Successive maximum error reduction
JP7352354B2 (ja) ネットワーク制御システムにおける自動改ざん検出
KR102360004B1 (ko) 진동 신호 기반의 기계 상태 관리 시스템
Matta et al. Industrial control system monitoring based on communication profile
US11953863B2 (en) Dynamic monitoring and securing of factory processes, equipment and automated systems
EP3958513A1 (en) Communication monitoring system and communication monitoring method

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200820

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200820

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210824

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220301