WO2014128840A1

WO2014128840A1 - データ中継装置、ネットワークシステム、および、データ中継方法

Info

Publication number: WO2014128840A1
Application number: PCT/JP2013/054070
Authority: WO
Inventors: 大倉　敬規; 山田　勉; 祥慈柚木
Original assignee: 株式会社日立製作所
Priority date: 2013-02-20
Filing date: 2013-02-20
Publication date: 2014-08-28
Also published as: JPWO2014128840A1; JP5957593B2

Abstract

　本発明では、周期性や応答性などに制約がありリアルタイム性を要求されるデータが伝送される制御用ネットワークにおいて、成り済まし等に起因する不正データの通過を阻止できるセキュリティ機能の高いデータ中継装置等を提供することを目的とする。　上記課題を解決するために、本発明は、複数の機器とネットワークを介して接続され、前記複数の機器間で送受信される通信データを中継するデータ中継装置において、中継する前記通信データに関する特定の情報と、不正データを抽出するために予め定められた規定値と、を記憶する記憶部と、受信した通信データに関する前記特定の情報を前記記憶部に格納するとともに、新たに格納した前記特定の情報と、それ以前に格納した前記特定の情報との差分を求め、差分が前記規定値に定める範囲を逸脱する場合には、当該受信した通信データを不正データとして抽出する処理部と、を有することを特徴とする。

Description

データ中継装置、ネットワークシステム、および、データ中継方法

　本発明は、データ中継装置、ネットワークシステム、および、データ中継方法に関する。

　近年、プラントやファクトリオートメーションシステムなどの産業システムにおいて、システム外に存在する拠点から遠隔監視や遠隔制御などを行う目的で、制御用の機器を接続しリアルタイムデータを伝送する制御用ネットワークを、インターネットなどの外部ネットワークに接続することが増加している。このため、インターネット経由で外部から偽のリアルタイムデータを注入するなどの方法で、産業システムがサイバー攻撃の脅威にさらされるようになっており、サイバー攻撃からリアルタイムデータを扱う産業システムを防御する手法や装置が開発されている。

　サイバー攻撃からネットワークを防御する手法としては、例えば、特許文献１に記載のセキュリティシステムが知られている。

　特許文献１に記載のセキュリティシステムでは、リアルタイムデータの一種である音声パケットをインターネット経由で伝送するシステムにおいて、パケットのヘッダ部分におけるＴＯＳ（Ｔｙｐｅ　Ｏｆ　Ｓｅｒｖｉｃｅ）フィールド及び認証フィールドを抽出し、真のユーザから転送されてきた音声データであるかどうかの照合を行い、一致しない音声パケットを破棄する、という特徴を持つものであった。

特開２００２－１７６４５５

　特許文献１記載の技術では、パケットのヘッダ情報（宛先アドレスや送信元アドレス、ＴＯＳフィールドなど）を、予め登録されたに認証情報と比較することにより、正当性の判定を行う。しかし、ネットワークの伝送路において盗聴され複製された成り済ましパケットは、正当性の判定をすり抜け不正パケットを除去できない可能性がある、という問題がある。

　本発明では、周期性や応答性などに制約がありリアルタイム性を要求されるデータ（以降、「リアルタイムデータ」と称す）が伝送される制御用ネットワーク（以降、「制御ＬＡＮ」と称す）において、リアルタイムデータに対して、成り済まし等に起因する不正データの通過を阻止できるセキュリティ機能の高いデータ中継装置等を提供することを目的とする。

　　本発明は、上記課題を解決するために、複数の機器とネットワークを介して接続され、前記複数の機器間で送受信される通信データを中継するデータ中継装置において、中継する前記通信データに関する特定の情報と、不正データを抽出するために予め定められた規定値と、を記憶する記憶部と、受信した通信データに関する前記特定の情報を前記記憶部に格納するとともに、新たに格納した前記特定の情報と、それ以前に格納した前記特定の情報との差分を求め、差分が前記規定値に定める範囲を逸脱する場合には、当該受信した通信データを不正データとして抽出する処理部と、を有することを特徴とする。

　本発明では、周期性や応答性などに制約がありリアルタイム性を要求されるデータが伝送される制御用ネットワークにおいて、成り済まし等の不正データを排除することが可能な、セキュアな産業システムを構築できる。

本発明の１実施形態に係る情報ネットワークシステムの構成を示す図である。本発明の１実施形態に係るデータ中継装置の構成を示す図である。本発明の１実施形態に係るデータ中継装置の構成を示す図である。本発明の１実施形態に係るデータ中継装置の構成を示す図である。本発明の１実施形態に係るデータ中継装置の構成を示す図である。本発明の１実施形態に係るデータ中継装置の構成を示す図である。本発明の１実施形態に係る記憶手段を示す図である。本発明の１実施形態に係る記憶手段を示す図である。本発明の１実施形態に係るデータ中継装置の構成を示す図である。本発明の１実施形態に係るデータ中継装置の構成を示す図である。本発明の１実施形態に係る記憶手段を示す図である。本発明の１実施形態に係るデータ中継装置の構成を示す図である。本発明の１実施形態に係る動作を示す図である。本発明の１実施形態に係る動作を示す図である。本発明の１実施形態に係る動作を示す図である。

　以下、本発明の実施形態について図面を用いて説明する。

第１の実施形態

　第１の実施形態について説明する。まず、図１に、第１の実施形態に係る情報ネットワークシステムの一構成例を示す。

　図１における情報ネットワークシステムでは、データを伝送する伝送路９と、データを送受信する複数の機器３と、伝送路９と機器３との間でデータを中継する複数の制御ＬＡＮノード２と、制御ＬＡＮノード２と機器３を結ぶ支線伝送路９０と、から構成される制御ＬＡＮであって、制御ＬＡＮノード２間もしくは制御ＬＡＮノード２と機器３との間に、セキュリティ機能を有するデータ中継装置１を設ける。

　なお、データ中継装置１は、隣接する制御ＬＡＮノード２間の伝送路９に接続される場合（データ中継装置１ａ）や、制御ＬＡＮノード２と機器３の間の支線伝送路９０に接続される場合（データ中継装置１ｂ）がある。

　また、前記制御ＬＡＮおよび制御ＬＡＮノードとしては、例えば、ＩＥＣ６１１５８規格で規定された産業用ネットワークを使用してもよい。

　また、前記機器３としては、例えば、産業プラントで使用するコントローラや監視用コンピュータ、コントローラに制御指令を送る制御用コンピュータ、さらには制御ＬＡＮと外部ネットワークを接続するために使用するゲートウェイ装置などを使用してもよい。次にデータ中継装置１（１ａ、１ｂ）の構成を図２に示す。データ中継装置１は、図２に示すように、データ選別手段１０ａ、１０ｂと、非リアルタイムデータ対象不正データ除去手段１９と、リアルタイムデータ対象不正データ除去手段１１と、から構成される。

　なお、図２において、左側に接続された伝送路を９ａ、右側に接続された伝送路を９ｂとし、伝送路９ａに送受信するデータ選別手段を１０ａ、伝送路９ｂに送受信するデータ選別手段を１０ｂとし、データ中継装置１は、伝送路９ａから伝送路９ｂの方向へ伝送されるデータと伝送路９ｂから伝送路９ａの方向へ伝送されるデータの双方に対して、同じ処理を実施することとする。

　また、以下、「不正データ」とは、産業システムをサイバー攻撃する攻撃者の悪意により、制御ＬＡＮへ注入されたデータ（リアルタイムデータあるいは非リアルタイムデータ）を表し、「正規データ」とは、制御ＬＡＮを伝送されるデータのうち前記不正データではないデータ（リアルタイムデータあるいは非リアルタイムデータ）を表す。

　前記データ選別手段１０ａ、１０ｂは、それぞれ伝送路９ａ、９ｂからデータを受信し、受信したデータのヘッダ情報から送信元アドレスや宛先アドレスを読み出し、前記受信データをリアルタイムデータと非リアルタイムデータに選別する。その結果、非リアルタイムデータであれば、前記非リアルタイムデータ対象不正データ除去手段１９へ出力し、リアルタイムデータであれば、前記リアルタイムデータ対象不正データ除去手段１１へ出力する。ここで、データ選別手段１０ａ、１０ｂは、受信したデータのプロトコルやデータ種別、宛先ポート番号、送信元ポート番号等を用いてリアルタイムデータと非リアルタイムデータを選別することもできる。

　また、前記データ選別手段１０ａ、１０ｂは、前記非リアルタイムデータ対象不正データ除去手段１９あるいは前記リアルタイムデータ対象不正データ除去手段１１が出力した正規データを、接続された伝送路９ａ、９ｂへそれぞれ送信する。

　前記非リアルタイムデータ対象不正データ除去手段１９は、前記データ選別手段１０ａ、１０ｂが出力した非リアルタイムデータの中から、パケットのヘッダ情報（宛先アドレスや送信元アドレス、ＴＯＳフィールドなど）を、予め登録されたに認証情報と比較することにより、正当性の判定を行う。本判定によって、不正データを除去し、正規データをそれぞれ前記データ選別手段１０ｂ、１０ａへ出力する。

　あるいは、非リアルタイムデータの不正データを除去する機能を、データ中継装置１以外の他のセキュリティ装置（例えば、侵入防止システム（Ｉｎｔｒｕｓｉｏｎ　Ｐｒｅｖｅｎｔｉｏｎ　Ｓｙｓｔｅｍ）など）で実施させる場合は、前記非リアルタイムデータ対象不正データ除去手段１９はデータを加工せず中継する機能のみでもよい。

　前記リアルタイムデータ対象不正データ除去手段１１は、データ判定手段３０とデータフィルタ処理手段２０から構成される。

　前記データ判定手段３０は、リアルタイムデータの到着間隔を計測し、前記到着間隔と前記リアルタイムデータの期待される伝送周期を比較することにより、受信したリアルタイムデータが正規データであるか不正データであるかを判定し、判定結果を出力する。データ判定手段３０の構成を図４に示す。

　データ判定手段３０は、演算処理手段３１０と、記憶手段３３０と、時刻計測手段３００と、から構成される。また、演算処理手段３１０は、演算処理手段３１０が行う処理として、データ到着検出手段３０１、到着間隔判定手段３０４を有する。記憶手段３３０には、データ到着時刻記憶手段３０２によってデータの到着時刻が記録されたデータ到着間隔記録テーブル３２０と、不正データの判定条件を記憶する判定条件３０３が記憶される。また、時刻計測手段３００は、演算処理手段３１０が行う処理として動作することもできる。

　次にデータ判定手段の動作について説明する。データ選別手段１０ａ、１０ｂが出力したリアルタイムデータをデータ到着検出手段３０１が検出し、データ到着時刻記憶手段３０２へ出力する。データ到着時刻記憶手段３０２は、前記リアルタイムデータを、到着時刻と共にデータ到着間隔記録テーブル３２０へ記憶する。前記リアルタイムデータの到着時に時刻計測手段３００が出力した時刻を、リアルタイムデータの到着時刻とする。

　データ到着間隔記録テーブル３２０の記録内容の例を図７に示す。

　データ到着間隔記録テーブル３２０は、リアルタイムデータの種別毎（図７ではデータＡ、データＢ、データＣそれぞれ）に、最新の到着時刻、その一つ前に受信したリアルタイムデータの到着時刻を記録し、両者の時間差（以下、「到着間隔」と称す）を記録する。なお、データの種別とは、例えば、データの宛先機器と送信元機器の組を指すものでも良いし、さらに伝送周期やデータの内容により分類されたものでもよい。

　また、図４において、データ到着時刻記憶手段３０２は前記到着間隔を到着判定手段３０４に出力する。

　到着判定手段３０４は、リアルタイムデータの種別毎に予め定められた伝送周期や到着間隔を記憶する判定条件３０３の出力と、データ到着時刻記憶手段３０２の出力（到着間隔）を比較し、前記時間差と、判定条件３０３の出力の差が一定時間以内であれば、最新のリアルタイムデータを正規データと判定し、判定結果をデータフィルタ処理手段２０へ出力し、前記時間差と判定条件３０３の出力の差が一定時間より大きければ、最新のリアルタイムデータを不正データと判定し、判定結果をデータフィルタ処理手段２０へ出力する。

　データフィルタ処理手段２０は、図３に示すように、判定待ちデータ蓄積手段２０１と廃棄データ処理手段２１０から構成される。

　判定待ちデータ蓄積手段２０１は、データ選別手段１０ａ、１０ｂが出力したリアルタイムデータを、リアルタイムデータ対象不正データ除去手段１１が正規データあるいは不正データの判定を出力するまで蓄積しておき、前記判定の結果に従い、蓄積していたリアルタイムデータを処理する。すなわち、正規データの判定であれば、データをデータ選別手段１０ｂあるいは１０ａへ（１０ａが出力したデータは１０ｂへ、１０ｂが出力したデータは１０ａ）出力する。不正データの判定であれば、廃棄データ処理手段２１０へ出力され、廃棄データ処理手段２１０においてデータは廃棄処理される。

　なお、到着判定手段３０４における、正規データと不正データを判定する例を図１３に示す。

　図１３では、送信元機器甲から宛先機器乙へ伝送周期ＴのリアルタイムデータＳ１、Ｓ２、Ｓ３の伝送を想定し、機器甲と機器乙との間の伝送路９上にデータ中継装置１が存在するとする。また、機器乙へのサイバー攻撃者が存在し、送信元を機器甲として成り済ましたリアルタイムデータを伝送路９上へ注入するとする。

　送信元の機器甲からは、ほぼ時間Ｔ毎に正規の周期データＳ１、Ｓ２、Ｓ３が送信され、攻撃者から前記Ｓ１、Ｓ２、Ｓ３を盗聴して改竄するなどの方法で成り済ました不正データＳ１’、Ｓ２’、Ｓ３’が適当な時間間隔で送信されている。

　そこで、データ中継装置１は、正規の周期データ（Ｓ１）が到着した時点から計測して、「Ｔ－ΔＴａ」経過後から「Ｔ＋ΔＴｂ」経過後までの期間（以下、「正規判定期間」と称す）に到着した周期データ（Ｓ２）を正規データを判定し、同様に次の正規判定期間に到着した周期データ（Ｓ３）を正規データと判定し、いずれも機器乙へ中継される。

　一方、攻撃者から送信された成り済ましデータＳ１’、Ｓ２’、Ｓ３’は、前記正規到着期間に到着しないために、データ中継装置１は、不正データと判定し廃棄する。

　前記ΔＴａやΔＴｂに適当な値を選ぶことにより、リアルタイムデータの判定精度を制御することができる。判定に用いるこれらの値Ｔ、ΔＴａ、ΔＴｂなどは、判定条件３０３に設定しておく。また、本実施例のように周期Ｔの前後それぞれにΔＴａ、ΔＴｂを定めることで、ネットワークに接続される他の装置とのクロック差による周期ずれを考慮して細かい判定設定を行うことができる。

　なお、図１３の例では、正規判定期間に偶然、不正な周期データが到着した場合、それを正規データと誤って判定する可能性がある。そこで、正規判定期間に複数の同じ種別のリアルタイムデータが到着した場合は、全て不正データ扱いして廃棄するという方法が考えられる。例えば、図１４に示すように、同じ正規判定期間内に正規の周期データＳ２と不正データＳ２’が到着した場合、両者を廃棄する。この方法では、正規のデータ（Ｓ２）も失われることになるが、次の周期の正規データ（Ｓ３）でリカバリすれば良い。

　また、同じ伝送周期のリアルタイムデータが複数種別存在する場合、異なる種別間での到着間隔を判定に用いる方法も考えられる。例えば、図１５に示すように、同じ伝送周期Ｔの３つの種別Ａ，Ｂ，Ｃのリアルタイムデータ（Ａ１，Ａ２と、Ｂ１、Ｂ２と、Ｃ１、Ｃ２）が伝送路９を伝送される場合（必ずしも送信元や宛先が同じ機器である必要は無い）、それぞれのデータ種別間で毎周期、伝送タイミングの相互関係がほぼ同じとなる性質を利用する。すなわち、種別Ａ，Ｂ，Ｃ間のリアルタイムデータの相互の到着間隔からそれぞれ６種類の「正規判定期間」を設定する。図１５では、周期データＡ２に対して、種別Ｂの最新データであるＢ１との到着間隔Δｔａｂ、および種別Ｃの最新データであるＣ１との到着間隔Δｔａｃのうちどちらか一方が対応する正規判定期間内にあれば、正規データと判定する。図１５では、他のデータＢ２、Ｃ２に対しても同様の判定を行っており、正規判定期間外に到着したＣ１’やＡ１’は不正データと判定して廃棄処理する。本例では、複数の判定期間のうち、いずれか１つの条件を満たせば正規データとして処理する方式を説明したが、いずれか１つの条件が判定期間を逸脱する場合に不正データとして処理することもできる。

　図１５の判定方法を実施するためのデータ到着間隔記録テーブル３２１の記録内容の例を図８に示す。

　データ到着間隔記録テーブル３２１は、リアルタイムデータの種別間相互（図８ではデータＡ、データＢ、データＣの間の全ての組合せ）に、最新の到着時刻、各種別間の到着間隔を記録する。このように異なるデータ種別間で複数の判定期間を定めることによって、データ抜け等によって、いずれか１つの判定期間による判定が使用できない場合においても他の判定期間を用いて不正データを検出することができる。

　ところで、図４において、判定に用いる伝送周期や到着間隔などは判定条件３０３に設定されていたが、データ中継装置１の外部から設定する手段があってもよい。

　例えば、ＲＳ２３２ＣやＩＥＥＥ８０２．３規格などの通信インタフェースに対応可能なコンピュータや専用設定機器などから設定情報をインストールしても良いし、設定情報を記憶したＵＳＢメモリやＳＤメモリなどの外部記憶媒体を接続して、判定条件３０３から読み込みさせてもよい。

　また、外部設定を不要とする方法として、図５に示すように、データ判定手段３０の演算処理手段３１０内に到着間隔学習手段３０５を設け、データ到着検出手段３０１から出力されるリアルタイムデータの到着間隔（図１３、図１４の場合はデータ種別毎の伝送周期、図１５の場合は前記伝送周期に加えてデータ種別間の到着間隔）を一定期間学習し、学習結果（伝送周期やデータ種別間の到着間隔など）を判定条件３０３へとして定めることもできる。

　また、到着間隔判定手段３０４が不正データを検出した時に、外部へ通知する手段が必要となる場合がある。そこで、図６に示すように、記憶手段３２０内に判定結果３０６を持たせ、到着間隔判定手段３０４が出力する判定結果を、判定時刻を対応させて記憶しておく。記憶する判定結果は不正データの検出に関する記録だけでもよい。

　さらに、判定結果３０６は記憶した判定結果の記録を外部へ出力する機能があってもよい。例えば、ＲＳ２３２ＣやＩＥＥＥ８０２．３規格などの通信インタフェースに対応可能なコンピュータや専用設定機器などを利用して読みだしてもよいし、ＵＳＢメモリやＳＤメモリなどの外部記憶媒体を接続して書き込みさせてもよい。

　さらに、判定結果３０６は、新たな不正データの判定結果が記録されるとデータ中継装置１の外部へ表示してもよい。表示する方法としては、例えば、不正データが検出された時に、ＬＥＤを点灯させる、ＬＣＤに表示する、警報音や音声を発する、などである。

　以上、第１の実施形態について説明した。

　以上に述べたことにより、本発明では、周期性を持つリアルタイムデータが伝送される制御ＬＡＮにおいて、周期性を維持し、かつ、成り済まし等に起因する不正データの通過を阻止できるセキュリティ機能の高いデータ中継装置およびそれを使った情報ネットワークシステムを提供することができる。さらに、制御ＬＡＮの外部からだけではなく、制御ＬＡＮ内部に侵入した者からの攻撃に対しても、周期性を逸脱したデータを不正データとして検出することで不正データを排除することが可能であり、セキュアな制御システムを構築できる。

　また、本実施例では、データ中継装置が有する機能ごとにブロック分けして図に表しているが、これらはＣＰＵが行うプログラムとして実行させることもできるし、機能ごとに集積回路で設計する等によりハードウェアで実現することもできる。

第２の実施形態

　上述の第１の実施形態では、リアルタイムデータの周期性に着目したが、制御ＬＡＮを流れるリアルタイムデータには周期性を要求されるデータの他に、応答性を要求されるデータもある。すなわち、通信処理負荷を低減するために送信元機器と宛先機器との間でコネクションレスでデータを送受信する場合も多い。このようなデータは、コネクションレスのためデータが欠損した場合の再送処理や障害検出を行うために、データの内部に送信順序を表すシーケンス番号をセットする。送信元機器がデータ送信毎にシーケンス番号をインクリメントし、宛先機器はシーケンス番号の連続性を監視することにより、データの欠損を検出する。

　そこで、第２の実施形態では、リアルタイムデータのシーケンス番号を監視することにより不正データを検出する方法について述べる。

　第２の実施形態に係る情報ネットワークシステムの一構成例は図１と同様である。

　データ中継装置１は図２と同様である。

　リアルタイムデータ対象不正データ除去手段１１は、データ判定手段３０とデータフィルタ処理手段２０から構成されるが、第２の実施形態におけるデータ判定手段は、第１の実施形態のデータ判定手段３０と区別するために３０ｂとする。

　データ判定手段３０ｂは、リアルタイムデータのシーケンス番号を監視し、今回受信したデータのシーケンス番号と前回受信したデータのシーケンス番号を比較することにより、受信したリアルタイムデータが正規データであるか不正データであるかを判定し、判定結果を出力する。

　データ判定手段３０ｂの構成を図９に示す。

　データ判定手段３０は、演算処理手段３１０と、記憶手段３３０と、から構成される。また、演算処理手段３１０は、演算処理手段３１０が行う処理として、データ到着検出手段３０１、シーケンス番号判定手段３５４を有する。記憶手段３３０には、シーケンス番号記憶手段３５２によってシーケンス番号が記録されたシーケンス番号記録テーブル３７０と、不正データの判定条件を記憶する差分値判定条件３５３が記憶される。

　次にデータ判定手段３０ｂの動作について説明する。データ選別手段１０ａ、１０ｂが出力したリアルタイムデータをデータ到着検出手段３０１が検出し、シーケンス番号記憶手段３５２へ出力する。シーケンス番号記憶手段３５２は、前記リアルタイムデータのシーケンス番号を、シーケンス番号記録テーブル３７０へ記憶する。

　シーケンス番号記録テーブル３７０の記録内容の例を図１１に示す。

　シーケンス番号記録テーブル３７０は、リアルタイムデータの種別毎（図１１ではデータＡ、データＢ、データＣそれぞれ）に、最新のシーケンス番号、その一つ前に受信したリアルタイムデータのシーケンス番号を記録し、両者の差分値（以下、「差分値」と称す）を記録する。なお、データの種別とは、例えば、データの宛先機器と送信元機器の組を指すものでも良いし、さらに伝送周期やデータの内容により分類されたものでもよい。

　また、図９において、シーケンス番号記憶手段３５２は前記差分値をシーケンス番号判定手段３５４に出力する。

　シーケンス番号判定手段３５４は、リアルタイムデータの種別毎に予め定められた前記差分値の許容範囲を記憶する差分値判定条件３５３の出力と、シーケンス番号記憶手段３５２の出力（差分値）を比較し、前記差分値が、差分値判定条件３５３の許容する値以下であれば、最新のリアルタイムデータを正規データと判定し、判定結果をデータフィルタ処理手段２０へ出力し、前記差分値が、差分値判定条件３５３の許容する値より大きければ、最新のリアルタイムデータを不正データと判定し、判定結果をデータフィルタ処理手段２０へ出力する。ここで、シーケンス番号は、正規データであってもノイズ等によるデータ抜けによって必ずしも連続に送受信されるとは限らないため、差分値判定条件３５３には、ある程度の幅を持たせた値が設定される。

　データフィルタ処理手段２０は、図３と同様である。

　ところで、図９において、判定に用いる差分値の許容範囲などは差分値判定条件３５３に設定されていたが、データ中継装置１の外部から設定する手段があってもよい。例えば、ＲＳ２３２ＣやＩＥＥＥ８０２．３規格などの通信インタフェースに対応可能なコンピュータや専用設定機器などから設定情報をインストールしても良いし、設定情報を記憶したＵＳＢメモリやＳＤメモリなどの外部記憶媒体を接続して、差分値判定条件３５３から読み込みさせてもよい。

　また、シーケンス番号判定手段３５４が不正データを検出した時に、外部へ通知する手段が必要となる場合がある。そこで、図１０に示すように、記憶手段３２０内に判定結果３０６を持たせれば、シーケンス番号判定手段３５４が出力する判定結果を、時刻計測手段３００の出力である判定時刻を対応させて記憶しておく。記憶する判定結果は不正データの検出に関する記録だけでもよい。

　以上、第２の実施形態について説明した。

　以上に述べたことにより、本発明では、送信順序を表すシーケンス番号を持つリアルタイムデータが伝送される制御ＬＡＮにおいて、リアルタイムデータの連続性を維持し、かつ、成り済まし等に起因する不正データの通過を阻止できるセキュリティ機能の高いデータ中継装置およびそれを使った情報ネットワークシステムを提供することができる。さらに、制御ＬＡＮの外部からだけではなく、制御ＬＡＮ内部に侵入した者からの攻撃に対しても、不正データを排除することが可能であり、セキュアな制御システムを構築できる。

　また、本実施例によれば、応答性を要求されるリアルタイムデータのように、必ずしも周期的に通信されないデータに対しても、シーケンス番号を監視することによって、成りすまし等による不正データを排除することができる。

第３の実施形態

　上述の第１の実施形態はリアルタイムデータの周期性の乱れから不正データを除去する方法であり、第２の実施形態はリアルタイムデータの連続性の乱れから不正データを除去する方法であったが、これら２種類の方法を両立させれば、より多くの種類のリアルタイムデータの不正データを検出可能となる。

　そこで、第３の実施形態では、リアルタイムデータ対象不正データ除去手段１１の構造を変更することにより、リアルタイムデータの周期性と連続性の両方に注目した不正データ除去の方法を述べる。

　図１２に変更後のリアルタイムデータ対象不正データ除去手段１１の構成を示す。本実施形態のリアルタイムデータ対象不正データ除去手段１１は、データフィルタ処理手段２０と、リアルタイムデータの周期性から判定するデータ判定手段３０と、リアルタイムデータの連続性から判定する連続性データ判定手段３０ｂと、判定結果組合せ手段３４０から構成される。

　なお、３０ｂはデータ判定手段３０と区別するため、本実施形態では連続性データ判定手段を称する。

　受信したリアルタイムデータをデータ判定手段３０と連続性データ判定手段３０ｂとで不正データの判定を行い、判定結果組合せ手段３４０が双方の判定手段の判定結果を組合せて最終的な判定を行う。前記最終的な判定とは、例えば、いずれかの判定結果を優先する、双方の判定手段がどちらも不正データ判定を行った場合にのみ不正データを判定する、どちらか一方の判定手段が不正データ判定を行えば不正データを判定する、などが考えられる。

　以上、第３の実施形態について説明した。

　以上に述べたことにより、本発明では、リアルタイムデータの周期性の乱れから不正データを除去する方法と、リアルタイムデータの連続性の乱れから不正データを除去する方法を両立することができ、より多くの種類のリアルタイムデータの不正データを検出可能となる。

　なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、ＳＳＤ（Solid State Drive）等の記録装置、または、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に置くことができる。

　また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。

１、１ａ、１ｂ、１ｃ　データ中継装置
１０、１０ａ、１０ｂ　データ選別手段
１１　リアルタイムデータ対象不正データ除去手段
１９　非リアルタイムデータ対象不正データ除去手段
２　制御ＬＡＮノード
２０　データフィルタ処理手段
２０１　判定待ちデータ蓄積手段
２１０　廃棄データ処理手段
３　機器
３０、３０ｂ　データ判定手段
３００　時刻計測手段
３０１　データ到着検出手段
３０２　データ到着時刻記憶手段
３０３　判定条件３０４　到着間隔判定手段
３０５　到着間隔学習手段
３０６　判定結果記憶手段
３１０　演算処理手段
３２０、３２１　データ到着間隔記録テーブル
３３０　記憶手段
３４０　判定結果組合せ手段
３５２　シーケンス番号記憶手段
３５３　差分値判定条件
３５４　シーケンス番号判定手段
３７０、３７１　シーケンス番号記録テーブル
８　ゲートウェイ装置
９、９ａ、９ｂ　伝送路
９０　支線伝送路
９００　外部ネットワーク

Claims

　複数の機器とネットワークを介して接続され、前記複数の機器間で送受信される通信データを中継するデータ中継装置において、
　中継する前記通信データに関する特定の情報と、不正データを抽出するために予め定められた規定値と、を記憶する記憶部と、
　受信した通信データに関する前記特定の情報を前記記憶部に格納するとともに、新たに格納した前記特定の情報と、それ以前に格納した前記特定の情報との差分を求め、差分が前記規定値に定める範囲を逸脱する場合には、当該受信した通信データを不正データとして抽出する処理部と、を有することを特徴とするデータ中継装置。
　請求項１において、
　前記記憶部は、前記特定の情報として前記通信データの受信時刻を記憶し、
　前記処理部は、新たに受信した前記通信データの受信時刻と、それ以前に受信した前記通信データの受信時刻との差分が前記規定値に定める範囲を逸脱する場合に当該新たに受信した通信データを不正データとして抽出することを特徴とするデータ中継装置。
　請求項１において、
　前記記憶部は、前記特定の情報として前記通信データに付与されるシーケンス番号を記憶し、
　前記処理部は、新たに受信した前記通信データのシーケンス番号と、それ以前に受信した前記通信データのシーケンス番号との差分が前記規定値に定める範囲を逸脱する場合に当該新たに受信した通信データを不正データとして抽出することを特徴とするデータ中継装置。
　請求項１乃至３いずれかにおいて、
　前記記憶部は、前記通信データの種別ごとに前記特定の情報を記憶し、
　前記処理部は、新たに格納した前記特定の情報と、それ以前に格納した同一種別の通信データに関する前記特定の情報との差分を求め、差分が予め定められた前記規定値に定める範囲を逸脱する場合には、当該受信した通信データを不正データとして抽出することを特徴とするデータ中継装置。
　請求項２において、
　前記記憶部は、前記通信データの種別ごとに受信時刻を記憶し、異なる種別の前記通信データ相互の受信間隔に対応させて前記規定値を記憶し、
　前記処理部は、新たに受信した前記通信データの受信時刻と、それ以前に受信した他の種別の前記通信データの受信時刻と、の差分と前記規定値とを比較して不正データを抽出することを特徴とするデータ中継装置。
　請求項１において、
　前記処理部は、過去に受信した前記通信データどうしの前記特定の情報の差分から前記規定値を求めて前記記憶部に記憶することを特徴とするデータ中継装置。
　請求項１において、
　前記処理部は、受信した前記通信データが前記特定の情報を格納すべき通信データであるか否かを当該受信した通信データに定められた情報から判断し、前記特定の情報を格納すべき通信データであった場合には、当該受信した通信データに関する前記特定の情報を前記記憶部に格納することを特徴とするデータ中継装置。
　請求項７において、
　前記定められた情報とは、宛先アドレス、送信元アドレス、プロトコル種別、宛先ポート番号、送信元ポート番号、のいずれかを含むことを特徴とするデータ中継装置。
　ネットワークと、前記ネットワークに接続される複数の機器と、前記ネットワークに接続され、前記複数の機器間で送受信される通信データを中継するデータ中継装置と、を備えるネットワークシステムにおいて、
　前記データ中継装置は
　中継する前記通信データに関する特定の情報と、不正データを抽出するために予め定められた規定値と、を記憶する記憶部と、
　受信した通信データに関する前記特定の情報を前記記憶部に格納するとともに、新たに格納した前記特定の情報と、それ以前に格納した前記特定の情報との差分を求め、差分が前記規定値に定める範囲を逸脱する場合には、当該受信した通信データを不正データとして抽出する処理部と、を有することを特徴とするネットワークシステム。
　ネットワークを介して接続される機器から通信データを受信し、
　受信した前記通信データに関する特定の情報を記憶し、
　新たに格納した前記特定の情報と、それ以前に格納した前記特定の情報との差分を求め、
　当該差分が予め定められた規定値の範囲を逸脱する場合には、当該受信した通信データを不正データとして抽出し、
　当該差分が予め定められた規定値の範囲内である場合には、当該受信した通信データを正常データとして、他の機器へ中継するデータ中継方法。