WO2019003300A1

WO2019003300A1 - 侵入検知装置および侵入検知方法

Info

Publication number: WO2019003300A1
Application number: PCT/JP2017/023573
Authority: WO
Inventors: 義統中島; 剛久三輪; 真樹樋口; 晃由山口; 綱人中井; 仁川▲崎▼
Original assignee: 三菱電機ビルテクノサービス株式会社; 三菱電機株式会社
Priority date: 2017-06-27
Filing date: 2017-06-27
Publication date: 2019-01-03
Also published as: ES2870077T3; EP3605966B1; CN110771101B; JPWO2019004101A1; WO2019004101A1; EP3605966A4; CN110771101A; EP3605966A1; JP6584733B2

Abstract

空調機器（５６）を制御するコントローラ（５１）と空調機器（５６）を監視する監視制御端末（４０）との間を接続するネットワーク（３０）への侵入を検知する侵入検知装置（１０）であって、ネットワーク（３０）を流れる空調機器（５６）に関する通信データを通信判定データとして取得する通信取得部（１１）と、ネットワーク（３０）における通信を許可する通信許可ルールを生成して通信許可リストとして格納する通信許可リスト生成部（１４）と、通信取得部（１１）が取得した通信判定データが通信許可リストの中のいずれの通信許可ルールにも該当しない場合にネットワーク（３０）への侵入を検知する侵入検知部（１２）と、を備え、通信許可リスト生成部（１４）は、空調機器（５６）のオブジェクトの属性情報を含むエンジニアリング情報に基づいて通信許可ルールを生成する。

Description

侵入検知装置および侵入検知方法

　本発明は、ネットワークへの侵入を検知する侵入検知装置および侵入検知方法に関する。

　近年、ビル設備の制御システム等の産業制御システムにおいて、システムがサイバー攻撃の標的になるケースが増加している。これに対して、産業制御システムのネットワーク通信が固定的であることを利用し、送信先アドレスと送信元アドレスのペアやプロトコル等の許可された通信を定義し、許可された通信を通信許可リストとし、通信許可リストにない通信を検知することによって侵入を検知する方法が用いられている（例えば、特許文献１、２参照）。

特開２０１６－１６３３５２号公報特許第６０５４０１０号公報

　ところで、特許文献１、２に記載された従来技術では、通信許可リストは、ネットワークから収集した通信データを学習、解析してリストにしたものを用いている。しかし、このような学習方式によってリストを作成する場合には、学習に時間がかかる上、学習が十分でリストが正確なものであるかどうかを確認することが難しいという問題があった。

　そこで、本発明は、簡便に通信許可リストの作成が可能な侵入検知装置を提供することを目的とする。

　本発明の侵入検知装置は、ビル設備を制御するコントローラと前記コントローラと通信して前記ビル設備を監視する監視制御端末との間を接続するネットワークへの侵入を検知する侵入検知装置であって、前記ネットワークを流れる前記ビル設備に関する通信データを通信判定データとして取得する通信取得部と、前記ネットワークにおける通信を許可する通信許可ルールを生成して通信許可リストとして格納する通信許可リスト生成部と、前記通信取得部が取得した前記通信判定データが前記通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知する侵入検知部と、を備え、前記通信許可リスト生成部は、前記ビル設備のオブジェクトの属性情報を含むエンジニアリング情報に基づいて前記通信許可ルールを生成することを特徴とする。

　本発明の侵入検知装置において、前記エンジニアリング情報を解析して前記通信許可ルールの生成に必要な情報を抽出し、前記ネットワークの通信仕様フォーマットに形成して中間データとして出力する属性情報解析部を備え、前記通信許可リスト生成部は、前記中間データに前記ネットワークの構成情報と前記オブジェクトの入出力情報とを含む管理情報を合わせて前記通信許可ルールを生成してもよい。

　本発明の侵入検知装置において、前記エンジニアリング情報は、外部から前記属性情報解析部に入力され、前記管理情報は、外部から前記通信許可リスト生成部に入力されてもよい。

　本発明の侵入検知装置において、前記通信取得部が取得した前記通信判定データを学習して前記ネットワークを流れる前記ビル設備に関する通信データから通信ルールを生成し、通信ルールリストとして出力する通信ルールリスト生成部と、修正通信許可リストを格納する通信許可リスト格納部と、前記通信ルールリストの中の一の通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一部のみが異なる場合には前記通信許可ルールに合わせて前記一の通信ルールを修正して前記修正通信許可リストとして前記通信許可リスト格納部に出力し、前記通信ルールリストの中の全ての通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一致する場合には、前記通信ルールリストを前記修正通信許可リストとして前記通信許可リスト格納部に出力する通信ルールリスト検証部と、を含み、前記侵入検知部は、前記通信取得部が取得した前記通信判定データが前記通信許可リスト格納部に格納された前記修正通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知してもよい。

　本発明の侵入検知装置において、前記通信ルールリスト検証部は、前記通信ルールリストの中の一の通信ルールが前記通信許可リスト中のいずれかの前記通信許可ルールと異なる場合で、且つ、前記通信許可ルールに合わせて前記一の通信ルールを修正できない場合には、前記通信ルールリストから前記一の通信ルールを削除して前記修正通信許可リストとして前記通信許可リスト格納部に出力してもよい。

　本発明の侵入検知装置において、前記通信ルールリスト検証部は、前記通信許可リストに含まれる前記オブジェクトに関する前記通信許可ルールの中で、前記通信ルールリストに前記オブジェクトに関する前記通信ルールが含まれていないものがある場合には、その前記通信許可ルールを前記通信ルールリストに追加して前記修正通信許可リストとして前記通信許可リスト格納部に出力してもよい。

　本発明の侵入検知装置において、前記侵入検知部が前記ネットワークへの侵入を検知した場合に、侵入を検知したことを示す警報を前記ネットワークに出力する警報部を備えてもよい。

　本発明の侵入検知方法は、ビル設備を制御するコントローラと前記コントローラと通信して前記ビル設備を監視する監視制御端末との間を接続するネットワークへの侵入を検知する侵入検知方法であって、前記ネットワークを流れる前記ビル設備に関する通信データを通信判定データとして取得する判定データ取得ステップと、前記ビル設備のオブジェクトの属性情報を含むエンジニアリング情報に基づいて前記ネットワークにおける通信を許可する通信許可ルールを生成して通信許可リストとして出力する通信許可リスト生成ステップと、取得した前記通信判定データが前記通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知する侵入検知ステップと、を備えることを特徴とする。

　本発明の侵入検知方法において、前記エンジニアリング情報を解析して前記通信許可ルールの生成に必要な情報を抽出し、前記ネットワークの通信仕様フォーマットに形成して中間データとして出力する属性情報解析ステップを備え、前記通信許可リスト生成ステップは、前記中間データに前記ネットワークの構成情報と前記オブジェクトの入出力情報とを含む管理情報を合わせて前記通信許可ルールを生成してもよい。

　本発明の侵入検知方法において、前記通信判定データを学習して前記ネットワークを流れる前記ビル設備に関する通信データから通信ルールを生成して通信ルールリストとして出力する通信ルールリスト生成ステップと、前記通信ルールリストの中の一の通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一部のみが異なる場合には前記通信許可ルールに合わせて前記一の通信ルールを修正して修正通信許可リストとし、前記通信ルールリストの中の全ての通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一致する場合には、前記通信ルールリストを前記修正通信許可リストとする通信ルールリスト検証ステップと、を含み、前記侵入検知ステップは、前記通信判定データが前記修正通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知してもよい。

　本発明の侵入検知方法において、前記通信ルールリスト検証ステップは、前記通信ルールリストの中の一の通信ルールが前記通信許可リスト中のいずれの前記通信許可ルールとも異なる場合で、且つ、前記通信許可ルールに合わせて前記一の通信ルールを修正できない場合には、前記通信ルールリストから前記一の通信ルールを削除して前記修正通信許可リストとしてもよい。

　本発明の侵入検知方法において、前記通信ルールリスト検証ステップは、前記通信許可リストに含まれる前記オブジェクトに関する前記通信許可ルールの中で、前記通信ルールリストに前記オブジェクトに関する前記通信ルールが含まれていないものがある場合には、その前記通信許可ルールを前記通信ルールリストに追加して前記修正通信許可リストとしてもよい。

　本発明は、簡便に通信許可リストの作成が可能な侵入検知装置を提供することができる。

実施形態の侵入検知装置が適用されたビル管理システムの構成を示す系統図である。実施形態の侵入検知装置の構成を示す機能ブロック図である。図２に示す侵入検知装置を形成するコンピュータのハードウェア構成図である。図２に示すエンジニアリング情報ファイルに格納されているエンジニアリングデータの構成を示す図である。図２に示す属性情報解析部が出力する中間データの構成を示す図である。図２に示す通信許可リスト生成部が出力する通信許可リストの構成を示す図である。図２に示す侵入検知装置の基本動作を示すフローチャートである。図２に示す侵入検知装置の通信許可リスト生成動作を示すフローチャートである。他の実施形態の侵入検知装置の構成を示す機能ブロック図である。他の実施形態の侵入検知装置の構成を示す機能ブロック図である。図１０に示す通信ルールリスト生成部が生成する通信ルールリストの構成を示す図である。図１０に示す侵入検知装置の修正通信許可リスト生成動作を示すフローチャートである。図１０に示す侵入検知装置の基本動作を示すフローチャートである。

　以下、図面を参照しながら本実施形態の侵入検知装置１０について説明する。最初に図１を参照しながら本実施形態の侵入検知装置１０が適用されたビル管理システム１００の構成について説明する。ビル管理システム１００は、ビル設備である空調機器５６、照明機器５７が接続されたコントローラ５１、５２と、監視制御端末４０と、コントローラ５１、５２と監視制御端末４０とを接続するネットワーク３０と、ネットワーク３０に接続された侵入検知装置１０とを備えている。

　監視制御端末４０は、通信によりネットワーク３０を介してコントローラ５１、５２の監視・制御を行うもので、例えば、操作員がコントローラ５１、５２への指令を送る際に用いる機器である。コントローラ５１、５２は、監視制御端末４０からの制御指令に基づいてビル設備である空調機器５６、照明機器５７の制御を行う。空調機器５６、照明機器５７は、コントローラ５１、５２の指令に基づいて所定の動作を行う。ネットワーク３０で接続された監視制御端末４０とコントローラ５１、５２との間の通信には、ＢＡＣｎｅｔ（Ｂｕｉｌｄｉｎｇ　Ａｕｔｏｍａｔｉｏｎ　ａｎｄ　Ｃｏｎｔｒｏｌ　ｎｅｔｗｏｋｉｎｇ　ｐｒｏｔｏｃｏｌ）が用いられる。侵入検知装置１０は、ネットワーク３０の通信におけるサイバー攻撃による侵入検知を行うものである。

　図２に示すように、侵入検知装置１０は、通信取得部１１と、侵入検知部１２と、警報部１３と、通信許可リスト生成部１４と、属性情報解析部１５とを備える。

　通信取得部１１は、ネットワーク３０に流れる監視制御端末４０とコントローラ５１、５２との間の空調機器５６、照明機器５７に関する通信データを通信判定データとして取得して侵入検知部１２に出力する。

　侵入検知部１２は、通信取得部１１が取得した通信判定データと、通信許可リスト生成部１４に格納されている通信許可リスト７３とを比較してネットワーク３０への侵入の検知を行う。そして、ネットワーク３０への侵入を検知したら侵入検知信号を警報部１３に出力する。ここで、通信許可リスト７３は、図６に示す様に、ルール番号、通信状態、プロトコル種別、送信元／先情報、データ長、ペイロード条件、周期条件の各項目を含むデータセットである通信ルールをリストにしたものである。

　警報部１３は、侵入検知部１２から侵入検知信号が入力された場合に、侵入を検知したことを示す警報をネットワーク３０に出力する。

　属性情報解析部１５は、エンジニアリング情報ファイル１６から、空調機器５６、照明機器５７の温度センサ等のオブジェクトの属性情報を含むエンジニアリングデータ７１を読み出し、エンジニアリングデータ７１を解析して通信許可ルールの生成に必要な情報を抽出する。ここで、エンジニアリングデータ７１は、図４に示すように、内部識別子番号、オブジェクト名、型、オブジェクト識別子、単位、最大値、最小値の各項目を含むデータセットをリストにしたエンジニアリング情報である。

　属性情報解析部１５は、抽出した通信許可ルールの生成に必要な情報をネットワーク３０の通信仕様フォーマットに形成して中間データ７２として通信許可リスト生成部１４に出力する。ここで、中間データ７２は、ネットワーク３０の通信仕様フォーマットと同様の格納領域を有するデータセットである。図５に示す様に、中間データ７２は、通信許可リスト７３と同様、ルール番号、通信状態、プロトコル種別、送信元／先情報、データ長、ペイロード条件、周期条件の各格納領域を有するデータセットで、状態、データ長の欄が空欄になっているものである。

　通信許可リスト生成部１４は、属性情報解析部１５から入力された中間データ７２に、ネットワーク３０の構成情報と、空調機器５６、照明機器５７の温度センサ等のオブジェクトの入出力情報とを含む管理情報と、を合わせて通信許可ルールを生成し、通信許可リスト７３として格納する。なお、本実施形態の侵入検知装置１０では、管理情報は、デフォルト設定として内部に格納されている。

　以上説明した、侵入検知装置１０の通信取得部１１と、侵入検知部１２と、警報部１３と、通信許可リスト生成部１４と、属性情報解析部１５は、図３に示すコンピュータ６０によって実現される。

　コンピュータ６０は、ＣＰＵ６１と、補助記憶装置６２と、メモリ６３と、通信装置６４と、入力インターフェース６５と、出力インターフェース６７と、これらを接続するデータバス６９と、を備えている。ＣＰＵ６１は、情報処理を行うと共に、データバス６９を介して接続されている他のハードウェアを制御する。

　補助記憶装置６２は、例えば、ＲＯＭ、フラッシュメモリ、ハードディスク等を構成される。メモリ６３は、例えば、ＲＡＭである。通信装置６４はネットワーク３０からデータを受信するレシーバ６４ａとデータをネットワーク３０に出力するトランスミッタ６４ｂを含んでいる。通信装置６４は、例えば、通信チップ等で構成される。入力インターフェース６５には、キーボード、マウス、タッチパネル等の入力装置６６が接続されている。出力インターフェース６７には、ディスプレイ６８が接続されている。

　補助記憶装置６２には、通信取得部１１と、侵入検知部１２と、警報部１３と、通信許可リスト生成部１４と、属性情報解析部１５の機能を実現するプログラムが記憶されている。プログラムは、ＣＰＵ６１で実行される。

　侵入検知装置１０の機能ブロックである通信取得部１１と、侵入検知部１２と、警報部１３と、通信許可リスト生成部１４と、属性情報解析部１５とは、図３に示すコンピュータ６０の各ハードウェアとＣＰＵ６１で実行されるプログラムとの協働動作により実現される。

　次に、図７、図８を参照しながら本実施形態の侵入検知装置１０の動作について説明する。なお、図７、図８は、侵入検知方法を示すものでもある。最初に図７を参照しながら、侵入検知装置１０の基本動作について説明する。侵入検知装置１０は、図７のステップＳ１０１からＳ１０４の動作を所定の間隔で繰り返して実行する。

　図７のステップＳ１０１に示すように、通信取得部１１は、ネットワーク３０に流れる監視制御端末４０とコントローラ５１、５２との間の空調機器５６、照明機器５７に関する通信データを通信判定データとして取得する（判定データ取得ステップ）。通信取得部１１は取得した通信判定データを侵入検知部１２に出力する。通信判定データは、図６に示す通信許可リスト７３の中の通信ルールと同様、番号、通信状態、プロトコル種別、送信元／先情報、データ長、ペイロード条件、周期条件の各項目を含むデータセットである。

　図７のステップＳ１０２に示すように、侵入検知部１２は、通信取得部１１から入力された通信判定データと図６に示す通信許可リスト７３の通信ルールとを比較する。比較は、例えば、通信判定データの通信状態、プロトコル種別、送信元／先情報、データ長、ペイロード条件、周期条件の各項目と通信許可リスト７３のルール番号１の通信ルールの通信状態、プロトコル種別、送信元／先情報、データ長、ペイロード条件、周期条件の各項目とを比較する。そして、全ての項目が一致する場合には、侵入検知部１２は、通信判定データは、通信許可リスト７３の中のルール番号１の通信ルールに該当すると判断する。

　一方、各項目の内、１項目でも相違する項目があった場合には、侵入検知部１２は、通信判定データは通信許可リスト７３の中のルール番号１の通信ルールに該当しないと判断し、ルール番号２と通信判定データとを比較する。そして、通信判定データがいずれの通信ルールとも一致しない場合には、通信判定データは、通信許可リスト７３の中のいずれの通信ルールにも該当しないと判断して、図７のステップＳ１０３に進み、警報部１３に侵入検知信号を出力する（侵入検知ステップ）。

　警報部１３は、侵入検知部１２から侵入検知信号が入力された場合、図７のステップＳ１０４において、ネットワーク３０に警報を出力する。出力された警報は、ネットワーク３０を介して監視制御端末４０に入力され、監視制御端末４０のディスプレイ６８に表示される。

　侵入検知部１２は、図７のステップＳ１０２において、通信判定データがいずれかの通信ルールと一致した場合には、侵入検知信号を出力せずにルーチンを終了し、次のルーチンを開始する。

　次に図８を参照しながら、侵入検知装置１０における通信許可リスト７３の生成について説明する。図８のステップＳ２０１からステップＳ２０６は通信許可リスト生成ステップを構成する。また、図８のステップＳ２０１からステップＳ２０４は、属性情報解析ステップを構成する。

　図８のステップＳ２０１に示すように、属性情報解析部１５は、外部のエンジニアリング情報ファイル１６から図４に示すようなエンジニアリングデータ７１を取得する。先に説明したように、エンジニアリングデータ７１は、空調機器５６、照明機器５７の温度センサ等のオブジェクトの属性情報データをリストにしたもので、図４に示すように、内部識別子、温度センサ１のようなオブジェクトの名称、型、オブジェクト識別子、単位、最大値、最小値の各項目を含むデータセットをリストにしたものである。エンジニアリング情報ファイル１６は、ＢＡＣｎｅｔの通信を用いたビル管理システム１００を構築する際に用いられるもので、例えば、ＢＡＣｎｅｔ仕様に基づいた温度センサ等のオブジェクトの属性情報をカンマ区切りにしたＣＳＶフォーマットファイルであってもよい。

　図８のステップＳ２０２において、属性情報解析部１５は、取得したエンジニアリングデータ７１を解析して通信許可ルールの生成に必要な情報を抽出する。そして、属性情報解析部１５は、図８のステップＳ２０３において、抽出した情報をネットワーク３０の通信仕様フォーマットに形成して中間データ７２として出力する。

　先に説明したように、中間データ７２は、図５に示す様に、通信許可リスト７３と同様、ネットワーク３０の通信仕様フォーマットと同様の格納領域を有している。属性情報解析部１５は、エンジニアリングデータ７１を解析し、エンジニアリングデータ７１の中の「センサ温度１」のオブジェクト名がオブジェクト識別１に該当し、そのデータはアナログ入力データで、最大値が８０、最小値が－２０であることを抽出する。そして、属性情報解析部１５は、中間データ７２のルール番号１の行の送信元／先情報の欄にオブジェクト名である「センサ温度１」を格納し、ペイロード条件の欄に「オブジェクト識別子１、Ａｎａｌｏｇ　ｉｎｐｕｔ、－２０～８０」のデータを格納する。同様に、属性情報解析部１５は、エンジニアリングデータ７１の中の「センサ温度２」のオブジェクト名がオブジェクト識別２に該当し、そのデータはアナログ入力データで、最大値が１００、最小値が０であることを抽出する。そして、属性情報解析部１５は、中間データ７２のルール番号２の行の送信元／先情報の欄にオブジェクト名である「センサ温度２」を格納し、ペイロード条件の欄に「オブジェクト識別子２、Ａｎａｌｏｇ　ｉｎｐｕｔ、０～１００」のデータを格納する。また、ネットワーク３０の通信にはＢＡＣｎｅｔを用いるので、プロトコル種別にはそれぞれＢＡＣｎｅｔを格納する。

　属性情報解析部１５は、エンジニアリングデータ７１に含まれる全てのオブジェクトについて通信許可ルールの生成に必要な情報を抽出して中間データ７２の各項目に入力して中間データ７２を生成する。このように、属性情報解析部１５は、エンジニアリングデータ７１を解析して通信許可ルールの生成に必要な情報を抽出し、ネットワーク３０の通信仕様フォーマットと同様の格納領域を有する中間データ７２の各項目に入力することにより中間データ７２を形成する。

　属性情報解析部１５は、図８のステップＳ２０３で中間データ７２を形成したら、図８のステップＳ２０４に示すように形成した中間データ７２を通信許可リスト生成部１４に出力する。

　通信許可リスト生成部１４は、図８のステップＳ２０５に示すように、内部に格納されているデフォルトの管理情報を読み出す。ここで、管理情報とは、ネットワーク３０の構成情報と、空調機器５６、照明機器５７の温度センサ等のオブジェクトの入出力情報とを含むものである。ネットワーク３０の構成条件とは、例えば、送信元／先アドレス、データ長等である。オブジェクトの入出力情報とは、例えば、オブジェクト識別子の読み、書き等のコマンド条件である。

　通信許可リスト生成部１４は、図８のステップＳ２０６において、読み出した管理情報に基づいて、中間データ７２の送信元／先情報に格納されているオブジェクト名の「センサ温度１」を送信元／先アドレスに変換する。また、ペイロード条件に格納されている「オブジェクト識別子１」をセンサ温度１の入出力情報である「ｒｅａｄ　ｐｒｏｐｅｒｔｙ」に変換する。そして、データ長に「８２」、状態に「運転」、周期条件に「１秒以上」を追加する。このように、通信許可リスト生成部１４は、中間データ７２に管理情報を合わせて図６に示すような通信許可リスト７３を生成する。通信許可リスト生成部１４は、図８のステップＳ２０６において、生成した通信許可リスト７３をメモリ６３に格納する。

　以上説明したように、本実施形態の侵入検知装置１０は、ＢＡＣｎｅｔの通信を用いたビル管理システム１００を構築する際に用いられるエンジニアリング情報ファイル１６の中のエンジニアリングデータ７１に基づいて通信許可リスト７３を生成するので、学習等に基づくよりも簡便に通信許可リスト７３を生成することができる。

　次に図９を参照しながら、他の実施形態の侵入検知装置１０について説明する。図９に示す侵入検知装置１０は、管理情報ファイル１７を外部から入力することによって外部から管理情報を入力可能としたものである。図９に示すように、管理情報ファイル１７は、オブジェクト名－送信元先情報変換テーブル１８、オブジェクト識別子－コマンド条件変換テーブル１９を含んでいる。

　本実施形態の侵入検知装置１０は、管理情報を外部のファイルから取り込むようにしたので、管理情報に変更があった場合でも簡便に通信許可リスト７３を再生成することができる。

　次に図１０から図１２を参照しながら他の実施形態の侵入検知装置２０について説明する。先に図１から図８を参照して説明した侵入検知装置１０と同様の部分については簡略に説明する。

　図１０に示す侵入検知装置２０は、通信取得部２１と、侵入検知部２２と、警報部２３と、通信ルールリスト生成部２７と、通信許可リスト生成部２４と、属性情報解析部２５と、通信ルールリスト検証部２８と、通信許可リスト格納部２９とを備えている。通信取得部２１、警報部２３、属性情報解析部２５、は、先に説明した侵入検知装置１０の通信取得部１１、警報部１３、属性情報解析部１５と同様である。

　通信ルールリスト生成部２７は、通信取得部２１が取得した通信判定データを学習して図１１に示すような通信ルールリスト７４を生成し、通信ルールリスト検証部２８に出力する。通信許可リスト生成部２４は、先に説明した通信許可リスト生成部１４と同様の動作で通信許可リスト７３を生成し、生成した通信許可リスト７３を通信ルールリスト検証部２８に出力する。通信ルールリスト検証部２８は、通信ルールリスト７４と通信許可リスト７３とを比較して通信ルールリスト７４を修正して修正通信許可リストとして通信許可リスト格納部２９に格納する。侵入検知部２２は、通信取得部２１から入力された通信判定データと通信許可リスト格納部２９に格納した修正通信許可リストとを比較して侵入検知を行う。

　図１２、図１３を参照しながら本実施形態の侵入検知装置２０の動作について説明する。図７、図８を参照して説明した侵入検知装置１０の動作と同様のステップについては同様の符号を付して説明は省略する。なお、図１２、図１３は、侵入検知方法を示すものでもある。

　通信許可リスト生成部２４は、通信許可リスト生成部１４と同様、図１２のステップＳ２０１からＳ２０４において中間データ７２を形成、出力し、図１２のステップ２０５において管理情報を読み出し、図１２のステップＳ２２６で通信許可リスト生成部１４と同様の方法で通信許可リスト７３を生成し、生成した通信許可リスト７３を通信ルールリスト検証部２８に出力する。図１２のステップＳ２０１からステップＳ２２６は通信許可リスト生成ステップを構成する。また、図１２のステップＳ２０１からステップＳ２０４は、属性情報解析ステップを構成する。

　通信ルールリスト生成部２７は、図１２のステップＳ２１０に示すように、通信取得部２１から通信判定データを取得し、この通信判定データを学習して図１１に示す通信ルールリスト７４を生成する。先に説明したように、通信判定データは、図６に示す通信許可リスト７３の中の通信ルールと同様、番号、通信状態、プロトコル種別、送信元／先情報、データ長、ペイロード条件、周期条件の各項目を含むデータセットである。通信ルールリスト生成部２７は、通信判定データに含まれる上記のデータセットを抽出してネットワーク３０の通信仕様フォーマットの格納領域を有する通信ルールリスト７４の各項目に入力することによって通信ルールリスト７４を生成していく。学習によって同一の通信ルールを１つの通信ルールに纏めて図１１に示すような通信ルールリスト７４を生成する。そして、通信ルールリスト生成部２７は、図１２のステップＳ２１２において、生成した通信ルールリスト７４を通信ルールリスト検証部２８に出力する。通信ルールリストの生成は、例えば、監視制御端末４０の据え付け時の動作試験の際に行ってもよい。図１２のステップＳ２１０からステップＳ２１２は通信ルールリスト生成ステップを構成する。

　図１１に示す通信ルールのルール番号１の通信ルールは、図６に示す通信許可リスト７３のルール番号１の通信ルールとデータ長のみが異なり、他の項目は一致している。また、通信ルールリスト７４のルール番号２の通信ルールは、図６に示す通信許可リスト７３のルール番号２の通信ルールと状態、送信元／先情報、データ長、ペイロード条件が異なっている。このような通信ルールは、エンジニアリング情報から逸脱しており、侵入によって生成されたものと判断されるため、通信ルールリスト検証部２８は、図１２のステップＳ２１３において、以下のように通信ルールリスト７４を比較、修正して修正通信許可リストを生成する。

　通信ルールリスト検証部２８は、図１２のステップＳ２１３において、通信ルールリスト７４と通信許可リスト７３とを比較して通信ルールリスト７４の修正が必要かどうか判定する。図１２のステップＳ２１３において、通信ルールリスト検証部２８は、通信ルールリスト７４の中の一の通信ルールが通信許可リスト７３の中のいずれかの通信許可ルールと一部のみが異なる場合には、通信ルールリスト７４の修正が必要と判断して図１２のステップＳ２１４に進む。通信ルールリスト検証部２８は、図１２のステップＳ２１４において、通信許可リスト７３に合わせて一の通信ルールを修正して修正通信許可リストとして通信許可リスト格納部２９に出力する。

　また、通信ルールリスト検証部２８は、図１２のステップＳ２１３において、通信ルールリスト７４の中の一の通信ルールが通信許可リスト７３中のいずれの通信許可ルールとも異なる場合で、且つ、通信許可ルールに合わせて一の通信ルールを修正できない場合にも通信ルールリスト７４の修正が必要と判断して図１２のステップＳ２１４に進む。そして、図１２のステップＳ２１４において、通信ルールリスト７４から当該一の通信ルールを削除して修正通信許可リストとして通信許可リスト格納部２９に出力する。

　また、通信ルールリスト検証部２８は、図１２のステップＳ２１３において、通信許可リスト７３に含まれるオブジェクトに関する通信許可ルールの中で、通信ルールリスト７４にそのオブジェクトに関する通信ルールが含まれていないものがある場合にも通信ルールリスト７４の修正が必要と判断して図１２のステップＳ２１４に進む。そして、図１２のステップＳ２１４において、その通信許可ルールを通信ルールリスト７４に追加して修正通信許可リストとして通信許可リスト格納部２９に出力する。例えば、通信許可リスト７３に含まれるが通信ルールリスト７４に含まれない送信元／先情報が有る場合、その送信元／先情報保含む通信許可ルールを通信ルールとして通信ルールリスト７４に追加して修正通信許可リストとして通信許可リスト格納部２９に出力する。

　一方、通信ルールリスト検証部２８は、図１２のステップＳ２１３において、通信ルールリスト７４の中の全ての通信ルールが通信許可リスト７３の中のいずれかの通信許可ルールと一致する場合で、通信許可リスト７３に含まれるオブジェクトに関する通信許可ルールの全てが通信ルールリスト７４の中に通信ルールとして含まれている場合には、通信ルールリスト７４の修正は必要ないと判断して図１２のステップＳ２１５に進む。通信ルールリスト検証部２８は、図１２のステップＳ２１５において、通信ルールリスト７４を修正通信許可リストとして通信許可リスト格納部２９に出力する。図１２のステップＳ２１３からステップＳ２１５は、通信ルールリスト検証ステップを構成する。

　例えば、通信ルールのルール番号１の通信ルールは、図６に示す通信許可リスト７３のルール番号１の通信許可ルールとデータ長のみが異なり、他の項目は一致している。この場合、通信ルールリスト検証部２８は、データ長を通信許可リスト７３に合わせて修正し、修正した通信ルールを含む通信ルールリスト７４を修正通信許可リストとして通信許可リスト格納部２９に出力する。また、通信ルールリスト７４のルール番号２の通信ルールのように図６に示す通信許可リスト７３のルール番号２の通信許可ルールと多数の項目において一致していない場合、通信ルールリスト検証部２８は、この通信ルールを通信許可リスト７３に合わせて修正することは困難と判断し、ルール番２の通信ルールを削除して修正通信許可リストとして通信許可リスト格納部２９に出力する。

　侵入検知部２２は、図１３のステップＳ１０１において通信取得部２１から通信判定データを取得し（判定データ取得ステップ）、図１３のステップＳ１１０において通信判定データが通信許可リスト格納部２９に格納した修正通信許可リストの中のいずれの通信許可ルールにも該当しないと判断した場合には、図１３のステップＳ１０３に進んで侵入検知を行い、侵入検知信号を警報部２３に出力する。警報部２３は、警報をネットワーク３０に出力する（侵入検知ステップ）。

　以上、説明したように、本実施形態の侵入検知装置２０は、通信データを学習して通信ルールリスト７４を作成する場合に、エンジニアリングデータ７１に基づいて生成した通信許可リスト７３を用いて通信ルールリスト７４を修正するので、エンジニアリング情報から逸脱する通信ルールを排除することができる。これにより、簡便な方法で通信許可リスト７３の正確性を確保することができる。また、通信許可リスト７３を用いて通信ルールリスト７４に含まれていないオブジェクトに関する通信ルールを追加するので、通信ルールの網羅度を向上させることができる。

　なお、本発明は以上説明した実施形態に限定されるものではなく、請求の範囲により規定されている本発明の技術的範囲ないし本質から逸脱することない全ての変更および修正を包含するものである。

　１０，２０　侵入検知装置、１１，２１　通信取得部、１２，２２　侵入検知部、１３，２３　警報部、１４，２４　通信許可リスト生成部、１５，２５　属性情報解析部、１６　エンジニアリング情報ファイル、１７　管理情報ファイル、１８　送信元先情報変換テーブル、１９　コマンド条件変換テーブル、２７　通信ルールリスト生成部、２８　通信ルールリスト検証部、２９　通信許可リスト格納部、３０　ネットワーク、４０　監視制御端末、５１，５２　コントローラ、５６　空調機器、５７　照明機器、６０　コンピュータ、６１　ＣＰＵ、６２　補助記憶装置、６３　メモリ、６４　通信装置、６４ａ　レシーバ、６４ｂ　トランスミッタ、６５　入力インターフェース、６６　入力装置、６７　出力インターフェース、６８　ディスプレイ、６９　データバス、７１　エンジニアリングデータ、７２　中間データ、７３　通信許可リスト、７４　通信ルールリスト、１００　ビル管理システム。

Claims

　ビル設備を制御するコントローラと前記コントローラと通信して前記ビル設備を監視する監視制御端末との間を接続するネットワークへの侵入を検知する侵入検知装置であって、
　前記ネットワークを流れる前記ビル設備に関する通信データを通信判定データとして取得する通信取得部と、
　前記ネットワークにおける通信を許可する通信許可ルールを生成して通信許可リストとして格納する通信許可リスト生成部と、
　前記通信取得部が取得した前記通信判定データが前記通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知する侵入検知部と、を備え、
　前記通信許可リスト生成部は、
　前記ビル設備のオブジェクトの属性情報を含むエンジニアリング情報に基づいて前記通信許可ルールを生成する侵入検知装置。
　請求項１に記載の侵入検知装置であって、
　前記エンジニアリング情報を解析して前記通信許可ルールの生成に必要な情報を抽出し、前記ネットワークの通信仕様フォーマットに形成して中間データとして出力する属性情報解析部を備え、
　前記通信許可リスト生成部は、
　前記中間データに前記ネットワークの構成情報と前記オブジェクトの入出力情報とを含む管理情報を合わせて前記通信許可ルールを生成する侵入検知装置。
　請求項２に記載の侵入検知装置であって、
　前記エンジニアリング情報は、外部から前記属性情報解析部に入力され、
　前記管理情報は、外部から前記通信許可リスト生成部に入力される侵入検知装置。
　請求項１から３のいずれか１項に記載の侵入検知装置であって、
　前記通信取得部が取得した前記通信判定データを学習して前記ネットワークを流れる前記ビル設備に関する通信データから通信ルールを生成し、通信ルールリストとして出力する通信ルールリスト生成部と、
　修正通信許可リストを格納する通信許可リスト格納部と、
　前記通信ルールリストの中の一の通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一部のみが異なる場合には前記通信許可ルールに合わせて前記一の通信ルールを修正して前記修正通信許可リストとして前記通信許可リスト格納部に出力し、前記通信ルールリストの中の全ての通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一致する場合には、前記通信ルールリストを前記修正通信許可リストとして前記通信許可リスト格納部に出力する通信ルールリスト検証部と、を含み、
　前記侵入検知部は、前記通信取得部が取得した前記通信判定データが前記通信許可リスト格納部に格納された前記修正通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知する侵入検知装置。
　請求項４に記載の侵入検知装置であって、
　前記通信ルールリスト検証部は、
　前記通信ルールリストの中の一の通信ルールが前記通信許可リスト中のいずれの前記通信許可ルールとも異なる場合で、且つ、前記通信許可ルールに合わせて前記一の通信ルールを修正できない場合には、前記通信ルールリストから前記一の通信ルールを削除して前記修正通信許可リストとして前記通信許可リスト格納部に出力する侵入検知装置。
　請求項４または５に記載の侵入検知装置であって、
　前記通信ルールリスト検証部は、
　前記通信許可リストに含まれる前記オブジェクトに関する前記通信許可ルールの中で、前記通信ルールリストに前記オブジェクトに関する前記通信ルールが含まれていないものがある場合には、その前記通信許可ルールを前記通信ルールリストに追加して前記修正通信許可リストとして前記通信許可リスト格納部に出力する侵入検知装置。
　請求項１から６のいずれか１項に記載に侵入検知装置であって、
　前記侵入検知部が前記ネットワークへの侵入を検知した場合に、侵入を検知したことを示す警報を前記ネットワークに出力する警報部を備える侵入検知装置。
　ビル設備を制御するコントローラと前記コントローラと通信して前記ビル設備を監視する監視制御端末との間を接続するネットワークへの侵入を検知する侵入検知方法であって、
　前記ネットワークを流れる前記ビル設備に関する通信データを通信判定データとして取得する判定データ取得ステップと、
　前記ビル設備のオブジェクトの属性情報を含むエンジニアリング情報に基づいて前記ネットワークにおける通信を許可する通信許可ルールを生成して通信許可リストとして出力する通信許可リスト生成ステップと、
　取得した前記通信判定データが前記通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知する侵入検知ステップと、
　を備える侵入検知方法。
　請求項８に記載の侵入検知方法であって、
　前記エンジニアリング情報を解析して前記通信許可ルールの生成に必要な情報を抽出し、前記ネットワークの通信仕様フォーマットに形成して中間データとして出力する属性情報解析ステップを備え、
　前記通信許可リスト生成ステップは、
　前記中間データに前記ネットワークの構成情報と前記オブジェクトの入出力情報とを含む管理情報を合わせて前記通信許可ルールを生成する侵入検知方法。
　請求項８または９に記載の侵入検知方法であって、
　前記通信判定データを学習して前記ネットワークを流れる前記ビル設備に関する通信データから通信ルールを生成して通信ルールリストとして出力する通信ルールリスト生成ステップと、
　前記通信ルールリストの中の一の通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一部のみが異なる場合には前記通信許可ルールに合わせて前記一の通信ルールを修正して修正通信許可リストとし、前記通信ルールリストの中の全ての通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一致する場合には、前記通信ルールリストを前記修正通信許可リストとする通信ルールリスト検証ステップと、を含み、
　前記侵入検知ステップは、前記通信判定データが前記修正通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知する侵入検知方法。
　請求項１０に記載の侵入検知方法であって、
　前記通信ルールリスト検証ステップは、
　前記通信ルールリストの中の一の通信ルールが前記通信許可リスト中のいずれの前記通信許可ルールとも異なる場合で、且つ、前記通信許可ルールに合わせて前記一の通信ルールを修正できない場合には、前記通信ルールリストから前記一の通信ルールを削除して前記修正通信許可リストとする侵入検知方法。
　請求項１０または１１に記載の侵入検知方法であって、
　前記通信ルールリスト検証ステップは、
　前記通信許可リストに含まれる前記オブジェクトに関する前記通信許可ルールの中で、前記通信ルールリストに前記オブジェクトに関する前記通信ルールが含まれていないものがある場合には、その前記通信許可ルールを前記通信ルールリストに追加して前記修正通信許可リストとする侵入検知方法。