WO2019187155A1

WO2019187155A1 - 情報処理装置、情報処理方法およびプログラム

Info

Publication number: WO2019187155A1
Application number: PCT/JP2018/013985
Authority: WO
Inventors: 貴史小梨; 山野　悟
Original assignee: 日本電気株式会社
Priority date: 2018-03-30
Filing date: 2018-03-30
Publication date: 2019-10-03
Also published as: US20210026343A1; JPWO2019187155A1

Abstract

情報処理装置は、システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する取得部と、通信パケットに関する通信パターンとプロセスデータとの対応関係に基づいて、ネットワーク上における異常な通信パターンを検知する検知部とを備える。

Description

情報処理装置、情報処理方法およびプログラム

　本発明は、情報処理装置、情報処理方法およびプログラムに関する。

　特許文献１には、発電プラントなどの産業制御システムにおける制御ネットワークを対象とした異常検知装置が開示されている。この異常検知装置は、プログラムモード、稼動モード、保守モードなどの運用モードごとに機器間の正常通信パターンを事前に記憶しておき、現在の運用モードの正常通信パターンに適合しない通信を異常として検知する。

特許第５８４４９４４号公報

　しかしながら、産業制御システムにおいては、同一の運用モードであっても機器の制御方法は一定ではなく、システムとして多様な状態を持ち、多種多様な正常通信パターンが存在し得る。特許文献１の技術では、それぞれの運用モードに対して画一的な正常通信パターンを用いて異常検知が行われるため、ある運用モードにおいて複数のシステム状態が存在する場合に異常検知を精度良く行うことは困難である。

　本発明は、上述の課題に鑑みてなされたものであって、産業制御システムにおける異常検知を精度良く行うことが可能な情報処理装置、情報処理方法およびプログラムを提供することを目的とする。

　本発明の一観点によれば、システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する取得部と、前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における異常な前記通信パターンを検知する検知部とを備えることを特徴とする情報処理装置が提供される。

　本発明の他の観点によれば、システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するステップとを備えることを特徴とする情報処理方法が提供される。

　本発明の他の観点によれば、コンピュータに、システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するステップとを実行させることを特徴とするプログラムが提供される。

　本発明の他の観点によれば、システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する取得部と、前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するモデルを作成する学習部とを備えることを特徴とする情報処理装置が提供される。

　本発明の他の観点によれば、システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するモデルを作成するステップとを備えることを特徴とする情報処理方法が提供される。

　本発明によれば、産業制御システムにおける異常検知を精度良く行うことが可能な情報処理装置、情報処理方法およびプログラムが提供される。

第１実施形態に係る産業制御システムの概略構成を示すブロック図である。第１実施形態に係る異常検知装置のブロック図である。第１実施形態に係る判定部の詳細なブロック図である。第１実施形態に係るパケット学習部の詳細なブロック図である。第１実施形態に係るプロセスデータの特徴空間を示す模式図である。第１実施形態に係るモデルの一例を示すテーブルである。第１実施形態に係る異常検知装置のハードウェアブロック図である。第１実施形態に係る異常検知装置の動作を表すフローチャートである。第１実施形態に係る判定部の動作を表すフローチャートである。第１実施形態に係るパケット学習部の動作を表すフローチャートである。第１実施形態に係る異常検知装置の動作を表すフローチャートである。第１実施形態に係る判定部の動作を表すフローチャートである。第１実施形態に係る検知部の動作を表すフローチャートである。第２実施形態に係る情報処理装置の概略構成図である。第３実施形態に係る情報処理装置の概略構成図である。

　［第１実施形態］
　図１は、本実施形態に係る産業制御システムの概略構成を示すブロック図である。産業制御システム１０は、火力発電所、化学製造工場などの各種のプラントシステムを監視制御するコンピュータシステムである。産業制御システム１０は、エンジニアリングステーション１０１、ＨＭＩ（Human　Machine　Interface）１０２、ＤＣＳ（Distributed　Control　System）１０３、ＰＬＣ（Programmable　Logic　Controller）１０４、異常検知装置１０５、ヒストリアン１０６、ファイアウォール１０７、制御ネットワーク１０８、フィールド機器１０９、フィールドネットワーク１１０およびフィールドネットワーク１１１を備える。

　エンジニアリングステーション１０１は、産業制御システム１０で用いられる制御プログラムを作成し、ＨＭＩ１０２、ＤＣＳ１０３またはＰＬＣ１０４にプログラムを書き込むための端末である。ＨＭＩ１０２は、エンジニアリングステーション１０１から書き込まれたプログラムに基づいて、監視制御対象となるプラントシステムのシステム状態（稼動状況）などを表示するとともに、オペレータにより稼働状況の確認、システムの運転パラメータの調節やフィールド機器１０９の設定変更などの制御を行うために使用される端末である。具体的には、ＨＭＩ１０２は、エンジニアリングステーション１０１、ＤＣＳ１０３、ＰＬＣ１０４およびヒストリアン１０６に対して各種のコマンドを含む通信パケットを送信するとともに、その応答の通信パケットを受信する。コマンドとしては、ＤＣＳ１０３およびＰＬＣ１０４に対して表示用のデータを送信させるコマンドや、ＤＣＳ１０３およびＰＬＣ１０４に対してフィールド機器１０９のレジスタ等を設定させるコマンドなどが該当する。これにより、ＨＭＩ１０２は、例えばＤＣＳ１０３およびＰＬＣ１０４から表示用のデータを受信して表示を行う。また、ＨＭＩ１０２は、設定値が変更されると、その設定値をＤＣＳ１０３およびＰＬＣ１０４に送信する。そして、ＤＣＳ１０３およびＰＬＣ１０４は、フィールド機器１０９における設定値を設定する。

　ＤＣＳ１０３は、制御ネットワーク１０８とフィールドネットワーク１１０との間に接続され、エンジニアリングステーション１０１から書き込まれたプログラムに基づいて、フィールド機器１０９の制御を行う。例えば、ＤＣＳ１０３は、フィールド機器１０９に対して必要に応じて若しくは数百ミリ秒から数秒間隔でコマンドを含む通信パケットを送信するとともに、その応答の通信パケットを受信する。また、ＤＣＳ１０３はフィールド機器１０９が自律的に送信する通信パケットを受信する。ＤＣＳ１０３の数は特に限定されない。

　ＰＬＣ１０４は、制御ネットワーク１０８とフィールドネットワーク１１１との間に接続されている。フィールドネットワーク１１１は、上述のフィールドネットワーク１１０とは分離されたネットワークである。ＰＬＣ１０４は、エンジニアリングステーション１０１から書き込まれたプログラムに基づいて、フィールド機器１０９の制御を行う。例えば、ＰＬＣ１０４は、フィールド機器１０９に対して必要に応じて若しくは数百ミリ秒から数秒間隔で通信パケットを送信するとともに、その応答の通信パケットを受信する。また、ＰＬＣ１０４はフィールド機器１０９が自律的に送信する通信パケットを受信する。ＰＬＣ１０４の数は特に限定されない。なお、産業制御システム１０は、ＤＣＳ１０３およびＰＬＣ１０４のいずれか一方のみを備えていてもよい。また、ＤＣＳ１０３の配下にＰＬＣ１０４を接続し、その先にフィールド機器１０９を接続してもよい。

　異常検知装置１０５は、エンジニアリングステーション１０１、ＨＭＩ１０２、ＤＣＳ１０３、ＰＬＣ１０４、ヒストリアン１０６の間で送信される通信パケットの通信パターンを監視し、通信パターンの異常を検知する。ここで、通信パターンは、通信パケット単体若しくは周期性および順序性を有する一連の通信パケット群（シーケンス）で構成されるものとする。異常検知装置１０５は、ネットワークを流れる通信パケットのペイロードまたはヒストリアン１０６から取得したデータに基づいてプラントシステムのシステム状態を判定する。さらに異常検知装置１０５は、システム状態に応じて事前に作成されたモデルを用いて、適切な通信パケットが送信されているか否かを判断する。

　サイバー攻撃などにより、ＤＣＳ１０３またはＰＬＣ１０４に対して異常（不正）な通信パケットが送信された場合、当該通信パケットに関する通信パターンの特性が、そのときのシステム状態の正常時の特性（正常特性）と異なるものとなる。例えば、正常特性と比較して、特定の通信パターンの発生頻度が増加する、現在のシステム状態では想定されない通信パターンが発生する、などの変化が生じ得る。異常検知装置１０５は、このような通信パターンの特性の変化を検知して、制御異常が発生しているか否かを判断することができる。異常な通信パターンとしては、サイバー攻撃による不正な通信パターンだけでなく、機器の異常によって出力された通信パターンなども該当する。

　なお、本実施形態において、異常検知装置１０５は制御ネットワーク１０８に接続され、制御ネットワーク１０８における異常な通信パターンを検知することを対象としているが、このような構成に限定されない。異常検知装置１０５はフィールドネットワーク１１０、１１１に接続され、ＤＣＳ１０３またはＰＬＣ１０４とフィールド機器１０９の間で送信される異常な通信パターンの通信パケットを検知するように構成されていてもよい。

　ヒストリアン１０６は、ＤＣＳ１０３、ＰＬＣ１０４、ＨＭＩ１０２などから収集されたセンサデータまたはアクチュエータデータやアラーム情報等を多次元の時系列データとして記憶する装置である。

　ファイアウォール１０７は、産業制御システム１０とインターネットなどの外部ネットワーク１２０との境界に設置され、内外の通信を監視することで、外部の攻撃から産業制御システム１０を保護するためのソフトウェアや機器である。すなわち、ファイアウォール１０７は、外部ネットワーク１２０から産業制御システム１０へのサイバー攻撃などを抑制するためのセキュリティ機能を有している。例えば、ファイアウォール１０７は、ファイアウォール１０７を通過する通信パケットのＩＰ（Internet　Protocol）アドレス、ポート番号などを監視し、予め設定した条件によって当該通信パケットのフィルタリングを行う。

　制御ネットワーク１０８には、エンジニアリングステーション１０１、ＨＭＩ１０２、ＤＣＳ１０３、ＰＬＣ１０４、異常検知装置１０５、ヒストリアン１０６、ファイアウォール１０７が接続される。接続方法は有線、無線を問わない。制御ネットワーク１０８は、例えば、ＨＭＩ１０２への表示用のデータを含む通信パケット、ＤＣＳ１０３またはＰＬＣ１０４へのフィールド機器１０９の設定の情報を含む通信パケット、ＤＣＳ１０３（またはＰＬＣ１０４）間で同期をとるための通信パケットなどを伝送する。

　なお、制御ネットワーク１０８は、ファイアウォール１０７を介して、オフィスなどに設置される不図示の情報ネットワークと接続されていてもよい。情報ネットワークは、ＰＣ（Personal　Computer）、ファイルサーバ、Ｗｅｂサーバ、メールサーバ、プリンタなどを含み、他のプラントの制御ネットワークと接続され得る。

　フィールド機器１０９は、プラントシステムに設置されたセンサ、バルブおよびアクチュエータなどの機器である。センサとしては、例えば、温度センサ、圧力センサ、流量センサ、回転数センサ、組成センサなどが該当する。バルブとしては、例えば、圧力制御弁、流量制御弁、開閉弁などが該当する。アクチュエータとしては、例えば、ポンプ、ファンなどが該当する。なお、フィールド機器１０９の数および種類は限定されず、数百から数千程度の異なるフィールド機器１０９が含まれ得る。

　フィールド機器１０９は、アクチュエータの設定により制御され、センサの測定値を出力する。アクチュエータデータは、例えばバルブ開度のような操作量などを含む。アクチュエータデータは、例えば必要に応じて若しくは数百ミリ秒から数秒間隔の周期で設定され得る。また、センサデータは、例えば温度、圧力、流量、水位、回転数、原材料の品質（組成）などを含む。センサデータは、例えば数百ミリ秒から数秒間隔で取得され得る。

　センサデータおよびアクチュエータデータは、プラントシステムに設置された複数のフィールド機器１０９における計測および設定の状態を示す。異常検知装置１０５は、フィールド機器１０９の状態を解析することで、産業制御システム１０の監視制御対象であるプラントシステムの詳細なシステム状態（稼動状況）を把握できる。以下、本実施形態では、センサデータおよびアクチュエータデータを「プロセスデータ」と総称して説明する。なお、プロセスデータには、ＨＭＩ１０２から収集されるアラーム情報やプロセスデータの平均値、分散、標準偏差、時間変化（微分値）、累積値（積分値）などを含んでもよい。センサデータおよびアクチュエータデータの詳細については後述する。

　フィールドネットワーク１１０には、ＤＣＳ１０３およびフィールド機器１０９が接続される。同様に、フィールドネットワーク１１１には、ＰＬＣ１０４および他のフィールド機器１０９が接続される。接続方法は有線、無線を問わない。また、フィールドネットワーク１１０、１１１は、バス接続を前提とするフィールドバスでもＲＳ－４８５のようなシリアル通信でも構わない。フィールドネットワーク１１０、１１１は、これらの装置間で通信を行うために使用され、例えばフィールド機器１０９を制御するためのアクチュエータデータを含む通信パケット、フィールド機器１０９で測定されたセンサデータを含む通信パケットなどを伝送する。なお、ＤＣＳ１０３およびＰＬＣ１０４は同一のフィールドネットワークに接続されても構わない。

　図２は、本実施形態に係る異常検知装置１０５のブロック図である。異常検知装置１０５は、取得部２０１、パケット学習部２０２、判定部２０３、記憶部２０４、検知部２０５を備える。異常検知装置１０５は、通信パケットおよびプロセスデータ（センサデータおよびアクチュエータ）に基づいて予め学習を行い、学習結果に基づいて異常検知を行う。

　取得部２０１は、学習時および検知時において、制御ネットワーク１０８で伝送される通信パケットを取得する。取得された通信パケットは、パケット学習部２０２に入力される。なお、取得部２０１は、フィールドネットワーク１１０、１１１で伝送される通信パケットを収集する他の装置から通信パケットを取得するように構成されてもよい。また、取得部２０１は、学習時および検知時において、プロセスデータを制御ネットワーク１０８で伝送される通信パケットのペイロードから取得してもヒストリアン１０６から取得しても構わない。

　パケット学習部２０２は、学習時において、プラントシステムのシステム状態ごとに通信パターンの正常特性を学習する。正常特性の学習は、システム状態ごとに分類された学習用の通信パターン（通信パケット単体若しくは通信パケットのシーケンス）を用いて行われる。パケット学習部２０２は、システム状態と通信パターンの正常特性を関連付けたモデルを作成する。

　判定部２０３は、学習時において、取得部２０１を介してヒストリアン１０６からプロセスデータを取得する。プロセスデータは、様々なシステム状態で収集されたものであって、例えば、外気温などの環境値、プラントシステムに供給される原材料の品質などの外乱による外的要因や、自動運用モードおよび手動運用モード、ＰＩＤ制御などの制御パラメータや目標値などのアクチュエータの設定による内的要因に応じて変化するシステム状態において収集されたデータを含む。自動運用モードではフィールド機器１０９の設定が自動的に制御され、手動運用モードではオペレータによりフィールド機器１０９の設定が手動で調節される。判定部２０３は、学習用のプロセスデータを複数のシステム状態に分類し、それぞれをクラスとして定義する。判定部２０３は、制御ネットワーク１０８で伝送される通信パケットのペイロードからプロセスデータを取得するように構成されてもよい。

　判定部２０３は、検知時において、取得部２０１を介してプロセスデータを取得する。プロセスデータは、ほぼリアルタイムに取得され、判定部２０３により処理される。判定部２０３は、プロセスデータの分類先となるクラスを判定し、クラスで定義されたシステム状態を、現在のシステム状態として出力する。

　記憶部２０４は、パケット学習部２０２により作成されたモデル、判定部２０３により分類されたシステム状態のクラスに関する情報、判定部２０３により判定された現在のシステム状態などを記憶する。

　検知部２０５は、通信パターンおよびプロセスデータに基づいて、制御ネットワーク１０８における異常な通信パターン検知する。例えば、検知部２０５は、記憶部２０４に記憶されたモデルを用いて、現在のシステム状態において制御ネットワーク１０８を流れる通信パターンの特性が正常特性と合致しない場合に、異常な通信パターンの通信パケットが送信されていると判断する。検知部２０５は、検知結果を異常検知装置１０５の画面、情報ネットワークのＰＣ、ＨＭＩ１０２、ヒストリアン１０６、などの外部装置に出力する。

　図３は、本実施形態に係る判定部２０３の詳細なブロック図である。判定部２０３は、状態学習部３０１、状態判定部３０２を備える。学習時において、状態学習部３０１は、学習用のプロセスデータから特徴量（特徴ベクトル）を抽出する。例えば、状態学習部３０１は、主成分分析を用いてＤＣＳ１０３またはＰＬＣ１０４から収集される多次元のプロセスデータをより低次元のプロセスデータに縮約する。そして、状態学習部３０１は、特徴空間上でプロセスデータをシステム状態の複数のクラスに分類する。例えば、図５に示すように、プロセスデータから２つの特徴量（特徴量１および特徴量２）が抽出され、これらの特徴量を軸とする２次元の特徴空間が形成される。特徴空間において、近隣に位置するプロセスデータの集合は、それぞれ異なるシステム状態としてクラス５０１、５０２、５０３に分類される。特徴量の抽出手法は、主成分分析に限定されず、ディープラーニング、ＳＶＭ（Support　Vector　Machine）などを用いてもよい。特徴量は２つに限らず、１つでも３つ以上でも構わない。分類されるシステム状態は複数ではなく一つでも構わない。

　さらに、状態学習部３０１は、各クラスに対応するシステム状態を定義する。例えば、図５において、特徴量１が水温、特徴量２が材料性質を表すものとする。この場合、クラス５０１は「水温、材料性質が適正時のシステム状態」、クラス５０２は「水温が高い時のシステム状態」、クラス５０３は「材料性質が悪い時のシステム状態」をそれぞれ表すシステム状態して定義される。このように、状態学習部３０１は、プラントシステムにおいて外的要因や内的要因に応じて変化する多様なシステム状態を、学習用のプロセスデータに基づいて抽出することができる。学習時のプロセスデータは、プラントシステムの正常時におけるシステム状態を反映している。特徴量は水温、材料性質のように１種類のプロセスデータに限らず、２種類以上のプロセスデータにそれぞれ重み付けを行った和のような組合せでも構わない。

　検知時において、状態判定部３０２は、検知対象のプロセスデータから特徴量を抽出する。検知対象のプロセスデータは、ＤＣＳ１０３またはＰＬＣ１０４からリアルタイムに収集されたプロセスデータであって、プラントシステムの現在のシステム状態を反映している。状態判定部３０２は、状態学習部３０１と同様に特徴空間を形成し、プロセスデータの特徴空間上での位置を確認することで、プロセスデータの分類先となるクラスを判定する。状態判定部３０２は、判定されたクラスに対応するシステム状態を出力する。

　図４は、本実施形態に係るパケット学習部２０２の詳細なブロック図である。パケット学習部２０２は、特性抽出部４０１、モデル作成部４０２を備える。学習時において、特性抽出部４０１は、学習用の通信パターンの特性（正常特性）を算出する。ここで算出される特性は、例えば通信パターンに含まれるコマンドに基づき、コマンドの種別毎の通信頻度や周期など、または順序を有する一連の通信パケット群に含まれるそれぞれのコマンドのシーケンス（時系列の並び順）の種別毎の通信頻度や周期などであり得る。ここで、コマンドには、ＭＡＣアドレス、ＩＰアドレス、ポート番号等、さらにはリード／ライトのようなコマンド種別、リード／ライトを行うアドレス、ライトを行うデータ、リードしたデータなどを含むものとする。

　また学習時において、モデル作成部４０２は、入力されたシステム状態と、特性抽出部４０１で算出された通信パターンの正常特性とを関連付ける。ここで入力されるシステム状態は、状態学習部３０１により学習用のプロセスデータから抽出されたものであって、一つもしくは異なる複数のシステム状態を含む。モデル作成部４０２は、各システム状態における通信パターンの正常特性をモデルとして出力する。

　図６は、本実施形態に係るモデルの一例を示すテーブルである。モデルには、システム状態ＩＤ（Identification）、システム状態を主に決定する要素である水温、材料性質、制御パラメータなどの属性情報、各システム状態における通信パターンの正常特性などの情報が含まれる。システム状態ＩＤは、システム状態ごとに付され、システム状態を識別するための符号である。属性情報に関して言えば、例えば、状態１は、水温および材料性質が適正なシステム状態であることを表している。同様に、状態２は、水温が高く、材料性質が適正なシステム状態、状態３は、水温が適正で材料性質が悪いシステム状態であることを表している。属性情報は、水温、材料性質、制御パラメータに限定されず、例えばセンサデータおよびアクチュエータに含まれる任意の情報であってよい。なお、属性情報は、モデルの構成要件として必須ではない。

　図６の例において、正常特性は、所定期間内の通信パターンの種別（Ａ～Ｄ）毎の発生頻度で表されている。例えば、状態１では、通信パターンＡ～Ｄがそれぞれ３、１０１、０、２の頻度で発生することが正常である。同様に、状態２では、通信パターンＡ～Ｄがそれぞれ１、９、４５、６０の頻度で発生することが正常であり、状態３では、通信パターンＡ～Ｄがそれぞれ１、２０、０、４０の頻度で発生することが正常である。正常特性は、異常な通信パターンが発生しているか否かを判断するための指標であって、運用時に算出される通信パターンの特性と比較される。発生頻度の対象となる通信パターンは、通信パケット単体だけでなく、周期性および順序性を有する通信パケットのシーケンスでも構わない。また、正常特性は通信パターンの種別毎の発生確率でも構わない。

　図７は、本実施形態に係る異常検知装置１０５のハードウェアブロック図である。異常検知装置１０５は、ＣＰＵ７０１、メモリ７０２、記憶装置７０３、通信インタフェース（Ｉ／Ｆ）７０４を備える。ＣＰＵ７０１は、メモリ７０２、記憶装置７０３に記憶されたプログラムに従って所定の動作を行うとともに、異常検知装置１０５の各部を制御する機能を有する。また、ＣＰＵ７０１は、取得部２０１、パケット学習部２０２、判定部２０３、検知部２０５の機能を実現するプログラムを実行する。

　メモリ７０２は、ＲＡＭ（Random　Access　Memory）などから構成され、ＣＰＵ７０１の動作に必要なメモリ領域を提供する。また、メモリ７０２は、取得部２０１、パケット学習部２０２、判定部２０３、検知部２０５の機能を実現するバッファ領域として使用され得る。記憶装置７０３は、例えばフラッシュメモリ、ＳＳＤ（Solid　State　Drive）、ＨＤＤ（Hard　Disk　Drive）などであって、記憶部２０４の機能を実現する記憶領域を提供する。

　記憶装置７０３には、異常検知装置１０５を動作させるＯＳ（Operating　System）などの基本プログラム、学習処理および異常検知処理を行うアプリケーションプログラムなどが記憶される。通信インタフェース７０４は、ＵＳＢ（Universal　Serial　Bus）、イーサネット（登録商標）、Ｗｉ－Ｆｉ（登録商標）などの規格に基づいて外部装置との通信を行うためのモジュールである。

　なお、図７に示されているハードウェア構成は例示であり、これら以外の装置が追加されていてもよく、一部の装置が設けられていなくてもよい。例えば、一部の機能がネットワークを介して他の装置により提供されてもよく、本実施形態を構成する機能が複数の装置に分散されて実現されるものであってもよい。

　図８は、本実施形態に係る異常検知装置１０５の動作を表すフローチャートである。ここでは、学習時における動作を説明する。まず、判定部２０３は、入力された学習用のプロセスデータから複数のシステム状態を抽出する（ステップＳ１１）。例えば、学習用のプロセスデータは複数のクラスに分類され、各クラスに対応するシステム状態が定義される。判定部２０３は、抽出されたシステム状態を保存するとともに、パケット学習部２０２にシステム状態を出力する。

　続いて、パケット学習部２０２は、取得部２０１で取得された学習用の通信パターンからシステム状態毎に正常特性を算出する（ステップＳ１２）。例えば、正常特性として、通信パターンに関する所定期間内の発生頻度が算出される。パケット学習部２０２は、算出された正常特性とシステム状態とを関連付けたモデルを作成し、当該モデルを記憶部２０４に記憶する（ステップＳ１３）。

　図９は、本実施形態に係る判定部２０３の動作を表すフローチャートである。このフローチャートは、図８の状態抽出処理（ステップＳ１１）を詳細に示すものである。まず、状態学習部３０１は、学習用のプロセスデータから特徴ベクトル（特徴量）を算出する（ステップＳ１１１）。例えば、状態学習部３０１は、プロセスデータに含まれる複数の種類のデータの中から、主成分分析を用いて寄与率の高い種類のデータを特徴量として算出する。

　続いて、状態学習部３０１は、特徴ベクトルからなる特徴空間を生成し、学習用のプロセスデータを特徴空間に転写する（ステップＳ１１２）。状態学習部３０１は、図５に示すような特徴空間上でプロセスデータを複数のクラスに分類し（ステップＳ１１３）、各クラスを異なるシステム状態として出力する（ステップＳ１１４）。例えば、状態学習部３０１は、図６に示されるように、各システム状態にシステム状態ＩＤを付すとともに、各システム状態における通信パターンの正常特性などを記述する。

　図１０は、本実施形態に係るパケット学習部２０２の動作を表すフローチャートである。このフローチャートは、図８の特性算出処理（ステップＳ１２）を詳細に示すものである。まず、特性抽出部４０１は、学習用の通信パターンに含まれるすべてのパターン種別を取得する（ステップＳ１２１）。例えば、パターン種別として、「ｒｅａｄ」、「ｗｒｉｔｅ」などのコマンドの種別が取得される。

　特性抽出部４０１は、パターン種別リストを作成し、取得されたすべてのパターン種別を当該パターン種別リストに格納する（ステップＳ１２２）。ここで、特性抽出部４０１は、パターン種別リストの中から着目する１つの種別（着目パターン種別）を選択する（ステップＳ１２３）。特性抽出部４０１は、ステップＳ１１４において状態学習部３０１から出力され、モデル作成部４０２に入力されたすべてのシステム状態を取得する（ステップＳ１２４）。

　特性抽出部４０１は、システム状態リストを作成し、取得されたすべてのシステム状態を当該システム状態リストに格納する（ステップＳ１２５）。ここで、特性抽出部４０１は、システム状態リストの中から着目する１つの状態（着目システム状態）を選択する（ステップＳ１２６）。特性抽出部４０１は、着目パターン種別の正常特性を算出する（ステップＳ１２７）。

　例えば、特性抽出部４０１は、学習用の通信パターンについて、着目システム状態に該当する期間に発生したパターンの総数（Ｎｔ）をカウントする。さらに、特性抽出部４０１は、学習用の通信パターンについて、着目システム状態に該当する期間に発生した着目パターン種別のパターンの個数（Ｎ）をカウントする。特性抽出部４０１は、着目パターン種別のパターンの個数（Ｎ）をもとに種別毎に単位時間あたりの正常発生頻度（Ｆｎ）を算出する。また、種別毎のパターンの個数（Ｎ）をすべての種別のパターンの総数（Ｎｔ）で除算することにより、着目パターン種別の正常発生確率（Ｐｎ）を算出する。

　モデル作成部４０２は、特性抽出部４０１により算出された正常発生頻度（Ｆｎ）などの正常特性を、着目システム状態に関連付けてモデルを作成する（ステップＳ１２８）。作成されたモデルは記憶部２０４に記憶される。特性抽出部４０１は、システム状態リストから着目システム状態を削除する（ステップＳ１２９）。

　特性抽出部４０１は、システム状態リスト内に残っているシステム状態があるか否かを判断する（ステップＳ１３０）。残りのシステム状態がある場合（ステップＳ１３０でＹＥＳ）、特性抽出部４０１はステップＳ１２６に戻り、システム状態リストの中から新たな着目システム状態を選択する。新たな着目システム状態に対して、特性算出処理から状態削除処理（ステップＳ１２７～Ｓ１２９）が再度実行される。残りのシステム状態がない場合（ステップＳ１３０でＮＯ）、特性抽出部４０１は、パターン種別リストから着目パターン種別を削除する（ステップＳ１３１）。

　特性抽出部４０１は、パターン種別リスト内に残っているパターン種別があるか否かを判断する（ステップＳ１３２）。残りのパターン種別がある場合（ステップＳ１３２でＹＥＳ）、特性抽出部４０１はステップＳ１２３に戻り、パターン種別リストの中から新たな着目パターン種別を選択する。新たな着目パターン種別に対して、状態取得処理から種別削除処理（ステップＳ１２４～Ｓ１３１）が再度実行される。残りのパターン種別がない場合（ステップＳ１３２でＮＯ）、処理は図８のフローチャートに戻る。学習対象とする通信パターンは、通信パケット単体だけでなく、周期性および順序性を有する通信パケットのシーケンスでも構わない。

　図１１は、本実施形態に係る異常検知装置１０５の動作を表すフローチャートである。ここでは、検知時における動作を説明する。まず、取得部２０１は現在の（すなわち検知対象となる）通信パターンの情報を取得するとともに、判定部２０３は現在のプロセスデータを取得する（ステップＳ２１）。判定部２０３は、取得されたプロセスデータからプラントシステムのシステム状態を判定するとともに（ステップＳ２２）、記憶部２０４に記憶されたモデルを用いて、システム状態に関連付けられた正常特性を取得する（ステップＳ２３）。

　次に、検知部２０５は、取得部２０１で取得された通信パターンの情報に基づいて、通信パターンの特性を算出する（ステップＳ２４）。例えば、検知部２０５は、通信パターンの特性として、通信パターンの種別毎の単位時間あたりの発生頻度を算出する。検知部２０５は、算出された特性が正常特性に合致するか否かを判断する（ステップＳ２５）。ここで合致とは、完全な一致に限らず、類似または所定の範囲内にある場合を含み得る。例えば、検知部２０５は、種別毎の単位時間あたりの発生頻度の分布について、正常特性による分布との類似性を判断する。

　正常特性に合致しないと判断された場合（ステップＳ２５でＮＯ）、検知部２０５は、異常な通信パターンの通信パケットが送信されていることを検知し（ステップＳ２６）、警告情報を出力する。検知部２０５は、状態判定処理（ステップＳ２２）において、該当するシステム状態がない（システム状態異常）と判定された場合にも、制御異常が発生しているとみなす。一方、正常特性に合致すると判定された場合（ステップＳ２５でＹＥＳ）、検知部２０５は、異常な通信パターンのパケットが送信されていないとみなす。フローチャートの処理はステップＳ２１に戻り、ステップＳ２１～Ｓ２６までの処理が所定の周期で繰り返される。検知対象となる通信パターンは、通信パケット単体だけでなく、周期性および順序性を有する通信パケットのシーケンスでも構わない。

　図１２は、本実施形態に係る判定部２０３の動作を表すフローチャートである。このフローチャートは、図１１の状態判定処理（ステップＳ２２）を詳細に示すものである。まず、状態判定部３０２は、現在のプロセスデータを学習済みの特徴空間に転写する（ステップＳ２２１）。学習済みの特徴空間は、上述のとおり状態学習部３０１により事前に生成されている。

　状態判定部３０２は、プロセスデータが学習時に分類されたクラスのいずれかに該当するか否かを判断する（ステップＳ２２２）。すなわち、状態判定部３０２は、特徴空間上において、転写されたプロセスデータの位置を確認して、プロセスデータが含まれるクラスを判断する。分類されたクラスに該当すると判断された場合（ステップＳ２２２でＹＥＳ）、状態判定部３０２は、該当クラスに対応するシステム状態を出力する（ステップＳ２２３）。分類されたクラスに該当しないと判断された場合（ステップＳ２２２でＮＯ）、状態判定部３０２は、現在のプロセスデータが、学習時に定義されたシステム状態のいずれにも該当しないこと（システム状態異常）を出力する（ステップＳ２２４）。

　図１３は、本実施形態に係る検知部２０５の動作を表すフローチャートである。このフローチャートは、図１１の特性算出処理（ステップＳ２４）を詳細に示すものである。まず、検知部２０５は、現在の通信パターンに含まれるすべてのパターン種別を取得する（ステップＳ２４１）。ここで取得されるパターン種別の例として、パケット学習部２０２で取得されるパターン種別と同様のものが挙げられる。

　検知部２０５は、パターン種別リストを作成し、取得されたすべてのパターン種別を当該パターン種別リストに格納する（ステップＳ２４２）。ここで、検知部２０５は、パターン種別リストの中から着目する１つの種別（着目パターン種別）を選択する（ステップＳ２４３）。

　検知部２０５は、着目パターン種別の特性を算出する（ステップＳ２４４）。例えば、検知部２０５は、現在の通信パターンについて、所定期間内に発生したパターンの総数（Ｎｔ）をカウントする。さらに、特性抽出部４０１は、現在の通信パターンについて、所定期間内に発生した着目パターン種別のパターンの個数（Ｎ）をカウントする。検知部２０５は、着目パターン種別のパターンの個数（Ｎ）をもとに種別毎に単位時間あたりの正常発生頻度（Ｆ）を算出する。また、種別毎のパターンの個数（Ｎ）をすべての種別のパターンの総数（Ｎｔ）で除算することにより、着目パターン種別の発生確率（Ｐ）を算出する。算出された特性は、着目パターン種別に関連付けて記憶される。

　検知部２０５は、特性が算出されていないパターン種別が、パターン種別リスト内に残っているか否かを判断する（ステップＳ２４５）。残りのパターン種別がある場合（ステップＳ２４５でＹＥＳ）、検知部２０５はステップＳ２４３に戻り、パターン種別リストの中から新たな着目パターン種別を選択する。新たな着目パターン種別に対して、特性算出処理（ステップＳ２４４）が再度実行される。残りのパターン種別がない場合（ステップＳ２４５でＮＯ）、処理は図１１のフローチャートに戻る。検知対象とする通信パターンは、通信パケット単体だけでなく、周期性および順序性を有する通信パケットのシーケンスでも構わない。

　本実施形態によれば、プラントシステムを制御するための通信パケットの通信パターンおよび該システムから収集されたプロセスデータに基づいて、ネットワーク上における異常な通信パターンを検知する。プロセスデータから様々なシステム状態を抽出することができ、システム状態に応じたモデルを用いて通信パターン（通信パケット）の異常を検知することができるため、異常検知を精度良く行うことが可能となる。

　プロセスデータを分析することで、オペレータにより切り替え可能な「立ち上げ」、「運転中」、「立ち下げ」、「保守」といったフェーズに基づく運用モードだけではなく、各フェーズにおける多様なシステム状態を抽出することができる。例えば、外気温などの環境値、プラントシステムに供給される原材料の品質などの外的要因や、自動運用モードおよび手動運用モード、ＰＩＤ制御などの制御パラメータや目標値などの内的要因に応じて変化する多様なシステム状態を抽出することができる。これにより、システム状態に応じたモデルをより細分化して作成することができるため、検知精度を向上させることが可能となる。

　上述のように、外気温などの外的要因や制御パラメータなどの内的要因によってプラントシステムのシステム状態は変化する。本実施形態によれば、例えば、外気温が低いにもかかわらず冷却材を投入するコマンドが攻撃者から投入された場合に、外気温などのプロセスデータから学習したシステム状態をもとに外気温が低いときに発生することのない異常なコマンド（すなわち、システム状態に適さないコマンド）が投入されたことを迅速に検知できる。また、制御パラメータや目標値の設定変更によってプラント内の温度が安定状態若しくは過渡状態に変動するプラントシステムにおいて、安定状態にもかかわらず設定値を変更するコマンドが攻撃者から投入された場合に、温度やその時間変化などのプロセスデータから学習したシステム状態をもとに安定状態で発生することのない異常なコマンドが投入されたことを迅速に検知できる。

　［第２実施形態］
　図１４は、本実施形態に係る情報処理装置１４００の概略構成図である。情報処理装置１４００は、取得部１４０１、検知部１４０２を備える。取得部１４０１は、システムを監視制御するための通信パケットとシステムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する。検知部１４０２は、通信パケットに関する通信パターンとプロセスデータとの対応関係に基づいて、ネットワーク上における異常な通信パターンを検知する。本実施形態に係る情報処理装置１４００によれば、産業制御システムにおける異常検知を精度良く行える。

　［第３実施形態］
　図１５は、本実施形態に係る情報処理装置１５００の概略構成図である。情報処理装置１５００は、取得部１５０１、学習部１５０２を備える。取得部１５０１は、システムを監視制御するための通信パケットとシステムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する。学習部１５０２は、通信パケットに関する通信パターンとプロセスデータとの対応関係に基づいて、ネットワーク上における通信パケットの異常な通信パターンを検知するモデルを作成する。本実施形態に係る情報処理装置１５００によれば、産業制御システムにおける異常検知を精度良く行えるモデルが得られる。

　［変形実施形態］
　本発明は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において適宜変更可能である。例えば、異常検知装置１０５（図２）、判定部２０３（図３）、パケット学習部２０２（図４）の構成は一例であって、例示されたもの以外の構成要素をさらに有していてもよい。また、１つの構成要素が複数の構成要素に分散されていてもよく、複数の構成要素が１つの構成要素に集約されていてもよい。

　上述の実施形態の機能を実現するように該実施形態の構成を動作させるプログラムを記憶媒体に記録させ、記憶媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記憶媒体も各実施形態の範囲に含まれる。また、上述のプログラムが記録された記憶媒体だけでなく、そのプログラム自体も各実施形態に含まれる。また、上述の実施形態に含まれる１又は２以上の構成要素は、各構成要素の機能を実現するように構成されたＡＳＩＣ（Application　Specific　Integrated　Circuit）、ＦＰＧＡ（Field　Programmable　Gate　Array）等の回路であってもよい。

　該記憶媒体としては例えばフロッピー（登録商標）ディスク、ハードディスク、光ディスク、光磁気ディスク、ＣＤ（Compact　Disk）－ＲＯＭ、磁気テープ、不揮発性メモリカード、ＲＯＭを用いることができる。また該記憶媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、ＯＳ上で動作して処理を実行するものも各実施形態の範疇に含まれる。

　上述の実施形態の一部または全部は、以下の付記のようにも記載されうるが、以下には限られない。

　（付記１）
　システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する取得部と、
　前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における異常な前記通信パターンを検知する検知部とを備えることを特徴とする情報処理装置。

　（付記２）
　前記プロセスデータから抽出される特徴量に基づいて、前記プロセスデータが分類される前記システムのシステム状態を判定する判定部を備え、
　前記検知部は、それぞれの前記システム状態における前記通信パターンの特性を表すモデルを用いて、前記異常な前記通信パターンを検知することを特徴とする付記１に記載の情報処理装置。

　（付記３）
　前記モデルは、前記システム状態における前記通信パターンの正常特性を表し、前記検知部は、前記通信パターンの前記特性が前記正常特性と合致しない場合に、前記異常な前記通信パターンが発生していると判断することを特徴とする付記２に記載の情報処理装置。

　（付記４）
　前記通信パターンは、前記システムに対する時系列のコマンドを含み、前記通信パターンの前記特性は、前記コマンドの種別毎の発生頻度または発生確率で表されることを特徴とする付記３に記載の情報処理装置。

　（付記５）
　前記機器は、前記システムに設置されたセンサおよびアクチュエータを含み、
　前記プロセスデータは、前記センサによって測定されたセンサデータと、前記アクチュエータの設定を示すアクチュエータデータとを含むことを特徴とする付記１乃至４のいずれかに記載の情報処理装置。

　（付記６）
　前記判定部は、前記システムの外乱による外的要因および前記アクチュエータの設定による内的要因で決定される前記システム状態を前記プロセスデータに基づいて分類することを特徴とする付記５に記載の情報処理装置。

　（付記７）
　システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、
　前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するステップとを備えることを特徴とする情報処理方法。

　（付記８）
　コンピュータに、
　システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、
　前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するステップとを実行させることを特徴とするプログラム。

　（付記９）
　システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する取得部と、
　前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するモデルを作成する学習部とを備えることを特徴とする情報処理装置。

　（付記１０）
　システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、
　前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するモデルを学習するステップとを備えることを特徴とする情報処理方法。

１０　産業制御システム
１０１　エンジニアリングステーション
１０２　ＨＭＩ
１０３　ＤＣＳ
１０４　ＰＬＣ
１０５　異常検知装置（情報処理装置）
１０６　ヒストリアン
１０７　ファイアウォール
１０８　制御ネットワーク
１０９　フィールド機器
１１０、１１１　フィールドネットワーク
１２０　外部ネットワーク
２０１　取得部
２０２　パケット学習部
２０３　判定部
２０４　記憶部
２０５　検知部
３０１　状態学習部
３０２　状態判定部
４０１　特性抽出部
４０２　モデル作成部
５０１、５０２、５０３　クラス
７０１　ＣＰＵ
７０２　メモリ
７０３　記憶装置
７０４　通信Ｉ／Ｆ
１４００、１５００　情報処理装置
１４０１、１５０１　取得部
１４０２　検知部
１５０２　学習部

Claims

　システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する取得部と、
　前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における異常な前記通信パターンを検知する検知部とを備えることを特徴とする情報処理装置。
　前記プロセスデータから抽出される特徴量に基づいて、前記プロセスデータが分類される前記システムのシステム状態を判定する判定部を備え、
　前記検知部は、それぞれの前記システム状態における前記通信パターンの特性を表すモデルを用いて、前記異常な前記通信パターンを検知することを特徴とする請求項１に記載の情報処理装置。
　前記モデルは、前記システム状態における前記通信パターンの正常特性を表し、前記検知部は、前記通信パターンの前記特性が前記正常特性と合致しない場合に、前記異常な前記通信パターンが発生していると判断することを特徴とする請求項２に記載の情報処理装置。
　前記通信パターンは、前記システムに対する時系列のコマンドを含み、前記通信パターンの前記特性は、前記コマンドの種別毎の発生頻度または発生確率で表されることを特徴とする請求項３に記載の情報処理装置。
　前記機器は、前記システムに設置されたセンサおよびアクチュエータを含み、
　前記プロセスデータは、前記センサによって測定されたセンサデータと、前記アクチュエータの設定を示すアクチュエータデータとを含むことを特徴とする請求項１乃至４のいずれか１項に記載の情報処理装置。
　前記判定部は、前記システムの外乱による外的要因および前記アクチュエータの設定による内的要因で決定される前記システム状態を前記プロセスデータに基づいて分類することを特徴とする請求項５に記載の情報処理装置。
　システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、
　前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するステップとを備えることを特徴とする情報処理方法。
　コンピュータに、
　システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、
　前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するステップとを実行させることを特徴とするプログラム。
　システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得する取得部と、
　前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するモデルを作成する学習部とを備えることを特徴とする情報処理装置。
　システムを監視制御するための通信パケットと前記システムに設置された機器から収集されたプロセスデータとをネットワークを介して取得するステップと、
　前記通信パケットに関する通信パターンと前記プロセスデータとの対応関係に基づいて、前記ネットワーク上における前記通信パケットの異常な通信パターンを検知するモデルを学習するステップとを備えることを特徴とする情報処理方法。