JP2023122199A - Operation verification system and operation verification method - Google Patents

Operation verification system and operation verification method Download PDF

Info

Publication number
JP2023122199A
JP2023122199A JP2022025756A JP2022025756A JP2023122199A JP 2023122199 A JP2023122199 A JP 2023122199A JP 2022025756 A JP2022025756 A JP 2022025756A JP 2022025756 A JP2022025756 A JP 2022025756A JP 2023122199 A JP2023122199 A JP 2023122199A
Authority
JP
Japan
Prior art keywords
logic
application
virtual environment
signal
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022025756A
Other languages
Japanese (ja)
Inventor
浩通 遠藤
Hiromichi Endo
恒雄 飯田
Tsuneo Iida
倫宏 重本
Michihiro Shigemoto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2022025756A priority Critical patent/JP2023122199A/en
Publication of JP2023122199A publication Critical patent/JP2023122199A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

To reproduce operation in virtual environment, while concealing an operation logic itself in a reproduction object, and enable suitable operation verification.SOLUTION: An operation verification system 1 reproduces operation of an application 100 including a predetermined operation logic 101 in virtual environment 25, and verifies the operation. The system is configured to hold signal conversion means 301 in which relations between an input signal and an output signal in the operation logic 101 are defined, and reproduce and execute the application 100 in the virtual environment 25 in a manner that the operation logic 101 is substituted with the signal conversion means 301.SELECTED DRAWING: Figure 2

Description

本発明は、動作検証システム及び動作検証方法に関するものである。 The present invention relates to an operation verification system and an operation verification method.

プラント、工場や自動車などの制御システムについて、当該制御システムの一部または全体(プラント設備を含む場合もある)を仮想環境内に再現し、仮想的に動作させて検証する、いわゆるデジタルツインと呼ばれる技術が存在する。 For control systems of plants, factories, automobiles, etc., a part or the whole of the control system (sometimes including plant equipment) is reproduced in a virtual environment and operated virtually for verification, so-called digital twin. Technology exists.

このデジタルツインは仮想環境内の存在であるため、再現の難しい状況や現実のプラントでは好ましくない(不具合が起きるなど)影響が予想される状況での動作を検証するケースや、条件を変えながら何度も同じ状況を試行するケースなど、現実のシステムでは実行自体が難しい検証にも用いることができる。 Since this digital twin exists in a virtual environment, it is possible to verify the operation in situations that are difficult to reproduce or in situations where unfavorable effects (such as malfunctions) are expected in a real plant. It can also be used for verification that is difficult to execute in a real system, such as a case where the same situation is tried repeatedly.

このような検証が望まれる分野としては、安全性や効率性のほか、2010年代から注目され始めた制御システムのセキュリティが考えられる。 In addition to safety and efficiency, control system security, which began to attract attention in the 2010s, can be considered as a field in which such verification is desired.

制御動作の検証であれば、PLC(Programmable Logic Controller)やDCS(Distributed Control System)のような制御装置の内部構造までを、仮想環境内に再現する必
要はない。しかし、例えば制御システムに対するサイバー攻撃の影響や、そのような攻撃への対策の効果を評価する場合、制御装置内部で動作するソフトウェアやハードウェア、さらにはその脆弱性も含めたレベルで動作させることが望ましい場面が存在しうる。 For verification of control operation, it is not necessary to reproduce the internal structure of a control device such as a PLC (Programmable Logic Controller) or a DCS (Distributed Control System) in a virtual environment. However, for example, when evaluating the impact of cyber-attacks on control systems and the effectiveness of countermeasures against such attacks, it is necessary to operate at a level that includes the software and hardware that operate inside the control device, as well as their vulnerabilities. There may be situations where

こうした検証に関連する従来技術としては、汎用のコンピュータ上で実際のプラント監視制御システムと同等の機能を実現する仮想プラント監視制御装置(特許文献1参照)などが提案されている。 As a conventional technique related to such verification, a virtual plant monitoring and control device (see Patent Document 1) that implements functions equivalent to those of an actual plant monitoring and control system on a general-purpose computer has been proposed.

この仮想プラント監視制御装置は、プラントに設置された被制御機器に対して制御を行うための入力操作の内容を出力すると共に、入力されたデータをグラフィカルに表示するヒューマンマシンインターフェース装置と、入力操作の内容に応じて予め組み込まれた制御ロジックにより被制御機器を制御すると共に、前記被制御機器から得られたデータを前記ヒューマンマシンインターフェース装置に出力する制御装置とを仮想化する仕組みを提供するハイパーバイザと、前記ハイパーバイザにより前記制御装置を仮想化した仮想制御装置と、前記ハイパーバイザにより前記ヒューマンマシンインターフェース装置を仮想化した仮想ヒューマンマシンインターフェース装置と、前記ヒューマンマシンインターフェース装置と前記制御装置間でデータを送受信するためのネットワークを仮想化し、前記仮想ヒューマンマシンインターフェース装置と前記仮想制御装置間で前記仮想化ネットワークを通じてデータを送受信する第1仮想ネットワーク装置とを具備する装置である。 This virtual plant monitoring and control device includes a human-machine interface device that outputs the contents of an input operation for controlling a device to be controlled installed in a plant and graphically displays the input data; A hyper control device that controls a controlled device by a control logic pre-installed according to the content of the hyper a visor, a virtual controller virtualizing the control device by the hypervisor, a virtual human-machine interface device virtualizing the human-machine interface device by the hypervisor, and between the human-machine interface device and the control device The apparatus virtualizes a network for transmitting and receiving data, and includes a first virtual network device for transmitting and receiving data between the virtual human machine interface device and the virtual control device through the virtualized network.

特開2015-138525号公報JP 2015-138525 A

例えば、上述のデジタルツインを利用した、制御システムに対するサイバー攻撃の影響評価や対策評価のサービスを提供する場合、当該制御システムを仮想環境内に再現する必要がある。 For example, when providing a service for assessing the impact of cyberattacks on control systems and evaluating countermeasures using the above-mentioned digital twins, it is necessary to reproduce the control system in a virtual environment.

この場合、対象となる制御システムに搭載されたソフトウェア等も含めて再現することで、精度の高い動作の再現が可能になる。ところが、当該制御システムを運用している顧客からすると、自社ノウハウを含んだソフトウェアの開示が必要となるケースもある。その場合、当該顧客は、そうしたノウハウや各種知的財産の流出を懸念することになる。 In this case, by reproducing the software installed in the target control system, it is possible to reproduce the operation with high accuracy. However, there are cases in which it is necessary for the customer operating the control system to disclose the software containing the company's know-how. In that case, the customer will be concerned about the outflow of such know-how and various intellectual property.

そこで本発明の目的は、再現対象における動作ロジック自体は秘匿したまま、当該動作を仮想環境内で再現し、好適な動作検証を可能とする技術を提供することにある。 SUMMARY OF THE INVENTION Accordingly, it is an object of the present invention to provide a technique that enables suitable operation verification by reproducing the operation in a virtual environment while keeping the operation logic of the object to be reproduced secret.

上記課題を解決する本発明の動作検証システムは、所定の動作ロジックを含むアプリケーションの動作を仮想環境内で再現し、その動作を検証するシステムであって、前記動作ロジックにおける入力信号と出力信号との関係を定めた信号変換手段を保持し、前記動作ロジックを前記信号変換手段で置換した形で前記アプリケーションを前記仮想環境内で再現し実行するものである、ことを特徴とする。 The operation verification system of the present invention for solving the above problems is a system for reproducing the operation of an application including predetermined operation logic in a virtual environment and verifying the operation, wherein input signals and output signals in the operation logic are and the application is reproduced and executed in the virtual environment in a form in which the operation logic is replaced by the signal conversion means.

また、本発明の動作検証方法は、情報処理システムが、アプリケーションの動作を再現する仮想環境と、前記アプリケーションが含む所定の動作ロジックにおける入力信号と出力信号との関係を定めた信号変換手段を保持し、前記動作ロジックを前記信号変換手段で置換した形で前記アプリケーションを前記仮想環境内で再現し実行する、ことを特徴とする。 Further, in the operation verification method of the present invention, the information processing system holds a virtual environment for reproducing the operation of an application and signal conversion means that defines the relationship between an input signal and an output signal in a predetermined operation logic included in the application. and reproducing and executing the application in the virtual environment in a form in which the operation logic is replaced by the signal conversion means.

本発明によれば、再現対象における動作ロジック自体は秘匿したまま、当該動作を仮想環境内で再現し、好適な動作検証が可能となる。 According to the present invention, the operation can be reproduced in a virtual environment while keeping the operation logic of the object to be reproduced secret, and suitable operation verification can be performed.

本実施例における動作検証システムの全体構成例を示す図である。It is a figure which shows the whole structural example of the operation verification system in a present Example. 本実施例における制御システムの構成例を示す図である。It is a figure which shows the structural example of the control system in a present Example. 本実施例における仮想実行装置の構成例を示す図である。3 is a diagram illustrating a configuration example of a virtual execution device in this embodiment; FIG. 本実施例における等価機密ロジックの構成例を示す図である。FIG. 10 is a diagram showing a configuration example of an equivalent confidential logic in this embodiment; 本実施例における等価機密ロジック生成手段の構成例を示す図である。It is a figure which shows the structural example of the equivalent confidential logic production|generation means in a present Example. 本実施例における等価機密ロジック設定手段の構成例を示す図である。It is a figure which shows the structural example of the equivalent security logic setting means in a present Example. 本実施例における動作検証方法のフロー例を示す図である。It is a figure which shows the flow example of the operation verification method in a present Example.

[実施例1]
以下、図を参照し、本発明の一形態である動作検証システムの実施例を説明する。
<システム構成>
まず、本実施例における動作検証システム1の全体構成について説明する。図1は、本実施例における動作検証システム1の全体構成を示す。 [Example 1]
An embodiment of an operation verification system that is one embodiment of the present invention will be described below with reference to the drawings.
<System configuration>
First, the overall configuration of the operation verification system 1 in this embodiment will be described. FIG. 1 shows the overall configuration of an operation verification system 1 in this embodiment.

動作検証システム1は、検証対象の制御システム10、仮想実行手段20、等価機密ロジック301、等価機密ロジック生成手段30、等価機密ロジック設定手段40、及びネットワーク50を含んでいる。 The operation verification system 1 includes a verification target control system 10 , virtual execution means 20 , equivalent confidential logic 301 , equivalent confidential logic generation means 30 , equivalent confidential logic setting means 40 , and network 50 .

このうち制御システム10は、実際のプラントや設備を制御するシステムであり、図2に示すとおり、制御装置11、管理装置12、及び制御対象13を含む。 Among them, the control system 10 is a system for controlling actual plants and facilities, and includes a control device 11, a management device 12, and a controlled object 13, as shown in FIG.

Programmble Logic Controller(PLC)やDistr
ibuted Control System(DCS)、その他制御用計算機で実現される制御装置11は、アプリケーション100に記述される制御手順や制御モデルに従い、入出力信号14で接続されたプラントや設備などの制御対象13を制御する。 Programmable Logic Controller (PLC) and Distr
A control device 11 realized by an ibuted control system (DCS) or other control computer follows a control procedure or a control model described in an application 100 to control objects 13 to be controlled such as plants and facilities connected by input/output signals 14. Control.

また、管理装置12は、ネットワーク15を介して制御装置11と接続し、制御装置11に対する各種設定や動作状況の監視といった管理機能を、制御システム10のユーザに提供する。 In addition, the management device 12 is connected to the control device 11 via the network 15 and provides a user of the control system 10 with management functions such as various settings for the control device 11 and monitoring of operating conditions.

また、アプリケーション100は、制御システム10の開発者またはユーザのノウハウが反映された機密ロジック101を含むことがある。アプリケーション100において、機密ロジック101は、それ以外の非機密ロジック102と結合されている。 The application 100 may also include confidential logic 101 that reflects the know-how of the developer or user of the control system 10 . In application 100 , sensitive logic 101 is combined with otherwise non-sensitive logic 102 .

こうした機密ロジック101および非機密ロジック102は、それぞれソースコードやソースダイアグラムの一部、独立したオブジェクトモジュールなどの形態をとりうる。なお、制御システム10には複数のアプリケーション100が含まれる場合があり、それぞれが異なる機密ロジック101および非機密ロジック102を含む場合がある。 Such sensitive logic 101 and non-sensitive logic 102 may each take the form of source code, portions of source diagrams, separate object modules, or the like. It should be noted that control system 10 may include multiple applications 100 , each of which may include different sensitive logic 101 and non-sensitive logic 102 .

ここで図1の説明に戻る。動作検証システム1における仮想実行手段20は、制御システム10の動作を実際の制御対象13を用いずに再現する手段である。 Returning now to the description of FIG. The virtual execution means 20 in the operation verification system 1 is means for reproducing the operation of the control system 10 without using the actual controlled object 13 .

この仮想実行手段20は、図3に示すとおり、プロセッサ21、メモリ22、それらを結ぶバス23と、21から23の働きで具現化されるハイパーバイザ24および仮想環境25を含む。 As shown in FIG. 3, the virtual execution means 20 includes a processor 21, a memory 22, a bus 23 connecting them, a hypervisor 24 and a virtual environment 25 embodied by the functions of 21-23.

このうち仮想環境25は、制御システム10を構成するハードウェアおよびソフトウェアの動作をモデル化したものを動作させる環境である。ここでは、制御システム10の要素のうち、制御装置11を仮想化した仮想制御装置210と、それが実行するアプリケーション100のみを記載する。また、仮想環境25は、仮想制御装置210やアプリケーション100の実行を監視し、動作状態に関するログ26を出力する。 Among these, the virtual environment 25 is an environment in which a modeled operation of the hardware and software constituting the control system 10 is operated. Here, among the elements of the control system 10, only the virtual control device 210 that virtualizes the control device 11 and the application 100 executed by it will be described. The virtual environment 25 also monitors the execution of the virtual control device 210 and the application 100 and outputs a log 26 regarding the operating state.

ハイパーバイザ24は、仮想環境25の実行に必要なプロセッサ21およびメモリ22などのリソース利用を調整する。 Hypervisor 24 coordinates resource utilization, such as processor 21 and memory 22 , required to run virtual environment 25 .

ここで図1の説明に戻る。等価機密ロジック301は、機密ロジック101の内部構成を隠蔽し、入力信号から出力信号が直接得られるように構成した、ソースコードやオブジェクトモジュールである。 Returning now to the description of FIG. The equivalent confidential logic 301 is a source code or an object module that hides the internal configuration of the confidential logic 101 and is configured so that an output signal can be obtained directly from an input signal.

こうした等価機密ロジック301は、図4に示すように、入出力対応ルール3011と、内部状態3012と、精度調整手段3015を含む。等価機密ロジック301は、入出力対応ルール3011において、入力信号3013の値と、入力時点における内部状態3012の値に対応する出力値3014を取得する。 Such equivalent confidential logic 301 includes an input/output correspondence rule 3011, an internal state 3012, and an accuracy adjustment means 3015, as shown in FIG. The equivalent confidential logic 301 acquires the value of the input signal 3013 and the output value 3014 corresponding to the value of the internal state 3012 at the time of input in the input/output correspondence rule 3011 .

内部状態3012は、出力値3014の一部または全部から、次の時刻における内部状態値を生成し、自らを更新する。精度調整手段3015は、精度指令値3016に基づいて、機密ロジック101のノウハウが特定されない程度に出力値3014の精度を調整し、調整出力値3017として外部に出力する。 The internal state 3012 generates an internal state value at the next time from part or all of the output value 3014 and updates itself. Accuracy adjusting means 3015 adjusts the accuracy of output value 3014 based on accuracy command value 3016 to such an extent that the know-how of confidential logic 101 is not specified, and outputs it as adjusted output value 3017 to the outside.

こうした精度調整手段3015による出力値3014の調整は、例えば、出力値の分解能の低減、時間分解能の低減、出力信号の間引き、およびこれらの組み合わせで実現することができる。 Such adjustment of the output value 3014 by the precision adjusting means 3015 can be achieved by, for example, reducing the resolution of the output value, reducing the time resolution, thinning the output signal, or combining these.

出力値の分解能を低減する方法の一例は、出力値の量子化ステップを荒くすることであり、本来16ビットの数値範囲で表されるものを、下位4ビットを切り捨てた12ビットで出力するなどの手法を想定できる。 One example of a method of reducing the resolution of the output value is to coarsen the quantization step of the output value, such as outputting the value originally represented by the 16-bit numerical range as 12 bits by truncating the lower 4 bits. method can be assumed.

また、時間方向の分解能を低減する方法の一例は、出力値のサンプリングタイミングを10msから100msにするような間引きを想定できる。これにより、出力信号の波形やパルス幅が変化し、詳細な信号の挙動が隠蔽される。また、出力信号の間引きは、一部の出力信号のサンプリングを行わず、挙動を完全に隠蔽するものであり、値または時間の分解能低減を極端にしたものと捉えてもよい。 Also, as an example of a method for reducing the resolution in the time direction, it is assumed that the sampling timing of the output value is reduced from 10 ms to 100 ms. As a result, the waveform and pulse width of the output signal are changed, and the detailed behavior of the signal is hidden. Also, the decimation of the output signal completely hides the behavior without sampling some of the output signals, and may be regarded as an extreme reduction in value or time resolution.

これらの分解能低減は恒常的なものだけではなく、精度指令値3016の定義に従い、特定の時間帯のみの適用とすることにしてもよい。また、時間帯ごとに異なる程度で精度低減を実行することにしてもよい。 These resolution reductions may not be constant, but may be applied only in a specific time zone according to the definition of the precision command value 3016. FIG. Also, the precision reduction may be performed to a different degree for each time slot.

ここで図1の説明に戻る。等価機密ロジック生成手段30は、機密ロジック101から等価機密ロジック301、とりわけ入出力対応ルール3011を生成する手段である。この等価機密ロジック生成手段30は、例えば、図5に示すように、仮想環境31、入力生成手段32、出力記録手段33、及び対応関係生成手段34を含む。 Returning now to the description of FIG. The equivalent confidential logic generation means 30 is means for generating the equivalent confidential logic 301 , especially the input/output correspondence rule 3011 from the confidential logic 101 . This equivalent confidential logic generating means 30 includes, for example, a virtual environment 31, input generating means 32, output recording means 33, and correspondence generating means 34, as shown in FIG.

ここで図1の説明に戻る。等価機密ロジック設定手段40は、等価機密ロジック301からの出力精度を制御する、精度指令値3016を生成する手段である。この等価機密ロジック設定手段40は、図6に示すように、実行状態解析手段401と、実行精度決定手段402を含む。 Returning now to the description of FIG. The equivalent confidential logic setting means 40 is means for generating an accuracy command value 3016 that controls the output accuracy from the equivalent confidential logic 301 . This equivalent confidential logic setting means 40 includes execution state analysis means 401 and execution accuracy determination means 402, as shown in FIG.

このうち実行状態解析手段401は、仮想実行手段20から出力されるログ26を取得し、制御システム10において等価機密ロジック301の出力が影響する範囲や程度、すなわち制御システム10の出力における等価機密ロジック301の寄与度を分析する。 Of these, the execution state analysis means 401 acquires the log 26 output from the virtual execution means 20 and analyzes the range and degree of influence of the output of the equivalent confidential logic 301 in the control system 10, that is, the equivalent confidential logic in the output of the control system 10. 301 contribution is analyzed.

実行精度決定手段402は、実行状態解析手段401の分析結果に基づき、動作検証システム1において目的とする検証精度を達成し、かつ機密ロジック101のノウハウが特定されない程度に必要な等価機密ロジック301の出力精度を決定する。決定した出力精度は精度指令値3016として等価機密ロジック301に供給される。
<動作検証方法>
以下、本実施例における動作検証方法の実際手順について図に基づき説明する。以下で説明する動作検証方法に対応する各種動作は、動作検証システム1を構成する装置らがメモリ等に読み出して実行するプログラムによって実現される。そして、このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。 Based on the analysis result of the execution state analysis means 401, the execution accuracy determination means 402 determines the necessary equivalent confidential logic 301 to the extent that the target verification accuracy is achieved in the operation verification system 1 and the know-how of the confidential logic 101 is not specified. Determines output precision. The determined output accuracy is supplied to the equivalent confidential logic 301 as an accuracy command value 3016 .
<Operation verification method>
The actual procedure of the operation verification method in this embodiment will be described below with reference to the drawings. Various operations corresponding to the operation verification method described below are realized by a program read out to a memory or the like and executed by devices constituting the operation verification system 1 . This program is composed of codes for performing various operations described below.

図7は、本実施例における動作検証方法のフロー例を示す図である。まず、仮想実行手段20は、(検証対象の制御システム10を再現した)仮想制御装置210のうち、アプリケーション100から機密ロジック101を分離し、所定のダミーロジックで置換する(s10)。 FIG. 7 is a diagram showing a flow example of the operation verification method in this embodiment. First, the virtual execution means 20 separates the confidential logic 101 from the application 100 in the virtual control device 210 (which reproduces the control system 10 to be verified) and replaces it with a predetermined dummy logic (s10).

またその後、仮想実行手段20は、上述のダミーロジックを含むアプリケーション100を搭載した仮想制御装置210を、仮想環境25内で動作させる(s11)。この時点では、仮想制御装置210は完全な制御装置としては動作しないが、仮想環境25から出力される動作ログ26に、機密ロジック101と置換されたダミーロジックへのアクセス動作や、ダミーロジックからの出力値が仮想制御装置210で使用される様子が記録される。 After that, the virtual execution means 20 causes the virtual control device 210 loaded with the application 100 including the dummy logic described above to operate within the virtual environment 25 (s11). At this point, the virtual control device 210 does not operate as a complete control device, but the operation log 26 output from the virtual environment 25 indicates access operations to the dummy logic replaced with the confidential logic 101 and access operations from the dummy logic. The way the output values are used in the virtual controller 210 is recorded.

続いて、等価機密ロジック設定手段40は、上述の動作ログ26を仮想実行手段20から取得し、実行状態解析手段401において、上述のダミーロジックへのアクセス動作やダミーロジックからの出力の利用状況を解析する(s12)。 Subsequently, the equivalent confidential logic setting means 40 acquires the above operation log 26 from the virtual execution means 20, and the execution state analysis means 401 checks the access operation to the dummy logic and the usage status of the output from the dummy logic. Analyze (s12).

この解析の結果、実行状態解析手段401は、機密ロジック101の動作が必要とされる時刻と、仮想制御装置210の出力における機密ロジック101からの出力の寄与度を得る。 As a result of this analysis, the execution state analysis means 401 obtains the time when the operation of the confidential logic 101 is required and the contribution of the output from the confidential logic 101 to the output of the virtual controller 210 .

続いて、実行精度決定手段402は、s12の解析で得られた上述の機密ロジック101の動作が必要とされる時刻の情報に基づき、機密ロジック101の出力精度を制御すべき時刻を導出する(s13)。また、実行精度決定手段402は、s12の解析で得られた上述の出力の寄与度の情報と、動作検証システム1において必要な検証精度とから、機密ロジック101の出力に要求される出力精度を導出する(s14)。 Subsequently, the execution accuracy determination means 402 derives the time at which the output accuracy of the confidential logic 101 should be controlled based on the information on the time required for the operation of the confidential logic 101 obtained by the analysis in s12 ( s13). Further, the execution accuracy determination means 402 determines the output accuracy required for the output of the confidential logic 101 based on the information on the degree of contribution of the output obtained by the analysis in s12 and the verification accuracy required in the operation verification system 1. It is derived (s14).

実行精度決定手段402は、最終的に、上述の機密ロジック101の出力精度を制御すべき時刻と機密ロジック101の出力に要求される出力精度から、精度指令値3016を生成する(s15)。 Execution accuracy determination means 402 finally generates accuracy command value 3016 from the time when the output accuracy of confidential logic 101 should be controlled and the output accuracy required for the output of confidential logic 101 (s15).

なお、アプリケーション100から分離した機密ロジック101は、図5の等価機密ロジック生成手段30における仮想環境31に格納される。 The confidential logic 101 separated from the application 100 is stored in the virtual environment 31 in the equivalent confidential logic generating means 30 of FIG.

仮想環境31は、仮想実行手段20における仮想環境25と同じ構成で実現してもよく、また、機密ロジック101のみであれば仮想制御システム210よりも規模が小さいため、機密ロジック101のコードを読み取って実行するインタプリタのような手段のみを用いた簡易な構成としてもよい。 The virtual environment 31 may be realized with the same configuration as the virtual environment 25 in the virtual execution means 20, and if only the confidential logic 101 is used, the scale is smaller than that of the virtual control system 210. Therefore, the code of the confidential logic 101 can be read. A simple configuration using only a means such as an interpreter for executing the program may be used.

仮想環境31内では、入力生成手段32が、機密ロジック101について想定される入力信号のパターンを順次生成し、これを機密ロジック101に入力し、また、出力記録手段33が、機密ロジック101からの出力信号と機密ロジック101の内部状態を収集する(s16)。 In the virtual environment 31, the input generation means 32 sequentially generates patterns of input signals assumed for the confidential logic 101 and inputs them to the confidential logic 101. The output signal and the internal state of the confidential logic 101 are collected (s16).

さらに、対応関係生成手段34は、入力生成手段32で生成した入力信号と出力記録手段33で収集した出力信号および内部状態とを対応付け、等価機密ロジック301に搭載する入出力対応ルール3011を生成する(s17)。 Furthermore, the correspondence generating means 34 associates the input signal generated by the input generating means 32 with the output signal and internal state collected by the output recording means 33, and generates an input/output correspondence rule 3011 to be loaded in the equivalent confidential logic 301. (s17).

なお、当然ながら、どのような種類、および程度で精度調整を行えば動作検証システム1の検証精度が達成できるかは、アプリケーション100によって異なるから、入出力対応ルール3011と精度指令値3016はアプリケーション100が変更になるつど生成する必要がある。 As a matter of course, the type and degree of accuracy adjustment required to achieve the verification accuracy of the operation verification system 1 differs depending on the application 100. must be generated each time it changes.

また、対応関係生成手段34は、生成した入出力対応ルール3011と精度指令値3016を等価機密ロジック301に搭載する(s18)。 Further, the correspondence generating means 34 loads the generated input/output correspondence rule 3011 and accuracy command value 3016 into the equivalent confidential logic 301 (s18).

また、仮想実行手段20は、上述の等価機密ロジック301を、仮想環境25内においてダミーロジック(アプリケーション100において機密ロジック101と置換したもの)と再度置換し、非機密ロジック102と結合する(s19)。この時点でアプリケーション100を含む仮想制御装置210は完全な制御装置として動作が可能となる。 In addition, the virtual execution means 20 replaces the above-mentioned equivalent confidential logic 301 again with dummy logic (that replaces the confidential logic 101 in the application 100) in the virtual environment 25, and combines it with the non-confidential logic 102 (s19). . At this point, virtual controller 210 containing application 100 can operate as a complete controller.

以上説明した動作検証システム1の構成および動作により、検証対象の制御システム1
0に含まれる機密ロジック101は、内容が隠蔽された等価機密ロジック301に置き換えられ、かつその出力は動作検証システム1の目標精度を達成可能な程度に精度調整されることとなる。そのため、ノウハウが反映された機密ロジック101の詳細な挙動を仮想実行手段20の運用者に開示することなく、目的とする動作検証を達成できる。
[実施例2]
続いて、動作検証システム1の他の実施例を説明する。本実施例では、動作検証システム1を、サイバー攻撃下における制御システム10の挙動を検証する目的で構成する場合を説明する。 With the configuration and operation of the operation verification system 1 described above, the control system 1 to be verified
0 is replaced with an equivalent confidential logic 301 whose content is hidden, and its output is precision-adjusted to the extent that the target precision of the operation verification system 1 can be achieved. Therefore, the intended operation verification can be achieved without disclosing the detailed behavior of the confidential logic 101 reflecting the know-how to the operator of the virtual execution means 20 .
[Example 2]
Next, another embodiment of the operation verification system 1 will be described. In this embodiment, a case will be described in which the operation verification system 1 is configured for the purpose of verifying the behavior of the control system 10 under cyber attack.

本実施例の構成は第一の実施例と同様であるが、一部の構成要素で動作内容および使用方法が異なるため、その差分を中心に説明する。 The configuration of this embodiment is the same as that of the first embodiment, but since some components differ in operation content and usage method, the difference will be mainly described.

図4における入出力対応ルール3011(第一の実施例のもの)では、機密ロジック101が正常に動作することを想定していたため、入力信号と出力信号は設計時に想定しているものと一致する。一方、これに対し、本実施例では、ある脆弱性の顕在化により、不正な動作が発生し、一部の出力信号や内部状態が想定と異なるように構成する。 In the input/output correspondence rule 3011 (of the first embodiment) in FIG. 4, it is assumed that the confidential logic 101 operates normally, so the input signal and the output signal match those assumed at the time of design. . On the other hand, in the present embodiment, manifestation of a certain vulnerability causes unauthorized operation, and some output signals and internal states are configured to differ from assumptions.

これは、等価機密ロジック生成手段30において、不正な入力を発生させるように入力生成手段32を構成することと、出力記録手段33において本来発生しない出力を発生させることで実現する。 This is realized by configuring the input generation means 32 in the equivalent confidential logic generation means 30 so as to generate an illegal input and by causing the output recording means 33 to generate an output that should not be generated.

このようにして生成した等価機密ロジック301をアプリケーション100に組み込み、仮想環境25内で実行することによって、サイバー攻撃を模した異常動作が発生した場合の仮想制御システム210の挙動を動作ログ26を介して評価することができる。 By embedding the equivalent confidential logic 301 generated in this way into the application 100 and executing it in the virtual environment 25, the behavior of the virtual control system 210 when an abnormal operation simulating a cyber attack occurs is monitored via the operation log 26. can be evaluated as

以上説明した動作により、動作検証システム1においてノウハウが反映されたロジックを含むアプリケーションの動作を、前記ロジックの内容やその詳細な挙動を開示することなく仮想環境内に再現でき、実世界の制御システムに影響を与えることなく様々な条件で動作の評価を行うことが可能となる。 By the operation described above, the operation of the application including the logic in which the know-how is reflected in the operation verification system 1 can be reproduced in the virtual environment without disclosing the contents of the logic and its detailed behavior. It is possible to evaluate the operation under various conditions without affecting the

なお、以上の説明において、構成に関して特段の断りがない機能や手段は、電気回路、電子回路、論理回路、およびそれらを内蔵した集積回路のほか、マイコン、プロセッサ、及びこれらに類する演算装置と、ROM、RAM、フラッシュメモリ、ハードディスク、SSD、メモリカード、光ディスク及びこれらに類する記憶装置と、バス、ネットワーク及びこれらに類する通信装置、及び周辺の諸装置の組み合わせによって実行されるプログラムによって実現してもよく、いずれの実現態様でも本発明は成立し得ることに留意されたい。 In the above description, the functions and means for which there is no particular description regarding the configuration are electric circuits, electronic circuits, logic circuits, and integrated circuits incorporating them, as well as microcomputers, processors, and similar arithmetic devices, It may be implemented by a program executed by a combination of ROM, RAM, flash memory, hard disk, SSD, memory card, optical disk, and similar storage devices, buses, networks, and similar communication devices, and peripheral devices. It is well noted that the present invention can work in any implementation.

また、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 Moreover, the present invention is not limited to the above-described embodiments, and includes various modifications. For example, the above-described embodiments have been described in detail in order to explain the present invention in an easy-to-understand manner, and are not necessarily limited to those having all the described configurations. In addition, it is possible to replace part of the configuration of one embodiment with the configuration of another embodiment, and it is also possible to add the configuration of another embodiment to the configuration of one embodiment. Moreover, it is possible to add, delete, or replace a part of the configuration of each embodiment with another configuration.

こうした本実施形態によれば、ノウハウに基づく動作のロジック部分の代わりに、それと等価な信号の入出力関係となるよう構成した信号変換手段を用いることで、元の動作ロジックを秘匿したまま同じ動作を仮想環境内で再現できるため、顧客のノウハウを公開することなくアプリケーションの動作を検証することが可能となる。 According to this embodiment, instead of the logic part of the operation based on the know-how, the same operation is performed while the original operation logic is concealed by using the signal conversion means configured to have an equivalent signal input/output relationship. can be reproduced in a virtual environment, making it possible to verify the operation of the application without disclosing the customer's know-how.

また、アプリケーションの動作ロジックだけでなく、そこから出力する信号の形態にノウハウが含まれる場合もある。そのようなケースに対しては、仮想環境内の制御システムで検証したい動作精度が得られる程度に動作ロジックの出力精度を削減することにより、顧客のノウハウが公開されることを防ぐことができる。 Know-how may be included not only in the operation logic of the application, but also in the form of signals output from it. In such a case, it is possible to prevent disclosure of the customer's know-how by reducing the output accuracy of the operation logic to the extent that the operation accuracy desired to be verified by the control system in the virtual environment can be obtained.

ひいては、再現対象における動作ロジック自体は秘匿したまま、当該動作を仮想環境内で再現し、好適な動作検証が可能となる。 As a result, it is possible to reproduce the operation in the virtual environment while keeping the operation logic itself of the object to be reproduced secret, and to perform suitable operation verification.

本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態の動作検証システムにおいて、前記信号変換手段は、前記出力信号の精度を設定に応じて制御するものである、としてもよい。 At least the following will be clarified by the description of this specification. That is, in the operation verification system of the present embodiment, the signal conversion means may control the accuracy of the output signal according to settings.

これによれば、アプリケーションの動作ロジックだけでなく、そこから出力する信号の形態にノウハウが含まれる場合にも対応し、仮想環境内の制御システムで検証したい動作精度が得られる程度に動作ロジックの出力精度を削減することにより、顧客のノウハウが公開されることを防ぐことができる。 According to this, not only the operation logic of the application but also the form of the signal output from the application includes know-how. By reducing the output accuracy, it is possible to prevent disclosure of the customer's know-how.

また、本実施形態の動作検証システムにおいて、前記信号変換手段は、前記出力信号の精度として、少なくとも値の分解能と時間の分解能を制御するものである、としてもよい。 Further, in the operation verification system of the present embodiment, the signal conversion means may control at least value resolution and time resolution as the accuracy of the output signal.

これによれば、アプリケーションの動作ロジックだけでなく、そこから出力する信号の形態にノウハウが含まれる場合にも対応し、仮想環境内の制御システムで検証したい動作精度が得られる程度に動作ロジックの出力精度をより的確に削減することにより、顧客のノウハウが公開されることを防ぐことができる。 According to this, not only the operation logic of the application but also the form of the signal output from the application includes know-how. By reducing the output accuracy more accurately, it is possible to prevent disclosure of the customer's know-how.

また、本実施形態の動作検証システムにおいて、前記信号変更手段において、前記出力信号の精度は、前記仮想環境内における時間、前記仮想環境内で実行される前記アプリケーションの特定の領域、前記アプリケーションにおける入出力信号、の少なくともいずれかに対応付けて設定されるものである、としてもよい。 Further, in the operation verification system of the present embodiment, in the signal changing means, the accuracy of the output signal is determined by the time in the virtual environment, the specific area of the application executed in the virtual environment, the input in the application. and output signal.

これによれば、アプリケーションの動作ロジックだけでなく、そこから出力する信号の形態にノウハウが含まれる場合にも対応し、仮想環境内の制御システムで検証したい動作精度が得られる程度に動作ロジックの出力精度をより的確に削減することにより、顧客のノウハウが公開されることを防ぐことができる。 According to this, not only the operation logic of the application but also the form of the signal output from the application includes know-how. By reducing the output accuracy more accurately, it is possible to prevent disclosure of the customer's know-how.

また、本実施形態の動作検証システムにおいて、前記信号変更手段において、前記仮想環境内における時間、前記仮想環境内で実行される前記アプリケーションの特定の領域、前記アプリケーションにおける入出力信号、の少なくともいずれかに対応付けられる、前記出力信号の精度に対する設定は、前記アプリケーションのうち前記動作ロジックを除く部分の解析結果に基づいて決定されるものである、としてもよい。 Further, in the operation verification system of the present embodiment, at least one of time in the virtual environment, a specific area of the application executed in the virtual environment, and an input/output signal in the application in the signal changing means. may be determined based on an analysis result of a portion of the application excluding the operation logic.

これによれば、アプリケーションの動作ロジックだけでなく、そこから出力する信号の形態にノウハウが含まれる場合にも対応し、仮想環境内の制御システムで検証したい動作精度が得られる程度に動作ロジックの出力精度をより的確に削減することにより、顧客のノウハウが公開されることを防ぐことができる。 According to this, not only the operation logic of the application but also the form of the signal output from the application includes know-how. By reducing the output accuracy more accurately, it is possible to prevent disclosure of the customer's know-how.

また、本実施形態の動作検証システムにおいて、前記信号変換手段は、前記アプリケーションの前記動作ロジックの解析結果から得られる、入力信号と出力信号との対応関係に基づいて生成されたものである、としてもよい。 Further, in the operation verification system of the present embodiment, the signal conversion means is generated based on the correspondence relationship between the input signal and the output signal obtained from the analysis result of the operation logic of the application. good too.

これによれば、アプリケーションの動作ロジックだけでなく、そこから出力する信号の形態にノウハウが含まれる場合にも対応し、仮想環境内の制御システムで検証したい動作精度が得られる程度に動作ロジックの出力精度をより的確に削減することにより、顧客のノウハウが公開されることを防ぐことができる。 According to this, not only the operation logic of the application but also the form of the signal output from the application includes know-how. By reducing the output accuracy more accurately, it is possible to prevent disclosure of the customer's know-how.

1 動作検証システム
10 制御システム
11 制御装置
12 管理装置
13 制御対象
14 入出力信号
15 ネットワーク
20 仮想実行手段
21 プロセッサ
22 メモリ
23 バス
24 ハイパーバイザ
25 仮想環境
26 実行ログ
26 実行ログ
30 等価機密ロジック生成手段
31 仮想環境
32 入力生成手段
33 出力記録手段
34 対応関係生成手段
40 等価機密ロジック設定手段
50 ネットワーク
100 アプリケーション
101 機密ロジック
102 非機密ロジック
210 仮想制御装置
301 等価機密ロジック
3011 入出力対応ルール
3012 内部状態
3013 入力信号
3014 出力信号
3015 精度調整手段
3016 精度指令値
3017 調整出力値
401 実行状態解析手段
402 実行精度決定手段 1 operation verification system 10 control system 11 control device 12 management device 13 controlled object 14 input/output signal 15 network 20 virtual execution means 21 processor 22 memory 23 bus 24 hypervisor 25 virtual environment 26 execution log 26 execution log 30 equivalent confidential logic generation means 31 virtual environment 32 input generating means 33 output recording means 34 correspondence generating means 40 equivalent confidential logic setting means 50 network 100 application 101 confidential logic 102 non-confidential logic 210 virtual controller 301 equivalent confidential logic 3011 input/output correspondence rule 3012 internal state 3013 Input signal 3014 Output signal 3015 Accuracy adjustment means 3016 Accuracy command value 3017 Adjustment output value 401 Execution state analysis means 402 Execution accuracy determination means

Claims (7)

所定の動作ロジックを含むアプリケーションの動作を仮想環境内で再現し、その動作を検証するシステムであって、
前記動作ロジックにおける入力信号と出力信号との関係を定めた信号変換手段を保持し、前記動作ロジックを前記信号変換手段で置換した形で前記アプリケーションを前記仮想環境内で再現し実行するものである、
ことを特徴とする動作検証システム。 A system that reproduces the operation of an application including predetermined operation logic in a virtual environment and verifies the operation,
A signal conversion means that defines the relationship between an input signal and an output signal in the operation logic is held, and the application is reproduced and executed in the virtual environment in a form in which the operation logic is replaced by the signal conversion means. ,
An operation verification system characterized by: 前記信号変換手段は、前記出力信号の精度を設定に応じて制御するものである、
ことを特徴とする請求項1に記載の動作検証システム。 The signal conversion means controls the accuracy of the output signal according to settings.
The operation verification system according to claim 1, characterized in that: 前記信号変換手段は、前記出力信号の精度として、少なくとも値の分解能と時間の分解能を制御するものである、
ことを特徴とする請求項2に記載の動作検証システム。 The signal conversion means controls at least value resolution and time resolution as the accuracy of the output signal.
3. The operation verification system according to claim 2, characterized in that: 前記信号変更手段において、前記出力信号の精度は、前記仮想環境内における時間、前記仮想環境内で実行される前記アプリケーションの特定の領域、前記アプリケーションにおける入出力信号、の少なくともいずれかに対応付けて設定されるものである、
ことを特徴とする請求項2に記載の動作検証システム。 In the signal changing means, the accuracy of the output signal is associated with at least one of time in the virtual environment, a specific area of the application executed in the virtual environment, and an input/output signal in the application. is to be set,
3. The operation verification system according to claim 2, characterized in that: 前記信号変更手段において、前記仮想環境内における時間、前記仮想環境内で実行される前記アプリケーションの特定の領域、前記アプリケーションにおける入出力信号、の少なくともいずれかに対応付けられる、前記出力信号の精度に対する設定は、前記アプリケーションのうち前記動作ロジックを除く部分の解析結果に基づいて決定されるものである、
ことを特徴とする請求項4に記載の動作検証システム。 In the signal modification means, the accuracy of the output signal associated with at least one of time in the virtual environment, a specific area of the application executed in the virtual environment, and an input/output signal in the application The settings are determined based on analysis results of portions of the application excluding the operation logic,
5. The operation verification system according to claim 4, characterized in that: 前記信号変換手段は、前記アプリケーションの前記動作ロジックの解析結果から得られる、入力信号と出力信号との対応関係に基づいて生成されたものである、
ことを特徴とする請求項1に記載の動作検証システム。 The signal conversion means is generated based on the correspondence relationship between the input signal and the output signal obtained from the analysis result of the operation logic of the application.
The operation verification system according to claim 1, characterized in that: 情報処理システムが、
アプリケーションの動作を再現する仮想環境と、前記アプリケーションが含む所定の動作ロジックにおける入力信号と出力信号との関係を定めた信号変換手段を保持し、
前記動作ロジックを前記信号変換手段で置換した形で前記アプリケーションを前記仮想環境内で再現し実行する、
ことを特徴とする動作検証方法。 Information processing system
holding a virtual environment that reproduces the operation of an application and signal conversion means that defines the relationship between an input signal and an output signal in a predetermined operation logic included in the application;
reproducing and executing the application in the virtual environment in a form in which the operation logic is replaced by the signal conversion means;
An operation verification method characterized by:
JP2022025756A 2022-02-22 2022-02-22 Operation verification system and operation verification method Pending JP2023122199A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022025756A JP2023122199A (en) 2022-02-22 2022-02-22 Operation verification system and operation verification method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022025756A JP2023122199A (en) 2022-02-22 2022-02-22 Operation verification system and operation verification method

Publications (1)

Publication Number Publication Date
JP2023122199A true JP2023122199A (en) 2023-09-01

Family

ID=87798815

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022025756A Pending JP2023122199A (en) 2022-02-22 2022-02-22 Operation verification system and operation verification method

Country Status (1)

Country Link
JP (1) JP2023122199A (en)

Similar Documents

Publication Publication Date Title
US10489564B2 (en) Method and execution environment for the secure execution of program instructions
US8694802B2 (en) System and method for creating tamper-resistant code
KR102107872B1 (en) Compiler based obfuscation
JP7377260B2 (en) How to detect safety-related data streams
CN113238850A (en) RPA implementation method, device, equipment and medium based on browser
JP2019527877A (en) Automatic distribution of PLC virtual patches and security context
EP3769244A1 (en) A method and system for detecting and preventing issues in smart contracts based on historical behavior analysis
Mahmoodi et al. Attack surface modeling and assessment for penetration testing of IoT system designs
CN113260993A (en) Secure deployment and operation of virtual platform systems
US20240143739A1 (en) Intelligent obfuscation of mobile applications
US9003483B2 (en) Uniformly transforming the characteristics of a production environment
WO2015178895A1 (en) Point-wise protection of application using runtime agent
US11029662B2 (en) System and method for enabling data to be transmitted between program modules based on compliance with rules
JP2023122199A (en) Operation verification system and operation verification method
CN112287357A (en) Control flow verification method and system for embedded bare computer system
US20090235063A1 (en) Execution of computer instructions with reconfigurable hardware
US10200401B1 (en) Evaluating results of multiple virtual machines that use application randomization mechanism
US11544436B1 (en) Hardware-software interaction testing using formal verification
CN106922191B (en) Generating and executing protected software items
Guha et al. SARP: self aware runtime protection against integrity attacks of hardware trojans
US11868685B2 (en) Generating a digital twin, method, system, computer program product
CN116861418B (en) Penetration test method, device, equipment and storage medium for 32-bit Windows sandbox
EP4167111B1 (en) Method and apparatus for preparing unique software
Kenny et al. Embedded software assurance for configuring secure hardware
US20230161863A1 (en) Method for executing a software program by a processing unit comprising a compilation phase