JP6541903B2 - 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム - Google Patents
攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム Download PDFInfo
- Publication number
- JP6541903B2 JP6541903B2 JP2018563982A JP2018563982A JP6541903B2 JP 6541903 B2 JP6541903 B2 JP 6541903B2 JP 2018563982 A JP2018563982 A JP 2018563982A JP 2018563982 A JP2018563982 A JP 2018563982A JP 6541903 B2 JP6541903 B2 JP 6541903B2
- Authority
- JP
- Japan
- Prior art keywords
- command
- normal
- manufacturing
- attack
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 157
- 230000005856 abnormality Effects 0.000 title claims description 141
- 238000004519 manufacturing process Methods 0.000 claims description 213
- 238000000034 method Methods 0.000 claims description 67
- 238000000605 extraction Methods 0.000 claims description 55
- 238000012545 processing Methods 0.000 claims description 19
- 239000000284 extract Substances 0.000 claims description 12
- 238000004088 simulation Methods 0.000 claims description 8
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 238000005259 measurement Methods 0.000 claims description 5
- 230000001186 cumulative effect Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 15
- 230000005540 biological transmission Effects 0.000 description 8
- 238000012806 monitoring device Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000007796 conventional method Methods 0.000 description 4
- 230000006378 damage Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000003780 insertion Methods 0.000 description 3
- 230000037431 insertion Effects 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000013523 data management Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4184—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/41885—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by modeling, simulation of the manufacturing system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Manufacturing & Machinery (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Automation & Control Theory (AREA)
- Computer And Data Communications (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
特許文献1、2に係る従来方法は、正常な製造コマンドの流れをシミュレーションにより取得して、製造コマンドの時系列順序を正常コマンド群として記憶しておく。さらに、従来方法は、実際の工場・プラント等における製造コマンドの時系列順序も、同様に実コマンド群として記憶しておく。
図1は、本発明の実施の形態1における検知サーバ101の構成図である。検知サーバ101は、攻撃・異常検知装置の具体例に相当する。
本実施の形態2では、製造コマンドの宛先に加えて、製品ID等の追加情報を用いて、特定の宛先の製造コマンドが破棄される攻撃・異常を検知可能な検知サーバを実現する場合について説明する。
本実施の形態3では、製造コマンドの宛先に加えて、製品ID等の追加情報を用いた場合に、特定の宛先の製造コマンドおよび製品IDが破棄される攻撃・異常を検知可能な検知サーバを実現する場合について説明する。
図15は、本発明の実施の形態3におけるコマンド記憶領域1310の具体例として、コマンド記憶領域1510が記憶されている状態を示した図である。まず、図15に示すコマンド記憶領域1510に対する攻撃・異常検知の動作処理例について説明する。
Claims (7)
- 記憶部と、コマンド抽出部と、検知部とを備え、実工場における製造コマンドに含まれる攻撃・異常を検知する攻撃・異常検知装置であって、
前記記憶部は、正常な製造コマンドの集合が記憶された正常コマンド記憶領域と、前記実工場から送信される実際の製造コマンドの集合が記憶された実コマンド記憶領域とを有し、
前記コマンド抽出部は、
コマンド宛先、コマンド名、コマンドパラメータを含んで構成された実際の製造コマンドを前記実工場から受信し、コマンド宛先が同じ実際の製造コマンドに関して受信した順に到達順の番号を付して前記実際の製造コマンドの集合の1つの要素として前記実コマンド記憶領域に記憶させ、
前記実際の製造コマンドを今回受信した際に、コマンド宛先、コマンド名、コマンドパラメータ、到達順を含んだ構成として前記正常コマンド記憶領域に記憶された前記正常な製造コマンドの集合の中から、前記今回受信した前記実際の製造コマンドに含まれているコマンド宛先と同一のコマンド宛先を有する要素を正常コマンド群として抽出し、前記実コマンド記憶領域に記憶された前記実際の製造コマンドの集合の中から、前記今回受信した前記実際の製造コマンドに含まれているコマンド宛先と同一のコマンド宛先を有する要素を実コマンド群として抽出し、
前記検知部は、前記コマンド抽出部によって抽出された前記正常コマンド群および前記実コマンド群を前記到達順ごとに比較する第1検知処理を実行することで攻撃・異常を検知する
攻撃・異常検知装置。 - 前記コマンド抽出部は、前記実工場の動作が正常な場合に前記実工場から送信される実際の製造コマンドと同一のコマンド宛先、同一のコマンド名、同一のコマンドパラメータを含んで構成された正常な製造コマンドを工場シミュレータによるシミュレーション結果として受信し、コマンド宛先が同じ正常な製造コマンドに関して受信した順に到達順の番号を付して前記正常な製造コマンドの集合の1つの要素として前記正常コマンド記憶領域に記憶させる
請求項1に記載の攻撃・異常検知装置。 - 前記コマンド抽出部により受信される前記実際の製造コマンドおよび前記正常な製造コマンドのそれぞれは、前記コマンド宛先以外に、製造コマンドの適用対象を識別するための判別情報が含まれており、
前記コマンド抽出部は、前記検知部により前記第1検知処理が実行された結果、前記今回受信した前記実際の製造コマンドが正常であると仮判定された場合には、前記実際の製造コマンドを今回受信した際に、コマンド宛先、コマンド名、コマンドパラメータ、到達順、判別情報を含んだ構成として前記正常コマンド記憶領域に記憶された前記正常な製造コマンドの集合の中から、前記今回受信した前記実際の製造コマンドに含まれている判別情報と同一の判別情報を有する要素を第2の正常コマンド群として抽出し、コマンド宛先、コマンド名、コマンドパラメータ、到達順、判別情報を含んだ構成として前記実コマンド記憶領域に記憶された前記実際の製造コマンドの集合の中から、前記今回受信した前記実際の製造コマンドに含まれている判別情報と同一の判別情報を有する要素を第2の実コマンド群として抽出し、
前記検知部は、前記コマンド抽出部によって抽出された前記第2の正常コマンド群および前記第2の実コマンド群を比較する第2検知処理を実行し、前記第2の実コマンド群が前記第2の正常コマンド群と一致するか、または部分集合となっていることで前記今回受信した前記実際の製造コマンドが正常であることを最終判定する
請求項1または2に記載の攻撃・異常検知装置。 - 次に受信すべき実際の製造コマンドについて到達時間を計測する時間計測部をさらに備え、
前記コマンド抽出部により受信される前記正常な製造コマンドは、到達想定時間が含まれて構成されており、
前記コマンド抽出部は、前記正常コマンド記憶領域に記憶された前記正常な製造コマンドの集合の中から、次に到達すべき実際の製造コマンドに相当する正常なコマンドを対応する到達予想時間とともに抽出し、
前記検知部は、前記次に到達すべき実際の製造コマンドが、前記対応する到達予想時間を経過しても受信できない場合には、実際の正常コマンドの受信異常が発生したことを検知する
請求項1から3のいずれか1項に記載の攻撃・異常検知装置。 - コンピュータを、請求項1から4のいずれか1項に記載された攻撃・異常検知装置に備えられた前記コマンド抽出部、および前記検知部として機能させるための攻撃・異常検知プログラム。
- 実工場における製造コマンドに含まれる攻撃・異常を検知する攻撃・異常検知装置により実行される攻撃・異常検知方法であって、
コマンド宛先、コマンド名、コマンドパラメータを含んで構成された実際の製造コマンドを前記実工場から受信する第1ステップと、
コマンド宛先が同じ実際の製造コマンドに関して、受信した順に到達順の番号を付して実際の製造コマンドの集合の1つの要素として実コマンド記憶領域に記憶させる第2ステップと、
コマンド宛先、コマンド名、コマンドパラメータ、到達順を含んだ構成として正常コマンド記憶領域に正常な製造コマンドの集合を記憶させておく第3ステップと、
前記実際の製造コマンドを今回受信した際に、前記第3ステップによって前記正常コマンド記憶領域に記憶された前記正常な製造コマンドの集合の中から、前記今回受信した前記実際の製造コマンドに含まれているコマンド宛先と同一のコマンド宛先を有する要素を正常コマンド群として抽出する第4ステップと、
前記実コマンド記憶領域に記憶された前記実際の製造コマンドの集合の中から、前記今回受信した前記実際の製造コマンドに含まれているコマンド宛先と同一のコマンド宛先を有する要素を実コマンド群として抽出する第5ステップと、
前記第4ステップによって抽出された前記正常コマンド群および前記第5ステップによって抽出された前記実コマンド群を前記到達順ごとに比較する第1検知処理を実行することで攻撃・異常を検知する第6ステップと
を有する攻撃・異常検知方法。 - 前記第3ステップにおいて、前記正常コマンド記憶領域に前記正常な製造コマンドの集合として記憶されたそれぞれの正常な製造コマンドは、到達予測時間をさらに含んで構成されており、
前記第3ステップによって前記正常コマンド記憶領域に記憶された前記正常な製造コマンドの集合の中から、次に到達すべき実際の製造コマンドに相当する正常なコマンドを対応する到達予想時間とともに抽出する第7ステップと、
前記次に到達すべき実際の製造コマンドが、前記対応する到達予想時間を経過しても受信できない場合には、実際の正常コマンドの受信異常が発生したことを検知する第8ステップと
をさらに有する
請求項6に記載の攻撃・異常検知方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2017/002478 WO2018138793A1 (ja) | 2017-01-25 | 2017-01-25 | 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2018138793A1 JPWO2018138793A1 (ja) | 2019-06-27 |
JP6541903B2 true JP6541903B2 (ja) | 2019-07-10 |
Family
ID=62977954
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018563982A Active JP6541903B2 (ja) | 2017-01-25 | 2017-01-25 | 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム |
Country Status (7)
Country | Link |
---|---|
US (1) | US11467565B2 (ja) |
JP (1) | JP6541903B2 (ja) |
KR (1) | KR102115734B1 (ja) |
CN (1) | CN110192196B (ja) |
DE (1) | DE112017006528T5 (ja) |
TW (1) | TWI632442B (ja) |
WO (1) | WO2018138793A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3860079B1 (en) * | 2020-01-31 | 2024-01-24 | Deutsche Telekom AG | Method and system for a secure and valid configuration of network elements |
CN115485715B (zh) * | 2020-10-13 | 2024-06-18 | 三菱电机株式会社 | 模型生成装置、异常判定装置、异常判定***、模型生成方法及计算机可读取记录介质 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2790844B1 (fr) * | 1999-03-09 | 2001-05-25 | Gemplus Card Int | Procede et dispositif de surveillance du deroulement d'un programme, dispositif programme permettant la surveillance de son programme |
US8036872B2 (en) * | 2006-03-10 | 2011-10-11 | Edsa Micro Corporation | Systems and methods for performing automatic real-time harmonics analyses for use in real-time power analytics of an electrical power distribution system |
US9557723B2 (en) * | 2006-07-19 | 2017-01-31 | Power Analytics Corporation | Real-time predictive systems for intelligent energy monitoring and management of electrical power networks |
JP2012059032A (ja) | 2010-09-09 | 2012-03-22 | Hitachi Ltd | 生産計画作成方法及びその装置 |
US9659250B2 (en) * | 2011-08-31 | 2017-05-23 | Hitachi Power Solutions Co., Ltd. | Facility state monitoring method and device for same |
CN102624736B (zh) * | 2012-03-20 | 2014-11-12 | 瑞斯康达科技发展股份有限公司 | 一种tl1命令校验方法及装置 |
WO2014090310A1 (en) | 2012-12-13 | 2014-06-19 | Abb Technology Ag | System and method for monitoring and/or diagnosing operation of a production line of an industrial plant |
JP5538597B2 (ja) | 2013-06-19 | 2014-07-02 | 株式会社日立製作所 | 異常検知方法及び異常検知システム |
WO2015116176A1 (en) * | 2014-01-31 | 2015-08-06 | Hewlett-Packard Development Company, L.P. | Device provided script to convert command |
DE102014206683A1 (de) * | 2014-04-07 | 2015-10-08 | Wobben Properties Gmbh | Vorrichtung und Verfahren zum automatisierten Bearbeiten von Werkstücken |
JP6387707B2 (ja) | 2014-07-01 | 2018-09-12 | 富士通株式会社 | 異常検出システム、表示装置、異常検出方法及び異常検出プログラム |
TWI562013B (en) * | 2015-07-06 | 2016-12-11 | Wistron Corp | Method, system and apparatus for predicting abnormality |
JP6076421B2 (ja) * | 2015-07-23 | 2017-02-08 | 株式会社日立パワーソリューションズ | 設備状態監視方法およびその装置 |
JP6176341B2 (ja) * | 2016-01-06 | 2017-08-09 | 横河電機株式会社 | プロセス制御装置及びシステム並びにその健全性判定方法 |
JP6031202B1 (ja) * | 2016-01-29 | 2016-11-24 | ファナック株式会社 | 製造機械の異常の原因を発見するセル制御装置 |
-
2017
- 2017-01-25 KR KR1020197020833A patent/KR102115734B1/ko active IP Right Grant
- 2017-01-25 JP JP2018563982A patent/JP6541903B2/ja active Active
- 2017-01-25 US US16/466,188 patent/US11467565B2/en active Active
- 2017-01-25 CN CN201780083750.1A patent/CN110192196B/zh active Active
- 2017-01-25 WO PCT/JP2017/002478 patent/WO2018138793A1/ja active Application Filing
- 2017-01-25 DE DE112017006528.3T patent/DE112017006528T5/de active Pending
- 2017-04-25 TW TW106113724A patent/TWI632442B/zh active
Also Published As
Publication number | Publication date |
---|---|
KR102115734B1 (ko) | 2020-05-27 |
WO2018138793A1 (ja) | 2018-08-02 |
TW201827963A (zh) | 2018-08-01 |
JPWO2018138793A1 (ja) | 2019-06-27 |
US11467565B2 (en) | 2022-10-11 |
TWI632442B (zh) | 2018-08-11 |
KR20190090028A (ko) | 2019-07-31 |
DE112017006528T5 (de) | 2019-09-26 |
CN110192196A (zh) | 2019-08-30 |
US20200073369A1 (en) | 2020-03-05 |
CN110192196B (zh) | 2023-06-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102271449B1 (ko) | 인공지능 모델 플랫폼 및 인공지능 모델 플랫폼 운영 방법 | |
JP6919569B2 (ja) | ログ分析システム、方法、及び記録媒体 | |
CN107408181B (zh) | 恶意软件感染终端的检测装置、恶意软件感染终端的检测***、恶意软件感染终端的检测方法以及记录介质 | |
JP6528448B2 (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
US20130212681A1 (en) | Security Monitoring System and Security Monitoring Method | |
JP6058246B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
JP7311350B2 (ja) | 監視装置、監視方法、および監視プログラム | |
JP6491356B2 (ja) | 分類方法、分類装置および分類プログラム | |
JP6280862B2 (ja) | イベント分析システムおよび方法 | |
US10262122B2 (en) | Analysis apparatus, analysis system, analysis method, and analysis program | |
US10459730B2 (en) | Analysis system and analysis method for executing analysis process with at least portions of time series data and analysis data as input data | |
CN109981326B (zh) | 家庭宽带感知故障定位的方法及装置 | |
JP2019110513A (ja) | 異常検知方法、学習方法、異常検知装置、および、学習装置 | |
KR20210063049A (ko) | 산업 제어 시스템을 위한 위험도 산출 방법 및 이를 위한 장치 | |
CN111813845A (zh) | 基于etl任务的增量数据抽取方法、装置、设备及介质 | |
US11570187B1 (en) | Detection of cyberattacks and operational issues of internet of things devices | |
JP6541903B2 (ja) | 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム | |
JP2008158889A (ja) | トラブル要因検出プログラム、トラブル要因検出方法およびトラブル要因検出装置 | |
CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
JP7298701B2 (ja) | 分析システム、方法およびプログラム | |
JP2017211806A (ja) | 通信の監視方法、セキュリティ管理システム及びプログラム | |
CN113553370A (zh) | 异常检测方法、装置、电子设备及可读存储介质 | |
US20210092159A1 (en) | System for the prioritization and dynamic presentation of digital content | |
KR102081492B1 (ko) | 사이버 위협 정보에 대한 통합 표현 규격 데이터 생성 방법 및 장치 | |
JP7140268B2 (ja) | 警告装置、制御方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190205 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20190205 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190307 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190514 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190611 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6541903 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |