KR102115734B1 - 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램 - Google Patents

공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램 Download PDF

Info

Publication number
KR102115734B1
KR102115734B1 KR1020197020833A KR20197020833A KR102115734B1 KR 102115734 B1 KR102115734 B1 KR 102115734B1 KR 1020197020833 A KR1020197020833 A KR 1020197020833A KR 20197020833 A KR20197020833 A KR 20197020833A KR 102115734 B1 KR102115734 B1 KR 102115734B1
Authority
KR
South Korea
Prior art keywords
command
actual
normal
manufacturing
destination
Prior art date
Application number
KR1020197020833A
Other languages
English (en)
Other versions
KR20190090028A (ko
Inventor
마사시 다테도코
츠요시 히구치
기요토 가와우치
다케시 요네다
Original Assignee
미쓰비시덴키 가부시키가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 미쓰비시덴키 가부시키가이샤 filed Critical 미쓰비시덴키 가부시키가이샤
Publication of KR20190090028A publication Critical patent/KR20190090028A/ko
Application granted granted Critical
Publication of KR102115734B1 publication Critical patent/KR102115734B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4184Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/41885Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by modeling, simulation of the manufacturing system

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Manufacturing & Machinery (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Computer And Data Communications (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명과 관련되는 공격ㆍ이상 검지 장치는, 커맨드 기억 영역에 기억된, 커맨드 목적지 및 도달 순서의 정보를 포함하는 정상의 제조 커맨드의 집합과 실제의 제조 커맨드의 집합의 각각 중에서, 새롭게 수신한 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 추출하는 커맨드 추출부와, 추출한 양 요소의 도착 순서마다 커맨드 내용을 비교함으로써, 공격ㆍ이상을 검지하는 검지부를 구비한다.

Description

공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램
본 발명은, 공장ㆍ플랜트 등의 제어에 관련되는 명령(이하, 제조 커맨드라고 칭함)에 대한 사이버 공격이나 고장 등의 이상에 의한 부정한 개찬ㆍ삽입, 파기를 검지하는 기술에 관한 것이다.
제조 커맨드에 포함되는 제조 대상 제품을 식별하기 위한 제품 ID를 이용하여, 제조 공정의 이상을 검지하는 방법이 개시되어 있다(예컨대, 특허문헌 1 참조).
또한, 공장ㆍ플랜트 등의 정상적인 가동 상황을 시뮬레이션에 의해 취득하여 두고, 실제의 공장ㆍ플랜트 등의 가동 상황과, 사전에 취득하여 둔 시뮬레이션 결과를 비교함으로써, 이상을 검지하는 방법이 개시되어 있다(예컨대, 특허문헌 2 참조).
특허문헌 1 : 일본 특허 공개 2016-014992호 공보 특허문헌 2 : 일본 특허 공개 2013-218725호 공보
그렇지만, 종래 기술에는, 이하와 같은 과제가 있다.
특허문헌 1, 2와 관련되는 종래 방법은, 정상의 제조 커맨드의 흐름을 시뮬레이션에 의해 취득하여, 제조 커맨드의 시계열 순서를 정상 커맨드군으로서 기억하여 둔다. 또한, 종래 방법은, 실제의 공장ㆍ플랜트 등에 있어서의 제조 커맨드의 시계열 순서도, 마찬가지로 실제 커맨드군으로서 기억하여 둔다.
그리고, 종래 방법은, 실제의 공장ㆍ플랜트 등에서 새로운 제조 커맨드가 발생한 시점에, 정상 커맨드군과 실제 커맨드군으로부터, 새로운 제조 커맨드의 제품 ID를 갖는 것만을 추출하여, 추출 결과를 비교함으로써, 제조 커맨드의 공격ㆍ이상을 검지하는 것이 가능했다. 그렇지만, 종래 방법은, 제품 ID를 포함하지 않는 제조 커맨드가 있는 경우에는, 검지가 곤란했다.
본 발명은, 상기와 같은 과제를 해결하기 위해 이루어진 것이고, 제품 ID를 포함하지 않는 제조 커맨드가 있는 경우에도, 사이버 공격이나 고장 등의 이상에 의한 부정한 개찬ㆍ삽입, 파기를 검지할 수 있는 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램을 얻는 것을 목적으로 한다.
본 발명과 관련되는 공격ㆍ이상 검지 장치는, 기억부와, 커맨드 추출부와, 검지부를 구비하고, 실제 공장에 있어서의 제조 커맨드에 포함되는 공격ㆍ이상을 검지하는 공격ㆍ이상 검지 장치로서, 기억부는, 정상의 제조 커맨드의 집합이 기억된 정상 커맨드 기억 영역과, 실제 공장으로부터 송신되는 실제의 제조 커맨드의 집합이 기억된 실제 커맨드 기억 영역을 갖고, 커맨드 추출부는, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터를 포함하여 구성된 실제의 제조 커맨드를 실제 공장으로부터 수신하고, 커맨드 목적지가 동일한 실제의 제조 커맨드에 관하여 수신한 순으로 도달 순서의 번호를 부여하여 실제의 제조 커맨드의 집합의 하나의 요소로서 실제 커맨드 기억 영역에 기억시키고, 실제의 제조 커맨드를 이번에 수신했을 때에, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서를 포함한 구성으로서 정상 커맨드 기억 영역에 기억된 정상의 제조 커맨드의 집합 중에서, 이번에 수신한 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 정상 커맨드군으로서 추출하고, 실제 커맨드 기억 영역에 기억된 실제의 제조 커맨드의 집합 중에서, 이번에 수신한 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 실제 커맨드군으로서 추출하고, 검지부는, 커맨드 추출부에 의해 추출된 정상 커맨드군 및 실제 커맨드군을 도달 순서마다 비교하는 제 1 검지 처리를 실행함으로써 공격ㆍ이상을 검지하는 것이다.
또한, 본 발명과 관련되는 공격ㆍ이상 검지 방법은, 실제 공장에 있어서의 제조 커맨드에 포함되는 공격ㆍ이상을 검지하는 공격ㆍ이상 검지 장치에 의해 실행되는 공격ㆍ이상 검지 방법으로서, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터를 포함하여 구성된 실제의 제조 커맨드를 실제 공장으로부터 수신하는 제 1 스텝과, 커맨드 목적지가 동일한 실제의 제조 커맨드에 관하여, 수신한 순으로 도달 순서의 번호를 부여하여 실제의 제조 커맨드의 집합의 하나의 요소로서 실제 커맨드 기억 영역에 기억시키는 제 2 스텝과, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서를 포함한 구성으로서 정상 커맨드 기억 영역에 정상의 제조 커맨드의 집합을 기억시켜 두는 제 3 스텝과, 실제의 제조 커맨드를 이번에 수신했을 때에, 제 3 스텝에 의해 정상 커맨드 기억 영역에 기억된 정상의 제조 커맨드의 집합 중에서, 이번에 수신한 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 정상 커맨드군으로서 추출하는 제 4 스텝과, 실제 커맨드 기억 영역에 기억된 실제의 제조 커맨드의 집합 중에서, 이번에 수신한 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 실제 커맨드군으로서 추출하는 제 5 스텝과, 제 4 스텝에 의해 추출된 정상 커맨드군 및 제 5 스텝에 의해 추출된 실제 커맨드군을 도달 순서마다 비교하는 제 1 검지 처리를 실행함으로써 공격ㆍ이상을 검지하는 제 6 스텝을 갖는 것이다.
또한, 본 발명과 관련되는 공격ㆍ이상 검지 프로그램은, 공격ㆍ이상 검지 장치에 구비된 커맨드 추출부, 및 검지부로서 기능시키기 위한 것이다.
본 발명에 따르면, 커맨드 기억 영역에 기억된, 커맨드 목적지 및 도달 순서의 정보를 포함하는 정상의 제조 커맨드의 집합과 실제의 제조 커맨드의 집합의 각각 중에서, 새롭게 수신한 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 추출하는 구성과, 추출한 양 요소의 도착 순서마다 커맨드 내용을 비교함으로써, 공격ㆍ이상을 검지하는 구성을 구비하고 있다. 이 결과, 제품 ID를 포함하지 않는 제조 커맨드가 있는 경우에도, 사이버 공격이나 고장 등의 이상에 의한 부정한 개찬ㆍ삽입, 파기를 검지할 수 있는 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램을 얻는다.
도 1은 본 발명의 실시의 형태 1에 있어서의 검지 서버의 구성도이다.
도 2는 본 발명의 실시의 형태 1에 있어서의 검지 서버, 공장 시뮬레이터, 및 실제 공장의 접속 구성을 나타낸 도면이다.
도 3은 본 발명의 실시의 형태 1에 있어서의 검지 서버, 공장 시뮬레이터, 및 실제 공장 감시 장치의 하드웨어 구성의 예를 나타내는 도면이다.
도 4는 본 발명의 실시의 형태 1에 있어서의 검지 서버에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다.
도 5는 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역의 구체적인 예로서, 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 6은 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 5에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 7은 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 6에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 8은 본 발명의 실시의 형태 2에 있어서의 검지 서버의 구성도이다.
도 9는 본 발명의 실시의 형태 2에 있어서의 검지 서버에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다.
도 10은 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역의 구체적인 예로서, 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 11은 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 10에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 12는 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 11에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 13은 본 발명의 실시의 형태 3에 있어서의 검지 서버의 구성도이다.
도 14는 본 발명의 실시의 형태 3에 있어서의 검지 서버에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다.
도 15는 본 발명의 실시의 형태 3에 있어서의 커맨드 기억 영역의 구체적인 예로서, 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 16은 본 발명의 실시의 형태 3에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 15에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
이하, 본 발명의 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램의 적합한 실시의 형태에 대하여 도면을 이용하여 설명한다.
본 발명은, 제조 커맨드의 목적지가 되는 생산 설비 등으로의 제조 커맨드 발행 순서가, 다품종 소량 생산의 공장ㆍ플랜트 등뿐만 아니라, 소품종 대량 생산이 요구되는 매스 커스텀 생산에 있어서도, 제조 커맨드의 목적지 단위로 보증되는 것에 주목하고 있다. 그리고, 이 주목에 근거하여, 정상 커맨드군과 실제 커맨드군의 비교 때에, 공장ㆍ플랜트 등에서 새롭게 발생한 제조 커맨드의 목적지와 동일한 목적지를 갖는 제조 커맨드만을 추출하여 비교함으로써, 종래 기술의 과제를 해결하는 것을 기술적 특징으로 하고 있다.
이하의 각 실시의 형태에서는, 정상의 제조 커맨드의 흐름을 시뮬레이션하는 컴퓨터(이하, 시뮬레이션 장치라고 칭함)로부터 취득한 정상의 제조 커맨드와, 실제의 공장ㆍ플랜트 등(이하, 실제 공장이라고 칭함)으로부터 얻어지는 실제의 제조 커맨드의 흐름을 비교함으로써, 공격ㆍ이상을 검지 가능한 공격ㆍ이상 검지 장치 등을 설명한다. 또, 각 실시의 형태의 플로차트에 나타내는 수순에 의해, 본 발명과 관련되는 정보 처리 방법을 실현 가능하다.
실시의 형태 1.
도 1은 본 발명의 실시의 형태 1에 있어서의 검지 서버(101)의 구성도이다. 검지 서버(101)는, 공격ㆍ이상 검지 장치의 구체적인 예에 상당한다.
검지 서버(101)는, 목적지별 커맨드 추출부(102), 공격ㆍ이상 검지부(103), 및 커맨드 기억 영역(110)으로 구성된다. 또한, 커맨드 기억 영역(110)은, 정상 커맨드 기억 영역(120) 및 실제 커맨드 기억 영역(130)으로 구성된다. 그리고, 커맨드 기억 영역(110)은, 검지 서버(101)가 유지하는 정보를 저장한다.
정상 커맨드 기억 영역(120)에는, 예컨대, 도 1에 나타내는 정보가 기억되어 있다. 즉, 본 실시의 형태 1에 있어서의 정상 커맨드 기억 영역(120)은, 커맨드 목적지(121), 커맨드 이름(122), 커맨드 파라미터(123), 도달 순서(124)로 구성된다.
실제 커맨드 기억 영역(130)에는, 예컨대, 도 1에 나타내는 정보가 기억되어 있다. 즉, 본 실시의 형태 1에 있어서의 실제 커맨드 기억 영역(130)은, 커맨드 목적지(131), 커맨드 이름(132), 커맨드 파라미터(133), 도달 순서(134)로 구성된다.
공장 시뮬레이터(151)는, 시뮬레이션 장치의 예에 상당한다. 실제 공장(152)은, 실제 공장의 예에 상당한다.
도 2는 본 발명의 실시의 형태 1에 있어서의 검지 서버(101), 공장 시뮬레이터(151), 및 실제 공장(152)의 접속 구성을 나타낸 도면이다. 공장 시뮬레이터(151)는, 시뮬레이션을 실현하고, 결과를 송신하는 공장 시뮬레이터(210)를 구비한다. 공장 시뮬레이터(210)는, 커맨드 송신부(211) 및 공장 시뮬레이션부(212)로 구성된다.
실제 공장(152)은, 공장 내의 제조 커맨드를 감시하고, 결과를 송신하는 실제 공장 감시 장치(220)를 구비한다. 실제 공장 감시 장치(220)는, 커맨드 송신부(221) 및 커맨드 감시부(222)로 구성된다.
또, 검지 서버(101)는, 복수의 공장 시뮬레이터(151) 및 복수의 실제 공장(152)이 접속되는 구성이더라도 상관없다. 또한, 검지 서버(101)에 접속되어 있는 공장 시뮬레이터(151)는, 복수의 공장 시뮬레이터(151)가 복수 계층으로 이루어지는 네트워크 구성이더라도 좋고, 마찬가지로, 실제 공장(152)도, 복수의 실제 공장(152)이 복수 계층으로 이루어지는 네트워크 구성이더라도 좋다.
상술한 검지 서버(101), 공장 시뮬레이터(210), 및 실제 공장 감시 장치(220)는, 컴퓨터이고, 데이터 관리 장치의 각 구성 요소는, 프로그램에 의해 처리를 실행할 수 있다. 또한, 프로그램을 기억 매체에 기억시키고, 기억 매체로부터 컴퓨터에 판독되도록 할 수 있다.
도 3은 본 발명의 실시의 형태 1에 있어서의 검지 서버(101), 공장 시뮬레이터(210), 및 실제 공장 감시 장치(220)의 하드웨어 구성의 예를 나타내는 도면이다. 도 3에 있어서는, 연산 장치(301), 외부 기억 장치(302), 주 기억 장치(303), 통신 장치(304)가, 버스(305)에 의해 서로 접속되어 있다.
연산 장치(301)는, 프로그램을 실행하는 CPU(Central Processing Unit)이다. 외부 기억 장치(302)는, 예컨대, ROM(Read Only Memory)이나 하드디스크이다.
주 기억 장치(303)는, 통상, RAM(Random Access Memory)이다. 통신 장치(304)는, 통상, 이더넷(등록상표)에 대응한 통신 카드이다.
프로그램은, 통상은, 외부 기억 장치(302)에 기억되어 있고, 주 기억 장치(303)에 로드된 상태에서, 순차적으로, 연산 장치(301)에 읽혀, 처리가 실행된다. 구체적인 프로그램은, 도 1에 있어서 목적지별 커맨드 추출부(102) 및 공격ㆍ이상 검지부(103)로서 설명되어 있는 기능을 실현하는 프로그램에 상당한다.
또한, 도 1에 나타내는 커맨드 기억 영역(110)은, 예컨대, 외부 기억 장치(302)에 의해 실현된다.
또한, 외부 기억 장치(302)에는, 오퍼레이팅 시스템(OS)도 기억되어 있다. 그리고, OS의 적어도 일부가, 주 기억 장치(303)에 로드되고, 연산 장치(301)는, OS를 실행하면서, 도 1에 나타내는 목적지별 커맨드 추출부(102) 및 공격ㆍ이상 검지부(103)의 기능을 실현하는 프로그램을 실행한다.
또한, 본 실시의 형태 1의 설명에 있어서, 처리의 결과를 나타내는 정보, 데이터, 신호치, 변수치의 각각은, 주 기억 장치(303)에 파일로서 기억되어 있다.
또, 도 3의 구성은, 어디까지나 검지 서버(101), 공장 시뮬레이터(210), 및 실제 공장 감시 장치(220)의 하드웨어 구성의 일례를 나타내는 것이고, 도 3에 기재된 구성에 한하지 않고, 다른 구성이더라도 좋다. 예컨대, 표시 디스플레이 등의 출력 장치나, 마우스ㆍ키보드라고 하는 입력 장치가, 버스(305)에 더 접속된 하드웨어 구성이더라도 좋다.
이하, 도 1에 근거하여, 본 실시의 형태 1에 있어서의 검지 서버(101)의 동작을 설명한다. 또, 각 동작의 상세에 대해서는, 도 4에 나타낸 플로차트에 근거하여, 후술한다.
목적지별 커맨드 추출부(102)는, 공장 시뮬레이터(151)로부터 송신된 제조 커맨드를 수신한다. 그리고, 목적지별 커맨드 추출부(102)는, 수신한 제조 커맨드로부터, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터를 추출하고, 커맨드 목적지마다의 도달 순서를 부여한다. 그 후, 목적지별 커맨드 추출부(102)는, 정상 커맨드 기억 영역(120)에, 커맨드 목적지(121), 커맨드 이름(122), 커맨드 파라미터(123), 도달 순서(124)를 기억시킨다.
또한, 목적지별 커맨드 추출부(102)는, 실제 공장(152)으로부터 송신된 커맨드를 수신한다. 그리고, 목적지별 커맨드 추출부(102)는, 수신한 커맨드로부터, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터를 추출하고, 커맨드 목적지마다의 도달 순서를 부여한다. 그 후, 목적지별 커맨드 추출부(102)는, 실제 커맨드 기억 영역(130)에, 커맨드 목적지(131), 커맨드 이름(132), 커맨드 파라미터(133), 도달 순서(134)를 기억시킨다.
공격ㆍ이상 검지부(103)는, 정상 커맨드 기억 영역(120) 및 실제 커맨드 기억 영역(130)으로부터, 목적지별 커맨드 추출부(102)가 수신한 실제 공장(152)의 제조 커맨드의 커맨드 목적지와 동일한 커맨드 목적지를 갖는 제조 커맨드를 취득한다.
또한, 공격ㆍ이상 검지부(103)는, 실제 커맨드 기억 영역(130)으로부터 취득한 제조 커맨드군이, 정상 커맨드 기억 영역(120)으로부터 취득한 제조 커맨드군의 부분 집합으로 되어 있는 경우에는, 정상으로 판정하고, 그 이외의 경우에는, 이상으로 판정한다.
판정 결과는, 실제 커맨드 기억 영역(130)에 기억되는 구성이더라도 좋고, 혹은, 별도의 장치에 송신되는 구성 등으로, 통지되도록 되어 있더라도 상관없다.
다음으로, 본 실시의 형태 1에서 이용하는 데이터 구조에 대하여 설명한다.
도 1의 정상 커맨드 기억 영역(120)은, 정상 커맨드의 저장 형식의 일례를 나타내는 도면이다. 커맨드 목적지(121)는, 제조 커맨드의 목적지를 식별하기 위한 고유한 식별자이다. 커맨드 이름(122)은, 제조 커맨드의 종류를 식별하기 위한 고유한 식별자이다. 커맨드 파라미터(123)는, 제조 커맨드의 실행에 필요한 수치, 문자열, 바이너리 등의 파라미터를, 1개 또는 복수 기억하기 위한 영역이다.
도달 순서(124)는, 제조 커맨드의 목적지별로 도달한 순서를 기억하기 위한 영역이다. 또, 제조 커맨드에 대하여 시각과 같은 순서를 식별 가능한 정보가 부여되어 있는 경우에는, 도달 순서(124) 대신에 그 정보를 이용하더라도 좋다.
도 1의 실제 커맨드 기억 영역(130)은, 실제 커맨드의 저장 형식의 일례를 나타내는 도면이다. 커맨드 목적지(131)는, 제조 커맨드의 목적지를 식별하기 위한 고유한 식별자이다. 커맨드 이름(132)은, 제조 커맨드의 종류를 식별하기 위한 고유한 식별자이다. 커맨드 파라미터(133)는, 제조 커맨드의 실행에 필요한 수치, 문자열, 바이너리 등의 파라미터를, 1개 또는 복수 기억하기 위한 영역이다.
도달 순서(134)는, 제조 커맨드의 목적지별로 도달한 순서를 기억하기 위한 영역이다. 또, 제조 커맨드에 대하여 시각과 같은 순서를 식별 가능한 정보가 부여되어 있는 경우에는, 도달 순서(134) 대신에 그 정보를 이용하더라도 좋다. 또한, 제조 커맨드의 정상, 공격ㆍ이상의 판정 결과를 기억하는 영역이 추가되더라도 좋다.
도 4는 본 발명의 실시의 형태 1에 있어서의 검지 서버(101)에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다. 이하, 이 도 4에 나타내는 플로차트에 근거하여, 검지 서버(101) 내의 목적지별 커맨드 추출부(102) 및 공격ㆍ이상 검지부(103)에 의한 공격ㆍ이상 검지 처리에 대하여 설명한다.
또, 도 4의 일련 처리에 있어서는, 실제 공장(152)의 동작이 정상인 경우에는, 반드시 동일한 커맨드 목적지 및 도달 순서를 갖는 공장 시뮬레이터(151)로부터의 제조 커맨드가, 실제 공장(152)으로부터의 제조 커맨드보다 먼저 도달하고, 정상 커맨드 기억 영역(120)에 먼저 기억되는 것으로 한다.
스텝 S101에 있어서, 목적지별 커맨드 추출부(102)는, 공장 시뮬레이터(151) 또는 실제 공장(152)으로부터, 제조 커맨드를 수신한다.
다음으로, 스텝 S102에 있어서, 목적지별 커맨드 추출부(102)는, 수신한 제조 커맨드의 송신원을 해석한다. 그리고, 목적지별 커맨드 추출부(102)는, 제조 커맨드의 송신원이 실제 공장(152)인 경우에는, 스텝 S103으로 진행하고, 제조 커맨드의 송신원이 공장 시뮬레이터(151)인 경우에는, 스텝 S104로 진행한다.
스텝 S103으로 진행한 경우에는, 목적지별 커맨드 추출부(102)는, 제조 커맨드의 목적지의 도달 순으로 번호를 부여하고, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서를, 실제 커맨드 기억 영역(130)에 추가한다. 그 후, 스텝 S105로 진행한다.
한편, 스텝 S104로 진행한 경우에는, 목적지별 커맨드 추출부(102)는, 제조 커맨드의 목적지의 도달 순으로 번호를 부여하고, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서를, 정상 커맨드 기억 영역(120)에 추가한다.
스텝 S103으로부터 스텝 S105로 진행한 경우에는, 공격ㆍ이상 검지부(103)는, 정상 커맨드 기억 영역(120) 및 실제 커맨드 기억 영역(130)으로부터, 앞의 스텝 S101에서 수신한 실제 공장(152)으로부터의 제조 커맨드와 동일한 목적지를 갖는 제조 커맨드군인 정상 커맨드군 및 실제 커맨드군을 취득한다.
다음으로, 스텝 S106에 있어서, 공격ㆍ이상 검지부(103)는, 스텝 S105에서 취득한 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(103)는, 정상 커맨드군과 실제 커맨드군에서 제조 커맨드의 순서가 일치하는 경우에는, 정상으로 판정하고, 스텝 S107로 진행한다. 한편, 공격ㆍ이상 검지부(103)는, 정상 커맨드군과 실제 커맨드군에서 제조 커맨드의 순서가 일치하지 않는 경우에는, 공격ㆍ이상으로 판정하고, 스텝 S108로 진행한다.
여기서, "제조 커맨드의 순서가 일치한다"란, 정상 커맨드군과 실제 커맨드군 중 도달 순서가 동일한 제조 커맨드에 대하여, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터가 일치하는 것이다.
이때, 공격ㆍ이상 검지부(103)는, 정상 커맨드군의 도달 순서에는 존재하지만, 실제 커맨드군의 도달 순서에는 존재하지 않는 제조 커맨드가 있었을 경우에도, 제조 커맨드의 순서가 일치하는 경우에는, 정상으로 판정한다.
한편, 공격ㆍ이상 검지부(103)는, 실제 커맨드군의 도달 순서에는 존재하지만, 정상 커맨드군의 도달 순서에는 존재하지 않는 제조 커맨드가 있었을 경우에는, 제조 커맨드의 순서가 일치하고 있더라도 공격ㆍ이상으로 판정한다.
본 실시의 형태 1에 있어서의 공격ㆍ이상 검지의 동작 처리에 대하여, 도 5, 도 6, 도 7의 커맨드 기억 영역의 예를 이용하여, 구체적으로 설명한다.
도 5는 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역(110)의 구체적인 예로서, 커맨드 기억 영역(510)이 기억되어 있는 상태를 나타낸 도면이다. 우선, 도 5에 나타내는 커맨드 기억 영역(510)에 대한 공격ㆍ이상 검지의 동작 처리의 예에 대하여 설명한다.
정상 커맨드 기억 영역(520)에는, 목적지별 커맨드 추출부(102)가, 공장 시뮬레이터(151)로부터 송신된 제조 커맨드를 해석하여, 커맨드 목적지(521), 커맨드 이름(522), 커맨드 파라미터(523)를 추출하고, 도달 순서(524)를 부여한 결과가 축적되어 있는 것으로 한다.
한편, 실제 커맨드 기억 영역(530)에는, 목적지별 커맨드 추출부(102)가, 실제 공장(152)으로부터 송신된 제조 커맨드를 해석하여, 커맨드 목적지(531), 커맨드 이름(532), 커맨드 파라미터(533)를 추출하고, 도달 순서(534)를 부여한 결과가 축적되어 있는 것으로 한다.
여기서, 정상 커맨드 기억 영역(520)에는, 4개의 제조 커맨드가 축적되어 있고, 실제 커맨드 기억 영역(530)에는, 2개의 제조 커맨드가 축적되어 있고, 정상의 상태인 예에 근거하여, 동작을 설명한다.
도 6은 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역(110)의 구체적인 예로서, 도 5에 나타내는 커맨드 기억 영역(510)의 예의 상태에서, 실제 공장(152)으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역(610)이 기억되어 있는 상태를 나타낸 도면이다.
보다 구체적으로는, 커맨드 기억 영역(610)의 예는, 도 5에 나타내는 커맨드 기억 영역(510)의 예의 상태에서, 목적지별 커맨드 추출부(102)가, 실제 공장(152)으로부터 새롭게 1개의 제조 커맨드 "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=80, B=15, …, 도달 순서=1)"을 수신하고, 실제 커맨드 기억 영역(630)에 축적한 상태에 상당한다.
여기서, 공격ㆍ이상 검지부(103)는, 전술한 새로운 제조 커맨드로부터, 커맨드 목적지=설비 2가 되는 정상 커맨드군을 정상 커맨드 기억 영역(620)으로부터 취득하고, 커맨드 목적지=설비 2가 되는 실제 커맨드군을 실제 커맨드 기억 영역(630)으로부터 취득한다.
이 결과로서, 공격ㆍ이상 검지부(103)는, 정상 커맨드군으로서 "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=80, B=15, …, 도달 순서=1)", 실제 커맨드군으로서 "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=80, B=15, …, 도달 순서=1)"을 얻는다.
이때, 공격ㆍ이상 검지부(103)는, 얻어진 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(103)는, 비교 결과로서, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서가 모두 일치하기 때문에, 제조 커맨드의 순서가 일치하고 있다고 해석하고, 정상으로 판정한다.
다음으로, 도 7은 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역(110)의 구체적인 예로서, 도 6에 나타내는 커맨드 기억 영역(610)의 예의 상태에서, 실제 공장(152)으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역(710)이 기억되어 있는 상태를 나타낸 도면이다.
보다 구체적으로는, 커맨드 기억 영역(710)의 예는, 도 6에 나타내는 커맨드 기억 영역(610)의 예의 상태에서, 목적지별 커맨드 추출부(102)가, 실제 공장(152)으로부터 새롭게 1개의 제조 커맨드 "(커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=0, B=50, …, 도달 순서=3)"을 수신하고, 실제 커맨드 기억 영역(730)에 축적한 상태에 상당한다.
여기서, 공격ㆍ이상 검지부(103)는, 전술한 새로운 제조 커맨드로부터, 커맨드 목적지=설비 1이 되는 정상 커맨드군을 정상 커맨드 기억 영역(720)으로부터 취득하고, 커맨드 목적지=설비 1이 되는 실제 커맨드군을 실제 커맨드 기억 영역(730)으로부터 취득한다.
이 결과로서, 공격ㆍ이상 검지부(103)는, 정상 커맨드군으로서 "(커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=100, B=20, …, 도달 순서=1), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=100, D=0, …, 도달 순서=2), (커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=3)"을 얻는다.
마찬가지로 하여, 공격ㆍ이상 검지부(103)는, 실제 커맨드군으로서 "(커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=100, B=20, …, 도달 순서=1), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=100, D=0, …, 도달 순서=2), (커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=0, B=50, …, 도달 순서=3)"을 얻는다.
이때, 공격ㆍ이상 검지부(103)는, 얻어진 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(103)는, 비교 결과로서, 도달 순서 1, 2의 제조 커맨드에 대해서는, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서가 모두 일치하지만, 도달 순서 3의 제조 커맨드에 대해서는, 커맨드 파라미터가 일치하지 않기 때문에, 제조 커맨드의 순서가 일치하고 있지 않다고 해석하고, 공격ㆍ이상으로 판정한다.
이와 같이, 본 실시의 형태 1에서는, 검지 서버(101)가 관리하는 커맨드 기억 영역(110) 내의 정상 커맨드 기억 영역(120) 및 실제 커맨드 기억 영역(130)에, 목적지별 커맨드 추출부(102)가 추출한 제조 커맨드를 축적하고, 또한, 공격ㆍ이상 검지부(103)가 실제 공장(152)으로부터 새롭게 수신한 제조 커맨드에 관하여, 정상 커맨드군 및 실제 커맨드군을 추출하고, 양자의 순서를 비교함으로써, 공격ㆍ이상을 검지하는 처리 구성을 구비하고 있다.
종래에는, 제품 ID에 근거하여, 정상 커맨드군 및 실제 커맨드군을 관리하지 않으면 안 되어, 제품 ID가 부여되어 있지 않은 제조 커맨드를 취급하는 것이 곤란했다. 이것에 비하여, 본 실시의 형태 1에 의한 처리 구성을 이용하는 것에 의해, 제품 ID가 부여되어 있지 않은 제조 커맨드가 있었다고 하더라도, 반드시 부여되는 제조 커맨드의 목적지를 이용함으로써, 실제 공장의 제조 커맨드에 대한 공격ㆍ이상을 검지할 수 있다고 하는 현저한 효과를 얻을 수 있다.
실시의 형태 2.
본 실시의 형태 2에서는, 제조 커맨드의 목적지에 더하여, 제품 ID 등의 추가 정보를 이용하여, 특정한 목적지의 제조 커맨드가 파기되는 공격ㆍ이상을 검지 가능한 검지 서버를 실현하는 경우에 대하여 설명한다.
도 8은 본 발명의 실시의 형태 2에 있어서의 검지 서버(801)의 구성도이다. 검지 서버(801)는, 공격ㆍ이상 검지 장치의 구체적인 예에 상당한다.
검지 서버(801)는, 도 1의 검지 서버(101)와 비교하여, 정상 커맨드 기억 영역(820) 및 실제 커맨드 기억 영역(830)이 기억하는 데이터 항목에, 제품 ID가 더 추가되어 있는 점이 상이하다. 그래서, 이 차이점을 중심으로, 이하에 설명한다.
여기서, 제품 ID는, 커맨드 목적지 이외에, 제조 커맨드의 적용 대상을 식별할 수 있는 정보의 예이다. 따라서, 커맨드 목적지 이외의, 제조 커맨드의 적용 대상을 식별할 수 있는 정보의 조건에 해당하는 정보이면, 제품 ID 이외의 정보를 추가 정보로서 이용하더라도 상관없다.
도 9는 본 발명의 실시의 형태 2에 있어서의 검지 서버(801)에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다. 이하, 이 도 9에 나타내는 플로차트에 근거하여, 검지 서버(801) 내의 목적지별 커맨드 추출부(802) 및 공격ㆍ이상 검지부(803)에 의한 공격ㆍ이상 검지 처리에 대하여 설명한다.
스텝 S201에 있어서, 목적지별 커맨드 추출부(802)는, 공장 시뮬레이터(851) 또는 실제 공장(852)으로부터, 제조 커맨드를 수신한다.
다음으로, 스텝 S202에 있어서, 목적지별 커맨드 추출부(802)는, 수신한 제조 커맨드의 송신원을 해석한다. 그리고, 목적지별 커맨드 추출부(802)는, 제조 커맨드의 송신원이 실제 공장(852)인 경우에는, 스텝 S203으로 진행하고, 제조 커맨드의 송신원이 공장 시뮬레이터(851)인 경우에는, 스텝 S204로 진행한다.
스텝 S203으로 진행한 경우에는, 목적지별 커맨드 추출부(802)는, 제조 커맨드의 목적지의 도달 순으로 번호를 부여하고, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서, 제품 ID를, 실제 커맨드 기억 영역(830)에 추가한다. 그 후, 스텝 S205로 진행한다.
한편, 스텝 S204로 진행한 경우에는, 목적지별 커맨드 추출부(802)는, 제조 커맨드의 목적지의 도달 순으로 번호를 부여하고, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서, 제품 ID를, 정상 커맨드 기억 영역(820)에 추가한다.
스텝 S203으로부터 스텝 S205로 진행한 경우에는, 공격ㆍ이상 검지부(803)는, 정상 커맨드 기억 영역(820) 및 실제 커맨드 기억 영역(830)으로부터, 앞의 스텝 S201에서 수신한 실제 공장(852)으로부터의 제조 커맨드와 동일한 목적지를 갖는 제조 커맨드군인 정상 커맨드군 및 실제 커맨드군을 취득한다.
다음으로, 스텝 S206에 있어서, 공격ㆍ이상 검지부(803)는, 스텝 S205에서 취득한 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(803)는, 정상 커맨드군과 실제 커맨드군에서 제조 커맨드의 순서가 일치하는 경우에는, 스텝 S207로 진행한다. 한편, 공격ㆍ이상 검지부(803)는, 정상 커맨드군과 실제 커맨드군에서 제조 커맨드의 순서가 일치하지 않는 경우에는, 공격ㆍ이상으로 판정하고, 스텝 S210으로 진행한다.
여기서, "제조 커맨드의 순서가 일치한다"란, 정상 커맨드군과 실제 커맨드군 중 도달 순서가 동일한 제조 커맨드에 대하여, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터가 일치하는 것이다.
이때, 공격ㆍ이상 검지부(803)는, 정상 커맨드군의 제품 ID에는 존재하지만, 실제 커맨드군의 제품 ID에는 존재하지 않는 제조 커맨드가 있었을 경우에도, 제조 커맨드의 순서가 일치하는 경우에는, 정상으로 판정한다.
한편, 공격ㆍ이상 검지부(803)는, 실제 커맨드군의 도달 순서에는 존재하지만, 정상 커맨드군의 도달 순서에는 존재하지 않는 제조 커맨드가 있었을 경우에는, 제조 커맨드의 순서가 일치하고 있더라도, 공격ㆍ이상으로 판정한다.
스텝 S207로 진행한 경우에는, 공격ㆍ이상 검지부(803)는, 정상 커맨드 기억 영역(820) 및 실제 커맨드 기억 영역(830)으로부터, 앞의 스텝 S201에서 수신한 실제 공장(852)으로부터의 제조 커맨드와 동일한 제품 ID를 갖는 제조 커맨드군인 정상 커맨드군 및 실제 커맨드군을 취득한다.
다음으로, 스텝 S208에 있어서, 공격ㆍ이상 검지부(803)는, 스텝 S207에서 취득한 정상 커맨드군과 실제 커맨드군을 비교한다. 공격ㆍ이상 검지부(803)는, 정상 커맨드군과 실제 커맨드군에서 제조 커맨드의 집합이 일치하는 경우에는, 정상으로 판정하고, 스텝 S209로 진행한다. 한편, 공격ㆍ이상 검지부(803)는, 정상 커맨드군과 실제 커맨드군에서 제조 커맨드의 집합이 일치하지 않는 경우에는, 공격ㆍ이상으로 판정하고, 스텝 S210으로 진행한다.
여기서, "제조 커맨드의 집합이 일치한다"란, 정상 커맨드군과 실제 커맨드군 중 제품 ID가 동일한 제조 커맨드에 대하여, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터가 일치하는 것이다.
이때, 공격ㆍ이상 검지부(803)는, 정상 커맨드군의 도달 순서에는 존재하지만, 실제 커맨드군의 도달 순서에는 존재하지 않는 제조 커맨드가 있었을 경우에도, 제조 커맨드의 집합이 일치하는 경우에는, 정상으로 판정한다.
한편, 공격ㆍ이상 검지부(803)는, 실제 커맨드군의 제품 ID에는 존재하지만, 정상 커맨드군의 제품 ID에는 존재하지 않는 제조 커맨드가 있었을 경우에는, 제조 커맨드의 집합이 일치하고 있더라도, 공격ㆍ이상으로 판정한다.
본 실시의 형태 2에 있어서의 공격ㆍ이상 검지의 동작 처리에 대하여, 도 10, 도 11, 도 12의 커맨드 기억 영역의 예를 이용하여, 구체적으로 설명한다.
도 10은 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역(810)의 구체적인 예로서, 커맨드 기억 영역(1010)이 기억되어 있는 상태를 나타낸 도면이다. 우선, 도 10에 나타내는 커맨드 기억 영역(1010)에 대한 공격ㆍ이상 검지의 동작 처리의 예에 대하여 설명한다.
정상 커맨드 기억 영역(1020)에는, 목적지별 커맨드 추출부(802)가, 공장 시뮬레이터(851)로부터 송신된 제조 커맨드를 해석하여, 커맨드 목적지(1021), 커맨드 이름(1022), 커맨드 파라미터(1023), 제품 ID(1025)를 추출하고, 도달 순서(1024)를 부여한 결과가 축적되어 있는 것으로 한다.
한편, 실제 커맨드 기억 영역(1030)에는, 목적지별 커맨드 추출부(802)가, 실제 공장(852)으로부터 송신된 제조 커맨드를 해석하여, 커맨드 목적지(1031), 커맨드 이름(1032), 커맨드 파라미터(1033), 제품 ID(1035)를 추출하고, 도달 순서(1034)를 부여한 결과가 축적되어 있는 것으로 한다.
여기서, 정상 커맨드 기억 영역(1020)에는, 5개의 제조 커맨드가 축적되어 있고, 실제 커맨드 기억 영역(1030)에는, 3개의 제조 커맨드가 축적되어 있고, 정상의 상태인 예에 근거하여, 동작을 설명한다.
도 11은 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역(1010)의 구체적인 예로서, 도 10에 나타내는 커맨드 기억 영역(1010)의 예의 상태에서, 실제 공장(852)으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역(1110)이 기억되어 있는 상태를 나타낸 도면이다.
보다 구체적으로는, 커맨드 기억 영역(1110)의 예는, 도 10에 나타내는 커맨드 기억 영역(1010)의 예의 상태에서, 목적지별 커맨드 추출부(802)가, 실제 공장(852)으로부터 새롭게 1개의 제조 커맨드 "(커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=50, D=0, …, 도달 순서=4, 제품 ID=P002)"를 수신하고, 실제 커맨드 기억 영역(1130)에 축적한 상태에 상당한다.
여기서, 공격ㆍ이상 검지부(803)는, 전술한 새로운 제조 커맨드로부터, 커맨드 목적지=설비 1이 되는 정상 커맨드군을 정상 커맨드 기억 영역(1120)으로부터 취득하고, 커맨드 목적지=설비 1이 되는 실제 커맨드군을 실제 커맨드 기억 영역(1130)으로부터 취득한다.
이 결과로서, 공격ㆍ이상 검지부(803)는, 정상 커맨드군으로서 "(커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=100, B=20, …, 도달 순서=1), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=100, D=0, …, 도달 순서=2), (커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=3), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=50, D=0, …, 도달 순서=4)"를 얻는다.
마찬가지로 하여, 공격ㆍ이상 검지부(803)는, 실제 커맨드군으로서 "(커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=100, B=20, …, 도달 순서=1), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=100, D=0, …, 도달 순서=2), (커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=3), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=50, D=0, …, 도달 순서=4)"를 얻는다.
이때, 공격ㆍ이상 검지부(803)는, 얻어진 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(803)는, 비교 결과로서, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서가 모두 일치하기 때문에, 제조 커맨드의 순서가 일치하고 있다고 해석한다.
다음으로, 공격ㆍ이상 검지부(803)는, 전술한 새로운 제조 커맨드로부터, 제품 ID=P002가 되는 정상 커맨드군을 정상 커맨드 기억 영역(1120)으로부터 취득하고, 제품 ID=P002가 되는 실제 커맨드군을 실제 커맨드 기억 영역(1130)으로부터 취득한다.
이 결과로서, 공격ㆍ이상 검지부(803)는, 정상 커맨드군으로서 "(커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=3), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=50, D=0, …, 도달 순서=4)"를 얻는다.
마찬가지로 하여, 공격ㆍ이상 검지부(803)는, 실제 커맨드군으로서 "(커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=3), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=50, D=0, …, 도달 순서=4)"를 얻는다.
이때, 공격ㆍ이상 검지부(803)는, 얻어진 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(803)는, 비교 결과로서, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터가 모두 일치하기 때문에, 제조 커맨드의 집합이 일치하고 있다고 해석한다.
다음으로, 도 12는 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역(1010)의 구체적인 예로서, 도 11에 나타내는 커맨드 기억 영역(1110)의 예의 상태에서, 실제 공장(852)으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역(1210)이 기억되어 있는 상태를 나타낸 도면이다.
보다 구체적으로는, 커맨드 기억 영역(1210)의 예는, 도 11에 나타내는 커맨드 기억 영역(1110)의 예의 상태에서, 목적지별 커맨드 추출부(802)가, 실제 공장(852)으로부터 새롭게 1개의 제조 커맨드 "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=80, B=15, …, 도달 순서=1, 제품 ID=P102)"를 수신하고, 실제 커맨드 기억 영역(1230)에 축적한 상태에 상당한다.
여기서, 공격ㆍ이상 검지부(803)는, 전술한 새로운 제조 커맨드로부터, 커맨드 목적지=설비 2가 되는 정상 커맨드군을 정상 커맨드 기억 영역(1220)으로부터 취득하고, 커맨드 목적지=설비 2가 되는 실제 커맨드군을 실제 커맨드 기억 영역(1230)으로부터 취득한다.
이 결과로서, 공격ㆍ이상 검지부(803)는, 정상 커맨드군으로서 "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=80, B=15, …, 도달 순서=1)"을 얻는다.
마찬가지로 하여, 공격ㆍ이상 검지부(803)는, 실제 커맨드군으로서 "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=80, B=15, …, 도달 순서=1)"을 얻는다.
이때, 공격ㆍ이상 검지부(803)는, 얻어진 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(803)는, 비교 결과로서, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서가 모두 일치하기 때문에, 제조 커맨드의 순서가 일치하고 있다고 해석한다.
다음으로, 공격ㆍ이상 검지부(803)는, 전술한 새로운 제조 커맨드로부터, 제품 ID=P102가 되는 정상 커맨드군을 정상 커맨드 기억 영역(1120)으로부터 취득하고, 제품 ID=P102가 되는 실제 커맨드군을 실제 커맨드 기억 영역(1130)으로부터 취득한다.
이 결과로서, 공격ㆍ이상 검지부(803)는, 정상 커맨드군으로서 "공집합"을 얻는다. 마찬가지로 하여, 공격ㆍ이상 검지부(803)는, 실제 커맨드군으로서 "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=80, B=15, …, 도달 순서=1, 제품 ID=P102)"를 얻는다.
이때, 공격ㆍ이상 검지부(803)는, 얻어진 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(803)는, 비교 결과로서, 실제 커맨드군과 비교해야 할 정상 커맨드군이 공집합이기 때문에, 제조 커맨드의 집합이 일치하고 있지 않다고 해석하고, 공격ㆍ이상으로 판정한다.
이와 같이, 본 실시의 형태 2에서는, 제조 커맨드의 목적지에 더하여 제품 ID를 이용함으로써, 특정한 제조 커맨드의 목적지가 파기된 경우이더라도, 제품 ID를 이용하여 실제 공장의 제조 커맨드에 대한 공격ㆍ이상을 검지할 수 있다고 하는 현저한 효과를 얻을 수 있다.
실시의 형태 3.
본 실시의 형태 3에서는, 제조 커맨드의 목적지에 더하여, 제품 ID 등의 추가 정보를 이용한 경우에, 특정한 목적지의 제조 커맨드 및 제품 ID가 파기되는 공격ㆍ이상을 검지 가능한 검지 서버를 실현하는 경우에 대하여 설명한다.
도 13은 본 발명의 실시의 형태 3에 있어서의 검지 서버(1301)의 구성도이다. 검지 서버(1301)는, 공격ㆍ이상 검지 장치의 구체적인 예에 상당한다.
검지 서버(1301)는, 도 1의 검지 서버(101)와 비교하여, 시간 계측부(1304)를 더 구비하고 있음과 아울러, 정상 커맨드 기억 영역(1320) 및 실제 커맨드 기억 영역(1330)이 기억하는 데이터 항목에, 제품 ID, 도달 예상 시간, 도달 시간, 누적 시간이 더 추가되어 있는 점이 상이하다. 그래서, 이들 차이점을 중심으로, 이하에 설명한다.
도 14는 본 발명의 실시의 형태 3에 있어서의 검지 서버(1301)에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다. 이하, 이 도 14에 나타내는 플로차트에 근거하여, 검지 서버(1301) 내의 목적지별 커맨드 추출부(1302) 및 공격ㆍ이상 검지부(1303)에 의한 공격ㆍ이상 검지 처리에 대하여 설명한다.
스텝 S301에 있어서, 목적지별 커맨드 추출부(1302)는, 시간 계측부(1304)에 의해 기동된다. 그리고, 목적지별 커맨드 추출부(1302)는, 정상 커맨드 기억 영역(1320)으로부터, 커맨드 목적지마다, 도달 시간(1327)이 공란인 제조 커맨드 중, 도달 순서가 가장 작은 제조 커맨드를 추출하고, 다음에 와야 할 실제 커맨드의 일람으로서 기억하여 둔다.
다음으로, 스텝 S302에 있어서, 목적지별 커맨드 추출부(1302)는, 다음에 와야 할 실제 커맨드의 일람 중에 제조 커맨드가 존재하는지 여부를 확인한다. 그리고, 목적지별 커맨드 추출부(1302)는, 다음에 와야 할 실제 커맨드의 일람 중에 제조 커맨드가 존재하는 경우에는, 그 1개를 골라내고, 스텝 S303으로 진행한다. 한편, 목적지별 커맨드 추출부(1302)는, 다음에 와야 할 실제 커맨드의 일람 중에 제조 커맨드가 존재하지 않는 경우에는, 일련 처리를 종료한다.
스텝 S303으로 진행한 경우에는, 목적지별 커맨드 추출부(1302)는, 스텝 S302에서 골라낸 제조 커맨드의 누적 시간에, 전회 기동 때의 시간과 현재 시각의 차분을 가산한다.
또한, 목적지별 커맨드 추출부(1302)는, 동일한 커맨드 목적지, 또한, 동일한 도달 순서를 갖는 제조 커맨드가, 실제 커맨드 기억 영역(1330)에 존재하는 경우에는, 누적 시간으로 도달 시간을 갱신하고, 정상 커맨드 기억 영역(1320)의 당해 제조 커맨드의 도달 시간(1327) 및 누적 시간(1328)을 갱신한다.
다음으로, 스텝 S304에 있어서, 공격ㆍ이상 검지부(1303)는, 당해 제조 커맨드의 누적 시간이, 도달 예상 시간을 초과하고 있는지 여부를 확인한다. 그리고, 공격ㆍ이상 검지부(1303)는, 당해 제조 커맨드의 누적 시간이 도달 예상 시간을 초과하고 있지 않은 경우에는, 정상으로 판정하고, 스텝 S305로 진행한다.
한편, 공격ㆍ이상 검지부(1303)는, 당해 제조 커맨드의 누적 시간이 도달 예상 시간을 초과하고 있는 경우에는, 공격ㆍ이상으로 판정하고, 스텝 S306으로 진행한다. 그 후, 어느 판정 결과의 경우에도, 스텝 S307로 진행한다.
스텝 S307로 진행한 경우에는, 목적지별 커맨드 추출부(1302)는, 다음에 와야 할 실제 커맨드의 일람 중에서, 처리 대상으로 되어 있던 제조 커맨드를 삭제한다. 그 후, 스텝 S302로 돌아가고, 다음의 처리 대상 커맨드에 대하여 일련 처리를 반복한다.
본 실시의 형태 3에 있어서의 공격ㆍ이상 검지의 동작 처리에 대하여, 도 15, 도 16의 커맨드 기억 영역의 예를 이용하여, 구체적으로 설명한다.
삭제
도 15는 본 발명의 실시의 형태 3에 있어서의 커맨드 기억 영역(1310)의 구체적인 예로서, 커맨드 기억 영역(1510)이 기억되어 있는 상태를 나타낸 도면이다. 우선, 도 15에 나타내는 커맨드 기억 영역(1510)에 대한 공격ㆍ이상 검지의 동작 처리의 예에 대하여 설명한다.
정상 커맨드 기억 영역(1520)에는, 목적지별 커맨드 추출부(1302)가, 공장 시뮬레이터(1351)로부터 송신된 제조 커맨드를 해석하여, 커맨드 목적지(1521), 커맨드 이름(1522), 커맨드 파라미터(1523), 제품 ID(1525), 도달 상정 시간(1526)을 추출하고, 도달 순서(1524)를 부여한 결과가 축적되어 있는 것으로 한다.
한편, 실제 커맨드 기억 영역(1530)에는, 목적지별 커맨드 추출부(1302)가, 실제 공장(1352)으로부터 송신된 제조 커맨드를 해석하여, 커맨드 목적지(1531), 커맨드 이름(1532), 커맨드 파라미터(1533), 제품 ID(1535)를 추출하고, 도달 순서(1534)를 부여한 결과가 축적되어 있는 것으로 한다.
여기서, 정상 커맨드 기억 영역(1520)에는, 3개의 제조 커맨드가 축적되어 있고, 실제 커맨드 기억 영역(1530)에는, 1개의 제조 커맨드가 축적되어 있고, 정상의 상태인 예에 근거하여, 동작을 설명한다.
도 16은 본 발명의 실시의 형태 3에 있어서의 커맨드 기억 영역(1310)의 구체적인 예로서, 도 15에 나타내는 커맨드 기억 영역(1510)의 예의 상태에서, 실제 공장(1352)으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역(1610)이 기억되어 있는 상태를 나타낸 도면이다.
보다 구체적으로는, 커맨드 기억 영역(1610)의 예는, 도 15에 나타내는 커맨드 기억 영역(1510)의 예의 상태에서, 목적지별 커맨드 추출부(1302)가, 실제 공장(1352)으로부터 새롭게 1개의 제조 커맨드 "(커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=100, D=0, …, 도달 순서=2, 제품 ID=P001)"을 수신하고, 실제 커맨드 기억 영역(1630)에 축적한 상태에 상당한다.
여기서, 시간 계측부(1304)가, 시간 초과의 공격ㆍ이상 검지를 행하는 처리의 기동을 목적지별 커맨드 추출부(1302)에 의뢰하면, 목적지별 커맨드 추출부(1302)는, 정상 커맨드 기억 영역(1620)으로부터 "(커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=100, D=0, …, 도달 순서=2, 제품 ID=P001, 도달 상정 시간=120, 도달 시간=(공란), 누적 시간=10), (커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=1, 제품 ID=P002, 도달 상정 시간=150, 도달 시간=(공란), 누적 시간=100)"을 취득한다.
여기서, 전회의 시간 계측부(1304)의 기동과 현재 시각의 시간 차분이 90으로 하면, 목적지별 커맨드 추출부(1302)는, 도달 시간과 누적 시간을 갱신하는 결과, "(커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=100, D=0, …, 도달 순서=2, 제품 ID=P001, 도달 상정 시간=120, 도달 시간=100, 누적 시간=100), (커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=1, 제품 ID=P002, 도달 상정 시간=150, 도달 시간=(공란), 누적 시간=190)"이 된다.
이때, "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=1, 제품 ID=P002, 도달 상정 시간=150, 도달 시간=(공란), 누적 시간=190)"은, 도달 상정 시간을 누적 시간이 초과하고 있다. 따라서, 공격ㆍ이상 검지부(1303)는, 공격ㆍ이상으로 판정한다.
이와 같이, 본 실시의 형태 3에서는, 제조 커맨드의 도달 상정 시간과 도달 시간과 누적 시간을 이용함으로써, 특정한 목적지의 제조 커맨드 및 제품 ID가 파기된 경우이더라도, 도달 상정 시간과 누적 시간의 차분으로부터, 공격ㆍ이상을 검지할 수 있다고 하는 현저한 효과를 얻을 수 있다.
101 : 검지 서버
102 : 목적지별 커맨드 추출부
103 : 공격ㆍ이상 검지부
110 : 커맨드 기억 영역
120 : 정상 커맨드 기억 영역
130 : 실제 커맨드 기억 영역
151 : 공장 시뮬레이터
152 : 실제 공장
301 : 연산 장치
302 : 외부 기억 장치
303 : 주 기억 장치
304 : 통신 장치
305 : 버스

Claims (11)

  1. 기억부와, 커맨드 추출부와, 검지부를 구비하고, 실제 공장에 있어서의 제조 커맨드에 포함되는 공격ㆍ이상을 검지하는 공격ㆍ이상 검지 장치로서,
    상기 기억부는, 정상의 제조 커맨드의 집합이 기억된 정상 커맨드 기억 영역과, 상기 실제 공장으로부터 송신되는 실제의 제조 커맨드의 집합이 기억된 실제 커맨드 기억 영역을 갖고,
    상기 커맨드 추출부는,
    커맨드 목적지, 커맨드 이름, 커맨드 파라미터를 포함하여 구성된 실제의 제조 커맨드를 상기 실제 공장으로부터 수신하고, 커맨드 목적지가 동일한 실제의 제조 커맨드에 관하여 수신한 순으로 도달 순서의 번호를 부여하여 상기 실제의 제조 커맨드의 집합의 하나의 요소로서 상기 실제 커맨드 기억 영역에 기억시키고,
    상기 실제의 제조 커맨드를 이번에 수신했을 때에, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서를 포함한 구성으로서 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 정상 커맨드군으로서 추출하고, 상기 실제 커맨드 기억 영역에 기억된 상기 실제의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 실제 커맨드군으로서 추출하고,
    상기 검지부는, 상기 커맨드 추출부에 의해 추출된 상기 정상 커맨드군 및 상기 실제 커맨드군을 상기 도달 순서마다 비교하는 제 1 검지 처리를 실행함으로써 공격ㆍ이상을 검지하는
    공격ㆍ이상 검지 장치.
  2. 제 1 항에 있어서,
    상기 커맨드 추출부는, 상기 실제 공장의 동작이 정상인 경우에 상기 실제 공장으로부터 송신되는 실제의 제조 커맨드와 동일한 커맨드 목적지, 동일한 커맨드 이름, 동일한 커맨드 파라미터를 포함하여 구성된 정상의 제조 커맨드를 공장 시뮬레이터에 의한 시뮬레이션 결과로서 수신하고, 커맨드 목적지가 동일한 정상의 제조 커맨드에 관하여 수신한 순으로 도달 순서의 번호를 부여하여 상기 정상의 제조 커맨드의 집합의 하나의 요소로서 상기 정상 커맨드 기억 영역에 기억시키는 공격ㆍ이상 검지 장치.
  3. 제 1 항에 있어서,
    상기 커맨드 추출부에 의해 수신되는 상기 실제의 제조 커맨드 및 상기 정상의 제조 커맨드의 각각은, 상기 커맨드 목적지 이외에, 제조 커맨드의 적용 대상을 식별하기 위한 판별 정보가 포함되어 있고,
    상기 커맨드 추출부는, 상기 검지부에 의해 상기 제 1 검지 처리가 실행된 결과, 상기 이번에 수신한 상기 실제의 제조 커맨드가 정상이라고 가판정된 경우에는, 상기 실제의 제조 커맨드를 이번에 수신했을 때에, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서, 판별 정보를 포함한 구성으로서 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 판별 정보와 동일한 판별 정보를 갖는 요소를 제 2 정상 커맨드군으로서 추출하고, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서, 판별 정보를 포함한 구성으로서 상기 실제 커맨드 기억 영역에 기억된 상기 실제의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 판별 정보와 동일한 판별 정보를 갖는 요소를 제 2 실제 커맨드군으로서 추출하고,
    상기 검지부는, 상기 커맨드 추출부에 의해 추출된 상기 제 2 정상 커맨드군 및 상기 제 2 실제 커맨드군을 비교하는 제 2 검지 처리를 실행하고, 상기 제 2 실제 커맨드군이 상기 제 2 정상 커맨드군과 일치하거나, 또는 부분 집합으로 되어 있는 것에 의해 상기 이번에 수신한 상기 실제의 제조 커맨드가 정상인 것을 최종 판정하는
    공격ㆍ이상 검지 장치.
  4. 제 2 항에 있어서,
    상기 커맨드 추출부에 의해 수신되는 상기 실제의 제조 커맨드 및 상기 정상의 제조 커맨드의 각각은, 상기 커맨드 목적지 이외에, 제조 커맨드의 적용 대상을 식별하기 위한 판별 정보가 포함되어 있고,
    상기 커맨드 추출부는, 상기 검지부에 의해 상기 제 1 검지 처리가 실행된 결과, 상기 이번에 수신한 상기 실제의 제조 커맨드가 정상이라고 가판정된 경우에는, 상기 실제의 제조 커맨드를 이번에 수신했을 때에, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서, 판별 정보를 포함한 구성으로서 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 판별 정보와 동일한 판별 정보를 갖는 요소를 제 2 정상 커맨드군으로서 추출하고, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서, 판별 정보를 포함한 구성으로서 상기 실제 커맨드 기억 영역에 기억된 상기 실제의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 판별 정보와 동일한 판별 정보를 갖는 요소를 제 2 실제 커맨드군으로서 추출하고,
    상기 검지부는, 상기 커맨드 추출부에 의해 추출된 상기 제 2 정상 커맨드군 및 상기 제 2 실제 커맨드군을 비교하는 제 2 검지 처리를 실행하고, 상기 제 2 실제 커맨드군이 상기 제 2 정상 커맨드군과 일치하거나, 또는 부분 집합으로 되어 있는 것에 의해 상기 이번에 수신한 상기 실제의 제조 커맨드가 정상인 것을 최종 판정하는
    공격ㆍ이상 검지 장치.
  5. 제 1 항에 있어서,
    다음에 수신해야 할 실제의 제조 커맨드에 대하여 도달 시간을 계측하는 시간 계측부를 더 구비하고,
    상기 커맨드 추출부에 의해 수신되는 상기 정상의 제조 커맨드는, 도달 상정 시간이 포함되어 구성되어 있고,
    상기 커맨드 추출부는, 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 다음에 도달해야 할 실제의 제조 커맨드에 상당하는 정상의 커맨드를 대응하는 도달 예상 시간과 함께 추출하고,
    상기 검지부는, 상기 다음에 도달해야 할 실제의 제조 커맨드를, 상기 대응하는 도달 예상 시간을 경과하더라도 수신할 수 없는 경우에는, 실제의 정상 커맨드의 수신 이상이 발생한 것을 검지하는
    공격ㆍ이상 검지 장치.
  6. 제 2 항에 있어서,
    다음에 수신해야 할 실제의 제조 커맨드에 대하여 도달 시간을 계측하는 시간 계측부를 더 구비하고,
    상기 커맨드 추출부에 의해 수신되는 상기 정상의 제조 커맨드는, 도달 상정 시간이 포함되어 구성되어 있고,
    상기 커맨드 추출부는, 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 다음에 도달해야 할 실제의 제조 커맨드에 상당하는 정상의 커맨드를 대응하는 도달 예상 시간과 함께 추출하고,
    상기 검지부는, 상기 다음에 도달해야 할 실제의 제조 커맨드를, 상기 대응하는 도달 예상 시간을 경과하더라도 수신할 수 없는 경우에는, 실제의 정상 커맨드의 수신 이상이 발생한 것을 검지하는
    공격ㆍ이상 검지 장치.
  7. 제 3 항에 있어서,
    다음에 수신해야 할 실제의 제조 커맨드에 대하여 도달 시간을 계측하는 시간 계측부를 더 구비하고,
    상기 커맨드 추출부에 의해 수신되는 상기 정상의 제조 커맨드는, 도달 상정 시간이 포함되어 구성되어 있고,
    상기 커맨드 추출부는, 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 다음에 도달해야 할 실제의 제조 커맨드에 상당하는 정상의 커맨드를 대응하는 도달 예상 시간과 함께 추출하고,
    상기 검지부는, 상기 다음에 도달해야 할 실제의 제조 커맨드를, 상기 대응하는 도달 예상 시간을 경과하더라도 수신할 수 없는 경우에는, 실제의 정상 커맨드의 수신 이상이 발생한 것을 검지하는
    공격ㆍ이상 검지 장치.
  8. 제 4 항에 있어서,
    다음에 수신해야 할 실제의 제조 커맨드에 대하여 도달 시간을 계측하는 시간 계측부를 더 구비하고,
    상기 커맨드 추출부에 의해 수신되는 상기 정상의 제조 커맨드는, 도달 상정 시간이 포함되어 구성되어 있고,
    상기 커맨드 추출부는, 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 다음에 도달해야 할 실제의 제조 커맨드에 상당하는 정상의 커맨드를 대응하는 도달 예상 시간과 함께 추출하고,
    상기 검지부는, 상기 다음에 도달해야 할 실제의 제조 커맨드를, 상기 대응하는 도달 예상 시간을 경과하더라도 수신할 수 없는 경우에는, 실제의 정상 커맨드의 수신 이상이 발생한 것을 검지하는
    공격ㆍ이상 검지 장치.
  9. 실제 공장에 있어서의 제조 커맨드에 포함되는 공격ㆍ이상을 검지하는, 컴퓨터 판독 가능한 기록 매체에 기록된 공격ㆍ이상 검지 프로그램으로서,
    컴퓨터에,
    커맨드 목적지, 커맨드 이름, 커맨드 파라미터를 포함하여 구성된 실제의 제조 커맨드를 상기 실제 공장으로부터 수신하는 제 1 스텝과,
    커맨드 목적지가 동일한 실제의 제조 커맨드에 관하여, 수신한 순으로 도달 순서의 번호를 부여하여 실제의 제조 커맨드의 집합의 하나의 요소로서 실제 커맨드 기억 영역에 기억시키는 제 2 스텝과,
    커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서를 포함한 구성으로서 정상 커맨드 기억 영역에 정상의 제조 커맨드의 집합을 기억시켜 두는 제 3 스텝과,
    상기 실제의 제조 커맨드를 이번에 수신했을 때에, 상기 제 3 스텝에 의해 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 정상 커맨드군으로서 추출하는 제 4 스텝과,
    상기 실제 커맨드 기억 영역에 기억된 상기 실제의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 실제 커맨드군으로서 추출하는 제 5 스텝과,
    상기 제 4 스텝에 의해 추출된 상기 정상 커맨드군 및 상기 제 5 스텝에 의해 추출된 상기 실제 커맨드군을 상기 도달 순서마다 비교하는 제 1 검지 처리를 실행함으로써 공격ㆍ이상을 검지하는 제 6 스텝
    을 실행시키기 위한 컴퓨터 판독 가능한 기록 매체에 기록된 공격ㆍ이상 검지 프로그램.
  10. 실제 공장에 있어서의 제조 커맨드에 포함되는 공격ㆍ이상을 검지하는 공격ㆍ이상 검지 장치에 의해 실행되는 공격ㆍ이상 검지 방법으로서,
    커맨드 목적지, 커맨드 이름, 커맨드 파라미터를 포함하여 구성된 실제의 제조 커맨드를 상기 실제 공장으로부터 수신하는 제 1 스텝과,
    커맨드 목적지가 동일한 실제의 제조 커맨드에 관하여, 수신한 순으로 도달 순서의 번호를 부여하여 실제의 제조 커맨드의 집합의 하나의 요소로서 실제 커맨드 기억 영역에 기억시키는 제 2 스텝과,
    커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서를 포함한 구성으로서 정상 커맨드 기억 영역에 정상의 제조 커맨드의 집합을 기억시켜 두는 제 3 스텝과,
    상기 실제의 제조 커맨드를 이번에 수신했을 때에, 상기 제 3 스텝에 의해 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 정상 커맨드군으로서 추출하는 제 4 스텝과,
    상기 실제 커맨드 기억 영역에 기억된 상기 실제의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 실제 커맨드군으로서 추출하는 제 5 스텝과,
    상기 제 4 스텝에 의해 추출된 상기 정상 커맨드군 및 상기 제 5 스텝에 의해 추출된 상기 실제 커맨드군을 상기 도달 순서마다 비교하는 제 1 검지 처리를 실행함으로써 공격ㆍ이상을 검지하는 제 6 스텝
    을 갖는 공격ㆍ이상 검지 방법.
  11. 제 10 항에 있어서,
    상기 제 3 스텝에 있어서, 상기 정상 커맨드 기억 영역에 상기 정상의 제조 커맨드의 집합으로서 기억된 각각의 정상의 제조 커맨드는, 도달 예측 시간을 더 포함하여 구성되어 있고,
    상기 제 3 스텝에 의해 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 다음에 도달해야 할 실제의 제조 커맨드에 상당하는 정상의 커맨드를 대응하는 도달 예상 시간과 함께 추출하는 제 7 스텝과,
    상기 다음에 도달해야 할 실제의 제조 커맨드를, 상기 대응하는 도달 예상 시간을 경과하더라도 수신할 수 없는 경우에는, 실제의 정상 커맨드의 수신 이상이 발생한 것을 검지하는 제 8 스텝
    을 더 갖는
    공격ㆍ이상 검지 방법.
KR1020197020833A 2017-01-25 2017-01-25 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램 KR102115734B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/002478 WO2018138793A1 (ja) 2017-01-25 2017-01-25 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム

Publications (2)

Publication Number Publication Date
KR20190090028A KR20190090028A (ko) 2019-07-31
KR102115734B1 true KR102115734B1 (ko) 2020-05-27

Family

ID=62977954

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197020833A KR102115734B1 (ko) 2017-01-25 2017-01-25 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램

Country Status (7)

Country Link
US (1) US11467565B2 (ko)
JP (1) JP6541903B2 (ko)
KR (1) KR102115734B1 (ko)
CN (1) CN110192196B (ko)
DE (1) DE112017006528T5 (ko)
TW (1) TWI632442B (ko)
WO (1) WO2018138793A1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3860079B1 (en) * 2020-01-31 2024-01-24 Deutsche Telekom AG Method and system for a secure and valid configuration of network elements
CN115485715B (zh) * 2020-10-13 2024-06-18 三菱电机株式会社 模型生成装置、异常判定装置、异常判定***、模型生成方法及计算机可读取记录介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016106298A (ja) 2016-01-06 2016-06-16 横河電機株式会社 プロセス制御装置及びシステム並びにその健全性判定方法
JP6031202B1 (ja) 2016-01-29 2016-11-24 ファナック株式会社 製造機械の異常の原因を発見するセル制御装置

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2790844B1 (fr) * 1999-03-09 2001-05-25 Gemplus Card Int Procede et dispositif de surveillance du deroulement d'un programme, dispositif programme permettant la surveillance de son programme
US8036872B2 (en) * 2006-03-10 2011-10-11 Edsa Micro Corporation Systems and methods for performing automatic real-time harmonics analyses for use in real-time power analytics of an electrical power distribution system
US9557723B2 (en) * 2006-07-19 2017-01-31 Power Analytics Corporation Real-time predictive systems for intelligent energy monitoring and management of electrical power networks
JP2012059032A (ja) 2010-09-09 2012-03-22 Hitachi Ltd 生産計画作成方法及びその装置
EP2752722B1 (en) 2011-08-31 2019-11-06 Hitachi Power Solutions Co., Ltd. Facility state monitoring method and device for same
CN102624736B (zh) * 2012-03-20 2014-11-12 瑞斯康达科技发展股份有限公司 一种tl1命令校验方法及装置
DE112012007224T5 (de) 2012-12-13 2015-10-22 Abb Technology Ag System und Verfahren zur Betriebsablauf-Überwachung und/oder -Diagnose einer Fertigungsstraße einer Industrieanlage
JP5538597B2 (ja) 2013-06-19 2014-07-02 株式会社日立製作所 異常検知方法及び異常検知システム
WO2015116176A1 (en) * 2014-01-31 2015-08-06 Hewlett-Packard Development Company, L.P. Device provided script to convert command
DE102014206683A1 (de) * 2014-04-07 2015-10-08 Wobben Properties Gmbh Vorrichtung und Verfahren zum automatisierten Bearbeiten von Werkstücken
JP6387707B2 (ja) 2014-07-01 2018-09-12 富士通株式会社 異常検出システム、表示装置、異常検出方法及び異常検出プログラム
TWI562013B (en) * 2015-07-06 2016-12-11 Wistron Corp Method, system and apparatus for predicting abnormality
JP6076421B2 (ja) * 2015-07-23 2017-02-08 株式会社日立パワーソリューションズ 設備状態監視方法およびその装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016106298A (ja) 2016-01-06 2016-06-16 横河電機株式会社 プロセス制御装置及びシステム並びにその健全性判定方法
JP6031202B1 (ja) 2016-01-29 2016-11-24 ファナック株式会社 製造機械の異常の原因を発見するセル制御装置

Also Published As

Publication number Publication date
JP6541903B2 (ja) 2019-07-10
TW201827963A (zh) 2018-08-01
CN110192196A (zh) 2019-08-30
JPWO2018138793A1 (ja) 2019-06-27
DE112017006528T5 (de) 2019-09-26
TWI632442B (zh) 2018-08-11
CN110192196B (zh) 2023-06-13
KR20190090028A (ko) 2019-07-31
US11467565B2 (en) 2022-10-11
US20200073369A1 (en) 2020-03-05
WO2018138793A1 (ja) 2018-08-02

Similar Documents

Publication Publication Date Title
JP6919569B2 (ja) ログ分析システム、方法、及び記録媒体
KR102271449B1 (ko) 인공지능 모델 플랫폼 및 인공지능 모델 플랫폼 운영 방법
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
JP6528448B2 (ja) ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
JP6827266B2 (ja) 検知プログラム、検知方法および検知装置
US9916445B2 (en) Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program
JP6280862B2 (ja) イベント分析システムおよび方法
US10459730B2 (en) Analysis system and analysis method for executing analysis process with at least portions of time series data and analysis data as input data
JP6058246B2 (ja) 情報処理装置及び情報処理方法及びプログラム
JP6523582B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP7311350B2 (ja) 監視装置、監視方法、および監視プログラム
US10970391B2 (en) Classification method, classification device, and classification program
KR20210063049A (ko) 산업 제어 시스템을 위한 위험도 산출 방법 및 이를 위한 장치
KR102115734B1 (ko) 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램
JPWO2020189669A1 (ja) リスク分析装置及びリスク分析方法
KR102036707B1 (ko) 자산과 임무간 의존성 기반의 임무 영향도 분석 방법
WO2019240020A1 (ja) 不正通信検知装置、不正通信検知方法及び製造システム
CN113872959A (zh) 一种风险资产等级判定和动态降级方法和装置及设备
KR102195823B1 (ko) It 디바이스 보안 취약점 점검 및 조치 시스템
CN115146263B (zh) 用户账号的失陷检测方法、装置、电子设备及存储介质
EP3024192A1 (en) Analysing security risks of an industrial automation and control system
KR20210046423A (ko) 머신러닝 기반 보안관제 장치 및 방법
CN114547590A (zh) 代码检测方法、装置及非瞬时性计算机可读存储介质
CN117556414B (zh) 一种基于云计算的软件管理方法及***
KR20210057194A (ko) 공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant