KR102115734B1 - 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램 - Google Patents
공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램 Download PDFInfo
- Publication number
- KR102115734B1 KR102115734B1 KR1020197020833A KR20197020833A KR102115734B1 KR 102115734 B1 KR102115734 B1 KR 102115734B1 KR 1020197020833 A KR1020197020833 A KR 1020197020833A KR 20197020833 A KR20197020833 A KR 20197020833A KR 102115734 B1 KR102115734 B1 KR 102115734B1
- Authority
- KR
- South Korea
- Prior art keywords
- command
- actual
- normal
- manufacturing
- destination
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 167
- 238000004519 manufacturing process Methods 0.000 claims abstract description 257
- 230000005856 abnormality Effects 0.000 claims abstract description 118
- 238000000605 extraction Methods 0.000 claims abstract description 52
- 238000000034 method Methods 0.000 claims description 55
- 230000002159 abnormal effect Effects 0.000 claims description 9
- 239000000284 extract Substances 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 26
- 238000012545 processing Methods 0.000 description 25
- 230000005540 biological transmission Effects 0.000 description 8
- 230000001186 cumulative effect Effects 0.000 description 7
- 238000004088 simulation Methods 0.000 description 7
- 238000012806 monitoring device Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000007796 conventional method Methods 0.000 description 4
- 238000005259 measurement Methods 0.000 description 4
- 230000004075 alteration Effects 0.000 description 3
- 230000006378 damage Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000003780 insertion Methods 0.000 description 3
- 230000037431 insertion Effects 0.000 description 3
- 230000007257 malfunction Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 2
- 238000013523 data management Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4184—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/41885—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by modeling, simulation of the manufacturing system
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Manufacturing & Machinery (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Computer And Data Communications (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명과 관련되는 공격ㆍ이상 검지 장치는, 커맨드 기억 영역에 기억된, 커맨드 목적지 및 도달 순서의 정보를 포함하는 정상의 제조 커맨드의 집합과 실제의 제조 커맨드의 집합의 각각 중에서, 새롭게 수신한 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 추출하는 커맨드 추출부와, 추출한 양 요소의 도착 순서마다 커맨드 내용을 비교함으로써, 공격ㆍ이상을 검지하는 검지부를 구비한다.
Description
본 발명은, 공장ㆍ플랜트 등의 제어에 관련되는 명령(이하, 제조 커맨드라고 칭함)에 대한 사이버 공격이나 고장 등의 이상에 의한 부정한 개찬ㆍ삽입, 파기를 검지하는 기술에 관한 것이다.
제조 커맨드에 포함되는 제조 대상 제품을 식별하기 위한 제품 ID를 이용하여, 제조 공정의 이상을 검지하는 방법이 개시되어 있다(예컨대, 특허문헌 1 참조).
또한, 공장ㆍ플랜트 등의 정상적인 가동 상황을 시뮬레이션에 의해 취득하여 두고, 실제의 공장ㆍ플랜트 등의 가동 상황과, 사전에 취득하여 둔 시뮬레이션 결과를 비교함으로써, 이상을 검지하는 방법이 개시되어 있다(예컨대, 특허문헌 2 참조).
그렇지만, 종래 기술에는, 이하와 같은 과제가 있다.
특허문헌 1, 2와 관련되는 종래 방법은, 정상의 제조 커맨드의 흐름을 시뮬레이션에 의해 취득하여, 제조 커맨드의 시계열 순서를 정상 커맨드군으로서 기억하여 둔다. 또한, 종래 방법은, 실제의 공장ㆍ플랜트 등에 있어서의 제조 커맨드의 시계열 순서도, 마찬가지로 실제 커맨드군으로서 기억하여 둔다.
그리고, 종래 방법은, 실제의 공장ㆍ플랜트 등에서 새로운 제조 커맨드가 발생한 시점에, 정상 커맨드군과 실제 커맨드군으로부터, 새로운 제조 커맨드의 제품 ID를 갖는 것만을 추출하여, 추출 결과를 비교함으로써, 제조 커맨드의 공격ㆍ이상을 검지하는 것이 가능했다. 그렇지만, 종래 방법은, 제품 ID를 포함하지 않는 제조 커맨드가 있는 경우에는, 검지가 곤란했다.
본 발명은, 상기와 같은 과제를 해결하기 위해 이루어진 것이고, 제품 ID를 포함하지 않는 제조 커맨드가 있는 경우에도, 사이버 공격이나 고장 등의 이상에 의한 부정한 개찬ㆍ삽입, 파기를 검지할 수 있는 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램을 얻는 것을 목적으로 한다.
본 발명과 관련되는 공격ㆍ이상 검지 장치는, 기억부와, 커맨드 추출부와, 검지부를 구비하고, 실제 공장에 있어서의 제조 커맨드에 포함되는 공격ㆍ이상을 검지하는 공격ㆍ이상 검지 장치로서, 기억부는, 정상의 제조 커맨드의 집합이 기억된 정상 커맨드 기억 영역과, 실제 공장으로부터 송신되는 실제의 제조 커맨드의 집합이 기억된 실제 커맨드 기억 영역을 갖고, 커맨드 추출부는, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터를 포함하여 구성된 실제의 제조 커맨드를 실제 공장으로부터 수신하고, 커맨드 목적지가 동일한 실제의 제조 커맨드에 관하여 수신한 순으로 도달 순서의 번호를 부여하여 실제의 제조 커맨드의 집합의 하나의 요소로서 실제 커맨드 기억 영역에 기억시키고, 실제의 제조 커맨드를 이번에 수신했을 때에, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서를 포함한 구성으로서 정상 커맨드 기억 영역에 기억된 정상의 제조 커맨드의 집합 중에서, 이번에 수신한 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 정상 커맨드군으로서 추출하고, 실제 커맨드 기억 영역에 기억된 실제의 제조 커맨드의 집합 중에서, 이번에 수신한 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 실제 커맨드군으로서 추출하고, 검지부는, 커맨드 추출부에 의해 추출된 정상 커맨드군 및 실제 커맨드군을 도달 순서마다 비교하는 제 1 검지 처리를 실행함으로써 공격ㆍ이상을 검지하는 것이다.
또한, 본 발명과 관련되는 공격ㆍ이상 검지 방법은, 실제 공장에 있어서의 제조 커맨드에 포함되는 공격ㆍ이상을 검지하는 공격ㆍ이상 검지 장치에 의해 실행되는 공격ㆍ이상 검지 방법으로서, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터를 포함하여 구성된 실제의 제조 커맨드를 실제 공장으로부터 수신하는 제 1 스텝과, 커맨드 목적지가 동일한 실제의 제조 커맨드에 관하여, 수신한 순으로 도달 순서의 번호를 부여하여 실제의 제조 커맨드의 집합의 하나의 요소로서 실제 커맨드 기억 영역에 기억시키는 제 2 스텝과, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서를 포함한 구성으로서 정상 커맨드 기억 영역에 정상의 제조 커맨드의 집합을 기억시켜 두는 제 3 스텝과, 실제의 제조 커맨드를 이번에 수신했을 때에, 제 3 스텝에 의해 정상 커맨드 기억 영역에 기억된 정상의 제조 커맨드의 집합 중에서, 이번에 수신한 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 정상 커맨드군으로서 추출하는 제 4 스텝과, 실제 커맨드 기억 영역에 기억된 실제의 제조 커맨드의 집합 중에서, 이번에 수신한 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 실제 커맨드군으로서 추출하는 제 5 스텝과, 제 4 스텝에 의해 추출된 정상 커맨드군 및 제 5 스텝에 의해 추출된 실제 커맨드군을 도달 순서마다 비교하는 제 1 검지 처리를 실행함으로써 공격ㆍ이상을 검지하는 제 6 스텝을 갖는 것이다.
또한, 본 발명과 관련되는 공격ㆍ이상 검지 프로그램은, 공격ㆍ이상 검지 장치에 구비된 커맨드 추출부, 및 검지부로서 기능시키기 위한 것이다.
본 발명에 따르면, 커맨드 기억 영역에 기억된, 커맨드 목적지 및 도달 순서의 정보를 포함하는 정상의 제조 커맨드의 집합과 실제의 제조 커맨드의 집합의 각각 중에서, 새롭게 수신한 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 추출하는 구성과, 추출한 양 요소의 도착 순서마다 커맨드 내용을 비교함으로써, 공격ㆍ이상을 검지하는 구성을 구비하고 있다. 이 결과, 제품 ID를 포함하지 않는 제조 커맨드가 있는 경우에도, 사이버 공격이나 고장 등의 이상에 의한 부정한 개찬ㆍ삽입, 파기를 검지할 수 있는 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램을 얻는다.
도 1은 본 발명의 실시의 형태 1에 있어서의 검지 서버의 구성도이다.
도 2는 본 발명의 실시의 형태 1에 있어서의 검지 서버, 공장 시뮬레이터, 및 실제 공장의 접속 구성을 나타낸 도면이다.
도 3은 본 발명의 실시의 형태 1에 있어서의 검지 서버, 공장 시뮬레이터, 및 실제 공장 감시 장치의 하드웨어 구성의 예를 나타내는 도면이다.
도 4는 본 발명의 실시의 형태 1에 있어서의 검지 서버에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다.
도 5는 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역의 구체적인 예로서, 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 6은 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 5에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 7은 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 6에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 8은 본 발명의 실시의 형태 2에 있어서의 검지 서버의 구성도이다.
도 9는 본 발명의 실시의 형태 2에 있어서의 검지 서버에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다.
도 10은 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역의 구체적인 예로서, 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 11은 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 10에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 12는 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 11에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 13은 본 발명의 실시의 형태 3에 있어서의 검지 서버의 구성도이다.
도 14는 본 발명의 실시의 형태 3에 있어서의 검지 서버에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다.
도 15는 본 발명의 실시의 형태 3에 있어서의 커맨드 기억 영역의 구체적인 예로서, 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 16은 본 발명의 실시의 형태 3에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 15에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 2는 본 발명의 실시의 형태 1에 있어서의 검지 서버, 공장 시뮬레이터, 및 실제 공장의 접속 구성을 나타낸 도면이다.
도 3은 본 발명의 실시의 형태 1에 있어서의 검지 서버, 공장 시뮬레이터, 및 실제 공장 감시 장치의 하드웨어 구성의 예를 나타내는 도면이다.
도 4는 본 발명의 실시의 형태 1에 있어서의 검지 서버에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다.
도 5는 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역의 구체적인 예로서, 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 6은 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 5에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 7은 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 6에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 8은 본 발명의 실시의 형태 2에 있어서의 검지 서버의 구성도이다.
도 9는 본 발명의 실시의 형태 2에 있어서의 검지 서버에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다.
도 10은 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역의 구체적인 예로서, 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 11은 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 10에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 12는 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 11에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 13은 본 발명의 실시의 형태 3에 있어서의 검지 서버의 구성도이다.
도 14는 본 발명의 실시의 형태 3에 있어서의 검지 서버에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다.
도 15는 본 발명의 실시의 형태 3에 있어서의 커맨드 기억 영역의 구체적인 예로서, 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
도 16은 본 발명의 실시의 형태 3에 있어서의 커맨드 기억 영역의 구체적인 예로서, 도 15에 나타내는 커맨드 기억 영역의 예의 상태에서, 실제 공장으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역이 기억되어 있는 상태를 나타낸 도면이다.
이하, 본 발명의 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램의 적합한 실시의 형태에 대하여 도면을 이용하여 설명한다.
본 발명은, 제조 커맨드의 목적지가 되는 생산 설비 등으로의 제조 커맨드 발행 순서가, 다품종 소량 생산의 공장ㆍ플랜트 등뿐만 아니라, 소품종 대량 생산이 요구되는 매스 커스텀 생산에 있어서도, 제조 커맨드의 목적지 단위로 보증되는 것에 주목하고 있다. 그리고, 이 주목에 근거하여, 정상 커맨드군과 실제 커맨드군의 비교 때에, 공장ㆍ플랜트 등에서 새롭게 발생한 제조 커맨드의 목적지와 동일한 목적지를 갖는 제조 커맨드만을 추출하여 비교함으로써, 종래 기술의 과제를 해결하는 것을 기술적 특징으로 하고 있다.
이하의 각 실시의 형태에서는, 정상의 제조 커맨드의 흐름을 시뮬레이션하는 컴퓨터(이하, 시뮬레이션 장치라고 칭함)로부터 취득한 정상의 제조 커맨드와, 실제의 공장ㆍ플랜트 등(이하, 실제 공장이라고 칭함)으로부터 얻어지는 실제의 제조 커맨드의 흐름을 비교함으로써, 공격ㆍ이상을 검지 가능한 공격ㆍ이상 검지 장치 등을 설명한다. 또, 각 실시의 형태의 플로차트에 나타내는 수순에 의해, 본 발명과 관련되는 정보 처리 방법을 실현 가능하다.
실시의 형태 1.
도 1은 본 발명의 실시의 형태 1에 있어서의 검지 서버(101)의 구성도이다. 검지 서버(101)는, 공격ㆍ이상 검지 장치의 구체적인 예에 상당한다.
검지 서버(101)는, 목적지별 커맨드 추출부(102), 공격ㆍ이상 검지부(103), 및 커맨드 기억 영역(110)으로 구성된다. 또한, 커맨드 기억 영역(110)은, 정상 커맨드 기억 영역(120) 및 실제 커맨드 기억 영역(130)으로 구성된다. 그리고, 커맨드 기억 영역(110)은, 검지 서버(101)가 유지하는 정보를 저장한다.
정상 커맨드 기억 영역(120)에는, 예컨대, 도 1에 나타내는 정보가 기억되어 있다. 즉, 본 실시의 형태 1에 있어서의 정상 커맨드 기억 영역(120)은, 커맨드 목적지(121), 커맨드 이름(122), 커맨드 파라미터(123), 도달 순서(124)로 구성된다.
실제 커맨드 기억 영역(130)에는, 예컨대, 도 1에 나타내는 정보가 기억되어 있다. 즉, 본 실시의 형태 1에 있어서의 실제 커맨드 기억 영역(130)은, 커맨드 목적지(131), 커맨드 이름(132), 커맨드 파라미터(133), 도달 순서(134)로 구성된다.
공장 시뮬레이터(151)는, 시뮬레이션 장치의 예에 상당한다. 실제 공장(152)은, 실제 공장의 예에 상당한다.
도 2는 본 발명의 실시의 형태 1에 있어서의 검지 서버(101), 공장 시뮬레이터(151), 및 실제 공장(152)의 접속 구성을 나타낸 도면이다. 공장 시뮬레이터(151)는, 시뮬레이션을 실현하고, 결과를 송신하는 공장 시뮬레이터(210)를 구비한다. 공장 시뮬레이터(210)는, 커맨드 송신부(211) 및 공장 시뮬레이션부(212)로 구성된다.
실제 공장(152)은, 공장 내의 제조 커맨드를 감시하고, 결과를 송신하는 실제 공장 감시 장치(220)를 구비한다. 실제 공장 감시 장치(220)는, 커맨드 송신부(221) 및 커맨드 감시부(222)로 구성된다.
또, 검지 서버(101)는, 복수의 공장 시뮬레이터(151) 및 복수의 실제 공장(152)이 접속되는 구성이더라도 상관없다. 또한, 검지 서버(101)에 접속되어 있는 공장 시뮬레이터(151)는, 복수의 공장 시뮬레이터(151)가 복수 계층으로 이루어지는 네트워크 구성이더라도 좋고, 마찬가지로, 실제 공장(152)도, 복수의 실제 공장(152)이 복수 계층으로 이루어지는 네트워크 구성이더라도 좋다.
상술한 검지 서버(101), 공장 시뮬레이터(210), 및 실제 공장 감시 장치(220)는, 컴퓨터이고, 데이터 관리 장치의 각 구성 요소는, 프로그램에 의해 처리를 실행할 수 있다. 또한, 프로그램을 기억 매체에 기억시키고, 기억 매체로부터 컴퓨터에 판독되도록 할 수 있다.
도 3은 본 발명의 실시의 형태 1에 있어서의 검지 서버(101), 공장 시뮬레이터(210), 및 실제 공장 감시 장치(220)의 하드웨어 구성의 예를 나타내는 도면이다. 도 3에 있어서는, 연산 장치(301), 외부 기억 장치(302), 주 기억 장치(303), 통신 장치(304)가, 버스(305)에 의해 서로 접속되어 있다.
연산 장치(301)는, 프로그램을 실행하는 CPU(Central Processing Unit)이다. 외부 기억 장치(302)는, 예컨대, ROM(Read Only Memory)이나 하드디스크이다.
주 기억 장치(303)는, 통상, RAM(Random Access Memory)이다. 통신 장치(304)는, 통상, 이더넷(등록상표)에 대응한 통신 카드이다.
프로그램은, 통상은, 외부 기억 장치(302)에 기억되어 있고, 주 기억 장치(303)에 로드된 상태에서, 순차적으로, 연산 장치(301)에 읽혀, 처리가 실행된다. 구체적인 프로그램은, 도 1에 있어서 목적지별 커맨드 추출부(102) 및 공격ㆍ이상 검지부(103)로서 설명되어 있는 기능을 실현하는 프로그램에 상당한다.
또한, 도 1에 나타내는 커맨드 기억 영역(110)은, 예컨대, 외부 기억 장치(302)에 의해 실현된다.
또한, 외부 기억 장치(302)에는, 오퍼레이팅 시스템(OS)도 기억되어 있다. 그리고, OS의 적어도 일부가, 주 기억 장치(303)에 로드되고, 연산 장치(301)는, OS를 실행하면서, 도 1에 나타내는 목적지별 커맨드 추출부(102) 및 공격ㆍ이상 검지부(103)의 기능을 실현하는 프로그램을 실행한다.
또한, 본 실시의 형태 1의 설명에 있어서, 처리의 결과를 나타내는 정보, 데이터, 신호치, 변수치의 각각은, 주 기억 장치(303)에 파일로서 기억되어 있다.
또, 도 3의 구성은, 어디까지나 검지 서버(101), 공장 시뮬레이터(210), 및 실제 공장 감시 장치(220)의 하드웨어 구성의 일례를 나타내는 것이고, 도 3에 기재된 구성에 한하지 않고, 다른 구성이더라도 좋다. 예컨대, 표시 디스플레이 등의 출력 장치나, 마우스ㆍ키보드라고 하는 입력 장치가, 버스(305)에 더 접속된 하드웨어 구성이더라도 좋다.
이하, 도 1에 근거하여, 본 실시의 형태 1에 있어서의 검지 서버(101)의 동작을 설명한다. 또, 각 동작의 상세에 대해서는, 도 4에 나타낸 플로차트에 근거하여, 후술한다.
목적지별 커맨드 추출부(102)는, 공장 시뮬레이터(151)로부터 송신된 제조 커맨드를 수신한다. 그리고, 목적지별 커맨드 추출부(102)는, 수신한 제조 커맨드로부터, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터를 추출하고, 커맨드 목적지마다의 도달 순서를 부여한다. 그 후, 목적지별 커맨드 추출부(102)는, 정상 커맨드 기억 영역(120)에, 커맨드 목적지(121), 커맨드 이름(122), 커맨드 파라미터(123), 도달 순서(124)를 기억시킨다.
또한, 목적지별 커맨드 추출부(102)는, 실제 공장(152)으로부터 송신된 커맨드를 수신한다. 그리고, 목적지별 커맨드 추출부(102)는, 수신한 커맨드로부터, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터를 추출하고, 커맨드 목적지마다의 도달 순서를 부여한다. 그 후, 목적지별 커맨드 추출부(102)는, 실제 커맨드 기억 영역(130)에, 커맨드 목적지(131), 커맨드 이름(132), 커맨드 파라미터(133), 도달 순서(134)를 기억시킨다.
공격ㆍ이상 검지부(103)는, 정상 커맨드 기억 영역(120) 및 실제 커맨드 기억 영역(130)으로부터, 목적지별 커맨드 추출부(102)가 수신한 실제 공장(152)의 제조 커맨드의 커맨드 목적지와 동일한 커맨드 목적지를 갖는 제조 커맨드를 취득한다.
또한, 공격ㆍ이상 검지부(103)는, 실제 커맨드 기억 영역(130)으로부터 취득한 제조 커맨드군이, 정상 커맨드 기억 영역(120)으로부터 취득한 제조 커맨드군의 부분 집합으로 되어 있는 경우에는, 정상으로 판정하고, 그 이외의 경우에는, 이상으로 판정한다.
판정 결과는, 실제 커맨드 기억 영역(130)에 기억되는 구성이더라도 좋고, 혹은, 별도의 장치에 송신되는 구성 등으로, 통지되도록 되어 있더라도 상관없다.
다음으로, 본 실시의 형태 1에서 이용하는 데이터 구조에 대하여 설명한다.
도 1의 정상 커맨드 기억 영역(120)은, 정상 커맨드의 저장 형식의 일례를 나타내는 도면이다. 커맨드 목적지(121)는, 제조 커맨드의 목적지를 식별하기 위한 고유한 식별자이다. 커맨드 이름(122)은, 제조 커맨드의 종류를 식별하기 위한 고유한 식별자이다. 커맨드 파라미터(123)는, 제조 커맨드의 실행에 필요한 수치, 문자열, 바이너리 등의 파라미터를, 1개 또는 복수 기억하기 위한 영역이다.
도달 순서(124)는, 제조 커맨드의 목적지별로 도달한 순서를 기억하기 위한 영역이다. 또, 제조 커맨드에 대하여 시각과 같은 순서를 식별 가능한 정보가 부여되어 있는 경우에는, 도달 순서(124) 대신에 그 정보를 이용하더라도 좋다.
도 1의 실제 커맨드 기억 영역(130)은, 실제 커맨드의 저장 형식의 일례를 나타내는 도면이다. 커맨드 목적지(131)는, 제조 커맨드의 목적지를 식별하기 위한 고유한 식별자이다. 커맨드 이름(132)은, 제조 커맨드의 종류를 식별하기 위한 고유한 식별자이다. 커맨드 파라미터(133)는, 제조 커맨드의 실행에 필요한 수치, 문자열, 바이너리 등의 파라미터를, 1개 또는 복수 기억하기 위한 영역이다.
도달 순서(134)는, 제조 커맨드의 목적지별로 도달한 순서를 기억하기 위한 영역이다. 또, 제조 커맨드에 대하여 시각과 같은 순서를 식별 가능한 정보가 부여되어 있는 경우에는, 도달 순서(134) 대신에 그 정보를 이용하더라도 좋다. 또한, 제조 커맨드의 정상, 공격ㆍ이상의 판정 결과를 기억하는 영역이 추가되더라도 좋다.
도 4는 본 발명의 실시의 형태 1에 있어서의 검지 서버(101)에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다. 이하, 이 도 4에 나타내는 플로차트에 근거하여, 검지 서버(101) 내의 목적지별 커맨드 추출부(102) 및 공격ㆍ이상 검지부(103)에 의한 공격ㆍ이상 검지 처리에 대하여 설명한다.
또, 도 4의 일련 처리에 있어서는, 실제 공장(152)의 동작이 정상인 경우에는, 반드시 동일한 커맨드 목적지 및 도달 순서를 갖는 공장 시뮬레이터(151)로부터의 제조 커맨드가, 실제 공장(152)으로부터의 제조 커맨드보다 먼저 도달하고, 정상 커맨드 기억 영역(120)에 먼저 기억되는 것으로 한다.
스텝 S101에 있어서, 목적지별 커맨드 추출부(102)는, 공장 시뮬레이터(151) 또는 실제 공장(152)으로부터, 제조 커맨드를 수신한다.
다음으로, 스텝 S102에 있어서, 목적지별 커맨드 추출부(102)는, 수신한 제조 커맨드의 송신원을 해석한다. 그리고, 목적지별 커맨드 추출부(102)는, 제조 커맨드의 송신원이 실제 공장(152)인 경우에는, 스텝 S103으로 진행하고, 제조 커맨드의 송신원이 공장 시뮬레이터(151)인 경우에는, 스텝 S104로 진행한다.
스텝 S103으로 진행한 경우에는, 목적지별 커맨드 추출부(102)는, 제조 커맨드의 목적지의 도달 순으로 번호를 부여하고, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서를, 실제 커맨드 기억 영역(130)에 추가한다. 그 후, 스텝 S105로 진행한다.
한편, 스텝 S104로 진행한 경우에는, 목적지별 커맨드 추출부(102)는, 제조 커맨드의 목적지의 도달 순으로 번호를 부여하고, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서를, 정상 커맨드 기억 영역(120)에 추가한다.
스텝 S103으로부터 스텝 S105로 진행한 경우에는, 공격ㆍ이상 검지부(103)는, 정상 커맨드 기억 영역(120) 및 실제 커맨드 기억 영역(130)으로부터, 앞의 스텝 S101에서 수신한 실제 공장(152)으로부터의 제조 커맨드와 동일한 목적지를 갖는 제조 커맨드군인 정상 커맨드군 및 실제 커맨드군을 취득한다.
다음으로, 스텝 S106에 있어서, 공격ㆍ이상 검지부(103)는, 스텝 S105에서 취득한 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(103)는, 정상 커맨드군과 실제 커맨드군에서 제조 커맨드의 순서가 일치하는 경우에는, 정상으로 판정하고, 스텝 S107로 진행한다. 한편, 공격ㆍ이상 검지부(103)는, 정상 커맨드군과 실제 커맨드군에서 제조 커맨드의 순서가 일치하지 않는 경우에는, 공격ㆍ이상으로 판정하고, 스텝 S108로 진행한다.
여기서, "제조 커맨드의 순서가 일치한다"란, 정상 커맨드군과 실제 커맨드군 중 도달 순서가 동일한 제조 커맨드에 대하여, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터가 일치하는 것이다.
이때, 공격ㆍ이상 검지부(103)는, 정상 커맨드군의 도달 순서에는 존재하지만, 실제 커맨드군의 도달 순서에는 존재하지 않는 제조 커맨드가 있었을 경우에도, 제조 커맨드의 순서가 일치하는 경우에는, 정상으로 판정한다.
한편, 공격ㆍ이상 검지부(103)는, 실제 커맨드군의 도달 순서에는 존재하지만, 정상 커맨드군의 도달 순서에는 존재하지 않는 제조 커맨드가 있었을 경우에는, 제조 커맨드의 순서가 일치하고 있더라도 공격ㆍ이상으로 판정한다.
본 실시의 형태 1에 있어서의 공격ㆍ이상 검지의 동작 처리에 대하여, 도 5, 도 6, 도 7의 커맨드 기억 영역의 예를 이용하여, 구체적으로 설명한다.
도 5는 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역(110)의 구체적인 예로서, 커맨드 기억 영역(510)이 기억되어 있는 상태를 나타낸 도면이다. 우선, 도 5에 나타내는 커맨드 기억 영역(510)에 대한 공격ㆍ이상 검지의 동작 처리의 예에 대하여 설명한다.
정상 커맨드 기억 영역(520)에는, 목적지별 커맨드 추출부(102)가, 공장 시뮬레이터(151)로부터 송신된 제조 커맨드를 해석하여, 커맨드 목적지(521), 커맨드 이름(522), 커맨드 파라미터(523)를 추출하고, 도달 순서(524)를 부여한 결과가 축적되어 있는 것으로 한다.
한편, 실제 커맨드 기억 영역(530)에는, 목적지별 커맨드 추출부(102)가, 실제 공장(152)으로부터 송신된 제조 커맨드를 해석하여, 커맨드 목적지(531), 커맨드 이름(532), 커맨드 파라미터(533)를 추출하고, 도달 순서(534)를 부여한 결과가 축적되어 있는 것으로 한다.
여기서, 정상 커맨드 기억 영역(520)에는, 4개의 제조 커맨드가 축적되어 있고, 실제 커맨드 기억 영역(530)에는, 2개의 제조 커맨드가 축적되어 있고, 정상의 상태인 예에 근거하여, 동작을 설명한다.
도 6은 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역(110)의 구체적인 예로서, 도 5에 나타내는 커맨드 기억 영역(510)의 예의 상태에서, 실제 공장(152)으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역(610)이 기억되어 있는 상태를 나타낸 도면이다.
보다 구체적으로는, 커맨드 기억 영역(610)의 예는, 도 5에 나타내는 커맨드 기억 영역(510)의 예의 상태에서, 목적지별 커맨드 추출부(102)가, 실제 공장(152)으로부터 새롭게 1개의 제조 커맨드 "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=80, B=15, …, 도달 순서=1)"을 수신하고, 실제 커맨드 기억 영역(630)에 축적한 상태에 상당한다.
여기서, 공격ㆍ이상 검지부(103)는, 전술한 새로운 제조 커맨드로부터, 커맨드 목적지=설비 2가 되는 정상 커맨드군을 정상 커맨드 기억 영역(620)으로부터 취득하고, 커맨드 목적지=설비 2가 되는 실제 커맨드군을 실제 커맨드 기억 영역(630)으로부터 취득한다.
이 결과로서, 공격ㆍ이상 검지부(103)는, 정상 커맨드군으로서 "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=80, B=15, …, 도달 순서=1)", 실제 커맨드군으로서 "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=80, B=15, …, 도달 순서=1)"을 얻는다.
이때, 공격ㆍ이상 검지부(103)는, 얻어진 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(103)는, 비교 결과로서, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서가 모두 일치하기 때문에, 제조 커맨드의 순서가 일치하고 있다고 해석하고, 정상으로 판정한다.
다음으로, 도 7은 본 발명의 실시의 형태 1에 있어서의 커맨드 기억 영역(110)의 구체적인 예로서, 도 6에 나타내는 커맨드 기억 영역(610)의 예의 상태에서, 실제 공장(152)으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역(710)이 기억되어 있는 상태를 나타낸 도면이다.
보다 구체적으로는, 커맨드 기억 영역(710)의 예는, 도 6에 나타내는 커맨드 기억 영역(610)의 예의 상태에서, 목적지별 커맨드 추출부(102)가, 실제 공장(152)으로부터 새롭게 1개의 제조 커맨드 "(커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=0, B=50, …, 도달 순서=3)"을 수신하고, 실제 커맨드 기억 영역(730)에 축적한 상태에 상당한다.
여기서, 공격ㆍ이상 검지부(103)는, 전술한 새로운 제조 커맨드로부터, 커맨드 목적지=설비 1이 되는 정상 커맨드군을 정상 커맨드 기억 영역(720)으로부터 취득하고, 커맨드 목적지=설비 1이 되는 실제 커맨드군을 실제 커맨드 기억 영역(730)으로부터 취득한다.
이 결과로서, 공격ㆍ이상 검지부(103)는, 정상 커맨드군으로서 "(커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=100, B=20, …, 도달 순서=1), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=100, D=0, …, 도달 순서=2), (커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=3)"을 얻는다.
마찬가지로 하여, 공격ㆍ이상 검지부(103)는, 실제 커맨드군으로서 "(커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=100, B=20, …, 도달 순서=1), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=100, D=0, …, 도달 순서=2), (커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=0, B=50, …, 도달 순서=3)"을 얻는다.
이때, 공격ㆍ이상 검지부(103)는, 얻어진 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(103)는, 비교 결과로서, 도달 순서 1, 2의 제조 커맨드에 대해서는, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서가 모두 일치하지만, 도달 순서 3의 제조 커맨드에 대해서는, 커맨드 파라미터가 일치하지 않기 때문에, 제조 커맨드의 순서가 일치하고 있지 않다고 해석하고, 공격ㆍ이상으로 판정한다.
이와 같이, 본 실시의 형태 1에서는, 검지 서버(101)가 관리하는 커맨드 기억 영역(110) 내의 정상 커맨드 기억 영역(120) 및 실제 커맨드 기억 영역(130)에, 목적지별 커맨드 추출부(102)가 추출한 제조 커맨드를 축적하고, 또한, 공격ㆍ이상 검지부(103)가 실제 공장(152)으로부터 새롭게 수신한 제조 커맨드에 관하여, 정상 커맨드군 및 실제 커맨드군을 추출하고, 양자의 순서를 비교함으로써, 공격ㆍ이상을 검지하는 처리 구성을 구비하고 있다.
종래에는, 제품 ID에 근거하여, 정상 커맨드군 및 실제 커맨드군을 관리하지 않으면 안 되어, 제품 ID가 부여되어 있지 않은 제조 커맨드를 취급하는 것이 곤란했다. 이것에 비하여, 본 실시의 형태 1에 의한 처리 구성을 이용하는 것에 의해, 제품 ID가 부여되어 있지 않은 제조 커맨드가 있었다고 하더라도, 반드시 부여되는 제조 커맨드의 목적지를 이용함으로써, 실제 공장의 제조 커맨드에 대한 공격ㆍ이상을 검지할 수 있다고 하는 현저한 효과를 얻을 수 있다.
실시의 형태 2.
본 실시의 형태 2에서는, 제조 커맨드의 목적지에 더하여, 제품 ID 등의 추가 정보를 이용하여, 특정한 목적지의 제조 커맨드가 파기되는 공격ㆍ이상을 검지 가능한 검지 서버를 실현하는 경우에 대하여 설명한다.
도 8은 본 발명의 실시의 형태 2에 있어서의 검지 서버(801)의 구성도이다. 검지 서버(801)는, 공격ㆍ이상 검지 장치의 구체적인 예에 상당한다.
검지 서버(801)는, 도 1의 검지 서버(101)와 비교하여, 정상 커맨드 기억 영역(820) 및 실제 커맨드 기억 영역(830)이 기억하는 데이터 항목에, 제품 ID가 더 추가되어 있는 점이 상이하다. 그래서, 이 차이점을 중심으로, 이하에 설명한다.
여기서, 제품 ID는, 커맨드 목적지 이외에, 제조 커맨드의 적용 대상을 식별할 수 있는 정보의 예이다. 따라서, 커맨드 목적지 이외의, 제조 커맨드의 적용 대상을 식별할 수 있는 정보의 조건에 해당하는 정보이면, 제품 ID 이외의 정보를 추가 정보로서 이용하더라도 상관없다.
도 9는 본 발명의 실시의 형태 2에 있어서의 검지 서버(801)에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다. 이하, 이 도 9에 나타내는 플로차트에 근거하여, 검지 서버(801) 내의 목적지별 커맨드 추출부(802) 및 공격ㆍ이상 검지부(803)에 의한 공격ㆍ이상 검지 처리에 대하여 설명한다.
스텝 S201에 있어서, 목적지별 커맨드 추출부(802)는, 공장 시뮬레이터(851) 또는 실제 공장(852)으로부터, 제조 커맨드를 수신한다.
다음으로, 스텝 S202에 있어서, 목적지별 커맨드 추출부(802)는, 수신한 제조 커맨드의 송신원을 해석한다. 그리고, 목적지별 커맨드 추출부(802)는, 제조 커맨드의 송신원이 실제 공장(852)인 경우에는, 스텝 S203으로 진행하고, 제조 커맨드의 송신원이 공장 시뮬레이터(851)인 경우에는, 스텝 S204로 진행한다.
스텝 S203으로 진행한 경우에는, 목적지별 커맨드 추출부(802)는, 제조 커맨드의 목적지의 도달 순으로 번호를 부여하고, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서, 제품 ID를, 실제 커맨드 기억 영역(830)에 추가한다. 그 후, 스텝 S205로 진행한다.
한편, 스텝 S204로 진행한 경우에는, 목적지별 커맨드 추출부(802)는, 제조 커맨드의 목적지의 도달 순으로 번호를 부여하고, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서, 제품 ID를, 정상 커맨드 기억 영역(820)에 추가한다.
스텝 S203으로부터 스텝 S205로 진행한 경우에는, 공격ㆍ이상 검지부(803)는, 정상 커맨드 기억 영역(820) 및 실제 커맨드 기억 영역(830)으로부터, 앞의 스텝 S201에서 수신한 실제 공장(852)으로부터의 제조 커맨드와 동일한 목적지를 갖는 제조 커맨드군인 정상 커맨드군 및 실제 커맨드군을 취득한다.
다음으로, 스텝 S206에 있어서, 공격ㆍ이상 검지부(803)는, 스텝 S205에서 취득한 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(803)는, 정상 커맨드군과 실제 커맨드군에서 제조 커맨드의 순서가 일치하는 경우에는, 스텝 S207로 진행한다. 한편, 공격ㆍ이상 검지부(803)는, 정상 커맨드군과 실제 커맨드군에서 제조 커맨드의 순서가 일치하지 않는 경우에는, 공격ㆍ이상으로 판정하고, 스텝 S210으로 진행한다.
여기서, "제조 커맨드의 순서가 일치한다"란, 정상 커맨드군과 실제 커맨드군 중 도달 순서가 동일한 제조 커맨드에 대하여, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터가 일치하는 것이다.
이때, 공격ㆍ이상 검지부(803)는, 정상 커맨드군의 제품 ID에는 존재하지만, 실제 커맨드군의 제품 ID에는 존재하지 않는 제조 커맨드가 있었을 경우에도, 제조 커맨드의 순서가 일치하는 경우에는, 정상으로 판정한다.
한편, 공격ㆍ이상 검지부(803)는, 실제 커맨드군의 도달 순서에는 존재하지만, 정상 커맨드군의 도달 순서에는 존재하지 않는 제조 커맨드가 있었을 경우에는, 제조 커맨드의 순서가 일치하고 있더라도, 공격ㆍ이상으로 판정한다.
스텝 S207로 진행한 경우에는, 공격ㆍ이상 검지부(803)는, 정상 커맨드 기억 영역(820) 및 실제 커맨드 기억 영역(830)으로부터, 앞의 스텝 S201에서 수신한 실제 공장(852)으로부터의 제조 커맨드와 동일한 제품 ID를 갖는 제조 커맨드군인 정상 커맨드군 및 실제 커맨드군을 취득한다.
다음으로, 스텝 S208에 있어서, 공격ㆍ이상 검지부(803)는, 스텝 S207에서 취득한 정상 커맨드군과 실제 커맨드군을 비교한다. 공격ㆍ이상 검지부(803)는, 정상 커맨드군과 실제 커맨드군에서 제조 커맨드의 집합이 일치하는 경우에는, 정상으로 판정하고, 스텝 S209로 진행한다. 한편, 공격ㆍ이상 검지부(803)는, 정상 커맨드군과 실제 커맨드군에서 제조 커맨드의 집합이 일치하지 않는 경우에는, 공격ㆍ이상으로 판정하고, 스텝 S210으로 진행한다.
여기서, "제조 커맨드의 집합이 일치한다"란, 정상 커맨드군과 실제 커맨드군 중 제품 ID가 동일한 제조 커맨드에 대하여, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터가 일치하는 것이다.
이때, 공격ㆍ이상 검지부(803)는, 정상 커맨드군의 도달 순서에는 존재하지만, 실제 커맨드군의 도달 순서에는 존재하지 않는 제조 커맨드가 있었을 경우에도, 제조 커맨드의 집합이 일치하는 경우에는, 정상으로 판정한다.
한편, 공격ㆍ이상 검지부(803)는, 실제 커맨드군의 제품 ID에는 존재하지만, 정상 커맨드군의 제품 ID에는 존재하지 않는 제조 커맨드가 있었을 경우에는, 제조 커맨드의 집합이 일치하고 있더라도, 공격ㆍ이상으로 판정한다.
본 실시의 형태 2에 있어서의 공격ㆍ이상 검지의 동작 처리에 대하여, 도 10, 도 11, 도 12의 커맨드 기억 영역의 예를 이용하여, 구체적으로 설명한다.
도 10은 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역(810)의 구체적인 예로서, 커맨드 기억 영역(1010)이 기억되어 있는 상태를 나타낸 도면이다. 우선, 도 10에 나타내는 커맨드 기억 영역(1010)에 대한 공격ㆍ이상 검지의 동작 처리의 예에 대하여 설명한다.
정상 커맨드 기억 영역(1020)에는, 목적지별 커맨드 추출부(802)가, 공장 시뮬레이터(851)로부터 송신된 제조 커맨드를 해석하여, 커맨드 목적지(1021), 커맨드 이름(1022), 커맨드 파라미터(1023), 제품 ID(1025)를 추출하고, 도달 순서(1024)를 부여한 결과가 축적되어 있는 것으로 한다.
한편, 실제 커맨드 기억 영역(1030)에는, 목적지별 커맨드 추출부(802)가, 실제 공장(852)으로부터 송신된 제조 커맨드를 해석하여, 커맨드 목적지(1031), 커맨드 이름(1032), 커맨드 파라미터(1033), 제품 ID(1035)를 추출하고, 도달 순서(1034)를 부여한 결과가 축적되어 있는 것으로 한다.
여기서, 정상 커맨드 기억 영역(1020)에는, 5개의 제조 커맨드가 축적되어 있고, 실제 커맨드 기억 영역(1030)에는, 3개의 제조 커맨드가 축적되어 있고, 정상의 상태인 예에 근거하여, 동작을 설명한다.
도 11은 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역(1010)의 구체적인 예로서, 도 10에 나타내는 커맨드 기억 영역(1010)의 예의 상태에서, 실제 공장(852)으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역(1110)이 기억되어 있는 상태를 나타낸 도면이다.
보다 구체적으로는, 커맨드 기억 영역(1110)의 예는, 도 10에 나타내는 커맨드 기억 영역(1010)의 예의 상태에서, 목적지별 커맨드 추출부(802)가, 실제 공장(852)으로부터 새롭게 1개의 제조 커맨드 "(커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=50, D=0, …, 도달 순서=4, 제품 ID=P002)"를 수신하고, 실제 커맨드 기억 영역(1130)에 축적한 상태에 상당한다.
여기서, 공격ㆍ이상 검지부(803)는, 전술한 새로운 제조 커맨드로부터, 커맨드 목적지=설비 1이 되는 정상 커맨드군을 정상 커맨드 기억 영역(1120)으로부터 취득하고, 커맨드 목적지=설비 1이 되는 실제 커맨드군을 실제 커맨드 기억 영역(1130)으로부터 취득한다.
이 결과로서, 공격ㆍ이상 검지부(803)는, 정상 커맨드군으로서 "(커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=100, B=20, …, 도달 순서=1), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=100, D=0, …, 도달 순서=2), (커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=3), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=50, D=0, …, 도달 순서=4)"를 얻는다.
마찬가지로 하여, 공격ㆍ이상 검지부(803)는, 실제 커맨드군으로서 "(커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=100, B=20, …, 도달 순서=1), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=100, D=0, …, 도달 순서=2), (커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=3), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=50, D=0, …, 도달 순서=4)"를 얻는다.
이때, 공격ㆍ이상 검지부(803)는, 얻어진 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(803)는, 비교 결과로서, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서가 모두 일치하기 때문에, 제조 커맨드의 순서가 일치하고 있다고 해석한다.
다음으로, 공격ㆍ이상 검지부(803)는, 전술한 새로운 제조 커맨드로부터, 제품 ID=P002가 되는 정상 커맨드군을 정상 커맨드 기억 영역(1120)으로부터 취득하고, 제품 ID=P002가 되는 실제 커맨드군을 실제 커맨드 기억 영역(1130)으로부터 취득한다.
이 결과로서, 공격ㆍ이상 검지부(803)는, 정상 커맨드군으로서 "(커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=3), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=50, D=0, …, 도달 순서=4)"를 얻는다.
마찬가지로 하여, 공격ㆍ이상 검지부(803)는, 실제 커맨드군으로서 "(커맨드 목적지=설비 1, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=3), (커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=50, D=0, …, 도달 순서=4)"를 얻는다.
이때, 공격ㆍ이상 검지부(803)는, 얻어진 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(803)는, 비교 결과로서, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터가 모두 일치하기 때문에, 제조 커맨드의 집합이 일치하고 있다고 해석한다.
다음으로, 도 12는 본 발명의 실시의 형태 2에 있어서의 커맨드 기억 영역(1010)의 구체적인 예로서, 도 11에 나타내는 커맨드 기억 영역(1110)의 예의 상태에서, 실제 공장(852)으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역(1210)이 기억되어 있는 상태를 나타낸 도면이다.
보다 구체적으로는, 커맨드 기억 영역(1210)의 예는, 도 11에 나타내는 커맨드 기억 영역(1110)의 예의 상태에서, 목적지별 커맨드 추출부(802)가, 실제 공장(852)으로부터 새롭게 1개의 제조 커맨드 "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=80, B=15, …, 도달 순서=1, 제품 ID=P102)"를 수신하고, 실제 커맨드 기억 영역(1230)에 축적한 상태에 상당한다.
여기서, 공격ㆍ이상 검지부(803)는, 전술한 새로운 제조 커맨드로부터, 커맨드 목적지=설비 2가 되는 정상 커맨드군을 정상 커맨드 기억 영역(1220)으로부터 취득하고, 커맨드 목적지=설비 2가 되는 실제 커맨드군을 실제 커맨드 기억 영역(1230)으로부터 취득한다.
이 결과로서, 공격ㆍ이상 검지부(803)는, 정상 커맨드군으로서 "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=80, B=15, …, 도달 순서=1)"을 얻는다.
마찬가지로 하여, 공격ㆍ이상 검지부(803)는, 실제 커맨드군으로서 "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=80, B=15, …, 도달 순서=1)"을 얻는다.
이때, 공격ㆍ이상 검지부(803)는, 얻어진 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(803)는, 비교 결과로서, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서가 모두 일치하기 때문에, 제조 커맨드의 순서가 일치하고 있다고 해석한다.
다음으로, 공격ㆍ이상 검지부(803)는, 전술한 새로운 제조 커맨드로부터, 제품 ID=P102가 되는 정상 커맨드군을 정상 커맨드 기억 영역(1120)으로부터 취득하고, 제품 ID=P102가 되는 실제 커맨드군을 실제 커맨드 기억 영역(1130)으로부터 취득한다.
이 결과로서, 공격ㆍ이상 검지부(803)는, 정상 커맨드군으로서 "공집합"을 얻는다. 마찬가지로 하여, 공격ㆍ이상 검지부(803)는, 실제 커맨드군으로서 "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=80, B=15, …, 도달 순서=1, 제품 ID=P102)"를 얻는다.
이때, 공격ㆍ이상 검지부(803)는, 얻어진 정상 커맨드군과 실제 커맨드군을 비교한다. 그리고, 공격ㆍ이상 검지부(803)는, 비교 결과로서, 실제 커맨드군과 비교해야 할 정상 커맨드군이 공집합이기 때문에, 제조 커맨드의 집합이 일치하고 있지 않다고 해석하고, 공격ㆍ이상으로 판정한다.
이와 같이, 본 실시의 형태 2에서는, 제조 커맨드의 목적지에 더하여 제품 ID를 이용함으로써, 특정한 제조 커맨드의 목적지가 파기된 경우이더라도, 제품 ID를 이용하여 실제 공장의 제조 커맨드에 대한 공격ㆍ이상을 검지할 수 있다고 하는 현저한 효과를 얻을 수 있다.
실시의 형태 3.
본 실시의 형태 3에서는, 제조 커맨드의 목적지에 더하여, 제품 ID 등의 추가 정보를 이용한 경우에, 특정한 목적지의 제조 커맨드 및 제품 ID가 파기되는 공격ㆍ이상을 검지 가능한 검지 서버를 실현하는 경우에 대하여 설명한다.
도 13은 본 발명의 실시의 형태 3에 있어서의 검지 서버(1301)의 구성도이다. 검지 서버(1301)는, 공격ㆍ이상 검지 장치의 구체적인 예에 상당한다.
검지 서버(1301)는, 도 1의 검지 서버(101)와 비교하여, 시간 계측부(1304)를 더 구비하고 있음과 아울러, 정상 커맨드 기억 영역(1320) 및 실제 커맨드 기억 영역(1330)이 기억하는 데이터 항목에, 제품 ID, 도달 예상 시간, 도달 시간, 누적 시간이 더 추가되어 있는 점이 상이하다. 그래서, 이들 차이점을 중심으로, 이하에 설명한다.
도 14는 본 발명의 실시의 형태 3에 있어서의 검지 서버(1301)에서 실행되는 공격ㆍ이상 검지 처리의 일련 동작을 나타내는 플로차트이다. 이하, 이 도 14에 나타내는 플로차트에 근거하여, 검지 서버(1301) 내의 목적지별 커맨드 추출부(1302) 및 공격ㆍ이상 검지부(1303)에 의한 공격ㆍ이상 검지 처리에 대하여 설명한다.
스텝 S301에 있어서, 목적지별 커맨드 추출부(1302)는, 시간 계측부(1304)에 의해 기동된다. 그리고, 목적지별 커맨드 추출부(1302)는, 정상 커맨드 기억 영역(1320)으로부터, 커맨드 목적지마다, 도달 시간(1327)이 공란인 제조 커맨드 중, 도달 순서가 가장 작은 제조 커맨드를 추출하고, 다음에 와야 할 실제 커맨드의 일람으로서 기억하여 둔다.
다음으로, 스텝 S302에 있어서, 목적지별 커맨드 추출부(1302)는, 다음에 와야 할 실제 커맨드의 일람 중에 제조 커맨드가 존재하는지 여부를 확인한다. 그리고, 목적지별 커맨드 추출부(1302)는, 다음에 와야 할 실제 커맨드의 일람 중에 제조 커맨드가 존재하는 경우에는, 그 1개를 골라내고, 스텝 S303으로 진행한다. 한편, 목적지별 커맨드 추출부(1302)는, 다음에 와야 할 실제 커맨드의 일람 중에 제조 커맨드가 존재하지 않는 경우에는, 일련 처리를 종료한다.
스텝 S303으로 진행한 경우에는, 목적지별 커맨드 추출부(1302)는, 스텝 S302에서 골라낸 제조 커맨드의 누적 시간에, 전회 기동 때의 시간과 현재 시각의 차분을 가산한다.
또한, 목적지별 커맨드 추출부(1302)는, 동일한 커맨드 목적지, 또한, 동일한 도달 순서를 갖는 제조 커맨드가, 실제 커맨드 기억 영역(1330)에 존재하는 경우에는, 누적 시간으로 도달 시간을 갱신하고, 정상 커맨드 기억 영역(1320)의 당해 제조 커맨드의 도달 시간(1327) 및 누적 시간(1328)을 갱신한다.
다음으로, 스텝 S304에 있어서, 공격ㆍ이상 검지부(1303)는, 당해 제조 커맨드의 누적 시간이, 도달 예상 시간을 초과하고 있는지 여부를 확인한다. 그리고, 공격ㆍ이상 검지부(1303)는, 당해 제조 커맨드의 누적 시간이 도달 예상 시간을 초과하고 있지 않은 경우에는, 정상으로 판정하고, 스텝 S305로 진행한다.
한편, 공격ㆍ이상 검지부(1303)는, 당해 제조 커맨드의 누적 시간이 도달 예상 시간을 초과하고 있는 경우에는, 공격ㆍ이상으로 판정하고, 스텝 S306으로 진행한다. 그 후, 어느 판정 결과의 경우에도, 스텝 S307로 진행한다.
스텝 S307로 진행한 경우에는, 목적지별 커맨드 추출부(1302)는, 다음에 와야 할 실제 커맨드의 일람 중에서, 처리 대상으로 되어 있던 제조 커맨드를 삭제한다. 그 후, 스텝 S302로 돌아가고, 다음의 처리 대상 커맨드에 대하여 일련 처리를 반복한다.
본 실시의 형태 3에 있어서의 공격ㆍ이상 검지의 동작 처리에 대하여, 도 15, 도 16의 커맨드 기억 영역의 예를 이용하여, 구체적으로 설명한다.
삭제
도 15는 본 발명의 실시의 형태 3에 있어서의 커맨드 기억 영역(1310)의 구체적인 예로서, 커맨드 기억 영역(1510)이 기억되어 있는 상태를 나타낸 도면이다. 우선, 도 15에 나타내는 커맨드 기억 영역(1510)에 대한 공격ㆍ이상 검지의 동작 처리의 예에 대하여 설명한다.
정상 커맨드 기억 영역(1520)에는, 목적지별 커맨드 추출부(1302)가, 공장 시뮬레이터(1351)로부터 송신된 제조 커맨드를 해석하여, 커맨드 목적지(1521), 커맨드 이름(1522), 커맨드 파라미터(1523), 제품 ID(1525), 도달 상정 시간(1526)을 추출하고, 도달 순서(1524)를 부여한 결과가 축적되어 있는 것으로 한다.
한편, 실제 커맨드 기억 영역(1530)에는, 목적지별 커맨드 추출부(1302)가, 실제 공장(1352)으로부터 송신된 제조 커맨드를 해석하여, 커맨드 목적지(1531), 커맨드 이름(1532), 커맨드 파라미터(1533), 제품 ID(1535)를 추출하고, 도달 순서(1534)를 부여한 결과가 축적되어 있는 것으로 한다.
여기서, 정상 커맨드 기억 영역(1520)에는, 3개의 제조 커맨드가 축적되어 있고, 실제 커맨드 기억 영역(1530)에는, 1개의 제조 커맨드가 축적되어 있고, 정상의 상태인 예에 근거하여, 동작을 설명한다.
도 16은 본 발명의 실시의 형태 3에 있어서의 커맨드 기억 영역(1310)의 구체적인 예로서, 도 15에 나타내는 커맨드 기억 영역(1510)의 예의 상태에서, 실제 공장(1352)으로부터 새롭게 1개의 제조 커맨드가 더 수신되어, 갱신된 커맨드 기억 영역(1610)이 기억되어 있는 상태를 나타낸 도면이다.
보다 구체적으로는, 커맨드 기억 영역(1610)의 예는, 도 15에 나타내는 커맨드 기억 영역(1510)의 예의 상태에서, 목적지별 커맨드 추출부(1302)가, 실제 공장(1352)으로부터 새롭게 1개의 제조 커맨드 "(커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=100, D=0, …, 도달 순서=2, 제품 ID=P001)"을 수신하고, 실제 커맨드 기억 영역(1630)에 축적한 상태에 상당한다.
여기서, 시간 계측부(1304)가, 시간 초과의 공격ㆍ이상 검지를 행하는 처리의 기동을 목적지별 커맨드 추출부(1302)에 의뢰하면, 목적지별 커맨드 추출부(1302)는, 정상 커맨드 기억 영역(1620)으로부터 "(커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=100, D=0, …, 도달 순서=2, 제품 ID=P001, 도달 상정 시간=120, 도달 시간=(공란), 누적 시간=10), (커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=1, 제품 ID=P002, 도달 상정 시간=150, 도달 시간=(공란), 누적 시간=100)"을 취득한다.
여기서, 전회의 시간 계측부(1304)의 기동과 현재 시각의 시간 차분이 90으로 하면, 목적지별 커맨드 추출부(1302)는, 도달 시간과 누적 시간을 갱신하는 결과, "(커맨드 목적지=설비 1, 커맨드 이름=공정 완료, 커맨드 파라미터=C=100, D=0, …, 도달 순서=2, 제품 ID=P001, 도달 상정 시간=120, 도달 시간=100, 누적 시간=100), (커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=1, 제품 ID=P002, 도달 상정 시간=150, 도달 시간=(공란), 누적 시간=190)"이 된다.
이때, "(커맨드 목적지=설비 2, 커맨드 이름=공정 개시, 커맨드 파라미터=A=150, B=50, …, 도달 순서=1, 제품 ID=P002, 도달 상정 시간=150, 도달 시간=(공란), 누적 시간=190)"은, 도달 상정 시간을 누적 시간이 초과하고 있다. 따라서, 공격ㆍ이상 검지부(1303)는, 공격ㆍ이상으로 판정한다.
이와 같이, 본 실시의 형태 3에서는, 제조 커맨드의 도달 상정 시간과 도달 시간과 누적 시간을 이용함으로써, 특정한 목적지의 제조 커맨드 및 제품 ID가 파기된 경우이더라도, 도달 상정 시간과 누적 시간의 차분으로부터, 공격ㆍ이상을 검지할 수 있다고 하는 현저한 효과를 얻을 수 있다.
101 : 검지 서버
102 : 목적지별 커맨드 추출부
103 : 공격ㆍ이상 검지부
110 : 커맨드 기억 영역
120 : 정상 커맨드 기억 영역
130 : 실제 커맨드 기억 영역
151 : 공장 시뮬레이터
152 : 실제 공장
301 : 연산 장치
302 : 외부 기억 장치
303 : 주 기억 장치
304 : 통신 장치
305 : 버스
102 : 목적지별 커맨드 추출부
103 : 공격ㆍ이상 검지부
110 : 커맨드 기억 영역
120 : 정상 커맨드 기억 영역
130 : 실제 커맨드 기억 영역
151 : 공장 시뮬레이터
152 : 실제 공장
301 : 연산 장치
302 : 외부 기억 장치
303 : 주 기억 장치
304 : 통신 장치
305 : 버스
Claims (11)
- 기억부와, 커맨드 추출부와, 검지부를 구비하고, 실제 공장에 있어서의 제조 커맨드에 포함되는 공격ㆍ이상을 검지하는 공격ㆍ이상 검지 장치로서,
상기 기억부는, 정상의 제조 커맨드의 집합이 기억된 정상 커맨드 기억 영역과, 상기 실제 공장으로부터 송신되는 실제의 제조 커맨드의 집합이 기억된 실제 커맨드 기억 영역을 갖고,
상기 커맨드 추출부는,
커맨드 목적지, 커맨드 이름, 커맨드 파라미터를 포함하여 구성된 실제의 제조 커맨드를 상기 실제 공장으로부터 수신하고, 커맨드 목적지가 동일한 실제의 제조 커맨드에 관하여 수신한 순으로 도달 순서의 번호를 부여하여 상기 실제의 제조 커맨드의 집합의 하나의 요소로서 상기 실제 커맨드 기억 영역에 기억시키고,
상기 실제의 제조 커맨드를 이번에 수신했을 때에, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서를 포함한 구성으로서 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 정상 커맨드군으로서 추출하고, 상기 실제 커맨드 기억 영역에 기억된 상기 실제의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 실제 커맨드군으로서 추출하고,
상기 검지부는, 상기 커맨드 추출부에 의해 추출된 상기 정상 커맨드군 및 상기 실제 커맨드군을 상기 도달 순서마다 비교하는 제 1 검지 처리를 실행함으로써 공격ㆍ이상을 검지하는
공격ㆍ이상 검지 장치.
- 제 1 항에 있어서,
상기 커맨드 추출부는, 상기 실제 공장의 동작이 정상인 경우에 상기 실제 공장으로부터 송신되는 실제의 제조 커맨드와 동일한 커맨드 목적지, 동일한 커맨드 이름, 동일한 커맨드 파라미터를 포함하여 구성된 정상의 제조 커맨드를 공장 시뮬레이터에 의한 시뮬레이션 결과로서 수신하고, 커맨드 목적지가 동일한 정상의 제조 커맨드에 관하여 수신한 순으로 도달 순서의 번호를 부여하여 상기 정상의 제조 커맨드의 집합의 하나의 요소로서 상기 정상 커맨드 기억 영역에 기억시키는 공격ㆍ이상 검지 장치.
- 제 1 항에 있어서,
상기 커맨드 추출부에 의해 수신되는 상기 실제의 제조 커맨드 및 상기 정상의 제조 커맨드의 각각은, 상기 커맨드 목적지 이외에, 제조 커맨드의 적용 대상을 식별하기 위한 판별 정보가 포함되어 있고,
상기 커맨드 추출부는, 상기 검지부에 의해 상기 제 1 검지 처리가 실행된 결과, 상기 이번에 수신한 상기 실제의 제조 커맨드가 정상이라고 가판정된 경우에는, 상기 실제의 제조 커맨드를 이번에 수신했을 때에, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서, 판별 정보를 포함한 구성으로서 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 판별 정보와 동일한 판별 정보를 갖는 요소를 제 2 정상 커맨드군으로서 추출하고, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서, 판별 정보를 포함한 구성으로서 상기 실제 커맨드 기억 영역에 기억된 상기 실제의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 판별 정보와 동일한 판별 정보를 갖는 요소를 제 2 실제 커맨드군으로서 추출하고,
상기 검지부는, 상기 커맨드 추출부에 의해 추출된 상기 제 2 정상 커맨드군 및 상기 제 2 실제 커맨드군을 비교하는 제 2 검지 처리를 실행하고, 상기 제 2 실제 커맨드군이 상기 제 2 정상 커맨드군과 일치하거나, 또는 부분 집합으로 되어 있는 것에 의해 상기 이번에 수신한 상기 실제의 제조 커맨드가 정상인 것을 최종 판정하는
공격ㆍ이상 검지 장치.
- 제 2 항에 있어서,
상기 커맨드 추출부에 의해 수신되는 상기 실제의 제조 커맨드 및 상기 정상의 제조 커맨드의 각각은, 상기 커맨드 목적지 이외에, 제조 커맨드의 적용 대상을 식별하기 위한 판별 정보가 포함되어 있고,
상기 커맨드 추출부는, 상기 검지부에 의해 상기 제 1 검지 처리가 실행된 결과, 상기 이번에 수신한 상기 실제의 제조 커맨드가 정상이라고 가판정된 경우에는, 상기 실제의 제조 커맨드를 이번에 수신했을 때에, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서, 판별 정보를 포함한 구성으로서 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 판별 정보와 동일한 판별 정보를 갖는 요소를 제 2 정상 커맨드군으로서 추출하고, 커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서, 판별 정보를 포함한 구성으로서 상기 실제 커맨드 기억 영역에 기억된 상기 실제의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 판별 정보와 동일한 판별 정보를 갖는 요소를 제 2 실제 커맨드군으로서 추출하고,
상기 검지부는, 상기 커맨드 추출부에 의해 추출된 상기 제 2 정상 커맨드군 및 상기 제 2 실제 커맨드군을 비교하는 제 2 검지 처리를 실행하고, 상기 제 2 실제 커맨드군이 상기 제 2 정상 커맨드군과 일치하거나, 또는 부분 집합으로 되어 있는 것에 의해 상기 이번에 수신한 상기 실제의 제조 커맨드가 정상인 것을 최종 판정하는
공격ㆍ이상 검지 장치.
- 제 1 항에 있어서,
다음에 수신해야 할 실제의 제조 커맨드에 대하여 도달 시간을 계측하는 시간 계측부를 더 구비하고,
상기 커맨드 추출부에 의해 수신되는 상기 정상의 제조 커맨드는, 도달 상정 시간이 포함되어 구성되어 있고,
상기 커맨드 추출부는, 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 다음에 도달해야 할 실제의 제조 커맨드에 상당하는 정상의 커맨드를 대응하는 도달 예상 시간과 함께 추출하고,
상기 검지부는, 상기 다음에 도달해야 할 실제의 제조 커맨드를, 상기 대응하는 도달 예상 시간을 경과하더라도 수신할 수 없는 경우에는, 실제의 정상 커맨드의 수신 이상이 발생한 것을 검지하는
공격ㆍ이상 검지 장치.
- 제 2 항에 있어서,
다음에 수신해야 할 실제의 제조 커맨드에 대하여 도달 시간을 계측하는 시간 계측부를 더 구비하고,
상기 커맨드 추출부에 의해 수신되는 상기 정상의 제조 커맨드는, 도달 상정 시간이 포함되어 구성되어 있고,
상기 커맨드 추출부는, 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 다음에 도달해야 할 실제의 제조 커맨드에 상당하는 정상의 커맨드를 대응하는 도달 예상 시간과 함께 추출하고,
상기 검지부는, 상기 다음에 도달해야 할 실제의 제조 커맨드를, 상기 대응하는 도달 예상 시간을 경과하더라도 수신할 수 없는 경우에는, 실제의 정상 커맨드의 수신 이상이 발생한 것을 검지하는
공격ㆍ이상 검지 장치.
- 제 3 항에 있어서,
다음에 수신해야 할 실제의 제조 커맨드에 대하여 도달 시간을 계측하는 시간 계측부를 더 구비하고,
상기 커맨드 추출부에 의해 수신되는 상기 정상의 제조 커맨드는, 도달 상정 시간이 포함되어 구성되어 있고,
상기 커맨드 추출부는, 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 다음에 도달해야 할 실제의 제조 커맨드에 상당하는 정상의 커맨드를 대응하는 도달 예상 시간과 함께 추출하고,
상기 검지부는, 상기 다음에 도달해야 할 실제의 제조 커맨드를, 상기 대응하는 도달 예상 시간을 경과하더라도 수신할 수 없는 경우에는, 실제의 정상 커맨드의 수신 이상이 발생한 것을 검지하는
공격ㆍ이상 검지 장치.
- 제 4 항에 있어서,
다음에 수신해야 할 실제의 제조 커맨드에 대하여 도달 시간을 계측하는 시간 계측부를 더 구비하고,
상기 커맨드 추출부에 의해 수신되는 상기 정상의 제조 커맨드는, 도달 상정 시간이 포함되어 구성되어 있고,
상기 커맨드 추출부는, 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 다음에 도달해야 할 실제의 제조 커맨드에 상당하는 정상의 커맨드를 대응하는 도달 예상 시간과 함께 추출하고,
상기 검지부는, 상기 다음에 도달해야 할 실제의 제조 커맨드를, 상기 대응하는 도달 예상 시간을 경과하더라도 수신할 수 없는 경우에는, 실제의 정상 커맨드의 수신 이상이 발생한 것을 검지하는
공격ㆍ이상 검지 장치.
- 실제 공장에 있어서의 제조 커맨드에 포함되는 공격ㆍ이상을 검지하는, 컴퓨터 판독 가능한 기록 매체에 기록된 공격ㆍ이상 검지 프로그램으로서,
컴퓨터에,
커맨드 목적지, 커맨드 이름, 커맨드 파라미터를 포함하여 구성된 실제의 제조 커맨드를 상기 실제 공장으로부터 수신하는 제 1 스텝과,
커맨드 목적지가 동일한 실제의 제조 커맨드에 관하여, 수신한 순으로 도달 순서의 번호를 부여하여 실제의 제조 커맨드의 집합의 하나의 요소로서 실제 커맨드 기억 영역에 기억시키는 제 2 스텝과,
커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서를 포함한 구성으로서 정상 커맨드 기억 영역에 정상의 제조 커맨드의 집합을 기억시켜 두는 제 3 스텝과,
상기 실제의 제조 커맨드를 이번에 수신했을 때에, 상기 제 3 스텝에 의해 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 정상 커맨드군으로서 추출하는 제 4 스텝과,
상기 실제 커맨드 기억 영역에 기억된 상기 실제의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 실제 커맨드군으로서 추출하는 제 5 스텝과,
상기 제 4 스텝에 의해 추출된 상기 정상 커맨드군 및 상기 제 5 스텝에 의해 추출된 상기 실제 커맨드군을 상기 도달 순서마다 비교하는 제 1 검지 처리를 실행함으로써 공격ㆍ이상을 검지하는 제 6 스텝
을 실행시키기 위한 컴퓨터 판독 가능한 기록 매체에 기록된 공격ㆍ이상 검지 프로그램.
- 실제 공장에 있어서의 제조 커맨드에 포함되는 공격ㆍ이상을 검지하는 공격ㆍ이상 검지 장치에 의해 실행되는 공격ㆍ이상 검지 방법으로서,
커맨드 목적지, 커맨드 이름, 커맨드 파라미터를 포함하여 구성된 실제의 제조 커맨드를 상기 실제 공장으로부터 수신하는 제 1 스텝과,
커맨드 목적지가 동일한 실제의 제조 커맨드에 관하여, 수신한 순으로 도달 순서의 번호를 부여하여 실제의 제조 커맨드의 집합의 하나의 요소로서 실제 커맨드 기억 영역에 기억시키는 제 2 스텝과,
커맨드 목적지, 커맨드 이름, 커맨드 파라미터, 도달 순서를 포함한 구성으로서 정상 커맨드 기억 영역에 정상의 제조 커맨드의 집합을 기억시켜 두는 제 3 스텝과,
상기 실제의 제조 커맨드를 이번에 수신했을 때에, 상기 제 3 스텝에 의해 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 정상 커맨드군으로서 추출하는 제 4 스텝과,
상기 실제 커맨드 기억 영역에 기억된 상기 실제의 제조 커맨드의 집합 중에서, 상기 이번에 수신한 상기 실제의 제조 커맨드에 포함되어 있는 커맨드 목적지와 동일한 커맨드 목적지를 갖는 요소를 실제 커맨드군으로서 추출하는 제 5 스텝과,
상기 제 4 스텝에 의해 추출된 상기 정상 커맨드군 및 상기 제 5 스텝에 의해 추출된 상기 실제 커맨드군을 상기 도달 순서마다 비교하는 제 1 검지 처리를 실행함으로써 공격ㆍ이상을 검지하는 제 6 스텝
을 갖는 공격ㆍ이상 검지 방법.
- 제 10 항에 있어서,
상기 제 3 스텝에 있어서, 상기 정상 커맨드 기억 영역에 상기 정상의 제조 커맨드의 집합으로서 기억된 각각의 정상의 제조 커맨드는, 도달 예측 시간을 더 포함하여 구성되어 있고,
상기 제 3 스텝에 의해 상기 정상 커맨드 기억 영역에 기억된 상기 정상의 제조 커맨드의 집합 중에서, 다음에 도달해야 할 실제의 제조 커맨드에 상당하는 정상의 커맨드를 대응하는 도달 예상 시간과 함께 추출하는 제 7 스텝과,
상기 다음에 도달해야 할 실제의 제조 커맨드를, 상기 대응하는 도달 예상 시간을 경과하더라도 수신할 수 없는 경우에는, 실제의 정상 커맨드의 수신 이상이 발생한 것을 검지하는 제 8 스텝
을 더 갖는
공격ㆍ이상 검지 방법.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2017/002478 WO2018138793A1 (ja) | 2017-01-25 | 2017-01-25 | 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190090028A KR20190090028A (ko) | 2019-07-31 |
KR102115734B1 true KR102115734B1 (ko) | 2020-05-27 |
Family
ID=62977954
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020197020833A KR102115734B1 (ko) | 2017-01-25 | 2017-01-25 | 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램 |
Country Status (7)
Country | Link |
---|---|
US (1) | US11467565B2 (ko) |
JP (1) | JP6541903B2 (ko) |
KR (1) | KR102115734B1 (ko) |
CN (1) | CN110192196B (ko) |
DE (1) | DE112017006528T5 (ko) |
TW (1) | TWI632442B (ko) |
WO (1) | WO2018138793A1 (ko) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3860079B1 (en) * | 2020-01-31 | 2024-01-24 | Deutsche Telekom AG | Method and system for a secure and valid configuration of network elements |
CN115485715B (zh) * | 2020-10-13 | 2024-06-18 | 三菱电机株式会社 | 模型生成装置、异常判定装置、异常判定***、模型生成方法及计算机可读取记录介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016106298A (ja) | 2016-01-06 | 2016-06-16 | 横河電機株式会社 | プロセス制御装置及びシステム並びにその健全性判定方法 |
JP6031202B1 (ja) | 2016-01-29 | 2016-11-24 | ファナック株式会社 | 製造機械の異常の原因を発見するセル制御装置 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2790844B1 (fr) * | 1999-03-09 | 2001-05-25 | Gemplus Card Int | Procede et dispositif de surveillance du deroulement d'un programme, dispositif programme permettant la surveillance de son programme |
US8036872B2 (en) * | 2006-03-10 | 2011-10-11 | Edsa Micro Corporation | Systems and methods for performing automatic real-time harmonics analyses for use in real-time power analytics of an electrical power distribution system |
US9557723B2 (en) * | 2006-07-19 | 2017-01-31 | Power Analytics Corporation | Real-time predictive systems for intelligent energy monitoring and management of electrical power networks |
JP2012059032A (ja) | 2010-09-09 | 2012-03-22 | Hitachi Ltd | 生産計画作成方法及びその装置 |
EP2752722B1 (en) | 2011-08-31 | 2019-11-06 | Hitachi Power Solutions Co., Ltd. | Facility state monitoring method and device for same |
CN102624736B (zh) * | 2012-03-20 | 2014-11-12 | 瑞斯康达科技发展股份有限公司 | 一种tl1命令校验方法及装置 |
DE112012007224T5 (de) | 2012-12-13 | 2015-10-22 | Abb Technology Ag | System und Verfahren zur Betriebsablauf-Überwachung und/oder -Diagnose einer Fertigungsstraße einer Industrieanlage |
JP5538597B2 (ja) | 2013-06-19 | 2014-07-02 | 株式会社日立製作所 | 異常検知方法及び異常検知システム |
WO2015116176A1 (en) * | 2014-01-31 | 2015-08-06 | Hewlett-Packard Development Company, L.P. | Device provided script to convert command |
DE102014206683A1 (de) * | 2014-04-07 | 2015-10-08 | Wobben Properties Gmbh | Vorrichtung und Verfahren zum automatisierten Bearbeiten von Werkstücken |
JP6387707B2 (ja) | 2014-07-01 | 2018-09-12 | 富士通株式会社 | 異常検出システム、表示装置、異常検出方法及び異常検出プログラム |
TWI562013B (en) * | 2015-07-06 | 2016-12-11 | Wistron Corp | Method, system and apparatus for predicting abnormality |
JP6076421B2 (ja) * | 2015-07-23 | 2017-02-08 | 株式会社日立パワーソリューションズ | 設備状態監視方法およびその装置 |
-
2017
- 2017-01-25 DE DE112017006528.3T patent/DE112017006528T5/de active Pending
- 2017-01-25 US US16/466,188 patent/US11467565B2/en active Active
- 2017-01-25 WO PCT/JP2017/002478 patent/WO2018138793A1/ja active Application Filing
- 2017-01-25 CN CN201780083750.1A patent/CN110192196B/zh active Active
- 2017-01-25 KR KR1020197020833A patent/KR102115734B1/ko active IP Right Grant
- 2017-01-25 JP JP2018563982A patent/JP6541903B2/ja active Active
- 2017-04-25 TW TW106113724A patent/TWI632442B/zh active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016106298A (ja) | 2016-01-06 | 2016-06-16 | 横河電機株式会社 | プロセス制御装置及びシステム並びにその健全性判定方法 |
JP6031202B1 (ja) | 2016-01-29 | 2016-11-24 | ファナック株式会社 | 製造機械の異常の原因を発見するセル制御装置 |
Also Published As
Publication number | Publication date |
---|---|
JP6541903B2 (ja) | 2019-07-10 |
TW201827963A (zh) | 2018-08-01 |
CN110192196A (zh) | 2019-08-30 |
JPWO2018138793A1 (ja) | 2019-06-27 |
DE112017006528T5 (de) | 2019-09-26 |
TWI632442B (zh) | 2018-08-11 |
CN110192196B (zh) | 2023-06-13 |
KR20190090028A (ko) | 2019-07-31 |
US11467565B2 (en) | 2022-10-11 |
US20200073369A1 (en) | 2020-03-05 |
WO2018138793A1 (ja) | 2018-08-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6919569B2 (ja) | ログ分析システム、方法、及び記録媒体 | |
KR102271449B1 (ko) | 인공지능 모델 플랫폼 및 인공지능 모델 플랫폼 운영 방법 | |
JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
JP6528448B2 (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
JP6827266B2 (ja) | 検知プログラム、検知方法および検知装置 | |
US9916445B2 (en) | Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program | |
JP6280862B2 (ja) | イベント分析システムおよび方法 | |
US10459730B2 (en) | Analysis system and analysis method for executing analysis process with at least portions of time series data and analysis data as input data | |
JP6058246B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
JP6523582B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
JP7311350B2 (ja) | 監視装置、監視方法、および監視プログラム | |
US10970391B2 (en) | Classification method, classification device, and classification program | |
KR20210063049A (ko) | 산업 제어 시스템을 위한 위험도 산출 방법 및 이를 위한 장치 | |
KR102115734B1 (ko) | 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램 | |
JPWO2020189669A1 (ja) | リスク分析装置及びリスク分析方法 | |
KR102036707B1 (ko) | 자산과 임무간 의존성 기반의 임무 영향도 분석 방법 | |
WO2019240020A1 (ja) | 不正通信検知装置、不正通信検知方法及び製造システム | |
CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
KR102195823B1 (ko) | It 디바이스 보안 취약점 점검 및 조치 시스템 | |
CN115146263B (zh) | 用户账号的失陷检测方法、装置、电子设备及存储介质 | |
EP3024192A1 (en) | Analysing security risks of an industrial automation and control system | |
KR20210046423A (ko) | 머신러닝 기반 보안관제 장치 및 방법 | |
CN114547590A (zh) | 代码检测方法、装置及非瞬时性计算机可读存储介质 | |
CN117556414B (zh) | 一种基于云计算的软件管理方法及*** | |
KR20210057194A (ko) | 공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |