知財求人 - 知財ポータルサイト「IP Force」
▶ 三菱電機ビルテクノサービス株式会社の特許一覧 ▶ 三菱電機株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6584733
(24)【登録日】2019年9月13日
(45)【発行日】2019年10月2日
(54)【発明の名称】侵入検知装置および侵入検知方法ならびに侵入検知システム
(51)【国際特許分類】
H04L 12/70 20130101AFI20190919BHJP
H04L 12/28 20060101ALI20190919BHJP
G06F 21/55 20130101ALI20190919BHJP
G08B 25/04 20060101ALI20190919BHJP
H04Q 9/00 20060101ALI20190919BHJP
【FI】
H04L12/70 100Z
H04L12/28 200M
G06F21/55
G08B25/04 A
H04Q9/00 301C
【請求項の数】19
【全頁数】37
(21)【出願番号】特願2019-526874(P2019-526874)
(86)(22)【出願日】2018年6月25日
(86)【国際出願番号】JP2018023933
(87)【国際公開番号】WO2019004101
(87)【国際公開日】20190103
【審査請求日】2019年7月10日
(31)【優先権主張番号】PCT/JP2017/023573
(32)【優先日】2017年6月27日
(33)【優先権主張国】JP
【早期審査対象出願】
(73)【特許権者】
【識別番号】000236056
【氏名又は名称】三菱電機ビルテクノサービス株式会社
(73)【特許権者】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(74)【代理人】
【識別番号】110001210
【氏名又は名称】特許業務法人YKI国際特許事務所
(72)【発明者】
【氏名】中島 義統
(72)【発明者】
【氏名】三輪 剛久
(72)【発明者】
【氏名】樋口 真樹
(72)【発明者】
【氏名】山口 晃由
(72)【発明者】
【氏名】中井 綱人
(72)【発明者】
【氏名】川▲崎▼ 仁
【審査官】
鈴木 肇
(56)【参考文献】
【文献】
国際公開第2016/194123(WO,A1)
【文献】
特開2007−164313(JP,A)
【文献】
特開2004−304752(JP,A)
【文献】
特開2012−034273(JP,A)
【文献】
国際公開第2014/155650(WO,A1)
【文献】
米国特許出願公開第2009/0271504(US,A1)
【文献】
中井 綱人 Tsunato Nakai,山口 晃由 Teruyoshi Yamaguchi,清水 孝一 Koichi Shimizu,小林 信博 Nobuhiro,プラント制御システム向けホワイトリスト型攻撃検知機能の設計 Design of Whitelisting Intrusion Detecti,SCIS2016 2016 Symposium on Cryptography and Information Security,日本,2016年 1月,第1-8頁
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00−12/955
G06F 21/50−21/57
G08B 23/00−31/00
H03J 9/00− 9/06
H04Q 9/00− 9/16
(57)【特許請求の範囲】
【請求項1】
ビル設備の管理システムを構成するネットワークへの侵入を検知する侵入検知装置であって、
前記ネットワークに流れる前記ビル設備に関する通信データを取得する通信取得部と、
前記ネットワークにおける通信を許可する通信許可ルールを生成して通信許可リストとして格納する通信許可リスト生成部と、
前記通信取得部が取得した前記通信データを含む通信判定データと前記通信許可リストの中の前記通信許可ルールとを比較して前記ネットワークへの侵入を検知する侵入検知部と、
前記ビル設備のオブジェクトの属性情報を含むエンジニアリング情報を解析して前記通信許可ルールの生成に必要な情報を抽出し、前記ネットワークの通信仕様フォーマットに形成して中間データとして出力する属性情報解析部と、を備え、
前記通信取得部は、取得した前記通信データに基づいて前記通信判定データを生成して前記侵入検知部に出力し、
前記侵入検知部は、前記通信判定データが前記通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知し、
前記通信許可リスト生成部は、
前記中間データにネットワーク構成情報とオブジェクト入出力情報とを含む管理情報を合わせて前記通信許可ルールを生成する侵入検知装置。
前記ネットワークに流れる前記ビル設備に関する通信データを取得する通信取得部と、
前記ネットワークにおける通信を許可する通信許可ルールを生成して通信許可リストとして格納する通信許可リスト生成部と、
前記通信取得部が取得した前記通信データを含む通信判定データと前記通信許可リストの中の前記通信許可ルールとを比較して前記ネットワークへの侵入を検知する侵入検知部と、
前記ビル設備のオブジェクトの属性情報を含むエンジニアリング情報を解析して前記通信許可ルールの生成に必要な情報を抽出し、前記ネットワークの通信仕様フォーマットに形成して中間データとして出力する属性情報解析部と、を備え、
前記通信取得部は、取得した前記通信データに基づいて前記通信判定データを生成して前記侵入検知部に出力し、
前記侵入検知部は、前記通信判定データが前記通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知し、
前記通信許可リスト生成部は、
前記中間データにネットワーク構成情報とオブジェクト入出力情報とを含む管理情報を合わせて前記通信許可ルールを生成する侵入検知装置。
【請求項2】
請求項1に記載の侵入検知装置であって、
前記エンジニアリング情報は、外部から前記属性情報解析部に入力され、
前記管理情報は、外部から前記通信許可リスト生成部に入力される侵入検知装置。
前記エンジニアリング情報は、外部から前記属性情報解析部に入力され、
前記管理情報は、外部から前記通信許可リスト生成部に入力される侵入検知装置。
【請求項3】
請求項1又は2に記載の侵入検知装置であって、
前記通信取得部が生成した前記通信判定データを学習して前記ネットワークに流れる前記ビル設備に関する前記通信データから通信ルールを生成し、通信ルールリストとして出力する通信ルールリスト生成部と、
修正通信許可リストを格納する通信許可リスト格納部と、
前記通信ルールリストの中の一の通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一部のみが異なる場合には前記通信許可ルールに合わせて前記一の通信ルールを修正して前記修正通信許可リストとして前記通信許可リスト格納部に出力し、前記通信ルールリストの中の全ての通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一致する場合には、前記通信ルールリストを前記修正通信許可リストとして前記通信許可リスト格納部に出力する通信ルールリスト検証部と、を含み、
前記侵入検知部は、前記通信取得部が生成した前記通信判定データが前記通信許可リスト格納部に格納された前記修正通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知する侵入検知装置。
前記通信取得部が生成した前記通信判定データを学習して前記ネットワークに流れる前記ビル設備に関する前記通信データから通信ルールを生成し、通信ルールリストとして出力する通信ルールリスト生成部と、
修正通信許可リストを格納する通信許可リスト格納部と、
前記通信ルールリストの中の一の通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一部のみが異なる場合には前記通信許可ルールに合わせて前記一の通信ルールを修正して前記修正通信許可リストとして前記通信許可リスト格納部に出力し、前記通信ルールリストの中の全ての通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一致する場合には、前記通信ルールリストを前記修正通信許可リストとして前記通信許可リスト格納部に出力する通信ルールリスト検証部と、を含み、
前記侵入検知部は、前記通信取得部が生成した前記通信判定データが前記通信許可リスト格納部に格納された前記修正通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知する侵入検知装置。
【請求項4】
請求項3に記載の侵入検知装置であって、
前記通信ルールリスト検証部は、
前記通信ルールリストの中の一の通信ルールが前記通信許可リスト中のいずれの前記通信許可ルールとも異なる場合で、且つ、前記通信許可ルールに合わせて前記一の通信ルールを修正できない場合には、前記通信ルールリストから前記一の通信ルールを削除して前記修正通信許可リストとして前記通信許可リスト格納部に出力する侵入検知装置。
前記通信ルールリスト検証部は、
前記通信ルールリストの中の一の通信ルールが前記通信許可リスト中のいずれの前記通信許可ルールとも異なる場合で、且つ、前記通信許可ルールに合わせて前記一の通信ルールを修正できない場合には、前記通信ルールリストから前記一の通信ルールを削除して前記修正通信許可リストとして前記通信許可リスト格納部に出力する侵入検知装置。
【請求項5】
請求項3又は4に記載の侵入検知装置であって、
前記通信ルールリスト検証部は、
前記通信許可リストに含まれる前記オブジェクトに関する前記通信許可ルールの中で、前記通信ルールリストに前記オブジェクトに関する前記通信ルールが含まれていないものがある場合には、その前記通信許可ルールを前記通信ルールリストに追加して前記修正通信許可リストとして前記通信許可リスト格納部に出力する侵入検知装置。
前記通信ルールリスト検証部は、
前記通信許可リストに含まれる前記オブジェクトに関する前記通信許可ルールの中で、前記通信ルールリストに前記オブジェクトに関する前記通信ルールが含まれていないものがある場合には、その前記通信許可ルールを前記通信ルールリストに追加して前記修正通信許可リストとして前記通信許可リスト格納部に出力する侵入検知装置。
【請求項6】
請求項1から5のいずれか1項に記載に侵入検知装置であって、
前記侵入検知部が前記ネットワークへの侵入を検知した場合に、侵入を検知したことを示す警報を前記ネットワークに出力する警報部を備える侵入検知装置。
前記侵入検知部が前記ネットワークへの侵入を検知した場合に、侵入を検知したことを示す警報を前記ネットワークに出力する警報部を備える侵入検知装置。
【請求項7】
ビル設備の管理システムを構成するネットワークへの侵入を検知する侵入検知方法であって、
前記ネットワークに流れる前記ビル設備に関する通信データを取得する通信データ取得ステップと、
前記ビル設備のオブジェクトの属性情報を含むエンジニアリング情報に基づいて前記ネットワークにおける通信を許可する通信許可ルールを生成して通信許可リストとして出力する通信許可リスト生成ステップと、
取得した前記通信データを含む通信判定データと前記通信許可リストの中の前記通信許可ルールとを比較して前記ネットワークへの侵入を検知する侵入検知ステップと、
前記エンジニアリング情報を解析して前記通信許可ルールの生成に必要な情報を抽出し、前記ネットワークの通信仕様フォーマットに形成して中間データとして出力する属性情報解析ステップと、
取得した前記通信データに基づいて前記通信判定データを生成する判定データ生成ステップと、を備え、
前記侵入検知ステップは、前記通信判定データが前記通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知し、
前記通信許可リスト生成ステップは、
前記中間データにネットワーク構成情報とオブジェクト入出力情報とを含む管理情報を合わせて前記通信許可ルールを生成する侵入検知方法。
前記ネットワークに流れる前記ビル設備に関する通信データを取得する通信データ取得ステップと、
前記ビル設備のオブジェクトの属性情報を含むエンジニアリング情報に基づいて前記ネットワークにおける通信を許可する通信許可ルールを生成して通信許可リストとして出力する通信許可リスト生成ステップと、
取得した前記通信データを含む通信判定データと前記通信許可リストの中の前記通信許可ルールとを比較して前記ネットワークへの侵入を検知する侵入検知ステップと、
前記エンジニアリング情報を解析して前記通信許可ルールの生成に必要な情報を抽出し、前記ネットワークの通信仕様フォーマットに形成して中間データとして出力する属性情報解析ステップと、
取得した前記通信データに基づいて前記通信判定データを生成する判定データ生成ステップと、を備え、
前記侵入検知ステップは、前記通信判定データが前記通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知し、
前記通信許可リスト生成ステップは、
前記中間データにネットワーク構成情報とオブジェクト入出力情報とを含む管理情報を合わせて前記通信許可ルールを生成する侵入検知方法。
【請求項8】
請求項7に記載の侵入検知方法であって、
前記通信判定データを学習して前記ネットワークに流れる前記ビル設備に関する前記通信データから通信ルールを生成して通信ルールリストとして出力する通信ルールリスト生成ステップと、
前記通信ルールリストの中の一の通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一部のみが異なる場合には前記通信許可ルールに合わせて前記一の通信ルールを修正して修正通信許可リストとし、前記通信ルールリストの中の全ての通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一致する場合には、前記通信ルールリストを前記修正通信許可リストとする通信ルールリスト検証ステップと、を含み、
前記侵入検知ステップは、前記通信判定データが前記修正通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知する侵入検知方法。
前記通信判定データを学習して前記ネットワークに流れる前記ビル設備に関する前記通信データから通信ルールを生成して通信ルールリストとして出力する通信ルールリスト生成ステップと、
前記通信ルールリストの中の一の通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一部のみが異なる場合には前記通信許可ルールに合わせて前記一の通信ルールを修正して修正通信許可リストとし、前記通信ルールリストの中の全ての通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一致する場合には、前記通信ルールリストを前記修正通信許可リストとする通信ルールリスト検証ステップと、を含み、
前記侵入検知ステップは、前記通信判定データが前記修正通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知する侵入検知方法。
【請求項9】
請求項8に記載の侵入検知方法であって、
前記通信ルールリスト検証ステップは、
前記通信ルールリストの中の一の通信ルールが前記通信許可リスト中のいずれの前記通信許可ルールとも異なる場合で、且つ、前記通信許可ルールに合わせて前記一の通信ルールを修正できない場合には、前記通信ルールリストから前記一の通信ルールを削除して前記修正通信許可リストとする侵入検知方法。
前記通信ルールリスト検証ステップは、
前記通信ルールリストの中の一の通信ルールが前記通信許可リスト中のいずれの前記通信許可ルールとも異なる場合で、且つ、前記通信許可ルールに合わせて前記一の通信ルールを修正できない場合には、前記通信ルールリストから前記一の通信ルールを削除して前記修正通信許可リストとする侵入検知方法。
【請求項10】
請求項8又は9に記載の侵入検知方法であって、
前記通信ルールリスト検証ステップは、
前記通信許可リストに含まれる前記オブジェクトに関する前記通信許可ルールの中で、前記通信ルールリストに前記オブジェクトに関する前記通信ルールが含まれていないものがある場合には、その前記通信許可ルールを前記通信ルールリストに追加して前記修正通信許可リストとする侵入検知方法。
前記通信ルールリスト検証ステップは、
前記通信許可リストに含まれる前記オブジェクトに関する前記通信許可ルールの中で、前記通信ルールリストに前記オブジェクトに関する前記通信ルールが含まれていないものがある場合には、その前記通信許可ルールを前記通信ルールリストに追加して前記修正通信許可リストとする侵入検知方法。
【請求項11】
ビル設備の管理システムを構成するネットワークへの侵入を検知する侵入検知システムであって、
前記管理システムのシステム状態を設定する外部装置と、
前記ネットワークへの侵入を検知する侵入検知装置と、を含み、
前記侵入検知装置は、
前記外部装置から前記管理システムの前記システム状態を受信するシステム状態受信部と、
前記ネットワークに流れる前記ビル設備に関する通信データを取得する通信取得部と、
前記ビル設備のオブジェクトの属性情報を含むエンジニアリング情報と前記システム状態受信部から入力された前記システム状態とに基づいて通信を許可する通信データ条件とシステム状態条件との組み合わせを規定した通信許可ルールを生成して通信許可リストとして格納する通信許可リスト生成部と、
前記通信取得部から入力された前記通信データと前記システム状態受信部から入力された前記システム状態とを組み合わせて通信判定データを生成し、生成した前記通信判定データと前記通信許可リストの中の前記通信許可ルールとを比較することにより前記ネットワークへの侵入を検知する侵入検知部と、
前記侵入検知部が侵入を検知した際に前記ネットワークに警報を発信する警報部と、
前記エンジニアリング情報を解析して前記通信許可ルールの生成に必要な情報を抽出する属性情報解析部と、を有し
前記通信許可リスト生成部は、
前記属性情報解析部が抽出した前記情報とネットワーク構成情報とオブジェクト入出力情報とに基づいて前記通信データ条件を規定した中間通信許可ルールを生成し、中間通信許可リストとして格納する中間通信許可リスト生成部と、
前記システム状態受信部から入力された前記システム状態に基づいて前記中間通信許可ルールの前記通信データ条件に組み合わせられる前記システム状態条件を前記中間通信許可ルールに付加して前記通信許可ルールを生成し、前記通信許可リストとして格納する通信許可リスト修正部と、を含み、
前記侵入検知部は、
前記通信判定データに含まれる前記通信データと前記システム状態との組み合わせが前記通信許可ルールに含まれる前記通信データ条件とシステム状態条件との組み合わせのいずれにも該当しない場合に前記ネットワークへの侵入を検知すること、
を特徴とする侵入検知システム。
前記管理システムのシステム状態を設定する外部装置と、
前記ネットワークへの侵入を検知する侵入検知装置と、を含み、
前記侵入検知装置は、
前記外部装置から前記管理システムの前記システム状態を受信するシステム状態受信部と、
前記ネットワークに流れる前記ビル設備に関する通信データを取得する通信取得部と、
前記ビル設備のオブジェクトの属性情報を含むエンジニアリング情報と前記システム状態受信部から入力された前記システム状態とに基づいて通信を許可する通信データ条件とシステム状態条件との組み合わせを規定した通信許可ルールを生成して通信許可リストとして格納する通信許可リスト生成部と、
前記通信取得部から入力された前記通信データと前記システム状態受信部から入力された前記システム状態とを組み合わせて通信判定データを生成し、生成した前記通信判定データと前記通信許可リストの中の前記通信許可ルールとを比較することにより前記ネットワークへの侵入を検知する侵入検知部と、
前記侵入検知部が侵入を検知した際に前記ネットワークに警報を発信する警報部と、
前記エンジニアリング情報を解析して前記通信許可ルールの生成に必要な情報を抽出する属性情報解析部と、を有し
前記通信許可リスト生成部は、
前記属性情報解析部が抽出した前記情報とネットワーク構成情報とオブジェクト入出力情報とに基づいて前記通信データ条件を規定した中間通信許可ルールを生成し、中間通信許可リストとして格納する中間通信許可リスト生成部と、
前記システム状態受信部から入力された前記システム状態に基づいて前記中間通信許可ルールの前記通信データ条件に組み合わせられる前記システム状態条件を前記中間通信許可ルールに付加して前記通信許可ルールを生成し、前記通信許可リストとして格納する通信許可リスト修正部と、を含み、
前記侵入検知部は、
前記通信判定データに含まれる前記通信データと前記システム状態との組み合わせが前記通信許可ルールに含まれる前記通信データ条件とシステム状態条件との組み合わせのいずれにも該当しない場合に前記ネットワークへの侵入を検知すること、
を特徴とする侵入検知システム。
【請求項12】
請求項11に記載の侵入検知システムであって、
前記ネットワークに接続され、前記ネットワークから前記警報が入力された際に、前記警報の内容を解析し、解析結果に基づいて前記侵入検知装置に格納されている前記通信許可リストを更新する監視センターを含むこと、
を特徴とする侵入検知システム。
前記ネットワークに接続され、前記ネットワークから前記警報が入力された際に、前記警報の内容を解析し、解析結果に基づいて前記侵入検知装置に格納されている前記通信許可リストを更新する監視センターを含むこと、
を特徴とする侵入検知システム。
【請求項13】
請求項11に記載の侵入検知システムであって、
前記警報部は、
前記侵入検知部が前記ネットワークへの侵入を検知した際に、通信データ異常の判定結果と、前記通信判定データの中の前記システム状態と前記通信データとを含む警報を前記ネットワークに発信すること、
を特徴とする侵入検知システム。
前記警報部は、
前記侵入検知部が前記ネットワークへの侵入を検知した際に、通信データ異常の判定結果と、前記通信判定データの中の前記システム状態と前記通信データとを含む警報を前記ネットワークに発信すること、
を特徴とする侵入検知システム。
【請求項14】
請求項13に記載の侵入検知システムであって、
前記ネットワークから前記警報が入力された際に、前記警報の内容を解析し、解析結果に基づいて追加通信許可ルールを生成する警報解析部と、
前記中間通信許可リスト生成部が生成した前記中間通信許可リストと前記通信許可リスト生成部が生成した前記通信許可リストとを格納する記憶部と、
前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストを更新する通信許可リスト更新部と、を有する監視センターを含み、
前記警報解析部は、
前記警報に含まれる前記通信データが前記記憶部に格納されている前記中間通信許可リストに含まれる前記通信データ条件のいずれか一つに該当する場合、該当した一の前記通信データ条件と前記警報に含まれる前記システム状態とを組み合わせて前記追加通信許可ルールを生成し、
前記通信許可リスト更新部は、
前記警報解析部が生成した前記追加通信許可ルールを前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストに追加して前記記憶部に格納されている前記通信許可リストを更新すること、
を特徴とする侵入検知システム。
前記ネットワークから前記警報が入力された際に、前記警報の内容を解析し、解析結果に基づいて追加通信許可ルールを生成する警報解析部と、
前記中間通信許可リスト生成部が生成した前記中間通信許可リストと前記通信許可リスト生成部が生成した前記通信許可リストとを格納する記憶部と、
前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストを更新する通信許可リスト更新部と、を有する監視センターを含み、
前記警報解析部は、
前記警報に含まれる前記通信データが前記記憶部に格納されている前記中間通信許可リストに含まれる前記通信データ条件のいずれか一つに該当する場合、該当した一の前記通信データ条件と前記警報に含まれる前記システム状態とを組み合わせて前記追加通信許可ルールを生成し、
前記通信許可リスト更新部は、
前記警報解析部が生成した前記追加通信許可ルールを前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストに追加して前記記憶部に格納されている前記通信許可リストを更新すること、
を特徴とする侵入検知システム。
【請求項15】
請求項14に記載の侵入検知システムであって、
前記監視センターは、
前記警報解析部が生成した前記追加通信許可ルールとシステム仕様とを比較して、前記追加通信許可ルールが前記システム仕様に合致しているかどうかを判定するルール判定部を有し、
前記通信許可リスト更新部は、
前記ルール判定部が前記追加通信許可ルールは前記システム仕様に合致していると判定した場合に、前記通信許可リストの更新を実行すること、
を特徴とする侵入検知システム。
前記監視センターは、
前記警報解析部が生成した前記追加通信許可ルールとシステム仕様とを比較して、前記追加通信許可ルールが前記システム仕様に合致しているかどうかを判定するルール判定部を有し、
前記通信許可リスト更新部は、
前記ルール判定部が前記追加通信許可ルールは前記システム仕様に合致していると判定した場合に、前記通信許可リストの更新を実行すること、
を特徴とする侵入検知システム。
【請求項16】
請求項11に記載の侵入検知システムであって、
前記通信取得部は、
取得した前記通信データに取得時刻を示すタイムスタンプを付加してタイムスタンプ付通信データとして前記侵入検知部と前記通信許可リスト修正部に出力し、
前記通信許可リスト修正部は、
前記通信取得部から入力された前記タイムスタンプ付通信データに含まれる前記通信データが前記中間通信許可ルールに含まれる一の前記通信データ条件に該当する場合が複数存在する場合、前記タイムスタンプに基づいて一の前記通信データ条件に対応する周期条件を生成し、
前記周期条件と、前記システム状態受信部から入力された前記システム状態に基づいて前記中間通信許可ルールの前記通信データ条件に組み合わせられる前記システム状態条件とを前記中間通信許可ルールに付加して前記通信許可ルールを生成し、前記通信許可リストとして格納し、
前記侵入検知部は、
前記通信取得部から入力された前記タイムスタンプ付通信データと前記システム状態受信部から入力された前記システム状態とを組み合わせて前記通信判定データを生成し、
前記通信判定データに含まれる前記通信データと前記システム状態との組み合わせが前記通信許可ルールに含まれる一の前記通信データ条件と一の前記システム状態条件との組み合わせに該当する場合が複数存在する場合、前記通信判定データに含まれる前記タイムスタンプに基づいて一の前記通信データ条件と一の前記システム状態条件との組み合わせに該当する前記通信データと前記システム状態との組み合わせが前記ネットワークに流れる周期を算出し、
算出した前記周期が前記通信許可ルールに含まれる前記周期条件を満足しない場合に、前記ネットワークへの侵入を検知すること、
を特徴とする侵入検知システム。
前記通信取得部は、
取得した前記通信データに取得時刻を示すタイムスタンプを付加してタイムスタンプ付通信データとして前記侵入検知部と前記通信許可リスト修正部に出力し、
前記通信許可リスト修正部は、
前記通信取得部から入力された前記タイムスタンプ付通信データに含まれる前記通信データが前記中間通信許可ルールに含まれる一の前記通信データ条件に該当する場合が複数存在する場合、前記タイムスタンプに基づいて一の前記通信データ条件に対応する周期条件を生成し、
前記周期条件と、前記システム状態受信部から入力された前記システム状態に基づいて前記中間通信許可ルールの前記通信データ条件に組み合わせられる前記システム状態条件とを前記中間通信許可ルールに付加して前記通信許可ルールを生成し、前記通信許可リストとして格納し、
前記侵入検知部は、
前記通信取得部から入力された前記タイムスタンプ付通信データと前記システム状態受信部から入力された前記システム状態とを組み合わせて前記通信判定データを生成し、
前記通信判定データに含まれる前記通信データと前記システム状態との組み合わせが前記通信許可ルールに含まれる一の前記通信データ条件と一の前記システム状態条件との組み合わせに該当する場合が複数存在する場合、前記通信判定データに含まれる前記タイムスタンプに基づいて一の前記通信データ条件と一の前記システム状態条件との組み合わせに該当する前記通信データと前記システム状態との組み合わせが前記ネットワークに流れる周期を算出し、
算出した前記周期が前記通信許可ルールに含まれる前記周期条件を満足しない場合に、前記ネットワークへの侵入を検知すること、
を特徴とする侵入検知システム。
【請求項17】
請求項16に記載の侵入検知システムであって、
前記警報部は、
前記ネットワークへの侵入を検知した際に、周期異常の判定結果と、前記通信判定データの中の前記システム状態と、一の前記通信データ条件と一の前記システム状態条件との組み合わせを含む通信ルール番号と、算出した前記周期とを含む警報を前記ネットワークに発信すること、
を特徴とする侵入検知システム。
前記警報部は、
前記ネットワークへの侵入を検知した際に、周期異常の判定結果と、前記通信判定データの中の前記システム状態と、一の前記通信データ条件と一の前記システム状態条件との組み合わせを含む通信ルール番号と、算出した前記周期とを含む警報を前記ネットワークに発信すること、
を特徴とする侵入検知システム。
【請求項18】
請求項17に記載の侵入検知システムであって、
前記ネットワークから前記警報が入力された際に、前記警報の内容を解析し、解析結果に基づいて前記通信許可リストに含まれる前記通信許可ルールを変更して変更通信許可ルールを生成する警報解析部と、
前記通信許可リスト生成部が生成した前記通信許可リストと、を格納する記憶部と、
前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストを更新する通信許可リスト更新部と、を有する監視センターを含み、
前記警報解析部は、
前記記憶部に格納されている前記通信許可リストの中の前記警報に含まれる前記通信ルール番号に対応する前記通信許可ルールの前記周期条件が前記警報に含まれる前記周期を含むように変更した前記変更通信許可ルールを生成し、
前記通信許可リスト更新部は、
前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストの中の前記通信ルール番号の前記通信許可ルールを前記変更通信許可ルールに変更して前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストを更新すること、
を特徴とする侵入検知システム。
前記ネットワークから前記警報が入力された際に、前記警報の内容を解析し、解析結果に基づいて前記通信許可リストに含まれる前記通信許可ルールを変更して変更通信許可ルールを生成する警報解析部と、
前記通信許可リスト生成部が生成した前記通信許可リストと、を格納する記憶部と、
前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストを更新する通信許可リスト更新部と、を有する監視センターを含み、
前記警報解析部は、
前記記憶部に格納されている前記通信許可リストの中の前記警報に含まれる前記通信ルール番号に対応する前記通信許可ルールの前記周期条件が前記警報に含まれる前記周期を含むように変更した前記変更通信許可ルールを生成し、
前記通信許可リスト更新部は、
前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストの中の前記通信ルール番号の前記通信許可ルールを前記変更通信許可ルールに変更して前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストを更新すること、
を特徴とする侵入検知システム。
【請求項19】
請求項18に記載の侵入検知システムであって、
前記監視センターは、
前記警報解析部が生成した前記変更通信許可ルールとシステム仕様とを比較して、前記変更通信許可ルールが前記システム仕様に合致しているかどうかを判定するルール判定部を有し、
前記通信許可リスト更新部は、
前記ルール判定部が前記変更通信許可ルールは前記システム仕様に合致していると判定した場合に、前記通信許可リストの更新を実行すること、
を特徴とする侵入検知システム。
前記監視センターは、
前記警報解析部が生成した前記変更通信許可ルールとシステム仕様とを比較して、前記変更通信許可ルールが前記システム仕様に合致しているかどうかを判定するルール判定部を有し、
前記通信許可リスト更新部は、
前記ルール判定部が前記変更通信許可ルールは前記システム仕様に合致していると判定した場合に、前記通信許可リストの更新を実行すること、
を特徴とする侵入検知システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークへの侵入を検知する侵入検知装置および侵入検知方法ならびに侵入検知システムに関する。【背景技術】
【0002】
近年、ビル設備の制御システム等の産業制御システムにおいて、システムがサイバー攻撃の標的になるケースが増加している。これに対して、産業制御システムのネットワーク通信が固定的であることを利用し、送信先アドレスと送信元アドレスのペアやプロトコル等の許可された通信を定義し、許可された通信を通信許可リストとし、通信許可リストにない通信を検知することによって侵入を検知する方法が用いられている(例えば、特許文献1、2参照)。【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2016−163352号公報
【特許文献2】特許第6054010号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、特許文献1、2に記載された従来技術では、通信許可リストは、ネットワークから収集した通信データを学習、解析してリストにしたものを用いている。しかし、このような学習方式によってリストを作成する場合には、学習に時間がかかる上、学習が十分でリストが正確なものであるかどうかを確認することが難しいという問題があった。【0005】
そこで、本発明は、簡便に通信許可リストの作成が可能な侵入検知装置を提供することを目的とする。【課題を解決するための手段】
【0006】
本発明の侵入検知装置は、ビル設備の管理システムを構成するネットワークへの侵入を検知する侵入検知装置であって、前記ネットワークに流れる前記ビル設備に関する通信データを取得する通信取得部と、前記ネットワークにおける通信を許可する通信許可ルールを生成して通信許可リストとして格納する通信許可リスト生成部と、前記通信取得部が取得した前記通信データを含む通信判定データと前記通信許可リストの中の前記通信許可ルールとを比較して前記ネットワークへの侵入を検知する侵入検知部と、を備え、前記通信許可リスト生成部は、前記ビル設備のオブジェクトの属性情報を含むエンジニアリング情報に基づいて前記通信許可ルールを生成することを特徴とする。【0007】
本発明の侵入検知装置において、前記通信取得部は、取得した前記通信データに基づいて前記通信判定データを生成して前記侵入検知部に出力し、前記侵入検知部は、前記通信判定データが前記通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知すること、としてもよい。【0008】
本発明の侵入検知装置において、前記エンジニアリング情報を解析して前記通信許可ルールの生成に必要な情報を抽出し、前記ネットワークの通信仕様フォーマットに形成して中間データとして出力する属性情報解析部を備え、前記通信許可リスト生成部は、前記中間データにネットワーク構成情報とオブジェクト入出力情報とを含む管理情報を合わせて前記通信許可ルールを生成してもよい。【0009】
本発明の侵入検知装置において、前記エンジニアリング情報は、外部から前記属性情報解析部に入力され、前記管理情報は、外部から前記通信許可リスト生成部に入力されてもよい。【0010】
本発明の侵入検知装置において、前記通信取得部が生成した前記通信判定データを学習して前記ネットワークに流れる前記ビル設備に関する前記通信データから通信ルールを生成し、通信ルールリストとして出力する通信ルールリスト生成部と、修正通信許可リストを格納する通信許可リスト格納部と、前記通信ルールリストの中の一の通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一部のみが異なる場合には前記通信許可ルールに合わせて前記一の通信ルールを修正して前記修正通信許可リストとして前記通信許可リスト格納部に出力し、前記通信ルールリストの中の全ての通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一致する場合には、前記通信ルールリストを前記修正通信許可リストとして前記通信許可リスト格納部に出力する通信ルールリスト検証部と、を含み、前記侵入検知部は、前記通信取得部が生成した前記通信判定データが前記通信許可リスト格納部に格納された前記修正通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知してもよい。【0011】
本発明の侵入検知装置において、前記通信ルールリスト検証部は、前記通信ルールリストの中の一の通信ルールが前記通信許可リスト中のいずれかの前記通信許可ルールと異なる場合で、且つ、前記通信許可ルールに合わせて前記一の通信ルールを修正できない場合には、前記通信ルールリストから前記一の通信ルールを削除して前記修正通信許可リストとして前記通信許可リスト格納部に出力してもよい。【0012】
本発明の侵入検知装置において、前記通信ルールリスト検証部は、前記通信許可リストに含まれる前記オブジェクトに関する前記通信許可ルールの中で、前記通信ルールリストに前記オブジェクトに関する前記通信ルールが含まれていないものがある場合には、その前記通信許可ルールを前記通信ルールリストに追加して前記修正通信許可リストとして前記通信許可リスト格納部に出力してもよい。【0013】
本発明の侵入検知装置において、前記侵入検知部が前記ネットワークへの侵入を検知した場合に、侵入を検知したことを示す警報を前記ネットワークに出力する警報部を備えてもよい。【0014】
本発明の侵入検知方法は、ビル設備の管理システムを構成するネットワークへの侵入を検知する侵入検知方法であって、前記ネットワークに流れる前記ビル設備に関する通信データを取得する通信データ取得ステップと、前記ビル設備のオブジェクトの属性情報を含むエンジニアリング情報に基づいて前記ネットワークにおける通信を許可する通信許可ルールを生成して通信許可リストとして出力する通信許可リスト生成ステップと、取得した前記通信データを含む通信判定データと前記通信許可リストの中の前記通信許可ルールとを比較して前記ネットワークへの侵入を検知する侵入検知ステップと、を備えることを特徴とする。【0015】
本発明の侵入検知装置において、取得した前記通信データに基づいて前記通信判定データを生成する判定データ生成ステップを含み、前記侵入検知ステップは、前記通信判定データが前記通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知すること、としてもよい。【0016】
本発明の侵入検知方法において、前記エンジニアリング情報を解析して前記通信許可ルールの生成に必要な情報を抽出し、前記ネットワークの通信仕様フォーマットに形成して中間データとして出力する属性情報解析ステップを備え、前記通信許可リスト生成ステップは、前記中間データにネットワーク構成情報とオブジェクト入出力情報とを含む管理情報を合わせて前記通信許可ルールを生成してもよい。【0017】
本発明の侵入検知方法において、前記通信判定データを学習して前記ネットワークに流れる前記ビル設備に関する前記通信データから通信ルールを生成して通信ルールリストとして出力する通信ルールリスト生成ステップと、前記通信ルールリストの中の一の通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一部のみが異なる場合には前記通信許可ルールに合わせて前記一の通信ルールを修正して修正通信許可リストとし、前記通信ルールリストの中の全ての通信ルールが前記通信許可リストの中のいずれかの前記通信許可ルールと一致する場合には、前記通信ルールリストを前記修正通信許可リストとする通信ルールリスト検証ステップと、を含み、前記侵入検知ステップは、前記通信判定データが前記修正通信許可リストの中のいずれの前記通信許可ルールにも該当しない場合に前記ネットワークへの侵入を検知してもよい。【0018】
本発明の侵入検知方法において、前記通信ルールリスト検証ステップは、前記通信ルールリストの中の一の通信ルールが前記通信許可リスト中のいずれの前記通信許可ルールとも異なる場合で、且つ、前記通信許可ルールに合わせて前記一の通信ルールを修正できない場合には、前記通信ルールリストから前記一の通信ルールを削除して前記修正通信許可リストとしてもよい。【0019】
本発明の侵入検知方法において、前記通信ルールリスト検証ステップは、前記通信許可リストに含まれる前記オブジェクトに関する前記通信許可ルールの中で、前記通信ルールリストに前記オブジェクトに関する前記通信ルールが含まれていないものがある場合には、その前記通信許可ルールを前記通信ルールリストに追加して前記修正通信許可リストとしてもよい。【0020】
本発明の侵入検知システムは、ビル設備の管理システムを構成するネットワークへの侵入を検知する侵入検知システムであって、前記管理システムのシステム状態を設定する外部装置と、前記ネットワークへの侵入を検知する侵入検知装置と、を含み、前記侵入検知装置は、前記外部装置から前記管理システムの前記システム状態を受信するシステム状態受信部と、前記ネットワークに流れる前記ビル設備に関する通信データを取得する通信取得部と、前記ビル設備のオブジェクトの属性情報を含むエンジニアリング情報と前記システム状態受信部から入力された前記システム状態とに基づいて通信を許可する通信データ条件とシステム状態条件との組み合わせを規定した通信許可ルールを生成して通信許可リストとして格納する通信許可リスト生成部と、前記通信取得部から入力された前記通信データと前記システム状態受信部から入力された前記システム状態とを組み合わせて通信判定データを生成し、生成した前記通信判定データと前記通信許可リストの中の前記通信許可ルールとを比較することにより前記ネットワークへの侵入を検知する侵入検知部と、前記侵入検知部が侵入を検知した際に前記ネットワークに警報を発信する警報部と、を有することを特徴とする。【0021】
本発明の侵入検知システムにおいて、前記ネットワークに接続され、前記ネットワークから前記警報が入力された際に、前記警報の内容を解析し、解析結果に基づいて前記侵入検知装置に格納されている前記通信許可リストを更新する監視センターを含むこと、としてもよい。【0022】
本発明の侵入検知システムにおいて、前記侵入検知装置は、前記エンジニアリング情報を解析して前記通信許可ルールの生成に必要な情報を抽出する属性情報解析部を含み、前記通信許可リスト生成部は、前記属性情報解析部が抽出した前記情報とネットワーク構成情報とオブジェクト入出力情報とに基づいて前記通信データ条件を規定した中間通信許可ルールを生成し、中間通信許可リストとして格納する中間通信許可リスト生成部と、前記システム状態受信部から入力された前記システム状態に基づいて前記中間通信許可ルールの前記通信データ条件に組み合わせられる前記システム状態条件を前記中間通信許可ルールに付加して前記通信許可ルールを生成し、前記通信許可リストとして格納する通信許可リスト修正部と、を含み、前記侵入検知部は、前記通信判定データに含まれる前記通信データと前記システム状態との組み合わせが前記通信許可ルールに含まれる前記通信データ条件とシステム状態条件との組み合わせのいずれにも該当しない場合に前記ネットワークへの侵入を検知すること、としてもよい。【0023】
本発明の侵入検知システムにおいて、前記警報部は、前記侵入検知部が前記ネットワークへの侵入を検知した際に、通信データ異常の判定結果と、前記通信判定データの中の前記システム状態と前記通信データとを含む警報を前記ネットワークに発信すること、としてもよい。【0024】
本発明の侵入検知システムにおいて、前記ネットワークから前記警報が入力された際に、前記警報の内容を解析し、解析結果に基づいて追加通信許可ルールを生成する警報解析部と、前記中間通信許可リスト生成部が生成した前記中間通信許可リストと前記通信許可リスト生成部が生成した前記通信許可リストとを格納する記憶部と、前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストを更新する通信許可リスト更新部と、を有する監視センターを含み、前記警報解析部は、前記警報に含まれる前記通信データが前記記憶部に格納されている前記中間通信許可リストに含まれる前記通信データ条件のいずれか一つに該当する場合、該当した一の前記通信データ条件と前記警報に含まれる前記システム状態とを組み合わせて前記追加通信許可ルールを生成し、前記通信許可リスト更新部は、前記警報解析部が生成した前記追加通信許可ルールを前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストに追加して前記記憶部に格納されている前記通信許可リストを更新すること、としてもよい。【0025】
本発明の侵入検知システムにおいて、前記監視センターは、前記警報解析部が生成した前記追加通信許可ルールとシステム仕様とを比較して、前記追加通信許可ルールが前記システム仕様に合致しているかどうかを判定するルール判定部を有し、前記通信許可リスト更新部は、前記ルール判定部が前記追加通信許可ルールは前記システム仕様に合致していると判定した場合に、前記通信許可リストの更新を実行すること、としてもよい。【0026】
本発明の侵入検知システムにおいて、前記通信取得部は、取得した前記通信データに取得時刻を示すタイムスタンプを付加してタイムスタンプ付通信データとして前記侵入検知部と前記通信許可リスト修正部に出力し、前記通信許可リスト修正部は、前記通信取得部から入力された前記タイムスタンプ付通信データに含まれる前記通信データが前記中間通信許可ルールに含まれる一の前記通信データ条件に該当する場合が複数存在する場合、前記タイムスタンプに基づいて一の前記通信データ条件に対応する周期条件を生成し、前記周期条件と、前記システム状態受信部から入力された前記システム状態に基づいて前記中間通信許可ルールの前記通信データ条件に組み合わせられる前記システム状態条件とを前記中間通信許可ルールに付加して前記通信許可ルールを生成し、前記通信許可リストとして格納し、前記侵入検知部は、前記通信取得部から入力された前記タイムスタンプ付通信データと前記システム状態受信部から入力された前記システム状態とを組み合わせて前記通信判定データを生成し、前記通信判定データに含まれる前記通信データと前記システム状態との組み合わせが前記通信許可ルールに含まれる一の前記通信データ条件と一の前記システム状態条件との組み合わせに該当する場合が複数存在する場合、前記通信判定データに含まれる前記タイムスタンプに基づいて一の前記通信データ条件と一の前記システム状態条件との組み合わせに該当する前記通信データと前記システム状態との組み合わせが前記ネットワークに流れる周期を算出し、算出した前記周期が前記通信許可ルールに含まれる前記周期条件を満足しない場合に、前記ネットワークへの侵入を検知すること、としてもよい。【0027】
本発明の侵入検知システムにおいて、前記警報部は、前記ネットワークへの侵入を検知した際に、周期異常の判定結果と、前記通信判定データの中の前記システム状態と、一の前記通信データ条件と一の前記システム状態条件との組み合わせを含む通信ルール番号と、算出した前記周期とを含む警報を前記ネットワークに発信すること、としてもよい。【0028】
本発明の侵入検知システムにおいて、前記ネットワークから前記警報が入力された際に、前記警報の内容を解析し、解析結果に基づいて前記通信許可リストに含まれる前記通信許可ルールを変更して変更通信許可ルールを生成する警報解析部と、前記通信許可リスト生成部が生成した前記通信許可リストとを格納する記憶部と、前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストを更新する通信許可リスト更新部と、を有する監視センターを含み、前記警報解析部は、前記記憶部に格納されている前記通信許可リストの中の前記警報に含まれる前記通信ルール番号に対応する前記通信許可ルールの前記周期条件が前記警報に含まれる前記周期を含むように変更した前記変更通信許可ルールを生成し、前記通信許可リスト更新部は、前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストの中の前記通信ルール番号の前記通信許可ルールを前記変更通信許可ルールに変更して前記記憶部及び前記侵入検知装置に格納されている前記通信許可リストを更新すること、としてもよい。
【0029】
本発明の侵入検知システムにおいて、前記監視センターは、前記警報解析部が生成した前記変更通信許可ルールとシステム仕様とを比較して、前記変更通信許可ルールが前記システム仕様に合致しているかどうかを判定するルール判定部を有し、前記通信許可リスト更新部は、前記ルール判定部が前記変更通信許可ルールは前記システム仕様に合致していると判定した場合に、前記通信許可リストの更新を実行すること、としてもよい。【発明の効果】
【0030】
本発明は、簡便に通信許可リストの作成が可能な侵入検知装置を提供することができる。【図面の簡単な説明】
【0031】
【図1】実施形態の侵入検知装置が適用されたビル管理システムの構成を示す系統図である。
【図2】実施形態の侵入検知装置の構成を示す機能ブロック図である。
【図9】他の実施形態の侵入検知装置の構成を示す機能ブロック図である。
【図10】他の実施形態の侵入検知装置の構成を示す機能ブロック図である。
【図14】実施形態の侵入検知システムが適用されたビル設備の管理システムを示す系統図である。
【図15】実施形態の侵入検知システムの機能ブロック図である。
【図20】実施形態の進入検知システムにおける侵入検知動作を示すフローチャートである。
【図24】実施形態の進入検知システムにおける他の通信許可リスト生成動作を示すフローチャートである。
【図26】実施形態の侵入検知システムにおける他の侵入検知動作を示すフローチャートである。
【図29】他の実施形態の侵入検知システムが適用されたビル設備の管理システムを示す系統図である。
【図30】他の実施形態の侵入検知システムの機能ブロック図である。
【発明を実施するための形態】
【0032】
以下、図面を参照しながら本実施形態の侵入検知装置10について説明する。最初に図1を参照しながら本実施形態の侵入検知装置10が適用されたビル管理システム100の構成について説明する。ビル管理システム100は、ビル設備である空調機器56、照明機器57が接続されたコントローラ51、52と、監視制御端末40と、コントローラ51、52と監視制御端末40とを接続するネットワーク30と、ネットワーク30に接続された侵入検知装置10とを備えている。【0033】
監視制御端末40は、通信によりネットワーク30を介してコントローラ51、52の監視・制御を行うもので、例えば、操作員がコントローラ51、52への指令を送る際に用いる機器である。コントローラ51、52は、監視制御端末40からの制御指令に基づいてビル設備である空調機器56、照明機器57の制御を行う。空調機器56、照明機器57は、コントローラ51、52の指令に基づいて所定の動作を行う。ネットワーク30で接続された監視制御端末40とコントローラ51、52との間の通信には、BACnet(Building Automation and Control netwoking protocol)が用いられる。侵入検知装置10は、ネットワーク30の通信におけるサイバー攻撃による侵入検知を行うものである。【0034】
図2に示すように、侵入検知装置10は、通信取得部11と、侵入検知部12と、警報部13と、通信許可リスト生成部14と、属性情報解析部15とを備える。【0035】
通信取得部11は、ネットワーク30に流れる監視制御端末40とコントローラ51、52との間の空調機器56、照明機器57に関する通信データを取得し、通信判定データを生成し、生成した通信判定データを侵入検知部12に出力する。通信データは、プロトコル種別、送信元/先情報、データ長、ペイロード条件を含むデータセットである。通信判定データは、通信データに管理システム100のシステム状態と通信データの周期を付加したデータセットであり、図6に示す通信許可リスト73の中の通信ルールと同様、番号、システム状態、プロトコル種別、送信元/先情報、データ長、ペイロード条件、周期の各項目を含むデータセットである。ここで、管理システム100のシステム状態とは、運転、保守、停止、立ち上げ、立ち下げのいずれかの状態をいう。【0036】
侵入検知部12は、通信取得部11が出力した通信判定データと、通信許可リスト生成部14に格納されている通信許可リスト73とを比較してネットワーク30への侵入の検知を行う。そして、ネットワーク30への侵入を検知したら侵入検知信号を警報部13に出力する。ここで、通信許可リスト73は、図6に示す様に、ルール番号、システム状態、プロトコル種別、送信元/先情報、データ長、ペイロード条件、周期条件の各項目を含むデータセットである通信ルールをリストにしたものである。【0037】
警報部13は、侵入検知部12から侵入検知信号が入力された場合に、侵入を検知したことを示す警報をネットワーク30に出力する。【0038】
属性情報解析部15は、エンジニアリング情報ファイル16から、空調機器56、照明機器57の温度センサ等のオブジェクトの属性情報を含むエンジニアリングデータ71を読み出し、エンジニアリングデータ71を解析して通信許可ルールの生成に必要な情報を抽出する。ここで、エンジニアリングデータ71は、図4に示すように、内部識別子番号、オブジェクト名、型、オブジェクト識別子、単位、最大値、最小値の各項目を含むデータセットをリストにしたエンジニアリング情報である。【0039】
属性情報解析部15は、抽出した通信許可ルールの生成に必要な情報をネットワーク30の通信仕様フォーマットに形成して中間データ72として通信許可リスト生成部14に出力する。ここで、中間データ72は、ネットワーク30の通信仕様フォーマットと同様の格納領域を有するデータセットである。図5に示す様に、中間データ72は、通信許可リスト73と同様、ルール番号、システム状態、プロトコル種別、送信元/先情報、データ長、ペイロード条件、周期条件の各格納領域を有するデータセットで、状態、データ長の欄が空欄になっているものである。【0040】
通信許可リスト生成部14は、属性情報解析部15から入力された中間データ72に、ネットワーク30の構成情報と、空調機器56、照明機器57の温度センサ等のオブジェクトの入出力情報とを含む管理情報と、を合わせて通信許可ルールを生成し、通信許可リスト73として格納する。なお、本実施形態の侵入検知装置10では、管理情報は、デフォルト設定として内部に格納されている。【0041】
以上説明した、侵入検知装置10の通信取得部11と、侵入検知部12と、警報部13と、通信許可リスト生成部14と、属性情報解析部15は、図3に示すコンピュータ60によって実現される。【0042】
コンピュータ60は、CPU61と、補助記憶装置62と、メモリ63と、通信装置64と、入力インターフェース65と、出力インターフェース67と、これらを接続するデータバス69と、を備えている。CPU61は、情報処理を行うと共に、データバス69を介して接続されている他のハードウェアを制御する。【0043】
補助記憶装置62は、例えば、ROM、フラッシュメモリ、ハードディスク等を構成される。メモリ63は、例えば、RAMである。通信装置64はネットワーク30からデータを受信するレシーバ64aとデータをネットワーク30に出力するトランスミッタ64bを含んでいる。通信装置64は、例えば、通信チップ等で構成される。入力インターフェース65には、キーボード、マウス、タッチパネル等の入力装置66が接続されている。出力インターフェース67には、ディスプレイ68が接続されている。【0044】
補助記憶装置62には、通信取得部11と、侵入検知部12と、警報部13と、通信許可リスト生成部14と、属性情報解析部15の機能を実現するプログラムが記憶されている。プログラムは、CPU61で実行される。【0045】
侵入検知装置10の機能ブロックである通信取得部11と、侵入検知部12と、警報部13と、通信許可リスト生成部14と、属性情報解析部15とは、図3に示すコンピュータ60の各ハードウェアとCPU61で実行されるプログラムとの協働動作により実現される。【0046】
次に、図7、図8を参照しながら本実施形態の侵入検知装置10の動作について説明する。なお、図7、図8は、侵入検知方法を示すものでもある。最初に図7を参照しながら、侵入検知装置10の基本動作について説明する。侵入検知装置10は、図7のステップS101からS104の動作を所定の間隔で繰り返して実行する。【0047】
図7のステップS101に示すように、通信取得部11は、ネットワーク30に流れる監視制御端末40とコントローラ51、52との間の空調機器56、照明機器57に関する通信データを取得する(通信データ取得ステップ)。通信データは、プロトコル種別、送信元/先情報、データ長、ペイロード条件を含むデータセットである。通信取得部11は、取得した通信データに、システム状態、周期を付加して通信判定データを生成し、生成した通信判定データを侵入検知部12に出力する(判定データ生成ステップ)。通信判定データは、図6に示す通信許可リスト73の中の通信ルールと同様、番号、システム状態、プロトコル種別、送信元/先情報、データ長、ペイロード条件、周期の各項目を含むデータセットである。【0048】
図7のステップS102に示すように、侵入検知部12は、通信取得部11から入力された通信判定データと図6に示す通信許可リスト73の通信ルールとを比較する。比較は、例えば、通信判定データ中のシステム状態、プロトコル種別、送信元/先情報、データ長、ペイロード条件、周期条件の各項目と通信許可リスト73のルール番号1の通信ルール中のシステム状態、プロトコル種別、送信元/先情報、データ長、ペイロード条件、周期条件の各項目とを比較する。そして、全ての項目が一致する場合には、侵入検知部12は、通信判定データは、通信許可リスト73の中のルール番号1の通信ルールに該当すると判断する。【0049】
一方、各項目の内、1項目でも相違する項目があった場合には、侵入検知部12は、通信判定データは通信許可リスト73の中のルール番号1の通信ルールに該当しないと判断し、ルール番号2と通信判定データとを比較する。そして、通信判定データがいずれの通信ルールとも一致しない場合には、通信判定データは、通信許可リスト73の中のいずれの通信ルールにも該当しないと判断して、図7のステップS103に進み、警報部13に侵入検知信号を出力する(侵入検知ステップ)。【0050】
警報部13は、侵入検知部12から侵入検知信号が入力された場合、図7のステップS104において、ネットワーク30に警報を出力する。出力された警報は、ネットワーク30を介して監視制御端末40に入力され、監視制御端末40のディスプレイ68に表示される。【0051】
侵入検知部12は、図7のステップS102において、通信判定データがいずれかの通信ルールと一致した場合には、侵入検知信号を出力せずにルーチンを終了し、次のルーチンを開始する。【0052】
次に図8を参照しながら、侵入検知装置10における通信許可リスト73の生成について説明する。図8のステップS201からステップS206は通信許可リスト生成ステップを構成する。また、図8のステップS201からステップS204は、属性情報解析ステップを構成する。【0053】
図8のステップS201に示すように、属性情報解析部15は、外部のエンジニアリング情報ファイル16から図4に示すようなエンジニアリングデータ71を取得する。先に説明したように、エンジニアリングデータ71は、空調機器56、照明機器57の温度センサ等のオブジェクトの属性情報データをリストにしたもので、図4に示すように、内部識別子、温度センサ1のようなオブジェクトの名称、型、オブジェクト識別子、単位、最大値、最小値の各項目を含むデータセットをリストにしたものである。エンジニアリング情報ファイル16は、BACnetの通信を用いたビル管理システム100を構築する際に用いられるもので、例えば、BACnet仕様に基づいた温度センサ等のオブジェクトの属性情報をカンマ区切りにしたCSVフォーマットファイルであってもよい。【0054】
図8のステップS202において、属性情報解析部15は、取得したエンジニアリングデータ71を解析して通信許可ルールの生成に必要な情報を抽出する。そして、属性情報解析部15は、図8のステップS203において、抽出した情報をネットワーク30の通信仕様フォーマットに形成して中間データ72として出力する。【0055】
先に説明したように、中間データ72は、図5に示す様に、通信許可リスト73と同様、ネットワーク30の通信仕様フォーマットと同様の格納領域を有している。属性情報解析部15は、エンジニアリングデータ71を解析し、エンジニアリングデータ71の中の「センサ温度1」のオブジェクト名がオブジェクト識別子1に該当し、そのデータはアナログ入力データで、最大値が80、最小値が−20であることを抽出する。そして、属性情報解析部15は、中間データ72のルール番号1の行の送信元/先情報の欄にオブジェクト名である「センサ温度1」を格納し、ペイロード条件の欄に「オブジェクト識別子1、Analog input、−20〜80」のデータを格納する。同様に、属性情報解析部15は、エンジニアリングデータ71の中の「センサ温度2」のオブジェクト名がオブジェクト識別子2に該当し、そのデータはアナログ入力データで、最大値が100、最小値が0であることを抽出する。そして、属性情報解析部15は、中間データ72のルール番号2の行の送信元/先情報の欄にオブジェクト名である「センサ温度2」を格納し、ペイロード条件の欄に「オブジェクト識別子2、Analog input、0〜100」のデータを格納する。また、ネットワーク30の通信にはBACnetを用いるので、プロトコル種別にはそれぞれBACnetを格納する。【0056】
属性情報解析部15は、エンジニアリングデータ71に含まれる全てのオブジェクトについて通信許可ルールの生成に必要な情報を抽出して中間データ72の各項目に入力して中間データ72を生成する。このように、属性情報解析部15は、エンジニアリングデータ71を解析して通信許可ルールの生成に必要な情報を抽出し、ネットワーク30の通信仕様フォーマットと同様の格納領域を有する中間データ72の各項目に入力することにより中間データ72を形成する。【0058】
通信許可リスト生成部14は、図8のステップS205に示すように、内部に格納されているデフォルトの管理情報を読み出す。ここで、管理情報とは、ネットワーク30の構成情報と、空調機器56、照明機器57の温度センサ等のオブジェクトの入出力情報とを含むものである。ネットワーク30の構成条件とは、例えば、送信元/先アドレス、データ長等である。オブジェクトの入出力情報とは、例えば、オブジェクト識別子の読み、書き等のコマンド条件である。【0059】
通信許可リスト生成部14は、図8のステップS206において、読み出した管理情報に基づいて、中間データ72の送信元/先情報に格納されているオブジェクト名の「センサ温度1」を送信元/先アドレスに変換する。また、ペイロード条件に格納されている「オブジェクト識別子1」をセンサ温度1の入出力情報である「read property」に変換する。そして、データ長に「82」、状態に「運転」、周期条件に「1秒以上」を追加する。このように、通信許可リスト生成部14は、中間データ72に管理情報を合わせて図6に示すような通信許可リスト73を生成する。通信許可リスト生成部14は、図8のステップS206において、生成した通信許可リスト73をメモリ63に格納する。【0060】
以上説明したように、本実施形態の侵入検知装置10は、BACnetの通信を用いたビル管理システム100を構築する際に用いられるエンジニアリング情報ファイル16の中のエンジニアリングデータ71に基づいて通信許可リスト73を生成するので、学習等に基づくよりも簡便に通信許可リスト73を生成することができる。【0061】
次に図9を参照しながら、他の実施形態の侵入検知装置10について説明する。図9に示す侵入検知装置10は、管理情報ファイル17を外部から入力することによって外部から管理情報を入力可能としたものである。図9に示すように、管理情報ファイル17は、オブジェクト名−送信元先情報変換テーブル18、オブジェクト識別子−コマンド条件変換テーブル19を含んでいる。【0062】
本実施形態の侵入検知装置10は、管理情報を外部のファイルから取り込むようにしたので、管理情報に変更があった場合でも簡便に通信許可リスト73を再生成することができる。【0064】
図10に示す侵入検知装置20は、通信取得部21と、侵入検知部22と、警報部23と、通信ルールリスト生成部27と、通信許可リスト生成部24と、属性情報解析部25と、通信ルールリスト検証部28と、通信許可リスト格納部29とを備えている。通信取得部21、警報部23、属性情報解析部25、は、先に説明した侵入検知装置10の通信取得部11、警報部13、属性情報解析部15と同様である。【0065】
通信ルールリスト生成部27は、通信取得部21が取得した通信判定データを学習して図11に示すような通信ルールリスト74を生成し、通信ルールリスト検証部28に出力する。通信許可リスト生成部24は、先に説明した通信許可リスト生成部14と同様の動作で通信許可リスト73を生成し、生成した通信許可リスト73を通信ルールリスト検証部28に出力する。通信ルールリスト検証部28は、通信ルールリスト74と通信許可リスト73とを比較して通信ルールリスト74を修正して修正通信許可リストとして通信許可リスト格納部29に格納する。侵入検知部22は、通信取得部21から入力された通信判定データと通信許可リスト格納部29に格納した修正通信許可リストとを比較して侵入検知を行う。【0066】
図12、図13を参照しながら本実施形態の侵入検知装置20の動作について説明する。図7、図8を参照して説明した侵入検知装置10の動作と同様のステップについては同様の符号を付して説明は省略する。なお、図12、図13は、侵入検知方法を示すものでもある。【0067】
通信許可リスト生成部24は、通信許可リスト生成部14と同様、図12のステップS201からS204において中間データ72を形成、出力し、図12のステップS205において管理情報を読み出し、図12のステップS226で通信許可リスト生成部14と同様の方法で通信許可リスト73を生成し、生成した通信許可リスト73を通信ルールリスト検証部28に出力する。図12のステップS201からステップS226は通信許可リスト生成ステップを構成する。また、図12のステップS201からステップS204は、属性情報解析ステップを構成する。【0068】
通信ルールリスト生成部27は、図12のステップS210に示すように、通信取得部21から通信判定データを取得し、この通信判定データを学習して図11に示す通信ルールリスト74を生成する。先に説明したように、通信判定データは、図6に示す通信許可リスト73の中の通信ルールと同様、番号、システム状態、プロトコル種別、送信元/先情報、データ長、ペイロード条件、周期条件の各項目を含むデータセットである。通信ルールリスト生成部27は、通信判定データに含まれる上記のデータセットを抽出してネットワーク30の通信仕様フォーマットの格納領域を有する通信ルールリスト74の各項目に入力することによって通信ルールリスト74を生成していく。学習によって同一の通信ルールを1つの通信ルールに纏めて図11に示すような通信ルールリスト74を生成する。そして、通信ルールリスト生成部27は、図12のステップS212において、生成した通信ルールリスト74を通信ルールリスト検証部28に出力する。通信ルールリストの生成は、例えば、監視制御端末40の据え付け時の動作試験の際に行ってもよい。図12のステップS210からステップS212は通信ルールリスト生成ステップを構成する。【0069】
図11に示す通信ルールのルール番号1の通信ルールは、図6に示す通信許可リスト73のルール番号1の通信ルールとデータ長のみが異なり、他の項目は一致している。また、通信ルールリスト74のルール番号2の通信ルールは、図6に示す通信許可リスト73のルール番号2の通信ルールと状態、送信元/先情報、データ長、ペイロード条件が異なっている。このような通信ルールは、エンジニアリング情報から逸脱しており、侵入によって生成されたものと判断されるため、通信ルールリスト検証部28は、図12のステップS213において、以下のように通信ルールリスト74を比較、修正して修正通信許可リストを生成する。【0070】
通信ルールリスト検証部28は、図12のステップS213において、通信ルールリスト74と通信許可リスト73とを比較して通信ルールリスト74の修正が必要かどうか判定する。図12のステップS213において、通信ルールリスト検証部28は、通信ルールリスト74の中の一の通信ルールが通信許可リスト73の中のいずれかの通信許可ルールと一部のみが異なる場合には、通信ルールリスト74の修正が必要と判断して図12のステップS214に進む。通信ルールリスト検証部28は、図12のステップS214において、通信許可リスト73に合わせて一の通信ルールを修正して修正通信許可リストとして通信許可リスト格納部29に出力する。【0071】
また、通信ルールリスト検証部28は、図12のステップS213において、通信ルールリスト74の中の一の通信ルールが通信許可リスト73中のいずれの通信許可ルールとも異なる場合で、且つ、通信許可ルールに合わせて一の通信ルールを修正できない場合にも通信ルールリスト74の修正が必要と判断して図12のステップS214に進む。そして、図12のステップS214において、通信ルールリスト74から当該一の通信ルールを削除して修正通信許可リストとして通信許可リスト格納部29に出力する。【0072】
また、通信ルールリスト検証部28は、図12のステップS213において、通信許可リスト73に含まれるオブジェクトに関する通信許可ルールの中で、通信ルールリスト74にそのオブジェクトに関する通信ルールが含まれていないものがある場合にも通信ルールリスト74の修正が必要と判断して図12のステップS214に進む。そして、図12のステップS214において、その通信許可ルールを通信ルールリスト74に追加して修正通信許可リストとして通信許可リスト格納部29に出力する。例えば、通信許可リスト73に含まれるが通信ルールリスト74に含まれない送信元/先情報が有る場合、その送信元/先情報保含む通信許可ルールを通信ルールとして通信ルールリスト74に追加して修正通信許可リストとして通信許可リスト格納部29に出力する。【0073】
一方、通信ルールリスト検証部28は、図12のステップS213において、通信ルールリスト74の中の全ての通信ルールが通信許可リスト73の中のいずれかの通信許可ルールと一致する場合で、通信許可リスト73に含まれるオブジェクトに関する通信許可ルールの全てが通信ルールリスト74の中に通信ルールとして含まれている場合には、通信ルールリスト74の修正は必要ないと判断して図12のステップS215に進む。通信ルールリスト検証部28は、図12のステップS215において、通信ルールリスト74を修正通信許可リストとして通信許可リスト格納部29に出力する。図12のステップS213からステップS215は、通信ルールリスト検証ステップを構成する。【0074】
例えば、通信ルールのルール番号1の通信ルールは、図6に示す通信許可リスト73のルール番号1の通信許可ルールとデータ長のみが異なり、他の項目は一致している。この場合、通信ルールリスト検証部28は、データ長を通信許可リスト73に合わせて修正し、修正した通信ルールを含む通信ルールリスト74を修正通信許可リストとして通信許可リスト格納部29に出力する。また、通信ルールリスト74のルール番号2の通信ルールのように図6に示す通信許可リスト73のルール番号2の通信許可ルールと多数の項目において一致していない場合、通信ルールリスト検証部28は、この通信ルールを通信許可リスト73に合わせて修正することは困難と判断し、ルール番号2の通信ルールを削除して修正通信許可リストとして通信許可リスト格納部29に出力する。【0075】
侵入検知部22は、図13のステップS101において通信取得部21から通信判定データを取得し(判定データ取得ステップ)、図13のステップS110において通信判定データが通信許可リスト格納部29に格納した修正通信許可リストの中のいずれの通信許可ルールにも該当しないと判断した場合には、図13のステップS103に進んで侵入検知を行い、侵入検知信号を警報部23に出力する。警報部23は、警報をネットワーク30に出力する(侵入検知ステップ)。【0076】
以上、説明したように、本実施形態の侵入検知装置20は、通信データを学習して通信ルールリスト74を作成する場合に、エンジニアリングデータ71に基づいて生成した通信許可リスト73を用いて通信ルールリスト74を修正するので、エンジニアリング情報から逸脱する通信ルールを排除することができる。これにより、簡便な方法で通信許可リスト73の正確性を確保することができる。また、通信許可リスト73を用いて通信ルールリスト74に含まれていないオブジェクトに関する通信ルールを追加するので、通信ルールの網羅度を向上させることができる。【0077】
次に図14から図28を参照しながら実施形態の侵入検知システム800について説明する。先に説明した侵入検知装置10、20は、通信許可リスト73の各領域のデータの内、エンジニアリングデータ71に基づいて生成できないシステム状態条件は、内部に格納されているデフォルトの管理情報あるいは外部の管理情報ファイルから読み出して設定していた。この方法では、その後の修正が多くなり、通信許可リスト73の生成に時間が掛かってしまう場合があった。【0078】
本実施形態の侵入検知システム800は、ネットワーク30に接続されて管理システム110のシステム状態を設定する外部装置45からシステム状態を取得し、これに基づいて通信許可リスト177を生成するので、より簡便に精度の高い通信許可リスト177を生成することができる。また、本実施形態の侵入検知システム800は、通信データ178にデータ取得時刻を示すタイムスタンプを付加したタイムスタンプ付通信データ378を用いて通信の周期を算出し、通信許可リストの周期条件の設定を行うこともできる。この場合、より簡便に通信許可リスト277を生成することができる。以下、説明する。【0079】
最初に図14を参照しながら侵入検知システム800が適用されたビル設備の管理システム110について説明する。管理システム110は、ビル設備である空調機器56、照明機器57が接続されたコントローラ51,52と、監視制御端末42と、コントローラ51,52と監視制御端末42とを接続するネットワーク30と、ネットワーク30に接続された侵入検知装置80と、メンテナンスPC43とを含んでいる。侵入検知システム800は、管理システム110を構成するネットワーク30への侵入を検知するシステムである。【0080】
監視制御端末42、メンテナンスPC43は管理システム110のシステム状態を設定し、設定したシステム状態を侵入検知装置80に出力する。監視制御端末42、メンテナンスPC43は、それぞれ管理システム110のシステム状態を設定する外部装置45を構成する。ここで、管理システム110のシステム状態とは、運転、保守、停止、立ち上げ、立ち下げのいずれかの状態をいう。【0081】
監視制御端末42は、上記の点以外は、先に図1を参照して説明した監視制御端末40と同一の構成である。また、メンテナンスPC43はネットワーク30に接続されて監視制御端末42と同様の動作を行うことができるコンピュータである。メンテナンスPC43は、管理システム110の導通試験を行う際に、管理システム110の状態を運転、保守、停止、立ち上げ、立ち下げのいずれかの状態に設定することができる。【0082】
図15に示すように、侵入検知装置80は、通信取得部81と、侵入検知部82と、警報部83と、通信許可リスト生成部84と、属性情報解析部85と、システム状態受信部88とを備えている。通信許可リスト生成部84は、中間通信許可リスト生成部84aと、中間通信許可リストを格納する記憶部84bと、通信許可リスト修正部84cと、通信許可リストを格納する記憶部84dとを含んでいる。【0083】
通信取得部81は、ネットワーク30に流れる監視制御端末42とコントローラ51、52との間の空調機器56、照明機器57に関する通信データを取得して侵入検知部82に出力する。図21に示すように、通信データは、プロトコル種別、送信元/先情報、データ長、ペイロード条件を含むデータセットである。また、通信取得部81は、通信データに取得時刻を示すタイムスタンプを付加して図27に示すタイムスタンプ付通信データ(以下、T通信データという)として侵入検知部82、通信許可リスト修正部84cに出力する。【0084】
システム状態受信部88は外部装置45が設定したシステム状態を受信し、通信許可リスト修正部84cと侵入検知部82に出力する。【0085】
属性情報解析部85は、エンジニアリング情報ファイル86から、空調機器56、照明機器57の温度センサ等のオブジェクトの属性情報を含むエンジニアリングデータ71を読み出し、エンジニアリングデータ71を解析して中間通信許可ルールの生成に必要な情報を抽出し、中間データ175として中間通信許可リスト生成部84aに出力する。【0086】
ここで、エンジニアリングデータ71は、先に図4を参照して説明したと同様、内部識別子番号、オブジェクト名、型、オブジェクト識別子、単位、最大値、最小値の各項目を含むデータセットをリストにしたエンジニアリング情報である。また、中間データ175は、図17に示す様に、ルール番号、プロトコル種別、送信元/先情報、データ長、ペイロード条件、の各格納領域を有するデータセットである。【0087】
中間通信許可リスト生成部84aは、属性情報解析部85から入力された中間データ175とネットワーク構成情報ファイル87aから読み出したネットワーク構成情報とオブジェクト入出力情報ファイル87bから読み出したオブジェクト入出力情報とに基づいて、通信を許可する通信データ条件を規定した中間通信許可ルールを生成し、中間通信許可リスト176として記憶部84bに格納すると共に、通信許可リスト修正部84cに出力する。【0088】
ここで、中間通信許可リスト176は、図18に示すように、ルール番号、プロトコル種別、送信元/先情報、データ長、ペイロード条件、の各格納領域を有するデータセットである。中間通信許可リスト176に規定されているプロトコル種別、送信元/先情報、データ長、ペイロード条件は通信データ条件を構成する。【0089】
通信許可リスト修正部84cは、システム状態受信部88から入力されたシステム状態に基づいて中間通信許可ルールの通信データ条件に組み合わせられるシステム状態条件を付加して通信許可ルールを生成し、図19に示す通信許可リスト177として記憶部84dに格納すると共に、侵入検知部82に出力する。ここで、通信許可リスト177は、図19に示すように、中間通信許可リスト176にシステム状態条件を追加したものである。【0090】
また、通信許可リスト修正部84cは、通信取得部81から入力されたT通信データ278と、システム状態受信部88から入力されたシステム状態と、中間通信許可リスト生成部から入力された中間通信許可リスト176に基づいて図25に示すような通信許可リスト277を生成して記憶部84dに格納すると共に、侵入検知部82に出力する。【0091】
侵入検知部82は、通信取得部81から入力された通信データ178とシステム状態受信部88から入力されたシステム状態とを組み合わせて図21に示す通信判定データ179を生成し、生成した通信判定データ179と通信許可リスト177の中の通信許可ルールとを比較することによりネットワーク30への侵入を検知する。また、侵入検知部82は、通信取得部81から入力されたT通信データ378とシステム状態受信部88から入力されたシステム状態とを組み合わせて図27に示す通信判定データ379を生成し、生成した通信判定データ379と通信許可リスト277の中の通信許可ルールとを比較することによりネットワーク30への侵入を検知する。【0092】
警報部83は、侵入検知部82が侵入を検知した際には、ネットワーク30に警報を発報する。【0093】
以上説明した、侵入検知装置80の通信取得部81と、侵入検知部82と、警報部83と、通信許可リスト生成部84と、属性情報解析部85と、システム状態受信部88と、通信許可リスト生成部84の、中間通信許可リスト生成部84aと、通信許可リスト修正部84cと、記憶部84b,84dとは、先に図3を参照して説明したコンピュータ60により実現される。【0095】
図16のステップS301に示すように、属性情報解析部85は、エンジニアリング情報ファイル86から図17に示すエンジニアリングデータ71を取得する。図16のステップS302において、属性情報解析部85は、取得したエンジニアリングデータ71を解析し、図16のステップS303で図17に示す中間データ175を生成して中間通信許可リスト生成部84aに出力する。【0096】
中間データ175は、先に図5を参照して説明した中間データ72で空欄としていた状態、周期条件の格納領域を有さないデータ構造を有している。図17に示す中間データ175のルール番号、プロトコル種類、送信元/先情報、データ長、ペイロード条件の各領域に格納されるデータは図5を参照して説明した中間データ72の各格納領域に格納されているデータと同一である。【0097】
図16のステップS304において、中間通信許可リスト生成部84aは、ネットワーク構成情報ファイル87aからネットワーク情報を取得し、オブジェクト入出力情報ファイル87bからオブジェクト入出力情報を取得する。ネットワーク情報は、中間データ175の送信元/先情報に含まれる「センサ温度1」等のオブジェクト名をネットワークのIPアドレスに変換するオブジェクト名−送信元/先情報変換テーブルを含む。また、オブジェクト入出力情報は、中間データ175のペイロード条件に含まれる「オブジェクト識別子1」等のオブジェクト識別子をread/write等のコマンドに変換するオブジェクト識別子−コマンド変換テーブルを含む。【0098】
図16のステップS305おいて、中間通信許可リスト生成部84aは、取得したオブジェクト名−送信元/先情報変換テーブルを参照して図18に示すように中間データ175の送信元/先情報に含まれる「センサ温度1」、「センサ温度2」をそれぞれネットワーク30のIPアドレスに変換する。また、オブジェクト識別子−コマンド変換テーブルを参照して図18に示すように、中間データ175のペイロード条件に含まれる「オブジェクト識別子1」、「オブジェクト識別子2」をそれぞれ「read property」に変換する。また、中間データ175のプロトコル種類、データ長をコピーする。そして、図18に示すような中間許可ルールがルール番号の順に並んだ中間通信許可リスト176を生成する。中間通信許可リスト生成部84aは、生成した中間通信許可リスト176を記憶部84bに格納すると共に、通信許可リスト修正部84cに出力する。【0099】
図16のステップS306において、通信許可リスト修正部84cは、システム状態受信部88から管理システム110のシステム状態を取得する。外部装置45としてメンテナンスPC43が接続されており、例えば、メンテナンスPC43が導通試験の際に管理システム110を「運転」の状態に設定している場合、通信許可リスト修正部84cは「運転」のシステム状態を取得する。【0100】
図16のステップS307において、通信許可リスト修正部84cは、図19に示すように取得したシステム状態をシステム状態条件として中間通信許可リスト176に格納されている通信データ条件に組み合わせて通信許可リスト177を生成する。そして、通信許可リスト修正部84cは、生成した通信許可リスト177を記憶部84dに格納する。図19に示すように、通信許可リスト177は、通信を許可する通信データ条件とシステム状態条件との組み合わせを規定した通信許可ルールをルール番号の順に並べてリストとしてものである。【0101】
以上の通信許可リスト177の生成動作は、メンテナンスPC43は管理システム110を「運転」の状態に設定している場合について説明したが、メンテナンスPC43が管理システム110の導通試験の際にシステム状態を「運転」以外の「保守」、「停止」、「立ち上げ」、「立ち下げ」のいずれかの状態に設定している場合も同様の手順で通信許可リスト177を生成することができる。この場合、通信許可ルールのシステム状態には、それぞれ「保守」、「停止」、「立ち上げ」、「立ち下げ」のいずれかが格納される。【0103】
図20のステップS311に示すように、侵入検知装置80の通信取得部81は、ネットワーク30に流れる通信データ178を取得する。通信データ178は、図21に示すように、プロトコル種別、送信元/先情報、データ長、ペイロード条件を含むデータセットである。通信取得部81は、取得した通信データ178を侵入検知部82に出力する。【0104】
侵入検知部82は、図20のステップS312において、システム状態受信部88からシステム状態を取得する。そして、図20のステップS313において、図21に示すように、通信データ178にシステム状態を付加して通信判定データ179を生成する。図21に示すように、通信判定データ179は、通信データ178に通信データ178を取得した際のシステム状態とを組み合わせたデータ構造を有している。【0105】
侵入検知部82は、図20のステップS314において、図22に示すように、通信判定データ179と通信許可リスト177に含まれる通信許可ルールとを比較する。そして、通信判定データ179に含まれる通信データとシステム状態との組み合わせが通信許可ルールに含まれる通信データ条件とシステム状態条件との組み合わせのいずれにも該当しない場合には、図20のステップS314でYESと判断して図20のステップS315に進んで侵入を検知する。一方、通信判定データ179に含まれる通信データとシステム状態との組み合わせが通信許可ルールに含まれる通信データ条件とシステム状態条件との組み合わせのいずれか1つに該当した場合には、図20のステップS314でNOと判断して侵入検知動作を終了する。【0106】
図22に示す通信判定データ179にデータ番号1で示される通信判定データは、データ長が通信許可リストのルール番号1、2のいずれとも異なるので、図20のステップS314でYESと判断して侵入を検知して図20のステップS315に進む。また、図22のデータ番号2の通信判定データは、システム状態、送信元/先情報、データ長が通信許可リストのルール番号1、2のいずれとも異なるので、侵入検知部82は、図20のステップS314でYESと判断して侵入を検知して図20のステップS315に進む。【0107】
侵入検知部82は、図20のステップS315で通信判定データ179のデータ番号1は「通信データ異常」を含むと判定する。また、通信判定データ179のデータ番号2も「通信データ異常」を含むと判定する。そして、侵入検知部82は、侵入検知信号と、判定結果と、通信データ異常と判定した通信判定データ179とを警報部83に出力する。【0108】
警報部83は、図20のステップS316において、侵入検知部82から入力された判定結果と、通信判定データ179を組み合わせて図22に示すような警報180を生成し、生成した警報180をネットワーク30に発信する。【0109】
以上説明した本実施形態の侵入検知システム800は、ネットワーク30に接続されて管理システム110のシステム状態を設定する外部装置45からシステム状態を取得し、これに基づいて通信許可リスト177を生成するので、より簡便に精度の高い通信許可リスト177を生成することができる。また、外部装置45から入力されたシステム状態と通信データ178とを合わせた通信判定データ179と通信許可リスト177の通信許可ルールとを比較して侵入検知を行うので、より正確に侵入検知を行うことができる。【0111】
先に図16、図17を参照して説明したと同様、属性情報解析部85は、図20のステップS301でエンジニアリングデータ71を取得し、ステップS302でエンジニアリングデータ71を解析し、図24のステップS303で中間データ175を生成して中間通信許可リスト生成部84aに出力する。中間通信許可リスト生成部84aは、図18を参照して説明したと同様、図24のステップS305において、中間データ175から中間通信許可リスト176を生成し、通信許可リスト修正部84cに出力する。【0112】
本動作では、通信取得部81は、ネットワークから図21に示す通信データ178を取得し、データの取得時刻を示すタイムスタンプを付加して図25に示すT通信データ278として侵入検知部82と通信許可リスト修正部84cとに出力している。図24のステップS326において、通信許可リスト修正部84cは、通信取得部81からのT通信データ278を取得する。【0113】
通信許可リスト修正部84cは、図24のステップS327において、ステップS326で取得したT通信データ278に含まれる通信データと、ステップS305で生成した中間通信許可リスト176に含まれる通信データ条件とを比較する。そして、通信データが中間通信許可ルールに含まれる一の通信データ条件に該当する場合が複数存在するか判断する。【0114】
図25に示す例では、T通信データ278のデータ番号1とデータ番号2の通信データは、中間通信許可リスト176のルール番号1に含まれる通信データ条件とに該当する。この場合、通信許可リスト修正部84cは、図24のステップS327でYESと判断して図24のステップS328に進む。そして、通信許可リスト修正部84cは、図25に示すT通信データ278のデータ番号1とデータ番号2のタイムスタンプの差から通信データの周期を990(msec)と算出する。そして、通信許可リスト修正部84cは算出した周期に所定の余裕を付与した時間間隔を中間通信許可リスト176のルール番号1に含まれる通信データ条件に対応する周期条件として設定する。図25に示す例では、通信許可リスト修正部84cはルール番号1に含まれる通信データ条件に対応する周期条件を900(msec)〜1100(msec)の間と設定している。【0115】
通信許可リスト修正部84cは、図24のステップS329において、システム状態条件と周期条件とを中間通信許可ルールに付加して通信許可ルールを生成し、それを番号順に並べて通信許可リスト277を生成する。そして、通信許可リスト修正部84cは、生成した通信許可リスト277を記憶部84dに格納すると共に、侵入検知部82に出力する。【0116】
一方、通信許可リスト修正部84cは、図24のステップS327でNOと判断した場合には、通信データ条件に対応する周期条件はないと判断して図24のステップS331で通信許可ルールの周期条件の欄に「設定なし」と入力して図24のステップS329に進んで通信許可リストルールを生成する。【0118】
図26のステップS331において、侵入検知部82は、通信取得部81から図27に示すT通信データ378を取得する。また、図26のステップS332において、侵入検知部82はシステム状態受信部88からシステム状態を取得し、図26のステップS333において、T通信データ378にシステム状態を付加して通信判定データ379を生成する。【0119】
図26のステップS334において、侵入検知部82は、図20のステップS314と同様、通信判定データ379と通信許可リスト277に含まれる通信許可ルールとを比較する。そして、通信判定データ379に含まれる通信データとシステム状態との組み合わせが通信許可ルールに含まれる通信データ条件とシステム状態条件との組み合わせのいずれにも該当しないかどうか判断する。侵入検知部82は、図26のステップS334でYESと判断した場合には、図26のステップS335で図20のステップS315と同様、通信データ異常の判定を行い、図26のステップS336で図20のステップS316と同様の警報を発報する。【0120】
一方、侵入検知部82は、図26のステップS334でNOと判断した場合、図26のステップS337に進み、通信判定データ379に含まれる通信データとシステム状態との組み合わせが通信許可ルールに含まれる一の通信データ条件と一のシステム状態条件との組み合わせに該当する場合が複数存在するか判断する。【0121】
図27に示す例では、通信判定データ379のデータ番号1と2と、システム状態と通信データとの組み合わせが同一なので、この場合、侵入検知部82は、図26のステップS337でYESと判断して図26のステップS338に進んで通信判定データ379のデータ番号1と2の間の周期を算出する。図27に示す例では、データ番号1と2との間の周期は500(msec)と計算される。【0122】
侵入検知部82は、図26のステップS339に進んで、算出した周期が通信許可リスト277に含まれている周期条件を満足するか判断する。図27に示す例では、通信判定データ379のデータ番号1、2が該当する通信許可リスト277のルール番号1では、周期条件が900(msec)と1100(msec)との間に設定されているので、データ番号1と2との周期はこの周期条件を満足いない。この場合、侵入検知部82は、図26のステップS339でYESと判断して侵入を検知して図26のステップS340に進む。【0123】
侵入検知部82は、図26のステップS340で通信判定データ379は「周期異常」を含むと判定する。侵入検知部82は、侵入検知信号と、判定結果と、システム状態と、通信データ異常と判定した通信許可リスト277の通信ルール番号と、ステップS338で算出した周期とを警報部83に出力する。【0124】
警報部83は、図26のステップS336において、侵入検知部82から入力されたシステム状態と、判定結果と、ルール番号と通信間隔とを組み合わせて図28に示すような警報380を生成し、生成した警報380をネットワーク30に発信する。【0125】
また、侵入検知部82は、図26のステップS337、S339でいずれもNOと判断した場合には、侵入がないと判断して警報を発信せずに侵入検知動作を終了する。【0126】
以上説明した通信許可リスト277の生成動作は、ネットワーク30に接続されて管理システム110のシステム状態を設定する外部装置45からシステム状態を取得し、ネットワーク30に流れる通信データの周期にもとづいて周期条件を生成し、これに基づいて通信許可リスト277を生成するので、図16を参照して説明した生成動作よりも更に簡便に精度の高い通信許可リスト277を生成することができる。【0127】
また、また、外部装置45から入力されたシステム状態とT通信データ378とを合わせた通信判定データ379と周期条件を含む通信許可リスト277の通信許可ルールとを比較して侵入検知を行うので、周期異常の判定を行うことができ、正確に侵入検知を行うことができる。【0129】
図29に示すように、侵入検知システム900は、図14、15を参照して説明した侵入検知システム800に監視センター90を追加したものである。監視センター90は、ネットワーク30に接続され、ネットワーク30から警報が入力された際に、警報の内容を解析し、解析結果に基づいて侵入検知装置80に格納されている通信許可リスト277を更新するものである。【0130】
図30に示すように、監視センター90は、警報解析部91と、記憶部92と、ルール判定部93と、通信許可リスト更新部95とを含んでいる。【0131】
記憶部92は、中間通信許可リスト生成部84aが生成した中間通信許可リスト176と通信許可リスト修正部84cが生成した通信許可リスト277とを格納する。警報解析部91は、ネットワーク30から警報が入力された際に、警報の内容を解析し、解析結果に基づいて追加通信許可ルールあるいは変更通信許可ルールを生成する。ルール判定部93は、警報解析部91が生成した追加通信許可ルールあるいは変更通信許可ルールがシステム仕様に合致しているかを判定する。ルール判定部93は、追加通信許可ルールあるいは変更通信許可ルールがシステム仕様に合致していると判定した場合には、更新許可信号と警報解析部91が生成した追加通信許可ルールあるいは変更通信許可ルールを通信許可リスト更新部95に送信する。通信許可リスト更新部95は、追加通信許可ルールあるいは変更通信許可ルールにより記憶部84d、92に格納されている通信許可リスト277を更新して更新通信許可リスト277a、277bとする。【0132】
以下、図31、32を参照しながら侵入検知部82が通信データ異常と判定した場合の監視センター90による通信許可リスト277の更新動作について説明する。以下、図32に示す警報180aが入力されたとして説明する。【0133】
図31のステップS351に示すように、監視センター90の警報解析部91は、ネットワーク30から図32に示す警報180aが入力されると、警報180aに含まれている判定結果が通信データ異常かどうか判断する。通信データ異常の判定結果が含まれている場合には、警報解析部91は、図31のステップS352に進む。ステップS351でNOと判断した場合には、警報解析部91は解析を行わずにルーチンを終了する。【0135】
警報解析部91は、図31のステップS352において、警報180aに含まれる通信データが記憶部92に格納されている中間通信許可リスト176に含まれる通信データ条件のいずれか一つに該当するかどうかを判断する。図32に示す例では、警報番号1、2は、それぞれ中間通信許可リスト176のルール番号1、2の各通信データ条件と同一の通信データを含んでいる。従って、この場合、警報解析部91は、図31のステップS352でYESと判断し、図31のステップS353に進む。【0136】
図31のステップS353において、警報解析部91は、警報180aに含まれる通信データと一致した中間通信許可リスト176の通信データ条件と警報180aに含まれるシステム状態とを組み合わせて追加通信許可ルールを生成する。図32の例では、警報解析部91は、警報180aの警報番号1に含まれる通信データと一致した中間通信許可リスト176の番号1の中間通信許可ルールの通信データ条件と警報番号1に含まれる「停止」のシステム状態とを組み合わせて追加通信許可ルールを生成する。記憶部92に格納されている通信許可リスト277には30個の通信許可ルールがリストされているので、生成した追加通信許可ルールのルール番号は31となる。また、同様に、中間通信許可リスト176の番号2の中間通信許可ルールの通信データ条件と警報番号2に含まれる「保守」のシステム状態とを組み合わせて、ルール番号32として追加通信許可ルールを生成する。そして、警報解析部91は、生成した追加通信許可ルールをルール判定部93に出力する。【0137】
ルール判定部93は、図31のステップS354において、システム仕様ファイル94から管理システム120のシステム仕様を取得する。そして、ルール判定部93は、図31のステップS355において、ルール番号31、32の追加通信許可ルールとシステム仕様とを比較し、追加通信許可ルールがシステム仕様と合致しているかを判定する。【0138】
図31のステップS355において、YESと判定した場合、ルール判定部93は、通信許可リスト更新部95に通信ルール追加許可信号と、ルール番号31、32の追加通信許可ルールとを出力する。通信許可リスト更新部95は、ルール判定部93から追加許可信号が入力されたら、追加通信許可ルールを記憶部84d、92に格納されている通信許可リスト277に追加して更新通信許可リスト277aとし、記憶部84d、92に格納する。【0139】
次に図33、34を参照しながら、侵入検知部82が周期異常と判定した場合の監視センター90による通信許可リスト277の更新動作について、図34に示す警報380が入力された場合を例として説明する。【0140】
図33のステップS361に示すように、監視センター90の警報解析部91は、ネットワーク30から図34に示す警報380が入力されると、警報380に含まれている判定結果が周期異常かどうか判断する。周期異常の判定結果が含まれている場合には、警報解析部91は、図33のステップS362に進む。また、ステップS361でNOと判断した場合には、警報解析部91は解析を行わずにルーチンを終了する。【0142】
警報解析部91は、図33のステップS362において、記憶部92に格納されている通信許可リスト277の中の通信ルールの内、警報380に含まれる通信ルール番号に対応する通信許可ルールの周期条件が警報380に含まれる周期を含むように変更した変更通信許可ルールを生成する。【0143】
図34の例では、警報380に含まれている通信ルール番号は、1であるから、警報解析部91は、通信許可リスト277のルール番号1に含まれる周期条件が警報380に含まれる周期、500(msec)を含むように、周期条件を400(msec)〜1100(msec)に変更した変更通信許可ルールを生成する。そして、警報解析部91は、生成した変更通信許可ルールをルール判定部93に出力する。【0144】
ルール判定部93は、図33のステップS363において、システム仕様ファイル94から管理システム120のシステム仕様を取得する。そして、ルール判定部93は、図33のステップS364において、ルール番号1の変更通信許可ルールとシステム仕様とを比較し、変更通信許可ルールがシステム仕様と合致しているかを判定する。【0145】
図36のステップS364において、YESと判定した場合、ルール判定部93は、通信許可リスト更新部95に通信ルール変更許可信号と、ルール番号1の変更通信許可ルールとを出力する。通信許可リスト更新部95は、ルール判定部93から変更許可信号が入力されたら、記憶部84d、92に格納されている通信許可リスト277のルール番号1の通信許可ルールを変更通信許可ルールに変更して更新通信許可リスト277bとし、記憶部84d、92に格納する。【0146】
図34に示した例では、警報380は通信許可リスト277に含まれる周期条件よりも短い周期が検出された場合であるが、警報380は通信許可リスト277に含まれる周期条件よりも長い周期が検出された場合、あるいはタイムアウトとなって周期の検出ができなかった場合には、警報解析部91は、警報380の通信ルール番号に対応する通信許可リスト277の中の通信許可ルールに規定されている周期条件の上限を大きくしてもよい。例えば、図34に示す例では、周期条件の上限を1100(msec)から1200(msec)あるいは1500(msec)のように変更してもよい。【0147】
また、以上の説明では、ルール判定部93が追加通信許可ルール、変更通信許可ルールがシステム仕様と合致しているかどうかを判定することとして説明したが、図30に示すように、監視センター90に配置されている管理システムの管理者等の判定者96が追加通信許可ルール、変更通信許可ルールがシステム仕様と合致しているかを判断し、ルール判定部93から通信許可ルールの追加許可信号、変更許可信号を発信させるようにしてもよい。【0148】
以上説明したように、本実施形態の侵入検知システム900は、ネットワーク30から入力された警報の内容を解析し、解析結果に基づいて侵入検知装置80に格納されている通信許可リスト277を更新するので、より短時間に通信許可リストを生成することができる。【0149】
また、ルール判定部93によって追加通信許可ルール、変更通信許可ルールがシステム仕様に合致している場合にのみ通信許可リスト277を更新するので、システム仕様に合致しない通信許可ルールが更新通信許可リスト277bに含まれることを防止でき、正確な更新通信許可リスト277bを生成することができる。【0150】
本発明は以上説明した実施形態に限定されるものではなく、請求の範囲により規定されている本発明の技術的範囲ないし本質から逸脱することない全ての変更および修正を包含するものである。【符号の説明】
【0151】
10,20,80 侵入検知装置、11,21,81 通信取得部、12,22,82 侵入検知部、13,23,83 警報部、14,24,84 通信許可リスト生成部、15,25,85 属性情報解析部、16,86 エンジニアリング情報ファイル、17 管理情報ファイル、18 送信元先情報変換テーブル、19 コマンド条件変換テーブル、27 通信ルールリスト生成部、28 通信ルールリスト検証部、29 通信許可リスト格納部、30 ネットワーク、40,42 監視制御端末、43 メンテナンスPC、45 外部装置、51,52 コントローラ、56 空調機器、57 照明機器、60 コンピュータ、61 CPU、62 補助記憶装置、63 メモリ、64 通信装置、64a レシーバ、64b トランスミッタ、65 入力インターフェース、66 入力装置、67 出力インターフェース、68 ディスプレイ、69 データバス、71 エンジニアリングデータ、72,175 中間データ、73,177,277, 通信許可リスト、74 通信ルールリスト、84a 中間通信許可リスト生成部、84b,84d,92 記憶部、84c 通信許可リスト修正部、87a ネットワーク構成情報ファイル、87b オブジェクト入出力情報ファイル、88 システム状態受信部、90監視センター、91 警報分析部、93 ルール判定部、94 システム仕様ファイル、95 通信許可リスト更新部、96 判定者、100 ビル管理システム、110,120 管理システム、176 中間通信許可リスト、179,379 通信判定データ、180、180a,380 警報、277a,277b 更新通信許可リスト、278 378 T通信データ(タイムスタンプ付通信データ)、800,900 侵入検知システム。