Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7603468B2 - Monitoring and Control Systems - Google Patents
[go: Go Back, main page]

JP7603468B2 - Monitoring and Control Systems - Google Patents

Monitoring and Control Systems Download PDF

Info

Publication number
JP7603468B2
JP7603468B2 JP2021018657A JP2021018657A JP7603468B2 JP 7603468 B2 JP7603468 B2 JP 7603468B2 JP 2021018657 A JP2021018657 A JP 2021018657A JP 2021018657 A JP2021018657 A JP 2021018657A JP 7603468 B2 JP7603468 B2 JP 7603468B2
Authority
JP
Japan
Prior art keywords
monitoring
database
packet
analysis unit
whitelist
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021018657A
Other languages
Japanese (ja)
Other versions
JP2022121772A (en
Inventor
詩門 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2021018657A priority Critical patent/JP7603468B2/en
Publication of JP2022121772A publication Critical patent/JP2022121772A/en
Application granted granted Critical
Publication of JP7603468B2 publication Critical patent/JP7603468B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本願は、監視制御システムに関するものである。 This application relates to a monitoring and control system.

従来、制御システムに対するサイバーセキュリティ対策はPLC(Programmable Logic Controller)などのエンドポイント機器を守ることを主体として検討されており、アドレス情報、パケット情報を監視、分析して外部からの攻撃を防御することで制御を行っている。例えば、ネットワークのパケットを監視し、セキュリティの脅威レベルを診断することによって送信元あるいは送信先の装置に対して対処指示を与える技術が開示されている(特許文献1参照)。ネットワークのパケットを監視、分析し、問題があると判定したポートを封鎖する技術が提案されている(例えば、特許文献2参照)。 Conventionally, cybersecurity measures for control systems have been considered primarily to protect end-point devices such as PLCs (Programmable Logic Controllers), and control is achieved by monitoring and analyzing address information and packet information to defend against external attacks. For example, a technology has been disclosed that monitors network packets, diagnoses the security threat level, and issues instructions to the source or destination device to deal with the situation (see Patent Document 1). A technology has been proposed that monitors and analyzes network packets, and blocks ports that are determined to have a problem (see, for example, Patent Document 2).

特開2018-157343公報JP2018-157343A 特開2019-92149号公報JP 2019-92149 A

これら従来のネットワーク監視スイッチを用いた監視制御システムでは、新しい悪意のある機器の侵入および攻撃から制御機器を守ることを主体として対策が検討されており、既知のIP(Internet Protocol)機器(ルータなど)が攻撃主体となった場合に、制御システムを防御することができないという課題があった。 In these conventional monitoring and control systems using network monitoring switches, measures have been considered that primarily aim to protect control devices from intrusions and attacks by new malicious devices, but there has been an issue in that the control system cannot be defended when a known IP (Internet Protocol) device (such as a router) becomes the subject of an attack.

例えば、特許文献2では、通信ポートのロックダウンルーチンにより新しい悪意のあるデバイスがシステム上の制御装置と通信することを防止するが、これは外部の攻撃から制御装置を守るための技術であり、L2スイッチがサイバー攻撃装置となった場合の対策とならないという課題があった。 For example, in Patent Document 2, a communication port lockdown routine is used to prevent new malicious devices from communicating with the control device on the system, but this is a technology for protecting the control device from external attacks, and there is an issue that it does not provide a countermeasure in the event that the L2 switch becomes a cyber attack device.

本願は、L2スイッチが、サイバー攻撃の入り口となった場合でも防御可能な監視制御システムを提供することを目的とする。 The purpose of this application is to provide a monitoring and control system that can defend against L2 switches even if they become the entry point for cyber attacks.

本願に開示される監視制御システムは、
外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、
前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、
前記解析部は、
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、
前記監視制御システムは、複数の前記ネットワーク監視スイッチと、前記複数のネットワーク監視スイッチの設定情報を一括して保持する統合管理データベースを備え、
それぞれの前記ネットワーク監視スイッチは、前記ホワイトリストデータベース、前記Config設定データベースの内容が更新された際に、変更された設定内容を前記統合管理データベースに送信し、前記統合管理データベースから受信したデータを用いて前記ホワイトリストデータベースと前記Config設定データベースとを更新する設定同期部を備え、
前記統合管理データベースは、前記ホワイトリストデータベースと前記Config設定データベースとの設定を同期させる前記ネットワーク監視スイッチの組み合わせを記録した設定同期テーブルを備えるものである。
また、本願に開示される監視制御システムは、
外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、
前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、
前記解析部は、
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、
前記ネットワーク監視スイッチは、1つの通信パスと、当該通信パスに関連する関連通信パスとが予め登録されている連動遮断テーブルを備え、
前記パケット遮断部は、前記1つの通信パスと前記関連通信パスの通信とを連動して遮断するものである。
また、本願に開示される監視制御システムは、
外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、
前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、
前記解析部は、
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、
前記解析部は、前記脅威を検知した場合は、中継装置を経由して上位バスへ前記脅威の情報を送信するものである。
The monitoring and control system disclosed in the present application comprises:
A monitoring and control system in which a monitoring and control device that monitors and controls the operation of an external controlled device and a network monitoring switch as an L2 switch arranged between the monitoring and control device and the controlled device are connected via a network,
the network monitoring switch comprises an analysis unit that analyzes packet data of a passing packet, a packet blocking unit that blocks the transport of the packet when a threat is found in the data, a management database that records information on packets that have passed in the past and a communication history, a whitelist database that records a source and a destination that have been confirmed to be safe, a Config setting database that records setting information for the network monitoring switch, and a data storage unit that stores analyzed traffic information of the packet in the management database;
The analysis unit is
a port access analysis unit that uses the Config setting database to determine whether a port that receives packet communication is an authorized port;
a whitelist analysis unit that determines whether the MAC address, IP address, and communication protocol of the source and destination are recorded in the whitelist database;
a traffic analysis unit that uses the management database to determine whether the frequency of use of the source and the destination and the packet interval are appropriate;
a threat determination unit that determines a threat of the packet passing through the network monitoring switch based on analysis results of the port access analysis unit, the whitelist analysis unit, and the traffic analysis unit,
the traffic analysis unit determines whether the packet interval is equal to or greater than a standard minimum packet interval for a bandwidth being used ;
the monitoring and control system includes a plurality of the network monitoring switches and an integrated management database that collectively holds setting information of the plurality of network monitoring switches;
Each of the network monitoring switches includes a setting synchronization unit that transmits changed setting contents to the integrated management database when contents of the whitelist database and the Config setting database are updated, and updates the whitelist database and the Config setting database using data received from the integrated management database;
The integrated management database includes a setting synchronization table that records combinations of the network monitoring switches that synchronize settings between the whitelist database and the Config setting database .
In addition, the monitoring and control system disclosed in the present application is
A monitoring and control system in which a monitoring and control device that monitors and controls the operation of an external controlled device and a network monitoring switch as an L2 switch arranged between the monitoring and control device and the controlled device are connected via a network,
the network monitoring switch comprises an analysis unit that analyzes packet data of a passing packet, a packet blocking unit that blocks the transport of the packet when a threat is found in the data, a management database that records information on packets that have passed in the past and a communication history, a whitelist database that records a source and a destination that have been confirmed to be safe, a Config setting database that records setting information for the network monitoring switch, and a data storage unit that stores analyzed traffic information of the packet in the management database;
The analysis unit is
a port access analysis unit that uses the Config setting database to determine whether a port that receives packet communication is an authorized port;
a whitelist analysis unit that determines whether the MAC address, IP address, and communication protocol of the source and destination are recorded in the whitelist database;
a traffic analysis unit that uses the management database to determine whether the frequency of use of the source and the destination and the packet interval are appropriate;
a threat determination unit that determines a threat of the packet passing through the network monitoring switch based on analysis results of the port access analysis unit, the whitelist analysis unit, and the traffic analysis unit,
the traffic analysis unit determines whether the packet interval is equal to or greater than a standard minimum packet interval for a bandwidth being used;
the network monitoring switch includes an interlocking cutoff table in which one communication path and an associated communication path related to the communication path are registered in advance;
The packet blocking unit blocks communication of the one communication path and the associated communication path in cooperation with each other.
In addition, the monitoring and control system disclosed in the present application is
A monitoring and control system in which a monitoring and control device that monitors and controls the operation of an external controlled device and a network monitoring switch as an L2 switch arranged between the monitoring and control device and the controlled device are connected via a network,
the network monitoring switch comprises an analysis unit that analyzes packet data of a passing packet, a packet blocking unit that blocks the transport of the packet when a threat is found in the data, a management database that records information on packets that have passed in the past and a communication history, a whitelist database that records a source and a destination that have been confirmed to be safe, a Config setting database that records setting information for the network monitoring switch, and a data storage unit that stores analyzed traffic information of the packet in the management database;
The analysis unit is
a port access analysis unit that uses the Config setting database to determine whether a port that receives packet communication is an authorized port;
a whitelist analysis unit that determines whether the MAC address, IP address, and communication protocol of the source and destination are recorded in the whitelist database;
a traffic analysis unit that uses the management database to determine whether the frequency of use of the source and the destination and the packet interval are appropriate;
a threat determination unit that determines a threat of the packet passing through the network monitoring switch based on analysis results of the port access analysis unit, the whitelist analysis unit, and the traffic analysis unit,
the traffic analysis unit determines whether the packet interval is equal to or greater than a standard minimum packet interval for a bandwidth being used;
When the analysis unit detects the threat, it transmits information about the threat to a higher-level bus via a relay device.

本願に開示される監視制御システムによれば、
L2スイッチが、サイバー攻撃の入り口となった場合でも防御可能な監視制御システムを提供できる。
According to the monitoring and control system disclosed in the present application,
This makes it possible to provide a monitoring and control system that can defend against cases in which an L2 switch becomes the entry point for a cyber attack.

実施の形態1による監視制御システムの構成を示すブロック図である。1 is a block diagram showing a configuration of a monitoring and control system according to a first embodiment. 実施の形態1による監視制御装置の構成を示すブロック図である。1 is a block diagram showing a configuration of a monitoring and control device according to a first embodiment; 実施の形態1による解析部によるトラフィック診断のフローチャートである。4 is a flowchart of traffic diagnosis by an analysis unit according to the first embodiment. 実施の形態1によるネットワークの状態監視に関するフローチャートである。4 is a flowchart relating to network status monitoring according to the first embodiment. 実施の形態2による監視制御システムの構成を示すブロック図である。FIG. 11 is a block diagram showing a configuration of a monitoring and control system according to a second embodiment. 実施の形態2による統合管理データベースの構成を示すブロック図と設定同期テーブルの構成を示す図である。13A and 13B are a block diagram showing a configuration of an integrated management database and a configuration of a setting synchronization table according to a second embodiment. 実施の形態2のフローチャートである。11 is a flowchart according to a second embodiment. 実施の形態3による監視制御システムの構成を示すブロック図である。FIG. 11 is a block diagram showing a configuration of a monitoring and control system according to a third embodiment. 実施の形態3のフローチャートである。13 is a flowchart according to a third embodiment. 実施の形態4による監視制御システムの構成を示すブロック図である。FIG. 13 is a block diagram showing the configuration of a monitoring and control system according to a fourth embodiment. 実施の形態4のフローチャートである。13 is a flowchart according to a fourth embodiment. 実施の形態5による監視制御システムの構成を示すブロック図である。FIG. 13 is a block diagram showing the configuration of a monitoring and control system according to a fifth embodiment. 実施の形態5による連動遮断テーブルの構成を示す図である。FIG. 13 is a diagram showing the configuration of an interlocking cutoff table according to the fifth embodiment. 実施の形態5のフローチャートである。13 is a flowchart of the fifth embodiment.

実施の形態1.
以下、実施の形態1による監視制御システムを図に基づいて説明する。
図1は、監視制御システム100の構成を示すブロック図である。
図2は、監視制御装置90の構成を示すブロック図である。
監視制御システム100は、監視制御装置90と、ネットワーク監視用端末10と表示処理部12と、L2スイッチとしてのネットワーク監視スイッチ20(以下、単に監視スイッチ20という)とを備える。監視スイッチ20は、外部の被制御装置40A、40B・・40Xとネットワーク50を介して接続されている。
Embodiment 1.
The monitoring and control system according to the first embodiment will be described below with reference to the drawings.
FIG. 1 is a block diagram showing the configuration of a monitoring and control system 100.
FIG. 2 is a block diagram showing the configuration of the monitor and control device 90. As shown in FIG.
The monitoring control system 100 includes a monitoring control device 90, a network monitoring terminal 10, a display processing unit 12, and a network monitoring switch 20 (hereinafter, simply referred to as the monitoring switch 20) as an L2 switch. The monitoring switch 20 is connected to external controlled devices 40A, 40B, . . . 40X via a network 50.

監視制御装置90は、ハードウエアの一例を図2に示すように、プロセッサ91と記憶装置92から構成される。記憶装置は、図示していないランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを備える。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を備えてもよい。プロセッサ91は、記憶装置92から入力されたプログラムを実行する。この場合、補助記憶措置から揮発性記憶装置を介してプロセッサ91にプログラムが入力される。また、プロセッサ91は、演算結果等のデータを記憶装置92の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。監視制御装置90は、外部の被制御装置40A~40Xの動作を監視、制御する。 The monitoring and control device 90 is composed of a processor 91 and a storage device 92, as shown in FIG. 2, which is an example of hardware. The storage device includes a volatile storage device such as a random access memory (not shown) and a non-volatile auxiliary storage device such as a flash memory. Also, instead of the flash memory, a hard disk auxiliary storage device may be included. The processor 91 executes a program input from the storage device 92. In this case, the program is input to the processor 91 from the auxiliary storage device via the volatile storage device. Also, the processor 91 may output data such as the results of calculations to the volatile storage device of the storage device 92, or may store the data in the auxiliary storage device via the volatile storage device. The monitoring and control device 90 monitors and controls the operation of the external controlled devices 40A to 40X.

監視スイッチ20は、監視スイッチ20を通過するパケットのパケットデータを解析する解析部21と、データ中に脅威(ウィルス等)を発見した場合に当該パケットの搬送を遮断するパケット遮断部22と、通過するパケットの解析されたトラフィック情報を保存するデータ蓄積部23とを備える。 The monitoring switch 20 includes an analysis unit 21 that analyzes packet data of packets passing through the monitoring switch 20, a packet blocking unit 22 that blocks the transport of packets if a threat (such as a virus) is found in the data, and a data storage unit 23 that stores the analyzed traffic information of passing packets.

解析部21は、監視スイッチ20の入力ポートに対するアクセスを解析するポートアクセス解析部21Aと、送信元および送信先の安全性を解析するホワイトリスト解析部21Bと、監視スイッチ20を通過するトラフィックの安全性を解析するトラフィック解析部21Cと、ポートアクセス解析部21Aと、ホワイトリスト解析部21Bと、トラフィック解析部21Cとの解析結果から、監視スイッチ20を通過するパケットの脅威を総合的に判定する脅威判定部21Dとを備える。 The analysis unit 21 includes a port access analysis unit 21A that analyzes access to the input port of the monitoring switch 20, a whitelist analysis unit 21B that analyzes the safety of the source and destination, a traffic analysis unit 21C that analyzes the safety of traffic passing through the monitoring switch 20, and a threat determination unit 21D that comprehensively determines the threat of packets passing through the monitoring switch 20 based on the analysis results of the port access analysis unit 21A, the whitelist analysis unit 21B, and the traffic analysis unit 21C.

また、監視スイッチ20は、過去に通過したパケット情報および通信履歴を記録する管理データベースDB1と、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースDB2と、許可された入力ポート情報その他の各種設定情報を記録するConfig設定データベースDB3との3つのデータベースを備える。ポートアクセス解析部21Aは、Config設定データベースDB3を利用する。ホワイトリスト解析部21Bは、ホワイトリストデータベースDB2を利用する。また、トラフィック解析部21Cは、管理データベースDB1を利用する。 The monitoring switch 20 also has three databases: a management database DB1 that records packet information and communication history that have passed through in the past; a whitelist database DB2 that records senders and destinations whose safety has been confirmed; and a Config setting database DB3 that records permitted input port information and other various setting information. The port access analysis unit 21A uses the Config setting database DB3. The whitelist analysis unit 21B uses the whitelist database DB2. The traffic analysis unit 21C uses the management database DB1.

各データベースDB1~DB3に記録されているデータは、表示処理部12によって処理され、ネットワーク監視用端末10によってネットワーク50の状態を監視することが可能である。ネットワーク監視用端末10によって各監視スイッチ20のパケット間隔、使用頻度の閾値を設定可能とすることでネットワーク50のセキュリティレベルを設定する。 The data recorded in each database DB1 to DB3 is processed by the display processing unit 12, and the state of the network 50 can be monitored by the network monitoring terminal 10. The network monitoring terminal 10 can set the packet interval and usage frequency thresholds for each monitoring switch 20, thereby setting the security level of the network 50.

次に、監視スイッチ20の動作について説明する。
図3は、解析部21によるトラフィック診断のフローチャートである。
監視スイッチ20を経由した通信は、まず解析部21によって3ステップの解析が行われる。監視スイッチ20がパケット通信を受信すると(ステップS001)、まず、ポートアクセス解析部21Aによって、Config設定データベースDB3に登録されている、接続が許可されたポートへの通信か否かを判定する(ステップS002)。次に、ホワイトリスト解析部21Bによって、送信元および送信先のMACアドレス(Media Access Control address)、IPアドレス、通信プロトコルが、それぞれホワイトリストデータベースDB2に記録されている範囲内であるか否かを判定する(ステップS003)。次に、トラフィック解析部21Cによって送信元および送信先の使用頻度と、パケット間隔が適正か否か、使用する帯域の標準最小パケット間隔以上か否かを判定する(ステップS004)。使用頻度は、実際に運用するシステムの通常時の運用を予め診断して閾値を設定し、その基準を超える場合(パケット間隔が小さくなった場合)に検知するように設定するとよい。
Next, the operation of the monitoring switch 20 will be described.
FIG. 3 is a flowchart of traffic diagnosis by the analysis unit 21. As shown in FIG.
The analysis unit 21 first performs a three-step analysis of the communication via the monitoring switch 20. When the monitoring switch 20 receives a packet communication (step S001), the port access analysis unit 21A first determines whether the communication is to a port registered in the config setting database DB3 that is permitted to be connected (step S002). Next, the whitelist analysis unit 21B determines whether the MAC address (Media Access Control address), IP address, and communication protocol of the source and destination are within the ranges recorded in the whitelist database DB2 (step S003). Next, the traffic analysis unit 21C determines the frequency of use of the source and destination, whether the packet interval is appropriate, and whether it is equal to or greater than the standard minimum packet interval of the bandwidth used (step S004). The frequency of use may be set by diagnosing the normal operation of the system in operation in advance and setting a threshold value, and setting it to detect when the threshold value is exceeded (when the packet interval becomes smaller).

ステップS002~ステップS004のいずれかのステップで条件を満たさないと判断された場合は、パケット遮断部22によって通信の遮断を行い(ステップS005)、アラートを発報する(ステップS006)。ステップS002~ステップS004の全てのステップで条件を満たすと判断された場合は、通信を許可し(ステップS007)、データ蓄積部23は、管理データベースDB1へ通信データを蓄積する(ステップS008)。また、表示処理部12を経由してネットワーク監視用端末10に通信状態を表示(ステップS009)することによって情報の可視化を行う。 If it is determined that the conditions are not met in any of steps S002 to S004, the packet blocking unit 22 blocks the communication (step S005) and issues an alert (step S006). If it is determined that the conditions are met in all steps S002 to S004, the communication is permitted (step S007), and the data storage unit 23 stores the communication data in the management database DB1 (step S008). In addition, the communication status is displayed on the network monitoring terminal 10 via the display processing unit 12 (step S009), thereby visualizing the information.

図4は、実施の形態1によるネットワーク50の状態監視に関するフローチャートである。
監視制御システム100では、ネットワーク50上の脅威を検出し、悪意あるトラフィックを遮断、報告することに加え、ネットワーク50の状態を可視化し、常時、状態を監視することを可能とする。表示処理部12にて、監視スイッチ20が蓄積した接続機器のIPアドレス一覧とその使用状況、通信履歴、現在のトラフィック状態などのデータを取得し、可視化処理する(ステップS101)。また、ネットワーク監視用端末10にて、管理者は、選択した情報を閲覧することができる(ステップS102)。また、監視スイッチ20が脅威を検出した場合は、アラートを表示し(ステップS103)管理者に脅威が検出されたことを知らせる。
FIG. 4 is a flowchart relating to the state monitoring of the network 50 according to the first embodiment.
The monitoring control system 100 detects threats on the network 50, blocks and reports malicious traffic, and also visualizes the state of the network 50, making it possible to constantly monitor the state. The display processing unit 12 acquires data such as a list of IP addresses of connected devices stored by the monitoring switch 20, their usage status, communication history, and current traffic status, and performs visualization processing (step S101). Furthermore, the administrator can view selected information on the network monitoring terminal 10 (step S102). Furthermore, if the monitoring switch 20 detects a threat, an alert is displayed (step S103) to notify the administrator that a threat has been detected.

実施の形態1による監視制御システムによれば、L2スイッチが、サイバー攻撃の入り口となった場合でも防御可能な監視制御システムを提供できる。
また、アクセスポート解析とホワイトリスト解析とにより未知のIP機器からの通信を防ぎ、更にトラフィック解析により既に接続されているIP機器からの攻撃の拡散を防ぐことができる。
According to the monitoring and control system of the first embodiment, it is possible to provide a monitoring and control system that can defend against a cyber attack even if the L2 switch becomes an entrance for the attack.
In addition, the access port analysis and whitelist analysis can prevent communication from unknown IP devices, and the traffic analysis can prevent the spread of attacks from already connected IP devices.

実施の形態2.
以下、実施の形態2による監視制御システムを図に基づいて、実施の形態1と異なる部分を中心に説明する。
図5は、監視制御システム200の構成を示すブロック図である。
図6は、統合管理データベースDB4の構成を示すブロック図と設定同期テーブルSTBの構成を示す図である。
図7は、実施の形態2のフローチャートである。
本実施の形態2では、監視制御システム200は、複数の監視スイッチ220(220A、220B・・220Xを備え、複数の監視スイッチ220A、220B・・220Xの各種設定情報を一括して保持する統合管理データベースDB4を備えている。
Embodiment 2.
The monitoring and control system according to the second embodiment will be described below with reference to the drawings, focusing on the differences from the first embodiment.
FIG. 5 is a block diagram showing the configuration of the monitoring and control system 200.
FIG. 6 is a block diagram showing the configuration of the integrated management database DB4 and a diagram showing the configuration of the setting synchronization table STB.
FIG. 7 is a flowchart according to the second embodiment.
In the second embodiment, the monitoring control system 200 includes a plurality of monitoring switches 220 (220A, 220B, . . . 220X) and an integrated management database DB4 that collectively holds various setting information of the plurality of monitoring switches 220A, 220B, . . . 220X.

統合管理データベースDB4は、監視スイッチ220Aの設定データDTA、監視スイッチ220Bの設定データDTB・・・監視スイッチ220Xの設定データDTXを備える。設定データDTA~DTXには、それぞれの監視スイッチ220A~220Xの少なくともホワイトリストデータベースDB2およびConfig設定データベースDB3に記録されている情報と同じ情報が保存されている。 The integrated management database DB4 includes setting data DTA for the monitoring switch 220A, setting data DTB for the monitoring switch 220B, and setting data DTX for the monitoring switch 220X. The setting data DTA to DTX store at least the same information as that recorded in the whitelist database DB2 and Config setting database DB3 for each of the monitoring switches 220A to 220X.

また、統合管理データベースDB4は、複数の監視スイッチ220A~220Xの内で、設定を同期させるべき監視スイッチ220の組み合わせを事前に記録した、設定同期テーブルSTBを備える(ステップS201)。 The integrated management database DB4 also includes a setting synchronization table STB that pre-records combinations of monitoring switches 220 whose settings should be synchronized among the multiple monitoring switches 220A-220X (step S201).

監視制御システム200に複数の監視スイッチ220(220A、220B)が実装されている場合、1つの監視スイッチ220のホワイトリストデータベースDB2、Config設定データベースDB3の内容が更新された際は(ステップS202)、監視スイッチ220Aの設定同期部24は、変更された設定内容を統合管理データベースDB4に送信する。統合管理データベースDB4の更新情報受信部DB4INは、監視スイッチ220Aから変更された設定データを受信すると、設定同期テーブルSTBを参照し、設定を同期する対象の監視スイッチ220B~20Xを設定同期テーブルを用いて検索する。 When multiple monitoring switches 220 (220A, 220B) are implemented in the monitoring control system 200, when the contents of the whitelist database DB2 and Config setting database DB3 of one monitoring switch 220 are updated (step S202), the setting synchronization unit 24 of the monitoring switch 220A sends the changed setting contents to the integrated management database DB4. When the update information receiving unit DB4IN of the integrated management database DB4 receives the changed setting data from the monitoring switch 220A, it refers to the setting synchronization table STB and uses the setting synchronization table to search for the monitoring switches 220B to 220X whose settings are to be synchronized.

同期すべきスイッチ20B~20Xがあれば、設定データDTAと該当する設定データDTB~DTXを更新し、更新情報発信部DB4OUTにて対象となる監視スイッチ220B~220Xへ更新された設定データを送信する。設定データを受信した監視スイッチ220B~220Xの設定同期部24は、スイッチ内のホワイトリストデータベースDB2とConfig設定データベースDB3の内容を、受信した設定データを用いて書き換えて更新する(ステップS203)。 If there are switches 20B-20X to be synchronized, the setting data DTA and the corresponding setting data DTB-DTX are updated, and the updated setting data is sent to the target monitoring switches 220B-220X by the update information sending unit DB4OUT. The setting synchronization unit 24 of the monitoring switches 220B-220X that receive the setting data rewrites and updates the contents of the whitelist database DB2 and Config setting database DB3 within the switch using the received setting data (step S203).

実施の形態2による監視制御システムによれば、1台の特定の監視スイッチ220Aの設定およびホワイトリストデータベースDB2が更新された際、統合管理データベースDB4を介して、関連する監視スイッチ220B~220Xに同じ更新情報を展開し、関連する監視スイッチ220B~220Xに対しても自動的に同一の設定を行うことができる。 According to the monitoring and control system of embodiment 2, when the settings and whitelist database DB2 of one specific monitoring switch 220A are updated, the same update information is deployed to the related monitoring switches 220B to 220X via the integrated management database DB4, and the same settings can be automatically applied to the related monitoring switches 220B to 220X.

実施の形態3.
以下、実施の形態3による監視制御システムを図に基づいて、実施の形態1、2と異なる部分を中心に説明する。
図8は、監視制御システム300の構成を示すブロック図である。
監視制御システム300は、監視スイッチ220および広域監視制御システムの上位バス305に接続された中継装置70を備える。
Embodiment 3.
The monitoring and control system according to the third embodiment will be described below with reference to the drawings, focusing on the differences from the first and second embodiments.
FIG. 8 is a block diagram showing the configuration of the monitoring and control system 300.
The monitoring and control system 300 includes a monitoring switch 220 and a relay device 70 connected to a higher-level bus 305 of the wide-area monitoring and control system.

監視スイッチ220内の解析部21が、実施の形態1と同様に通信解析によって脅威を検知した場合は、それらの情報を中継装置70を経由して上位バス305へ送信する。上位バス305へ送られたデータは、上位バス305に接続されたファイルサーバ350に保存される。管理者は、広域監視制御用端末60にて監視および、監視する通信パスの管理を行うことができる。 When the analysis unit 21 in the monitoring switch 220 detects a threat by communication analysis as in the first embodiment, the information is sent to the upper bus 305 via the relay device 70. The data sent to the upper bus 305 is stored in a file server 350 connected to the upper bus 305. The administrator can monitor and manage the communication paths to be monitored using the wide area monitoring control terminal 60.

図9は、実施の形態3のフローチャートである。
監視スイッチ220内の解析部21がトラフィック解析において脅威を検出した場合は(ステップS301)、脅威を検出したことおよびその情報(送信元、送信先、脅威の内容)を、中継装置70、上位バス305を経由して、広域監視制御システムへ送信する(ステップS302)。そして広域監視制御用端末60にて、監視スイッチ220が異常を検出したことを警報音等で知らせる。また、送信された情報はファイルサーバ350へ格納される(ステップS303)。
FIG. 9 is a flowchart according to the third embodiment.
When the analysis unit 21 in the monitoring switch 220 detects a threat in the traffic analysis (step S301), the fact that the threat was detected and the information about the detection (source, destination, and details of the threat) are transmitted to the wide-area monitoring control system via the relay device 70 and the upper bus 305 (step S302). Then, the wide-area monitoring control terminal 60 notifies the user by sounding an alarm or the like that the monitoring switch 220 has detected an abnormality. The transmitted information is stored in the file server 350 (step S303).

実施の形態3による監視制御システムによれば、管理者が指定したパスの通信を一項目として正常、異常の判定を行うことができる。すなわち、広域監視制御システムとネットワーク監視スイッチを連携させ、ネットワーク状態を広域監視制御システムで監視することで、セキュリティ事象を含めて一元的に広域監視を実現できる。 The monitoring and control system according to the third embodiment can determine whether communication on a path specified by an administrator is normal or abnormal as a single item. In other words, by linking the wide-area monitoring and control system with the network monitoring switch and monitoring the network status with the wide-area monitoring and control system, it is possible to realize unified wide-area monitoring, including security events.

実施の形態4.
以下、実施の形態4による監視制御システムを図に基づいて、実施の形態1~3と異なる部分を中心に説明する。
図10は、監視制御システム400の構成を示すブロック図である。
図11は、実施の形態4のフローチャートである。
本実施の形態では、監視スイッチ420Aの脅威判定部21Dが脅威を検出すると(ステップS401)、アラート生成部21Eが脅威の内容をアラートとして生成し(ステップS402)、管理者および管理者によって指定されたアドレスにメールで通報する(ステップS403)。
Embodiment 4.
The monitoring and control system according to the fourth embodiment will be described below with reference to the drawings, focusing on the differences from the first to third embodiments.
FIG. 10 is a block diagram showing the configuration of the monitoring and control system 400.
FIG. 11 is a flowchart according to the fourth embodiment.
In this embodiment, when the threat determination unit 21D of the monitoring switch 420A detects a threat (step S401), the alert generation unit 21E generates an alert containing the contents of the threat (step S402) and notifies the administrator and an address designated by the administrator by email (step S403).

また同時に、脅威が検出されるまでのセキュリティ履歴、トラフィック履歴が、ネットワーク監視用端末10に送信される。ネットワーク監視用端末10では、日単位もしくは時間単位で受信した情報をグラフ化して表示する。これらの履歴データは、監視スイッチ420Aが保持している管理データベースDB1から取得される。 At the same time, the security history and traffic history up until the threat was detected are sent to the network monitoring terminal 10. The network monitoring terminal 10 displays the received information on a daily or hourly basis in a graph. This history data is obtained from the management database DB1 held by the monitoring switch 420A.

実施の形態4による監視制御システムによれば、ネットワークに発生した脅威を速やかに関係者に周知できる。また、ネットワーク監視用端末10を用いて、脅威が発生した場所を速やかに特定できる。 The monitoring and control system according to the fourth embodiment can quickly notify relevant parties of threats that occur in the network. In addition, the location where the threat occurred can be quickly identified using the network monitoring terminal 10.

実施の形態5.
以下、実施の形態4による監視制御システムを図に基づいて、実施の形態1~4と異なる部分を中心に説明する。
図12は、監視制御システム500の構成を示すブロック図である。
図13は、連動遮断テーブル25の構成を示す図である。
図14は、実施の形態5のフローチャートである。
本実施の形態では、監視制御システム500内に監視スイッチ520(520A、520B)が複数台含まれる場合を想定する。
連動遮断テーブル25には、ある通信パスと、その通信パスに関連する関連通信パスと、関連通信パスの所定時間当たりのパケット数の閾値(上限)が予め登録されている。特定の監視スイッチ520Aの脅威判定部21Dが脅威を検出し、通信を遮断した場合(ステップS501)、パケット遮断部522は、ネットワーク監視スイッチ520Aが有する連動遮断テーブル25を参照する(ステップS502)。
Embodiment 5.
The monitoring and control system according to the fourth embodiment will be described below with reference to the drawings, focusing on the differences from the first to fourth embodiments.
FIG. 12 is a block diagram showing the configuration of the monitoring and control system 500.
FIG. 13 is a diagram showing the configuration of the interlocking cutoff table 25. As shown in FIG.
FIG. 14 is a flowchart according to the fifth embodiment.
In this embodiment, it is assumed that the monitoring and control system 500 includes a plurality of monitoring switches 520 (520A, 520B).
A certain communication path, an associated communication path related to the communication path, and a threshold (upper limit) of the number of packets per predetermined time for the associated communication path are registered in advance in the interlocking cutoff table 25. When the threat determination unit 21D of a specific monitoring switch 520A detects a threat and cuts off communication (step S501), the packet cutoff unit 522 refers to the interlocking cutoff table 25 of the network monitoring switch 520A (step S502).

脅威が検出された通信パスに関連通信パスが存在する場合、関連通信パスの現在の通信状態を確認する(ステップS503)。確認の結果、パケット間隔が設定した閾値よりも小さい場合、パケット遮断部522は、この関連パスの通信も連動して遮断する(ステップS504)。また、当該関連通信パスが、別の監視スイッチ520B(ステップS505)によって監視されている場合は、その監視スイッチ520Bのパケット遮断部522に通信状態確認を指示する。 If an associated communication path exists for the communication path where a threat was detected, the current communication status of the associated communication path is checked (step S503). If the check reveals that the packet interval is smaller than the set threshold, the packet blocking unit 522 also blocks communication on this associated path (step S504). In addition, if the associated communication path is being monitored by another monitoring switch 520B (step S505), the packet blocking unit 522 of that monitoring switch 520B is instructed to check the communication status.

実施の形態5による監視制御システムによれば、脅威が発生したパスだけでなく、関連する通信パスの通信も連動して遮断できるので、被害の拡大を未然に防止できる。また、関連パスが、他の監視スイッチの監視下にある場合でも、監視スイッチ間で遮断処理を連動できる。 The monitoring and control system according to the fifth embodiment can cut off not only the path where the threat has occurred, but also the communication of related communication paths in a coordinated manner, thereby preventing the damage from spreading. In addition, even if related paths are under the monitoring of other monitoring switches, the cutting process can be coordinated between the monitoring switches.

本願は、様々な例示的な実施の形態及び実施例が記載されているが、1つ、または複数の実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
Although the present application describes various exemplary embodiments and examples, the various features, aspects, and functions described in one or more embodiments are not limited to application to a particular embodiment, but may be applied to the embodiments alone or in various combinations.
Therefore, countless modifications not illustrated are conceivable within the scope of the technology disclosed in the present application, including, for example, modifying, adding, or omitting at least one component, and further, extracting at least one component and combining it with a component of another embodiment.

100,200,300,400,500 監視制御システム、
10 ネットワーク監視用端末、12 表示処理部、
20,20B,220,220A,220B,220X,420A,520,520A,520B ネットワーク監視スイッチ、
21 解析部、21A ポートアクセス解析部、21B ホワイトリスト解析部、
21C トラフィック解析部、21D 脅威判定部、21E アラート生成部、
22,522 パケット遮断部、23 データ蓄積部、24 設定同期部、
25 連動遮断テーブル、40A~40X 被制御装置、350 ファイルサーバ、
60 広域監視制御用端末、70 中継装置、90 監視制御装置、91 プロセッサ、92 記憶装置、305 上位バス、DB1 管理データベース、
DB2 ホワイトリストデータベース、DB3 Config設定データベース、
DB4 統合管理データベース、DB4IN 更新情報受信部、
DB4OUT 更新情報発信部、DTA,DTB,DTX 設定データ、
STB 設定同期テーブル。
100, 200, 300, 400, 500 Monitoring and control system,
10 network monitoring terminal, 12 display processing unit,
20, 20B, 220, 220A, 220B, 220X, 420A, 520, 520A, 520B network monitoring switches,
21 Analysis unit, 21A Port access analysis unit, 21B Whitelist analysis unit,
21C traffic analysis unit, 21D threat determination unit, 21E alert generation unit,
22, 522 packet blocking unit, 23 data storage unit, 24 setting synchronization unit,
25 interlocking cutoff table, 40A to 40X controlled devices, 350 file server,
60 wide area monitoring and control terminal, 70 relay device, 90 monitoring and control device, 91 processor, 92 storage device, 305 upper bus, DB1 management database,
DB2 Whitelist database, DB3 Config setting database,
DB4 Integrated Management Database, DB4IN Update Information Receiving Unit,
DB4OUT: Update information transmission section, DTA, DTB, DTX: Setting data,
STB setting synchronization table.

Claims (7)

外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、
前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、
前記解析部は、
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、
前記監視制御システムは、複数の前記ネットワーク監視スイッチと、前記複数のネットワーク監視スイッチの設定情報を一括して保持する統合管理データベースを備え、
それぞれの前記ネットワーク監視スイッチは、前記ホワイトリストデータベース、前記Config設定データベースの内容が更新された際に、変更された設定内容を前記統合管理データベースに送信し、前記統合管理データベースから受信したデータを用いて前記ホワイトリストデータベースと前記Config設定データベースとを更新する設定同期部を備え、
前記統合管理データベースは、前記ホワイトリストデータベースと前記Config設定データベースとの設定を同期させる前記ネットワーク監視スイッチの組み合わせを記録した設定同期テーブルを備える監視制御システム。
A monitoring and control system in which a monitoring and control device that monitors and controls the operation of an external controlled device and a network monitoring switch as an L2 switch arranged between the monitoring and control device and the controlled device are connected via a network,
the network monitoring switch comprises an analysis unit that analyzes packet data of a passing packet, a packet blocking unit that blocks the transport of the packet when a threat is found in the data, a management database that records information on packets that have passed in the past and a communication history, a whitelist database that records a source and a destination that have been confirmed to be safe, a Config setting database that records setting information for the network monitoring switch, and a data storage unit that stores analyzed traffic information of the packet in the management database;
The analysis unit is
a port access analysis unit that uses the Config setting database to determine whether a port that receives packet communication is an authorized port;
a whitelist analysis unit that determines whether the MAC address, IP address, and communication protocol of the source and destination are recorded in the whitelist database;
a traffic analysis unit that uses the management database to determine whether the frequency of use of the source and the destination and the packet interval are appropriate;
a threat determination unit that determines a threat of the packet passing through the network monitoring switch based on analysis results of the port access analysis unit, the whitelist analysis unit, and the traffic analysis unit,
the traffic analysis unit determines whether the packet interval is equal to or greater than a standard minimum packet interval for a bandwidth being used ;
the monitoring and control system includes a plurality of the network monitoring switches and an integrated management database that collectively holds setting information of the plurality of network monitoring switches;
Each of the network monitoring switches includes a setting synchronization unit that transmits changed setting contents to the integrated management database when contents of the whitelist database and the Config setting database are updated, and updates the whitelist database and the Config setting database using data received from the integrated management database;
The integrated management database is a monitoring and control system including a setting synchronization table that records combinations of the network monitoring switches that synchronize settings between the whitelist database and the Config setting database.
外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、A monitoring and control system in which a monitoring and control device that monitors and controls the operation of an external controlled device and a network monitoring switch as an L2 switch arranged between the monitoring and control device and the controlled device are connected via a network,
前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、the network monitoring switch comprises an analysis unit that analyzes packet data of a passing packet, a packet blocking unit that blocks the transport of the packet when a threat is found in the data, a management database that records information on packets that have passed in the past and a communication history, a whitelist database that records a source and a destination that have been confirmed to be safe, a Config setting database that records setting information for the network monitoring switch, and a data storage unit that stores analyzed traffic information of the packet in the management database;
前記解析部は、The analysis unit is
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、a port access analysis unit that uses the Config setting database to determine whether a port that receives packet communication is an authorized port;
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、a whitelist analysis unit that determines whether the MAC address, IP address, and communication protocol of the source and destination are recorded in the whitelist database;
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、a traffic analysis unit that uses the management database to determine whether the frequency of use of the source and the destination and the packet interval are appropriate;
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、a threat determination unit that determines a threat of the packet passing through the network monitoring switch based on analysis results of the port access analysis unit, the whitelist analysis unit, and the traffic analysis unit,
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、the traffic analysis unit determines whether the packet interval is equal to or greater than a standard minimum packet interval for a bandwidth being used;
前記ネットワーク監視スイッチは、1つの通信パスと、当該通信パスに関連する関連通信パスとが予め登録されている連動遮断テーブルを備え、the network monitoring switch includes an interlocking cutoff table in which one communication path and an associated communication path related to the communication path are registered in advance;
前記パケット遮断部は、前記1つの通信パスと前記関連通信パスの通信とを連動して遮断する監視制御システム。The packet blocking unit is a monitoring and control system that blocks communication of the one communication path and the related communication path in conjunction with each other.
外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、A monitoring and control system in which a monitoring and control device that monitors and controls the operation of an external controlled device and a network monitoring switch as an L2 switch arranged between the monitoring and control device and the controlled device are connected via a network,
前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、the network monitoring switch comprises an analysis unit that analyzes packet data of a passing packet, a packet blocking unit that blocks the transport of the packet when a threat is found in the data, a management database that records information on packets that have passed in the past and a communication history, a whitelist database that records a source and a destination that have been confirmed to be safe, a Config setting database that records setting information for the network monitoring switch, and a data storage unit that stores analyzed traffic information of the packet in the management database;
前記解析部は、The analysis unit is
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、a port access analysis unit that uses the Config setting database to determine whether a port that receives packet communication is an authorized port;
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、a whitelist analysis unit that determines whether the MAC address, IP address, and communication protocol of the source and destination are recorded in the whitelist database;
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、a traffic analysis unit that uses the management database to determine whether the frequency of use of the source and the destination and the packet interval are appropriate;
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、a threat determination unit that determines the threat of the packet passing through the network monitoring switch based on analysis results of the port access analysis unit, the whitelist analysis unit, and the traffic analysis unit,
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、the traffic analysis unit determines whether the packet interval is equal to or greater than a standard minimum packet interval for a bandwidth being used;
前記解析部は、前記脅威を検知した場合は、中継装置を経由して上位バスへ前記脅威の情報を送信する監視制御システム。The analysis unit transmits information about the threat to a higher-level bus via a relay device when the threat is detected.
前記監視制御システムは、複数の前記ネットワーク監視スイッチと、前記複数のネットワーク監視スイッチの設定情報を一括して保持する統合管理データベースを備え、
それぞれの前記ネットワーク監視スイッチは、前記ホワイトリストデータベース、前記Config設定データベースの内容が更新された際に、変更された設定内容を前記統合管理データベースに送信し、前記統合管理データベースから受信したデータを用いて前記ホワイトリストデータベースと前記Config設定データベースとを更新する設定同期部を備え、
前記統合管理データベースは、前記ホワイトリストデータベースと前記Config設定データベースとの設定を同期させる前記ネットワーク監視スイッチの組み合わせを記録した設定同期テーブルを備える請求項2又は請求項3に記載の監視制御システム。
the monitoring and control system includes a plurality of the network monitoring switches and an integrated management database that collectively holds setting information of the plurality of network monitoring switches;
Each of the network monitoring switches includes a setting synchronization unit that transmits changed setting contents to the integrated management database when contents of the whitelist database and the Config setting database are updated, and updates the whitelist database and the Config setting database using data received from the integrated management database;
4. The monitoring and control system according to claim 2, wherein the integrated management database includes a setting synchronization table that records combinations of the network monitoring switches that synchronize settings between the whitelist database and the Config setting database.
前記ネットワーク監視スイッチは、前記脅威判定部が判定した前記脅威の内容をアラートとして生成して通報するアラート生成部を備える請求項1から請求項4のいずれか1項に記載の監視制御システム。 5. The monitoring and control system according to claim 1 , wherein the network monitoring switch includes an alert generating unit that generates an alert and notifies the content of the threat determined by the threat determining unit. 前記ネットワーク監視スイッチは、1つの通信パスと、当該通信パスに関連する関連通信パスとが予め登録されている連動遮断テーブルを備え、
前記パケット遮断部は、前記1つの通信パスと前記関連通信パスの通信とを連動して遮断する請求項1又は、請求項3から請求項のいずれか1項に記載の監視制御システム。
the network monitoring switch includes an interlocking cutoff table in which one communication path and an associated communication path related to the communication path are registered in advance;
6. The monitoring and control system according to claim 1 , wherein the packet blocking unit blocks communication of the one communication path and the associated communication path in cooperation with each other.
前記解析部は、前記脅威を検知した場合は、中継装置を経由して上位バスへ前記脅威の情報を送信する請求項1又は、請求項2又は、請求項4から請求項のいずれか1項に記載の監視制御システム。 The monitoring and control system according to claim 1, 2, or 4 to 6 , wherein when the analysis unit detects the threat, it transmits information about the threat to a higher-level bus via a relay device.
JP2021018657A 2021-02-09 2021-02-09 Monitoring and Control Systems Active JP7603468B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021018657A JP7603468B2 (en) 2021-02-09 2021-02-09 Monitoring and Control Systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021018657A JP7603468B2 (en) 2021-02-09 2021-02-09 Monitoring and Control Systems

Publications (2)

Publication Number Publication Date
JP2022121772A JP2022121772A (en) 2022-08-22
JP7603468B2 true JP7603468B2 (en) 2024-12-20

Family

ID=82932962

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021018657A Active JP7603468B2 (en) 2021-02-09 2021-02-09 Monitoring and Control Systems

Country Status (1)

Country Link
JP (1) JP7603468B2 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021503191A (en) 2018-10-01 2021-02-04 コリア ウォーター リソーシ コーポレーションKorea Water Resources Corporation L2 switch for network security and remote monitoring control system using it

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4466597B2 (en) * 2006-03-31 2010-05-26 日本電気株式会社 Network system, network management apparatus, network management method and program
US9241245B2 (en) * 2013-01-15 2016-01-19 Apple Inc. Management of unwanted calls and/or text messages
KR101455167B1 (en) * 2013-09-03 2014-10-27 한국전자통신연구원 Network switch based on whitelist
JP6780838B2 (en) * 2016-05-27 2020-11-04 学校法人東京電機大学 Communication control device and billing method
JP6636474B2 (en) * 2017-03-16 2020-01-29 日本電信電話株式会社 Response instruction device, response instruction method, response instruction program

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021503191A (en) 2018-10-01 2021-02-04 コリア ウォーター リソーシ コーポレーションKorea Water Resources Corporation L2 switch for network security and remote monitoring control system using it

Also Published As

Publication number Publication date
JP2022121772A (en) 2022-08-22

Similar Documents

Publication Publication Date Title
US7808897B1 (en) Fast network security utilizing intrusion prevention systems
US9407602B2 (en) Methods and apparatus for redirecting attacks on a network
US9130983B2 (en) Apparatus and method for detecting abnormality sign in control system
EP2835948B1 (en) Method for processing a signature rule, server and intrusion prevention system
JP5960978B2 (en) Intelligent system and method for mitigating cyber attacks in critical systems by controlling message latency in communication networks
US8732832B2 (en) Routing apparatus and method for detecting server attack and network using the same
JP6256773B2 (en) Security system
EP3108614B1 (en) System and method for information security threat disruption via a border gateway
US20130347062A1 (en) Secured network arrangement and methods thereof
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
KR20170109949A (en) Method and apparatus for enhancing network security in dynamic network environment
JP7603468B2 (en) Monitoring and Control Systems
US11159533B2 (en) Relay apparatus
JP7150552B2 (en) Network protection devices and network protection systems
KR101343693B1 (en) Network security system and method for process thereof
JP4161989B2 (en) Network monitoring system
JP6851211B2 (en) Network monitoring system
KR101400127B1 (en) Method and apparatus for detecting abnormal data packet
JP6441721B2 (en) Control device, control method and program
US12592940B2 (en) ATM integrity monitor (AIM) system and method for detecting cyber attacks on ATMs networks
KR20100071763A (en) Apparatus for detecting distributed denial of service attack and method for thereof
JP4190508B2 (en) Network control system and network control method
JP2019125915A (en) Building management system
Brightwood et al. Enhancing Network Security Against DDoS Attacks through SDN Solutions
HK1249683B (en) System and method for information security threat disruption via a border gateway

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210603

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221220

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231004

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240118

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20240409

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20241023

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20241210

R150 Certificate of patent or registration of utility model

Ref document number: 7603468

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150