[发明专利]非法通信检测系统

说明书

技术领域

本发明涉及一种通过镜像捕捉在工厂网络中传输的数据包而对非法的通信进行检测的非法通信检测系统，特别地，涉及下述非法通信检测系统，其可以不依赖于FW(防火墙)的日志解析及IDS(侵入检测系统)的设置、运用，而对在工厂网络内可能成为安全威胁的非法流量(蠕虫、僵尸程序、病毒的通信、设定错误、人为攻击等)及其预兆进行检测。

背景技术

近年，作为工业自动化中的处理控制系统，提出了将构成反馈控制环路的包括流量计或温度计等传感器、致动器、现场控制器在内的现场设备与网络连接而形成的现场控制网络。

另外，作为用于使工厂整体的动作最佳的控制网络管理系统，还提出了工厂网络。

另一方面，在工厂中还存在作为办公室用而铺设的IP网络。IP网络广泛普及，IP网络中大量被使用的以太网(注册商标)可以灵活地构建网络，因此，还提出了使工厂网络、现场控制网络在IP网络上进行动作的协议。

通过使用这种协议，可以使工厂网络、现场控制网络与作为办公室用而铺设的IP网络共存。

即，可以将传感器及致动器等直接与IP网络连接，在维护及运用方面可以更简单地访问终端装置。

在上述网络中，存在发生可能成为安全威胁的非法流量(蠕虫、僵尸程序、病毒的通信、设定错误、人为攻击等)的可能性。如果发生非法流量，则可能对工厂运转造成影响。因此，需要确定非法流量及把握网络状况。

图6是现有的工厂网络中的非法通信检测系统的一个实施例的结构说明图。

在图6中，工厂网络100是用于使工厂整体的动作成为最佳的控制网络管理系统，具体地说，由以下的要素构成。

例如由下述部分构成：操作控制台1，其是用于对现场设备进行控制而进行工厂运转的控制台装置；OPC服务器2，其是用于使不同种类的工业自动化控制系统彼此动作的服务器，使处理过程数据在多厂商环境下被共享，并将其向内部网的业务系统转送；工程工作站3，其作为工作站而进行向属于现场控制网络的设备中装载的控制逻辑的开发、改造；以及其他终端装置(PC-2，PC-3)。上述操作控制台1、OPC服务器2、工程工作站3经由网络100而彼此连接。

该工厂网络100设置在净水厂或工厂等中，作为工业自动化中的处理控制系统，与由构成反馈控制环路的现场设备(包含流量计或温度计等传感器、致动器、现场控制器在内的设备)构成的控制总线网络200连接。

具体地说，操作控制台1、工程工作站3、OPC服务器2与控制总线网络200以及工厂网络100彼此连接。

工厂网络100与工厂中作为办公室用而铺设的IP网络(以下称为内部网)300连接。

内部网300由作为办公室用终端装置的PC-1等构成，经由具有限制网络间通信的功能的防火墙(以下称为FW)4与互联网400连接。

另外，内部网300经由FW6与工厂网络100连接。在内部网300中连接IDS5，通过PC-1等进行控制。IDS5还与FW6和工厂网络100之间的连接线连接。

在这里，在工厂网络100的由虚线包围的部分中，由于近年不断引入搭载有Windows(注册商标)的装置及开放技术，所以产生安全相关的风险。

对于该安全风险，通过利用IDS5进行侵入检测而确保工厂网络安全。

IDS5是所谓侵入检测系统，用于构成现有的非法通信检测系统。IDS5通过对工厂网络100进行监视，检测非法的流量，从而确保工厂网络100的安全。

更具体地说，在IDS5为特征标(signature)型的情况下，IDS5取得在工厂网络100和FW6之间所发送/接收的数据包，将所取得的数据包与预先存储的非法数据包的信息(以下简称为特征标)进行对照。IDS5在数据包的内容与特征标一致时视为非法的数据包而切断通信。

另外，在IDS5为异常型的情况下，在IDS5中预先利用统计学上的方法定义正常状态，在当前的状态脱离预先定义的正常状态的情况下判断为异常，将非法数据包的通过切断。

其结果，现有的工厂网络中的非法通信检测系统，通过经由特征标型(或者异常型)的IDS与互联网等通用网络连接，从而可以对非法的数据包的侵入进行检测，并将其切断。

例如，作为与现有的工厂网络中的非法通信检测系统相关联的背景技术文献，存在下述的专利文献1。

专利文献1：日本特开2005-128784号公报

发明内容