[发明专利]数据分析装置、方法以及程序

说明书

本发明提供数据分析装置、方法以及程序。数据分析装置具有接收器、分析器、选择器以及判定器，接收器接收在制造控制装置与制造装置之间传输的数据包，分析器从接收到的数据包的报头所包含的IP地址和端口号，求出在所接收到的数据包的有效负载中所包含的数据的种类，选择器根据由分析器求出的所述数据的种类，选择与所述数据的种类对应的语法或者规则，在有效负载所包含的数据没有遵循与所述数据的种类对应的语法或者规则时，判定器判定为制造系统中存在异常。由此，在不对现有制造系统进行大幅度改变的情况下就能检测制造系统中的异常。

技术领域

本公开涉及一种计算机网络上的数据的分析技术，尤其涉及一种制造系统中的数据的分析技术。

背景技术

近年来，通过经由互联网等通信网络而与工厂内外的事物、服务建立合作关系，从而积极地实施以提高生产力、创造前所未有的价值、构建新的商业模式为目标的举措。

另一方面，在互联网空间内，黑客、恶意软件等造成的网络攻击活跃。基于网络攻击的非法侵入、信息泄露等事件逐年增加，针对工厂的制造系统也报告了存在停止生产、破坏设备的情况。因此，需要通过检测在具有计算机网络的制造系统中产生的异常来提高制造系统的安全等级。

例如，专利文献1中记载了用以提高控制系统的安全等级的机制的示例。专利文献1的系统汇总从与多个控制系统分别对应的监视部发送的异常通知，并评价被怀疑存在异常的控制系统的信誉。当根据评价结果与基准对照而判定为异常时，就针对使被怀疑存在异常的控制系统运转的保护区域，至少限制来自该保护区域内的出站流量。

并且，在工厂的制造系统中，各制造装置经由网络连接，在彼此进行通信的同时进行制造。在与这样的网络连接的制造装置被非法操作等所控制、或者流经网络的数据被篡改时，就会存在制造出不合格产品或者制造装置受到破坏的问题。为了解决上述问题，例如在专利文献2中记载了一种从网络的数据中检测非法行为的攻击检测装置。

专利文献1：日本公开专利公报特开2012-168755号公报

专利文献2：日本公开专利公报特开2016-19028号公报

发明内容

－发明要解决的技术问题－

不过，为了引入专利文献1所记载的用于检测异常的机构，需要大幅度改变现有的制造系统。

在专利文献2的攻击检测装置中，由于仅从存储在用于通信的数据包的报头中的窗口信息检测攻击，所以不一定能够进行高精度的攻击检测。并且，无法从存储在数据包的报头中的窗口信息，将制造系统中产生了故障的这一情况作为异常检测出来。

本公开的目的在于：不对现有的制造系统进行大幅度的改变，就能检测制造系统中的异常。

－用以解决技术问题的技术方案－

本公开的数据分析装置对在制造系统中传输的数据进行分析，所述制造系统具有制造装置和控制所述制造装置的制造控制装置，所述数据分析装置具有接收器、分析器、选择器及判定器，所述接收器接收在所述制造控制装置与所述制造装置之间传输的第一数据包，所述分析器从接收到的所述第一数据包的报头所包含的IP地址和端口号，求出在所接收到的所述第一数据包的有效负载中所包含的数据的种类，所述选择器根据由所述分析器求出的所述数据的种类，选择与所述数据的种类对应的语法或者规则，在所述有效负载所包含的数据没有遵循与所述数据的种类对应的语法或者规则时，所述判定器判定为所述制造系统中存在异常。

根据上述结构，能够接收在制造系统中的制造控制装置与制造装置之间传输的数据包，并且能够由其内容来判定制造系统中存在异常。由于所接收的数据包与数据分析装置无关，是在制造系统中通常使用的数据包，因而能够容易获知在制造系统中存在异常。