The invention provides a data analysis device, a method and a program. The data analysis device has a receiver, an analyzer, a selector and a decider. The receiver receives the data packets transmitted between the manufacturing control device and the manufacturing device. The analyzer calculates the type of data contained in the payload of the received data packets from the IP address and port number contained in the header of the received data packets. The selector is calculated according to the For the type of data, select the syntax or rule corresponding to the type of data. When the data contained in the payload does not follow the syntax or rule corresponding to the type of data, the decider determines that there is an exception in the manufacturing system. Thus, the anomaly in the manufacturing system can be detected without a significant change to the existing manufacturing system.
【技术实现步骤摘要】
【国外来华专利技术】数据分析装置、方法以及程序
本公开涉及一种计算机网络上的数据的分析技术,尤其涉及一种制造系统中的数据的分析技术。
技术介绍
近年来,通过经由互联网等通信网络而与工厂内外的事物、服务建立合作关系,从而积极地实施以提高生产力、创造前所未有的价值、构建新的商业模式为目标的举措。另一方面,在互联网空间内,黑客、恶意软件等造成的网络攻击活跃。基于网络攻击的非法侵入、信息泄露等事件逐年增加,针对工厂的制造系统也报告了存在停止生产、破坏设备的情况。因此,需要通过检测在具有计算机网络的制造系统中产生的异常来提高制造系统的安全等级。例如,专利文献1中记载了用以提高控制系统的安全等级的机制的示例。专利文献1的系统汇总从与多个控制系统分别对应的监视部发送的异常通知,并评价被怀疑存在异常的控制系统的信誉。当根据评价结果与基准对照而判定为异常时,就针对使被怀疑存在异常的控制系统运转的保护区域,至少限制来自该保护区域内的出站流量。并且,在工厂的制造系统中,各制造装置经由网络连接,在彼此进行通信的同时进行制造。在与这样的网络连接的制造装置被非法操作等所控制、或者流经网络的数据被篡改时,就会存在制造出不合格产品或者制造装置受到破坏的问题。为了解决上述问题,例如在专利文献2中记载了一种从网络的数据中检测非法行为的攻击检测装置。专利文献1:日本公开专利公报特开2012-168755号公报专利文献2:日本公开专利公报特开2016-19028号公报
技术实现思路
-专利技术要解决的技术问题-
【技术保护点】
1.一种数据分析装置,该数据分析装置对在制造系统中传输的数据进行分析,所述制造系统具有制造装置和控制所述制造装置的制造控制装置,所述数据分析装置的特征在于:/n所述数据分析装置具有接收器、分析器、选择器及判定器,/n所述接收器接收在所述制造控制装置与所述制造装置之间传输的第一数据包,/n所述分析器从接收到的所述第一数据包的报头所包含的IP地址和端口号,求出在所接收到的所述第一数据包的有效负载中所包含的数据的种类,/n所述选择器根据由所述分析器求出的所述数据的种类,选择与所述数据的种类对应的语法或者规则,/n在所述有效负载所包含的数据没有遵循与所述数据的种类对应的语法或者规则时,所述判定器判定为所述制造系统中存在异常。/n
【技术特征摘要】
【国外来华专利技术】20170327 JP 2017-0612101.一种数据分析装置,该数据分析装置对在制造系统中传输的数据进行分析,所述制造系统具有制造装置和控制所述制造装置的制造控制装置,所述数据分析装置的特征在于:
所述数据分析装置具有接收器、分析器、选择器及判定器,
所述接收器接收在所述制造控制装置与所述制造装置之间传输的第一数据包,
所述分析器从接收到的所述第一数据包的报头所包含的IP地址和端口号,求出在所接收到的所述第一数据包的有效负载中所包含的数据的种类,
所述选择器根据由所述分析器求出的所述数据的种类,选择与所述数据的种类对应的语法或者规则,
在所述有效负载所包含的数据没有遵循与所述数据的种类对应的语法或者规则时,所述判定器判定为所述制造系统中存在异常。
2.根据权利要求1所述的数据分析装置,其特征在于:
在所述有效负载中包含控制指令,
所述语法是所述控制指令的语法。
3.根据权利要求1所述的数据分析装置,其特征在于:
在所述有效负载中包含所述制造装置的运转实绩通知,
所述语法是所述运转实绩通知的语法。
4.根据权利要求1所述的数据分析装置,其特征在于:
在所述规则中,规定了所述第一数据包的有效负载中包含的数据所示的信息与在所述第一数据包之前接收到的第二数据包的有效负载中包含的数据所示的信息之间的顺序。
5.根据权利要求4所述的数据分析装置,其特征在于:
在所述第一数据包的有效负载中包含第一控制指令,
在所述第二数据包的有效负载中包含第二控制指令,并且所述第一控制指令是紧接着所述第二控制指令的下一个指令,
在所述规则中,规定了所述第一控制指令的种类与所述第二控制指令的种类之间的顺序。
6.根据权利要求4所述的数据分析装置,其特征在于:
在所述第一数据包的有效负载中包含第一运转实绩信息,
在所述第二数据包的有效负载中包含第二运转实绩信息,并且所述第一运转实绩信息是紧接着所述第二运转实绩信息的下一个通知,
在所述规则中,规定了所述第一运转实绩信息的种类与所述第二运转实绩信息的种类之间的顺序。
7.根据权利要求1所述的数据分析装置,其特征在于:
在所述第一数据包的有效负载中包含控制指令,
在所述规则中,规定了当所述制造装置处于第一状态时产生用于使所述制造装置转变成第二状态的所述控制指令的预定概率,
所述判定器构成为:当所述制造装置处于所述第一状态时,求出产生所述控制指令的实际概率,并且当所述实际概率与所述预定概率之差大于规定值时,判定为所述制造系统中存在异常。
8.根据权利要求1所述的数据分析装置,其特征在于:
在所述第一数据包的有效负载中包含运转实绩信息,
在所述规则中,规定了当所述制造装置处于第一状态时所述制造装置向第二状态转变之际产生所述运转实绩信息的预定概率,
所述判定器构成为:当所述制造装置处于所述第一状态时,求出产生所述运转实绩信息的实际概率,并且当所述实际概率与所述预定概率之差大于规定值时,判定为所述制造系统中存在异常。
9.根据权利要求1所述的数据分析装置,其特征在于:
在所述规则中,规定了当所述制造装置处于第一状态时所述制造装置向第二状态产生转变的预定概率,
所述判定器构成为:当所述制造装置处于所述第一状态时,求出所述制造装置向所述第二状态产生转变的实际概率,并且当所述实际概率与所述预定概率之差大于规定值时,判定为所述制造系统中存在异常。
10.根据权利要求1所述的数据分析装置,其特征在于:
在所述第一数据包的有效负载中包含第一控制指令,
在所述第一数据包之前接收到的第二数据包的有效负载中包含第二控制指令,并且所述第一控制指令是紧接着所述第二控制指令的下一个指令,
在所述规则中,规定了当产生了所述第二控制指令时在所述第二控制指令之后产生所述第一控制指令的预定概率,
所述判定器构成为:当产生了所述第二控制指令时,求出在所述第二控制指令之后产生所述第一控制指令的实际概率,并且当所述实际概率与所述预定概率之差大于规定值时,判定为所述制造系统中存在异常。
11.根据权利要求1所述的数据分析装置,其特征在于:
在所述第一数据包的有效负载中包含第一运转实绩信息,
在所述第一数据包之前接收到的第二数据包的有效负载中包含第二运转实绩信息,并且所述第一运转实绩信息是紧接着所述第二运转实绩信息的下一个...
【专利技术属性】
技术研发人员:天野博史,多鹿阳介,樋口裕一,
申请(专利权)人:松下知识产权经营株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。