JP2019168869A - Incident detection system and method thereof - Google Patents

Incident detection system and method thereof Download PDF

Info

Publication number
JP2019168869A
JP2019168869A JP2018055392A JP2018055392A JP2019168869A JP 2019168869 A JP2019168869 A JP 2019168869A JP 2018055392 A JP2018055392 A JP 2018055392A JP 2018055392 A JP2018055392 A JP 2018055392A JP 2019168869 A JP2019168869 A JP 2019168869A
Authority
JP
Japan
Prior art keywords
log
incident
collection
information
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018055392A
Other languages
Japanese (ja)
Other versions
JP6921776B2 (en
Inventor
宏樹 内山
Hiroki Uchiyama
宏樹 内山
熊谷 洋子
Yoko Kumagai
洋子 熊谷
訓 大久保
Satoshi Okubo
訓 大久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2018055392A priority Critical patent/JP6921776B2/en
Priority to PCT/JP2019/006921 priority patent/WO2019181370A1/en
Publication of JP2019168869A publication Critical patent/JP2019168869A/en
Application granted granted Critical
Publication of JP6921776B2 publication Critical patent/JP6921776B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Quality & Reliability (AREA)
  • Economics (AREA)
  • Computer Hardware Design (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • General Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

To collect logs from a specific control device among a plurality of control devices when an incident occurs, and to analyze and collect the collected logs.SOLUTION: A monitoring device connected to a plurality of control devices and an incident detection device through a network includes: a selection unit for selecting a collection object apparatus and a collection item related to a log on the basis of incident information in the case of receiving the incident information from the incident detection device; and a log collection unit for transmitting a collection command including a collection item to a specific control device to be a collection object apparatus to the specific control device, and collecting a designated log from the specific control device. Each control device includes a log management unit for transmitting the designated log following a collection command to the monitoring device in the case of receiving the collection command from the monitoring device. The monitoring device includes: an abnormality determination unit for comparing the designated log collected by the log collection unit with abnormality determination reference and determining the existence/nonexistence of abnormality of the designated log; and an output unit for outputting information based on a determination result of the abnormality determination unit.SELECTED DRAWING: Figure 1

Description

本発明は、インシデント検知システムおよびその方法に関する。   The present invention relates to an incident detection system and method.

電力、鉄道、水道、ガスといった社会インフラや自動車で利用される制御システムは、センサの情報をもとにバルブやアクチュエータといった装置を動作させ、あらかじめ設定されている圧力や温度を保つことが要求される。この動作を実現するためには、コントローラ等の組込み装置において、定期的にセンサからの情報を取得し、状態を確認し、他のコントローラやサーバ等に通知し、必要に応じて制御を行うことが必要となる。このため、制御システムでは周期的な通信が発生し、その通信データをもとに処理を行うことが通例である。   Control systems used in social infrastructure and automobiles such as electric power, railways, water, and gas are required to operate devices such as valves and actuators based on sensor information to maintain preset pressures and temperatures. The In order to realize this operation, in embedded devices such as controllers, information from sensors is periodically acquired, the status is confirmed, other controllers and servers are notified, and control is performed as necessary. Is required. For this reason, in a control system, periodic communication occurs and processing is usually performed based on the communication data.

一方、制御システムはこれまで専用OS(Operating System)や専用プロトコルを利用しており、インターネット等の外部ネットワークからアクセスできない領域に孤立した状態で設置されているため、いわゆるコンピュータウィルスやDoS(Denial of Service)攻撃といったサイバー攻撃からは無縁であると考えられてきた。しかしながら、コスト削減のために汎用OSや汎用プロトコルを利用するケースが増加しており、効率向上のために情報系システムとの接続も進んできている。   On the other hand, the control system has been using a dedicated OS (Operating System) and a dedicated protocol so far and is installed in an isolated state in an area that cannot be accessed from an external network such as the Internet. Service) attacks have been considered unrelated to cyber attacks. However, there are increasing cases of using general-purpose OSs and general-purpose protocols for cost reduction, and connection with information system systems is also progressing to improve efficiency.

また、近年では、制御システムをターゲットとしたコンピュータウィルスが発見されており、制御システムにおいても情報システムと同様にマルウェア等の感染や外部からの不正アクセスといったセキュリティインシデントを検知する技術が必要となっている。システム内のセキュリティインシデントを正しく検知するためには、ネットワーク等を監視するセキュリティセンサ以外に、各機器のログ等を活用して網羅的な検知を行う必要がある。   In recent years, computer viruses targeting control systems have been discovered, and technologies for detecting security incidents such as malware infections and unauthorized access from outside are required in control systems as well as information systems. Yes. In order to correctly detect a security incident in the system, it is necessary to perform comprehensive detection using a log of each device in addition to a security sensor that monitors a network or the like.

このような課題に対し、ネットワーク等を監視するセキュリティセンサに加えて各制御機器が取り扱うデータも活用し、両者のデータの関係性を分析することでセキュリティインシデントを検知する技術が知られている(たとえば、特許文献1参照)。   In order to deal with such problems, there is known a technique for detecting a security incident by utilizing the data handled by each control device in addition to the security sensor for monitoring the network and analyzing the relationship between the two data ( For example, see Patent Document 1).

特開2014−179074号公報JP 2014-179074 A

制御システムは、各機器のCPU(Central Processing Unit)負荷やネットワークの使用帯域が予めシステム構築時に定められており、その設定値から外れてしまうと制御システムの業務に影響がでてしまう可能性がある。しかしながら、従来技術では、機器側の動作ログを継続的に収集するため、ログの量が増大し、機器の負荷やネットワーク負荷が高まってしまい、制御システムの業務に影響が出てしまう可能性があった。   In the control system, the CPU (Central Processing Unit) load of each device and the bandwidth used for the network are determined in advance when the system is built, and if it deviates from the set value, there is a possibility of affecting the control system business. is there. However, in the conventional technology, since the operation log on the device side is continuously collected, the amount of logs increases, the load on the device and the network load increase, and there is a possibility of affecting the operation of the control system. there were.

本発明の目的は、インシデントの発生時に複数の制御装置のうち特定の制御装置からログを収集し、収集したログを分析して管理することにある。   An object of the present invention is to collect logs from a specific control device among a plurality of control devices when an incident occurs, and to analyze and manage the collected logs.

前記課題を解決するために、本発明は、ネットワークに接続されて、制御対象に関連するログを収集して管理する複数の制御装置と、前記ネットワークで発生したインシデントを検知して、インシデント情報を生成するインシデント検知装置と、前記ネットワークを監視して、前記複数の制御装置の各々及び前記インシデント検知装置と情報の送受信を行う監視装置と、を備え、前記監視装置は、前記インシデント検知装置から前記インシデント情報を受信した場合、受信した前記インシデント情報を基に前記ログに関する収集対象機器と収集項目を選択する選択部と、前記選択部で選択した前記収集対象機器となる特定の制御装置に対するコマンドであって、前記選択部で選択した前記収集項目を含む収集コマンドを前記ネットワークを介して前記特定の制御装置に送信し、前記特定の制御装置から、前記収集コマンドに従った指定のログを前記ネットワークを介して収集するログ収集部と、を含み、前記各制御装置は、前記監視装置から前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記ネットワークを介して前記監視装置に送信するログ管理部を含み、前記監視装置は、少なくとも前記ログ収集部の収集による前記指定のログと異常判定基準とを比較して、前記指定のログの異常の有無を判定する異常判定部と、前記異常判定部の判定結果による情報を出力する出力部と、を更に含むことを特徴とする。   In order to solve the above-mentioned problem, the present invention is connected to a network, collects and manages logs related to a control target, and detects incidents that occur in the network, and detects incident information. An incident detection device to be generated, and a monitoring device that monitors the network and transmits / receives information to / from each of the plurality of control devices and the incident detection device, the monitoring device from the incident detection device When incident information is received, a selection unit that selects a collection target device and a collection item related to the log based on the received incident information, and a command for a specific control device that is the collection target device selected by the selection unit A collection command including the collection item selected by the selection unit via the network. And a log collection unit that collects a specified log according to the collection command from the specific control device via the network, and the control device is configured to monitor the monitoring device. A log management unit that transmits the specified log according to the received collection command to the monitoring device via the network when the collection command is received from a device, and the monitoring device includes at least the log collection unit An abnormality determination unit that compares the specified log and the abnormality determination criterion by collecting the specified log to determine whether there is an abnormality in the specified log, and an output unit that outputs information based on a determination result of the abnormality determination unit. It is further characterized by including.

本発明によれば、インシデントの発生時に複数の制御装置のうち特定の制御装置からログを収集し、収集したログを分析して管理することができ、結果として、制御装置やネットワークへの影響を最小化しつつ、制御装置の状態を考慮したシステム全体でのセキュリティインシデントの検知を行うことが可能となる。   According to the present invention, when an incident occurs, logs can be collected from a specific control device among a plurality of control devices, and the collected logs can be analyzed and managed. As a result, the influence on the control device and the network can be analyzed. It is possible to detect a security incident in the entire system in consideration of the state of the control device while minimizing.

本発明の第一の実施形態が適用された制御システム向けインシデント検知システムの構成を例示する構成図である。It is a block diagram which illustrates the structure of the incident detection system for control systems to which 1st embodiment of this invention was applied. 本発明の第一の実施形態における制御装置、監視装置、及びインシデント検知装置のハードウェア構成を例示する構成図である。It is a block diagram which illustrates the hardware constitutions of the control apparatus, monitoring apparatus, and incident detection apparatus in 1st embodiment of this invention. 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、インシデント検知後に各機器からログを収集し、異常分析を行う処理フローを例示するフローチャートである。It is a flowchart which illustrates the processing flow which collects a log from each apparatus after incident detection, and performs abnormality analysis in the incident detection system for control systems to which 1st embodiment of this invention was applied. 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置で実施する収集対象機器や収集対象項目を選択する処理フローを例示するフローチャートである。It is a flowchart which illustrates the processing flow which selects the collection object apparatus and collection object item which are implemented with a monitoring apparatus in the incident detection system for control systems to which 1st embodiment of this invention was applied. 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置が出力する異常機器情報出力画面を例示する構成図である。It is a block diagram which illustrates the abnormal equipment information output screen which a monitoring apparatus outputs in the incident detection system for control systems to which 1st embodiment of this invention was applied. 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、各制御装置のログ格納部に格納されるログの構成を例示する構成図である。It is a block diagram which illustrates the structure of the log stored in the log storage part of each control apparatus in the incident detection system for control systems to which 1st embodiment of this invention was applied. 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置から各制御装置に送信する収集コマンドの構成を例示する構成図である。It is a block diagram which illustrates the structure of the collection command transmitted to each control apparatus from the monitoring apparatus in the incident detection system for control systems to which 1st embodiment of this invention was applied. 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置のインシデント情報格納部に格納されるインシデント情報の構成を例示する構成図である。It is a block diagram which illustrates the structure of the incident information stored in the incident information storage part of a monitoring apparatus in the incident detection system for control systems to which 1st embodiment of this invention was applied. 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置の攻撃パターン格納部に格納される攻撃パターンの構成を例示する構成図である。It is a block diagram which illustrates the structure of the attack pattern stored in the attack pattern storage part of the monitoring apparatus in the incident detection system for control systems to which 1st embodiment of this invention was applied. 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置の機器一覧格納部に格納される機器一覧の構成を例示する構成図である。It is a block diagram which illustrates the structure of the apparatus list stored in the apparatus list storage part of a monitoring apparatus in the incident detection system for control systems to which 1st embodiment of this invention was applied. 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置の収集項目格納部に格納される収集項目の構成を例示する構成図である。It is a block diagram which illustrates the structure of the collection item stored in the collection item storage part of a monitoring apparatus in the incident detection system for control systems to which 1st embodiment of this invention was applied. 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置の異常判定基準格納部に格納される異常判定基準の構成を例示する構成図である。It is a block diagram which illustrates the structure of the abnormality determination reference | standard stored in the abnormality determination reference | standard storage part of the monitoring apparatus in the incident detection system for control systems to which 1st embodiment of this invention was applied. 本発明の第二の実施形態が適用された制御システム向けインシデント検知システムの構成を例示する構成図である。It is a block diagram which illustrates the structure of the incident detection system for control systems to which 2nd embodiment of this invention was applied. 本発明の第二の実施形態が適用された制御システム向けインシデント検知システムにおいて、各制御装置からログを収集する際の処理フローを例示するフローチャートである。It is a flowchart which illustrates the processing flow at the time of collecting a log from each control apparatus in the incident detection system for control systems to which 2nd embodiment of this invention was applied. 本発明の第二の実施形態が適用された制御システム向けインシデント検知システムにおいて、インシデント検知後にログ収集サーバからログを収集する処理フローを例示するフローチャートである。It is a flowchart which illustrates the processing flow which collects a log from a log collection server after incident detection in the incident detection system for control systems to which 2nd embodiment of this invention was applied.

本発明の一実施形態について説明する。なお、これにより本発明が限定されるものではない。   An embodiment of the present invention will be described. Note that the present invention is not limited thereby.

本実施形態は、インシデント検知装置(セキュリティセンサ)においてネットワーク上でインシデント(セキュリティインシデント)を検知した際に、監視装置が、発生したインシデントの状態に応じてログを収集する機器(制御装置)を選択し、選択した機器からログを収集して分析し、分析結果を出力するインシデント検知システムを提供するものである。   In this embodiment, when an incident detection device (security sensor) detects an incident (security incident) on the network, the monitoring device selects a device (control device) that collects logs according to the state of the incident that occurred In addition, an incident detection system that collects and analyzes logs from selected devices and outputs the analysis results is provided.

具体的には、インシデントの状態が未遂(失敗)か既遂(成功)かによって、インシデントの影響を受ける機器の範囲を推定し、影響が想定される機器からのみインシデントの内容に応じたログを収集し、収集したログを基に機器が異常状態であるか判別し、判別結果として異常機器の情報を出力する。   Specifically, the range of devices affected by the incident is estimated based on whether the incident state is attempted (failed) or achieved (successful), and logs corresponding to the content of the incident are collected only from the devices that are expected to be affected. Then, it is determined whether the device is in an abnormal state based on the collected log, and information on the abnormal device is output as a determination result.

より具体的には、監視装置において、インシデント検知システム内で発生したインシデント情報を収集して分析し、インシデントが未遂の場合には、当該発生領域(ゾーン)に含まれる機器からログを収集し、インシデントが既遂の場合には、その結果、将来的に侵入・感染等の悪影響を受ける領域(ゾーン)に含まれる機器からログを収集する。ログ収集時には発生したインシデントの種別(ログカテゴリ)に基づきログを収集する。その後、収集したログが異常判定基準に合致するか否か検証し、合致した場合にはインシデント検知システム内の異常機器の情報をその判定理由(根拠)と共に表示する。   More specifically, in the monitoring device, incident information generated in the incident detection system is collected and analyzed, and when the incident is unsuccessful, logs are collected from devices included in the occurrence area (zone), If the incident has been completed, logs are collected from devices included in an area (zone) that will be adversely affected by intrusion / infection in the future. Logs are collected based on the type of incident that occurred (log category). After that, it is verified whether or not the collected log meets the abnormality judgment criteria. If there is a match, the information of the abnormal device in the incident detection system is displayed together with the judgment reason (foundation).

図1は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムの構成図である。   FIG. 1 is a configuration diagram of an incident detection system for a control system to which the first embodiment of the present invention is applied.

本実施形態の制御システム向けインシデント検知システムは、図1に例示するように、制御装置10〜10と、監視装置20と、インシデント検知装置30と、ネットワーク40と、から構成されている。 As illustrated in FIG. 1, the control system incident detection system according to the present embodiment includes control devices 10 1 to 10 n , a monitoring device 20, an incident detection device 30, and a network 40.

制御装置10〜10は、制御対象に関する制御処理を行う制御処理部101〜101と、制御装置内に格納されているログを抽出するログ抽出部102〜102と、制御装置で収集したログを格納するログ格納部103〜103と、ネットワーク40と通信を行う通信部104〜104と、を含む。この際、制御装置10〜10は、ネットワーク40に接続されて、制御対象に関連するログを収集して管理する。 The control devices 10 1 to 10 n include control processing units 101 1 to 101 n that perform control processing related to a control target, log extraction units 102 1 to 102 n that extract logs stored in the control device, and a control device Log storage units 103 1 to 103 n for storing the logs collected in step 1 and communication units 104 1 to 104 n for communicating with the network 40. At this time, the control devices 10 1 to 10 n are connected to the network 40 and collect and manage logs related to the control target.

監視装置20は、他の装置、例えば、インシデント検知装置30等からインシデント検知システム内で発生したインシデント情報を取得するインシデント情報取得部201と、ログを収集する機器(制御装置)を選択する機器選択部202と、選択した機器から収集するログの項目を選択する収集項目選択部203と、選択した機器からログを収集するログ収集部204と、収集したログから異常の有無を判定する異常判定部205と、ネットワーク40と通信を行う通信部206と、入力装置(キーボード等)からの情報を入力すると共に、異常判定部205で生成した判定結果を出力する入出力部207と、インシデント情報取得部201で取得したインシデント情報を格納するインシデント情報格納部208と、機器選択部202の機器の選択時に利用されることが想定される攻撃のパターンを格納する攻撃パターン格納部209と、インシデント検知システム内に設置されている機器の一覧を格納する機器一覧格納部210と、収集項目選択部203で利用するインシデントの種類毎に収集すべきログの項目を格納する収集項目格納部211と、異常判定部205で利用される判定基準であって、収集したログの中の異常有無の判定基準を格納する異常判定基準格納部212と、を含む。   The monitoring device 20 selects an incident information acquisition unit 201 for acquiring incident information generated in the incident detection system from another device, for example, the incident detection device 30 and the like, and a device selection for selecting a device (control device) for collecting logs. Unit 202, a collection item selection unit 203 that selects log items to be collected from the selected device, a log collection unit 204 that collects logs from the selected device, and an abnormality determination unit that determines whether there is an abnormality from the collected logs 205, a communication unit 206 that communicates with the network 40, an input / output unit 207 that inputs information from an input device (such as a keyboard) and outputs a determination result generated by the abnormality determination unit 205, and an incident information acquisition unit The incident information storage unit 208 that stores the incident information acquired in 201, and the device selection unit 202 An attack pattern storage unit 209 that stores an attack pattern that is assumed to be used when selecting a device, a device list storage unit 210 that stores a list of devices installed in the incident detection system, and a collection item selection unit A collection item storage unit 211 that stores log items to be collected for each type of incident used in 203, and a determination criterion used by the abnormality determination unit 205, which is a determination criterion for the presence or absence of abnormality in the collected logs And an abnormality determination reference storage unit 212 for storing.

インシデント検知装置30は、ネットワーク40と通信を行う通信部301と、ネットワーク40を監視し、ネットワーク40でインシデントの発生を検知するインシデント検知部302と、インシデント検知部302で検知した結果をインシデント情報として格納するインシデント情報格納部303と、を含む。この際、インシデント検知部302は、例えば、ネットワーク40で不正なパケットが流れたことを、インシデントの発生として検知するセキュリティセンサとして構成される。また、インシデント検知装置30は、制御システム向けインシデント検知システム内に複数台配置されることがある。   The incident detection device 30 includes a communication unit 301 that communicates with the network 40, an incident detection unit 302 that monitors the network 40 and detects the occurrence of an incident on the network 40, and a result detected by the incident detection unit 302 as incident information. And an incident information storage unit 303 for storing. At this time, the incident detection unit 302 is configured as a security sensor that detects that an illegal packet has flowed through the network 40 as the occurrence of an incident, for example. A plurality of incident detection devices 30 may be arranged in the incident detection system for the control system.

図2は、制御装置10〜10、監視装置20、インシデント検知装置30のハードウェア構成を例示する構成図である。制御装置10〜10、監視装置20、インシデント検知装置30は、通信装置11と、入出力装置12と、記憶装置13と、CPU14と、メモリ15と、がバスなどの内部通信線16で連結され、構成されている。 FIG. 2 is a configuration diagram illustrating the hardware configuration of the control devices 10 1 to 10 n , the monitoring device 20, and the incident detection device 30. The control devices 10 1 to 10 n , the monitoring device 20, and the incident detection device 30 include a communication device 11, an input / output device 12, a storage device 13, a CPU 14, and a memory 15 via an internal communication line 16 such as a bus. Connected and configured.

本実施形態の制御システム向けインシデント検知システムにおける処理フローについて説明する。以下に述べる処理フローは、制御装置10〜10や監視装置20やインシデント検知装置30の記憶装置13に格納されたプログラムがメモリ15にロードされ、CPU14により実行されることにより、制御システム向けインシデント検知システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置13に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。 A processing flow in the incident detection system for a control system according to the present embodiment will be described. The processing flow described below is for a control system by loading a program stored in the storage device 13 of the control device 10 1 to 10 n , the monitoring device 20 or the incident detection device 30 into the memory 15 and executing it by the CPU 14. It is executed by each processing unit embodied on a device constituting the incident detection system. Each program may be stored in the storage device 13 in advance, or may be introduced through other storage media or communication media (network or carrier wave propagating through the network) when necessary.

図3は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、インシデント検知後に各機器からログを収集し、異常分析を行う処理フローを示した図である。   FIG. 3 is a diagram showing a processing flow in which logs are collected from each device after an incident is detected and an abnormality analysis is performed in the incident detection system for a control system to which the first embodiment of the present invention is applied.

はじめに、監視装置20は、インシデント検知装置30からインシデント情報を収集し、収集したインシデント情報(図8のインシデント情報A801)をインシデント情報格納部208に格納する(S301(S301と表現する。以下同様))。ここで、インシデント情報の収集方法は、ネットワーク40経由で収集しても良いし、USB(Universal Serial Bus)メモリ等のリムーバブルデバイスで収集しても良い。   First, the monitoring device 20 collects incident information from the incident detection device 30 and stores the collected incident information (incident information A801 in FIG. 8) in the incident information storage unit 208 (S301 (expressed as S301; the same applies hereinafter)). ). Here, the incident information may be collected via the network 40 or by a removable device such as a USB (Universal Serial Bus) memory.

次に、監視装置20は、収集したインシデント情報を用いて、収集対象を選択するに際して、ログの収集対象機器、ログの収集対象項目を選択する(S302)。なお、収集対象選択の詳細については以降の図4に記載する。   Next, when selecting a collection target using the collected incident information, the monitoring device 20 selects a log collection target device and a log collection target item (S302). Details of the collection target selection will be described later in FIG.

次に、監視装置20は、選択した機器(ログの収集対象機器)に対して、選択した収集項目(図7のログカテゴリA703、収集条件A706を含む)が記載された収集コマンドA301を送信する。なお、ここでは、ログの収集対象機器として、例えば、制御装置10が、収集コマンドA301で特定された特定の制御装置として選択されたと仮定する。なお、選択した機器が多数存在した場合には、攻撃を受ける可能性が高い機器として、重要な業務を行っている機器や最もIP(Internet Protocol)アドレスが小さいものから収集するなどの優先順位付けを行っても良い。 Next, the monitoring device 20 transmits a collection command A301 in which the selected collection item (including log category A703 and collection condition A706 in FIG. 7) is described to the selected device (log collection target device). . Here, it is assumed that, for example, the control device 10 n is selected as the log collection target device as the specific control device specified by the collection command A301. If there are a large number of selected devices, prioritize the devices that are most likely to be attacked, such as the devices that are performing important operations or those with the lowest IP (Internet Protocol) address. May be performed.

次に、制御装置10は、受信した収集コマンドA301を基に、ログ格納部103からログ(図6のログA601であって、収集コマンドA301で指定された指定のログ)を抽出する(S303)。次に、制御装置10は、抽出したログA302を監視装置20に送信する。 Next, the control device 10 n extracts the log (the log A 601 in FIG. 6 and the designated log specified by the collection command A 301) from the log storage unit 103 n based on the received collection command A 301 ( S303). Next, the control device 10 n transmits the extracted log A 302 to the monitoring device 20.

次に、監視装置20は、制御装置10から受信したログA302を用いて、異常判定を行う(S304)。ここで、異常判定は、S302で抽出した攻撃パターン(図4のS405で抽出した攻撃パターン)と受信したログA302(制御装置10から受信したログであって、図6のログA601の情報が記録されたログ)と、異常判定基準格納部212に格納されている異常判定基準(図12の異常判定基準A1201)を用いて、ログA302の内容が異常判定基準に合致するかどうかで判定する。なお、異常判定基準の構成については以降の図12に詳細に記載する。 Next, the monitoring device 20, using the log A302 received from the control unit 10 n, the abnormality determination (S304). Here, the abnormality determination is a log received from the received log A 302 (control device 10 n and extracted attack pattern (extracted attack pattern in S405 in FIG. 4) in S302, the log information A601 in FIG. 6 The recorded log) and the abnormality determination criterion (abnormality determination criterion A1201 in FIG. 12) stored in the abnormality determination criterion storage unit 212 are used to determine whether the content of the log A302 matches the abnormality determination criterion. . The configuration of the abnormality determination standard will be described in detail in FIG. 12 below.

次に、監視装置20は、異常判定の結果から、異常有無があるかどうか検証する(S305)。その結果、異常が無いと判定された場合、監視装置20は、処理を終了する(S306)。一方、異常があると判定された場合、監視装置20は、異常判定基準格納部212に格納されている異常判定基準(図12の異常判定基準A1201)から、異常と判定された異常ID(Identification)を基に異常度を抽出する(S307)。次に、監視装置20は、異常IDを基に、異常条件に合致した項目(収集項目)を収集項目格納部211から抽出し、抽出した項目を基に判定理由(図5の判定理由A510)を生成する(S308)。次に、監視装置20は、異常機器に関する情報を画面に出力する(S309)。ここで、画面の出力の例については以降の図5に詳細に記載する。   Next, the monitoring device 20 verifies whether there is an abnormality from the result of the abnormality determination (S305). As a result, when it is determined that there is no abnormality, the monitoring device 20 ends the process (S306). On the other hand, if it is determined that there is an abnormality, the monitoring device 20 identifies the abnormality ID (Identification) determined as abnormal from the abnormality determination criterion (abnormality determination criterion A1201 in FIG. 12) stored in the abnormality determination criterion storage unit 212. ) To extract the degree of abnormality (S307). Next, the monitoring device 20 extracts an item (collection item) that matches the abnormal condition from the collection item storage unit 211 based on the abnormality ID, and a determination reason (determination reason A510 in FIG. 5) based on the extracted item. Is generated (S308). Next, the monitoring device 20 outputs information on the abnormal device to the screen (S309). Here, an example of screen output will be described in detail in FIG. 5 below.

なお、S302からS308のステップに関しては新たなインシデント情報が取得される度に実行されても良いし、ある一定間隔で実行されても良いし、インシデント検知システムの管理者等からのリクエストに応じて実行しても良い。また、S302で収集対象が選択されたとしても、インシデント検知システムの状態や業務の実行状況等に応じて、収集コマンドA301を送信するタイミングを変更しても良い。   The steps from S302 to S308 may be executed every time new incident information is acquired, may be executed at a certain interval, or in response to a request from an incident detection system administrator or the like. May be executed. Even when the collection target is selected in S302, the timing for transmitting the collection command A301 may be changed according to the state of the incident detection system, the execution status of the business, and the like.

図4は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20で実施する収集対象機器(ログの収集対象機器)や収集対象項目(ログの収集対象項目)を選択する処理フローを示した図である。   FIG. 4 shows a collection target device (log collection target device) and a collection target item (log collection target item) executed by the monitoring device 20 in the control system incident detection system to which the first embodiment of the present invention is applied. It is the figure which showed the processing flow which selects.

はじめに、監視装置20は、収集対象選択処理を開始する(S401)。次に、監視装置20は、インシデント情報格納部208に格納されているインシデント情報(図8のインシデント情報A801)を分析し、インシデント情報に含まれるインシデントの発生状況(攻撃内容が既に発生したものか、未遂(失敗)に終わったものかを識別する情報)を取得する(S402)。ここで、インシデント情報の構成については、以降の図8に詳細に記載する。次に、監視装置20は、取得したインシデントの発生状況が、既遂(成功)か未遂(失敗)かを識別する(S403)。インシデントの発生状況が未遂(失敗)と識別された場合には、監視装置20は、機器一覧格納部210に格納されている機器一覧を用いて、インシデントが発生した領域(発生領域)を推定する(S404)。ここで、機器一覧の構成については、以降の図10に詳細に記載する。   First, the monitoring apparatus 20 starts a collection target selection process (S401). Next, the monitoring apparatus 20 analyzes the incident information (incident information A801 in FIG. 8) stored in the incident information storage unit 208, and the occurrence status of incidents included in the incident information (whether the attack content has already occurred). , Information for identifying whether or not the attempt is unsuccessful (S402). Here, the configuration of the incident information is described in detail in FIG. 8 below. Next, the monitoring device 20 identifies whether the acquired incident occurrence status is attempted (success) or attempted (failure) (S403). When the occurrence status of the incident is identified as attempted (failed), the monitoring apparatus 20 estimates the area (occurrence area) where the incident occurred using the device list stored in the device list storage unit 210. (S404). Here, the configuration of the device list will be described in detail in FIG.

一方、S403でインシデントの発生状況が既遂(成功)と識別された場合には、監視装置20は、機器一覧格納部210に格納されている機器一覧および攻撃パターン格納部209に格納されている攻撃パターンから、発生しているインシデント情報に含まれる攻撃内容(攻撃情報)と合致する攻撃パターンを抽出し、今後、インシデントの影響が及ぶと考えられる領域(ゾーン)や機器(制御装置等)を示す領域(影響領域)を推定する(S405)。ここで、攻撃パターンの構成については以降の図9に詳細に記載する。   On the other hand, if the incident occurrence status is identified as attempted (successful) in S403, the monitoring device 20 uses the device list stored in the device list storage unit 210 and the attack stored in the attack pattern storage unit 209. From the pattern, extract the attack pattern that matches the attack content (attack information) included in the incident information that has occurred, and indicate the areas (zones) and devices (control devices, etc.) that are considered to be affected by the incident in the future An area (influence area) is estimated (S405). Here, the structure of the attack pattern will be described in detail in FIG. 9 below.

次に、監視装置20は、S404およびS405で抽出した領域に関する情報を用いて、機器一覧格納部210に格納されている機器一覧から、該当する領域に含まれる機器を抽出する(S406)。次に、監視装置20は、S402で分析したインシデント情報(図8のインシデント情報A801)に含まれる攻撃内容(A805)と、収集項目格納部211に格納されている収集項目(図11の収集項目A1101)を用いて、攻撃内容(A805)に合致する収集対象ログ(ログカテゴリA1103)や収集条件(A1104)を抽出する(S407)。ここで、収集項目の構成については、以降の図11に詳細に記載する。   Next, the monitoring apparatus 20 extracts devices included in the corresponding region from the device list stored in the device list storage unit 210 using the information regarding the regions extracted in S404 and S405 (S406). Next, the monitoring apparatus 20 detects the attack contents (A805) included in the incident information (incident information A801 in FIG. 8) analyzed in S402, and the collection items (collection items in FIG. 11) stored in the collection item storage unit 211. A1101) is used to extract the collection target log (log category A1103) and the collection condition (A1104) that match the attack content (A805) (S407). Here, the configuration of the collection items will be described in detail in FIG.

次に、監視装置20は、S402で分析したインシデント情報に含まれる発生日時を基に収集日時を選択する(S408)。ここで、収集日時の選択は、インシデント発生日時の前後1日や前後1時間など予め定義された時間幅を選択する。次に、監視装置20は、処理を終了する(S409)。   Next, the monitoring device 20 selects a collection date and time based on the occurrence date and time included in the incident information analyzed in S402 (S408). Here, the collection date / time is selected by selecting a predefined time width such as one day before or after the incident occurrence date / time or one hour before / after. Next, the monitoring device 20 ends the process (S409).

図5は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20が出力する異常機器情報出力画面を示した図である。   FIG. 5 is a diagram showing an abnormal equipment information output screen output by the monitoring device 20 in the incident detection system for the control system to which the first embodiment of the present invention is applied.

異常機器情報出力画面A501は、入出力部207の出力画面であって、システム構成A502と、異常機器一覧A503から構成される。ここで、システム構成A502は、インシデント検知システムに含まれる機器(制御装置A〜D)の一覧をネットワーク40との接続状況を含めて記載したものであり、異常が発生している機器(制御装置A、C)は異常度の度合いによって、表示を切り替え手も良い。例えば、異常度大機器(制御装置A)A504と異常度小機器(制御装置C)A505の表示色を、異常度の度合いによって変化させる。また、異常機器一覧A503は、インシデントIDA506と、日時A507と、機器A508と、異常度A509と、判定理由A510から構成される。ここで、異常機器一覧A503に含まれる各インシデント情報は、システム構成A502と対応して、異常度の度合いによって、表示を切り替えても良い。例えば、インシデントID「001」に属するインシデント情報の表示領域A511と、インシデントID「002」に属するインシデント情報の表示領域A512の表示色を、異常度の度合いによって変化させる。なお、異常機器情報出力画面A501の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、異常機器情報出力画面A501の構成要素の順序は上記に限定されるものではない。   The abnormal device information output screen A501 is an output screen of the input / output unit 207, and includes a system configuration A502 and an abnormal device list A503. Here, the system configuration A502 is a list of devices (control devices A to D) included in the incident detection system, including the connection status with the network 40, and a device (control device) in which an abnormality has occurred. For A and C), the display may be switched depending on the degree of abnormality. For example, the display colors of the large abnormality degree device (control device A) A504 and the small abnormality degree device (control device C) A505 are changed depending on the degree of abnormality. The abnormal device list A503 includes an incident ID A506, a date and time A507, a device A508, an abnormality degree A509, and a determination reason A510. Here, each incident information included in the abnormal device list A503 may be switched in display depending on the degree of abnormality corresponding to the system configuration A502. For example, the display colors of the incident information display area A511 belonging to the incident ID “001” and the incident information display area A512 belonging to the incident ID “002” are changed depending on the degree of abnormality. Note that the constituent elements of the abnormal device information output screen A501 are not limited to the above, and it is sufficient that at least the above elements are included. Moreover, the order of the components of the abnormal device information output screen A501 is not limited to the above.

また、インシデントID「001」と「002」に属するインシデント情報は、日時A507、機器A508、異常度A509、判定理由A510を含む。インシデントID「001」の日時A507には、「2017/12/15 12:00:00」が記録され、機器A508には、「制御機器A」が記録され、異常度A509には、「大」が記録され、判定理由A510には、「プロセス起動頻度異常(ログ)」が記録され、インシデントID「002」の日時A507には、「2017/12/20 20:00:00」が記録され、機器A508には、「制御機器C」が記録され、異常度A509には、「小」が記録され、判定理由A510には、「プロセス起動タイミング異常(ログ)」が記録される。なお、判定理由A510における「プロセス起動頻度異常(ログ)」又は「プロセス起動タイミング異常(ログ)」の「(ログ)」をクリックすることで、図6のログA601の情報が拡大して表示される。   Incident information belonging to incident IDs “001” and “002” includes date and time A507, device A508, abnormality degree A509, and determination reason A510. “2017/12/15 12:00:00” is recorded in the date and time A507 of the incident ID “001”, “control device A” is recorded in the device A508, and “large” is recorded in the abnormality degree A509. Is recorded in the determination reason A510, and “2017/12/20 20:00: 00” is recorded in the date and time A507 of the incident ID “002”. In the device A 508, “control device C” is recorded, in the abnormality level A 509 “small” is recorded, and in the determination reason A 510 “process start timing abnormality (log)” is recorded. By clicking “(log)” of “process activation frequency abnormality (log)” or “process activation timing abnormality (log)” in the determination reason A510, the information of the log A601 in FIG. 6 is enlarged and displayed. The

図6は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、各制御装置10〜10のログ格納部103〜103に格納されるログの構成を例示する構成図である。 FIG. 6 exemplifies a configuration of logs stored in the log storage units 103 1 to 103 n of the control devices 10 1 to 10 n in the incident detection system for control systems to which the first embodiment of the present invention is applied. FIG.

ログA601は、ログの生成日時A602と、ログの種類を示すログカテゴリA603と、ログ内容A604から構成される。ここで、ログカテゴリとは、例えば、プロセス起動や外部通信といった各制御装置(制御機器)が動作した内容を識別するものであり、その内容によって、出力先が変化するものである。例えば、ログカテゴリA603に「プロセス起動」が記録された場合、ログ内容A604には、「プロセス名」や「プロセス起動の成功または失敗」の情報が記録される。また、ログ内容A604には、インシデントの発生状況が、成功(既遂)か或いは失敗(未遂)かを識別する情報が記録される。なお、ログA601の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、ログA601の構成要素の順序は上記に限定されるものではない。   The log A 601 includes a log generation date / time A 602, a log category A 603 indicating the type of log, and log contents A 604. Here, the log category, for example, identifies contents operated by each control device (control device) such as process activation and external communication, and the output destination changes depending on the contents. For example, when “process activation” is recorded in the log category A 603, information of “process name” and “success or failure of process activation” is recorded in the log content A 604. In the log content A 604, information for identifying whether the incident occurrence state is successful (achieved) or failed (unsuccessful) is recorded. The constituent elements of the log A 601 are not limited to the above, and it is sufficient that at least the above elements are included. Further, the order of the components of the log A 601 is not limited to the above.

図7は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20から各制御装置10〜10に送信する収集コマンドの構成を例示する構成図である。 FIG. 7 is a configuration diagram illustrating a configuration of a collection command transmitted from the monitoring device 20 to each of the control devices 10 1 to 10 n in the incident detection system for the control system to which the first embodiment of the present invention is applied. .

収集コマンドA701は、図4のS406で抽出した機器のアドレスを示す収集対象機器アドレスA702と、図4のS407で抽出した収集項目に属するログカテゴリA703と、図4のS408で選択した収集日時に属する収集開始日時A704および収集終了日時A705と、図4のS407で抽出した収集項目に属する収集条件A706から構成される。収集開始日時A704と収集終了日時A705に記録された情報は、特定した機器のログを収集する期間を示す。収集条件A706は、特定した機器のログの中で収集対象となる条件を示す。ここで、収集条件とは、ログに含まれる特定のキーワードを示し、認証失敗、プロセス起動成功、通信タイムアウトのような情報を示す。なお、収集コマンドA701の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、収集コマンドA701の構成要素の順序は上記に限定されるものではない。   The collection command A 701 includes the collection target device address A 702 indicating the device address extracted in S 406 in FIG. 4, the log category A 703 belonging to the collection item extracted in S 407 in FIG. 4, and the collection date and time selected in S 408 in FIG. It includes a collection start date / time A704 and a collection end date / time A705, and a collection condition A706 belonging to the collection item extracted in S407 of FIG. The information recorded in the collection start date / time A704 and the collection end date / time A705 indicates a period during which the log of the identified device is collected. Collection condition A706 indicates a condition to be collected in the log of the identified device. Here, the collection condition indicates a specific keyword included in the log, and indicates information such as authentication failure, process start success, and communication timeout. The constituent elements of the collection command A 701 are not limited to the above, and it is sufficient that at least the above elements are included. Further, the order of the constituent elements of the collection command A701 is not limited to the above.

図8は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20のインシデント情報格納部208に格納されるインシデント情報の構成を例示する構成図である。   FIG. 8 is a configuration diagram illustrating the configuration of incident information stored in the incident information storage unit 208 of the monitoring device 20 in the incident detection system for the control system to which the first embodiment of the present invention is applied.

インシデント情報A801は、インシデントを識別するインシデントIDA802と、発生日時A803と、発生機器A804と、攻撃内容A805と、発生状況A806から構成される。発生日時A803には、インシデントが発生した日時に関する情報が記録される。発生機器A804には、インシデントの発生を検知された機器の名称(例えば、インシデント検知装置30の名称)等の情報が記録される。攻撃内容A805には、インシデントの内容、例えば、不正のパケットが存在することを示す情報が記録される。発生状況A806には、攻撃内容が既に発生したものか、未遂に終わったものかを識別する情報が記録される。例えば、機器に対する不正ログインが発生した場合には「既遂」或いは「成功」の情報が記録され、不正ログインの試行があったものの、失敗した場合には「未遂」或いは「失敗」の情報が記録される。なお、インシデント情報A801の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、インシデント情報A801の構成要素の順序は上記に限定されるものではない。   Incident information A801 includes an incident ID A802 that identifies an incident, an occurrence date and time A803, an occurrence device A804, an attack content A805, and an occurrence situation A806. In the occurrence date / time A803, information related to the date / time when the incident occurred is recorded. In the generation device A 804, information such as the name of the device (for example, the name of the incident detection device 30) where the occurrence of the incident is detected is recorded. The attack content A805 records the content of the incident, for example, information indicating that an illegal packet exists. In the occurrence status A806, information for identifying whether the attack content has already occurred or has been attempted is recorded. For example, when an unauthorized login occurs for a device, information of “achieved” or “successful” is recorded. When an attempt of unauthorized login is made, information of “attempted” or “failure” is recorded. Is done. The constituent elements of the incident information A801 are not limited to the above, and it is sufficient that at least the above elements are included. Further, the order of the constituent elements of the incident information A801 is not limited to the above.

図9は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20の攻撃パターン格納部209に格納される攻撃パターンの構成を例示する構成図である。   FIG. 9 is a configuration diagram illustrating the configuration of attack patterns stored in the attack pattern storage unit 209 of the monitoring device 20 in the incident detection system for the control system to which the first embodiment of the present invention is applied.

攻撃パターンA901は、攻撃パターンを識別する攻撃パターンIDA902と、攻撃パターン情報A903から構成される。ここで、攻撃パターン情報A903は、攻撃順序A904〜A904と、インシデント検知システム内の領域を識別する領域IDA905〜A905と、攻撃内容A906〜A906から構成される。攻撃パターン情報A903は、一つの攻撃パターンIDに対して一つあれば良いが、複数あっても良い。一つの攻撃パターンIDに対して、攻撃パターン情報A903が複数存在する場合には、攻撃順序A904、領域IDA905、攻撃内容A906が1から順に時系列に従ってnまで増加し、どの領域(領域IDで特定される領域)でどのような攻撃(攻撃の内容)が順に発生するのか、定義することが可能である。なお、攻撃パターンA901の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、攻撃パターンA901の構成要素の順序は上記に限定されるものではない。 The attack pattern A901 is composed of an attack pattern IDA 902 for identifying an attack pattern and attack pattern information A903. Here, attack pattern information A903 includes attack order A904 1 ~A904 n, a region IDA905 1 ~A905 n identifies a region in the incident detection system consists of an attack content A906 1 ~A906 n. There is only one attack pattern information A903 for one attack pattern ID, but there may be a plurality of attack pattern information A903. When there are a plurality of attack pattern information A903 for one attack pattern ID, the attack order A904, the area IDA905, and the attack content A906 increase sequentially from 1 to n according to the time series, and which area (specified by the area ID) It is possible to define what kind of attacks (contents of attacks) will occur in order. Note that the constituent elements of the attack pattern A901 are not limited to the above, and it is sufficient that at least the above-described elements are included. Further, the order of the components of the attack pattern A901 is not limited to the above.

図10は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20の機器一覧格納部210に格納される機器一覧の構成を例示する構成図である。   FIG. 10 is a configuration diagram illustrating the configuration of the device list stored in the device list storage unit 210 of the monitoring device 20 in the control system incident detection system to which the first embodiment of the present invention is applied.

機器一覧A1001は、インシデント検知システム内の領域を識別する領域IDA1002と、各機器(各制御装置)を識別する機器IDA1003と、各機器(各制御装置)が保有するIPアドレスA1004から構成される。領域IDA1002には、インシデント検知システム内の領域として、例えば、ネットワーク40を識別する情報が記録される。機器IDA1003には、例えば、各機器(各制御装置)を識別する製造番号に関する情報が記録される。ここで、機器IDA1002として、IPアドレスA1004と同じ情報を利用して良い。なお、機器一覧A1001の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、機器一覧A1001の構成要素の順序は上記に限定されるものではない。   The device list A1001 includes an area IDA1002 for identifying an area in the incident detection system, an apparatus IDA1003 for identifying each apparatus (each control apparatus), and an IP address A1004 held by each apparatus (each control apparatus). In the area IDA 1002, for example, information for identifying the network 40 is recorded as an area in the incident detection system. In the device IDA 1003, for example, information relating to a manufacturing number for identifying each device (each control device) is recorded. Here, the same information as the IP address A 1004 may be used as the device IDA 1002. Note that the constituent elements of the device list A1001 are not limited to the above, and it is sufficient that at least the above elements are included. Further, the order of the components of the device list A1001 is not limited to the above.

図11は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20の収集項目格納部211に格納される収集項目の構成を例示する構成図である。   FIG. 11 is a configuration diagram illustrating the configuration of collection items stored in the collection item storage unit 211 of the monitoring device 20 in the incident detection system for the control system to which the first embodiment of the present invention is applied.

収集項目A1101は、攻撃パターンを識別する攻撃パターンIDA1102と、ログの種類を示すログカテゴリA1103と、ログに含まれる特定のキーワード等を示す収集条件A1104から構成される。ログカテゴリA1103の内容は、図7の収集コマンドA701に属するログカテゴリA703と同様である。収集条件A1104の内容は、図7の収集コマンドA701に属する収集条件A706と同様である。なお、収集項目A1101の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、収集項目A1101の構成要素の順序は上記に限定されるものではない。   The collection item A1101 includes an attack pattern IDA1102 that identifies an attack pattern, a log category A1103 that indicates the type of log, and a collection condition A1104 that indicates a specific keyword included in the log. The contents of the log category A1103 are the same as those of the log category A703 belonging to the collection command A701 in FIG. The contents of the collection condition A1104 are the same as those of the collection condition A706 belonging to the collection command A701 in FIG. Note that the constituent elements of the collection item A1101 are not limited to the above, and it is sufficient that at least the above-described elements are included. Further, the order of the constituent elements of the collection item A1101 is not limited to the above.

図12は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20の異常判定基準格納部212に格納される異常判定基準の構成を例示する構成図である。   FIG. 12 is a configuration diagram illustrating a configuration of an abnormality determination criterion stored in the abnormality determination criterion storage unit 212 of the monitoring device 20 in the control system incident detection system to which the first embodiment of the present invention is applied. .

異常判定基準A1201は、異常を識別する異常IDA1202と、攻撃パターンを識別する攻撃パターンIDA1203と、ログのカテゴリを示すログカテゴリA1204と、異常の大きさを示す異常度A1205と、ログのエントリの数を示すログの数A1206と、ログの生成頻度を示すログ頻度A1207と、ログの生成タイミングを示すログタイミングA1208から構成される。なお、異常判定基準A1201の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、異常判定基準A1201の構成要素の順序は上記に限定されるものではない。   The abnormality determination criterion A1201 includes an abnormality IDA 1202 that identifies an abnormality, an attack pattern IDA 1203 that identifies an attack pattern, a log category A 1204 that indicates a log category, an abnormality degree A 1205 that indicates the magnitude of the abnormality, and the number of log entries A log number A1206 indicating log generation frequency, a log frequency A1207 indicating log generation frequency, and a log timing A1208 indicating log generation timing. Note that the constituent elements of the abnormality determination criterion A1201 are not limited to the above, and it is sufficient that at least the above-described elements are included. In addition, the order of the components of the abnormality determination criterion A1201 is not limited to the above.

本実施形態によれば、インシデントの発生時に複数の制御装置のうち特定の制御装置からログを収集し、収集したログを分析して管理することができる。このため、ログの収集時に、特定の制御装置以外の制御装置(機器)やネットワークに掛かる負荷を抑制することができる。また、特定の制御装置においても、収集コマンドで指定された指定のログを送信すればよいので、特定の制御装置に対する負荷も軽減することができる。結果として、制御装置やネットワークへの影響を最小化しつつ、制御装置の状態を考慮したシステム全体でのセキュリティインシデントの検知を行うことが可能となる。   According to this embodiment, logs can be collected from a specific control device among a plurality of control devices when an incident occurs, and the collected logs can be analyzed and managed. For this reason, it is possible to suppress a load on a control device (apparatus) other than a specific control device or a network when collecting logs. In addition, since a specific log specified by the collection command only needs to be transmitted in a specific control device, the load on the specific control device can be reduced. As a result, it is possible to detect a security incident in the entire system in consideration of the state of the control device while minimizing the influence on the control device and the network.

図13は、本発明の第二の実施形態が適用された制御システム向けインシデント検知システムの構成図である。   FIG. 13 is a configuration diagram of an incident detection system for a control system to which the second embodiment of the present invention is applied.

本実施形態の制御システム向けインシデント検知システムは、図13に例示するように、制御装置10〜10と、監視装置20と、インシデント検知装置30と、ネットワーク40と、ログ収集サーバ50から構成されている。 As illustrated in FIG. 13, the incident detection system for the control system according to the present embodiment includes control devices 10 1 to 10 n , a monitoring device 20, an incident detection device 30, a network 40, and a log collection server 50. Has been.

制御装置10〜10は、制御対象の制御処理を行う制御処理部101〜101と、制御装置で収集したログを格納するログ格納部103〜103と、ネットワーク40と通信を行う通信部104〜104と、を含む。なお、ログ抽出部102は、構成要素から除外されている。 The control devices 10 1 to 10 n communicate with the control processing units 101 1 to 101 n that perform control processing of the control target, log storage units 103 1 to 103 n that store logs collected by the control device, and the network 40. And performing communication units 104 1 to 104 n . The log extraction unit 102 is excluded from the constituent elements.

監視装置20およびインシデント検知装置30の構成要素は、図1と同様である。   The components of the monitoring device 20 and the incident detection device 30 are the same as those in FIG.

ログ収集サーバ50は、ネットワーク40と通信を行う通信部501と、制御装置10〜10からログを収集するログ収集部502と、監視装置20からの要求に応じてログを抽出するログ抽出部503と、制御装置10〜10から収集したログを格納する統合ログ格納部504と、を含む。 The log collection server 50 includes a communication unit 501 that communicates with the network 40, a log collection unit 502 that collects logs from the control devices 10 1 to 10 n, and a log extraction that extracts logs in response to requests from the monitoring device 20 Unit 503 and an integrated log storage unit 504 that stores logs collected from the control devices 10 1 to 10 n .

ここで、ログ収集サーバ50のハードウェア構成は図2と同様である。
本実施形態の制御システム向けインシデント検知システムにおける処理フローについて説明する。以下に述べる処理フローは、制御装置10〜10や監視装置20やインシデント検知装置30やログ収集サーバ50の記憶装置13に格納されたプログラムがメモリ15にロードされ、CPU14により実行されることにより、制御システム向けインシデント検知システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置13に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。 Here, the hardware configuration of the log collection server 50 is the same as that shown in FIG.
A processing flow in the incident detection system for a control system according to the present embodiment will be described. In the processing flow described below, a program stored in the storage device 13 of the control devices 10 1 to 10 n , the monitoring device 20, the incident detection device 30, or the log collection server 50 is loaded into the memory 15 and executed by the CPU 14. By this, it is executed by each processing unit embodied on the apparatus constituting the incident detection system for the control system. Each program may be stored in the storage device 13 in advance, or may be introduced through other storage media or communication media (network or carrier wave propagating through the network) when necessary.

図14は、本発明の第二の実施形態が適用された制御システム向けインシデント検知システムにおいて、各制御装置からログを収集する際の処理フローを示したフローチャートである。   FIG. 14 is a flowchart showing a processing flow when collecting logs from each control device in the incident detection system for a control system to which the second embodiment of the present invention is applied.

はじめに、制御装置10〜10は、通常時の処理として、ログを生成する(S1401〜S1401)。次に、制御装置10〜10は、生成したログA1401〜A1401をログ収集サーバ50に送信する。 First , the control devices 10 1 to 10 n generate logs as normal processing (S1401 1 to S1401 n ). Next, the control devices 10 1 to 10 n transmit the generated logs A 1401 1 to A 1401 n to the log collection server 50.

次に、ログ収集サーバ50は、受信したログを統合ログ格納部504に格納する(S1402〜S1402)。次に、ログ収集サーバ50は、ログの格納結果を示すレスポンスA1402〜A1402を制御装置10〜10に送信する。 Next, the log collection server 50 stores the received log in the integrated log storage unit 504 (S1402 1 to S1402 n ). Next, the log collection server 50 transmits responses A1402 1 to A1402 n indicating the log storage results to the control devices 10 1 to 10 n .

図15は、本発明の第二の実施形態が適用された制御システム向けインシデント検知システムにおいて、インシデント検知後にログ収集サーバからログを収集する処理フローを示したフローチャートである。   FIG. 15 is a flowchart showing a processing flow for collecting logs from the log collection server after detecting an incident in the incident detection system for a control system to which the second embodiment of the present invention is applied.

はじめに、監視装置20は、インシデント検知装置30からインシデント情報を収集し、インシデント情報格納部208に格納する(S1501)。ここで、インシデント情報の収集方法は、ネットワーク経由で収集しても良いし、USBメモリ等のリムーバブルデバイスで収集しても良い。次に、監視装置20は、収集したインシデント情報を用いて、収集対象の選択として、ログの収集対象機器、ログの収集対象項目を選択する(S1502)。なお、収集対象選択の詳細については図4に記載した通りである。   First, the monitoring device 20 collects incident information from the incident detection device 30 and stores it in the incident information storage unit 208 (S1501). Here, the incident information may be collected via a network or a removable device such as a USB memory. Next, using the collected incident information, the monitoring device 20 selects a log collection target device and a log collection target item as a collection target (S1502). The details of the collection target selection are as described in FIG.

次に、監視装置20は、ログ収集サーバ50に対して、ログの収集対象機器とログの収集項目が記載された収集コマンドA1501(収集コマンドA301と同様の構成の収集コマンド)を送信する。   Next, the monitoring apparatus 20 transmits to the log collection server 50 a collection command A1501 (collection command having the same configuration as the collection command A301) in which log collection target devices and log collection items are described.

次に、ログ収集サーバ50は、受信した収集コマンドA1501を基に、統合ログ格納部504からログを抽出する(S1503)。次に、ログ収集サーバ50は、抽出したログA1502(ログA302と同様の構成のログ)を監視装置20に送信する。   Next, the log collection server 50 extracts a log from the integrated log storage unit 504 based on the received collection command A1501 (S1503). Next, the log collection server 50 transmits the extracted log A 1502 (log having the same configuration as the log A 302) to the monitoring device 20.

次に、監視装置20は、ログ収集サーバ50から受信したログA1502を用いて、異常判定を行う(S1504)。ここで、異常判定は、S1502の処理の過程で抽出された攻撃パターン(インシデント情報に含まれる攻撃内容と合致する攻撃パターン)とログ収集サーバ50から受信したログと、異常判定基準格納部212に格納されている異常判定基準(図12の異常判定基準A1201)を用いて、異常判定基準に合致するかどうかで判定する。なお、異常判定基準の構成については図12に記載したとおりである。   Next, the monitoring device 20 performs abnormality determination using the log A 1502 received from the log collection server 50 (S1504). Here, the abnormality determination is performed in the attack pattern extracted in the process of S1502 (the attack pattern matching the attack content included in the incident information), the log received from the log collection server 50, and the abnormality determination criterion storage unit 212. Using the stored abnormality determination standard (abnormality determination standard A1201 in FIG. 12), determination is made based on whether or not the abnormality determination standard is met. The configuration of the abnormality determination standard is as described in FIG.

次に、監視装置20は、異常判定の結果、異常有無があるかどうか検証する(S1505)。その結果、異常が無いと判定された場合、監視装置20は、処理を終了する(S1506)。一方、異常があると判定された場合、監視装置20は、異常判定基準格納部212に格納されている異常判定基準から、異常と判定された異常IDを基に異常度を抽出する(S1507)。   Next, the monitoring apparatus 20 verifies whether there is an abnormality as a result of the abnormality determination (S1505). As a result, when it is determined that there is no abnormality, the monitoring device 20 ends the process (S1506). On the other hand, if it is determined that there is an abnormality, the monitoring device 20 extracts the degree of abnormality from the abnormality determination criteria stored in the abnormality determination criterion storage unit 212 based on the abnormality ID determined to be abnormal (S1507). .

次に、監視装置20は、異常IDを基に、異常条件に合致した項目を抽出し、抽出した項目を基に判定理由を生成する(S1508)。次に、監視装置20は、異常機器に関する情報を画面に出力する(S1509)。ここで、画面の出力の例については図5に記載した通りである。   Next, the monitoring device 20 extracts items that match the abnormal condition based on the abnormality ID, and generates a determination reason based on the extracted items (S1508). Next, the monitoring device 20 outputs information on the abnormal device to the screen (S1509). Here, an example of the screen output is as described in FIG.

本実施例形態によれば、第一実施形態と同様の効果を奏することができると共に、通常時に、ログ収集サーバが各制御装置からログを収集し、インシデント発生時には、監視装置がログ収集サーバからログを収集しているので、インシデント発生時に各制御装置に対する負荷をより低減することができる。   According to the present embodiment, the same effects as in the first embodiment can be obtained, and at the normal time, the log collection server collects logs from the respective control devices, and when an incident occurs, the monitoring device from the log collection server. Since logs are collected, the load on each control device can be further reduced when an incident occurs.

なお、本発明は、上記の実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。   In addition, this invention is not limited to said embodiment, A various deformation | transformation is possible within the range of the summary.

例えば、監視装置内にインシデント検知装置30の機能が含まれている場合や、ログ収集サーバ50の機能が含まれている場合や、制御装置10や監視装置20やインシデント検知装置30やログ収集サーバ50にネットワーク40との通信機能が含まれておらず、別の装置を経由してネットワーク40と通信を行う場合などである。該実施形態の場合においてもシステム全体において行う処理に本質的な変化はない。   For example, when the function of the incident detection device 30 is included in the monitoring device, the function of the log collection server 50 is included, the control device 10, the monitoring device 20, the incident detection device 30, or the log collection server 50 does not include a communication function with the network 40, and communicates with the network 40 via another device. Even in the case of this embodiment, there is no essential change in the processing performed in the entire system.

また、機器選択部202と収集項目選択部203を一体化した選択部を構成することができる。この際、選択部は、インシデント検知装置30からインシデント情報を受信した場合、受信したインシデント情報を基にログに関する収集対象機器と収集項目を選択する。この場合、選択部は、受信したインシデント情報に、インシデント状況を示す情報として、攻撃の成功有無の情報が付加されている場合、攻撃の成功有無の情報を基に収集対象機器に属する機器を変更する。これにより、攻撃の成功有無の情報に応じて、ログ収集の対象となる機器を変更することができる。   In addition, a selection unit in which the device selection unit 202 and the collection item selection unit 203 are integrated can be configured. At this time, when receiving the incident information from the incident detection device 30, the selection unit selects a collection target device and a collection item regarding the log based on the received incident information. In this case, the selection unit changes the device belonging to the collection target device based on the information on the success or failure of the attack when the information on the success or failure of the attack is added to the received incident information as information indicating the incident status. To do. As a result, the device that is the target of log collection can be changed according to the information on the success or failure of the attack.

具体的には、選択部は、受信したインシデント情報に、攻撃の成功を示す情報が付加されている場合、攻撃パターン格納部209に格納された攻撃パターンを基に今後インシデントの影響が及ぼされることが想定される領域を予測し、予測した領域に属する機器を収集対象機器に属する機器として選択する。また、選択部は、受信したインシデント情報に、攻撃の失敗を示す情報が付加されている場合、インシデントが発生した機器の周囲の機器又はインシデントが発生したネットワーク40に属する機器を収集対象機器に属する機器として選択する。また、この場合、ログ収集部204は、選択部で選択した収集対象機器となる特定の制御装置に対するコマンドであって、選択部で選択した収集項目を含む収集コマンドA301をネットワーク40を介して特定の制御装置に送信し、特定の制御装置から、収集コマンドA301に従った指定のログをネットワーク40を介して収集する。   Specifically, when the information indicating success of the attack is added to the received incident information, the selection unit will be affected by the incident based on the attack pattern stored in the attack pattern storage unit 209 in the future. Is predicted, and a device belonging to the predicted region is selected as a device belonging to the collection target device. In addition, when information indicating failure of the attack is added to the received incident information, the selection unit belongs to a device to be collected a device around the device in which the incident has occurred or a device that belongs to the network 40 in which the incident has occurred. Select as equipment. Further, in this case, the log collection unit 204 specifies a collection command A301 including a collection item selected by the selection unit via the network 40, which is a command for a specific control device that is a collection target device selected by the selection unit. The specified log according to the collection command A301 is collected from the specific control device via the network 40.

また、各制御装置におけるログ抽出部102と、ログ格納部103および通信部104を一体化してログ管理部として構成することができる。この際、ログ管理部は、監視装置20から収集コマンドA301を受信した場合、受信した収集コマンドA301に従った指定のログをネットワーク40を介して監視装置20に送信する。   In addition, the log extraction unit 102, the log storage unit 103, and the communication unit 104 in each control device can be integrated to form a log management unit. At this time, when receiving the collection command A 301 from the monitoring device 20, the log management unit transmits a designated log according to the received collection command A 301 to the monitoring device 20 via the network 40.

また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。   Further, a part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. Further, it is possible to add, delete, and replace other configurations for a part of the configuration of each embodiment.

10〜10:制御装置、11:通信装置、12:入出力装置、13:記憶装置、14:CPU、15:メモリ、16:内部信号線、101〜101:制御処理部、102〜102:ログ抽出部、103〜103:ログ格納部、104〜104:通信部、20:監視装置、201:インシデント情報取得部、202:機器選択部、203:収集項目選択部、204:ログ収集部、205:異常判定部、206:通信部、207:入出力部、208:インシデント情報格納部、209:攻撃パターン格納部、210:機器一覧格納部、211:収集項目格納部、212:異常判定基準格納部、30:インシデント検知装置、301:通信部、302:インシデント検知部、303:インシデント情報格納部、40:ネットワーク、50:ログ収集サーバ、501:通信部、502:ログ収集部、503:ログ抽出部、504:統合ログ格納部、A301:収集コマンド、A302:ログ、A501:異常機器情報出力画面、A502:システム構成、A503:異常機器一覧、A504:異常度大機器、A505:異常度小機器、A506:インシデントID、A507:日時、A508:機器、A509:異常度、A510:判定理由、A511:表示領域、A512:表示領域、A601:ログ、A602:ログ生成日時、A603:ログカテゴリ、A604:ログ内容、A701:収集コマンド、A702:収集対象機器アドレス、A703:ログカテゴリ、A704:収集開始日時、A705:収集終了日時、A706:収集条件、A801:インシデント情報、A802:インシデントID、A803:発生日時、A804:発生機器、A805:攻撃内容、A806:発生状況、A901:攻撃パターン、A902:攻撃パターンID、A903:攻撃パターン情報、A904〜A904:攻撃順序、A905〜A905:領域ID、A906〜A906:攻撃内容、A1001:機器一覧、A1002:領域ID、A1003:機器ID、A1004:IPアドレス、A1101:収集項目、A1102:攻撃パターンID、A1103:ログカテゴリ、A1104:収集条件、A1201:異常判定基準、A1202:異常ID、A1203:攻撃パターンID、A1204:ログカテゴリ、A1205:異常度、A1206:ログの数、A1207:ログの頻度、A1208:ログのタイミング、A1401〜A1401:ログ、A1402〜A1402:レスポンス、A1501:収集コマンド、A1502:ログ 10 1 to 10 n : control device, 11: communication device, 12: input / output device, 13: storage device, 14: CPU, 15: memory, 16: internal signal line, 101 1 to 101 n : control processing unit, 102 1 to 102 n : log extraction unit, 103 1 to 103 n : log storage unit, 104 1 to 104 n : communication unit, 20: monitoring device, 201: incident information acquisition unit, 202: device selection unit, 203: collection item Selection unit 204: Log collection unit 205: Abnormality determination unit 206: Communication unit 207: Input / output unit 208: Incident information storage unit 209: Attack pattern storage unit 210: Device list storage unit 211: Collection Item storage unit, 212: abnormality determination criterion storage unit, 30: incident detection device, 301: communication unit, 302: incident detection unit, 303: incident information storage unit, 0: Network, 50: Log collection server, 501: Communication unit, 502: Log collection unit, 503: Log extraction unit, 504: Integrated log storage unit, A301: Collection command, A302: Log, A501: Abnormal device information output screen A502: System configuration, A503: Abnormal device list, A504: High abnormality degree device, A505: Low abnormality degree device, A506: Incident ID, A507: Date and time, A508: Device, A509: Abnormality degree, A510: Reason for determination, A511 : Display area, A512: Display area, A601: Log, A602: Log generation date, A603: Log category, A604: Log content, A701: Collection command, A702: Collection target device address, A703: Log category, A704: Start collection Date / time, A705: Collection end date / time, A706: Collection condition, A801 : Incident information, A802: incident ID, A803: date and time of occurrence, A804: generating device, A805: content of attack, A806: occurrence status, A901: attack pattern, A902: attack pattern ID, A903: attack pattern information, A904 1 to A904 n: attack order, A905 1 ~A905 n: area ID, A906 1 ~A906 n: offensive content, A1001: device list, A1002: area ID, A1003: equipment ID, A1004: IP address, A1101: collection item, A1102: Attack pattern ID, A1103: Log category, A1104: Collection condition, A1201: Abnormal judgment criterion, A1202: Abnormal ID, A1203: Attack pattern ID, A1204: Log category, A1205: Abnormality, A1206: Number of logs, A1207 The frequency of the log, A1208: log of timing, A1401 1 ~A1401 n: log, A1402 1 ~A1402 n: response, A1501: collection command, A1502: log

Claims (12)

ネットワークに接続されて、制御対象に関連するログを収集して管理する複数の制御装置と、
前記ネットワークで発生したインシデントを検知して、インシデント情報を生成するインシデント検知装置と、
前記ネットワークを監視して、前記複数の制御装置の各々及び前記インシデント検知装置と情報の送受信を行う監視装置と、を備え、
前記監視装置は、
前記インシデント検知装置から前記インシデント情報を受信した場合、受信した前記インシデント情報を基に前記ログに関する収集対象機器と収集項目を選択する選択部と、
前記選択部で選択した前記収集対象機器となる特定の制御装置に対するコマンドであって、前記選択部で選択した前記収集項目を含む収集コマンドを前記ネットワークを介して前記特定の制御装置に送信し、前記特定の制御装置から、前記収集コマンドに従った指定のログを前記ネットワークを介して収集するログ収集部と、を含み、
前記各制御装置は、
前記監視装置から前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記ネットワークを介して前記監視装置に送信するログ管理部を含み、
前記監視装置は、
少なくとも前記ログ収集部の収集による前記指定のログと異常判定基準とを比較して、前記指定のログの異常の有無を判定する異常判定部と、
前記異常判定部の判定結果による情報を出力する出力部と、を更に含む
ことを、特徴とするインシデント検知システム。 A plurality of control devices connected to the network for collecting and managing logs related to the control target;
An incident detection device that detects incidents occurring in the network and generates incident information;
A monitoring device that monitors the network and transmits / receives information to / from each of the plurality of control devices and the incident detection device,
The monitoring device
When the incident information is received from the incident detection device, a selection unit that selects a collection target device and a collection item regarding the log based on the received incident information;
A command for a specific control device to be the collection target device selected by the selection unit, the collection command including the collection item selected by the selection unit is transmitted to the specific control device via the network, A log collection unit for collecting a specified log according to the collection command from the specific control device via the network;
Each of the control devices
When receiving the collection command from the monitoring device, including a log management unit that transmits the specified log according to the received collection command to the monitoring device via the network,
The monitoring device
An abnormality determination unit that determines whether or not there is an abnormality in the specified log by comparing at least the specified log and the abnormality determination criterion collected by the log collection unit;
An incident detection system, further comprising: an output unit that outputs information based on a determination result of the abnormality determination unit. 請求項1に記載のインシデント検知システムであって、
前記選択部は、
前記受信した前記インシデント情報に、インシデント状況を示す情報として、攻撃の成功有無の情報が付加されている場合、前記攻撃の成功有無の情報を基に前記収集対象機器に属する機器を変更する
ことを、特徴とするインシデント検知システム。 The incident detection system according to claim 1,
The selection unit includes:
When information indicating whether or not an attack has succeeded is added to the received incident information as information indicating an incident status, the device belonging to the collection target device is changed based on the information on whether or not the attack has been successful. , A featured incident detection system. 請求項2に記載のインシデント検知システムであって、
前記監視装置は、
攻撃順序と攻撃の発生した領域及び攻撃内容を含む攻撃パターンが時系列で記録された攻撃パターン格納部を更に備え、
前記選択部は、
前記受信した前記インシデント情報に、前記攻撃の成功を示す情報が付加されている場合、前記攻撃パターンを基に今後前記インシデントの影響が及ぼされることが想定される領域を予測し、予測した前記領域に属する機器を前記収集対象機器に属する機器として選択する
ことを、特徴とするインシデント検知システム。 The incident detection system according to claim 2,
The monitoring device
An attack pattern storage unit in which an attack pattern including an attack sequence, an attacked area, and an attack content is recorded in chronological order;
The selection unit includes:
When information indicating the success of the attack is added to the received incident information, an area where the incident is expected to be affected in the future is predicted based on the attack pattern, and the predicted area An incident detection system characterized by selecting a device belonging to a device belonging to the collection target device. 請求項2に記載のインシデント検知システムであって、
前記選択部は、
前記受信した前記インシデント情報に、前記攻撃の失敗を示す情報が付加されている場合、前記インシデントが発生した機器の周囲の機器又は前記インシデントが発生した前記ネットワークに属する機器を前記収集対象機器に属する機器として選択する
ことを、特徴とするインシデント検知システム。 The incident detection system according to claim 2,
The selection unit includes:
When information indicating failure of the attack is added to the received incident information, devices around the device in which the incident has occurred or devices belonging to the network in which the incident has occurred belong to the collection target device Incident detection system characterized by selection as equipment. 請求項1〜4のうちいずれか1項に記載のインシデント検知システムであって、
前記出力部は、
前記異常判定部の判定結果による情報を出力する場合、前記異常判定部で異常と判定した機器を特定する機器情報と、前記異常判定部で異常と判定した異常の度合いを示す異常度の情報と、前記異常判定部で異常と判定した判定理由を示す判定理由の情報と、前記判定理由に関連するログに関する情報を合わせて出力する
ことを、特徴とするインシデント検知システム。 The incident detection system according to any one of claims 1 to 4,
The output unit is
When outputting information based on the determination result of the abnormality determination unit, device information for identifying a device determined to be abnormal by the abnormality determination unit, and information on the degree of abnormality indicating the degree of abnormality determined to be abnormal by the abnormality determination unit; An incident detection system characterized in that information on a determination reason indicating a determination reason determined as abnormal by the abnormality determination unit and information on a log related to the determination reason are output together. 請求項1〜5のうちいずれか1項に記載のインシデント検知システムであって、
前記監視装置と情報の送受信を行うと共に前記複数の制御装置から前記ログを収集するログ収集サーバを更に備え、
前記ログ収集部は、
前記収集コマンドを、前記特定の制御装置の代わりに、前記ネットワークを介して前記ログ収集サーバに送信し、
前記ログ収集サーバは、
前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記複数の制御装置から収集した前記ログの中から抽出し、抽出した前記指定のログを前記ネットワークを介して前記監視装置に送信し、
前記ログ収集部は、
更に、前記ネットワークを介して前記ログ収集サーバから前記指定のログを収集した場合、収集した前記指定のログを前記異常判定部に出力する、
ことを、特徴とするインシデント検知システム。 The incident detection system according to any one of claims 1 to 5,
A log collection server that transmits and receives information to and from the monitoring device and collects the logs from the plurality of control devices;
The log collecting unit
Sending the collection command to the log collection server via the network instead of the specific control device;
The log collection server
When the collection command is received, the designated log according to the received collection command is extracted from the logs collected from the plurality of control devices, and the extracted designated log is extracted via the network. Sent to the monitoring device,
The log collecting unit
Further, when the designated log is collected from the log collection server via the network, the collected designated log is output to the abnormality determination unit.
Incident detection system characterized by that. ネットワークに接続されて、制御対象に関連するログを収集して管理する複数の制御装置と、
前記ネットワークで発生したインシデントを検知して、インシデント情報を生成するインシデント検知装置と、
前記ネットワークを監視して、前記複数の制御装置の各々及び前記インシデント検知装置と情報の送受信を行う監視装置と、を備えたシステムにおけるインシデント検知方法であって、
前記監視装置が、前記インシデント検知装置から前記インシデント情報を受信した場合、受信した前記インシデント情報を基に前記ログに関する収集対象機器と収集項目を選択する選択ステップと、
前記監視装置が、前記選択ステップで選択した前記収集対象機器となる特定の制御装置に対するコマンドであって、前記選択ステップで選択した前記収集項目を含む収集コマンドを前記ネットワークを介して前記特定の制御装置に送信し、前記特定の制御装置から、前記収集コマンドに従った指定のログを前記ネットワークを介して収集するログ収集ステップと、
前記各制御装置が、前記監視装置から前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記ネットワークを介して前記監視装置に送信するログ管理ステップと、
前記監視装置が、少なくとも前記ログ収集ステップでの収集による前記指定のログと異常判定基準とを比較して、前記指定のログの異常の有無を判定する異常判定ステップと、
前記監視装置が、前記異常判定ステップでの判定結果による情報を出力する出力ステップと、を含む
ことを、特徴とするインシデント検知方法。 A plurality of control devices connected to the network for collecting and managing logs related to the control target;
An incident detection device that detects incidents occurring in the network and generates incident information;
A monitoring device that monitors the network and transmits / receives information to / from each of the plurality of control devices and the incident detection device, and an incident detection method in a system comprising:
When the monitoring device receives the incident information from the incident detection device, a selection step of selecting a collection target device and a collection item related to the log based on the received incident information;
The monitoring device is a command for the specific control device to be the collection target device selected in the selection step, and the collection command including the collection item selected in the selection step is sent to the specific control via the network. A log collecting step for transmitting to a device and collecting a specified log according to the collection command from the specific control device via the network;
When each control device receives the collection command from the monitoring device, a log management step of transmitting the designated log according to the received collection command to the monitoring device via the network;
The monitoring device compares at least the specified log by the collection at the log collection step with an abnormality determination standard, and determines whether there is an abnormality in the specified log;
An incident detection method comprising: an output step in which the monitoring device outputs information based on a determination result in the abnormality determination step. 請求項7に記載のインシデント検知方法であって、
前記選択ステップでは、
前記受信した前記インシデント情報に、インシデント状況を示す情報として、攻撃の成功有無の情報が付加されている場合、前記攻撃の成功有無の情報を基に前記収集対象機器に属する機器を変更する
ことを、特徴とするインシデント検知方法。 The incident detection method according to claim 7,
In the selection step,
When information indicating whether or not an attack has succeeded is added to the received incident information as information indicating an incident status, the device belonging to the collection target device is changed based on the information on whether or not the attack has been successful. , A featured incident detection method. 請求項8に記載のインシデント検知方法であって、
前記監視装置が、攻撃順序と攻撃の発生した領域及び攻撃内容を含む攻撃パターンを時系列で記録する攻撃パターン格納ステップを、さらに備え、
前記選択ステップでは、
前記受信した前記インシデント情報に、前記攻撃の成功を示す情報が付加されている場合、前記攻撃パターン格納ステップで記録された前記攻撃パターンを基に今後前記インシデントの影響が及ぼされることが想定される領域を予測し、予測した前記領域に属する機器を前記収集対象機器に属する機器として選択する
ことを、特徴とするインシデント検知方法。 The incident detection method according to claim 8,
The monitoring device further comprises an attack pattern storage step for recording an attack pattern including an attack order, an attacked area and an attack content in time series,
In the selection step,
When information indicating the success of the attack is added to the received incident information, it is assumed that the incident will be influenced in the future based on the attack pattern recorded in the attack pattern storing step. An incident detection method characterized by predicting a region and selecting a device belonging to the predicted region as a device belonging to the collection target device. 請求項8に記載のインシデント検知方法であって、
前記選択ステップでは、
前記受信した前記インシデント情報に、前記攻撃の失敗を示す情報が付加されている場合、前記インシデントが発生した機器の周囲の機器又は前記インシデントが発生した前記ネットワークに属する機器を前記収集対象機器に属する機器として選択する
ことを、特徴とするインシデント検知方法。 The incident detection method according to claim 8,
In the selection step,
When information indicating failure of the attack is added to the received incident information, devices around the device in which the incident has occurred or devices belonging to the network in which the incident has occurred belong to the collection target device Incident detection method characterized by selecting as a device. 請求項7〜10のうちいずれか1項に記載のインシデント検知方法であって、
前記出力ステップでは、
前記異常判定ステップでの判定結果による情報を出力する場合、前記異常判定ステップで異常と判定した機器を特定する機器情報と、前記異常判定ステップで異常と判定した異常の度合いを示す異常度の情報と、前記異常判定ステップで異常と判定した判定理由を示す判定理由の情報と、前記判定理由に関連するログに関する情報を合わせて出力する
ことを、特徴とするインシデント検知方法。 It is the incident detection method of any one of Claims 7-10,
In the output step,
When outputting information based on the determination result in the abnormality determination step, device information for specifying the device determined to be abnormal in the abnormality determination step, and information on the degree of abnormality indicating the degree of abnormality determined to be abnormal in the abnormality determination step An incident detection method characterized in that information on a determination reason indicating a determination reason determined to be abnormal in the abnormality determination step and information on a log related to the determination reason are output together. 請求項7〜11のうちいずれか1項に記載のインシデント検知方法であって、
前記監視装置と情報の送受信を行うと共に前記複数の制御装置から前記ログを収集するログ収集サーバを更に備える場合、
前記ログ収集サーバが、前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記複数の制御装置から収集した前記ログの中から抽出し、抽出した前記指定のログを前記ネットワークを介して前記監視装置に送信する送信ステップを更に備え、
前記ログ収集ステップでは、
前記監視装置が、前記収集コマンドを、前記特定の制御装置の代わりに、前記ネットワークを介して前記ログ収集サーバに送信し、更に、前記ネットワークを介して前記ログ収集サーバから前記指定のログを収集し、
前記異常判定ステップでは、
前記ログ収集ステップで前記ログ収集サーバから収集した前記指定のログと前記異常判定基準とを比較して、前記指定のログの異常の有無を判定する、
ことを、特徴とするインシデント検知方法。 It is the incident detection method of any one of Claims 7-11,
When further comprising a log collection server that performs transmission and reception of information with the monitoring device and collects the log from the plurality of control devices,
When the log collection server receives the collection command, it extracts the designated log according to the received collection command from the logs collected from the plurality of control devices, and extracts the designated log that has been extracted. A transmission step of transmitting to the monitoring device via the network;
In the log collecting step,
The monitoring device transmits the collection command to the log collection server via the network instead of the specific control device, and further collects the specified log from the log collection server via the network. And
In the abnormality determination step,
Comparing the specified log collected from the log collection server in the log collecting step with the abnormality determination criteria to determine whether there is an abnormality in the specified log;
Incident detection method characterized by this.
JP2018055392A 2018-03-22 2018-03-22 Incident detection system and its method Active JP6921776B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018055392A JP6921776B2 (en) 2018-03-22 2018-03-22 Incident detection system and its method
PCT/JP2019/006921 WO2019181370A1 (en) 2018-03-22 2019-02-22 Incident detection system and method therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018055392A JP6921776B2 (en) 2018-03-22 2018-03-22 Incident detection system and its method

Publications (2)

Publication Number Publication Date
JP2019168869A true JP2019168869A (en) 2019-10-03
JP6921776B2 JP6921776B2 (en) 2021-08-18

Family

ID=67986165

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018055392A Active JP6921776B2 (en) 2018-03-22 2018-03-22 Incident detection system and its method

Country Status (2)

Country Link
JP (1) JP6921776B2 (en)
WO (1) WO2019181370A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021229910A1 (en) * 2020-05-11 2021-11-18 株式会社日立ソリューションズ Incident information analysis device, analysis method, and analysis program
JP7192155B1 (en) * 2022-03-16 2022-12-19 ソフトバンク株式会社 Anomaly detection server, anomaly detection system, and anomaly detection method

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014112185A1 (en) * 2013-01-21 2014-07-24 三菱電機株式会社 Attack analysis system, coordination device, attack analysis coordination method, and program

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014112185A1 (en) * 2013-01-21 2014-07-24 三菱電機株式会社 Attack analysis system, coordination device, attack analysis coordination method, and program

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021229910A1 (en) * 2020-05-11 2021-11-18 株式会社日立ソリューションズ Incident information analysis device, analysis method, and analysis program
JP7441719B2 (en) 2020-05-11 2024-03-01 株式会社日立ソリューションズ Incident information analysis device, analysis method, and analysis program
JP7192155B1 (en) * 2022-03-16 2022-12-19 ソフトバンク株式会社 Anomaly detection server, anomaly detection system, and anomaly detection method

Also Published As

Publication number Publication date
WO2019181370A1 (en) 2019-09-26
JP6921776B2 (en) 2021-08-18

Similar Documents

Publication Publication Date Title
US10949534B2 (en) Method for predicting and characterizing cyber attacks
JP4619254B2 (en) IDS event analysis and warning system
EP3068095B1 (en) Monitoring apparatus and method
CN106462702B (en) Method and system for acquiring and analyzing electronic forensic data in a distributed computer infrastructure
JP5926491B2 (en) Method for security maintenance in a network and computer readable medium having computer readable instructions of a computer program causing a processor to perform the method for security maintenance
SE524963C2 (en) Node and mobile device for a mobile telecommunications network providing intrusion detection
JP6258562B2 (en) Relay device, network monitoring system, and program
US20130212681A1 (en) Security Monitoring System and Security Monitoring Method
JP7311350B2 (en) MONITORING DEVICE, MONITORING METHOD, AND MONITORING PROGRAM
CN102663274B (en) A kind of method and system detecting the behavior of long-range invasion computing machine
WO2018198733A1 (en) Security monitoring system and security monitoring method
US11258825B1 (en) Computer network monitoring with event prediction
KR102376433B1 (en) A method of secure monitoring for multi network devices
JP7202932B2 (en) Cyber attack detection device
WO2019181370A1 (en) Incident detection system and method therefor
EP3647982B1 (en) Cyber attack evaluation method and cyber attack evaluation device
CN110598431A (en) Internet of things data processing method and device, server and storage medium
EP3349138B1 (en) Communication destination determination device, communication destination determination method, and recording medium
JP3697249B2 (en) Network status monitoring system and program
WO2016092962A1 (en) Control device state verification system and control device state verification method
US10701088B2 (en) Method for transmitting data
US20210382988A1 (en) Robust monitoring of computer systems and/or control systems
Kawamura et al. A network-based event detection module using NTP for cyber attacks on IoT
US20220292374A1 (en) Dynamic parameter collection tuning
JP6890073B2 (en) Information collection device, information collection system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200318

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210525

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210625

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210706

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210728

R150 Certificate of patent or registration of utility model

Ref document number: 6921776

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150