JP2019168869A - Incident detection system and method thereof - Google Patents
Incident detection system and method thereof Download PDFInfo
- Publication number
- JP2019168869A JP2019168869A JP2018055392A JP2018055392A JP2019168869A JP 2019168869 A JP2019168869 A JP 2019168869A JP 2018055392 A JP2018055392 A JP 2018055392A JP 2018055392 A JP2018055392 A JP 2018055392A JP 2019168869 A JP2019168869 A JP 2019168869A
- Authority
- JP
- Japan
- Prior art keywords
- log
- incident
- collection
- information
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- Quality & Reliability (AREA)
- Economics (AREA)
- Computer Hardware Design (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- General Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、インシデント検知システムおよびその方法に関する。 The present invention relates to an incident detection system and method.
電力、鉄道、水道、ガスといった社会インフラや自動車で利用される制御システムは、センサの情報をもとにバルブやアクチュエータといった装置を動作させ、あらかじめ設定されている圧力や温度を保つことが要求される。この動作を実現するためには、コントローラ等の組込み装置において、定期的にセンサからの情報を取得し、状態を確認し、他のコントローラやサーバ等に通知し、必要に応じて制御を行うことが必要となる。このため、制御システムでは周期的な通信が発生し、その通信データをもとに処理を行うことが通例である。 Control systems used in social infrastructure and automobiles such as electric power, railways, water, and gas are required to operate devices such as valves and actuators based on sensor information to maintain preset pressures and temperatures. The In order to realize this operation, in embedded devices such as controllers, information from sensors is periodically acquired, the status is confirmed, other controllers and servers are notified, and control is performed as necessary. Is required. For this reason, in a control system, periodic communication occurs and processing is usually performed based on the communication data.
一方、制御システムはこれまで専用OS(Operating System)や専用プロトコルを利用しており、インターネット等の外部ネットワークからアクセスできない領域に孤立した状態で設置されているため、いわゆるコンピュータウィルスやDoS(Denial of Service)攻撃といったサイバー攻撃からは無縁であると考えられてきた。しかしながら、コスト削減のために汎用OSや汎用プロトコルを利用するケースが増加しており、効率向上のために情報系システムとの接続も進んできている。 On the other hand, the control system has been using a dedicated OS (Operating System) and a dedicated protocol so far and is installed in an isolated state in an area that cannot be accessed from an external network such as the Internet. Service) attacks have been considered unrelated to cyber attacks. However, there are increasing cases of using general-purpose OSs and general-purpose protocols for cost reduction, and connection with information system systems is also progressing to improve efficiency.
また、近年では、制御システムをターゲットとしたコンピュータウィルスが発見されており、制御システムにおいても情報システムと同様にマルウェア等の感染や外部からの不正アクセスといったセキュリティインシデントを検知する技術が必要となっている。システム内のセキュリティインシデントを正しく検知するためには、ネットワーク等を監視するセキュリティセンサ以外に、各機器のログ等を活用して網羅的な検知を行う必要がある。 In recent years, computer viruses targeting control systems have been discovered, and technologies for detecting security incidents such as malware infections and unauthorized access from outside are required in control systems as well as information systems. Yes. In order to correctly detect a security incident in the system, it is necessary to perform comprehensive detection using a log of each device in addition to a security sensor that monitors a network or the like.
このような課題に対し、ネットワーク等を監視するセキュリティセンサに加えて各制御機器が取り扱うデータも活用し、両者のデータの関係性を分析することでセキュリティインシデントを検知する技術が知られている(たとえば、特許文献1参照)。 In order to deal with such problems, there is known a technique for detecting a security incident by utilizing the data handled by each control device in addition to the security sensor for monitoring the network and analyzing the relationship between the two data ( For example, see Patent Document 1).
制御システムは、各機器のCPU(Central Processing Unit)負荷やネットワークの使用帯域が予めシステム構築時に定められており、その設定値から外れてしまうと制御システムの業務に影響がでてしまう可能性がある。しかしながら、従来技術では、機器側の動作ログを継続的に収集するため、ログの量が増大し、機器の負荷やネットワーク負荷が高まってしまい、制御システムの業務に影響が出てしまう可能性があった。 In the control system, the CPU (Central Processing Unit) load of each device and the bandwidth used for the network are determined in advance when the system is built, and if it deviates from the set value, there is a possibility of affecting the control system business. is there. However, in the conventional technology, since the operation log on the device side is continuously collected, the amount of logs increases, the load on the device and the network load increase, and there is a possibility of affecting the operation of the control system. there were.
本発明の目的は、インシデントの発生時に複数の制御装置のうち特定の制御装置からログを収集し、収集したログを分析して管理することにある。 An object of the present invention is to collect logs from a specific control device among a plurality of control devices when an incident occurs, and to analyze and manage the collected logs.
前記課題を解決するために、本発明は、ネットワークに接続されて、制御対象に関連するログを収集して管理する複数の制御装置と、前記ネットワークで発生したインシデントを検知して、インシデント情報を生成するインシデント検知装置と、前記ネットワークを監視して、前記複数の制御装置の各々及び前記インシデント検知装置と情報の送受信を行う監視装置と、を備え、前記監視装置は、前記インシデント検知装置から前記インシデント情報を受信した場合、受信した前記インシデント情報を基に前記ログに関する収集対象機器と収集項目を選択する選択部と、前記選択部で選択した前記収集対象機器となる特定の制御装置に対するコマンドであって、前記選択部で選択した前記収集項目を含む収集コマンドを前記ネットワークを介して前記特定の制御装置に送信し、前記特定の制御装置から、前記収集コマンドに従った指定のログを前記ネットワークを介して収集するログ収集部と、を含み、前記各制御装置は、前記監視装置から前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記ネットワークを介して前記監視装置に送信するログ管理部を含み、前記監視装置は、少なくとも前記ログ収集部の収集による前記指定のログと異常判定基準とを比較して、前記指定のログの異常の有無を判定する異常判定部と、前記異常判定部の判定結果による情報を出力する出力部と、を更に含むことを特徴とする。 In order to solve the above-mentioned problem, the present invention is connected to a network, collects and manages logs related to a control target, and detects incidents that occur in the network, and detects incident information. An incident detection device to be generated, and a monitoring device that monitors the network and transmits / receives information to / from each of the plurality of control devices and the incident detection device, the monitoring device from the incident detection device When incident information is received, a selection unit that selects a collection target device and a collection item related to the log based on the received incident information, and a command for a specific control device that is the collection target device selected by the selection unit A collection command including the collection item selected by the selection unit via the network. And a log collection unit that collects a specified log according to the collection command from the specific control device via the network, and the control device is configured to monitor the monitoring device. A log management unit that transmits the specified log according to the received collection command to the monitoring device via the network when the collection command is received from a device, and the monitoring device includes at least the log collection unit An abnormality determination unit that compares the specified log and the abnormality determination criterion by collecting the specified log to determine whether there is an abnormality in the specified log, and an output unit that outputs information based on a determination result of the abnormality determination unit. It is further characterized by including.
本発明によれば、インシデントの発生時に複数の制御装置のうち特定の制御装置からログを収集し、収集したログを分析して管理することができ、結果として、制御装置やネットワークへの影響を最小化しつつ、制御装置の状態を考慮したシステム全体でのセキュリティインシデントの検知を行うことが可能となる。 According to the present invention, when an incident occurs, logs can be collected from a specific control device among a plurality of control devices, and the collected logs can be analyzed and managed. As a result, the influence on the control device and the network can be analyzed. It is possible to detect a security incident in the entire system in consideration of the state of the control device while minimizing.
本発明の一実施形態について説明する。なお、これにより本発明が限定されるものではない。 An embodiment of the present invention will be described. Note that the present invention is not limited thereby.
本実施形態は、インシデント検知装置(セキュリティセンサ)においてネットワーク上でインシデント(セキュリティインシデント)を検知した際に、監視装置が、発生したインシデントの状態に応じてログを収集する機器(制御装置)を選択し、選択した機器からログを収集して分析し、分析結果を出力するインシデント検知システムを提供するものである。 In this embodiment, when an incident detection device (security sensor) detects an incident (security incident) on the network, the monitoring device selects a device (control device) that collects logs according to the state of the incident that occurred In addition, an incident detection system that collects and analyzes logs from selected devices and outputs the analysis results is provided.
具体的には、インシデントの状態が未遂(失敗)か既遂(成功)かによって、インシデントの影響を受ける機器の範囲を推定し、影響が想定される機器からのみインシデントの内容に応じたログを収集し、収集したログを基に機器が異常状態であるか判別し、判別結果として異常機器の情報を出力する。 Specifically, the range of devices affected by the incident is estimated based on whether the incident state is attempted (failed) or achieved (successful), and logs corresponding to the content of the incident are collected only from the devices that are expected to be affected. Then, it is determined whether the device is in an abnormal state based on the collected log, and information on the abnormal device is output as a determination result.
より具体的には、監視装置において、インシデント検知システム内で発生したインシデント情報を収集して分析し、インシデントが未遂の場合には、当該発生領域(ゾーン)に含まれる機器からログを収集し、インシデントが既遂の場合には、その結果、将来的に侵入・感染等の悪影響を受ける領域(ゾーン)に含まれる機器からログを収集する。ログ収集時には発生したインシデントの種別(ログカテゴリ)に基づきログを収集する。その後、収集したログが異常判定基準に合致するか否か検証し、合致した場合にはインシデント検知システム内の異常機器の情報をその判定理由(根拠)と共に表示する。 More specifically, in the monitoring device, incident information generated in the incident detection system is collected and analyzed, and when the incident is unsuccessful, logs are collected from devices included in the occurrence area (zone), If the incident has been completed, logs are collected from devices included in an area (zone) that will be adversely affected by intrusion / infection in the future. Logs are collected based on the type of incident that occurred (log category). After that, it is verified whether or not the collected log meets the abnormality judgment criteria. If there is a match, the information of the abnormal device in the incident detection system is displayed together with the judgment reason (foundation).
図1は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムの構成図である。 FIG. 1 is a configuration diagram of an incident detection system for a control system to which the first embodiment of the present invention is applied.
本実施形態の制御システム向けインシデント検知システムは、図1に例示するように、制御装置101〜10nと、監視装置20と、インシデント検知装置30と、ネットワーク40と、から構成されている。
As illustrated in FIG. 1, the control system incident detection system according to the present embodiment includes control devices 10 1 to 10 n , a
制御装置101〜10nは、制御対象に関する制御処理を行う制御処理部1011〜101nと、制御装置内に格納されているログを抽出するログ抽出部1021〜102nと、制御装置で収集したログを格納するログ格納部1031〜103nと、ネットワーク40と通信を行う通信部1041〜104nと、を含む。この際、制御装置101〜10nは、ネットワーク40に接続されて、制御対象に関連するログを収集して管理する。
The control devices 10 1 to 10 n include
監視装置20は、他の装置、例えば、インシデント検知装置30等からインシデント検知システム内で発生したインシデント情報を取得するインシデント情報取得部201と、ログを収集する機器(制御装置)を選択する機器選択部202と、選択した機器から収集するログの項目を選択する収集項目選択部203と、選択した機器からログを収集するログ収集部204と、収集したログから異常の有無を判定する異常判定部205と、ネットワーク40と通信を行う通信部206と、入力装置(キーボード等)からの情報を入力すると共に、異常判定部205で生成した判定結果を出力する入出力部207と、インシデント情報取得部201で取得したインシデント情報を格納するインシデント情報格納部208と、機器選択部202の機器の選択時に利用されることが想定される攻撃のパターンを格納する攻撃パターン格納部209と、インシデント検知システム内に設置されている機器の一覧を格納する機器一覧格納部210と、収集項目選択部203で利用するインシデントの種類毎に収集すべきログの項目を格納する収集項目格納部211と、異常判定部205で利用される判定基準であって、収集したログの中の異常有無の判定基準を格納する異常判定基準格納部212と、を含む。
The
インシデント検知装置30は、ネットワーク40と通信を行う通信部301と、ネットワーク40を監視し、ネットワーク40でインシデントの発生を検知するインシデント検知部302と、インシデント検知部302で検知した結果をインシデント情報として格納するインシデント情報格納部303と、を含む。この際、インシデント検知部302は、例えば、ネットワーク40で不正なパケットが流れたことを、インシデントの発生として検知するセキュリティセンサとして構成される。また、インシデント検知装置30は、制御システム向けインシデント検知システム内に複数台配置されることがある。
The incident detection device 30 includes a
図2は、制御装置101〜10n、監視装置20、インシデント検知装置30のハードウェア構成を例示する構成図である。制御装置101〜10n、監視装置20、インシデント検知装置30は、通信装置11と、入出力装置12と、記憶装置13と、CPU14と、メモリ15と、がバスなどの内部通信線16で連結され、構成されている。
FIG. 2 is a configuration diagram illustrating the hardware configuration of the control devices 10 1 to 10 n , the
本実施形態の制御システム向けインシデント検知システムにおける処理フローについて説明する。以下に述べる処理フローは、制御装置101〜10nや監視装置20やインシデント検知装置30の記憶装置13に格納されたプログラムがメモリ15にロードされ、CPU14により実行されることにより、制御システム向けインシデント検知システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置13に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。
A processing flow in the incident detection system for a control system according to the present embodiment will be described. The processing flow described below is for a control system by loading a program stored in the
図3は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、インシデント検知後に各機器からログを収集し、異常分析を行う処理フローを示した図である。 FIG. 3 is a diagram showing a processing flow in which logs are collected from each device after an incident is detected and an abnormality analysis is performed in the incident detection system for a control system to which the first embodiment of the present invention is applied.
はじめに、監視装置20は、インシデント検知装置30からインシデント情報を収集し、収集したインシデント情報(図8のインシデント情報A801)をインシデント情報格納部208に格納する(S301(S301と表現する。以下同様))。ここで、インシデント情報の収集方法は、ネットワーク40経由で収集しても良いし、USB(Universal Serial Bus)メモリ等のリムーバブルデバイスで収集しても良い。
First, the
次に、監視装置20は、収集したインシデント情報を用いて、収集対象を選択するに際して、ログの収集対象機器、ログの収集対象項目を選択する(S302)。なお、収集対象選択の詳細については以降の図4に記載する。
Next, when selecting a collection target using the collected incident information, the
次に、監視装置20は、選択した機器(ログの収集対象機器)に対して、選択した収集項目(図7のログカテゴリA703、収集条件A706を含む)が記載された収集コマンドA301を送信する。なお、ここでは、ログの収集対象機器として、例えば、制御装置10nが、収集コマンドA301で特定された特定の制御装置として選択されたと仮定する。なお、選択した機器が多数存在した場合には、攻撃を受ける可能性が高い機器として、重要な業務を行っている機器や最もIP(Internet Protocol)アドレスが小さいものから収集するなどの優先順位付けを行っても良い。
Next, the
次に、制御装置10nは、受信した収集コマンドA301を基に、ログ格納部103nからログ(図6のログA601であって、収集コマンドA301で指定された指定のログ)を抽出する(S303)。次に、制御装置10nは、抽出したログA302を監視装置20に送信する。
Next, the control device 10 n extracts the log (the log A 601 in FIG. 6 and the designated log specified by the collection command A 301) from the
次に、監視装置20は、制御装置10nから受信したログA302を用いて、異常判定を行う(S304)。ここで、異常判定は、S302で抽出した攻撃パターン(図4のS405で抽出した攻撃パターン)と受信したログA302(制御装置10nから受信したログであって、図6のログA601の情報が記録されたログ)と、異常判定基準格納部212に格納されている異常判定基準(図12の異常判定基準A1201)を用いて、ログA302の内容が異常判定基準に合致するかどうかで判定する。なお、異常判定基準の構成については以降の図12に詳細に記載する。
Next, the
次に、監視装置20は、異常判定の結果から、異常有無があるかどうか検証する(S305)。その結果、異常が無いと判定された場合、監視装置20は、処理を終了する(S306)。一方、異常があると判定された場合、監視装置20は、異常判定基準格納部212に格納されている異常判定基準(図12の異常判定基準A1201)から、異常と判定された異常ID(Identification)を基に異常度を抽出する(S307)。次に、監視装置20は、異常IDを基に、異常条件に合致した項目(収集項目)を収集項目格納部211から抽出し、抽出した項目を基に判定理由(図5の判定理由A510)を生成する(S308)。次に、監視装置20は、異常機器に関する情報を画面に出力する(S309)。ここで、画面の出力の例については以降の図5に詳細に記載する。
Next, the
なお、S302からS308のステップに関しては新たなインシデント情報が取得される度に実行されても良いし、ある一定間隔で実行されても良いし、インシデント検知システムの管理者等からのリクエストに応じて実行しても良い。また、S302で収集対象が選択されたとしても、インシデント検知システムの状態や業務の実行状況等に応じて、収集コマンドA301を送信するタイミングを変更しても良い。 The steps from S302 to S308 may be executed every time new incident information is acquired, may be executed at a certain interval, or in response to a request from an incident detection system administrator or the like. May be executed. Even when the collection target is selected in S302, the timing for transmitting the collection command A301 may be changed according to the state of the incident detection system, the execution status of the business, and the like.
図4は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20で実施する収集対象機器(ログの収集対象機器)や収集対象項目(ログの収集対象項目)を選択する処理フローを示した図である。
FIG. 4 shows a collection target device (log collection target device) and a collection target item (log collection target item) executed by the
はじめに、監視装置20は、収集対象選択処理を開始する(S401)。次に、監視装置20は、インシデント情報格納部208に格納されているインシデント情報(図8のインシデント情報A801)を分析し、インシデント情報に含まれるインシデントの発生状況(攻撃内容が既に発生したものか、未遂(失敗)に終わったものかを識別する情報)を取得する(S402)。ここで、インシデント情報の構成については、以降の図8に詳細に記載する。次に、監視装置20は、取得したインシデントの発生状況が、既遂(成功)か未遂(失敗)かを識別する(S403)。インシデントの発生状況が未遂(失敗)と識別された場合には、監視装置20は、機器一覧格納部210に格納されている機器一覧を用いて、インシデントが発生した領域(発生領域)を推定する(S404)。ここで、機器一覧の構成については、以降の図10に詳細に記載する。
First, the
一方、S403でインシデントの発生状況が既遂(成功)と識別された場合には、監視装置20は、機器一覧格納部210に格納されている機器一覧および攻撃パターン格納部209に格納されている攻撃パターンから、発生しているインシデント情報に含まれる攻撃内容(攻撃情報)と合致する攻撃パターンを抽出し、今後、インシデントの影響が及ぶと考えられる領域(ゾーン)や機器(制御装置等)を示す領域(影響領域)を推定する(S405)。ここで、攻撃パターンの構成については以降の図9に詳細に記載する。
On the other hand, if the incident occurrence status is identified as attempted (successful) in S403, the
次に、監視装置20は、S404およびS405で抽出した領域に関する情報を用いて、機器一覧格納部210に格納されている機器一覧から、該当する領域に含まれる機器を抽出する(S406)。次に、監視装置20は、S402で分析したインシデント情報(図8のインシデント情報A801)に含まれる攻撃内容(A805)と、収集項目格納部211に格納されている収集項目(図11の収集項目A1101)を用いて、攻撃内容(A805)に合致する収集対象ログ(ログカテゴリA1103)や収集条件(A1104)を抽出する(S407)。ここで、収集項目の構成については、以降の図11に詳細に記載する。
Next, the
次に、監視装置20は、S402で分析したインシデント情報に含まれる発生日時を基に収集日時を選択する(S408)。ここで、収集日時の選択は、インシデント発生日時の前後1日や前後1時間など予め定義された時間幅を選択する。次に、監視装置20は、処理を終了する(S409)。
Next, the
図5は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20が出力する異常機器情報出力画面を示した図である。
FIG. 5 is a diagram showing an abnormal equipment information output screen output by the
異常機器情報出力画面A501は、入出力部207の出力画面であって、システム構成A502と、異常機器一覧A503から構成される。ここで、システム構成A502は、インシデント検知システムに含まれる機器(制御装置A〜D)の一覧をネットワーク40との接続状況を含めて記載したものであり、異常が発生している機器(制御装置A、C)は異常度の度合いによって、表示を切り替え手も良い。例えば、異常度大機器(制御装置A)A504と異常度小機器(制御装置C)A505の表示色を、異常度の度合いによって変化させる。また、異常機器一覧A503は、インシデントIDA506と、日時A507と、機器A508と、異常度A509と、判定理由A510から構成される。ここで、異常機器一覧A503に含まれる各インシデント情報は、システム構成A502と対応して、異常度の度合いによって、表示を切り替えても良い。例えば、インシデントID「001」に属するインシデント情報の表示領域A511と、インシデントID「002」に属するインシデント情報の表示領域A512の表示色を、異常度の度合いによって変化させる。なお、異常機器情報出力画面A501の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、異常機器情報出力画面A501の構成要素の順序は上記に限定されるものではない。
The abnormal device information output screen A501 is an output screen of the input /
また、インシデントID「001」と「002」に属するインシデント情報は、日時A507、機器A508、異常度A509、判定理由A510を含む。インシデントID「001」の日時A507には、「2017/12/15 12:00:00」が記録され、機器A508には、「制御機器A」が記録され、異常度A509には、「大」が記録され、判定理由A510には、「プロセス起動頻度異常(ログ)」が記録され、インシデントID「002」の日時A507には、「2017/12/20 20:00:00」が記録され、機器A508には、「制御機器C」が記録され、異常度A509には、「小」が記録され、判定理由A510には、「プロセス起動タイミング異常(ログ)」が記録される。なお、判定理由A510における「プロセス起動頻度異常(ログ)」又は「プロセス起動タイミング異常(ログ)」の「(ログ)」をクリックすることで、図6のログA601の情報が拡大して表示される。 Incident information belonging to incident IDs “001” and “002” includes date and time A507, device A508, abnormality degree A509, and determination reason A510. “2017/12/15 12:00:00” is recorded in the date and time A507 of the incident ID “001”, “control device A” is recorded in the device A508, and “large” is recorded in the abnormality degree A509. Is recorded in the determination reason A510, and “2017/12/20 20:00: 00” is recorded in the date and time A507 of the incident ID “002”. In the device A 508, “control device C” is recorded, in the abnormality level A 509 “small” is recorded, and in the determination reason A 510 “process start timing abnormality (log)” is recorded. By clicking “(log)” of “process activation frequency abnormality (log)” or “process activation timing abnormality (log)” in the determination reason A510, the information of the log A601 in FIG. 6 is enlarged and displayed. The
図6は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、各制御装置101〜10nのログ格納部1031〜103nに格納されるログの構成を例示する構成図である。
FIG. 6 exemplifies a configuration of logs stored in the
ログA601は、ログの生成日時A602と、ログの種類を示すログカテゴリA603と、ログ内容A604から構成される。ここで、ログカテゴリとは、例えば、プロセス起動や外部通信といった各制御装置(制御機器)が動作した内容を識別するものであり、その内容によって、出力先が変化するものである。例えば、ログカテゴリA603に「プロセス起動」が記録された場合、ログ内容A604には、「プロセス名」や「プロセス起動の成功または失敗」の情報が記録される。また、ログ内容A604には、インシデントの発生状況が、成功(既遂)か或いは失敗(未遂)かを識別する情報が記録される。なお、ログA601の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、ログA601の構成要素の順序は上記に限定されるものではない。 The log A 601 includes a log generation date / time A 602, a log category A 603 indicating the type of log, and log contents A 604. Here, the log category, for example, identifies contents operated by each control device (control device) such as process activation and external communication, and the output destination changes depending on the contents. For example, when “process activation” is recorded in the log category A 603, information of “process name” and “success or failure of process activation” is recorded in the log content A 604. In the log content A 604, information for identifying whether the incident occurrence state is successful (achieved) or failed (unsuccessful) is recorded. The constituent elements of the log A 601 are not limited to the above, and it is sufficient that at least the above elements are included. Further, the order of the components of the log A 601 is not limited to the above.
図7は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20から各制御装置101〜10nに送信する収集コマンドの構成を例示する構成図である。
FIG. 7 is a configuration diagram illustrating a configuration of a collection command transmitted from the
収集コマンドA701は、図4のS406で抽出した機器のアドレスを示す収集対象機器アドレスA702と、図4のS407で抽出した収集項目に属するログカテゴリA703と、図4のS408で選択した収集日時に属する収集開始日時A704および収集終了日時A705と、図4のS407で抽出した収集項目に属する収集条件A706から構成される。収集開始日時A704と収集終了日時A705に記録された情報は、特定した機器のログを収集する期間を示す。収集条件A706は、特定した機器のログの中で収集対象となる条件を示す。ここで、収集条件とは、ログに含まれる特定のキーワードを示し、認証失敗、プロセス起動成功、通信タイムアウトのような情報を示す。なお、収集コマンドA701の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、収集コマンドA701の構成要素の順序は上記に限定されるものではない。 The collection command A 701 includes the collection target device address A 702 indicating the device address extracted in S 406 in FIG. 4, the log category A 703 belonging to the collection item extracted in S 407 in FIG. 4, and the collection date and time selected in S 408 in FIG. It includes a collection start date / time A704 and a collection end date / time A705, and a collection condition A706 belonging to the collection item extracted in S407 of FIG. The information recorded in the collection start date / time A704 and the collection end date / time A705 indicates a period during which the log of the identified device is collected. Collection condition A706 indicates a condition to be collected in the log of the identified device. Here, the collection condition indicates a specific keyword included in the log, and indicates information such as authentication failure, process start success, and communication timeout. The constituent elements of the collection command A 701 are not limited to the above, and it is sufficient that at least the above elements are included. Further, the order of the constituent elements of the collection command A701 is not limited to the above.
図8は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20のインシデント情報格納部208に格納されるインシデント情報の構成を例示する構成図である。
FIG. 8 is a configuration diagram illustrating the configuration of incident information stored in the incident
インシデント情報A801は、インシデントを識別するインシデントIDA802と、発生日時A803と、発生機器A804と、攻撃内容A805と、発生状況A806から構成される。発生日時A803には、インシデントが発生した日時に関する情報が記録される。発生機器A804には、インシデントの発生を検知された機器の名称(例えば、インシデント検知装置30の名称)等の情報が記録される。攻撃内容A805には、インシデントの内容、例えば、不正のパケットが存在することを示す情報が記録される。発生状況A806には、攻撃内容が既に発生したものか、未遂に終わったものかを識別する情報が記録される。例えば、機器に対する不正ログインが発生した場合には「既遂」或いは「成功」の情報が記録され、不正ログインの試行があったものの、失敗した場合には「未遂」或いは「失敗」の情報が記録される。なお、インシデント情報A801の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、インシデント情報A801の構成要素の順序は上記に限定されるものではない。 Incident information A801 includes an incident ID A802 that identifies an incident, an occurrence date and time A803, an occurrence device A804, an attack content A805, and an occurrence situation A806. In the occurrence date / time A803, information related to the date / time when the incident occurred is recorded. In the generation device A 804, information such as the name of the device (for example, the name of the incident detection device 30) where the occurrence of the incident is detected is recorded. The attack content A805 records the content of the incident, for example, information indicating that an illegal packet exists. In the occurrence status A806, information for identifying whether the attack content has already occurred or has been attempted is recorded. For example, when an unauthorized login occurs for a device, information of “achieved” or “successful” is recorded. When an attempt of unauthorized login is made, information of “attempted” or “failure” is recorded. Is done. The constituent elements of the incident information A801 are not limited to the above, and it is sufficient that at least the above elements are included. Further, the order of the constituent elements of the incident information A801 is not limited to the above.
図9は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20の攻撃パターン格納部209に格納される攻撃パターンの構成を例示する構成図である。
FIG. 9 is a configuration diagram illustrating the configuration of attack patterns stored in the attack
攻撃パターンA901は、攻撃パターンを識別する攻撃パターンIDA902と、攻撃パターン情報A903から構成される。ここで、攻撃パターン情報A903は、攻撃順序A9041〜A904nと、インシデント検知システム内の領域を識別する領域IDA9051〜A905nと、攻撃内容A9061〜A906nから構成される。攻撃パターン情報A903は、一つの攻撃パターンIDに対して一つあれば良いが、複数あっても良い。一つの攻撃パターンIDに対して、攻撃パターン情報A903が複数存在する場合には、攻撃順序A904、領域IDA905、攻撃内容A906が1から順に時系列に従ってnまで増加し、どの領域(領域IDで特定される領域)でどのような攻撃(攻撃の内容)が順に発生するのか、定義することが可能である。なお、攻撃パターンA901の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、攻撃パターンA901の構成要素の順序は上記に限定されるものではない。 The attack pattern A901 is composed of an attack pattern IDA 902 for identifying an attack pattern and attack pattern information A903. Here, attack pattern information A903 includes attack order A904 1 ~A904 n, a region IDA905 1 ~A905 n identifies a region in the incident detection system consists of an attack content A906 1 ~A906 n. There is only one attack pattern information A903 for one attack pattern ID, but there may be a plurality of attack pattern information A903. When there are a plurality of attack pattern information A903 for one attack pattern ID, the attack order A904, the area IDA905, and the attack content A906 increase sequentially from 1 to n according to the time series, and which area (specified by the area ID) It is possible to define what kind of attacks (contents of attacks) will occur in order. Note that the constituent elements of the attack pattern A901 are not limited to the above, and it is sufficient that at least the above-described elements are included. Further, the order of the components of the attack pattern A901 is not limited to the above.
図10は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20の機器一覧格納部210に格納される機器一覧の構成を例示する構成図である。
FIG. 10 is a configuration diagram illustrating the configuration of the device list stored in the device
機器一覧A1001は、インシデント検知システム内の領域を識別する領域IDA1002と、各機器(各制御装置)を識別する機器IDA1003と、各機器(各制御装置)が保有するIPアドレスA1004から構成される。領域IDA1002には、インシデント検知システム内の領域として、例えば、ネットワーク40を識別する情報が記録される。機器IDA1003には、例えば、各機器(各制御装置)を識別する製造番号に関する情報が記録される。ここで、機器IDA1002として、IPアドレスA1004と同じ情報を利用して良い。なお、機器一覧A1001の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、機器一覧A1001の構成要素の順序は上記に限定されるものではない。 The device list A1001 includes an area IDA1002 for identifying an area in the incident detection system, an apparatus IDA1003 for identifying each apparatus (each control apparatus), and an IP address A1004 held by each apparatus (each control apparatus). In the area IDA 1002, for example, information for identifying the network 40 is recorded as an area in the incident detection system. In the device IDA 1003, for example, information relating to a manufacturing number for identifying each device (each control device) is recorded. Here, the same information as the IP address A 1004 may be used as the device IDA 1002. Note that the constituent elements of the device list A1001 are not limited to the above, and it is sufficient that at least the above elements are included. Further, the order of the components of the device list A1001 is not limited to the above.
図11は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20の収集項目格納部211に格納される収集項目の構成を例示する構成図である。
FIG. 11 is a configuration diagram illustrating the configuration of collection items stored in the collection
収集項目A1101は、攻撃パターンを識別する攻撃パターンIDA1102と、ログの種類を示すログカテゴリA1103と、ログに含まれる特定のキーワード等を示す収集条件A1104から構成される。ログカテゴリA1103の内容は、図7の収集コマンドA701に属するログカテゴリA703と同様である。収集条件A1104の内容は、図7の収集コマンドA701に属する収集条件A706と同様である。なお、収集項目A1101の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、収集項目A1101の構成要素の順序は上記に限定されるものではない。 The collection item A1101 includes an attack pattern IDA1102 that identifies an attack pattern, a log category A1103 that indicates the type of log, and a collection condition A1104 that indicates a specific keyword included in the log. The contents of the log category A1103 are the same as those of the log category A703 belonging to the collection command A701 in FIG. The contents of the collection condition A1104 are the same as those of the collection condition A706 belonging to the collection command A701 in FIG. Note that the constituent elements of the collection item A1101 are not limited to the above, and it is sufficient that at least the above-described elements are included. Further, the order of the constituent elements of the collection item A1101 is not limited to the above.
図12は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20の異常判定基準格納部212に格納される異常判定基準の構成を例示する構成図である。
FIG. 12 is a configuration diagram illustrating a configuration of an abnormality determination criterion stored in the abnormality determination
異常判定基準A1201は、異常を識別する異常IDA1202と、攻撃パターンを識別する攻撃パターンIDA1203と、ログのカテゴリを示すログカテゴリA1204と、異常の大きさを示す異常度A1205と、ログのエントリの数を示すログの数A1206と、ログの生成頻度を示すログ頻度A1207と、ログの生成タイミングを示すログタイミングA1208から構成される。なお、異常判定基準A1201の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、異常判定基準A1201の構成要素の順序は上記に限定されるものではない。 The abnormality determination criterion A1201 includes an abnormality IDA 1202 that identifies an abnormality, an attack pattern IDA 1203 that identifies an attack pattern, a log category A 1204 that indicates a log category, an abnormality degree A 1205 that indicates the magnitude of the abnormality, and the number of log entries A log number A1206 indicating log generation frequency, a log frequency A1207 indicating log generation frequency, and a log timing A1208 indicating log generation timing. Note that the constituent elements of the abnormality determination criterion A1201 are not limited to the above, and it is sufficient that at least the above-described elements are included. In addition, the order of the components of the abnormality determination criterion A1201 is not limited to the above.
本実施形態によれば、インシデントの発生時に複数の制御装置のうち特定の制御装置からログを収集し、収集したログを分析して管理することができる。このため、ログの収集時に、特定の制御装置以外の制御装置(機器)やネットワークに掛かる負荷を抑制することができる。また、特定の制御装置においても、収集コマンドで指定された指定のログを送信すればよいので、特定の制御装置に対する負荷も軽減することができる。結果として、制御装置やネットワークへの影響を最小化しつつ、制御装置の状態を考慮したシステム全体でのセキュリティインシデントの検知を行うことが可能となる。 According to this embodiment, logs can be collected from a specific control device among a plurality of control devices when an incident occurs, and the collected logs can be analyzed and managed. For this reason, it is possible to suppress a load on a control device (apparatus) other than a specific control device or a network when collecting logs. In addition, since a specific log specified by the collection command only needs to be transmitted in a specific control device, the load on the specific control device can be reduced. As a result, it is possible to detect a security incident in the entire system in consideration of the state of the control device while minimizing the influence on the control device and the network.
図13は、本発明の第二の実施形態が適用された制御システム向けインシデント検知システムの構成図である。 FIG. 13 is a configuration diagram of an incident detection system for a control system to which the second embodiment of the present invention is applied.
本実施形態の制御システム向けインシデント検知システムは、図13に例示するように、制御装置101〜10nと、監視装置20と、インシデント検知装置30と、ネットワーク40と、ログ収集サーバ50から構成されている。
As illustrated in FIG. 13, the incident detection system for the control system according to the present embodiment includes control devices 10 1 to 10 n , a
制御装置101〜10nは、制御対象の制御処理を行う制御処理部1011〜101nと、制御装置で収集したログを格納するログ格納部1031〜103nと、ネットワーク40と通信を行う通信部1041〜104nと、を含む。なお、ログ抽出部102は、構成要素から除外されている。
The control devices 10 1 to 10 n communicate with the
監視装置20およびインシデント検知装置30の構成要素は、図1と同様である。
The components of the
ログ収集サーバ50は、ネットワーク40と通信を行う通信部501と、制御装置101〜10nからログを収集するログ収集部502と、監視装置20からの要求に応じてログを抽出するログ抽出部503と、制御装置101〜10nから収集したログを格納する統合ログ格納部504と、を含む。
The
ここで、ログ収集サーバ50のハードウェア構成は図2と同様である。
本実施形態の制御システム向けインシデント検知システムにおける処理フローについて説明する。以下に述べる処理フローは、制御装置101〜10nや監視装置20やインシデント検知装置30やログ収集サーバ50の記憶装置13に格納されたプログラムがメモリ15にロードされ、CPU14により実行されることにより、制御システム向けインシデント検知システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置13に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。
Here, the hardware configuration of the
A processing flow in the incident detection system for a control system according to the present embodiment will be described. In the processing flow described below, a program stored in the
図14は、本発明の第二の実施形態が適用された制御システム向けインシデント検知システムにおいて、各制御装置からログを収集する際の処理フローを示したフローチャートである。 FIG. 14 is a flowchart showing a processing flow when collecting logs from each control device in the incident detection system for a control system to which the second embodiment of the present invention is applied.
はじめに、制御装置101〜10nは、通常時の処理として、ログを生成する(S14011〜S1401n)。次に、制御装置101〜10nは、生成したログA14011〜A1401nをログ収集サーバ50に送信する。
First , the control devices 10 1 to 10 n generate logs as normal processing (S1401 1 to S1401 n ). Next, the control devices 10 1 to 10 n transmit the generated logs A 1401 1 to A 1401 n to the
次に、ログ収集サーバ50は、受信したログを統合ログ格納部504に格納する(S14021〜S1402n)。次に、ログ収集サーバ50は、ログの格納結果を示すレスポンスA14021〜A1402nを制御装置101〜10nに送信する。
Next, the
図15は、本発明の第二の実施形態が適用された制御システム向けインシデント検知システムにおいて、インシデント検知後にログ収集サーバからログを収集する処理フローを示したフローチャートである。 FIG. 15 is a flowchart showing a processing flow for collecting logs from the log collection server after detecting an incident in the incident detection system for a control system to which the second embodiment of the present invention is applied.
はじめに、監視装置20は、インシデント検知装置30からインシデント情報を収集し、インシデント情報格納部208に格納する(S1501)。ここで、インシデント情報の収集方法は、ネットワーク経由で収集しても良いし、USBメモリ等のリムーバブルデバイスで収集しても良い。次に、監視装置20は、収集したインシデント情報を用いて、収集対象の選択として、ログの収集対象機器、ログの収集対象項目を選択する(S1502)。なお、収集対象選択の詳細については図4に記載した通りである。
First, the
次に、監視装置20は、ログ収集サーバ50に対して、ログの収集対象機器とログの収集項目が記載された収集コマンドA1501(収集コマンドA301と同様の構成の収集コマンド)を送信する。
Next, the
次に、ログ収集サーバ50は、受信した収集コマンドA1501を基に、統合ログ格納部504からログを抽出する(S1503)。次に、ログ収集サーバ50は、抽出したログA1502(ログA302と同様の構成のログ)を監視装置20に送信する。
Next, the
次に、監視装置20は、ログ収集サーバ50から受信したログA1502を用いて、異常判定を行う(S1504)。ここで、異常判定は、S1502の処理の過程で抽出された攻撃パターン(インシデント情報に含まれる攻撃内容と合致する攻撃パターン)とログ収集サーバ50から受信したログと、異常判定基準格納部212に格納されている異常判定基準(図12の異常判定基準A1201)を用いて、異常判定基準に合致するかどうかで判定する。なお、異常判定基準の構成については図12に記載したとおりである。
Next, the
次に、監視装置20は、異常判定の結果、異常有無があるかどうか検証する(S1505)。その結果、異常が無いと判定された場合、監視装置20は、処理を終了する(S1506)。一方、異常があると判定された場合、監視装置20は、異常判定基準格納部212に格納されている異常判定基準から、異常と判定された異常IDを基に異常度を抽出する(S1507)。
Next, the
次に、監視装置20は、異常IDを基に、異常条件に合致した項目を抽出し、抽出した項目を基に判定理由を生成する(S1508)。次に、監視装置20は、異常機器に関する情報を画面に出力する(S1509)。ここで、画面の出力の例については図5に記載した通りである。
Next, the
本実施例形態によれば、第一実施形態と同様の効果を奏することができると共に、通常時に、ログ収集サーバが各制御装置からログを収集し、インシデント発生時には、監視装置がログ収集サーバからログを収集しているので、インシデント発生時に各制御装置に対する負荷をより低減することができる。 According to the present embodiment, the same effects as in the first embodiment can be obtained, and at the normal time, the log collection server collects logs from the respective control devices, and when an incident occurs, the monitoring device from the log collection server. Since logs are collected, the load on each control device can be further reduced when an incident occurs.
なお、本発明は、上記の実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。 In addition, this invention is not limited to said embodiment, A various deformation | transformation is possible within the range of the summary.
例えば、監視装置内にインシデント検知装置30の機能が含まれている場合や、ログ収集サーバ50の機能が含まれている場合や、制御装置10や監視装置20やインシデント検知装置30やログ収集サーバ50にネットワーク40との通信機能が含まれておらず、別の装置を経由してネットワーク40と通信を行う場合などである。該実施形態の場合においてもシステム全体において行う処理に本質的な変化はない。
For example, when the function of the incident detection device 30 is included in the monitoring device, the function of the
また、機器選択部202と収集項目選択部203を一体化した選択部を構成することができる。この際、選択部は、インシデント検知装置30からインシデント情報を受信した場合、受信したインシデント情報を基にログに関する収集対象機器と収集項目を選択する。この場合、選択部は、受信したインシデント情報に、インシデント状況を示す情報として、攻撃の成功有無の情報が付加されている場合、攻撃の成功有無の情報を基に収集対象機器に属する機器を変更する。これにより、攻撃の成功有無の情報に応じて、ログ収集の対象となる機器を変更することができる。
In addition, a selection unit in which the
具体的には、選択部は、受信したインシデント情報に、攻撃の成功を示す情報が付加されている場合、攻撃パターン格納部209に格納された攻撃パターンを基に今後インシデントの影響が及ぼされることが想定される領域を予測し、予測した領域に属する機器を収集対象機器に属する機器として選択する。また、選択部は、受信したインシデント情報に、攻撃の失敗を示す情報が付加されている場合、インシデントが発生した機器の周囲の機器又はインシデントが発生したネットワーク40に属する機器を収集対象機器に属する機器として選択する。また、この場合、ログ収集部204は、選択部で選択した収集対象機器となる特定の制御装置に対するコマンドであって、選択部で選択した収集項目を含む収集コマンドA301をネットワーク40を介して特定の制御装置に送信し、特定の制御装置から、収集コマンドA301に従った指定のログをネットワーク40を介して収集する。
Specifically, when the information indicating success of the attack is added to the received incident information, the selection unit will be affected by the incident based on the attack pattern stored in the attack
また、各制御装置におけるログ抽出部102と、ログ格納部103および通信部104を一体化してログ管理部として構成することができる。この際、ログ管理部は、監視装置20から収集コマンドA301を受信した場合、受信した収集コマンドA301に従った指定のログをネットワーク40を介して監視装置20に送信する。
In addition, the log extraction unit 102, the
また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 Further, a part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. Further, it is possible to add, delete, and replace other configurations for a part of the configuration of each embodiment.
101〜10n:制御装置、11:通信装置、12:入出力装置、13:記憶装置、14:CPU、15:メモリ、16:内部信号線、1011〜101n:制御処理部、1021〜102n:ログ抽出部、1031〜103n:ログ格納部、1041〜104n:通信部、20:監視装置、201:インシデント情報取得部、202:機器選択部、203:収集項目選択部、204:ログ収集部、205:異常判定部、206:通信部、207:入出力部、208:インシデント情報格納部、209:攻撃パターン格納部、210:機器一覧格納部、211:収集項目格納部、212:異常判定基準格納部、30:インシデント検知装置、301:通信部、302:インシデント検知部、303:インシデント情報格納部、40:ネットワーク、50:ログ収集サーバ、501:通信部、502:ログ収集部、503:ログ抽出部、504:統合ログ格納部、A301:収集コマンド、A302:ログ、A501:異常機器情報出力画面、A502:システム構成、A503:異常機器一覧、A504:異常度大機器、A505:異常度小機器、A506:インシデントID、A507:日時、A508:機器、A509:異常度、A510:判定理由、A511:表示領域、A512:表示領域、A601:ログ、A602:ログ生成日時、A603:ログカテゴリ、A604:ログ内容、A701:収集コマンド、A702:収集対象機器アドレス、A703:ログカテゴリ、A704:収集開始日時、A705:収集終了日時、A706:収集条件、A801:インシデント情報、A802:インシデントID、A803:発生日時、A804:発生機器、A805:攻撃内容、A806:発生状況、A901:攻撃パターン、A902:攻撃パターンID、A903:攻撃パターン情報、A9041〜A904n:攻撃順序、A9051〜A905n:領域ID、A9061〜A906n:攻撃内容、A1001:機器一覧、A1002:領域ID、A1003:機器ID、A1004:IPアドレス、A1101:収集項目、A1102:攻撃パターンID、A1103:ログカテゴリ、A1104:収集条件、A1201:異常判定基準、A1202:異常ID、A1203:攻撃パターンID、A1204:ログカテゴリ、A1205:異常度、A1206:ログの数、A1207:ログの頻度、A1208:ログのタイミング、A14011〜A1401n:ログ、A14021〜A1402n:レスポンス、A1501:収集コマンド、A1502:ログ 10 1 to 10 n : control device, 11: communication device, 12: input / output device, 13: storage device, 14: CPU, 15: memory, 16: internal signal line, 101 1 to 101 n : control processing unit, 102 1 to 102 n : log extraction unit, 103 1 to 103 n : log storage unit, 104 1 to 104 n : communication unit, 20: monitoring device, 201: incident information acquisition unit, 202: device selection unit, 203: collection item Selection unit 204: Log collection unit 205: Abnormality determination unit 206: Communication unit 207: Input / output unit 208: Incident information storage unit 209: Attack pattern storage unit 210: Device list storage unit 211: Collection Item storage unit, 212: abnormality determination criterion storage unit, 30: incident detection device, 301: communication unit, 302: incident detection unit, 303: incident information storage unit, 0: Network, 50: Log collection server, 501: Communication unit, 502: Log collection unit, 503: Log extraction unit, 504: Integrated log storage unit, A301: Collection command, A302: Log, A501: Abnormal device information output screen A502: System configuration, A503: Abnormal device list, A504: High abnormality degree device, A505: Low abnormality degree device, A506: Incident ID, A507: Date and time, A508: Device, A509: Abnormality degree, A510: Reason for determination, A511 : Display area, A512: Display area, A601: Log, A602: Log generation date, A603: Log category, A604: Log content, A701: Collection command, A702: Collection target device address, A703: Log category, A704: Start collection Date / time, A705: Collection end date / time, A706: Collection condition, A801 : Incident information, A802: incident ID, A803: date and time of occurrence, A804: generating device, A805: content of attack, A806: occurrence status, A901: attack pattern, A902: attack pattern ID, A903: attack pattern information, A904 1 to A904 n: attack order, A905 1 ~A905 n: area ID, A906 1 ~A906 n: offensive content, A1001: device list, A1002: area ID, A1003: equipment ID, A1004: IP address, A1101: collection item, A1102: Attack pattern ID, A1103: Log category, A1104: Collection condition, A1201: Abnormal judgment criterion, A1202: Abnormal ID, A1203: Attack pattern ID, A1204: Log category, A1205: Abnormality, A1206: Number of logs, A1207 The frequency of the log, A1208: log of timing, A1401 1 ~A1401 n: log, A1402 1 ~A1402 n: response, A1501: collection command, A1502: log
Claims (12)
前記ネットワークで発生したインシデントを検知して、インシデント情報を生成するインシデント検知装置と、
前記ネットワークを監視して、前記複数の制御装置の各々及び前記インシデント検知装置と情報の送受信を行う監視装置と、を備え、
前記監視装置は、
前記インシデント検知装置から前記インシデント情報を受信した場合、受信した前記インシデント情報を基に前記ログに関する収集対象機器と収集項目を選択する選択部と、
前記選択部で選択した前記収集対象機器となる特定の制御装置に対するコマンドであって、前記選択部で選択した前記収集項目を含む収集コマンドを前記ネットワークを介して前記特定の制御装置に送信し、前記特定の制御装置から、前記収集コマンドに従った指定のログを前記ネットワークを介して収集するログ収集部と、を含み、
前記各制御装置は、
前記監視装置から前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記ネットワークを介して前記監視装置に送信するログ管理部を含み、
前記監視装置は、
少なくとも前記ログ収集部の収集による前記指定のログと異常判定基準とを比較して、前記指定のログの異常の有無を判定する異常判定部と、
前記異常判定部の判定結果による情報を出力する出力部と、を更に含む
ことを、特徴とするインシデント検知システム。 A plurality of control devices connected to the network for collecting and managing logs related to the control target;
An incident detection device that detects incidents occurring in the network and generates incident information;
A monitoring device that monitors the network and transmits / receives information to / from each of the plurality of control devices and the incident detection device,
The monitoring device
When the incident information is received from the incident detection device, a selection unit that selects a collection target device and a collection item regarding the log based on the received incident information;
A command for a specific control device to be the collection target device selected by the selection unit, the collection command including the collection item selected by the selection unit is transmitted to the specific control device via the network, A log collection unit for collecting a specified log according to the collection command from the specific control device via the network;
Each of the control devices
When receiving the collection command from the monitoring device, including a log management unit that transmits the specified log according to the received collection command to the monitoring device via the network,
The monitoring device
An abnormality determination unit that determines whether or not there is an abnormality in the specified log by comparing at least the specified log and the abnormality determination criterion collected by the log collection unit;
An incident detection system, further comprising: an output unit that outputs information based on a determination result of the abnormality determination unit.
前記選択部は、
前記受信した前記インシデント情報に、インシデント状況を示す情報として、攻撃の成功有無の情報が付加されている場合、前記攻撃の成功有無の情報を基に前記収集対象機器に属する機器を変更する
ことを、特徴とするインシデント検知システム。 The incident detection system according to claim 1,
The selection unit includes:
When information indicating whether or not an attack has succeeded is added to the received incident information as information indicating an incident status, the device belonging to the collection target device is changed based on the information on whether or not the attack has been successful. , A featured incident detection system.
前記監視装置は、
攻撃順序と攻撃の発生した領域及び攻撃内容を含む攻撃パターンが時系列で記録された攻撃パターン格納部を更に備え、
前記選択部は、
前記受信した前記インシデント情報に、前記攻撃の成功を示す情報が付加されている場合、前記攻撃パターンを基に今後前記インシデントの影響が及ぼされることが想定される領域を予測し、予測した前記領域に属する機器を前記収集対象機器に属する機器として選択する
ことを、特徴とするインシデント検知システム。 The incident detection system according to claim 2,
The monitoring device
An attack pattern storage unit in which an attack pattern including an attack sequence, an attacked area, and an attack content is recorded in chronological order;
The selection unit includes:
When information indicating the success of the attack is added to the received incident information, an area where the incident is expected to be affected in the future is predicted based on the attack pattern, and the predicted area An incident detection system characterized by selecting a device belonging to a device belonging to the collection target device.
前記選択部は、
前記受信した前記インシデント情報に、前記攻撃の失敗を示す情報が付加されている場合、前記インシデントが発生した機器の周囲の機器又は前記インシデントが発生した前記ネットワークに属する機器を前記収集対象機器に属する機器として選択する
ことを、特徴とするインシデント検知システム。 The incident detection system according to claim 2,
The selection unit includes:
When information indicating failure of the attack is added to the received incident information, devices around the device in which the incident has occurred or devices belonging to the network in which the incident has occurred belong to the collection target device Incident detection system characterized by selection as equipment.
前記出力部は、
前記異常判定部の判定結果による情報を出力する場合、前記異常判定部で異常と判定した機器を特定する機器情報と、前記異常判定部で異常と判定した異常の度合いを示す異常度の情報と、前記異常判定部で異常と判定した判定理由を示す判定理由の情報と、前記判定理由に関連するログに関する情報を合わせて出力する
ことを、特徴とするインシデント検知システム。 The incident detection system according to any one of claims 1 to 4,
The output unit is
When outputting information based on the determination result of the abnormality determination unit, device information for identifying a device determined to be abnormal by the abnormality determination unit, and information on the degree of abnormality indicating the degree of abnormality determined to be abnormal by the abnormality determination unit; An incident detection system characterized in that information on a determination reason indicating a determination reason determined as abnormal by the abnormality determination unit and information on a log related to the determination reason are output together.
前記監視装置と情報の送受信を行うと共に前記複数の制御装置から前記ログを収集するログ収集サーバを更に備え、
前記ログ収集部は、
前記収集コマンドを、前記特定の制御装置の代わりに、前記ネットワークを介して前記ログ収集サーバに送信し、
前記ログ収集サーバは、
前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記複数の制御装置から収集した前記ログの中から抽出し、抽出した前記指定のログを前記ネットワークを介して前記監視装置に送信し、
前記ログ収集部は、
更に、前記ネットワークを介して前記ログ収集サーバから前記指定のログを収集した場合、収集した前記指定のログを前記異常判定部に出力する、
ことを、特徴とするインシデント検知システム。 The incident detection system according to any one of claims 1 to 5,
A log collection server that transmits and receives information to and from the monitoring device and collects the logs from the plurality of control devices;
The log collecting unit
Sending the collection command to the log collection server via the network instead of the specific control device;
The log collection server
When the collection command is received, the designated log according to the received collection command is extracted from the logs collected from the plurality of control devices, and the extracted designated log is extracted via the network. Sent to the monitoring device,
The log collecting unit
Further, when the designated log is collected from the log collection server via the network, the collected designated log is output to the abnormality determination unit.
Incident detection system characterized by that.
前記ネットワークで発生したインシデントを検知して、インシデント情報を生成するインシデント検知装置と、
前記ネットワークを監視して、前記複数の制御装置の各々及び前記インシデント検知装置と情報の送受信を行う監視装置と、を備えたシステムにおけるインシデント検知方法であって、
前記監視装置が、前記インシデント検知装置から前記インシデント情報を受信した場合、受信した前記インシデント情報を基に前記ログに関する収集対象機器と収集項目を選択する選択ステップと、
前記監視装置が、前記選択ステップで選択した前記収集対象機器となる特定の制御装置に対するコマンドであって、前記選択ステップで選択した前記収集項目を含む収集コマンドを前記ネットワークを介して前記特定の制御装置に送信し、前記特定の制御装置から、前記収集コマンドに従った指定のログを前記ネットワークを介して収集するログ収集ステップと、
前記各制御装置が、前記監視装置から前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記ネットワークを介して前記監視装置に送信するログ管理ステップと、
前記監視装置が、少なくとも前記ログ収集ステップでの収集による前記指定のログと異常判定基準とを比較して、前記指定のログの異常の有無を判定する異常判定ステップと、
前記監視装置が、前記異常判定ステップでの判定結果による情報を出力する出力ステップと、を含む
ことを、特徴とするインシデント検知方法。 A plurality of control devices connected to the network for collecting and managing logs related to the control target;
An incident detection device that detects incidents occurring in the network and generates incident information;
A monitoring device that monitors the network and transmits / receives information to / from each of the plurality of control devices and the incident detection device, and an incident detection method in a system comprising:
When the monitoring device receives the incident information from the incident detection device, a selection step of selecting a collection target device and a collection item related to the log based on the received incident information;
The monitoring device is a command for the specific control device to be the collection target device selected in the selection step, and the collection command including the collection item selected in the selection step is sent to the specific control via the network. A log collecting step for transmitting to a device and collecting a specified log according to the collection command from the specific control device via the network;
When each control device receives the collection command from the monitoring device, a log management step of transmitting the designated log according to the received collection command to the monitoring device via the network;
The monitoring device compares at least the specified log by the collection at the log collection step with an abnormality determination standard, and determines whether there is an abnormality in the specified log;
An incident detection method comprising: an output step in which the monitoring device outputs information based on a determination result in the abnormality determination step.
前記選択ステップでは、
前記受信した前記インシデント情報に、インシデント状況を示す情報として、攻撃の成功有無の情報が付加されている場合、前記攻撃の成功有無の情報を基に前記収集対象機器に属する機器を変更する
ことを、特徴とするインシデント検知方法。 The incident detection method according to claim 7,
In the selection step,
When information indicating whether or not an attack has succeeded is added to the received incident information as information indicating an incident status, the device belonging to the collection target device is changed based on the information on whether or not the attack has been successful. , A featured incident detection method.
前記監視装置が、攻撃順序と攻撃の発生した領域及び攻撃内容を含む攻撃パターンを時系列で記録する攻撃パターン格納ステップを、さらに備え、
前記選択ステップでは、
前記受信した前記インシデント情報に、前記攻撃の成功を示す情報が付加されている場合、前記攻撃パターン格納ステップで記録された前記攻撃パターンを基に今後前記インシデントの影響が及ぼされることが想定される領域を予測し、予測した前記領域に属する機器を前記収集対象機器に属する機器として選択する
ことを、特徴とするインシデント検知方法。 The incident detection method according to claim 8,
The monitoring device further comprises an attack pattern storage step for recording an attack pattern including an attack order, an attacked area and an attack content in time series,
In the selection step,
When information indicating the success of the attack is added to the received incident information, it is assumed that the incident will be influenced in the future based on the attack pattern recorded in the attack pattern storing step. An incident detection method characterized by predicting a region and selecting a device belonging to the predicted region as a device belonging to the collection target device.
前記選択ステップでは、
前記受信した前記インシデント情報に、前記攻撃の失敗を示す情報が付加されている場合、前記インシデントが発生した機器の周囲の機器又は前記インシデントが発生した前記ネットワークに属する機器を前記収集対象機器に属する機器として選択する
ことを、特徴とするインシデント検知方法。 The incident detection method according to claim 8,
In the selection step,
When information indicating failure of the attack is added to the received incident information, devices around the device in which the incident has occurred or devices belonging to the network in which the incident has occurred belong to the collection target device Incident detection method characterized by selecting as a device.
前記出力ステップでは、
前記異常判定ステップでの判定結果による情報を出力する場合、前記異常判定ステップで異常と判定した機器を特定する機器情報と、前記異常判定ステップで異常と判定した異常の度合いを示す異常度の情報と、前記異常判定ステップで異常と判定した判定理由を示す判定理由の情報と、前記判定理由に関連するログに関する情報を合わせて出力する
ことを、特徴とするインシデント検知方法。 It is the incident detection method of any one of Claims 7-10,
In the output step,
When outputting information based on the determination result in the abnormality determination step, device information for specifying the device determined to be abnormal in the abnormality determination step, and information on the degree of abnormality indicating the degree of abnormality determined to be abnormal in the abnormality determination step An incident detection method characterized in that information on a determination reason indicating a determination reason determined to be abnormal in the abnormality determination step and information on a log related to the determination reason are output together.
前記監視装置と情報の送受信を行うと共に前記複数の制御装置から前記ログを収集するログ収集サーバを更に備える場合、
前記ログ収集サーバが、前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記複数の制御装置から収集した前記ログの中から抽出し、抽出した前記指定のログを前記ネットワークを介して前記監視装置に送信する送信ステップを更に備え、
前記ログ収集ステップでは、
前記監視装置が、前記収集コマンドを、前記特定の制御装置の代わりに、前記ネットワークを介して前記ログ収集サーバに送信し、更に、前記ネットワークを介して前記ログ収集サーバから前記指定のログを収集し、
前記異常判定ステップでは、
前記ログ収集ステップで前記ログ収集サーバから収集した前記指定のログと前記異常判定基準とを比較して、前記指定のログの異常の有無を判定する、
ことを、特徴とするインシデント検知方法。 It is the incident detection method of any one of Claims 7-11,
When further comprising a log collection server that performs transmission and reception of information with the monitoring device and collects the log from the plurality of control devices,
When the log collection server receives the collection command, it extracts the designated log according to the received collection command from the logs collected from the plurality of control devices, and extracts the designated log that has been extracted. A transmission step of transmitting to the monitoring device via the network;
In the log collecting step,
The monitoring device transmits the collection command to the log collection server via the network instead of the specific control device, and further collects the specified log from the log collection server via the network. And
In the abnormality determination step,
Comparing the specified log collected from the log collection server in the log collecting step with the abnormality determination criteria to determine whether there is an abnormality in the specified log;
Incident detection method characterized by this.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018055392A JP6921776B2 (en) | 2018-03-22 | 2018-03-22 | Incident detection system and its method |
PCT/JP2019/006921 WO2019181370A1 (en) | 2018-03-22 | 2019-02-22 | Incident detection system and method therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018055392A JP6921776B2 (en) | 2018-03-22 | 2018-03-22 | Incident detection system and its method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019168869A true JP2019168869A (en) | 2019-10-03 |
JP6921776B2 JP6921776B2 (en) | 2021-08-18 |
Family
ID=67986165
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018055392A Active JP6921776B2 (en) | 2018-03-22 | 2018-03-22 | Incident detection system and its method |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6921776B2 (en) |
WO (1) | WO2019181370A1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021229910A1 (en) * | 2020-05-11 | 2021-11-18 | 株式会社日立ソリューションズ | Incident information analysis device, analysis method, and analysis program |
JP7192155B1 (en) * | 2022-03-16 | 2022-12-19 | ソフトバンク株式会社 | Anomaly detection server, anomaly detection system, and anomaly detection method |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014112185A1 (en) * | 2013-01-21 | 2014-07-24 | 三菱電機株式会社 | Attack analysis system, coordination device, attack analysis coordination method, and program |
-
2018
- 2018-03-22 JP JP2018055392A patent/JP6921776B2/en active Active
-
2019
- 2019-02-22 WO PCT/JP2019/006921 patent/WO2019181370A1/en active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014112185A1 (en) * | 2013-01-21 | 2014-07-24 | 三菱電機株式会社 | Attack analysis system, coordination device, attack analysis coordination method, and program |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021229910A1 (en) * | 2020-05-11 | 2021-11-18 | 株式会社日立ソリューションズ | Incident information analysis device, analysis method, and analysis program |
JP7441719B2 (en) | 2020-05-11 | 2024-03-01 | 株式会社日立ソリューションズ | Incident information analysis device, analysis method, and analysis program |
JP7192155B1 (en) * | 2022-03-16 | 2022-12-19 | ソフトバンク株式会社 | Anomaly detection server, anomaly detection system, and anomaly detection method |
Also Published As
Publication number | Publication date |
---|---|
WO2019181370A1 (en) | 2019-09-26 |
JP6921776B2 (en) | 2021-08-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10949534B2 (en) | Method for predicting and characterizing cyber attacks | |
JP4619254B2 (en) | IDS event analysis and warning system | |
EP3068095B1 (en) | Monitoring apparatus and method | |
CN106462702B (en) | Method and system for acquiring and analyzing electronic forensic data in a distributed computer infrastructure | |
JP5926491B2 (en) | Method for security maintenance in a network and computer readable medium having computer readable instructions of a computer program causing a processor to perform the method for security maintenance | |
SE524963C2 (en) | Node and mobile device for a mobile telecommunications network providing intrusion detection | |
JP6258562B2 (en) | Relay device, network monitoring system, and program | |
US20130212681A1 (en) | Security Monitoring System and Security Monitoring Method | |
JP7311350B2 (en) | MONITORING DEVICE, MONITORING METHOD, AND MONITORING PROGRAM | |
CN102663274B (en) | A kind of method and system detecting the behavior of long-range invasion computing machine | |
WO2018198733A1 (en) | Security monitoring system and security monitoring method | |
US11258825B1 (en) | Computer network monitoring with event prediction | |
KR102376433B1 (en) | A method of secure monitoring for multi network devices | |
JP7202932B2 (en) | Cyber attack detection device | |
WO2019181370A1 (en) | Incident detection system and method therefor | |
EP3647982B1 (en) | Cyber attack evaluation method and cyber attack evaluation device | |
CN110598431A (en) | Internet of things data processing method and device, server and storage medium | |
EP3349138B1 (en) | Communication destination determination device, communication destination determination method, and recording medium | |
JP3697249B2 (en) | Network status monitoring system and program | |
WO2016092962A1 (en) | Control device state verification system and control device state verification method | |
US10701088B2 (en) | Method for transmitting data | |
US20210382988A1 (en) | Robust monitoring of computer systems and/or control systems | |
Kawamura et al. | A network-based event detection module using NTP for cyber attacks on IoT | |
US20220292374A1 (en) | Dynamic parameter collection tuning | |
JP6890073B2 (en) | Information collection device, information collection system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200318 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210525 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210625 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210706 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210728 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6921776 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |