JP6921776B2 - インシデント検知システムおよびその方法 - Google Patents
インシデント検知システムおよびその方法 Download PDFInfo
- Publication number
- JP6921776B2 JP6921776B2 JP2018055392A JP2018055392A JP6921776B2 JP 6921776 B2 JP6921776 B2 JP 6921776B2 JP 2018055392 A JP2018055392 A JP 2018055392A JP 2018055392 A JP2018055392 A JP 2018055392A JP 6921776 B2 JP6921776 B2 JP 6921776B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- incident
- collection
- information
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- Quality & Reliability (AREA)
- Economics (AREA)
- Computer Hardware Design (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- General Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Description
本実施形態の制御システム向けインシデント検知システムにおける処理フローについて説明する。以下に述べる処理フローは、制御装置101〜10nや監視装置20やインシデント検知装置30やログ収集サーバ50の記憶装置13に格納されたプログラムがメモリ15にロードされ、CPU14により実行されることにより、制御システム向けインシデント検知システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置13に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。
Claims (10)
- ネットワークに接続されて、制御対象に関連するログを収集して管理する複数の制御装置と、
前記ネットワークで発生したインシデントを検知して、インシデント情報を生成するインシデント検知装置と、
前記ネットワークを監視して、前記複数の制御装置の各々及び前記インシデント検知装置と情報の送受信を行う監視装置と、を備え、
前記監視装置は、
前記インシデント検知装置から前記インシデント情報を受信した場合、受信した前記インシデント情報を基に前記ログに関する収集対象機器と収集項目を選択する選択部と、
前記選択部で選択した前記収集対象機器となる特定の制御装置に対するコマンドであって、前記選択部で選択した前記収集項目を含む収集コマンドを前記ネットワークを介して前記特定の制御装置に送信し、前記特定の制御装置から、前記収集コマンドに従った指定のログを前記ネットワークを介して収集するログ収集部と、を含み、
前記各制御装置は、
前記監視装置から前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記ネットワークを介して前記監視装置に送信するログ管理部を含み、
前記監視装置は、
少なくとも前記ログ収集部の収集による前記指定のログと異常判定基準とを比較して、前記指定のログの異常の有無を判定する異常判定部と、
前記異常判定部の判定結果による情報を出力する出力部と、を更に含み、
前記選択部は、
前記受信した前記インシデント情報に、インシデント状況を示す情報として、攻撃の成功有無の情報が付加されている場合、前記攻撃の成功有無の情報を基に前記収集対象機器に属する機器を変更する
ことを、特徴とするインシデント検知システム。 - 請求項1に記載のインシデント検知システムであって、
前記監視装置は、
攻撃順序と攻撃の発生した領域及び攻撃内容を含む攻撃パターンが時系列で記録された攻撃パターン格納部を更に備え、
前記選択部は、
前記受信した前記インシデント情報に、前記攻撃の成功を示す情報が付加されている場合、前記攻撃パターンを基に今後前記インシデントの影響が及ぼされることが想定される領域を予測し、予測した前記領域に属する機器を前記収集対象機器に属する機器として選択する
ことを、特徴とするインシデント検知システム。 - 請求項1に記載のインシデント検知システムであって、
前記選択部は、
前記受信した前記インシデント情報に、前記攻撃の失敗を示す情報が付加されている場合、前記インシデントが発生した機器の周囲の機器又は前記インシデントが発生した前記ネットワークに属する機器を前記収集対象機器に属する機器として選択する
ことを、特徴とするインシデント検知システム。 - 請求項1〜3のうちいずれか1項に記載のインシデント検知システムであって、
前記出力部は、
前記異常判定部の判定結果による情報を出力する場合、前記異常判定部で異常と判定した機器を特定する機器情報と、前記異常判定部で異常と判定した異常の度合いを示す異常度の情報と、前記異常判定部で異常と判定した判定理由を示す判定理由の情報と、前記判定理由に関連するログに関する情報を合わせて出力する
ことを、特徴とするインシデント検知システム。 - 請求項1〜4のうちいずれか1項に記載のインシデント検知システムであって、
前記監視装置と情報の送受信を行うと共に前記複数の制御装置から前記ログを収集するログ収集サーバを更に備え、
前記ログ収集部は、
前記収集コマンドを、前記特定の制御装置の代わりに、前記ネットワークを介して前記ログ収集サーバに送信し、
前記ログ収集サーバは、
前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記複数の制御装置から収集した前記ログの中から抽出し、抽出した前記指定のログを前記ネットワークを介して前記監視装置に送信し、
前記ログ収集部は、
更に、前記ネットワークを介して前記ログ収集サーバから前記指定のログを収集した場合、収集した前記指定のログを前記異常判定部に出力する、
ことを、特徴とするインシデント検知システム。 - ネットワークに接続されて、制御対象に関連するログを収集して管理する複数の制御装置と、
前記ネットワークで発生したインシデントを検知して、インシデント情報を生成するインシデント検知装置と、
前記ネットワークを監視して、前記複数の制御装置の各々及び前記インシデント検知装置と情報の送受信を行う監視装置と、を備えたシステムにおけるインシデント検知方法であって、
前記監視装置が、前記インシデント検知装置から前記インシデント情報を受信した場合、受信した前記インシデント情報を基に前記ログに関する収集対象機器と収集項目を選択する選択ステップと、
前記監視装置が、前記選択ステップで選択した前記収集対象機器となる特定の制御装置に対するコマンドであって、前記選択ステップで選択した前記収集項目を含む収集コマンドを前記ネットワークを介して前記特定の制御装置に送信し、前記特定の制御装置から、前記収集コマンドに従った指定のログを前記ネットワークを介して収集するログ収集ステップと、
前記各制御装置が、前記監視装置から前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記ネットワークを介して前記監視装置に送信するログ管理ステップと、
前記監視装置が、少なくとも前記ログ収集ステップでの収集による前記指定のログと異常判定基準とを比較して、前記指定のログの異常の有無を判定する異常判定ステップと、
前記監視装置が、前記異常判定ステップでの判定結果による情報を出力する出力ステップと、を含み、
前記選択ステップでは、
前記受信した前記インシデント情報に、インシデント状況を示す情報として、攻撃の成功有無の情報が付加されている場合、前記攻撃の成功有無の情報を基に前記収集対象機器に属する機器を変更する
ことを、特徴とするインシデント検知方法。 - 請求項6に記載のインシデント検知方法であって、
前記監視装置が、攻撃順序と攻撃の発生した領域及び攻撃内容を含む攻撃パターンを時系列で記録する攻撃パターン格納ステップを、さらに備え、
前記選択ステップでは、
前記受信した前記インシデント情報に、前記攻撃の成功を示す情報が付加されている場合、前記攻撃パターン格納ステップで記録された前記攻撃パターンを基に今後前記インシデントの影響が及ぼされることが想定される領域を予測し、予測した前記領域に属する機器を前記収集対象機器に属する機器として選択する
ことを、特徴とするインシデント検知方法。 - 請求項6に記載のインシデント検知方法であって、
前記選択ステップでは、
前記受信した前記インシデント情報に、前記攻撃の失敗を示す情報が付加されている場合、前記インシデントが発生した機器の周囲の機器又は前記インシデントが発生した前記ネットワークに属する機器を前記収集対象機器に属する機器として選択する
ことを、特徴とするインシデント検知方法。 - 請求項6〜8のうちいずれか1項に記載のインシデント検知方法であって、
前記出力ステップでは、
前記異常判定ステップでの判定結果による情報を出力する場合、前記異常判定ステップで異常と判定した機器を特定する機器情報と、前記異常判定ステップで異常と判定した異常の度合いを示す異常度の情報と、前記異常判定ステップで異常と判定した判定理由を示す判定理由の情報と、前記判定理由に関連するログに関する情報を合わせて出力する
ことを、特徴とするインシデント検知方法。 - 請求項6〜9のうちいずれか1項に記載のインシデント検知方法であって、
前記監視装置と情報の送受信を行うと共に前記複数の制御装置から前記ログを収集するログ収集サーバを更に備える場合、
前記ログ収集サーバが、前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記複数の制御装置から収集した前記ログの中から抽出し、抽出した前記指定のログを前記ネットワークを介して前記監視装置に送信する送信ステップを更に備え、
前記ログ収集ステップでは、
前記監視装置が、前記収集コマンドを、前記特定の制御装置の代わりに、前記ネットワークを介して前記ログ収集サーバに送信し、更に、前記ネットワークを介して前記ログ収集サーバから前記指定のログを収集し、
前記異常判定ステップでは、
前記ログ収集ステップで前記ログ収集サーバから収集した前記指定のログと前記異常判定基準とを比較して、前記指定のログの異常の有無を判定する、
ことを、特徴とするインシデント検知方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018055392A JP6921776B2 (ja) | 2018-03-22 | 2018-03-22 | インシデント検知システムおよびその方法 |
PCT/JP2019/006921 WO2019181370A1 (ja) | 2018-03-22 | 2019-02-22 | インシデント検知システムおよびその方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018055392A JP6921776B2 (ja) | 2018-03-22 | 2018-03-22 | インシデント検知システムおよびその方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019168869A JP2019168869A (ja) | 2019-10-03 |
JP6921776B2 true JP6921776B2 (ja) | 2021-08-18 |
Family
ID=67986165
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018055392A Active JP6921776B2 (ja) | 2018-03-22 | 2018-03-22 | インシデント検知システムおよびその方法 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6921776B2 (ja) |
WO (1) | WO2019181370A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7441719B2 (ja) * | 2020-05-11 | 2024-03-01 | 株式会社日立ソリューションズ | インシデント情報分析装置、分析方法、および分析プログラム |
JP7192155B1 (ja) * | 2022-03-16 | 2022-12-19 | ソフトバンク株式会社 | 異常検知サーバ、異常検知システム、及び異常検知方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5972401B2 (ja) * | 2013-01-21 | 2016-08-17 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
-
2018
- 2018-03-22 JP JP2018055392A patent/JP6921776B2/ja active Active
-
2019
- 2019-02-22 WO PCT/JP2019/006921 patent/WO2019181370A1/ja active Application Filing
Also Published As
Publication number | Publication date |
---|---|
JP2019168869A (ja) | 2019-10-03 |
WO2019181370A1 (ja) | 2019-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10949534B2 (en) | Method for predicting and characterizing cyber attacks | |
EP3068095B1 (en) | Monitoring apparatus and method | |
CN106462702B (zh) | 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统 | |
JP4619254B2 (ja) | Idsのイベント解析及び警告システム | |
JP5926491B2 (ja) | ネットワークにおけるセキュリティ保全のための方法及び、プロセッサにセキュリティ保全のための方法を遂行させるようなコンピュータ・プログラムのコンピュータ読取り可能な命令を有しているコンピュータ読取り可能な媒体 | |
CN102663274B (zh) | 一种检测远程入侵计算机行为的方法及系统 | |
US20130212681A1 (en) | Security Monitoring System and Security Monitoring Method | |
JP6258562B2 (ja) | 中継装置、ネットワーク監視システム及びプログラム | |
SE524963C2 (sv) | Nod och mobil anordning för ett mobiltelekommunikationsnätverk som tillhandahåller intrångsdetektering | |
US20170134400A1 (en) | Method for detecting malicious activity on an aircraft network | |
WO2018198733A1 (ja) | セキュリティ監視システム及びセキュリティ監視方法 | |
JP7311350B2 (ja) | 監視装置、監視方法、および監視プログラム | |
JP6921776B2 (ja) | インシデント検知システムおよびその方法 | |
JP7202932B2 (ja) | サイバー攻撃検知装置 | |
CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
KR20200098838A (ko) | 제어신호 패킷과 상태분석을 이용한 제어시스템 이상행위 탐지 시스템 및 그 방법 | |
US9774628B2 (en) | Method for analyzing suspicious activity on an aircraft network | |
CN110598431A (zh) | 一种物联网数据处理方法、装置、服务器及存储介质 | |
JP7439669B2 (ja) | ログ分析装置 | |
US20200344249A1 (en) | Automated incident response process and automated actions | |
JP7125317B2 (ja) | 不正アクセス監視装置および方法 | |
US10701088B2 (en) | Method for transmitting data | |
WO2016092962A1 (ja) | 制御装置状態検証システムおよび制御装置状態検証方法 | |
EP3607767B1 (en) | Network fault discovery | |
JP2023050189A (ja) | 脅威制御方法およびシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200318 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210525 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210625 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210706 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210728 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6921776 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |