JP6921776B2 - インシデント検知システムおよびその方法 - Google Patents

インシデント検知システムおよびその方法 Download PDF

Info

Publication number
JP6921776B2
JP6921776B2 JP2018055392A JP2018055392A JP6921776B2 JP 6921776 B2 JP6921776 B2 JP 6921776B2 JP 2018055392 A JP2018055392 A JP 2018055392A JP 2018055392 A JP2018055392 A JP 2018055392A JP 6921776 B2 JP6921776 B2 JP 6921776B2
Authority
JP
Japan
Prior art keywords
log
incident
collection
information
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018055392A
Other languages
English (en)
Other versions
JP2019168869A (ja
Inventor
宏樹 内山
宏樹 内山
熊谷 洋子
洋子 熊谷
訓 大久保
訓 大久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2018055392A priority Critical patent/JP6921776B2/ja
Priority to PCT/JP2019/006921 priority patent/WO2019181370A1/ja
Publication of JP2019168869A publication Critical patent/JP2019168869A/ja
Application granted granted Critical
Publication of JP6921776B2 publication Critical patent/JP6921776B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Quality & Reliability (AREA)
  • Economics (AREA)
  • Computer Hardware Design (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • General Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、インシデント検知システムおよびその方法に関する。
電力、鉄道、水道、ガスといった社会インフラや自動車で利用される制御システムは、センサの情報をもとにバルブやアクチュエータといった装置を動作させ、あらかじめ設定されている圧力や温度を保つことが要求される。この動作を実現するためには、コントローラ等の組込み装置において、定期的にセンサからの情報を取得し、状態を確認し、他のコントローラやサーバ等に通知し、必要に応じて制御を行うことが必要となる。このため、制御システムでは周期的な通信が発生し、その通信データをもとに処理を行うことが通例である。
一方、制御システムはこれまで専用OS(Operating System)や専用プロトコルを利用しており、インターネット等の外部ネットワークからアクセスできない領域に孤立した状態で設置されているため、いわゆるコンピュータウィルスやDoS(Denial of Service)攻撃といったサイバー攻撃からは無縁であると考えられてきた。しかしながら、コスト削減のために汎用OSや汎用プロトコルを利用するケースが増加しており、効率向上のために情報系システムとの接続も進んできている。
また、近年では、制御システムをターゲットとしたコンピュータウィルスが発見されており、制御システムにおいても情報システムと同様にマルウェア等の感染や外部からの不正アクセスといったセキュリティインシデントを検知する技術が必要となっている。システム内のセキュリティインシデントを正しく検知するためには、ネットワーク等を監視するセキュリティセンサ以外に、各機器のログ等を活用して網羅的な検知を行う必要がある。
このような課題に対し、ネットワーク等を監視するセキュリティセンサに加えて各制御機器が取り扱うデータも活用し、両者のデータの関係性を分析することでセキュリティインシデントを検知する技術が知られている(たとえば、特許文献1参照)。
特開2014−179074号公報
制御システムは、各機器のCPU(Central Processing Unit)負荷やネットワークの使用帯域が予めシステム構築時に定められており、その設定値から外れてしまうと制御システムの業務に影響がでてしまう可能性がある。しかしながら、従来技術では、機器側の動作ログを継続的に収集するため、ログの量が増大し、機器の負荷やネットワーク負荷が高まってしまい、制御システムの業務に影響が出てしまう可能性があった。
本発明の目的は、インシデントの発生時に複数の制御装置のうち特定の制御装置からログを収集し、収集したログを分析して管理することにある。
前記課題を解決するために、本発明は、ネットワークに接続されて、制御対象に関連するログを収集して管理する複数の制御装置と、前記ネットワークで発生したインシデントを検知して、インシデント情報を生成するインシデント検知装置と、前記ネットワークを監視して、前記複数の制御装置の各々及び前記インシデント検知装置と情報の送受信を行う監視装置と、を備え、前記監視装置は、前記インシデント検知装置から前記インシデント情報を受信した場合、受信した前記インシデント情報を基に前記ログに関する収集対象機器と収集項目を選択する選択部と、前記選択部で選択した前記収集対象機器となる特定の制御装置に対するコマンドであって、前記選択部で選択した前記収集項目を含む収集コマンドを前記ネットワークを介して前記特定の制御装置に送信し、前記特定の制御装置から、前記収集コマンドに従った指定のログを前記ネットワークを介して収集するログ収集部と、を含み、前記各制御装置は、前記監視装置から前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記ネットワークを介して前記監視装置に送信するログ管理部を含み、前記監視装置は、少なくとも前記ログ収集部の収集による前記指定のログと異常判定基準とを比較して、前記指定のログの異常の有無を判定する異常判定部と、前記異常判定部の判定結果による情報を出力する出力部と、を更に含むことを特徴とする。
本発明によれば、インシデントの発生時に複数の制御装置のうち特定の制御装置からログを収集し、収集したログを分析して管理することができ、結果として、制御装置やネットワークへの影響を最小化しつつ、制御装置の状態を考慮したシステム全体でのセキュリティインシデントの検知を行うことが可能となる。
本発明の第一の実施形態が適用された制御システム向けインシデント検知システムの構成を例示する構成図である。 本発明の第一の実施形態における制御装置、監視装置、及びインシデント検知装置のハードウェア構成を例示する構成図である。 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、インシデント検知後に各機器からログを収集し、異常分析を行う処理フローを例示するフローチャートである。 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置で実施する収集対象機器や収集対象項目を選択する処理フローを例示するフローチャートである。 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置が出力する異常機器情報出力画面を例示する構成図である。 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、各制御装置のログ格納部に格納されるログの構成を例示する構成図である。 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置から各制御装置に送信する収集コマンドの構成を例示する構成図である。 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置のインシデント情報格納部に格納されるインシデント情報の構成を例示する構成図である。 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置の攻撃パターン格納部に格納される攻撃パターンの構成を例示する構成図である。 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置の機器一覧格納部に格納される機器一覧の構成を例示する構成図である。 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置の収集項目格納部に格納される収集項目の構成を例示する構成図である。 本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置の異常判定基準格納部に格納される異常判定基準の構成を例示する構成図である。 本発明の第二の実施形態が適用された制御システム向けインシデント検知システムの構成を例示する構成図である。 本発明の第二の実施形態が適用された制御システム向けインシデント検知システムにおいて、各制御装置からログを収集する際の処理フローを例示するフローチャートである。 本発明の第二の実施形態が適用された制御システム向けインシデント検知システムにおいて、インシデント検知後にログ収集サーバからログを収集する処理フローを例示するフローチャートである。
本発明の一実施形態について説明する。なお、これにより本発明が限定されるものではない。
本実施形態は、インシデント検知装置(セキュリティセンサ)においてネットワーク上でインシデント(セキュリティインシデント)を検知した際に、監視装置が、発生したインシデントの状態に応じてログを収集する機器(制御装置)を選択し、選択した機器からログを収集して分析し、分析結果を出力するインシデント検知システムを提供するものである。
具体的には、インシデントの状態が未遂(失敗)か既遂(成功)かによって、インシデントの影響を受ける機器の範囲を推定し、影響が想定される機器からのみインシデントの内容に応じたログを収集し、収集したログを基に機器が異常状態であるか判別し、判別結果として異常機器の情報を出力する。
より具体的には、監視装置において、インシデント検知システム内で発生したインシデント情報を収集して分析し、インシデントが未遂の場合には、当該発生領域(ゾーン)に含まれる機器からログを収集し、インシデントが既遂の場合には、その結果、将来的に侵入・感染等の悪影響を受ける領域(ゾーン)に含まれる機器からログを収集する。ログ収集時には発生したインシデントの種別(ログカテゴリ)に基づきログを収集する。その後、収集したログが異常判定基準に合致するか否か検証し、合致した場合にはインシデント検知システム内の異常機器の情報をその判定理由(根拠)と共に表示する。
図1は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムの構成図である。
本実施形態の制御システム向けインシデント検知システムは、図1に例示するように、制御装置10〜10と、監視装置20と、インシデント検知装置30と、ネットワーク40と、から構成されている。
制御装置10〜10は、制御対象に関する制御処理を行う制御処理部101〜101と、制御装置内に格納されているログを抽出するログ抽出部102〜102と、制御装置で収集したログを格納するログ格納部103〜103と、ネットワーク40と通信を行う通信部104〜104と、を含む。この際、制御装置10〜10は、ネットワーク40に接続されて、制御対象に関連するログを収集して管理する。
監視装置20は、他の装置、例えば、インシデント検知装置30等からインシデント検知システム内で発生したインシデント情報を取得するインシデント情報取得部201と、ログを収集する機器(制御装置)を選択する機器選択部202と、選択した機器から収集するログの項目を選択する収集項目選択部203と、選択した機器からログを収集するログ収集部204と、収集したログから異常の有無を判定する異常判定部205と、ネットワーク40と通信を行う通信部206と、入力装置(キーボード等)からの情報を入力すると共に、異常判定部205で生成した判定結果を出力する入出力部207と、インシデント情報取得部201で取得したインシデント情報を格納するインシデント情報格納部208と、機器選択部202の機器の選択時に利用されることが想定される攻撃のパターンを格納する攻撃パターン格納部209と、インシデント検知システム内に設置されている機器の一覧を格納する機器一覧格納部210と、収集項目選択部203で利用するインシデントの種類毎に収集すべきログの項目を格納する収集項目格納部211と、異常判定部205で利用される判定基準であって、収集したログの中の異常有無の判定基準を格納する異常判定基準格納部212と、を含む。
インシデント検知装置30は、ネットワーク40と通信を行う通信部301と、ネットワーク40を監視し、ネットワーク40でインシデントの発生を検知するインシデント検知部302と、インシデント検知部302で検知した結果をインシデント情報として格納するインシデント情報格納部303と、を含む。この際、インシデント検知部302は、例えば、ネットワーク40で不正なパケットが流れたことを、インシデントの発生として検知するセキュリティセンサとして構成される。また、インシデント検知装置30は、制御システム向けインシデント検知システム内に複数台配置されることがある。
図2は、制御装置10〜10、監視装置20、インシデント検知装置30のハードウェア構成を例示する構成図である。制御装置10〜10、監視装置20、インシデント検知装置30は、通信装置11と、入出力装置12と、記憶装置13と、CPU14と、メモリ15と、がバスなどの内部通信線16で連結され、構成されている。
本実施形態の制御システム向けインシデント検知システムにおける処理フローについて説明する。以下に述べる処理フローは、制御装置10〜10や監視装置20やインシデント検知装置30の記憶装置13に格納されたプログラムがメモリ15にロードされ、CPU14により実行されることにより、制御システム向けインシデント検知システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置13に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。
図3は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、インシデント検知後に各機器からログを収集し、異常分析を行う処理フローを示した図である。
はじめに、監視装置20は、インシデント検知装置30からインシデント情報を収集し、収集したインシデント情報(図8のインシデント情報A801)をインシデント情報格納部208に格納する(S301(S301と表現する。以下同様))。ここで、インシデント情報の収集方法は、ネットワーク40経由で収集しても良いし、USB(Universal Serial Bus)メモリ等のリムーバブルデバイスで収集しても良い。
次に、監視装置20は、収集したインシデント情報を用いて、収集対象を選択するに際して、ログの収集対象機器、ログの収集対象項目を選択する(S302)。なお、収集対象選択の詳細については以降の図4に記載する。
次に、監視装置20は、選択した機器(ログの収集対象機器)に対して、選択した収集項目(図7のログカテゴリA703、収集条件A706を含む)が記載された収集コマンドA301を送信する。なお、ここでは、ログの収集対象機器として、例えば、制御装置10が、収集コマンドA301で特定された特定の制御装置として選択されたと仮定する。なお、選択した機器が多数存在した場合には、攻撃を受ける可能性が高い機器として、重要な業務を行っている機器や最もIP(Internet Protocol)アドレスが小さいものから収集するなどの優先順位付けを行っても良い。
次に、制御装置10は、受信した収集コマンドA301を基に、ログ格納部103からログ(図6のログA601であって、収集コマンドA301で指定された指定のログ)を抽出する(S303)。次に、制御装置10は、抽出したログA302を監視装置20に送信する。
次に、監視装置20は、制御装置10から受信したログA302を用いて、異常判定を行う(S304)。ここで、異常判定は、S302で抽出した攻撃パターン(図4のS405で抽出した攻撃パターン)と受信したログA302(制御装置10から受信したログであって、図6のログA601の情報が記録されたログ)と、異常判定基準格納部212に格納されている異常判定基準(図12の異常判定基準A1201)を用いて、ログA302の内容が異常判定基準に合致するかどうかで判定する。なお、異常判定基準の構成については以降の図12に詳細に記載する。
次に、監視装置20は、異常判定の結果から、異常有無があるかどうか検証する(S305)。その結果、異常が無いと判定された場合、監視装置20は、処理を終了する(S306)。一方、異常があると判定された場合、監視装置20は、異常判定基準格納部212に格納されている異常判定基準(図12の異常判定基準A1201)から、異常と判定された異常ID(Identification)を基に異常度を抽出する(S307)。次に、監視装置20は、異常IDを基に、異常条件に合致した項目(収集項目)を収集項目格納部211から抽出し、抽出した項目を基に判定理由(図5の判定理由A510)を生成する(S308)。次に、監視装置20は、異常機器に関する情報を画面に出力する(S309)。ここで、画面の出力の例については以降の図5に詳細に記載する。
なお、S302からS308のステップに関しては新たなインシデント情報が取得される度に実行されても良いし、ある一定間隔で実行されても良いし、インシデント検知システムの管理者等からのリクエストに応じて実行しても良い。また、S302で収集対象が選択されたとしても、インシデント検知システムの状態や業務の実行状況等に応じて、収集コマンドA301を送信するタイミングを変更しても良い。
図4は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20で実施する収集対象機器(ログの収集対象機器)や収集対象項目(ログの収集対象項目)を選択する処理フローを示した図である。
はじめに、監視装置20は、収集対象選択処理を開始する(S401)。次に、監視装置20は、インシデント情報格納部208に格納されているインシデント情報(図8のインシデント情報A801)を分析し、インシデント情報に含まれるインシデントの発生状況(攻撃内容が既に発生したものか、未遂(失敗)に終わったものかを識別する情報)を取得する(S402)。ここで、インシデント情報の構成については、以降の図8に詳細に記載する。次に、監視装置20は、取得したインシデントの発生状況が、既遂(成功)か未遂(失敗)かを識別する(S403)。インシデントの発生状況が未遂(失敗)と識別された場合には、監視装置20は、機器一覧格納部210に格納されている機器一覧を用いて、インシデントが発生した領域(発生領域)を推定する(S404)。ここで、機器一覧の構成については、以降の図10に詳細に記載する。
一方、S403でインシデントの発生状況が既遂(成功)と識別された場合には、監視装置20は、機器一覧格納部210に格納されている機器一覧および攻撃パターン格納部209に格納されている攻撃パターンから、発生しているインシデント情報に含まれる攻撃内容(攻撃情報)と合致する攻撃パターンを抽出し、今後、インシデントの影響が及ぶと考えられる領域(ゾーン)や機器(制御装置等)を示す領域(影響領域)を推定する(S405)。ここで、攻撃パターンの構成については以降の図9に詳細に記載する。
次に、監視装置20は、S404およびS405で抽出した領域に関する情報を用いて、機器一覧格納部210に格納されている機器一覧から、該当する領域に含まれる機器を抽出する(S406)。次に、監視装置20は、S402で分析したインシデント情報(図8のインシデント情報A801)に含まれる攻撃内容(A805)と、収集項目格納部211に格納されている収集項目(図11の収集項目A1101)を用いて、攻撃内容(A805)に合致する収集対象ログ(ログカテゴリA1103)や収集条件(A1104)を抽出する(S407)。ここで、収集項目の構成については、以降の図11に詳細に記載する。
次に、監視装置20は、S402で分析したインシデント情報に含まれる発生日時を基に収集日時を選択する(S408)。ここで、収集日時の選択は、インシデント発生日時の前後1日や前後1時間など予め定義された時間幅を選択する。次に、監視装置20は、処理を終了する(S409)。
図5は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20が出力する異常機器情報出力画面を示した図である。
異常機器情報出力画面A501は、入出力部207の出力画面であって、システム構成A502と、異常機器一覧A503から構成される。ここで、システム構成A502は、インシデント検知システムに含まれる機器(制御装置A〜D)の一覧をネットワーク40との接続状況を含めて記載したものであり、異常が発生している機器(制御装置A、C)は異常度の度合いによって、表示を切り替え手も良い。例えば、異常度大機器(制御装置A)A504と異常度小機器(制御装置C)A505の表示色を、異常度の度合いによって変化させる。また、異常機器一覧A503は、インシデントIDA506と、日時A507と、機器A508と、異常度A509と、判定理由A510から構成される。ここで、異常機器一覧A503に含まれる各インシデント情報は、システム構成A502と対応して、異常度の度合いによって、表示を切り替えても良い。例えば、インシデントID「001」に属するインシデント情報の表示領域A511と、インシデントID「002」に属するインシデント情報の表示領域A512の表示色を、異常度の度合いによって変化させる。なお、異常機器情報出力画面A501の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、異常機器情報出力画面A501の構成要素の順序は上記に限定されるものではない。
また、インシデントID「001」と「002」に属するインシデント情報は、日時A507、機器A508、異常度A509、判定理由A510を含む。インシデントID「001」の日時A507には、「2017/12/15 12:00:00」が記録され、機器A508には、「制御機器A」が記録され、異常度A509には、「大」が記録され、判定理由A510には、「プロセス起動頻度異常(ログ)」が記録され、インシデントID「002」の日時A507には、「2017/12/20 20:00:00」が記録され、機器A508には、「制御機器C」が記録され、異常度A509には、「小」が記録され、判定理由A510には、「プロセス起動タイミング異常(ログ)」が記録される。なお、判定理由A510における「プロセス起動頻度異常(ログ)」又は「プロセス起動タイミング異常(ログ)」の「(ログ)」をクリックすることで、図6のログA601の情報が拡大して表示される。
図6は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、各制御装置10〜10のログ格納部103〜103に格納されるログの構成を例示する構成図である。
ログA601は、ログの生成日時A602と、ログの種類を示すログカテゴリA603と、ログ内容A604から構成される。ここで、ログカテゴリとは、例えば、プロセス起動や外部通信といった各制御装置(制御機器)が動作した内容を識別するものであり、その内容によって、出力先が変化するものである。例えば、ログカテゴリA603に「プロセス起動」が記録された場合、ログ内容A604には、「プロセス名」や「プロセス起動の成功または失敗」の情報が記録される。また、ログ内容A604には、インシデントの発生状況が、成功(既遂)か或いは失敗(未遂)かを識別する情報が記録される。なお、ログA601の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、ログA601の構成要素の順序は上記に限定されるものではない。
図7は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20から各制御装置10〜10に送信する収集コマンドの構成を例示する構成図である。
収集コマンドA701は、図4のS406で抽出した機器のアドレスを示す収集対象機器アドレスA702と、図4のS407で抽出した収集項目に属するログカテゴリA703と、図4のS408で選択した収集日時に属する収集開始日時A704および収集終了日時A705と、図4のS407で抽出した収集項目に属する収集条件A706から構成される。収集開始日時A704と収集終了日時A705に記録された情報は、特定した機器のログを収集する期間を示す。収集条件A706は、特定した機器のログの中で収集対象となる条件を示す。ここで、収集条件とは、ログに含まれる特定のキーワードを示し、認証失敗、プロセス起動成功、通信タイムアウトのような情報を示す。なお、収集コマンドA701の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、収集コマンドA701の構成要素の順序は上記に限定されるものではない。
図8は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20のインシデント情報格納部208に格納されるインシデント情報の構成を例示する構成図である。
インシデント情報A801は、インシデントを識別するインシデントIDA802と、発生日時A803と、発生機器A804と、攻撃内容A805と、発生状況A806から構成される。発生日時A803には、インシデントが発生した日時に関する情報が記録される。発生機器A804には、インシデントの発生を検知された機器の名称(例えば、インシデント検知装置30の名称)等の情報が記録される。攻撃内容A805には、インシデントの内容、例えば、不正のパケットが存在することを示す情報が記録される。発生状況A806には、攻撃内容が既に発生したものか、未遂に終わったものかを識別する情報が記録される。例えば、機器に対する不正ログインが発生した場合には「既遂」或いは「成功」の情報が記録され、不正ログインの試行があったものの、失敗した場合には「未遂」或いは「失敗」の情報が記録される。なお、インシデント情報A801の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、インシデント情報A801の構成要素の順序は上記に限定されるものではない。
図9は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20の攻撃パターン格納部209に格納される攻撃パターンの構成を例示する構成図である。
攻撃パターンA901は、攻撃パターンを識別する攻撃パターンIDA902と、攻撃パターン情報A903から構成される。ここで、攻撃パターン情報A903は、攻撃順序A904〜A904と、インシデント検知システム内の領域を識別する領域IDA905〜A905と、攻撃内容A906〜A906から構成される。攻撃パターン情報A903は、一つの攻撃パターンIDに対して一つあれば良いが、複数あっても良い。一つの攻撃パターンIDに対して、攻撃パターン情報A903が複数存在する場合には、攻撃順序A904、領域IDA905、攻撃内容A906が1から順に時系列に従ってnまで増加し、どの領域(領域IDで特定される領域)でどのような攻撃(攻撃の内容)が順に発生するのか、定義することが可能である。なお、攻撃パターンA901の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、攻撃パターンA901の構成要素の順序は上記に限定されるものではない。
図10は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20の機器一覧格納部210に格納される機器一覧の構成を例示する構成図である。
機器一覧A1001は、インシデント検知システム内の領域を識別する領域IDA1002と、各機器(各制御装置)を識別する機器IDA1003と、各機器(各制御装置)が保有するIPアドレスA1004から構成される。領域IDA1002には、インシデント検知システム内の領域として、例えば、ネットワーク40を識別する情報が記録される。機器IDA1003には、例えば、各機器(各制御装置)を識別する製造番号に関する情報が記録される。ここで、機器IDA1002として、IPアドレスA1004と同じ情報を利用して良い。なお、機器一覧A1001の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、機器一覧A1001の構成要素の順序は上記に限定されるものではない。
図11は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20の収集項目格納部211に格納される収集項目の構成を例示する構成図である。
収集項目A1101は、攻撃パターンを識別する攻撃パターンIDA1102と、ログの種類を示すログカテゴリA1103と、ログに含まれる特定のキーワード等を示す収集条件A1104から構成される。ログカテゴリA1103の内容は、図7の収集コマンドA701に属するログカテゴリA703と同様である。収集条件A1104の内容は、図7の収集コマンドA701に属する収集条件A706と同様である。なお、収集項目A1101の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、収集項目A1101の構成要素の順序は上記に限定されるものではない。
図12は、本発明の第一の実施形態が適用された制御システム向けインシデント検知システムにおいて、監視装置20の異常判定基準格納部212に格納される異常判定基準の構成を例示する構成図である。
異常判定基準A1201は、異常を識別する異常IDA1202と、攻撃パターンを識別する攻撃パターンIDA1203と、ログのカテゴリを示すログカテゴリA1204と、異常の大きさを示す異常度A1205と、ログのエントリの数を示すログの数A1206と、ログの生成頻度を示すログ頻度A1207と、ログの生成タイミングを示すログタイミングA1208から構成される。なお、異常判定基準A1201の構成要素は、上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、異常判定基準A1201の構成要素の順序は上記に限定されるものではない。
本実施形態によれば、インシデントの発生時に複数の制御装置のうち特定の制御装置からログを収集し、収集したログを分析して管理することができる。このため、ログの収集時に、特定の制御装置以外の制御装置(機器)やネットワークに掛かる負荷を抑制することができる。また、特定の制御装置においても、収集コマンドで指定された指定のログを送信すればよいので、特定の制御装置に対する負荷も軽減することができる。結果として、制御装置やネットワークへの影響を最小化しつつ、制御装置の状態を考慮したシステム全体でのセキュリティインシデントの検知を行うことが可能となる。
図13は、本発明の第二の実施形態が適用された制御システム向けインシデント検知システムの構成図である。
本実施形態の制御システム向けインシデント検知システムは、図13に例示するように、制御装置10〜10と、監視装置20と、インシデント検知装置30と、ネットワーク40と、ログ収集サーバ50から構成されている。
制御装置10〜10は、制御対象の制御処理を行う制御処理部101〜101と、制御装置で収集したログを格納するログ格納部103〜103と、ネットワーク40と通信を行う通信部104〜104と、を含む。なお、ログ抽出部102は、構成要素から除外されている。
監視装置20およびインシデント検知装置30の構成要素は、図1と同様である。
ログ収集サーバ50は、ネットワーク40と通信を行う通信部501と、制御装置10〜10からログを収集するログ収集部502と、監視装置20からの要求に応じてログを抽出するログ抽出部503と、制御装置10〜10から収集したログを格納する統合ログ格納部504と、を含む。
ここで、ログ収集サーバ50のハードウェア構成は図2と同様である。
本実施形態の制御システム向けインシデント検知システムにおける処理フローについて説明する。以下に述べる処理フローは、制御装置10〜10や監視装置20やインシデント検知装置30やログ収集サーバ50の記憶装置13に格納されたプログラムがメモリ15にロードされ、CPU14により実行されることにより、制御システム向けインシデント検知システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置13に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。
図14は、本発明の第二の実施形態が適用された制御システム向けインシデント検知システムにおいて、各制御装置からログを収集する際の処理フローを示したフローチャートである。
はじめに、制御装置10〜10は、通常時の処理として、ログを生成する(S1401〜S1401)。次に、制御装置10〜10は、生成したログA1401〜A1401をログ収集サーバ50に送信する。
次に、ログ収集サーバ50は、受信したログを統合ログ格納部504に格納する(S1402〜S1402)。次に、ログ収集サーバ50は、ログの格納結果を示すレスポンスA1402〜A1402を制御装置10〜10に送信する。
図15は、本発明の第二の実施形態が適用された制御システム向けインシデント検知システムにおいて、インシデント検知後にログ収集サーバからログを収集する処理フローを示したフローチャートである。
はじめに、監視装置20は、インシデント検知装置30からインシデント情報を収集し、インシデント情報格納部208に格納する(S1501)。ここで、インシデント情報の収集方法は、ネットワーク経由で収集しても良いし、USBメモリ等のリムーバブルデバイスで収集しても良い。次に、監視装置20は、収集したインシデント情報を用いて、収集対象の選択として、ログの収集対象機器、ログの収集対象項目を選択する(S1502)。なお、収集対象選択の詳細については図4に記載した通りである。
次に、監視装置20は、ログ収集サーバ50に対して、ログの収集対象機器とログの収集項目が記載された収集コマンドA1501(収集コマンドA301と同様の構成の収集コマンド)を送信する。
次に、ログ収集サーバ50は、受信した収集コマンドA1501を基に、統合ログ格納部504からログを抽出する(S1503)。次に、ログ収集サーバ50は、抽出したログA1502(ログA302と同様の構成のログ)を監視装置20に送信する。
次に、監視装置20は、ログ収集サーバ50から受信したログA1502を用いて、異常判定を行う(S1504)。ここで、異常判定は、S1502の処理の過程で抽出された攻撃パターン(インシデント情報に含まれる攻撃内容と合致する攻撃パターン)とログ収集サーバ50から受信したログと、異常判定基準格納部212に格納されている異常判定基準(図12の異常判定基準A1201)を用いて、異常判定基準に合致するかどうかで判定する。なお、異常判定基準の構成については図12に記載したとおりである。
次に、監視装置20は、異常判定の結果、異常有無があるかどうか検証する(S1505)。その結果、異常が無いと判定された場合、監視装置20は、処理を終了する(S1506)。一方、異常があると判定された場合、監視装置20は、異常判定基準格納部212に格納されている異常判定基準から、異常と判定された異常IDを基に異常度を抽出する(S1507)。
次に、監視装置20は、異常IDを基に、異常条件に合致した項目を抽出し、抽出した項目を基に判定理由を生成する(S1508)。次に、監視装置20は、異常機器に関する情報を画面に出力する(S1509)。ここで、画面の出力の例については図5に記載した通りである。
本実施例形態によれば、第一実施形態と同様の効果を奏することができると共に、通常時に、ログ収集サーバが各制御装置からログを収集し、インシデント発生時には、監視装置がログ収集サーバからログを収集しているので、インシデント発生時に各制御装置に対する負荷をより低減することができる。
なお、本発明は、上記の実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。
例えば、監視装置内にインシデント検知装置30の機能が含まれている場合や、ログ収集サーバ50の機能が含まれている場合や、制御装置10や監視装置20やインシデント検知装置30やログ収集サーバ50にネットワーク40との通信機能が含まれておらず、別の装置を経由してネットワーク40と通信を行う場合などである。該実施形態の場合においてもシステム全体において行う処理に本質的な変化はない。
また、機器選択部202と収集項目選択部203を一体化した選択部を構成することができる。この際、選択部は、インシデント検知装置30からインシデント情報を受信した場合、受信したインシデント情報を基にログに関する収集対象機器と収集項目を選択する。この場合、選択部は、受信したインシデント情報に、インシデント状況を示す情報として、攻撃の成功有無の情報が付加されている場合、攻撃の成功有無の情報を基に収集対象機器に属する機器を変更する。これにより、攻撃の成功有無の情報に応じて、ログ収集の対象となる機器を変更することができる。
具体的には、選択部は、受信したインシデント情報に、攻撃の成功を示す情報が付加されている場合、攻撃パターン格納部209に格納された攻撃パターンを基に今後インシデントの影響が及ぼされることが想定される領域を予測し、予測した領域に属する機器を収集対象機器に属する機器として選択する。また、選択部は、受信したインシデント情報に、攻撃の失敗を示す情報が付加されている場合、インシデントが発生した機器の周囲の機器又はインシデントが発生したネットワーク40に属する機器を収集対象機器に属する機器として選択する。また、この場合、ログ収集部204は、選択部で選択した収集対象機器となる特定の制御装置に対するコマンドであって、選択部で選択した収集項目を含む収集コマンドA301をネットワーク40を介して特定の制御装置に送信し、特定の制御装置から、収集コマンドA301に従った指定のログをネットワーク40を介して収集する。
また、各制御装置におけるログ抽出部102と、ログ格納部103および通信部104を一体化してログ管理部として構成することができる。この際、ログ管理部は、監視装置20から収集コマンドA301を受信した場合、受信した収集コマンドA301に従った指定のログをネットワーク40を介して監視装置20に送信する。
また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
10〜10:制御装置、11:通信装置、12:入出力装置、13:記憶装置、14:CPU、15:メモリ、16:内部信号線、101〜101:制御処理部、102〜102:ログ抽出部、103〜103:ログ格納部、104〜104:通信部、20:監視装置、201:インシデント情報取得部、202:機器選択部、203:収集項目選択部、204:ログ収集部、205:異常判定部、206:通信部、207:入出力部、208:インシデント情報格納部、209:攻撃パターン格納部、210:機器一覧格納部、211:収集項目格納部、212:異常判定基準格納部、30:インシデント検知装置、301:通信部、302:インシデント検知部、303:インシデント情報格納部、40:ネットワーク、50:ログ収集サーバ、501:通信部、502:ログ収集部、503:ログ抽出部、504:統合ログ格納部、A301:収集コマンド、A302:ログ、A501:異常機器情報出力画面、A502:システム構成、A503:異常機器一覧、A504:異常度大機器、A505:異常度小機器、A506:インシデントID、A507:日時、A508:機器、A509:異常度、A510:判定理由、A511:表示領域、A512:表示領域、A601:ログ、A602:ログ生成日時、A603:ログカテゴリ、A604:ログ内容、A701:収集コマンド、A702:収集対象機器アドレス、A703:ログカテゴリ、A704:収集開始日時、A705:収集終了日時、A706:収集条件、A801:インシデント情報、A802:インシデントID、A803:発生日時、A804:発生機器、A805:攻撃内容、A806:発生状況、A901:攻撃パターン、A902:攻撃パターンID、A903:攻撃パターン情報、A904〜A904:攻撃順序、A905〜A905:領域ID、A906〜A906:攻撃内容、A1001:機器一覧、A1002:領域ID、A1003:機器ID、A1004:IPアドレス、A1101:収集項目、A1102:攻撃パターンID、A1103:ログカテゴリ、A1104:収集条件、A1201:異常判定基準、A1202:異常ID、A1203:攻撃パターンID、A1204:ログカテゴリ、A1205:異常度、A1206:ログの数、A1207:ログの頻度、A1208:ログのタイミング、A1401〜A1401:ログ、A1402〜A1402:レスポンス、A1501:収集コマンド、A1502:ログ

Claims (10)

  1. ネットワークに接続されて、制御対象に関連するログを収集して管理する複数の制御装置と、
    前記ネットワークで発生したインシデントを検知して、インシデント情報を生成するインシデント検知装置と、
    前記ネットワークを監視して、前記複数の制御装置の各々及び前記インシデント検知装置と情報の送受信を行う監視装置と、を備え、
    前記監視装置は、
    前記インシデント検知装置から前記インシデント情報を受信した場合、受信した前記インシデント情報を基に前記ログに関する収集対象機器と収集項目を選択する選択部と、
    前記選択部で選択した前記収集対象機器となる特定の制御装置に対するコマンドであって、前記選択部で選択した前記収集項目を含む収集コマンドを前記ネットワークを介して前記特定の制御装置に送信し、前記特定の制御装置から、前記収集コマンドに従った指定のログを前記ネットワークを介して収集するログ収集部と、を含み、
    前記各制御装置は、
    前記監視装置から前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記ネットワークを介して前記監視装置に送信するログ管理部を含み、
    前記監視装置は、
    少なくとも前記ログ収集部の収集による前記指定のログと異常判定基準とを比較して、前記指定のログの異常の有無を判定する異常判定部と、
    前記異常判定部の判定結果による情報を出力する出力部と、を更に含み、
    前記選択部は、
    前記受信した前記インシデント情報に、インシデント状況を示す情報として、攻撃の成功有無の情報が付加されている場合、前記攻撃の成功有無の情報を基に前記収集対象機器に属する機器を変更する
    ことを、特徴とするインシデント検知システム。
  2. 請求項に記載のインシデント検知システムであって、
    前記監視装置は、
    攻撃順序と攻撃の発生した領域及び攻撃内容を含む攻撃パターンが時系列で記録された攻撃パターン格納部を更に備え、
    前記選択部は、
    前記受信した前記インシデント情報に、前記攻撃の成功を示す情報が付加されている場合、前記攻撃パターンを基に今後前記インシデントの影響が及ぼされることが想定される領域を予測し、予測した前記領域に属する機器を前記収集対象機器に属する機器として選択する
    ことを、特徴とするインシデント検知システム。
  3. 請求項に記載のインシデント検知システムであって、
    前記選択部は、
    前記受信した前記インシデント情報に、前記攻撃の失敗を示す情報が付加されている場合、前記インシデントが発生した機器の周囲の機器又は前記インシデントが発生した前記ネットワークに属する機器を前記収集対象機器に属する機器として選択する
    ことを、特徴とするインシデント検知システム。
  4. 請求項1〜のうちいずれか1項に記載のインシデント検知システムであって、
    前記出力部は、
    前記異常判定部の判定結果による情報を出力する場合、前記異常判定部で異常と判定した機器を特定する機器情報と、前記異常判定部で異常と判定した異常の度合いを示す異常度の情報と、前記異常判定部で異常と判定した判定理由を示す判定理由の情報と、前記判定理由に関連するログに関する情報を合わせて出力する
    ことを、特徴とするインシデント検知システム。
  5. 請求項1〜のうちいずれか1項に記載のインシデント検知システムであって、
    前記監視装置と情報の送受信を行うと共に前記複数の制御装置から前記ログを収集するログ収集サーバを更に備え、
    前記ログ収集部は、
    前記収集コマンドを、前記特定の制御装置の代わりに、前記ネットワークを介して前記ログ収集サーバに送信し、
    前記ログ収集サーバは、
    前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記複数の制御装置から収集した前記ログの中から抽出し、抽出した前記指定のログを前記ネットワークを介して前記監視装置に送信し、
    前記ログ収集部は、
    更に、前記ネットワークを介して前記ログ収集サーバから前記指定のログを収集した場合、収集した前記指定のログを前記異常判定部に出力する、
    ことを、特徴とするインシデント検知システム。
  6. ネットワークに接続されて、制御対象に関連するログを収集して管理する複数の制御装置と、
    前記ネットワークで発生したインシデントを検知して、インシデント情報を生成するインシデント検知装置と、
    前記ネットワークを監視して、前記複数の制御装置の各々及び前記インシデント検知装置と情報の送受信を行う監視装置と、を備えたシステムにおけるインシデント検知方法であって、
    前記監視装置が、前記インシデント検知装置から前記インシデント情報を受信した場合、受信した前記インシデント情報を基に前記ログに関する収集対象機器と収集項目を選択する選択ステップと、
    前記監視装置が、前記選択ステップで選択した前記収集対象機器となる特定の制御装置に対するコマンドであって、前記選択ステップで選択した前記収集項目を含む収集コマンドを前記ネットワークを介して前記特定の制御装置に送信し、前記特定の制御装置から、前記収集コマンドに従った指定のログを前記ネットワークを介して収集するログ収集ステップと、
    前記各制御装置が、前記監視装置から前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記ネットワークを介して前記監視装置に送信するログ管理ステップと、
    前記監視装置が、少なくとも前記ログ収集ステップでの収集による前記指定のログと異常判定基準とを比較して、前記指定のログの異常の有無を判定する異常判定ステップと、
    前記監視装置が、前記異常判定ステップでの判定結果による情報を出力する出力ステップと、を含み、
    前記選択ステップでは、
    前記受信した前記インシデント情報に、インシデント状況を示す情報として、攻撃の成功有無の情報が付加されている場合、前記攻撃の成功有無の情報を基に前記収集対象機器に属する機器を変更する
    ことを、特徴とするインシデント検知方法。
  7. 請求項に記載のインシデント検知方法であって、
    前記監視装置が、攻撃順序と攻撃の発生した領域及び攻撃内容を含む攻撃パターンを時系列で記録する攻撃パターン格納ステップを、さらに備え、
    前記選択ステップでは、
    前記受信した前記インシデント情報に、前記攻撃の成功を示す情報が付加されている場合、前記攻撃パターン格納ステップで記録された前記攻撃パターンを基に今後前記インシデントの影響が及ぼされることが想定される領域を予測し、予測した前記領域に属する機器を前記収集対象機器に属する機器として選択する
    ことを、特徴とするインシデント検知方法。
  8. 請求項に記載のインシデント検知方法であって、
    前記選択ステップでは、
    前記受信した前記インシデント情報に、前記攻撃の失敗を示す情報が付加されている場合、前記インシデントが発生した機器の周囲の機器又は前記インシデントが発生した前記ネットワークに属する機器を前記収集対象機器に属する機器として選択する
    ことを、特徴とするインシデント検知方法。
  9. 請求項6〜8のうちいずれか1項に記載のインシデント検知方法であって、
    前記出力ステップでは、
    前記異常判定ステップでの判定結果による情報を出力する場合、前記異常判定ステップで異常と判定した機器を特定する機器情報と、前記異常判定ステップで異常と判定した異常の度合いを示す異常度の情報と、前記異常判定ステップで異常と判定した判定理由を示す判定理由の情報と、前記判定理由に関連するログに関する情報を合わせて出力する
    ことを、特徴とするインシデント検知方法。
  10. 請求項6〜9のうちいずれか1項に記載のインシデント検知方法であって、
    前記監視装置と情報の送受信を行うと共に前記複数の制御装置から前記ログを収集するログ収集サーバを更に備える場合、
    前記ログ収集サーバが、前記収集コマンドを受信した場合、受信した前記収集コマンドに従った前記指定のログを前記複数の制御装置から収集した前記ログの中から抽出し、抽出した前記指定のログを前記ネットワークを介して前記監視装置に送信する送信ステップを更に備え、
    前記ログ収集ステップでは、
    前記監視装置が、前記収集コマンドを、前記特定の制御装置の代わりに、前記ネットワークを介して前記ログ収集サーバに送信し、更に、前記ネットワークを介して前記ログ収集サーバから前記指定のログを収集し、
    前記異常判定ステップでは、
    前記ログ収集ステップで前記ログ収集サーバから収集した前記指定のログと前記異常判定基準とを比較して、前記指定のログの異常の有無を判定する、
    ことを、特徴とするインシデント検知方法。
JP2018055392A 2018-03-22 2018-03-22 インシデント検知システムおよびその方法 Active JP6921776B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018055392A JP6921776B2 (ja) 2018-03-22 2018-03-22 インシデント検知システムおよびその方法
PCT/JP2019/006921 WO2019181370A1 (ja) 2018-03-22 2019-02-22 インシデント検知システムおよびその方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018055392A JP6921776B2 (ja) 2018-03-22 2018-03-22 インシデント検知システムおよびその方法

Publications (2)

Publication Number Publication Date
JP2019168869A JP2019168869A (ja) 2019-10-03
JP6921776B2 true JP6921776B2 (ja) 2021-08-18

Family

ID=67986165

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018055392A Active JP6921776B2 (ja) 2018-03-22 2018-03-22 インシデント検知システムおよびその方法

Country Status (2)

Country Link
JP (1) JP6921776B2 (ja)
WO (1) WO2019181370A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7441719B2 (ja) * 2020-05-11 2024-03-01 株式会社日立ソリューションズ インシデント情報分析装置、分析方法、および分析プログラム
JP7192155B1 (ja) * 2022-03-16 2022-12-19 ソフトバンク株式会社 異常検知サーバ、異常検知システム、及び異常検知方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5972401B2 (ja) * 2013-01-21 2016-08-17 三菱電機株式会社 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム

Also Published As

Publication number Publication date
JP2019168869A (ja) 2019-10-03
WO2019181370A1 (ja) 2019-09-26

Similar Documents

Publication Publication Date Title
US10949534B2 (en) Method for predicting and characterizing cyber attacks
EP3068095B1 (en) Monitoring apparatus and method
CN106462702B (zh) 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统
JP4619254B2 (ja) Idsのイベント解析及び警告システム
JP5926491B2 (ja) ネットワークにおけるセキュリティ保全のための方法及び、プロセッサにセキュリティ保全のための方法を遂行させるようなコンピュータ・プログラムのコンピュータ読取り可能な命令を有しているコンピュータ読取り可能な媒体
CN102663274B (zh) 一种检测远程入侵计算机行为的方法及系统
US20130212681A1 (en) Security Monitoring System and Security Monitoring Method
JP6258562B2 (ja) 中継装置、ネットワーク監視システム及びプログラム
SE524963C2 (sv) Nod och mobil anordning för ett mobiltelekommunikationsnätverk som tillhandahåller intrångsdetektering
US20170134400A1 (en) Method for detecting malicious activity on an aircraft network
WO2018198733A1 (ja) セキュリティ監視システム及びセキュリティ監視方法
JP7311350B2 (ja) 監視装置、監視方法、および監視プログラム
JP6921776B2 (ja) インシデント検知システムおよびその方法
JP7202932B2 (ja) サイバー攻撃検知装置
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
KR20200098838A (ko) 제어신호 패킷과 상태분석을 이용한 제어시스템 이상행위 탐지 시스템 및 그 방법
US9774628B2 (en) Method for analyzing suspicious activity on an aircraft network
CN110598431A (zh) 一种物联网数据处理方法、装置、服务器及存储介质
JP7439669B2 (ja) ログ分析装置
US20200344249A1 (en) Automated incident response process and automated actions
JP7125317B2 (ja) 不正アクセス監視装置および方法
US10701088B2 (en) Method for transmitting data
WO2016092962A1 (ja) 制御装置状態検証システムおよび制御装置状態検証方法
EP3607767B1 (en) Network fault discovery
JP2023050189A (ja) 脅威制御方法およびシステム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200318

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210525

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210625

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210706

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210728

R150 Certificate of patent or registration of utility model

Ref document number: 6921776

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150