CN103259778A - 安全监视系统以及安全监视方法 - Google Patents
安全监视系统以及安全监视方法 Download PDFInfo
- Publication number
- CN103259778A CN103259778A CN201310049324XA CN201310049324A CN103259778A CN 103259778 A CN103259778 A CN 103259778A CN 201310049324X A CN201310049324X A CN 201310049324XA CN 201310049324 A CN201310049324 A CN 201310049324A CN 103259778 A CN103259778 A CN 103259778A
- Authority
- CN
- China
- Prior art keywords
- information
- degree
- communication packet
- communication
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明提供一种既能进行探测到不正当访问或不正当程序等时的迅速对应,由于误探测也不会妨碍控制系统的正常工作的安全监视系统以及安全监视方法。安全监视系统(100)获取构成控制系统(1)的分段(3)内的通信分组,提取所获取到的通信分组之中的、该通信分组所包含的特征值不同于通常的通信分组,生成通信事件信息(150)。而且,安全监视系统(100)通过将该通信事件信息(150)与表示不正当访问等的特征的事件模式进行对照,由此预测被提取为通信事件信息(150)的通信分组对控制系统(1)的影响度。
Description
技术领域
本发明尤其涉及被应用于在成套(plant)设备等的控制中所用的控制系统中的安全监视系统以及安全监视方法。
背景技术
尤其是,在成套设备等的控制中所用的控制系统中,由于与控制动作的执行相关的时间性制约、或构成控制系统的控制装置的处理能力上的制约等,有时难以进行杀毒软件等一般采用的安全对策。
另一方面,作为根据在网络上收集到的通信分组来探测异常通信动作的方法,在专利文献1中公开了基于通讯数据的统计性解析来探测网络的异常的方法。另外,在专利文献2中公开了通过检测与在通讯规则中所定义的内容不同的通讯流由此探测网络的异常的方法。
在先技术文献
专利文献
专利文献1:日本特开2009-049490号公报
专利文献2:日本特开2008-085819号公报
发明内容
但是,在仅将专利文献1所记载的基于统计性解析的异常探测方法应用于控制系统的安全监视中的情况下,有时无法判别作为异常被探测到的通信是否真正由不正当访问或不正当程序的活动所引起。例如,为了维护检修作业等所进行的临时性或局部性通信也可能会作为异常而被误探测。假设在基于误探测而采取了该通信的切断或控制系统的紧急停止等的对应的情况下,会妨碍控制系统的正常工作。
另一方面,在仅将基于规则定义的异常探测方法应用于安全监视中的情况下,由于随着成为应用对象的控制系统的规模变大而应该定义的规则集的量也增大,因此安全确立的负担变大。另外,在利用软件的漏洞这种类型的不正当访问或基于冒充的不正当访问中,也存在遵循标准的协议进行的访问,也存在着与规则的对照也无法探测到的访问。
本发明正是鉴于这种背景而完成的,本发明的课题在于提供一种既能进行在探测到不正当访问或不正当程序等时的迅速对应,误探测也不会妨碍控制系统的正常工作的安全监视系统以及安全监视方法。
为了解决上述课题,本发明涉及的安全监视系统获取构成控制系统的分段(segment)内的通信分组,提取所获取到的通信分组之中的、该通信分组所包含的特征值不同于通常的通信分组,生成通信事件信息。而且,安全监视系统通过将该通信事件信息与表示不正当访问等的特征的事件模式进行对照,由此预测被提取为通信事件信息的通信分组对控制系统的影响度。
发明的效果
根据本发明,能够提供一种既能进行在探测到不正当访问或不正当程序等时的迅速对应,由于误探测也不会妨碍控制系统的正常工作的安全监视系统以及安全监视方法。
附图说明
图1是表示本发明的第1实施方式涉及的安全监视系统的整体构成的图。
图2是表示本发明的第1实施方式涉及的事件提取装置的构成例的功能框图。
图3是表示本发明的第1实施方式涉及的通信事件信息的数据构成例的图。
图4是表示本发明的第1实施方式涉及的监视装置的构成例的功能框图。
图5是表示本发明的第1实施方式涉及的事件模式的例子的图。
图6是表示本发明的第1实施方式涉及的对应指令装置的构成例的功能框图。
图7是表示本发明的第1实施方式涉及的事件提取装置所进行的学习值信息生成处理的流程的流程图。
图8是表示本发明的第1实施方式涉及的事件提取装置所进行的通信事件信息生成处理的流程的流程图。
图9是表示本发明的第1实施方式涉及的监视装置所进行的影响度等级决定处理的流程的流程图。
图10是表示本发明的第2实施方式涉及的安全监视系统的整体构成的图。
图11是表示本发明的第2实施方式涉及的事件提取装置的构成例的功能框图。
图12是表示本发明的第2实施方式涉及的通信频度信息的数据构成例的图。
图13是表示本发明的第2实施方式涉及的监视装置的构成例的功能框图。
图14是表示本发明的第2实施方式涉及的通信频度信息(整体)的数据构成例的图。
图15是用于说明本发明的第2实施方式涉及的装置相关图表(map)的数据构成例的图。
图16是用于说明本发明的第2实施方式涉及的预测影响范围信息生成部所进行的预测影响范围信息的生成处理的图。
图17是表示本发明的第2实施方式涉及的对应指令装置的构成例的功能框图。
具体实施方式
其次,参照附图,对用于实施本发明的方式(以下称为“实施方式”)进行详细地说明。
《第1实施方式》
首先,对本发明的第1实施方式涉及的安全监视系统100进行说明。
本发明的安全监视系统100与成为监视对象的控制系统1相连接,获取在控制系统1内被收发的通信分组,在探测到不正当访问或不正当程序等的情况下,进行将与该不正当访问或不正当程序所导致的影响度相应的对应指令发送至控制系统1的处理。
<系统的整体构成>
图1是表示本发明的第1实施方式涉及的安全监视系统100的整体构成的图。
如图1所示,安全监视系统100与构成控制系统1的各分段3的每一个相互连接。此外,在此分段3是指,由1台以上的控制装置2构成的控制网络。而且,该分段3由1个以上构成,各分段3彼此之间根据需要可连接。另外,控制装置2例如除了控制器或PLC(Programmable LogicController)等进行实际控制动作的装置之外,还包括服务器或操作终端、开发装置等的构成控制系统1的其他装置。
安全监视系统100如图1所示,构成为包括:与控制系统1的分段3(#1~#n)分别对应地设置的各事件提取装置10(#1~#n)、监视装置20、和对应指令装置30。
事件提取装置(事件提取单元)10从与自身相连接的控制系统1的分段3中接收通信分组,提取与通常收发的通信分组不同的通信分组,并作为通信事件信息150而发送至监视装置20。监视装置(监视单元)20基于接收到的通信事件信息150,预测由该通信分组所引起的不正当访问等对控制系统1的影响度,并作为预测影响度信息250而发送至对应指令装置30。对应指令装置(对应指令单元)30在接收到预测影响度信息250时,根据该影响度等级将控制系统1应该进行的对应(控制系统1的全部停止或分段3内的控制装置2的停止等)作为对应指令信息350而发送至控制系统1。此外,关于各装置所进行的处理或收发的各信息的详细内容在后面叙述。
其次,对安全监视系统100中的各装置的具体构成进行说明。
(事件提取装置)
图2是表示本发明的第1实施方式涉及的事件提取装置(事件提取单元)10的构成例的功能框图。事件提取装置10经由通信线路而与控制系统1内的1个分段3连接。另外,事件提取装置10与安全监视系统100内的监视装置20连接。
该事件提取装置10如图2所示,构成为包括:控制部11、输入输出部12、存储器部13、和存储部14,且从分段3接收通信分组,提取与通常收发的通信分组不同的通信分组,并作为通信事件信息150而发送至监视装置20。
控制部11承担事件提取装置10所进行的全部处理,构成为包括:分组接收部111、学习值信息生成部112、通信事件提取部113、通信事件信息生成部114、和输出处理部115。
分组接收部111经由输入输出部12而从分段3接收通信分组。
学习值信息生成部112从分组接收部111获取通信分组,提取作为所获取到的通信分组中包含的公共信息的特征值,例如目的地地址、发送源地址、数据长度、协议类别等,生成通常时的采样数据。而且,学习值信息生成部112利用规定的学习算法来对所生成的通常时的采样数据进行处理,并将该结果作为学习值信息110而存储至存储部14。作为规定的学习算法,例如利用支持向量机或矢量量化聚类等。
该学习值信息110的生成处理在由安全监视系统100执行控制系统1的不正当访问或不正当程序等的监视之前,预先执行。例如,在控制系统1的正式运用前的试验运用等中,在正常运转时的通信趋势所能获取的阶段内被进行。学习值信息生成部112通过该学习值信息110的生成处理,来预先学习控制系统1处于正常动作中的通信分组的特征值。此外,在后述的图7中说明该学习值信息110的生成处理(学习值信息生成处理)的详细内容。
通信事件提取部113从分组接收部111中获取通信分组,提取作为分别被共同地赋予给所获取到的通信分组的信息的特征值,通过与基于学习值信息110被设定的特征值判定信息120进行比较,由此判定是否与通常不同。而且,通信事件提取部113提取包括被判定出与通常不同的特征值在内的通信分组。作为特征值,例如采用目的地地址、发送源地址、数据长度、协议类别等。
在该特征值判定信息120中,基于学习值信息生成部112所生成的学习值信息110,通过安全监视系统100的管理者等,预先(在执行不正当访问等的监视之前)设定用于判定出是与通常不同的通信分组的每个特征值的设定条件。而且,学习值信息生成部112将该特征值判定信息120预先存储至存储部14。
而且,通信事件提取部113基于学习值信息110被设定的特征值判定信息120中所包含的每个特征值的设定条件,进行从通信分组中提取出的各特征值是否与通常不同的判定。
例如,通信事件提取部113在特征值为目的地地址的情况下,通常在同一分段3内所用的地址被预先设定范围,因此在作为特征值判定信息120的设定条件而目的地地址相应在“192.168.xx.yy”内的情况下(例如,“192.168.10.1”),判定出为通常的目的地地址。另一方面,在所获取到的通信分组中是在该地址范围以外被设定的目的地地址的情况下,通信事件提取部113基于设定条件而判定出特征值(目的地地址)与通常不同。
此外,通信事件提取部113即便针对特征值为发送源地址的情况,也同样地基于设定条件通过是否包含于地址范围内来判定特征值(发送源地址)是否与通常不同。
另外,通信事件提取部113在特征值为数据长度的情况下,基于学习值信息110,预先掌握通常的通信分组的数据长度,作为特征值判定信息120的设定条件而针对超过规定的阈值的长度的数据长度的通信分组、或比规定的阈值还短的数据长度的通信分组,判定出是与通常不同的特征值(数据长度)。
通信事件提取部113在特征值为协议类别的情况下,基于学习值信息110,将通常使用的通信分组的协议类别(例如,UDP(User DatagramProtocol)、TCP(Transmission Control Protocol))设为特征值判定信息120的设定条件,在是与以该设定条件注册的通常使用的通信分组的协议不同的协议(例如,FTP(File Transfer Protocol)、TELNET)等的情况下,判定出是与通常不同的特征值(协议类别)。
通信事件信息生成部114生成包括通信事件提取部113提取出的与通常不同的特征值在内的通信分组所相应的通信事件信息150。而且,通信事件信息生成部114经由输出处理部115而向监视装置20发送所生成的通信事件信息150。
图3是表示本发明的第1实施方式涉及的通信事件信息150的数据构成例的图。
如图3所示,通信事件信息150构成为包括:头部151、管理信息152、和特征值153~156。
在头部151中描述了表示该信息是通信事件信息150的信息。
在管理信息152中,由通信事件信息生成部114赋予了事件ID(Identification)、生成源ID、生成时刻。在此,事件ID是该通信事件所固有的ID。生成源ID是生成了该通信事件信息150的事件提取装置10所固有的ID。生成时刻表示由通信事件信息生成部114生成了该通信事件信息150的时刻。
在特征值153~156中,作为通信事件提取部113从通信分组中提取出的各特征值的信息,例如描述了:特征值“1”(目的地地址)153、特征值“2”(发送源地址)154、特征值“3”(数据长度)155、特征值“4”(协议类别)156。
这样,在通信事件信息150中赋予了通信事件提取部113提取并进行过判定的各特征值的信息。此外,因为通信事件信息生成部114生成包括与通常不同的特征值在内的通信分组所相应的通信事件信息150,所以在各特征值之中包含至少一个被判定出与通常不同的特征值。
返回到图2,输出处理部115进行如下处理:经由输入输出部12将通信事件信息生成部114所生成的通信事件信息150(参照图3)输出至监视装置20。
输入输出部12由用于在与其他装置之间进行信息收发的通信接口、和用于在与键盘等的输入装置或监视器等的输出装置之间进行信息收发的输入输出接口而构成。
存储器部13由RAM(Random Access Memory)等的一次存储装置构成,暂时存储控制部11的处理所需的信息。
存储部14由HDD(Hard Dick Drive)、闪存等的存储介质构成。而且,在该存储部14中存储有上述的学习值信息110、特征值判定信息120。在该特征值判定信息120中,如上述那样,用于通信事件提取部113针对每个特征值判定是否与通常不同的设定条件是基于学习值信息110而由管理者等设定的。
此外,控制部11通过该事件提取装置10所具备的未图示的CPU(Central Processing Unit)所进行的程序执行处理或专用电路等来实现。而且,在通过程序执行处理来实现该控制部11的功能的情况下,在存储部14中保存有由CPU读出并执行的程序。
(监视装置)
图4是表示本发明的第1实施方式涉及的监视装置(监视单元)20的构成例的功能框图。监视装置20经由通信线路而与各事件提取装置10(#1~#n)以及对应指令装置30连接。
该监视装置20如图4所示,构成为包括:控制部21、输入输出部22、存储器部23、存储部24、和事件缓冲器25,且基于从事件提取装置10接收到的通信事件信息150,来预测该通信分组的不正当访问等对控制系统1的影响度,并作为预测影响度信息250而发送至对应指令装置30。
控制部21承担监视装置20所进行的全部处理,构成为包括通信事件信息接收部211、影响度预测处理部212、和输出处理部213。
通信事件信息接收部211经由输入输出部22来获取通信事件信息150,并保存至事件缓冲器25。
在此,事件缓冲器25是保存通信事件信息150的存储单元。而且,被输入至该事件缓冲器25中的通信事件信息150为了使后述的影响度预测处理中的利用简化,例如针对被输出的每个事件提取装置10(#1~#n)按输入时刻依次进行保存,并作为输入履历来进行保存。
此外,通信事件信息接收部211在通信事件信息150被保存至事件缓冲器25之后,在规定的时间以内没有输入新的通信事件信息150的情况下,也可将所保存的通信事件信息150从事件缓冲器中删除。
影响度预测处理部212进行以下说明的影响度预测处理,将作为该结果所生成的预测影响度信息250经由输出处理部213而发送至对应指令装置30。
具体进行说明,影响度预测处理部212监视通信事件信息接收部211将通信事件信息150保存至事件缓冲器25的情况。而且,影响度预测处理部212在探测到通信事件信息150向事件缓冲器25输入时,获取包括被输入的通信事件信息150在内的输入履历。此外,影响度预测处理部212参照作为管理信息152被赋予给所输入的通信事件信息150的生成源ID,来获取由来自生成源ID相同的事件提取装置10、即相同分段3的通信分组而生成的通信事件信息150的输入履历。
其次,影响度预测处理部212将所获取到的输入履历、和在存储部24内的事件模式DB(DataBase)241中保存的各事件模式200进行对照,并在该类似度超过了规定的阈值的情况下,评价出检测到相类似的事件模式200。在此,事件模式200是指,在每当发送一连串不正当通信分组来妨碍正常处理的不正当访问时,使带有构成该一连串不正当通信分组的各个通信分组的特征的条件与一连串通信分组对应起来并组合的信息。具体而言,在以下的图5中进行说明。
图5是表示本发明的第1实施方式涉及的事件模式200的例子的图。图5(a)是表示踩踏基于多个通信分组的处理步骤来进行攻击的这种形式的不正当访问的事件模式200(200(A))的例子。图5(b)是表示附带发送大量无意义数据而给服务器施加负载的所谓的DoS(Denial ofService)攻击的这种形式的不正当访问的事件模式200(200(B))的例子。
图5(a)的事件模式200(A)首先如作为第一个通信分组而发送具有事件模式200(A)的第一个所示出的构成要素即事件模式(A-1)的特征的通信分组,作为第二个通信分组而发送具有事件模式(A-2)的特征的通信分组这样,一般附带发送多个通信分组,由此实现不正当访问等。于是,将以该不正当访问的事件模式200(A)发送出的、各通信分组的特征值(例如,目的地地址、发送源地址、数据长度、协议类别)与按该发送顺序设定的条件进行对照。在此,作为特征值的条件,例如设定了特征值条件“1”(目的地地址)、特征值条件“2”(发送源地址)、特征值条件“3”(数据长度)、特征值条件“4”(协议类别)。此外,在事件模式200中,除了特征值条件以外,还能够设定以下那样的条件。例如,在该形式的事件模式200(A)中,由于有时会包括反复发送同种通信分组的处理,因此与之对应地还能够设定重复次数条件201。另外,关于第二个以后的通信分组,由于也存在在从第一个通信分组的发送起的时间(发送间隔)具有特征的时间,因此与之对应地还能够设定时滞(time lag)条件202。
此外,在特征值条件中,例如针对目的地地址、发送源地址、数据长度、协议类别,该事件模式200所示的不正当访问等的通信分组中被利用的各特征值的范围被设定为规定的条件。
例如,在与某事件模式200(A)的第一个通信分组对应的事件模式(A-1)中,作为特征值条件“1”(目的地地址),将用于判定出是基于不正当访问或不正当程序的通信分组的条件,设定在通常利用的目的地地址、即“192.168.xx.yy”的范围外。另外,关于特征值条件“2”(发送源地址),也同样地设定在“192.168.xx.yy”的范围外。关于特征值条件“3”(数据长度),基于该不正当访问等的通信分组的特征,例如设定超过规定的阈值的长度的数据长度。关于特征值条件“4”(协议类别),设定在该不正当访问等中用到的协议类别(可设定多个)。
而且,影响度预测处理部212按照输入履历所示的顺序,依次将新输入的通信事件信息150与事件模式200的所对应的构成要素(事件模式(A-1)~(A-m))进行对照。例如,影响度预测处理部212将第一个输入的通信事件信息150与事件模式(A-1)进行对照。然后,将第二个输入的通信事件信息150与事件模式(A-2)进行对照。此外,在此影响度预测处理部212所进行的对照是指,在满足了事件模式(A-1)~(A-m)的每一个中所设定的所有条件的情况下,针对该事件模式(A-1)~(A-m)的每一个而判定出对照结果相一致。
而且,在结束所设定的事件模式(A-1)~(A-m)的对照时,影响度预测处理部212算出表示m个之中存在几个相一致的类似度。例如,也可在对照过的事件模式(A-1)~(A-m)中,在判定出与通信事件信息150的对照结果全部一致的情况下,将类似度设为“1”,在判定出一半的通信事件信息150的对照结果相一致的情况下,类似度成为“0.5”。而且,影响度预测处理部212在所算出的类似度超过规定的阈值的情况下,评价出是基于该事件模式200(A)的不正当访问。
此外,在检测到多个超过规定的阈值的事件模式200的情况下,影响度预测处理部212也可采用在被检测到的事件模式200之中类似度最高的事件模式200。
图5(b)的事件模式200(B)表示DoS攻击那样的将同种通信分组发送到对象时的事件模式200的条件,除了特征值条件之外还设定重复次数条件201。
影响度预测处理部212在与事件模式200(B)的各特征值条件相符合的通信事件信息150超过了对重复次数条件201所设定的次数时,评价出是基于事件模式200(B)的Dos攻击。
接下来,影响度预测处理部212在检测到相类似的事件模式200的情况下,参照在存储部24中存储的影响度等级信息242,来决定该事件模式200的影响度等级。在此,影响度等级表示给控制系统1带来影响的程度,在该影响度等级信息242中,与表示不正当访问或不正当程序等的事件模式200相对应关联地,按对控制系统1的影响(危险度)高的顺序,设定例如“4”~“1”的4个级别的影响度等级。此外,影响度预测处理部212即便是没有检测到相类似的事件模式200的情况下,也可决定为影响度最低的影响度等级。另外,影响度预测处理部212也可将在参照影响度等级信息242所获得到的影响度等级上乘以类似度之后的值,采用为该事件模式的影响度等级。
而且,影响度预测处理部212生成包含该影响度等级的信息在内的预测影响度信息250,并经由输出处理部213而发送至对应指令装置30。
输出处理部213进行如下处理:经由输入输出部22而将影响度预测处理部212所生成的预测影响度信息250输出至对应指令装置30。
输入输出部22由用于在与其他装置之间进行信息收发的通信接口、和用于在与键盘等的输入装置或监视器等的输出装置之间进行信息收发的输入输出接口而构成。
存储器部23由RAM等的一次存储装置构成,暂时存储控制部21的处理所需的信息。
存储部24由HDD、闪存等的存储介质构成。而且,在该存储部24中存储有:保存了上述的各事件模式200(参照图5)的事件模式DB241、和设定了与各事件模式200对应的影响度等级的影响度等级信息242。
事件缓冲器25由RAM等的存储介质构成,且上述的通信事件信息150针对每个事件提取装置10而保存为输入履历。
此外,控制部21由该监视装置20所具备的未图示的CPU所进行的程序执行处理或专用电路等来实现。而且,在通过程序执行处理实现控制部21的功能的情况下,在存储部24中保存了由CPU读出并执行的程序。
(对应指令装置)
图6是表示本发明的第1实施方式涉及的对应指令装置(对应指令单元)30的构成例的功能框图。对应指令装置30经由通信线路而与监视装置20以及控制系统1内的各控制装置2连接。
该对应指令装置30如图6所示,构成为包括:控制部31、输入输出部32、存储器部33、和存储部34,且根据被赋予给从监视装置20接收到的预测影响度信息250的影响度等级,将控制系统1的各控制装置2应该进行的对应作为对应指令信息350而发送至控制系统1。
控制部31承担对应指令装置30所进行的全部处理,构成为包括:预测影响度信息接收部311、对应指令信息生成部312、和输出处理部313。
预测影响度信息接收部311经由输入输出部33而从监视装置20接收预测影响度信息250。
对应指令信息生成部312从预测影响度信息接收部311中获取预测影响度信息250。而且,对应指令信息生成部312基于被赋予给该预测影响度信息250的影响度等级,参照存储部34内的影响度等级/对应指令变换信息300,来决定对应指令。
在此,在影响度等级/对应指令变换信息300中,如图6所示那样,与影响度等级相对应地,该对应指令预先由管理者等设定。
例如在影响度等级为“4”的情况下,作为危险性非常高的不正当访问等,而指令控制系统1全部停止。在影响度等级为“3”的情况下,指令相应分段3的停止(相应分段3内的所有控制装置2的停止)。在影响度等级为“2”的情况下,指令相应控制装置2的停止。而且,在影响度等级为“1”的情况下,执行对控制系统1发送警报信息的指令。
对应指令信息生成部312参照该影响度等级/对应指令变换信息300,来决定相应的分段3或控制装置2,并生成基于该对应指令的对应指令信息350。
输出处理部313进行如下处理:经由输入输出部32而将对应指令信息生成部312所生成的对应指令信息350输出至控制系统1内的所相应的控制装置2。此时,输出处理部313既能向控制系统1的所有控制装置2广播对应指令信息350,也能够在作为该不正当访问或不正当程序给控制系统1内带来的影响而考虑例如类别或功能、其他属性、并定制了对应指令的内容的基础上,向该分段3内的控制装置2全部或分段3内的一部分的控制装置2输出。在该情况下,也可使监视装置20所发送的预测影响度信息250附带事件模式200固有的ID来进行发送,对应指令装置30的输出处理部313基于该事件模式200所示的不正当访问等的特性来定制对应指令信息350的发送目的地、内容。
另外,输出处理部313也可向某个分段3内的控制装置2发送限制通信(仅接收且不可发送)那样的对应指令的对应指令信息350。
输入输出部32由用于在与其他装置之间进行信息收发的通信接口、和用于在与键盘等的输入装置或监视器等的输出装置之间进行信息收发的输入输出接口而构成。
存储器部33由RAM等的一次存储装置构成,临时存储控制部31的处理所需的信息。
存储部34由HDD、闪存等的存储介质构成。而且,在该存储部24中存储了上述的影响度等级/对应指令变换信息300。
此外,控制部31由该对应指令装置30所具备的未图示的CPU所进行的程序执行处理或专用电路等来实现。而且,在通过程序执行处理来实现控制部31的功能的情况下,在存储部34中保存了由CPU读出并执行的程序。
<处理的方法>
其次,对本发明的第1实施方式涉及的安全监视系统100所进行的处理的流程具体地进行说明。
首先,说明安全监视系统100的整体处理流程,然后对构成安全监视系统100的事件提取装置10所进行的学习值信息生成处理以及通信事件信息生成处理、监视装置20所进行的影响度等级决定处理具体地进行说明。
(整体处理流程)
主要参照图1来说明整体处理流程。安全监视系统100的各事件提取装置10如图1所示,从控制系统1的所对应的分段3中接收通信分组。而且,事件提取装置10基于利用预先生成的学习值信息110(参照图2)所设定的特征值判定信息120,提取所接收到的通信分组的特征值与通常不同的通信分组,生成通信事件信息150(参照图3)(通信事件信息生成处理),并发送至监视装置20(参照图1、图2)。
其次,监视装置20将包括所接收到的通信事件信息150在内的输入履历与在事件模式DB241(参照图4)中存储的各事件模式200(参照图5)进行对照。而且,监视装置20在检测到相类似的事件模式时,参照影响度等级信息(参照图4)来决定该事件模式200对控制系统1的影响度(影响度等级决定处理),生成赋予了该影响度等级的信息的预测影响度信息250,并发送至对应指令装置30(参照图1、图4)。
其次,对应指令装置30在接收到预测影响度信息250时,参照影响度等级/对应指令变换信息300(参照图6),根据该影响度等级将在控制系统1内应该进行的对应(控制装置2的停止等)作为对应指令信息350而发送至控制系统1(参照图1、图6)。
(事件提取装置的学习值信息生成处理)
其次,参照图7,对事件提取装置10的学习值信息生成部112(参照图2)所进行的学习值信息生成处理进行说明。图7是表示本发明的第1实施方式涉及的事件提取装置10所进行的学习值信息生成处理的流程的流程图。
此外,学习值信息生成部112在安全监视系统100执行控制系统1的不正当访问等的监视之前,通过预先执行该学习值信息生成处理,由此预先生成学习值信息110。而且,是管理者等基于该生成的学习值信息110来设定特征值判定信息120的。
如图7所示,首先事件提取装置10的学习值信息生成部112判定经由接收到分段3上的通信分组的分组接收部111是否获取到该通信分组(步骤S10)。在此,如果学习值信息生成部112没有获取到通信分组(步骤S10→“否”),则等待至获取到通信分组为止。另一方面,学习值信息生成部112在获取到通信分组的情况下(步骤S10→“是”),进入下一步骤S11。此外,该通信分组的获取例如是在控制系统1的正式运用前等被进行,通过进行模拟了通常运转时的通信,由此收集进行正常动作的状态下的通信分组。
其次,学习值信息生成部112提取在所获取到的通信分组中所包含的特征值(步骤S11)。该特征值例如是目的地地址、发送源地址、数据长度、协议类别等的信息。
接下来,学习值信息生成部112利用规定的学习算法来处理所提取出的各特征值的信息,生成学习值信息110(步骤S12),并存储至存储部14。作为学习算法,例如使用支持向量机或矢量量化聚类等。
然后,学习值信息生成部112判定是否结束了学习(步骤S13)。该是否结束了学习的判定是通过针对控制系统1中的规定的运转模式是否处理了获得数据所需的充足通信分组,由此进行判定的。例如,学习值信息生成部112在处理过的通信分组的个数超过了规定的阈值的情况下,也可判定出充分处理了与某运转模式相关联的通信分组的数据,也可通过处理从某运转模式的一连串处理开始至结束为止的通信分组,而判定出进行了充分处理,也可在将一连串处理反复进行了所决定的次数时,判断出充分处理了规定的通信分组,管理者预先设定关于该控制系统1的运转模式而仅认定充分收集了在通常时被收发的通信分组的信息的判定条件。
而且,学习值信息生成部112在判定出不是学习结束的情况下(步骤S13→“否”),返回到步骤S10,继续进行处理。另一方面,学习值信息生成部112在判定出学习结束的情况下(步骤S13→“是”),结束学习值信息生成处理。
(事件提取装置的通信事件信息生成处理)
其次,参照图8,对事件提取装置10的通信事件提取部113以及通信事件信息生成部114(参照图2)所进行的通信事件信息生成处理进行说明。图8是表示本发明的第1实施方式涉及的事件提取装置10所进行的通信事件信息生成处理的流程的流程图。
此外,该通信事件信息生成处理是在控制系统1的工作中(正式运转时的不正当访问等的监视中)被进行的处理。
如图8所示,首先事件提取装置10的通信事件提取部113判定经由接收到分段3上的通信分组的分组接收部111是否获取到该通信分组(步骤S20)。在此,如果通信事件提取部113没有获取到通信分组(步骤S20→“否”),则等待至获取到通信分组为止。另一方面,通信事件提取部113在获取到通信分组的情况下(步骤S20→“是”),进入下一步骤S21。
其次,通信事件提取部113提取在所获取到的通信分组中所包含的特征值(步骤S21)。该特征值是与学习值信息生成部112在学习值信息生成处理中从通信分组提取出的特征值同样的、例如目的地地址、发送源地址、数据长度、协议类别等的信息。
接下来,通信事件提取部113针对所提取出的特征值的每一个,通过是否满足在存储部14内的特征值判定信息120中存储的各特征值所相应的设定条件,来判定该特征值是否与通常不同(步骤S22)。该设定条件如上述那样,在特征值为目的地地址或发送源地址的情况下,只要在预先设定的通常使用的地址范围内,就判定出是通常使用的地址,如果不在该地址范围内,则判定出是与通常不同的地址。另外,在特征值为数据长度的情况下,通过数据长度的长度超过规定的阈值、或者短于规定的阈值,来判定是否与通常不同。另外,在特征值为协议类别的情况下,当与所设定的通常使用的协议不同的协议被使用时,判定出是与通常不同的协议。
然后,通信事件提取部113判断所判定的所有特征值是否被判定在通常的范围(步骤S23)。而且,在所有特征值被判定在通常的范围的情况下(步骤S23→“是”),结束通信事件信息生成处理。
另一方面,通信事件提取部113在判定出所判定的特征值之中至少一个与通常不同的情况下(步骤S23→“否”),将该通信分组的各特征值的信息输出至通信事件信息生成部114,进入下一步骤S24。
在步骤S24中,通信事件信息生成部114生成包括从通信事件提取部113获取到的通信分组的各特征值在内的通信事件信息150(图3)。然后,通信事件信息生成部114将该生成的通信事件信息150经由输出处理部115而发送至监视装置20,结束通信事件信息生成处理。
如此一来,事件提取装置10针对从分段3接收到的通信分组,关于包括至少一个与通常不同的特征值在内的通信分组,能够生成通信事件信息150,并发送至监视装置20。
(监视装置的影响度等级决定处理)
其次,参照图9,对监视装置20的影响度预测处理部212(参照图4)所进行的影响度等级决定处理进行说明。图9是表示本发明的第1实施方式涉及的监视装置20所进行的影响度等级决定处理的流程的流程图。
如图9所示,首先监视装置20的影响度预测处理部212通过监视通信事件信息接收部211(参照图4)将通信事件信息150保存至事件缓冲器25的处理,由此判定是否接收到通信事件信息150(步骤S30)。
在此,影响度预测处理部212在通信事件信息接收部211没有接收到通信事件信息150的情况下(步骤S30→“否”),等待至接收到通信事件信息150为止。
另一方面,影响度预测处理部212在通信事件信息接收部211接收到通信事件信息150的情况下(步骤S30→“是”),进入下一步骤S31。
在步骤S31中,影响度预测处理部212从事件缓冲器25中获取包括在步骤S30中通信事件信息接收部211接收到的通信事件信息150在内的输入履历。然后,影响度预测处理部212对照所获取到的通信事件信息150的输入履历、和在存储部24内的事件模式DB241中保存的各事件模式200。
然后,影响度预测处理部212判定是否存在与输入履历相类似的事件模式200(步骤S32)。影响度预测处理部212针对图5所示那样的事件模式200的每一个,每当输入一个通信事件信息150时,针对每个分段3的输入履历、和所对应的事件模式200的构成要素(例如,图5的事件模式(A-1)~(A-m))之中的一个,判定该特征值条件、重复次数条件、时滞条件等的条件是否全部一致。而且,算出在与事件模式200的构成要素对照过的m个通信事件信息150之中几个与通信事件信息150的对照相一致的类似度,在该类似度为规定的阈值以上的情况下,判定出该输入履历与该事件模式200相类似。
在此,影响度预测处理部212在存在与该输入履历相类似的事件模式200的情况下进入至步骤S33,在不存在的情况下进入至步骤S34。
在步骤S33中,影响度预测处理部212参照影响度等级信息242(图4)来决定被判定为相类似的事件模式200对控制系统1的影响度等级(例如,影响度等级“4”~“2”之中的一个)。此外,影响度预测处理部212在步骤S32中被判定为相类似的事件模式200存在多个的情况下,将该类似度高的事件模式200选择为与输入履历相类似的事件模式200,并决定该影响度等级。然后,进入至下一步骤S35。
另一方面,在步骤S32中被判定为相类似的事件模式200不存在的情况下(步骤S32→“否”),影响度预测处理部212作为影响度等级而决定为最低的早期警戒等级(例如,影响度等级“1”)(步骤S34)。然后,进入至下一步骤S35。
其次,影响度预测处理部212判定在距当前时刻的过去的规定时间内从其他事件提取装置10是否没有接收到另一通信事件信息150(步骤S35)。
然后,影响度预测处理部212在接收到来自其他事件提取装置10的通信事件信息150的情况下(步骤S35→“是”),由于意味着在其他的分段3中也探测到与通常运转时的通信趋势不同的通信分组,因此判定出不正当访问等所导致的迫害正在扩大,将由步骤S33以及S34决定出的影响度等级向上方修正一个等级(步骤S36)。然后,进入至下一步骤S37。
另一方面,在步骤S35中在规定的时间内没有接收到来自其他事件提取装置10的通信事件信息150的情况下(步骤S35→“否”),进入至下一步骤S37。
在步骤S37中,影响度预测处理部212生成包括所决定的影响度等级在内的预测影响度信息250,并经由输出处理部213而发送至对应指令装置30。
如此一来,监视装置20能够判定包括从各事件提取装置10接收到的通信事件信息150在内的输入履历是否与不正当访问等的事件模式200相类似,并决定该影响度等级。
《第2实施方式》
其次,对本发明的第2实施方式涉及的安全监视系统100b进行说明。
第2实施方式涉及的安全监视系统100b收集在分段3中被收发的通信分组,通过参照基于控制装置2之间的通信履历而生成的装置相关图表210(后述的图15),来预测事件提取装置10所生成的通信事件信息150的波及路线。在此,所谓波及路线是在被提取为通信事件信息150的通信分组是不正当访问等的情况下,在接收到该通信分组的控制装置2作为下一处理所生成的通信分组中被预测为受到影响的可能性高的通信分组的路径,具体而言由作为与一连串控制相关联的处理而被收发的通信分组的路径上的控制装置2组来表示。在第2实施方式涉及的安全监视系统100b中,基于正常时的控制装置2之间的通信分组的收发的通信履历来制成装置相关图表210(图15),在装置之间的相关性高于规定的值的情况下,判定出受到不正当访问等影响的可能性高。
而且,第2实施方式涉及的安全监视系统100b的特征在于,对存在于波及路线上的控制装置2优先发送对应指令信息350。
<系统的整体构成>
图10是表示本发明的第2实施方式涉及的安全监视系统100b的整体构成的图。安全监视系统100b具备:与控制系统1的分段3对应地设置的多个事件提取装置10b(#1~#n)、监视装置20b、和对应指令装置30b。
与图1所示的、本发明的第1实施方式涉及的安全监视系统100不同之处在于,事件提取装置10b除了通信事件信息150之外,还生成表示分段3内的控制装置2之间的通信分组的收发的次数(频度)的通信频度信息160(后述的图12),并发送至监视装置20b。另外,监视装置20b基于从各事件提取装置10b接收到的通信频度信息160来生成装置相关图表210(图15),决定被判定为与不正当访问等的事件模式200相类似的通信分组的波及路线,并将表示该波及路线上的控制装置2的信息作为预测影响范围信息260而发送至对应指令装置30b。对应指令装置30对预测影响范围信息260所示的波及路线上的控制装置2优先发送对应指令信息350。
其次,对安全监视系统100b中的各装置的具体构成进行说明。
(事件提取装置)
图11是表示本发明的第2实施方式涉及的事件提取装置10b的构成例的功能框图。与本发明的第1实施方式涉及的事件提取装置10(图2)不同之处在于,除了事件提取装置10的各构成之外,还具备通信频度信息生成部116。通信频度信息生成部116总计从分段3接收到的各通信分组,生成通信频度信息160(图12),并发送至监视装置20b。因为其他构成与图2所示的事件提取装置10同样,所以省略其说明。
通信频度信息生成部116经由分组接收部111获取与在学习值信息生成部112生成学习值信息110时所获取的各通信分组同样的通信分组,并生成通信频度信息160。
图12是表示本发明的第2实施方式涉及的通信频度信息160的数据构成例的图。
如图12所示,通信频度信息160基于从分段3接收到的各通信分组的信息,由与发送源地址和目的地地址的所有组合分别相应的通信分组的个数被计数而得到的矩阵构成。
图12(a)所示的例子例如表示连接有分段3(#1)(参照图10)的事件提取装置10b(#1)的通信频度信息生成部116所生成的通信频度信息160。在图12(a)中示出:例如从发送源地址“192.168.10.1”的控制装置2向目的地地址“192.168.10.2”的控制装置2发送出的通信分组检测到1200个,从相同的发送源地址“192.168.10.1”的控制装置2向目的地地址“192.168.10.3”的控制装置2发送出的通信分组检测到250个。
另外,图12(b)所示的例子例如表示连接有分段3(#2)(参照图10)的事件提取装置10b(#2)的通信频度信息生成部116所生成的通信频度信息160。
此外,同一地址之间的通信为总计对象外,在图12中示出为“-”。
事件提取装置10b的通信频度信息生成部116基于从分段3接收到的通信分组的信息,生成图12所示那样的通信频度信息160,并发送至监视装置20b。
此外,由事件提取装置10b所进行的、通信频度信息160向监视装置20b的发送,在安全监视系统100b执行控制系统1的不正当访问等的监视之前(控制系统1的正式运用前)预先进行。
(监视装置)
图13是表示本发明的第2实施方式涉及的监视装置20b的构成例的功能框图。与本发明的第1实施方式涉及的监视装置20(图4)不同之处在于,除了监视装置20的各构成之外,还具备通信频度信息接收部214、装置相关图表生成部215以及预测影响范围信息生成部216。因为其他构成与图4所示的监视装置20同样,所以省略其说明。
通信频度信息接收部214经由输入输出部22而从各事件提取装置10b中获取通信频度信息160(图12),并交给装置相关图表生成部215。
装置相关图表生成部215结合各事件提取装置10b所生成的通信频度信息160,来生成表示控制系统1整体的通信频度的通信频度信息160(以下记载为“通信频度信息(整体)160”)。
图14是表示本发明的第2实施方式涉及的通信频度信息(整体)160的数据构成例的图。
在图14中示出:作为通信频度信息(整体)160而结合了图12(a)所示的通信频度信息160和图12(b)所示的通信频度信息160的例子。
生成了通信频度信息(整体)160的装置相关图表生成部215,通过使该通信频度信息(整体)160标准化,由此生成装置相关图表210。在此,标准化是指,为了将矩阵的各成分变换成容易处理的一定范围的数值所实施的处理,例如使用刻度化或量子化。
图15是用于说明本发明的第2实施方式涉及的装置相关图表210的数据构成例的图。
在图15中,将使用图15(b)所示的对数刻度而使图14的通信频度信息(整体)160标准化后的例子作为图15(a)的装置相关图表210来表示。在图15(a)的装置相关图表210中,与图14所示的通信分组的个数(分组数)相对应地,由装置相关图表生成部215算出4级别(未评价装置之间的相关性的分组数“0”除外)的相关值(“1”~“4”:参照图15(b))。此外,在此将相关值设定成:通信分组的个数越多,则相关性越强(相关值的值越高)。
图15(a)所示的装置相关图表210用相关值来表示在控制系统1内的各控制装置2之间以何种程度密切地进行信息的收发。
此外,该装置相关图表210的生成处理是:在安全监视系统100b所进行的不正当访问等的监视的运用前,监视装置20b从各事件提取装置10b(图11)接收通信频度信息160,预先由装置相关图表生成部215执行,并将装置相关图表210存储至存储器部23等。
预测影响范围信息生成部216在控制系统1的通常运用时,在通信事件信息接收部211接收到通信事件信息150的情况下,利用该通信事件信息150中所包含的目的地地址,从各事件提取装置10b中提取波及路线上的控制装置2。
具体而言,预测影响范围信息生成部216利用通信事件信息150中所包含的目的地地址,参照装置相关图表210,提取与该目的地地址所示的控制装置2关联性深的控制装置2。即、预测影响范围信息生成部216在装置相关图表210中将通信事件信息150中所包含的目的地地址设定成发送源地址,通过在该记录中提取具有规定的阈值以上的相关值的目的地地址,由此提取波及路线上的控制装置2。以下,参照图16来说明具体例。
图16是用于说明本发明的第2实施方式涉及的预测影响范围信息生成部216所进行的预测影响范围信息260的生成处理的图。
如图16所示,预测影响范围信息生成部216首先在获取到通信事件信息150时提取其目的地地址(“192.168.10.1”)。然后,预测影响范围信息生成部216将所提取出的目的地地址设定为装置相关图表210的发送源地址,在该记录中提取规定的相关值的阈值(在此设为“3”)以上的目的地地址(在此是指“192.168.10.2”、“192.168.20.1”)。
如此一来,预测影响范围信息生成部216利用通信事件信息150的目的地地址,提取受到被提取为通信事件信息150的通信分组所带来的不正当访问等影响的可能性高的控制装置2(在此是指地址为“192.168.10.2”、“192.168.20.1”的控制装置2),生成包括该地址的预测影响范围信息260,并经由输出处理部213而发送至对应指令装置30b。
此外,预测影响范围信息生成部216还将该提取出的地址设定成装置相关图表210的发送源地址,在该记录中提取具有规定的阈值以上的相关值的目的地地址。预测影响范围信息生成部216也可将该处理反复进行到无法提取具有规定的阈值以上的相关值的目的地地址为止,从而预测波及路线。
在图16的例子中,预测影响范围信息生成部216将所提取出的目的地地址“192.168.10.2”和“192.168.20.1”分别设定为装置相关图表210的发送源地址,在发送源地址为“192.168.10.2”的记录中提取规定的相关值的阈值(“3”)以上的目的地地址(在此是指“192.168.10.3”),进而继续进行处理。另一方面,预测影响范围信息生成部216针对发送源地址为“192.168.20.1”的记录,由于不存在规定的相关值的阈值(“3”)以上的目的地地址,因此结束波及路线的预测。而且,预测影响范围信息生成部216生成包括波及路线上的各控制装置2的地址在内的预测影响范围信息260,并发送至对应指令装置30b。
(对应指令装置)
图17是表示本发明的第2实施方式涉及的对应指令装置30b的构成例的功能框图。与本发明的第1实施方式涉及的对应指令装置30(图6)不同之处在于,除了对应指令装置30的各构成之外,还具备预测影响范围信息接收部314、优先度指令部315以及输出缓冲器35。因为其他构成与图6所示的对应指令装置30同样,所以省略其说明。
该对应指令装置30b基于所接收到的预测影响度信息250,将对应指令信息生成部312所生成的对应指令信息350保存至输出缓冲器35。而且,对应指令装置30b的优先度指令部315基于预测影响范围信息260,按照使对应指令信息350优先发送至被预测为装置之间的相关性强的控制装置2的方式,控制在输出缓冲器35中保存的对应指令信息350的输出顺序。
输出缓冲器35由RAM等的存储单元构成,按照输出处理部313向控制系统1的各控制装置2发送的顺序来保存对应指令信息生成部312所生成的对应指令信息350。
预测影响范围信息接收部314经由输入输出部32而获取来自监视装置20b的预测影响范围信息260,并交给优先度指令部315。
优先度指令部315按照优先发送被赋予给预测影响范围信息260的、对被预测为装置之间的相关性强的控制装置2的对应指令信息350的方式,控制输出缓冲器35。具体而言,优先度指令部315按照发往被预测为装置之间的相关性强的控制装置2的对应指令信息350被配置在输出缓冲器35的开头的方式进行排序,或者将输出缓冲器35分成通常系统和优先系统这两个系统,并在优先系统的缓冲器中保存向被预测为装置之间的相关性强的控制装置2发送的对应指令信息350。
如此一来,对应指令装置30b能够将对应指令信息350优先发送至预测为受到被提取为通信事件信息150的通信分组所带来的不正当访问等影响的可能性高的控制装置2,从而可以进行迅速对应。
《变形例》
其次,对本实施方式涉及的安全监视系统100(100b)的变形例进行说明。
在本发明的第1实施方式涉及的安全监视系统100以及第2实施方式涉及的安全监视系统100b中,事件提取装置10(10b)(#1~#n)分别作为与控制系统1内的各分段3(#1~#n)对应地设置的多个装置(参照图1、图10)。但是,本发明并不限定于该实施方式,也可以构成为将事件提取装置10(10b)与各分段3(#1~#n)连接的1个装置。
另外,也可使事件提取装置10(10b)、监视装置20(20b)、和对应指令装置30(30b)分别任意地组合来构成,也可构成为具备各装置的功能的1个装置。
在本发明的第1实施方式涉及的事件提取装置10(参照图2)中,将通信事件信息生成部114所生成的通信事件信息150(图3)的数据构成设为包含头部151、管理信息152、和特征值153~156的构成。但是,本发明并不限定于该实施方式,也可在该通信事件信息150中包含用于判定各特征值153~156是否与通常不同的特征值判定信息120的各设定条件,并发送至监视装置20。
如此一来,在与监视装置20连接的监视器等的输出装置中,能够使各特征值153~156、和特征值判定信息120的各设定条件作为通信事件信息150一并显示。
符号说明:
1 控制系统
2 控制装置
3 分段
10、10b 事件提取装置(事件提取单元)
11、21、31 控制部
12、22、32 输入输出部
13、23、33 存储器部
14、24、34 存储部
20、20b 监视装置(监视单元)
25 事件缓冲器
30、30b 对应指令装置(对应指令单元)
35 输出缓冲器
100、100b 安全监视系统
110 学习值信息
111 分组接收部
112 学习值信息生成部
113 通信事件提取部
114 通信事件信息生成部
115、213、313 输出处理部
116 通信频度信息生成部
120 特征值判定信息
150 通信事件信息
160 通信频度信息
200 事件模式
210 装置相关图表
211 通信事件信息接收部
212 影响度预测处理部
214 通信频度信息接收部
215 装置相关图表生成部
216 预测影响范围信息生成部
241 事件模式DB
242 影响度等级信息
250 预测影响度信息
260 预测影响范围信息
300 影响度等级/对应指令变换信息
311 预测影响度信息接收部
312 对应指令信息生成部
314 预测影响范围信息接收部
315 优先度指令部
350 对应指令信息
Claims (6)
1.一种安全监视系统,利用一个以上的控制装置对具备一个以上的构成网络的分段的控制系统的异常进行探测,其特征在于,
所述安全监视系统构成为包括事件提取单元和监视单元,
所述事件提取单元具备:
分组接收部,其获取在所述分段内被收发的通信分组;
通信事件提取部,其提取获取到的所述通信分组之中的、被共同赋予给所述通信分组的信息即特征值不同于通常的通信分组;和
通信事件信息生成部,其生成赋予了提取出的所述通信分组的特征值的通信事件信息,并发送至所述监视单元,
所述监视单元具备:
存储部,其针对发送一连串不正当通信分组来妨碍所述控制系统的正常处理的每个不正当访问,设定对构成所述一连串不正当通信分组的各个通信分组赋予特征的条件,利用设定出的每个所述通信分组的条件的组合将规定所述不正当访问的事件模式存储一个以上,并且与由所述事件模式规定的不正当访问分别建立对应来存储影响度等级信息,该影响度等级信息保存表示给所述控制系统带来影响的程度的影响度等级;和
影响度预测处理部,其对照对接收到的所述通信事件信息赋予的所述通信分组的特征值和针对所述事件模式分别设定的每个通信分组的条件,来检测相类似的所述事件模式,参照所述影响度等级信息来决定所检测出的所述事件模式的所述影响度等级。
2.根据权利要求1所述的安全监视系统,其特征在于,
所述安全监视系统还具备对应指令单元,
所述监视单元的所述影响度预测处理部生成赋予了决定出的所述影响度等级的预测影响度信息,并发送至所述对应指令单元,
所述对应指令单元具备:
存储部,其与所述影响度等级建立对应来存储影响度等级/对应指令变换信息,该影响度等级/对应指令变换信息将所述控制系统应该进行的对所述不正当访问的处理保存为对应指令;和
对应指令信息生成部,其基于接收到的所述预测影响度信息所示出的所述影响度等级,参照所述影响度等级/对应指令变换信息,决定对所述不正当访问的所述对应指令,生成赋予了决定出的所述对应指令的对应指令信息;和
输出处理部,其将生成的所述对应指令信息发送至所述控制系统。
3.根据权利要求2所述的安全监视系统,其特征在于,
所述事件提取单元还具备:
通信频度信息生成部,其在开始用于对所述控制系统的异常进行探测的监视之前,经由所述分组接收部接收正常时的所述控制系统中的通信分组,生成将所述分段内的所述控制装置成为发送源以及目的地的所述通信分组的个数按所述通信分组的所述发送源的控制装置和所述目的地的控制装置的每个组检测出的通信频度信息,将生成的所述通信频度信息发送至所述监视单元,
所述监视单元还具备:
装置相关图表生成部,基于接收到的所述通信频度信息所示出的所述通信分组的个数,生成将作为所述发送源以及目的地的控制装置之间的所述通信分组的个数越多则评价为相关性越强的相关值按所述通信分组的所述发送源的控制装置和所述目的地的控制装置的每个组算出的装置相关图表;和
预测影响范围信息生成部,获取接收到的所述通信事件信息中包含的目的地地址所示出的所述控制装置,在将获取到的所述控制装置设为由所述装置相关图表示出的所述发送源的控制装置的情况下,提取所述相关值为规定值以上的所述目的地的控制装置,生成包括提取到的所述目的地的控制装置的地址在内的预测影响范围信息,并发送至所述对应指令单元,
所述对应指令单元还具备:
输出缓冲器,其预先保存所述对应指令信息生成部所生成的所述对应指令信息;和
优先度指令部,其按照面向接收到的所述预测影响范围信息中包含的所述地址所示出的所述控制装置的所述对应指令信息被优先发送的方式控制所述输出缓冲器的所述对应指令信息的发送顺序。
4.一种安全监视方法,是利用一个以上的控制装置对具备一个以上的构成网络的分段的控制系统的异常进行探测的安全监视系统的安全监视方法,
所述安全监视系统构成为包括事件提取单元和监视单元,
所述事件提取单元执行:
获取在所述分段内被收发的通信分组的步骤;
提取获取到的所述通信分组之中的、被共同赋予给所述通信分组的信息即特征值不同于通常的通信分组的步骤;和
生成赋予了提取出的所述通信分组的特征值的通信事件信息,并发送至所述监视单元的步骤,
所述监视单元具备:
存储部,其针对发送一连串不正当通信分组来妨碍所述控制系统的正常处理的每个不正当访问,设定对构成所述一连串不正当通信分组的各个通信分组赋予特征的条件,利用设定出的每个所述通信分组的条件的组合将规定所述不正当访问的事件模式存储一个以上,并且与由所述事件模式规定的不正当访问分别建立对应来存储影响度等级信息,该影响度等级信息保存表示给所述控制系统带来影响的程度的影响度等级,
所述监视单元执行:
对照对接收到的所述通信事件信息赋予的所述通信分组的特征值和针对所述事件模式分别设定的每个通信分组的条件,来检测相类似的所述事件模式,参照所述影响度等级信息来决定检测出的所述事件模式的所述影响度等级的步骤。
5.根据权利要求4所述的安全监视方法,其特征在于,
所述安全监视系统还具备对应指令单元,
所述监视单元执行:生成赋予了决定出的所述影响度等级的预测影响度信息,并发送至所述对应指令单元的步骤,
所述对应指令单元具备:
存储部,其与所述影响度等级建立对应来存储影响度等级/对应指令变换信息,该影响度等级/对应指令变换信息将所述控制系统应该进行的对所述不正当访问的处理保存为对应指令,
所述对应指令单元执行:
基于接收到的所述预测影响度信息所示出的所述影响度等级,参照所述影响度等级/对应指令变换信息,决定对所述不正当访问的所述对应指令,生成赋予了决定出的所述对应指令的对应指令信息的步骤;和
将生成的所述对应指令信息发送至所述控制系统的步骤。
6.根据权利要求5所述的安全监视方法,其特征在于,
所述事件提取单元还执行:
在开始用于对所述控制系统的异常进行探测的监视之前,接收正常时的所述控制系统中的通信分组,生成将所述分段内的所述控制装置成为发送源以及目的地的所述通信分组的个数按所述通信分组的所述发送源的控制装置和所述目的地的控制装置的每个组检测出的通信频度信息,将生成的所述通信频度信息发送至所述监视单元的步骤,
所述监视单元还执行:
基于接收到的所述通信频度信息所示出的所述通信分组的个数,生成将作为所述发送源以及目的地的控制装置之间的所述通信分组的个数越多则评价为相关性越强的相关值按所述通信分组的所述发送源的控制装置和所述目的地的控制装置的每个组算出的装置相关图表的步骤;和
获取接收到的所述通信事件信息中包含的目的地地址所示出的所述控制装置,在将获取到的所述控制装置设为由所述装置相关图表示出的所述发送源的控制装置的情况下,提取所述相关值为规定值以上的所述目的地的控制装置,生成包括提取到的所述目的地的控制装置的地址在内的预测影响范围信息,并发送至所述对应指令单元的步骤,
所述对应指令单元还具备:
输出缓冲器,其预先保存所生成的所述对应指令信息,
所述对应指令单元还执行:按照面向接收到的所述预测影响范围信息中包含的所述地址所示出的所述控制装置的所述对应指令信息被优先发送的方式控制所述输出缓冲器的所述对应指令信息的发送顺序的步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012-030281 | 2012-02-15 | ||
| JP2012030281A JP5792654B2 (ja) | 2012-02-15 | 2012-02-15 | セキュリティ監視システムおよびセキュリティ監視方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103259778A true CN103259778A (zh) | 2013-08-21 |
Family
ID=48946784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310049324XA Pending CN103259778A (zh) | 2012-02-15 | 2013-02-07 | 安全监视系统以及安全监视方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8850582B2 (zh) |
| JP (1) | JP5792654B2 (zh) |
| CN (1) | CN103259778A (zh) |
| DE (1) | DE102013002593A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106576072A (zh) * | 2014-09-08 | 2017-04-19 | 三菱电机株式会社 | 信息处理装置、信息处理方法和程序 |
| CN112639777A (zh) * | 2018-06-29 | 2021-04-09 | 株式会社OPTiM | 计算机系统、IoT设备监视方法以及程序 |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6234804B2 (ja) * | 2013-12-19 | 2017-11-22 | 株式会社日立製作所 | 通信中継装置 |
| US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
| US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
| JP6507075B2 (ja) * | 2015-10-15 | 2019-04-24 | 株式会社日立製作所 | 不正通信検知装置、不正通信検知システム、及び不正通信を検知する方法 |
| JP6478929B2 (ja) * | 2016-02-03 | 2019-03-06 | 三菱電機株式会社 | プラントの運転支援装置、プラント計装システムおよびプラントの運転支援方法 |
| KR102522154B1 (ko) * | 2016-03-15 | 2023-04-17 | 에스케이하이닉스 주식회사 | 반도체 메모리 장치의 컨트롤러 및 이의 동작 방법 |
| US10542044B2 (en) | 2016-04-29 | 2020-01-21 | Attivo Networks Inc. | Authentication incident detection and management |
| JP6650343B2 (ja) * | 2016-05-16 | 2020-02-19 | 株式会社日立製作所 | 不正通信検知システム及び不正通信検知方法 |
| JP6793524B2 (ja) * | 2016-11-01 | 2020-12-02 | 株式会社日立製作所 | ログ解析システムおよびその方法 |
| US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
| US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
| JP6891583B2 (ja) | 2017-03-27 | 2021-06-18 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
| EP3602380B1 (en) * | 2017-03-30 | 2022-02-23 | British Telecommunications public limited company | Hierarchical temporal memory for access control |
| WO2018193571A1 (ja) * | 2017-04-20 | 2018-10-25 | 日本電気株式会社 | 機器管理システム、モデル学習方法およびモデル学習プログラム |
| JP6571131B2 (ja) * | 2017-06-14 | 2019-09-04 | 株式会社toor | パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム |
| EP3643040A4 (en) | 2017-08-08 | 2021-06-09 | SentinelOne, Inc. | METHODS, SYSTEMS AND DEVICES FOR DYNAMIC MODELING AND GROUPING OF END POINTS FOR EDGE NETWORKING |
| US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
| JP6894860B2 (ja) * | 2018-02-13 | 2021-06-30 | Kddi株式会社 | 優先度算出装置、優先度算出方法及び優先度算出プログラム |
| US20220038472A1 (en) * | 2018-09-26 | 2022-02-03 | Nec Corporation | Information processing device, control method, and program |
| KR102016967B1 (ko) * | 2018-09-28 | 2019-10-21 | 유은영 | 시스템 정보 데이터 상관/연관 분석을 통한 시스템 취약성/위험 측정 및 처리 방법 및 그를 위한 장치 |
| JP2020123307A (ja) * | 2019-01-29 | 2020-08-13 | オムロン株式会社 | セキュリティ装置、攻撃特定方法、及びプログラム |
| WO2020158118A1 (ja) * | 2019-01-29 | 2020-08-06 | オムロン株式会社 | セキュリティ装置、攻撃特定方法、プログラム、及び記憶媒体 |
| EP3973427A4 (en) | 2019-05-20 | 2023-06-21 | Sentinel Labs Israel Ltd. | SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION |
| US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
| CN112702335A (zh) * | 2020-12-21 | 2021-04-23 | 赛尔网络有限公司 | 一种教育网恶意ip识别方法及装置 |
| WO2022249816A1 (ja) * | 2021-05-26 | 2022-12-01 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 監視装置及び監視方法 |
| US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
| KR102419274B1 (ko) * | 2021-09-29 | 2022-07-11 | 주식회사 프렌트립 | 이벤트의 영향 정도를 기반으로 레저 활동 레슨에 대한 파라미터를 예측하는 전자 장치의 제어 방법 |
| CN115348184B (zh) * | 2022-08-16 | 2024-01-26 | 江苏商贸职业学院 | 一种物联网数据安全事件预测方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020027907A1 (en) * | 2000-08-21 | 2002-03-07 | Kabushiki Kaisha Toshiba | Packet transfer apparatus and method, and storage medium which stores program therefor |
| JP2005165541A (ja) * | 2003-12-01 | 2005-06-23 | Oki Electric Ind Co Ltd | 被害判定装置、被害解析装置、被害判別システム、被害判定プログラム及び被害解析プログラム |
| CN101252441A (zh) * | 2008-02-20 | 2008-08-27 | 深圳市永达电子有限公司 | 基于可设定信息安全目标的获得性安全保障方法及系统 |
| CN101364981A (zh) * | 2008-06-27 | 2009-02-11 | 南京邮电大学 | 基于因特网协议版本6的混合式入侵检测方法 |
| CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003223375A (ja) * | 2002-01-30 | 2003-08-08 | Toshiba Corp | 不正アクセス検知装置および不正アクセス検知方法 |
| JP3609382B2 (ja) * | 2002-03-22 | 2005-01-12 | 日本電信電話株式会社 | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム |
| JP3689079B2 (ja) * | 2002-10-22 | 2005-08-31 | 株式会社東芝 | パケット転送装置およびパケット転送装置の不正アクセス検知時に於ける情報通知方法 |
| US7536723B1 (en) * | 2004-02-11 | 2009-05-19 | Airtight Networks, Inc. | Automated method and system for monitoring local area computer networks for unauthorized wireless access |
| JP3988731B2 (ja) * | 2004-02-25 | 2007-10-10 | 日本電気株式会社 | ファイアウォール制御システム、ファイアウォール制御方法、および、ファイアウォール制御プログラム |
| JP4434053B2 (ja) * | 2004-08-10 | 2010-03-17 | 横河電機株式会社 | 不正侵入検知装置 |
| JP4414865B2 (ja) * | 2004-11-16 | 2010-02-10 | 株式会社日立製作所 | セキュリティ管理方法、セキュリティ管理装置およびセキュリティ管理プログラム |
| WO2006074436A2 (en) * | 2005-01-06 | 2006-07-13 | Rockwell Automation Technologies, Inc. | Firewall method and apparatus for industrial systems |
| US20070266434A1 (en) * | 2006-05-11 | 2007-11-15 | Reifer Consultants, Inc. | Protecting Applications Software Against Unauthorized Access, Reverse Engineering or Tampering |
| US8316439B2 (en) * | 2006-05-19 | 2012-11-20 | Iyuko Services L.L.C. | Anti-virus and firewall system |
| JP2008085819A (ja) | 2006-09-28 | 2008-04-10 | Oki Electric Ind Co Ltd | ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム |
| US7853689B2 (en) * | 2007-06-15 | 2010-12-14 | Broadcom Corporation | Multi-stage deep packet inspection for lightweight devices |
| JP4952437B2 (ja) | 2007-08-14 | 2012-06-13 | 沖電気工業株式会社 | ネットワーク監視装置、ネットワーク監視システム |
| JP4905395B2 (ja) * | 2008-03-21 | 2012-03-28 | 富士通株式会社 | 通信監視装置、通信監視プログラム、および通信監視方法 |
| US8726382B2 (en) * | 2008-08-20 | 2014-05-13 | The Boeing Company | Methods and systems for automated detection and tracking of network attacks |
| US7903566B2 (en) * | 2008-08-20 | 2011-03-08 | The Boeing Company | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data |
| US8578491B2 (en) * | 2008-12-11 | 2013-11-05 | Alcatel Lucent | Network based malware detection and reporting |
| US20120151565A1 (en) * | 2010-12-10 | 2012-06-14 | Eric Fiterman | System, apparatus and method for identifying and blocking anomalous or improper use of identity information on computer networks |
-
2012
- 2012-02-15 JP JP2012030281A patent/JP5792654B2/ja active Active
-
2013
- 2013-02-07 CN CN201310049324XA patent/CN103259778A/zh active Pending
- 2013-02-14 US US13/767,336 patent/US8850582B2/en active Active
- 2013-02-14 DE DE201310002593 patent/DE102013002593A1/de not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020027907A1 (en) * | 2000-08-21 | 2002-03-07 | Kabushiki Kaisha Toshiba | Packet transfer apparatus and method, and storage medium which stores program therefor |
| JP2005165541A (ja) * | 2003-12-01 | 2005-06-23 | Oki Electric Ind Co Ltd | 被害判定装置、被害解析装置、被害判別システム、被害判定プログラム及び被害解析プログラム |
| CN101252441A (zh) * | 2008-02-20 | 2008-08-27 | 深圳市永达电子有限公司 | 基于可设定信息安全目标的获得性安全保障方法及系统 |
| CN101364981A (zh) * | 2008-06-27 | 2009-02-11 | 南京邮电大学 | 基于因特网协议版本6的混合式入侵检测方法 |
| CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106576072A (zh) * | 2014-09-08 | 2017-04-19 | 三菱电机株式会社 | 信息处理装置、信息处理方法和程序 |
| CN106576072B (zh) * | 2014-09-08 | 2018-06-12 | 三菱电机株式会社 | 信息处理装置和信息处理方法 |
| CN112639777A (zh) * | 2018-06-29 | 2021-04-09 | 株式会社OPTiM | 计算机系统、IoT设备监视方法以及程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8850582B2 (en) | 2014-09-30 |
| JP5792654B2 (ja) | 2015-10-14 |
| JP2013168763A (ja) | 2013-08-29 |
| DE102013002593A1 (de) | 2013-08-29 |
| US20130212681A1 (en) | 2013-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103259778A (zh) | 安全监视系统以及安全监视方法 | |
| US20180260561A1 (en) | Generic framework to detect cyber threats in electric power grid | |
| KR102271449B1 (ko) | 인공지능 모델 플랫폼 및 인공지능 모델 플랫폼 운영 방법 | |
| CN111262722A (zh) | 一种用于工业控制系统网络的安全监测方法 | |
| US11343267B2 (en) | Threat monitor, threat monitoring method, and recording medium therefore | |
| KR102327385B1 (ko) | 현장조건과 사고사례를 이용한 작업자의 위험도 예측 시스템 및 그 방법 | |
| KR102432284B1 (ko) | It관리대상의 이벤트 알람이나 장애 문제를 실시간 자동으로 조치하는 시스템 및 그 운용방법 | |
| CN109063486A (zh) | 一种基于plc设备指纹识别的安全渗透测试方法与系统 | |
| JP7213626B2 (ja) | セキュリティ対策検討ツール | |
| JPWO2020189669A1 (ja) | リスク分析装置及びリスク分析方法 | |
| CN116366374A (zh) | 基于大数据的电网网络管理的安全评估方法、系统及介质 | |
| Otuoze et al. | Electricity theft detection framework based on universal prediction algorithm | |
| CN113282920B (zh) | 日志异常检测方法、装置、计算机设备和存储介质 | |
| US20230156043A1 (en) | System and method of supporting decision-making for security management | |
| CN117368651A (zh) | 一种配电网故障综合分析系统及方法 | |
| CN116614287A (zh) | 一种网络安全事件评估处理方法、装置、设备及介质 | |
| CN115422263B (zh) | 一种电力现场多功能通用型故障分析方法及系统 | |
| CN115189961B (zh) | 一种故障识别方法、装置、设备及存储介质 | |
| JP6541903B2 (ja) | 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム | |
| CN117391214A (zh) | 模型训练方法、装置及相关设备 | |
| CN115525897A (zh) | 终端设备的系统检测方法、装置、电子装置和存储介质 | |
| JP2022037107A (ja) | 障害分析装置、障害分析方法および障害分析プログラム | |
| KR100622129B1 (ko) | 동적으로 변화하는 웹 페이지의 변조 점검 시스템 및 방법 | |
| CN113032774A (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
| TW201929584A (zh) | 基地台之障礙辨識伺服器及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130821 |