CN110771101B - 入侵检测装置、入侵检测方法以及入侵检测系统 - Google Patents
入侵检测装置、入侵检测方法以及入侵检测系统 Download PDFInfo
- Publication number
- CN110771101B CN110771101B CN201880040979.1A CN201880040979A CN110771101B CN 110771101 B CN110771101 B CN 110771101B CN 201880040979 A CN201880040979 A CN 201880040979A CN 110771101 B CN110771101 B CN 110771101B
- Authority
- CN
- China
- Prior art keywords
- communication
- rule
- communication permission
- list
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 266
- 238000004891 communication Methods 0.000 claims abstract description 1147
- 238000012937 correction Methods 0.000 claims description 29
- 238000012795 verification Methods 0.000 claims description 28
- 230000005856 abnormality Effects 0.000 claims description 14
- 239000000284 extract Substances 0.000 claims description 12
- 238000012544 monitoring process Methods 0.000 abstract description 16
- 238000010586 diagram Methods 0.000 description 26
- 230000005540 biological transmission Effects 0.000 description 18
- 238000012423 maintenance Methods 0.000 description 15
- 238000000034 method Methods 0.000 description 10
- 238000006243 chemical reaction Methods 0.000 description 8
- 230000008859 change Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000004378 air conditioning Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Selective Calling Equipment (AREA)
- Small-Scale Networks (AREA)
Abstract
检测对连接控制器(51)与监视控制终端(40)之间的网络(30)的入侵的入侵检测装置(10)具有:通信取得部(11),其取得流过网络(30)的关于空调设备(56)的通信数据;通信许可列表生成部(14),其生成允许网络(30)中的通信的通信许可规则并作为通信许可列表进行保存;以及入侵检测部(12),其对包含通信取得部(11)所取得的通信判定数据的通信判定数据与通信许可列表中的通信许可规则进行比较,由此检测对网络(30)的入侵,通信许可列表生成部(14)根据包含空调设备(56)的对象的属性信息的工程信息生成通信许可规则,其中,该控制器(51)控制空调设备(56),该监视控制终端(40)对控制器(51)和空调设备(56)进行监视。
Description
技术领域
本发明涉及检测对网络的入侵的入侵检测装置、入侵检测方法以及入侵检测系统。
背景技术
近年来,在楼宇设备的控制系统等产业控制系统中,系统成为黑客的攻击目标的情况正在增加。对此,使用下述方法:利用产业控制系统的网络通信是固定的这一情况,对发送目的地地址与发送源地址的对或协议等被允许的通信进行定义,将被允许的通信作为通信许可列表,检测不存在于通信许可列表中的通信,由此检测出入侵(例如,参照专利文献1、2)。
现有技术文献
专利文献
专利文献1:日本特开2016-163352号公报
专利文献2:日本特许第6054010号公报
发明内容
发明要解决的课题
但是,在专利文献1、2记载的现有技术中,作为通信许可列表,使用对从网络收集的通信数据进行学习、分析从而生成的列表。但是,在通过这样的学习方式而生成列表的情况下,存在学习花费时间,并且难以确认是否学习充分而使得列表正确的问题。
因此,本发明的目的在于提供能够简便地生成通信许可列表的入侵检测装置。
用于解决课题的手段
本发明的入侵检测装置检测对构成楼宇设备的管理系统的网络的入侵,其特征在于,该入侵检测装置具有:通信取得部,其取得流过所述网络的关于所述楼宇设备的通信数据;通信许可列表生成部,其生成允许所述网络中的通信的通信许可规则并作为通信许可列表进行保存;以及入侵检测部,其对包含所述通信取得部所取得的所述通信数据的通信判定数据与所述通信许可列表中的所述通信许可规则进行比较,检测对所述网络的入侵,所述通信许可列表生成部根据包含所述楼宇设备的对象的属性信息的工程信息来生成所述通信许可规则。
在本发明的入侵检测装置中,可以是所述通信取得部根据所取得的所述通信数据生成所述通信判定数据,并向所述入侵检测部进行输出,在所述通信判定数据不符合所述通信许可列表中的任何所述通信许可规则的情况下,所述入侵检测部检测出对所述网络的入侵。
在本发明的入侵检测装置中,可以是该入侵检测装置具有属性信息分析部,该属性信息分析部对所述工程信息进行分析,提取生成所述通信许可规则所需的信息,将该信息形成为所述网络的通信规格格式并作为中间数据进行输出,所述通信许可列表生成部将包含网络结构信息和对象输入输出信息的管理信息与所述中间数据组合而生成所述通信许可规则。
在本发明的入侵检测装置中,可以是所述工程信息被从外部输入到所述属性信息分析部,所述管理信息被从外部输入到所述通信许可列表生成部。
在本发明的入侵检测装置中,可以是该入侵检测装置包括:通信规则列表生成部,其学习所述通信取得部生成的所述通信判定数据,根据流过所述网络的关于所述楼宇设备的所述通信数据生成通信规则,并作为通信规则列表进行输出;通信许可列表保存部,其保存修正通信许可列表;以及通信规则列表验证部,其在所述通信规则列表中的一个通信规则与所述通信许可列表中的任意所述通信许可规则仅一部分不同的情况下,按照所述通信许可规则对所述一个通信规则进行修正,并作为所述修正通信许可列表向所述通信许可列表保存部进行输出,在所述通信规则列表中的全部通信规则与所述通信许可列表中的任意所述通信许可规则一致的情况下,将所述通信规则列表作为所述修正通信许可列表向所述通信许可列表保存部进行输出,在所述通信取得部生成的所述通信判定数据不符合保存于所述通信许可列表保存部的所述修正通信许可列表中的任何所述通信许可规则的情况下,所述入侵检测部检测出对所述网络的入侵。
在本发明的入侵检测装置中,可以是在所述通信规则列表中的一个通信规则不同于所述通信许可列表中的任何所述通信许可规则并且无法按照所述通信许可规则对所述一个通信规则进行修正的情况下,所述通信规则列表验证部从所述通信规则列表中删除所述一个通信规则后作为所述修正通信许可列表向所述通信许可列表保存部进行输出。
在本发明的入侵检测装置中,可以是当在所述通信许可列表所包含的关于所述对象的所述通信许可规则中存在着所述通信规则列表中未包含的关于所述对象的所述通信规则的所述通信许可规则的情况下,所述通信规则列表验证部将该所述通信许可规则追加给所述通信规则列表,并作为所述修正通信许可列表向所述通信许可列表保存部进行输出。
在本发明的入侵检测装置中,可以是该入侵检测装置具有警报部,在所述入侵检测部检测到对所述网络的入侵的情况下,该警报部向所述网络输出表示检测到入侵的警报。
本发明的入侵检测方法检测对构成楼宇设备的管理系统的网络的入侵,其特征在于,该入侵检测方法包括:通信数据取得步骤,取得流过所述网络的关于所述楼宇设备的通信数据;通信许可列表生成步骤,根据包含所述楼宇设备的对象的属性信息的工程信息,生成允许所述网络中的通信的通信许可规则,并作为通信许可列表进行输出;以及入侵检测步骤,对包含所取得的所述通信数据的通信判定数据与所述通信许可列表中的所述通信许可规则进行比较,检测对所述网络的入侵。
在本发明的入侵检测方法中,可以是该入侵检测方法包括根据所取得的所述通信数据生成所述通信判定数据的判定数据生成步骤,在所述入侵检测步骤中,当所述通信判定数据不符合所述通信许可列表中的任何所述通信许可规则的情况下,检测出对所述网络的入侵。
在本发明的入侵检测方法中,可以是该入侵检测方法包括属性信息分析步骤,在该属性信息分析步骤中,对所述工程信息进行分析,提取生成所述通信许可规则所需的信息,形成为所述网络的通信规格格式并作为中间数据进行输出,在所述通信许可列表生成步骤中,将包含网络结构信息和对象输入输出信息的管理信息与所述中间数据组合而生成所述通信许可规则。
在本发明的入侵检测方法中,可以是该入侵检测方法包括:通信规则列表生成步骤,学习所述通信判定数据,根据流过所述网络的关于所述楼宇设备的所述通信数据生成通信规则,并作为通信规则列表进行输出;以及通信规则列表验证步骤,在所述通信规则列表中的一个通信规则与所述通信许可列表中的任意所述通信许可规则仅一部分不同的情况下,按照所述通信许可规则对所述一个通信规则进行修正而作为修正通信许可列表,在所述通信规则列表中的全部通信规则与所述通信许可列表中的任意所述通信许可规则一致的情况下,将所述通信规则列表作为所述修正通信许可列表,在所述入侵检测步骤中,当所述通信判定数据不符合所述修正通信许可列表中的任何所述通信许可规则的情况下,检测出对所述网络的入侵。
在本发明的入侵检测方法中,可以是在所述通信规则列表验证步骤中,当所述通信规则列表中的一个通信规则不同于所述通信许可列表中的任何所述通信许可规则并且无法按照所述通信许可规则对所述一个通信规则进行修正的情况下,从所述通信规则列表中删除所述一个通信规则,作为所述修正通信许可列表。
在本发明的入侵检测方法中,可以是在所述通信规则列表验证步骤中,当在所述通信许可列表中所包含的关于所述对象的所述通信许可规则中,存在着所述通信规则列表中未包含的关于所述对象的所述通信规则的所述通信许可规则的情况下,将该所述通信许可规则追加给所述通信规则列表,作为所述修正通信许可列表。
本发明的入侵检测系统检测对构成楼宇设备的管理系统的网络的入侵,其特征在于,该入侵检测系统包括:外部装置,其设定所述管理系统的系统状态;以及入侵检测装置,其检测对所述网络的入侵,所述入侵检测装置具有:系统状态接收部,其从所述外部装置接收所述管理系统的所述系统状态;通信取得部,其取得流过所述网络的关于所述楼宇设备的通信数据;通信许可列表生成部,其根据包含所述楼宇设备的对象的属性信息的工程信息和从所述系统状态接收部输入的所述系统状态,生成通信许可规则并作为通信许可列表进行保存,该通信许可规则规定了允许通信的通信数据条件与系统状态条件的组合;入侵检测部,其将从所述通信取得部输入的所述通信数据与从所述系统状态接收部输入的所述系统状态进行组合,生成通信判定数据,将所生成的所述通信判定数据与所述通信许可列表中的所述通信许可规则进行比较,由此检测对所述网络的入侵;以及警报部,其在所述入侵检测部检测到入侵时,向所述网络发送警报。
在本发明的入侵检测系统中,可以是该入侵检测系统包括监视中心,该监视中心与所述网络连接,在所述警报被从所述网络输入时,对所述警报的内容进行分析,并根据分析结果对保存于所述入侵检测装置中的所述通信许可列表进行更新。
在本发明的入侵检测系统中,可以是所述入侵检测装置包括对所述工程信息进行分析并提取生成所述通信许可规则所需的信息的属性信息分析部,所述通信许可列表生成部包括:中间通信许可列表生成部,其根据所述属性信息分析部提取出的所述信息、以及网络结构信息和对象输入输出信息,生成规定了所述通信数据条件的中间通信许可规则,并作为中间通信许可列表进行保存;以及通信许可列表修正部,其将根据从所述系统状态接收部输入的所述系统状态而与所述中间通信许可规则的所述通信数据条件组合的所述系统状态条件附加给所述中间通信许可规则而生成所述通信许可规则,并作为所述通信许可列表进行保存,在所述通信判定数据所包含的所述通信数据与所述系统状态的组合不符合所述通信许可规则中包含的所述通信数据条件与系统状态条件的任何组合的情况下,所述入侵检测部检测出对所述网络的入侵。
在本发明的入侵检测系统中,可以是在所述入侵检测部检测到对所述网络的入侵时,所述警报部向所述网络发送包含通信数据异常的判定结果、所述通信判定数据中的所述系统状态以及所述通信数据的警报。
在本发明的入侵检测系统中,可以是该入侵检测系统包括监视中心,该监视中心具有:警报分析部,其在所述警报被从所述网络输入时,对所述警报的内容进行分析,并根据分析结果生成追加通信许可规则;存储部,其对所述中间通信许可列表生成部生成的所述中间通信许可列表和所述通信许可列表生成部生成的所述通信许可列表进行保存;以及通信许可列表更新部,其对保存于所述存储部和所述入侵检测装置中的所述通信许可列表进行更新,在所述警报所包含的所述通信数据符合保存于所述存储部的所述中间通信许可列表所包含的所述通信数据条件中的任意一个的情况下,所述警报分析部将符合的一个所述通信数据条件与所述警报所包含的所述系统状态组合而生成所述追加通信许可规则,所述通信许可列表更新部将所述警报分析部生成的所述追加通信许可规则追加给保存于所述存储部和所述入侵检测装置中的所述通信许可列表,并对保存于所述存储部中的所述通信许可列表进行更新。
在本发明的入侵检测系统中,可以是所述监视中心具有规则判定部,该规则判定部对所述警报分析部生成的所述追加通信许可规则与系统规格进行比较,判定所述追加通信许可规则是否符合所述系统规格,在所述规则判定部判定为所述追加通信许可规则符合所述系统规格的情况下,所述通信许可列表更新部执行所述通信许可列表的更新。
在本发明的入侵检测系统中,可以是所述通信取得部将表示取得时刻的时间戳附加给所取得的所述通信数据,并作为带时间戳的通信数据向所述入侵检测部和所述通信许可列表修正部进行输出,在从所述通信取得部输入的所述带时间戳的通信数据所包含的所述通信数据符合所述中间通信许可规则所包含的一个所述通信数据条件的情况存在多个的情况下,所述通信许可列表修正部根据所述时间戳生成与一个所述通信数据条件对应的周期条件,并将所述周期条件和所述系统状态条件附加给所述中间通信许可规则,生成所述通信许可规则,并作为所述通信许可列表进行保存,其中,所述系统状态条件根据从所述系统状态接收部输入的所述系统状态而与所述中间通信许可规则的所述通信数据条件组合,所述入侵检测部将从所述通信取得部输入的所述带时间戳的通信数据与从所述系统状态接收部输入的所述系统状态组合而生成所述通信判定数据,在所述通信判定数据所包含的所述通信数据与所述系统状态的组合符合所述通信许可规则所包含的一个所述通信数据条件与一个所述系统状态条件的组合的情况存在多个的情况下,所述入侵检测部根据所述通信判定数据所包含的所述时间戳,计算符合一个所述通信数据条件与一个所述系统状态条件的组合的所述通信数据与所述系统状态的组合流过所述网络的周期,在计算出的所述周期不满足所述通信许可规则所包含的所述周期条件的情况下,所述入侵检测部检测出对所述网络的入侵。
在本发明的入侵检测系统中,可以是在检测到对所述网络的入侵时,所述警报部向所述网络发送警报,该警报包含周期异常的判定结果、所述通信判定数据中的所述系统状态、包含一个所述通信数据条件与一个所述系统状态条件的组合的通信规则的编号以及计算出的所述周期。
在本发明的入侵检测系统中,可以是该入侵检测系统包括监视中心,该监视中心具有:警报分析部,其在所述警报被从所述网络输入时,对所述警报的内容进行分析,并根据分析结果对所述通信许可列表所包含的所述通信许可规则进行变更而生成变更通信许可规则;存储部,其对所述通信许可列表生成部生成的所述通信许可列表进行保存;以及通信许可列表更新部,其对保存于所述存储部和所述入侵检测装置的所述通信许可列表进行更新,所述警报分析部生成所述变更通信许可规则,所述变更通信许可规则是将保存于所述存储部的所述通信许可列表中的所述警报所包含的所述通信规则编号所对应的所述通信许可规则的所述周期条件变更为包含所述警报所包含的所述周期,所述通信许可列表更新部将保存于所述存储部和所述入侵检测装置的所述通信许可列表中的所述通信规则编号的所述通信许可规则变更为所述变更通信许可规则,并对保存于所述存储部和所述入侵检测装置的所述通信许可列表进行更新。
在本发明的入侵检测系统中,可以是所述监视中心具有规则判定部,该规则判定部对所述警报分析部生成的所述变更通信许可规则与系统规格进行比较,判定所述变更通信许可规则是否符合所述系统规格,在所述规则判定部判定为所述变更通信许可规则符合所述系统规格的情况下,所述通信许可列表更新部执行所述通信许可列表的更新。
发明效果
本发明可以提供能够简便地生成通信许可列表的入侵检测装置。
附图说明
图1是示出应用了实施方式的入侵检测装置的楼宇管理系统的结构的系统图。
图2是示出实施方式的入侵检测装置的结构的功能框图。
图3是形成图2所示的入侵检测装置的计算机的硬件结构图。
图4是示出保存于图2所示的工程信息文件中的工程数据的结构的图。
图5是示出图2所示的属性信息分析部所输出的中间数据的结构的图。
图6是示出图2所示的通信许可列表生成部所输出的通信许可列表的结构的图。
图7是示出图2所示的入侵检测装置的基本动作的流程图。
图8是示出图2所示的入侵检测装置的通信许可列表生成动作的流程图。
图9是示出其他实施方式的入侵检测装置的结构的功能框图。
图10是示出其他实施方式的入侵检测装置的结构的功能框图。
图11是示出图10所示的通信规则列表生成部所生成的通信规则列表的结构的图。
图12是示出图10所示的入侵检测装置的修正通信许可列表生成动作的流程图。
图13是示出图10所示的入侵检测装置的基本动作的流程图。
图14是示出应用了实施方式的入侵检测系统的楼宇设备的管理系统的系统图。
图15是实施方式的入侵检测系统的功能框图。
图16是示出图15所示的入侵检测系统中的通信许可列表生成动作的流程图。
图17是示出在图16所示的通信许可列表生成动作中取得的工程数据的数据结构和根据该工程数据生成的中间数据的数据结构的图。
图18是示出在图16所示的通信许可列表生成动作中、中间数据的数据结构和根据该中间数据生成的中间通信许可列表的数据结构的图。
图19是示出在图16所示的通信许可列表生成动作中、中间通信许可列表的数据结构和根据该中间通信许可列表生成的通信许可列表的数据结构的图。
图20是示出实施方式的入侵检测系统中的入侵检测动作的流程图。
图21是示出在图20所示的入侵检测动作中取得的通信数据的数据结构和根据该通信数据生成的通信判定数据的数据结构的图。
图22是示出在图20所示的入侵检测动作中通信判定数据与通信许可列表之间的比较的图。
图23是示出在图20所示的入侵检测动作中警报部发出的警报的数据结构的图。
图24是示出实施方式的入侵检测系统中的其他通信许可列表生成动作的流程图。
图25是示出在图24所示的通信许可列表生成动作中,根据中间通信许可列表和带时间戳的通信数据而生成的通信许可列表的数据结构的图。
图26是示出实施方式的入侵检测系统中的其他入侵检测动作的流程图。
图27是示出在图26所示的入侵检测动作中,根据带时间戳的通信数据而生成的通信判定数据与通信许可列表的比较的图。
图28是示出在图26所示的入侵检测动作中警报部发出的警报的数据结构的图。
图29是示出应用了其他实施方式的入侵检测系统的楼宇设备的管理系统的系统图。
图30是其他实施方式的入侵检测系统的功能框图。
图31是示出图30所示的入侵检测系统中的通信许可列表的更新动作的流程图。
图32是示出在图31所示的通信许可列表的更新动作中警报与中间通信许可列表的比较以及更新通信许可列表的数据结构的图。
图33是示出图30所示的入侵检测系统中的通信许可列表的其他更新动作的流程图。
图34是示出在图33所示的其他更新动作中警报、通信许可列表以及更新通信许可列表的数据结构的图。
具体实施方式
以下,参照附图对本实施方式的入侵检测装置10进行说明。首先,参照图1对应用了本实施方式的入侵检测装置10的楼宇管理系统100的结构进行说明。楼宇管理系统100具有:控制器51、52,它们与作为楼宇设备的空调设备56、照明设备57连接;监视控制终端40;连接控制器51、52与监视控制终端40的网络30;以及与网络30连接的入侵检测装置10。
监视控制终端40是通过通信经由网络30进行控制器51、52的监视/控制的设备,例如,是操作员向控制器51、52发送指令时使用的设备。控制器51、52根据来自监视控制终端40的控制指令进行作为楼宇设备的空调设备56、照明设备57的控制。空调设备56、照明设备57根据控制器51、52的指令进行规定的动作。通过网络30连接的监视控制终端40与控制器51、52之间的通信使用BACnet(Building Automation and Control netwoking protocol:楼宇自动化与控制网络协议)。入侵检测装置10是进行网络30的通信中的黑客攻击的入侵检测的装置。
如图2所示,入侵检测装置10具有通信取得部11、入侵检测部12、警报部13、通信许可列表生成部14以及属性信息分析部15。
通信取得部11取得流过网络30的、监视控制终端40与控制器51、52之间的关于空调设备56、照明设备57的通信数据,生成通信判定数据,并向入侵检测部12输出所生成的通信判定数据。通信数据是包含协议种类、发送源/目的地信息、数据长度、净荷(payload)条件的数据集合。通信判定数据是将管理系统100的系统状态和通信数据的周期附加给通信数据而形成的数据集合,是与图6所示的通信许可列表73中的通信规则同样地包含编号、系统状态、协议种类、发送源/目的地信息、数据长度、净荷条件、周期的各个项目的数据集合。在这里,管理系统100的系统状态是指运转、维护、停止,启动、切断的任意状态。
入侵检测部12对通信取得部11所输出的通信判定数据与保存于通信许可列表生成部14zh的通信许可列表73进行比较,检测对网络30的入侵。然后,如果检测到对网络30的入侵,则向警报部13输出入侵检出信号。在这里,如图6所示,通信许可列表73是使包含规则编号、系统状态、协议种类、发送源/目的地信息、数据长度、净荷条件、周期条件的各个项目的数据集合即通信规则进行列表而形成的。
在入侵检出信号被从入侵检测部12输入的情况下,警报部13向网络30输出表示检测到入侵的警报。
属性信息分析部15从工程信息文件16读出包含空调设备56、照明设备57的温度传感器等对象的属性信息的工程数据71,对工程数据71进行分析,提取出生成通信许可规则所需的信息。在这里,如图4所示,工程数据71是对包含内部标识符编号、对象名称、类型、对象标识符、单位、最大值、最小值的各个项目的数据集合进行列表而得到的工程信息。
属性信息分析部15将提取出的生成通信许可规则所需的信息形成为网络30的通信规格格式,并作为中间数据72向通信许可列表生成部14输出。在这里,中间数据72是具有与网络30的通信规格格式相同的保存区域的数据集合。如图5所示,中间数据72是与通信许可列表73同样地具有规则编号、系统状态、协议种类、发送源/目的地信息、数据长度、净荷条件、周期条件的各个保存区域的数据集合,其中,状态、数据长度的栏为空白栏。
通信许可列表生成部14将包含网络30的结构信息以及空调设备56、照明设备57的温度传感器等对象的输入输出信息的管理信息与从属性信息分析部15输入的中间数据72组合而生成通信许可规则,并作为通信许可列表73进行保存。另外,在本实施方式的入侵检测装置10中,管理信息作为默认设定保存于内部。
以上说明的入侵检测装置10的通信取得部11、入侵检测部12、警报部13、通信许可列表生成部14、属性信息分析部15通过图3所示的计算机60而实现。
计算机60具有CPU61、辅助存储装置62、存储器63、通信装置64、输入接口65、输出接口67以及将它们连接起来的数据总线69。CPU61进行信息处理,并且对经由数据总线69连接的其他硬件进行控制。
辅助存储装置62例如由ROM、闪存、硬盘等构成。存储器63例如是RAM。通信装置64包含从网络30接收数据的接收器64a和向网络30输出数据的发送器64b。通信装置64例如由通信芯片等构成。输入接口65与键盘、鼠标、触摸面板等输入装置66连接。输出接口67与显示器68连接。
辅助存储装置62存储有实现通信取得部11、入侵检测部12、警报部13、通信许可列表生成部14以及属性信息分析部15的功能的程序。程序由CPU61执行。
作为入侵检测装置10的功能单元的通信取得部11、入侵检测部12、警报部13、通信许可列表生成部14以及属性信息分析部15通过图3所示的计算机60的各个硬件与由CPU61执行的程序的协作动作而实现。
接着,参照图7、图8对本实施方式的入侵检测装置10的动作进行说明。另外,图7、图8是示出入侵检测方法的图。首先参照图7,对入侵检测装置10的基本动作进行说明。入侵检测装置10以规定的间隔反复执行图7的步骤S101至S104的动作。
如图7的步骤S101所示,通信取得部11取得流过网络30的、监视控制终端40与控制器51、52之间的关于空调设备56、照明设备57的通信数据(通信数据取得步骤)。通信数据是包含协议种类、发送源/目的地信息、数据长度、净荷条件的数据集合。通信取得部11将系统状态、周期附加给所取得的通信数据而生成通信判定数据,并将生成的通信判定数据向入侵检测部12输出(判定数据生成步骤)。通信判定数据是与图6所示的通信许可列表73中的通信规则同样地包含编号、系统状态、协议种类、发送源/目的地信息、数据长度、净荷条件、周期的各个项目的数据集合。
如图7的步骤S102所示,入侵检测部12对从通信取得部11输入的通信判定数据与图6所示的通信许可列表73的通信规则进行比较。关于比较,例如将通信判定数据中的系统状态、协议种类、发送源/目的地信息、数据长度、净荷条件、周期条件的各个项目与通信许可列表73的规则编号1的通信规则中的系统状态、协议种类、发送源/目的地信息、数据长度、净荷条件、周期条件的各个项目进行比较。然后,在全部项目一致的情况下,入侵检测部12判断为通信判定数据符合通信许可列表73中的规则编号1的通信规则。
另一方面,当在各个项目中存在不同的项目的情况下,即使是一个项目不同,入侵检测部12也判断为通信判定数据不符合通信许可列表73中的规则编号1的通信规则,并将规则编号2与通信判定数据进行比较。然后,在通信判定数据与任何通信规则均不一致的情况下,判断为通信判定数据不符合通信许可列表73中的任何通信规则,从而进入图7的步骤S103,向警报部13输出入侵检出信号(入侵检测步骤)。
在被从入侵检测部12输入了入侵检出信号的情况下,在图7的步骤S104中,警报部13向网络30输出警报。输出的警报经由网络30输入到监视控制终端40,并显示在监视控制终端40的显示器68上。
当在图7的步骤S102中通信判定数据与任意通信规则一致的情况下,入侵检测部12结束例程而不输出入侵检出信号,并开始下一个例程。
接着,参照图8对入侵检测装置10中的通信许可列表73的生成进行说明。图8的步骤S201至步骤S206构成通信许可列表生成步骤。而且,图8的步骤S201至步骤S204构成属性信息分析步骤。
如图8的步骤S201所示,属性信息分析部15从外部的工程信息文件16取得图4所示的工程数据71。如之前所说明的那样,工程数据71是将空调设备56、照明设备57的温度传感器等对象的属性信息数据进行列表而得到的,并如图4所示,是将包含内部标识符、温度传感器1这样的对象的名称、类型、对象标识符、单位、最大值、最小值的各个项目的数据集合进行列表而得到的。工程信息文件16是构建使用BACnet通信的楼宇管理系统100时所使用的,例如,可以是对基于BACnet标准的温度传感器等对象的属性信息进行逗号分隔而得到的CSV格式文件。
在图8的步骤S202中,属性信息分析部15对所取得的工程数据71进行分析,提取生成通信许可规则所需的信息。然后,在图8的步骤S203中,属性信息分析部15将提取出的信息形成为网络30的通信规格格式,并作为中间数据72输出。
如之前所说明的那样,如图5所示,中间数据72与通信许可列表73同样地具有与网络30的通信规格格式相同的保存区域。属性信息分析部15对工程数据71进行分析,提取工程数据71中的“传感器温度1”的对象名称符合对象标识符1,其数据是模拟输入数据、最大值为80、最小值为-20的情况。然后,属性信息分析部15在中间数据72的规则编号1的行的发送源/目的地信息的栏中保存作为对象名称的“传感器温度1”,在净荷条件的栏中保存“对象标识符1,模拟输入(Analog input),-20~80”的数据。同样地,属性信息分析部15提取工程数据71中的“传感器温度2”的对象名称符合对象标识符2且其数据是模拟输入数据、最大值为100、最小值为0的情况。然后,属性信息分析部15在中间数据72的规则编号2的行的发送源/目的地信息的栏中保存作为对象名称的“传感器温度2”,在净荷条件的栏中保存“对象标识符2,模拟输入,0~100”的数据。此外,网络30的通信使用BACnet,因此协议种类分别保存BACnet。
属性信息分析部15针对工程数据71所包含的全部对象提取生成通信许可规则所需的信息,并向中间数据72的各个项目输入而生成中间数据72。这样,属性信息分析部15对工程数据71进行分析,提取出生成通信许可规则所需的信息,向与网络30的通信规格格式具有相同的保存区域的中间数据72的各个项目输入,由此形成中间数据72。
在图8的步骤S203中形成中间数据72后,属性信息分析部15如图8的步骤S204所示,向通信许可列表生成部14输出所形成的中间数据72。
如图8的步骤S205所示,通信许可列表生成部14读出保存于内部的默认的管理信息。在这里,管理信息是指包含网络30的结构信息以及空调设备56、照明设备57的温度传感器等对象的输入输出信息的信息。网络30的结构条件例如是指发送源/目的地地址、数据长度等。对象的输入输出信息例如是指对象标识符的读、写等命令条件。
在图8的步骤S206中,通信许可列表生成部14根据读出的管理信息,将保存于中间数据72的发送源/目的地信息处的对象名称“传感器温度1”转换为发送源/目的地地址。而且,将保存于净荷条件处的“对象标识符1”转换为传感器温度1的输入输出信息即“读属性(read property)”。然后,在数据长度处追加“82”,在状态处追加“运转”,在周期条件处追加“1秒以上”。这样,通信许可列表生成部14将管理信息与中间数据72组合,生成图6所示那样的通信许可列表73。在图8的步骤S206中,通信许可列表生成部14将所生成的通信许可列表73保存于存储器63。
如以上所说明的那样,本实施方式的入侵检测装置10根据构建使用了BACnet通信的楼宇管理系统100时使用的工程信息文件16中的工程数据71,生成通信许可列表73,因此与基于学习的生成等相比,能够简便地生成通信许可列表73。
接着,参照图9对其他实施方式的入侵检测装置10进行说明。图9所示的入侵检测装置10通过从外部输入管理信息文件17,能够从外部输出管理信息。如图9所示,管理信息文件17包含对象名称-发送源目的地信息转换表18和对象标识符-命令条件转换表19。
本实施方式的入侵检测装置10从外部的文件获取管理信息,因此即使在管理信息有变更的情况下,也能够简便地再次生成通信许可列表73。
接着,参照图10至图12,对其他实施方式的入侵检测装置20进行说明。对与之前参照图1至图8进行说明的入侵检测装置10相同的部分进行简单的说明。
图10所示的入侵检测装置20具有通信取得部21、入侵检测部22、警报部23、通信规则列表生成部27、通信许可列表生成部24、属性信息分析部25、通信规则列表验证部28以及通信许可列表保存部29。通信取得部21、警报部23以及属性信息分析部25与之前说明的入侵检测装置10的通信取得部11、警报部13以及属性信息分析部15相同。
通信规则列表生成部27学习通信取得部21取得的通信判定数据,生成图11所示那样的通信规则列表74,并向通信规则列表验证部28输出。通信许可列表生成部24通过与之前说明的通信许可列表生成部14相同的动作生成通信许可列表73,并向通信规则列表验证部28输出所生成的通信许可列表73。通信规则列表验证部28对通信规则列表74与通信许可列表73进行比较,修正通信规则列表74,并作为修正通信许可列表保存于通信许可列表保存部29中。入侵检测部22对从通信取得部21输入的通信判定数据与保存于通信许可列表保存部29中的修正通信许可列表进行比较而进行入侵检测。
参照图12、图13对本实施方式的入侵检测装置20的动作进行说明。对参照图7、图8进行说明的入侵检测装置10的动作相同的步骤标注相同的标号并省略说明。另外,图12、图13是示出入侵检测方法的图。
通信许可列表生成部24与通信许可列表生成部14同样地,在图12的步骤S201至S204中形成并输出中间数据72,并在图12的步骤S205中读出管理信息,在图12的步骤S226中通过与通信许可列表生成部14相同的方法生成通信许可列表73,并向通信规则列表验证部28输出所生成的通信许可列表73。图12的步骤S201至步骤S226构成通信许可列表生成步骤。而且,图12的步骤S201至步骤S204构成属性信息分析步骤。
如图12的步骤S210所示,通信规则列表生成部27从通信取得部21取得通信判定数据,并学习该通信判定数据而生成图11所示的通信规则列表74。如之前所说明的那样,通信判定数据是与图6所示的通信许可列表73中的通信规则同样地包含编号、系统状态、协议种类、发送源/目的地信息、数据长度、净荷条件、周期条件的各个项目的数据集合。通信规则列表生成部27提取包含于通信判定数据中的上述数据集合,并向具有网络30的通信规格格式的保存区域的通信规则列表74的各个项目输入,由此生成通信规则列表74。通过学习,将相同的通信规则汇总为一个通信规则,从而生成图11所示那样的通信规则列表74。然后,在图12的步骤S212中,通信规则列表生成部27向通信规则列表验证部28输出所生成的通信规则列表74。通信规则列表的生成例如可以在安装监视控制终端40时的动作测试时进行。图12的步骤S210至步骤S212构成通信规则列表生成步骤。
图11所示的通信规则的规则编号1的通信规则仅数据长度与图6所示的通信许可列表73的规则编号1的通信规则不同,其他项目一致。而且,通信规则列表74的规则编号2的通信规则与图6所示的通信许可列表73的规则编号2的通信规则相比,状态、发送源/目的地信息、数据长度、净荷条件不同。这样的通信规则被判断为是脱离了工程信息,是因入侵而生成的,因此在图12的步骤S213中,通信规则列表验证部28按照如下所述对通信规则列表74进行比较并修正,从而生成修正通信许可列表。
在图12的步骤S213中,通信规则列表验证部28对通信规则列表74与通信许可列表73进行比较,判定是否需要修正通信规则列表74。当在图12的步骤S213中通信规则列表74中的一个通信规则与通信许可列表73中的任意通信许可规则仅一部分不同的情况下,通信规则列表验证部28判断为需要修正通信规则列表74,而进入图12的步骤S214。在图12的步骤S214中,通信规则列表验证部28按照通信许可列表73对该一个通信规则进行修正,并作为修正通信许可列表向通信许可列表保存部29输出。
而且,当在图12的步骤S213中通信规则列表74中的一个通信规则不同于通信许可列表73中的任何通信许可规则并且无法按照通信许可规则修正该一个通信规则的情况下,通信规则列表验证部28也判断为需要修正通信规则列表74而进入图12的步骤S214。然后,在图12的步骤S214中,从通信规则列表74中删除该一个通信规则后作为修正通信许可列表向通信许可列表保存部29输出。
而且,当在图12的步骤S213中通信许可列表73所包含的关于对象的通信许可规则中,存在着通信规则列表74中未包含关于该对象的通信规则的的通信许可规则的情况下,通信规则列表验证部28也判断为需要修正通信规则列表74而进入图12的步骤S214。然后,在图12的步骤S214中,将该通信许可规则追加到通信规则列表74并作为修正通信许可列表向通信许可列表保存部29输出。例如,当存在包含于通信许可列表73但不包含于通信规则列表74的发送源/目的地信息的情况下,将包含该发送源/目的地信息的通信许可规则作为通信规则追加到通信规则列表74,并作为修正通信许可列表向通信许可列表保存部29输出。
另一方面,在图12的步骤S213中,当通信规则列表74中的全部通信规则与通信许可列表73中的任意通信许可规则一致并且在通信许可列表73所包含的关于对象的通信许可规则全部作为通信规则包含于通信规则列表74中的情况下,通信规则列表验证部28判断为不需要修正通信规则列表74而进入图12的步骤S215。在图12的步骤S215中,通信规则列表验证部28将通信规则列表74作为修正通信许可列表向通信许可列表保存部29输出。图12的步骤S213至步骤S215构成通信规则列表验证步骤。
例如,通信规则的规则编号1的通信规则仅数据长度与图6所示的通信许可列表73的规则编号1的通信许可规则不同,其他项目一致。在该情况下,通信规则列表验证部28按照通信许可列表73修正数据长度,并将包含修正后的通信规则的通信规则列表74作为修正通信许可列表向通信许可列表保存部29输出。而且,在如通信规则列表74的规则编号2的通信规则那样,多个项目与图6所示的通信许可列表73的规则编号2的通信许可规则不一致的情况下,通信规则列表验证部28判断为难以按照通信许可列表73对该通信规则进行修正,从而删除规则编号2的通信规则后作为修正通信许可列表向通信许可列表保存部29输出。
入侵检测部22在图13的步骤S101中从通信取得部21取得通信判定数据(判定数据取得步骤),当在图13的步骤S110中判断为通信判定数据不符合保存于通信许可列表保存部29的修正通信许可列表中的任何通信许可规则的情况下,进入图13的步骤S103,进行检出入侵,并向警报部23输出入侵检出信号。警报部23向网络30输出警报(入侵检测步骤)。
如以上所说明的那样,本实施方式的入侵检测装置20在学习通信数据而生成通信规则列表74时,由于使用基于工程数据71生成的通信许可列表73来修正通信规则列表74,因此能够排除脱离工程信息的通信规则。由此,能够通过简便的方法确保通信许可列表73的正确性。而且,由于使用通信许可列表73追加了通信规则列表74中未包含的关于对象的通信规则的通信许可规则,因此能够提高通信规则的网罗度。
接着参照图14至图28对实施方式的入侵检测系统800进行说明。关于通信许可列表73的各个区域的数据中,基于工程数据71无法生成的系统状态条件,之前说明的入侵检测装置10、20从保存于内部的默认的管理信息或外部的管理信息文件读出并进行设定。该方法有时之后的修正较多,通信许可列表73的生成花费时间。
本实施方式的入侵检测系统800从与网络30连接并设定管理系统110的系统状态的外部装置45取得系统状态,并根据该系统状态生成通信许可列表177,因此能够更简便地生成精度较高的通信许可列表177。而且,本实施方式的入侵检测系统800也能够使用将表示数据取得时刻的时间戳附加到通信数据178而得到的带时间戳的通信数据378来计算通信的周期,由此设定通信许可列表的周期条件。在该情况下,能够更简便地生成通信许可列表277。以下进行说明。
首先,参照图14对应用了入侵检测系统800的楼宇设备的管理系统110进行说明。管理系统110包含:控制器51、52,它们与作为楼宇设备的空调设备56、照明设备57连接;监视控制终端42;连接控制器51、52与监视控制终端42的网络30;与网络30连接的入侵检测装置80;以及维护PC 43。入侵检测系统800是检测对构成管理系统110的网络30的入侵的系统。
监视控制终端42、维护PC 43设定管理系统110的系统状态,并向入侵检测装置80输出设定的系统状态。监视控制终端42、维护PC 43分别构成设定管理系统110的系统状态的外部装置45。在这里,管理系统110的系统状态是指运转、维护、停止、启动、切断的任意状态。
除了上述方面,监视控制终端42与之前参照图1进行说明的监视控制终端40为相同的结构。而且,维护PC 43是与网络30连接,并且能够进行与监视控制终端42相同的动作的计算机。维护PC 43能够在进行管理系统110的导通测试时,将管理系统110的状态设定为运转、维护、停止、启动、切断的任意状态。
如图15所示,入侵检测装置80具有通信取得部81、入侵检测部82、警报部83、通信许可列表生成部84、属性信息分析部85以及系统状态接收部88。通信许可列表生成部84包含中间通信许可列表生成部84a、保存中间通信许可列表的存储部84b、通信许可列表修正部84c以及保存通信许可列表的存储部84d。
通信取得部81取得流过网络30的、监视控制终端42与控制器51、52之间的关于空调设备56、照明设备57的通信数据,并向入侵检测部82输出。如图21所示,通信数据是包含协议种类、发送源/目的地信息、数据长度、净荷条件的数据集合。而且,通信取得部81将表示取得时刻的时间戳附加到通信数据,并作为图27所示的带时间戳的通信数据(以下,称为T通信数据)向入侵检测部82、通信许可列表修正部84c输出。
系统状态接收部88接收外部装置45所设定的系统状态,并向通信许可列表修正部84c和入侵检测部82输出。
属性信息分析部85从工程信息文件86读出包含空调设备56、照明设备57的温度传感器等对象的属性信息的工程数据71,并对工程数据71进行分析,提取生成中间通信许可规则所需的信息,作为中间数据175向中间通信许可列表生成部84a输出。
在这里,工程数据71与之前参照图4所说明的相同,是将包含内部标识符编号、对象名称、类型、对象标识符、单位、最大值、最小值的各个项目的数据集合进行列表而得到的工程信息。而且,如图17所示,中间数据175是具有规则编号、协议种类、发送源/目的地信息、数据长度、净荷条件的各个保存区域的数据集合。
中间通信许可列表生成部84a根据从属性信息分析部85输入的中间数据175、从网络结构信息文件87a读出的网络结构信息以及从对象输入输出信息文件87b读出的对象输入输出信息,生成规定了允许通信的通信数据条件的中间通信许可规则,并作为中间通信许可列表176保存于存储部84b,并且向通信许可列表修正部84c输出。
在这里,如图18所示,中间通信许可列表176是具有规则编号、协议种类、发送源/目的地信息、数据长度、净荷条件的各个保存区域的数据集合。在中间通信许可列表176中规定的协议种类、发送源/目的地信息、数据长度、净荷条件构成通信数据条件。
通信许可列表修正部84c根据从系统状态接收部88输入的系统状态,附加与中间通信许可规则的通信数据条件组合的系统状态条件,生成通信许可规则,作为图19所示的通信许可列表177保存于存储部84d,并向入侵检测部82输出。在这里,如图19所示,通信许可列表177是向中间通信许可列表176追加系统状态条件而得到的。
而且,通信许可列表修正部84c根据从通信取得部81输入的T通信数据278、从系统状态接收部88输入的系统状态以及从中间通信许可列表生成部输入的中间通信许可列表176,生成图25所示的通信许可列表277,并保存于存储部84d,并且向入侵检测部82输出。
入侵检测部82将从通信取得部81输入的通信数据178与从系统状态接收部88输入的系统状态组合而生成图21所示的通信判定数据179,并对生成的通信判定数据179与通信许可列表177中的通信许可规则进行比较,由此检测对网络30的入侵。而且,入侵检测部82将从通信取得部81输入的T通信数据378与从系统状态接收部88输入的系统状态组合而生成图27所示的通信判定数据379,并对生成的通信判定数据379与通信许可列表277中的通信许可规则进行比较,由此检测对网络30的入侵。
在入侵检测部82检测到入侵时,警报部83向网络30发送警报。
以上所说明的那样,入侵检测装置80的通信取得部81、入侵检测部82、警报部83、通信许可列表生成部84、属性信息分析部85、系统状态接收部88,以及通信许可列表生成部84的中间通信许可列表生成部84a、通信许可列表修正部84c、存储部84b、84d,通过之前参照图3所说明的计算机60而实现。
接着,对入侵检测系统800的动作进行说明。首先,参照图16至图19对通信许可列表177的生成动作进行说明。
如图16的步骤S301所示,属性信息分析部85从工程信息文件86取得图17所示的工程数据71。在图16的步骤S302中,属性信息分析部85对取得的工程数据71进行分析,在图16的步骤S303中生成图17所示的中间数据175,并向中间通信许可列表生成部84a输出。
中间数据175具有没有周期条件的保存区域的数据结构,而在之前参照图5所说明的中间数据72中,周期条件是作为空白栏的状态。保存于图17所示的中间数据175的规则编号、协议种类、发送源/目的地信息、数据长度、净荷条件的各个区域的数据与保存于参照图5进行了说明的中间数据72的各个保存区域的数据相同。
在图16的步骤S304中,中间通信许可列表生成部84a从网络结构信息文件87a取得网络信息,并从对象输入输出信息文件87b取得对象输入输出信息。网络信息包含将中间数据175的发送源/目的地信息所包含的“传感器温度1”等对象名称转换为网络的IP地址的对象名称-发送源/目的地信息转换表。而且,对象输入输出信息包含将包含于中间数据175的净荷条件中的“对象标识符1”等对象标识符转换为读/写等命令的对象标识符-命令转换表。
在图16的步骤S305中,中间通信许可列表生成部84a参照所取得的对象名称-发送源/目的地信息转换表,如图18所示,将包含于中间数据175的发送源/目的地信息中的“传感器温度1”、“传感器温度2”分别转换为网络30的IP地址。而且,如图18所示,参照对象标识符-命令转换表,将包含于中间数据175的净荷条件中的“对象标识符1”、“对象标识符2”分别转换为“读属性”。而且,复制中间数据175的协议种类、数据长度。然后,生成图18所示的中间许可规则按照规则编号顺序排列的中间通信许可列表176。中间通信许可列表生成部84a将生成的中间通信许可列表176保存于存储部84b,并且向通信许可列表修正部84c输出。
在图16的步骤S306中,通信许可列表修正部84c从系统状态接收部88取得管理系统110的系统状态。作为外部装置45连接有维护PC 43,例如,当维护PC 43在导通测试时将管理系统110设定为“运转”状态的情况下,通信许可列表修正部84c取得“运转”的系统状态。
在图16的步骤S307中,通信许可列表修正部84c将如图19所示那样取得的系统状态作为系统状态条件,与保存于中间通信许可列表176中的通信数据条件组合而生成通信许可列表177。然后,通信许可列表修正部84c将生成的通信许可列表177保存于存储部84d。如图19所示,通信许可列表177是将规定了允许通信的通信数据条件与系统状态条件的组合的通信许可规则按照规则编号的顺序排列并进行列表而成的。
关于以上的通信许可列表177的生成动作,对维护PC 43将管理系统110设定为“运转”状态的情况进行了说明,在维护PC 43在管理系统110的导通测试时将系统状态设定为“运转”以外的“维护”、“停止”、“启动”、“切断”的任何状态的情况下,也能够通过相同的步骤生成通信许可列表177。在该情况下,通信许可规则的系统状态分别保存有“维护”、“停止”、“启动”、“切断”中的任意一个。
接着,参照图20至图23对使用了图19所示的通信许可列表177的入侵检测动作进行说明。
如图20的步骤S311所示,入侵检测装置80的通信取得部81取得流过网络30的通信数据178。如图21所示,通信数据178是包含协议种类、发送源/目的地信息、数据长度、净荷条件的数据集合。通信取得部81向入侵检测部82输出所取得的通信数据178。
在图20的步骤S312中,入侵检测部82从系统状态接收部88取得系统状态。然后,在图20的步骤S313中,如图21所示,向通信数据178附加系统状态,由此生成通信判定数据179。如图21所示,通信判定数据179具有将取得通信数据178时的系统状态与通信数据178组合而得到的数据结构。
在图20的步骤S314中,如图22所示,入侵检测部82对通信判定数据179与包含于通信许可列表177中的通信许可规则进行比较。然后,在通信判定数据179中所包含的通信数据与系统状态的组合不符合包含于通信许可规则中的通信数据条件与系统状态条件的任何组合的情况下,在图20的步骤S314中判断为“是”,进入图20的步骤S315检出入侵。另一方面,在通信判定数据179中所包含的通信数据与系统状态的组合符合包含于通信许可规则中的通信数据条件与系统状态条件的任意一个组合的情况下,在图20的步骤S314中判断为“否”,入侵检测动作结束。
图22所示的通信判定数据179中用数据编号1表示的通信判定数据的数据长度与通信许可列表的规则编号1、2的均不同,因此在图20的步骤S314中判断为“是”,检出入侵,进入图20的步骤S315。而且,图22的数据编号2的通信判定数据的系统状态、发送源/目的地信息、数据长度与通信许可列表的规则编号1、2的均不同,因此入侵检测部82在图20的步骤S314中判断为“是”,检出入侵,进入图20的步骤S315。
入侵检测部82在图20的步骤S315中判定为通信判定数据179的数据编号1含有“通信数据异常”。而且,判定为通信判定数据179的数据编号2也含有“通信数据异常”。于是,入侵检测部82向警报部83输出入侵检出信号、判定结果、判定为通信数据异常的通信判定数据179。
在图20的步骤S316中,警报部83将从入侵检测部82输入的判定结果与通信判定数据179组合而生成图22所示的警报180,并向网络30发送所生成的警报180。
以上说明的本实施方式的入侵检测系统800从与网络30连接并设定管理系统110的系统状态的外部装置45取得系统状态,并根据该系统状态生成通信许可列表177,因此能够更简便地生成精度较高的通信许可列表177。而且,对从外部装置45输入的系统状态和通信数据178组合而成的通信判定数据179、与通信许可列表177的通信许可规则进行比较而进行入侵检测,因此能够更准确地进行入侵检测。
接着,参照图24至图28,对使用T通信数据278计算通信的周期,并进行通信许可列表277的周期条件的设定,从而生成通信许可列表277的情况进行说明。
与之前参照图16、图17所说明的相同,属性信息分析部85在图20的步骤S301中取得工程数据71,在步骤S302中分析工程数据71,在图24的步骤S303中生成中间数据175并向中间通信许可列表生成部84a输出。与参照图18所说明的相同,中间通信许可列表生成部84a在图24的步骤S305中,根据中间数据175生成中间通信许可列表176,并向通信许可列表修正部84c输出。
在该动作中,通信取得部81从网络取得图21所示的通信数据178,并附加表示数据的取得时刻的时间戳,从而作为图25所示的T通信数据278向入侵检测部82和通信许可列表修正部84c输出。在图24的步骤S326中,通信许可列表修正部84c取得来自通信取得部81的T通信数据278。
在图24的步骤S327中,通信许可列表修正部84c对包含于在步骤S326中取得的T通信数据278中的通信数据与包含于在步骤S305中生成的中间通信许可列表176中的通信数据条件进行比较。然后,判断是否存在多个通信数据符合包含于中间通信许可规则中的一个通信数据条件的情况。
在图25所示的例子中,T通信数据278的数据编号1和数据编号2的通信数据符合包含于中间通信许可列表176的规则编号1的通信数据条件。在该情况下,通信许可列表修正部84c在图24的步骤S327中判断为“是”,进入图24的步骤S328。然后,通信许可列表修正部84c根据图25所示的T通信数据278的数据编号1和数据编号2的时间戳的差计算出通信数据的周期为990(msec)。然后,通信许可列表修正部84c将对计算出的周期赋予规定余量而得到的时间间隔设定为与包含于中间通信许可列表176的规则编号1中的通信数据条件对应的周期条件。在图25所示的例子中,通信许可列表修正部84c将与包含于规则编号1中的通信数据条件对应的周期条件设定为900(msec)~1100(msec)之间。
在图24的步骤S329中,通信许可列表修正部84c向中间通信许可规则附加系统状态条件和周期条件,生成通信许可规则,并将所生成的通信许可规则按照编号顺序排列而生成通信许可列表277。然后,通信许可列表修正部84c将生成的通信许可列表277保存于存储部84d,并且向入侵检测部82输出。
另一方面,在图24的步骤S327中判断为“否”的情况下,通信许可列表修正部84c判断为没有与通信数据条件对应的周期条件,并在图24的步骤S331中向通信许可规则的周期条件的栏中输入“无设定”,进入图24的步骤S329,生成通信许可列表规则。
接着,参照图26至图28对使用了图25所示的通信许可列表277的入侵检测动作进行说明。
在图26的步骤S331中,入侵检测部82从通信取得部81取得图27所示的T通信数据378。而且,在图26的步骤S332中,入侵检测部82从系统状态接收部88取得系统状态,并在图26的步骤S333中,对T通信数据378附加系统状态而生成通信判定数据379。
在图26的步骤S334中,与图20的步骤S314相同,入侵检测部82对通信判定数据379与包含于通信许可列表277的通信许可规则进行比较。然后,判断包含于通信判定数据379的通信数据与系统状态的组合是否不符合包含于通信许可规则中的通信数据条件与系统状态条件的任何组合。在图26的步骤S334中判断为“是”的情况下,入侵检测部82在图26的步骤S335中,与图20的步骤S315同样,进行通信数据异常的判定,并在图26的步骤S336中与图20的步骤S316同样发出警报。
另一方面,入侵检测部82当在图26的步骤S334中判断为“否”的情况下,进入图26的步骤S337,判断是否存在多个包含于通信判定数据379的通信数据与系统状态的组合符合包含于通信许可规则中的一个通信数据条件与一个系统状态条件的组合的情况。
在图27所示的例子中,通信判定数据379的数据编号1和2的系统状态与通信数据的组合相同,因此在该情况下,入侵检测部82在图26的步骤S337中判断为“是”,并进入图26的步骤S338,计算通信判定数据379的数据编号1与2之间的周期。在图27所示的例子中,数据编号1与2之间的周期计算为500(msec)。
入侵检测部82进入图26的步骤S339,判断计算出的周期是否满足包含于通信许可列表277中的周期条件。在图27所示的例子中,在通信判定数据379的数据编号1、2所符合的通信许可列表277的规则编号1中,周期条件设定为900(msec)与1100(msec)之间,因此数据编号1与2的周期不满足该周期条件。在该情况下,入侵检测部82在图26的步骤S339中判断为“是”而检出入侵,进入图26的步骤S340。
入侵检测部82在图26的步骤S340中判定为通信判定数据379含有“周期异常”。入侵检测部82向警报部83输出入侵检出信号、判定结果、系统状态、判定为通信数据异常的通信许可列表277的通信规则编号、以及在步骤S338中计算出的周期。
在图26的步骤S336中,警报部83将从入侵检测部82输入的系统状态、判定结果、规则编号以及通信间隔组合而生成图28所示的警报380,并向网络30发送所生成的警报380。
此外,在图26的步骤S337、S339均判断为“否”的情况下,入侵检测部82判断为没有入侵,并结束入侵检测动作而不发送警报。
以上说明的通信许可列表277的生成动作从与网络30连接并设定管理系统110的系统状态的外部装置45取得系统状态,并根据流过网络30的通信数据的周期生成周期条件,根据该周期条件生成通信许可列表277,因此与参照图16说明的生成动作相比,能够进一步简便地生成精度较高的通信许可列表277。
此外,将从外部装置45输入的系统状态与T通信数据378组合而成的通信判定数据379与包含周期条件的通信许可列表277的通信许可规则进行比较而进行入侵检测,因此能够进行周期异常的判定,能够准确地进行入侵检测。
接着,参照图29至图34对其他实施方式的入侵检测系统900进行说明。对与之前说明的入侵检测系统800相同的部位标注相同的标号,并省略说明。
如图29所示,入侵检测系统900是向参照图14、15说明的入侵检测系统800追加监视中心90而形成的。监视中心90与网络30连接,并在警报被从网络30输入时,对警报的内容进行分析,根据分析结果对保存于入侵检测装置80的通信许可列表277进行更新。
如图30所示,监视中心90包含警报分析部91、存储部92、规则判定部93以及通信许可列表更新部95。
存储部92保存中间通信许可列表生成部84a生成的中间通信许可列表176和通信许可列表修正部84c生成的通信许可列表277。在警报从网络30被输入时,警报分析部91分析警报的内容,并根据分析结果生成追加通信许可规则或变更通信许可规则。规则判定部93判定警报分析部91生成的追加通信许可规则或变更通信许可规则是否符合系统规格。在判定为追加通信许可规则或变更通信许可规则符合系统规格的情况下,规则判定部93向通信许可列表更新部95发送更新许可信号和警报分析部91生成的追加通信许可规则或变更通信许可规则。通信许可列表更新部95根据追加通信许可规则或变更通信许可规则对保存于存储部84d、92的通信许可列表277进行更新,并作为更新通信许可列表277a、277b。
以下,参照图31、32对入侵检测部82判定为通信数据异常的情况下的监视中心90的通信许可列表277的更新动作进行说明。以下,假设被输入图32所示的警报180a来进行说明。
如图31的步骤S351所示,在图32所示的警报180a被从网络30输入时,监视中心90的警报分析部91判断包含于警报180a的判定结果是否是通信数据异常。在包含通信数据异常的判定结果的情况下,警报分析部91进入图31的步骤S352。在步骤S351中判断为“否”的情况下,警报分析部91结束例程而不进行分析。
在图32所示的例子中,包含于警报180a的判定结果是通信数据异常,因此警报分析部91在图31的步骤S351中判断为“是”,并进入图31的步骤S352。
在图31的步骤S352中,警报分析部91判断包含于警报180a的通信数据是否符合保存于存储部92的中间通信许可列表176所包含的通信数据条件中的任意一个。在图32所示的例子中,警报编号1、2分别包含与中间通信许可列表176的规则编号1、2的各个通信数据条件相同的通信数据。因此,在该情况下,警报分析部91在图31的步骤S352中判断为“是”,并进入图31的步骤S353。
在图31的步骤S353中,警报分析部91将与包含于警报180a的通信数据一致的中间通信许可列表176的通信数据条件与包含于警报180a的系统状态组合而生成追加通信许可规则。在图32的例子中,警报分析部91将与包含于警报180a的警报编号1的通信数据一致的中间通信许可列表176的编号1的中间通信许可规则的通信数据条件与包含于警报编号1的“停止”的系统状态组合而生成追加通信许可规则。保存于存储部92的通信许可列表277列出了30个通信许可规则,因此生成的追加通信许可规则的规则编号为31。而且,同样地,将中间通信许可列表176的编号2的中间通信许可规则的通信数据条件与包含于警报编号2的“维护”的系统状态组合而生成规则编号32的追加通信许可规则。然后,警报分析部91向判定部93输出生成的追加通信许可规则。
在图31的步骤S354中,规则判定部93从系统规格文件94取得管理系统120的系统规格。然后,在图31的步骤S355中,规则判定部93将规则编号31、32的追加通信许可规则与系统规格进行比较,从而判定追加通信许可规则是否符合系统规格。
当在图31的步骤S355中判定为“是”的情况下,规则判定部93向通信许可列表更新部95输出通信规则追加许可信号和规则编号31、32的追加通信许可规则。在追加许可信号从规则判定部93被输入后,通信许可列表更新部95将追加通信许可规则追加到保存于存储部84d、92的通信许可列表277,作为更新通信许可列表277a保存于存储部84d、92。
接着,参照图33、34,关于入侵检测部82判定为周期异常的情况下的监视中心90进行的通信许可列表277的更新动作,以输入图34所示的警报380的情况作为例子进行说明。
如图33的步骤S361所示,在图34所示的警报380被从网络30输入时,监视中心90的警报分析部91判断包含于警报380的判定结果是否是周期异常。在包含周期异常的判定结果的情况下,警报分析部91进入图33的步骤S362。而且,在步骤S361中判断为“否”的情况下,警报分析部91结束例程而不进行分析。
在图34所示的例子中,包含于警报380的判定结果为周期异常,因此警报分析部91在图33的步骤S361中判断为“是”,并进入图33的步骤S362。
在图33的步骤S362中,警报分析部91生成变更通信许可规则,该变更通信许可规则将保存于存储部92的通信许可列表277中的通信规则中,与包含于警报380的通信规则编号对应的通信许可规则的周期条件变更为包含警报380所包含的周期。
在图34的例子中,包含于警报380的通信规则编号为1,因此警报分析部91生成变更通信许可规则,该变更通信许可规则以包含于通信许可列表277的规则编号1的周期条件包含警报380所包含的周期即500(msec)的方式,将周期条件变更为400(msec)~1100(msec)。然后,警报分析部91向规则判定部93输出所生成的变更通信许可规则。
在图33的步骤S363中,规则判定部93从系统规格文件94取得管理系统120的系统规格。然后,在图33的步骤S364中,规则判定部93对规则编号1的变更通信许可规则与系统规格进行比较,判定变更通信许可规则是否符合系统规格。
在图36的步骤S364中,在判定为“是”的情况下,规则判定部93向通信许可列表更新部95输出通信规则变更许可信号和规则编号1的变更通信许可规则。在变更许可信号被从规则判定部93输入之后,通信许可列表更新部95将保存于存储部84d、92的通信许可列表277的规则编号1的通信许可规则变更为变更通信许可规则,并作为更新通信许可列表277b保存于存储部84d、92。
在图34所示的例子中,是警报380检测出比包含于通信许可列表277周期条件短的周期的情况,但在警报380检测出比包含于通信许可列表277的周期条件长的周期的情况下,或者超时而无法检测周期的情况下,警报分析部91也可以增大与警报380的通信规则编号对应的通信许可列表277中的通信许可规则所规定的周期条件的上限。例如,在图34所示的例子中,也可以将周期条件的上限从1100(msec)变更为1200(msec)或1500(msec)。
此外,在以上的说明中,设为规则判定部93判定追加通信许可规则、变更通信许可规则是否符合系统规格来进行说明,但也可以是,如图30所示,配置于监视中心90的管理系统的管理者等判定者96判断追加通信许可规则、变更通信许可规则是否符合系统规格,并使得由规则判定部93发送通信许可规则的追加许可信号、变更许可信号。
如以上所说明的那样,本实施方式的入侵检测系统900对从网络30输入的警报的内容进行分析,根据分析结果对保存于入侵检测装置80的通信许可列表277进行更新,因此能够在更短的时间内生成通信许可列表。
此外,仅在追加通信许可规则、变更通信许可规则符合系统规格的情况下通过规则判定部93对通信许可列表277进行更新,因此能够防止不符合系统规格的通信许可规则包含于更新通信许可列表277b,能够生成准确的更新通信许可列表277b。
本发明不限于以上所说明的实施方式,包括不脱离权利要求书所规定的本发明的技术范围以及本质的所有变更和修改。
标号说明
10、20、80:入侵检测装置;11、21、81:通信取得部;12、22、82:入侵检测部;13、23、83:警报部;14、24、84:通信许可列表生成部;15、25、85:属性信息分析部;16、86:工程信息文件;17:管理信息文件;18:发送源目的地信息转换表;19:命令条件转换表;27:通信规则列表生成部;28:通信规则列表验证部;29:通信许可列表保存部;30:网络;40、42:监视控制终端;43:维护PC;45:外部装置;51、52:控制器;56:空调设备;57:照明设备;60:计算机;61:CPU;62:辅助存储装置;63:存储器;64:通信装置;64a:接收器;64b:发送器;65:输入接口;66:输入装置;67:输出接口;68:显示器;69:数据总线;71:工程数据;72、175:中间数据;73、177、277:通信许可列表;74:通信规则列表;84a:中间通信许可列表生成部;84b、84d、92:存储部;84c:通信许可列表修正部;87a:网络结构信息文件;87b:对象输入输出信息文件;88:系统状态接收部;90:监视中心;91:警报分析部;93:规则判定部;94:系统规格文件;95:通信许可列表更新部;96:判定者;100:楼宇管理系统;110、120:管理系统;176:中间通信许可列表;179、379:通信判定数据;180、180a、380:警报;277a、277b:更新通信许可列表;278:378:T通信数据(带时间戳的通信数据);800、900:入侵检测系统。
Claims (19)
1.一种入侵检测装置,其检测对构成楼宇设备的管理系统的网络的入侵,其中,该入侵检测装置具有:
通信取得部,其取得流过所述网络的关于所述楼宇设备的通信数据;
通信许可列表生成部,其生成允许所述网络中的通信的通信许可规则并作为通信许可列表进行保存;
入侵检测部,其对包含所述通信取得部所取得的所述通信数据的通信判定数据与所述通信许可列表中的所述通信许可规则进行比较,检测对所述网络的入侵;以及
属性信息分析部,其对工程信息进行分析,提取生成所述通信许可规则所需的信息,将该信息形成为所述网络的通信规格格式并作为中间数据进行输出,其中,该工程信息包含所述楼宇设备的对象的属性信息,
所述通信取得部根据所取得的所述通信数据生成所述通信判定数据,并输出到所述入侵检测部,
在所述通信判定数据不符合所述通信许可列表中的任何所述通信许可规则的情况下,所述入侵检测部检测出对所述网络的入侵,
所述通信许可列表生成部将包含网络结构信息和对象输入输出信息的管理信息与所述中间数据组合而生成所述通信许可规则。
2.根据权利要求1所述的入侵检测装置,其中,
所述工程信息被从外部输入到所述属性信息分析部,
所述管理信息被从外部输入到所述通信许可列表生成部。
3.根据权利要求1或2所述的入侵检测装置,其中,该入侵检测装置包括:
通信规则列表生成部,其学习所述通信取得部生成的所述通信判定数据,根据流过所述网络的关于所述楼宇设备的所述通信数据生成通信规则,并作为通信规则列表进行输出;
通信许可列表保存部,其保存修正通信许可列表;以及
通信规则列表验证部,其在所述通信规则列表中的一个通信规则与所述通信许可列表中的任意所述通信许可规则仅一部分不同的情况下,按照所述通信许可规则对所述一个通信规则进行修正,并作为所述修正通信许可列表向所述通信许可列表保存部进行输出,在所述通信规则列表中的全部通信规则与所述通信许可列表中的任意所述通信许可规则一致的情况下,将所述通信规则列表作为所述修正通信许可列表向所述通信许可列表保存部进行输出,
在所述通信取得部生成的所述通信判定数据不符合保存于所述通信许可列表保存部的所述修正通信许可列表中的任何所述通信许可规则的情况下,所述入侵检测部检测出对所述网络的入侵。
4.根据权利要求3所述的入侵检测装置,其中,
在所述通信规则列表中的一个通信规则不同于所述通信许可列表中的任何所述通信许可规则并且无法按照所述通信许可规则对所述一个通信规则进行修正的情况下,所述通信规则列表验证部从所述通信规则列表中删除所述一个通信规则后作为所述修正通信许可列表向所述通信许可列表保存部进行输出。
5.根据权利要求3或4所述的入侵检测装置,其中,
当在所述通信许可列表所包含的关于所述对象的所述通信许可规则中存在着所述通信规则列表中未包含的关于所述对象的所述通信规则的所述通信许可规则的情况下,所述通信规则列表验证部将该所述通信许可规则追加给所述通信规则列表,并作为所述修正通信许可列表向所述通信许可列表保存部进行输出。
6.根据权利要求1~5中的任意一项所述的入侵检测装置,其中,
该入侵检测装置具有警报部,在所述入侵检测部检测到对所述网络的入侵的情况下,该警报部向所述网络输出表示检测到入侵的警报。
7.一种入侵检测方法,检测对构成楼宇设备的管理系统的网络的入侵,其中,该入侵检测方法包括:
通信数据取得步骤,取得流过所述网络的关于所述楼宇设备的通信数据;
通信许可列表生成步骤,根据包含所述楼宇设备的对象的属性信息的工程信息,生成允许所述网络中的通信的通信许可规则,并作为通信许可列表进行输出;
入侵检测步骤,对包含所取得的所述通信数据的通信判定数据与所述通信许可列表中的所述通信许可规则进行比较,检测对所述网络的入侵;
属性信息分析步骤,对所述工程信息进行分析,提取生成所述通信许可规则所需的信息,将该信息形成为所述网络的通信规格格式并作为中间数据进行输出;以及
判定数据生成步骤,根据所取得的所述通信数据生成所述通信判定数据,
在所述入侵检测步骤中,当所述通信判定数据不符合所述通信许可列表中的任何所述通信许可规则的情况下,检测出对所述网络的入侵,
在所述通信许可列表生成步骤中,将包含网络结构信息和对象输入输出信息的管理信息与所述中间数据组合而生成所述通信许可规则。
8.根据权利要求7所述的入侵检测方法,其中,该入侵检测方法包括:
通信规则列表生成步骤,学习所述通信判定数据,根据流过所述网络的关于所述楼宇设备的所述通信数据生成通信规则,并作为通信规则列表进行输出;以及
通信规则列表验证步骤,在所述通信规则列表中的一个通信规则与所述通信许可列表中的任意所述通信许可规则仅一部分不同的情况下,按照所述通信许可规则对所述一个通信规则进行修正而作为修正通信许可列表,在所述通信规则列表中的全部通信规则与所述通信许可列表中的任意所述通信许可规则一致的情况下,将所述通信规则列表作为所述修正通信许可列表,
在所述入侵检测步骤中,当所述通信判定数据不符合所述修正通信许可列表中的任何所述通信许可规则的情况下,检测出对所述网络的入侵。
9.根据权利要求8所述的入侵检测方法,其中,
在所述通信规则列表验证步骤中,在所述通信规则列表中的一个通信规则不同于所述通信许可列表中的任何所述通信许可规则并且无法按照所述通信许可规则对所述一个通信规则进行修正的情况下,从所述通信规则列表中删除所述一个通信规则,作为所述修正通信许可列表。
10.根据权利要求8或9所述的入侵检测方法,其中,
在所述通信规则列表验证步骤中,当在所述通信许可列表所包含的关于所述对象的所述通信许可规则中,存在着所述通信规则列表中未包含的关于所述对象的所述通信规则的所述通信许可规则的情况下,将该所述通信许可规则追加给所述通信规则列表,作为所述修正通信许可列表。
11.一种入侵检测系统,其检测对构成楼宇设备的管理系统的网络的入侵,其中,该入侵检测系统包括:
外部装置,其设定所述管理系统的系统状态;以及
入侵检测装置,其检测对所述网络的入侵,
所述入侵检测装置具有:
系统状态接收部,其从所述外部装置接收所述管理系统的所述系统状态;
通信取得部,其取得流过所述网络的关于所述楼宇设备的通信数据;
通信许可列表生成部,其根据包含所述楼宇设备的对象的属性信息的工程信息和从所述系统状态接收部输入的所述系统状态,生成通信许可规则并作为通信许可列表进行保存,该通信许可规则规定了允许通信的通信数据条件与系统状态条件的组合;
入侵检测部,其将从所述通信取得部输入的所述通信数据与从所述系统状态接收部输入的所述系统状态进行组合,生成通信判定数据,将所生成的所述通信判定数据与所述通信许可列表中的所述通信许可规则进行比较,由此检测对所述网络的入侵;
警报部,其在所述入侵检测部检测到入侵时,向所述网络发送警报;以及
属性信息分析部,其对所述工程信息进行分析,提取生成所述通信许可规则所需的信息,
所述通信许可列表生成部包括:
中间通信许可列表生成部,其根据所述属性信息分析部提取出的所述信息、以及网络结构信息和对象输入输出信息,生成规定了所述通信数据条件的中间通信许可规则,并作为中间通信许可列表进行保存;以及
通信许可列表修正部,其将根据从所述系统状态接收部输入的所述系统状态而与所述中间通信许可规则的所述通信数据条件组合的所述系统状态条件附加给所述中间通信许可规则而生成所述通信许可规则,并作为所述通信许可列表进行保存,
在所述通信判定数据所包含的所述通信数据与所述系统状态的组合不符合所述通信许可规则中包含的所述通信数据条件与系统状态条件的任何组合的情况下,所述入侵检测部检测出对所述网络的入侵。
12.根据权利要求11所述的入侵检测系统,其中,
该入侵检测系统包括监视中心,该监视中心与所述网络连接,在所述警报被从所述网络输入时,对所述警报的内容进行分析,并根据分析结果对保存于所述入侵检测装置中的所述通信许可列表进行更新。
13.根据权利要求11所述的入侵检测系统,其中,
在所述入侵检测部检测到对所述网络的入侵时,所述警报部向所述网络发送包含通信数据异常的判定结果、所述通信判定数据中的所述系统状态以及所述通信数据的警报。
14.根据权利要求13所述的入侵检测系统,其中,
该入侵检测系统包括监视中心,该监视中心具有:
警报分析部,其在所述警报被从所述网络输入时,对所述警报的内容进行分析,并根据分析结果生成追加通信许可规则;
存储部,其对所述中间通信许可列表生成部生成的所述中间通信许可列表和所述通信许可列表生成部生成的所述通信许可列表进行保存;以及
通信许可列表更新部,其对保存于所述存储部和所述入侵检测装置中的所述通信许可列表进行更新,
在所述警报所包含的所述通信数据符合保存于所述存储部的所述中间通信许可列表所包含的所述通信数据条件中的任意一个的情况下,所述警报分析部将符合的一个所述通信数据条件与所述警报所包含的所述系统状态组合而生成所述追加通信许可规则,
所述通信许可列表更新部将所述警报分析部生成的所述追加通信许可规则追加给保存于所述存储部和所述入侵检测装置中的所述通信许可列表,对保存于所述存储部中的所述通信许可列表进行更新。
15.根据权利要求14所述的入侵检测系统,其中,
所述监视中心具有规则判定部,该规则判定部对所述警报分析部生成的所述追加通信许可规则与系统规格进行比较,判定所述追加通信许可规则是否符合所述系统规格,
在所述规则判定部判定为所述追加通信许可规则符合所述系统规格的情况下,所述通信许可列表更新部执行所述通信许可列表的更新。
16.根据权利要求11所述的入侵检测系统,其中,
所述通信取得部将表示取得时刻的时间戳附加给所取得的所述通信数据,并作为带时间戳的通信数据向所述入侵检测部和所述通信许可列表修正部进行输出,
在从所述通信取得部输入的所述带时间戳的通信数据所包含的所述通信数据符合所述中间通信许可规则所包含的一个所述通信数据条件的情况存在多个的情况下,所述通信许可列表修正部根据所述时间戳生成与一个所述通信数据条件对应的周期条件,并将所述周期条件和所述系统状态条件附加给所述中间通信许可规则,生成所述通信许可规则,并作为所述通信许可列表进行保存,其中,所述系统状态条件根据从所述系统状态接收部输入的所述系统状态而与所述中间通信许可规则的所述通信数据条件组合,
所述入侵检测部将从所述通信取得部输入的所述带时间戳的通信数据与从所述系统状态接收部输入的所述系统状态组合而生成所述通信判定数据,
在所述通信判定数据所包含的所述通信数据与所述系统状态的组合符合所述通信许可规则所包含的一个所述通信数据条件与一个所述系统状态条件的组合的情况存在多个的情况下,所述入侵检测部根据所述通信判定数据所包含的所述时间戳,计算符合一个所述通信数据条件与一个所述系统状态条件的组合的所述通信数据与所述系统状态的组合流过所述网络的周期,
在计算出的所述周期不满足所述通信许可规则所包含的所述周期条件的情况下,所述入侵检测部检测出对所述网络的入侵。
17.根据权利要求16所述的入侵检测系统,其中,
在检测到对所述网络的入侵时,所述警报部向所述网络发送警报,该警报包含周期异常的判定结果、所述通信判定数据中的所述系统状态、包含一个所述通信数据条件与一个所述系统状态条件的组合的通信规则编号以及计算出的所述周期。
18.根据权利要求17所述的入侵检测系统,其中,
该入侵检测系统包括监视中心,该监视中心具有:
警报分析部,其在所述警报被从所述网络输入时,对所述警报的内容进行分析,并根据分析结果对所述通信许可列表所包含的所述通信许可规则进行变更而生成变更通信许可规则;
存储部,其对所述通信许可列表生成部生成的所述通信许可列表进行保存;以及
通信许可列表更新部,其对保存于所述存储部和所述入侵检测装置的所述通信许可列表进行更新,
所述警报分析部生成所述变更通信许可规则,所述变更通信许可规则是将保存于所述存储部的所述通信许可列表中的所述警报所包含的所述通信规则编号所对应的所述通信许可规则的所述周期条件变更为包含所述警报所包含的所述周期,
所述通信许可列表更新部将保存于所述存储部和所述入侵检测装置的所述通信许可列表中的所述通信规则编号的所述通信许可规则变更为所述变更通信许可规则,并对保存于所述存储部和所述入侵检测装置的所述通信许可列表进行更新。
19.根据权利要求18所述的入侵检测系统,其中,
所述监视中心具有规则判定部,该规则判定部对所述警报分析部生成的所述变更通信许可规则与系统规格进行比较,判定所述变更通信许可规则是否符合所述系统规格,
在所述规则判定部判定为所述变更通信许可规则符合所述系统规格的情况下,所述通信许可列表更新部执行所述通信许可列表的更新。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2017/023573 WO2019003300A1 (ja) | 2017-06-27 | 2017-06-27 | 侵入検知装置および侵入検知方法 |
| JPPCT/JP2017/023573 | 2017-06-27 | ||
| PCT/JP2018/023933 WO2019004101A1 (ja) | 2017-06-27 | 2018-06-25 | 侵入検知装置および侵入検知方法ならびに侵入検知システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110771101A CN110771101A (zh) | 2020-02-07 |
| CN110771101B true CN110771101B (zh) | 2021-07-13 |
Family
ID=64741508
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880040979.1A Active CN110771101B (zh) | 2017-06-27 | 2018-06-25 | 入侵检测装置、入侵检测方法以及入侵检测系统 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP3605966B1 (zh) |
| JP (1) | JP6584733B2 (zh) |
| CN (1) | CN110771101B (zh) |
| ES (1) | ES2870077T3 (zh) |
| WO (2) | WO2019003300A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022014027A1 (ja) * | 2020-07-17 | 2022-01-20 | 三菱電機株式会社 | 通信許可リスト生成装置、通信許可リスト生成方法、及び、プログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105204487A (zh) * | 2014-12-26 | 2015-12-30 | 北京邮电大学 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
| WO2016194123A1 (ja) * | 2015-06-02 | 2016-12-08 | 三菱電機ビルテクノサービス株式会社 | 中継装置、ネットワーク監視システム及びプログラム |
| CN106571965A (zh) * | 2016-11-07 | 2017-04-19 | 成都科曦科技有限公司 | 一种用于酒店设备故障自检、互检反馈的监测展示系统及方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6054010B2 (ja) | 1978-02-14 | 1985-11-28 | 豊年製油株式会社 | 鉄板焼き用油の製造法 |
| JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| US20090271504A1 (en) * | 2003-06-09 | 2009-10-29 | Andrew Francis Ginter | Techniques for agent configuration |
| JP2007164313A (ja) * | 2005-12-12 | 2007-06-28 | Mitsubishi Electric Corp | 不正アクセス検知装置 |
| US8248946B2 (en) * | 2006-06-06 | 2012-08-21 | Polytechnic Institute of New York Unversity | Providing a high-speed defense against distributed denial of service (DDoS) attacks |
| JP5088403B2 (ja) * | 2010-08-02 | 2012-12-05 | 横河電機株式会社 | 不正通信検出システム |
| WO2014155650A1 (ja) * | 2013-03-29 | 2014-10-02 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
| US10291506B2 (en) | 2015-03-04 | 2019-05-14 | Fisher-Rosemount Systems, Inc. | Anomaly detection in industrial communications networks |
-
2017
- 2017-06-27 WO PCT/JP2017/023573 patent/WO2019003300A1/ja active Application Filing
-
2018
- 2018-06-25 ES ES18824636T patent/ES2870077T3/es active Active
- 2018-06-25 CN CN201880040979.1A patent/CN110771101B/zh active Active
- 2018-06-25 WO PCT/JP2018/023933 patent/WO2019004101A1/ja unknown
- 2018-06-25 JP JP2019526874A patent/JP6584733B2/ja active Active
- 2018-06-25 EP EP18824636.7A patent/EP3605966B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105204487A (zh) * | 2014-12-26 | 2015-12-30 | 北京邮电大学 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
| WO2016194123A1 (ja) * | 2015-06-02 | 2016-12-08 | 三菱電機ビルテクノサービス株式会社 | 中継装置、ネットワーク監視システム及びプログラム |
| CN106571965A (zh) * | 2016-11-07 | 2017-04-19 | 成都科曦科技有限公司 | 一种用于酒店设备故障自检、互检反馈的监测展示系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110771101A (zh) | 2020-02-07 |
| EP3605966B1 (en) | 2021-01-27 |
| WO2019004101A1 (ja) | 2019-01-03 |
| JP6584733B2 (ja) | 2019-10-02 |
| EP3605966A4 (en) | 2020-04-22 |
| ES2870077T3 (es) | 2021-10-26 |
| JPWO2019004101A1 (ja) | 2019-12-19 |
| EP3605966A1 (en) | 2020-02-05 |
| WO2019003300A1 (ja) | 2019-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20170270124A1 (en) | Data Management Device, Data Management System, and Data Management Method | |
| CN110659494A (zh) | 一种可扩展的智能合约漏洞检测方法 | |
| JP6380359B2 (ja) | デバイス管理システムおよび方法 | |
| EP3168703A1 (en) | Field device, field device system, and diagnostic method | |
| JP6313516B1 (ja) | 情報処理装置、情報処理方法およびコンピュータプログラム | |
| US20220019717A1 (en) | Model creation device, model creation method, and program | |
| CN110771101B (zh) | 入侵检测装置、入侵检测方法以及入侵检测系统 | |
| JP6273835B2 (ja) | 状態判定装置、状態判定方法および状態判定プログラム | |
| CN107408184A (zh) | 补丁监测和分析 | |
| JP6290777B2 (ja) | データ関連情報処理装置及びプログラム | |
| US8051048B2 (en) | System and method for automated transfer and evaluation of the quality of mass data of a technical process or a technical project | |
| JP2019159365A (ja) | 状態変動検出装置及び状態変動検出用プログラム | |
| US11102250B2 (en) | Controlling behavior of an internet of things (IoT) automation system by identifying policy violations | |
| JP2001014007A (ja) | ネットワーク分散デバイス管理装置 | |
| CN112184493A (zh) | 基于大数据和装配式建筑平台的数据处理方法、系统及存储介质 | |
| CN113472564B (zh) | 基于区块链的责任溯源方法及电子设备 | |
| CN116717729B (zh) | 一种监测燃气安全的分级管控系统及方法 | |
| KR101969940B1 (ko) | 산업 프로토콜 패킷 감시 및 제어 장치 | |
| JP2019197449A (ja) | 機器管理装置およびタグ名検証方法 | |
| CN114175002B (zh) | 数据处理装置、方法及计算机可读取的记录介质 | |
| JPWO2018101070A1 (ja) | 異常判定装置、異常判定方法、及び異常判定プログラム | |
| KR20180109352A (ko) | 사물인터넷 장치 연동을 위한 메타 모델 조정 시스템 및 방법 | |
| CN116595509A (zh) | 一种程序白名单构建方法及系统 | |
| CN115237771A (zh) | 一种代码检测的检测方法、装置、设备及介质 | |
| CN118260363A (zh) | 数据复制方法、系统及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |