CN111566643A - 攻击检测装置、攻击检测方法和攻击检测程序 - Google Patents
攻击检测装置、攻击检测方法和攻击检测程序 Download PDFInfo
- Publication number
- CN111566643A CN111566643A CN201880084979.1A CN201880084979A CN111566643A CN 111566643 A CN111566643 A CN 111566643A CN 201880084979 A CN201880084979 A CN 201880084979A CN 111566643 A CN111566643 A CN 111566643A
- Authority
- CN
- China
- Prior art keywords
- state
- attack
- rule
- communication information
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
模型生成部(112)根据对监视对象进行计测而得到的多个计测值,生成表示监视对象的不同状态的计测值的状态模型。统合部(114)根据在得到多个计测值的时段内由监视对象进行了通信的多个通信数据,生成表示监视对象的不同状态的通信信息的检测规则。攻击检测部(115)使用状态模型和检测规则判定新的通信数据是否是攻击数据。
Description
技术领域
本发明涉及检测网络攻击的技术。
背景技术
近年来,控制系统与网络连接的情况增加。而且,控制系统成为网络攻击目标的情况增加。
因此,为了检测基于网络攻击的攻击,正在研究在监视控制装置等装置搭载攻击检测功能。
现有的攻击检测功能利用控制系统的网络通信固定的性质定义检测规则,在检测规则中记载发送目的地地址和发送方地址的组以及协议等被许可的通信信息。
此外,作为基于正常通信组合的攻击和基于操作员非法操作的攻击的对策,已开发出着眼于系统状态的检测系统。
在专利文献1中提出根据通知系统状态的分组来确认与系统状态对应的正常通信模式。
现有技术文献
专利文献
专利文献1:国际公开2014/155650号
发明内容
发明要解决的课题
在专利文献1的提案中,从服务器装置和控制器发送状态通知分组,掌握系统状态。然后,根据与系统状态对应的通信模式检测入侵和攻击。
即,要将发送状态通知分组的功能组入服务器装置和控制器中。
因此,专利文献1提出的技术的导入需要在系统整体中进行功能的追加或修改,这一点非常困难。
本发明的目的在于,即使不接受状态通知也能够检测网络攻击。
用于解决课题的手段
本发明的攻击检测装置具有:模型生成部,其根据对监视对象进行计测而得到的多个计测值,生成表示所述监视对象的不同状态的计测值的状态模型;规则生成部,其根据在得到所述多个计测值的时段内由所述监视对象进行了通信的多个通信数据,生成表示所述监视对象的不同状态的通信信息的检测规则;以及攻击检测部,其使用所述状态模型和所述检测规则判定新的通信数据是否是攻击数据。
发明效果
根据本发明,生成状态模型,因此,即使不接受状态通知也能够检测网络攻击。
附图说明
图1是实施方式1中的监视控制系统200的结构图。
图2是示出实施方式1中的监视控制系统200的具体例的图。
图3是实施方式1中的监视控制装置100的结构图。
图4是示出实施方式1中的存储部121的图。
图5是实施方式1中的监视控制方法(输入)的流程图。
图6是实施方式1中的监视控制方法(接收)的流程图。
图7是实施方式1中的攻击检测方法的流程图。
图8是实施方式1中的生成处理(S210)的流程图。
图9是示出实施方式1中的散点图141的一例的图。
图10是示出实施方式1中的线性模型142的一例的图。
图11是示出实施方式1中的状态模型134的一例的图。
图12是示出实施方式1中的检测规则135的一例的图。
图13是示出实施方式1中的检测规则135的一例的图。
图14是示出实施方式1中的检测规则135的一例的图。
图15是示出实施方式1中的状态模型134的一例的图。
图16是实施方式1中的攻击检测处理(S230)的流程图。
图17是实施方式2中的攻击检测方法的流程图。
图18是实施方式2中的生成处理(S300)的流程图。
图19是示出实施方式2中的通信信息列表136的一例的图。
图20是实施方式2中的检测规则生成处理(S320)的流程图。
图21是实施方式中的监视控制装置100的硬件结构图。
具体实施方式
在实施方式和附图中,对相同要素和对应要素标注相同标号。标注有相同标号的要素的说明适当省略或简化。图中的箭头主要表示数据流或处理流。
实施方式1
根据图1~图16对检测网络攻击的方式进行说明。
***结构的说明***
根据图1对监视控制系统200的结构进行说明。
监视控制系统200是进行监视对象202的监视和监视对象202的控制的系统。
监视控制系统200具有监视控制装置100和监视对象202。
监视控制装置100和监视对象202经由网络201相互进行通信。
具体而言,监视控制装置100向监视对象202发送用于对监视对象202进行控制的控制值。监视对象202按照控制值进行动作。在监视对象202安装有多个传感器,通过多个传感器进行各种计测。然后,监视对象202向监视控制装置100发送通过各种计测而得到的各种计测值。
监视对象202的具体例是工厂210。
根据图2对监视对象202是工厂210时的监视控制系统200的结构进行说明。
在图2中,监视控制系统200具有监视控制装置100和工厂210。
监视控制装置100与信息系统网络221和控制系统网络222连接,工厂210与控制系统网络222连接。
信息系统网络221是在办公室内利用的网络。
控制系统网络222是对控制值和计测值进行通信的网络。
工厂210具有控制器211、现场网络212和现场设备213。
现场网络212是用于在控制器211与现场设备213之间对控制值和计测值进行通信的网络。
返回图1,继续进行监视控制系统200的说明。
监视控制装置100具有检测针对监视控制系统200的攻击的功能。即,监视控制装置100还作为攻击检测装置发挥功能。而且,监视控制系统200还作为攻击检测系统发挥功能。
根据图3对监视控制装置100的结构进行说明。
监视控制装置100是具有处理器101、存储器102、辅助存储装置103、通信装置104和输入输出接口105这样的硬件的计算机。这些硬件经由信号线而相互连接。
处理器101是进行运算处理的IC(Integrated Circuit:集成电路),对其他硬件进行控制。例如,处理器101是CPU(Central Processing Unit:中央处理单元)、DSP(DigitalSignal Processor:数字信号处理器)或GPU(Graphics Processing Unit:图形处理单元)。
存储器102是易失性存储装置。存储器102也被称作主存储装置或主存储器。例如,存储器102是RAM(Random Access Memory:随机存取存储器)。存储器102中存储的数据根据需要被保存到辅助存储装置103。
辅助存储装置103是非易失性存储装置。例如,辅助存储装置103是ROM(Read OnlyMemory:只读存储器)、HDD(Hard Disk Drive:硬盘驱动器)或闪存。辅助存储装置103中存储的数据根据需要被载入到存储器102。
通信装置104是接收机和发送机。例如,通信装置104是通信芯片或NIC(NetworkInterface Card:网络接口卡)。
输入输出接口105是连接输入装置和输出装置的端口。例如,输入输出接口105是USB端子,输入装置是键盘和鼠标,输出装置是显示器。USB是Universal Serial Bus(通用串行总线)的简称。
监视控制装置100具有数据管理部111、模型生成部112、规则生成部113、统合部114、攻击检测部115和警告部116这样的要素。这些要素通过软件实现。
在辅助存储装置103中存储有用于使计算机作为数据管理部111发挥功能的监视控制程序。
进而,在辅助存储装置103中存储有用于使计算机作为模型生成部112、规则生成部113、统合部114、攻击检测部115和警告部116发挥功能的攻击检测程序。
监视控制程序和攻击检测程序被载入到存储器102,由处理器101执行。
进而,在辅助存储装置103中存储有OS(Operating System:操作系统)。OS的至少一部分被载入到存储器102,由处理器101执行。
即,处理器101一边执行OS,一边执行监视控制程序和攻击检测程序。
执行监视控制程序或攻击检测程序而得到的数据被存储到存储器102、辅助存储装置103、处理器101内的寄存器或处理器101内的高速缓冲存储器这样的存储装置。
存储器102作为存储部121发挥功能。但是,其他存储装置也可以代替存储器102或与存储器102一起作为存储部121发挥功能。
通信装置104作为通信部122发挥功能。
输入输出接口105作为受理部123和显示部124发挥功能。
存储部121、通信部122、受理部123和显示部124由监视控制程序和攻击检测程序来控制。即,监视控制程序和攻击检测程序分别还使计算机作为存储部121、通信部122、受理部123和显示部124发挥功能。
监视控制装置100也可以具有代替处理器101的多个处理器。多个处理器分担处理器101的作用。
监视控制程序和攻击检测程序能够以计算机能读取的方式记录(存储)在光盘或闪存等非易失性记录介质中。
根据图4对存储部121中存储的主要数据进行说明。
存储部121主要存储控制数据131、计测数据132、通信数据133、状态模型134和检测规则135。
控制数据131是包含控制值的数据。
计测数据132是包含计测值的数据。
通信数据133是由监视对象202进行了通信的数据。
状态模型134和检测规则135用于检测攻击数据。攻击数据是用于攻击监视控制系统200的通信数据133。
***动作的说明***
监视控制装置100的动作相当于监视控制方法和攻击检测方法。此外,监视控制方法的顺序相当于监视控制程序的顺序,攻击检测方法的顺序相当于攻击检测程序的顺序。
根据图5对监视控制方法(输入)进行说明。
监视控制方法(输入)是对监视控制装置100输入了操作输入数据时的顺序。
操作输入数据包含控制种类和控制值。
控制种类是针对监视对象202的控制的种类。针对工厂210的控制种类的一例是压力和阀开闭。
控制值是针对监视对象202的控制的目标值。针对工厂210的控制值的一例是压力的目标值和阀开度的目标值。
在步骤S101中,受理部123受理被输入到监视控制装置100的操作输入数据。
在步骤S102中,数据管理部111根据操作输入数据生成控制数据131,将生成的控制数据131存储在存储部121中。
控制数据131包含控制种类、控制值和时刻。
在步骤S103中,数据管理部111生成包含控制值的通信数据133。然后,通信部122向监视对象202发送通信数据133。
此外,数据管理部111将生成的通信数据133存储在存储部121中。
每当对监视控制装置100输入操作输入数据时,执行图5的监视控制方法(输入)。
根据图6对监视控制方法(接收)进行说明。
监视控制方法(接收)是通信数据133从监视对象202到达监视控制装置100时的顺序。
来自监视对象202的通信数据133包含计测种类和计测值。
计测种类是针对监视对象202的计测的种类。针对工厂210的计测种类的一例是压力和阀开闭。
计测值是对监视对象202进行计测而得到的值。工厂210中的计测值的一例是压力和阀开度。
在步骤S111中,通信部122接收到达监视控制装置100的通信数据133。
在步骤S112中,数据管理部111将通信数据133存储在存储部121中。
在步骤S113中,数据管理部111根据通信数据133生成计测数据132,将生成的计测数据132存储在存储部121中。
计测数据132包含计测种类、计测值和时刻。
每当通信数据133从监视对象202到达监视控制装置100时,执行图6的监视控制方法(接收)。
对监视控制方法(显示)进行说明。
在监视控制方法(显示)中,数据管理部111从存储部121读出控制数据131和计测数据132,将控制数据131和计测数据132输入到显示部124。然后,显示部124在显示器显示控制数据131和计测数据132。
根据图7对攻击检测方法进行说明。
在步骤S210中,模型生成部112根据多个控制值和多个计测值生成状态模型134。
状态模型134表示监视对象202的不同状态的值对。
值对是控制值和计测值的组。
具体而言,模型生成部112如下生成状态模型134。
模型生成部112对根据多个控制值和多个计测值得到的多个值对进行分组,按照每个组定义状态。
在步骤S210中,规则生成部113根据在得到多个控制值和多个计测值的时段内由监视对象202进行了通信的多个通信数据133生成检测规则135。
检测规则135表示监视对象202的不同状态的通信信息。通信信息在后面叙述。
具体而言,规则生成部113如下生成检测规则135。
首先,规则生成部113根据得到多个通信数据133的各通信数据133时的值对,从状态模型134取得状态。
进而,规则生成部113从各通信数据133取得通信信息。
然后,规则生成部113将所取得的状态和所取得的通信信息相互对应起来登记在检测规则135中。
根据图8对生成处理(S210)的顺序进行说明。
在步骤S211中,操作员决定关注种类,将关注种类输入到监视控制装置100。
然后,受理部123受理被输入到监视控制装置100的关注种类。
关注种类是为了生成状态模型134和检测规则135而参照的种类。
反复执行步骤S212~步骤S218。
在步骤S212中,模型生成部112从存储部121取得关注种类的当前的值对。
具体而言,模型生成部112如下取得关注种类的当前的值对。
模型生成部112选择包含与关注种类相同的控制种类的控制数据131,从选择出的控制数据131中选择最新的控制数据131。然后,控制数据131从选择出的最新的控制数据131取得控制值。
进而,模型生成部112选择包含与关注种类相同的计测种类的计测数据132,从选择出的计测数据132中选择最新的计测数据132。然后,计测数据132从选择出的最新的计测数据132取得计测值。
所取得的控制值和所取得的计测值的组是关注种类的当前的值对。
在步骤S213中,模型生成部112根据关注种类的当前的值对,对状态模型134进行更新。
具体而言,模型生成部112如下对状态模型134进行更新。
首先,模型生成部112将关注种类的当前的值对描绘成散点图141。
在图9中示出散点图141的一例。
散点图141是描绘有1个以上的值对的曲线图。横轴表示控制值,纵轴表示计测值。
接着,模型生成部112根据散点图141对线性模型142进行更新。
在图10中示出线性模型142的一例。
线性模型142是与散点图141对应的1个以上的线图。
在图10中,线性模型142包含2个线图。各线图利用式子定义。例如,第1线图利用“y=ax+b”这样的式子定义,第2线图利用“y=cx+d”这样的式子定义。
然后,模型生成部112根据线性模型142对状态模型134进行更新。
具体而言,模型生成部112将线性模型142中包含的值对的范围分割成多个范围,按照每个范围定义状态。
在图11中示出状态模型134的一例。
在图11中,状态模型134包含4个状态。
状态(1)的范围是控制值小于α且计测值小于β的范围。
状态(2)的范围是控制值大于α且计测值小于β的范围。
状态(3)的范围是控制值小于α且计测值大于β的范围。
状态(4)的范围是控制值大于α且计测值大于β的范围。
返回图8,从步骤S214起继续进行说明。
在步骤S214中,规则生成部113从状态模型134取得当前的状态。
具体而言,规则生成部113从状态模型134中选择关注种类的当前的值对所属的范围,从状态模型134取得选择出的范围内定义的状态。所取得的状态是当前的状态。
在步骤S215中,规则生成部113判定是否存在新的通信数据133。
第1次的步骤S215中的新的通信数据133是包含生成处理(S210)开始后的时刻的通信数据133。
从第2次起的步骤S215中的新的通信数据133是包含上次的步骤S215后的时刻的通信数据133。
在存在新的通信数据133的情况下,处理进入步骤S216。
在不存在新的通信数据133的情况下,处理进入步骤S218。
在步骤S216中,规则生成部113从新的通信数据133取得通信信息。
具体而言,通信数据133具有设定有通信信息的头。然后,规则生成部113从通信数据133的头取得通信信息。
在步骤S217中,规则生成部113将通信信息与当前的状态对应起来登记在检测规则135中。
在图12中示出检测规则135的一例。
检测规则135将状态和通信信息相互对应起来。
通信信息是表示通信的特征的信息。
在图12中,通信信息包含协议类别、发送方/发送目的地、数据长度、有效载荷条件和周期条件。
协议类别识别通信协议。
发送方/发送目的地是发送方地址和发送目的地地址的组。
数据长度是有效载荷的大小。
有效载荷条件表示命令的种类或设定值的范围等。
周期条件表示相同种类的通信数据133产生的周期。
返回图8,从步骤S218起继续进行说明。
在步骤S218中,模型生成部112判定是否结束生成处理(S210)。
例如,模型生成部112根据预先决定的处理时间的经过、针对监视控制装置100的生成结束命令的输入或监视对象202的运用时间的结束等,判定生成处理(S210)的结束。
在不结束生成处理(S210)的情况下,处理进入步骤S212。
返回图7,继续进行步骤S220。
在步骤S220中,统合部114对状态模型134和检测规则135进行优化。
具体而言,统合部114在通信信息相互一致的多个状态存在于检测规则135的情况下,在状态模型134和检测规则135中分别将多个状态统合成1个状态。
对统合处理(S220)的顺序进行说明。
首先,统合部114判定通信信息相互一致的多个状态是否存在于检测规则135。这里,将通信信息相互一致的多个状态称作相符的多个状态。
在相符的多个状态存在于检测规则135的情况下,统合部114从状态模型134中选择相符的多个状态,将选择出的多个状态统合成1个状态。进而,统合部114从检测规则135中选择相符的多个状态,将选择出的多个状态统合成1个状态。
在图12中,状态(1)的通信信息为1个,状态(2)的通信信息为2个。即,状态(1)和状态(2)的通信信息的数量相互不一致。
因此,统合部114不将状态(1)和状态(2)统合成1个状态。
在图13中示出检测规则135的一例。
在图13中,状态(1)的通信信息为1个,状态(2)的通信信息为1个。即,状态(1)和状态(2)的通信信息的数量相互一致。
进而,状态(1)和状态(2)的通信信息的内容相互一致。
因此,统合部114将状态(1)和状态(2)统合成1个状态。
在图14中示出对图13的检测规则135进行优化而得到的检测规则135。
状态(U1)意味着状态(1)和状态(2)被统合的状态。
状态(1)的通信信息和状态(2)的通信信息被统合成状态(U1)的通信信息。
在图15中示出对图11的状态模型134进行优化而得到的状态模型134。
状态(1)的范围和状态(2)的范围被统合成状态(U1)的范围。
状态(U1)的范围是计测值小于β的范围。
返回图7,对步骤S230进行说明。
在步骤S230中,攻击检测部115使用状态模型134和检测规则135检测攻击数据。
即,攻击检测部115使用状态模型134和检测规则135判定新的通信数据133是否是攻击数据。
步骤S230中的新的通信数据133是步骤S230的执行中进行通信的通信数据133。
具体而言,攻击检测部115如下检测攻击的通信数据133。
首先,攻击检测部115从状态模型134中选择与在对新的通信数据133进行通信的时段内计测出的计测值对应的状态。
接着,攻击检测部115从检测规则135中选择与选择出的状态对应的通信信息。
接着,攻击检测部115对选择出的通信信息和新的通信数据133的通信信息进行比较。
然后,在新的通信数据133的通信信息与选择出的通信信息不一致的情况下,攻击检测部115判定为新的通信数据133是攻击数据。
根据图16对攻击检测处理(S230)的顺序进行说明。
反复执行攻击检测处理(S230)。
在步骤S231中,攻击检测部115从状态模型134取得当前的状态。
具体而言,攻击检测部115如下取得当前的状态。
首先,攻击检测部115从存储部121取得关注种类的当前的值对。该关注种类与图3的生成处理(S210)中的关注种类相同。即,该关注种类是生成状态模型134时使用的关注种类。此外,取得关注种类的当前的值对的方法与步骤S212(参照图3)中的方法相同。
然后,攻击检测部115根据关注种类的当前的值对,从状态模型134取得当前的状态。取得当前的状态的方法与步骤S214(参照图3)中的方法相同。
在步骤S232中,攻击检测部115从检测规则135取得通信信息。
具体而言,攻击检测部115从检测规则135取得跟与当前的状态相同的状态对应的通信信息。
将在步骤S232中取得的通信信息称作检测规则135的通信信息。
在步骤S233中,攻击检测部115判定是否存在新的通信数据133。
步骤S233中的新的通信数据133是包含攻击检测处理(S230)开始后的时刻的通信数据133。
在存在新的通信数据133的情况下,处理进入步骤S234。
在不存在新的通信数据133的情况下,攻击检测处理(S230)结束。然后,新执行攻击检测处理(S230)。
在步骤S234中,攻击检测部115从新的通信数据133取得通信信息。
将步骤S234中取得的通信信息称作新的通信数据133的通信信息。
在步骤S235中,攻击检测部115将新的通信数据133的通信信息与检测规则135的通信信息进行比较。
在新的通信数据133的通信信息与检测规则135的通信信息一致的情况下,攻击检测处理(S230)结束。然后,新执行攻击检测处理(S230)。
在新的通信数据133的通信信息与检测规则135的通信信息不一致的情况下,处理进入步骤S236。
在步骤S236中,警告部116输出警告。
具体而言,警告部116经由显示部124在显示器显示警告用的消息。即,警告部116将警告用的消息输入到显示部124。然后,显示部124在显示器显示警告用的消息。但是,警告部116也可以通过从扬声器输出警告用的声音或点亮警告用的灯等方法输出警告。
在步骤S236之后,攻击检测处理(S230)结束。然后,新执行攻击检测处理(S230)。
***实施方式1的效果***
即使不接受状态的通知也能够检测网络攻击。
监视控制装置100根据控制值和计测值,自动定义工厂210的状态。此外,监视控制装置100根据状态的定义,自动生成检测规则135。
因此,如果将监视控制装置100导入到系统中,则即使不进行功能追加和修改也能够检测网络攻击。
监视控制装置100能够根据控制值和计测值,定义根据控制而变化的工厂210的举动作为状态。
因此,能够不是根据基于人、人的操作或通信经过时间这样的运用方面的信息的状态,而是根据与控制的实际状态相匹配的细致的状态,进行高精度的检测。
为了生成状态模型134和检测规则135,操作员选择并得知关注种类即可。
即,不需要操作员进行复杂的设定,就能够检测攻击。
监视控制装置100根据必要最小限度的检测规则来检测攻击。
因此,监视控制装置100不需要高性能的计算资源和庞大的检测规则。
监视控制装置100通过状态模型134来定义状态。
由此,不仅能够检测使用通信数据133的攻击,还能够根据状态模型134检测控制值或计测值的异常。
监视控制装置100判定状态,将与状态对应的检测规则应用于通信数据133。
因此,即使在从被攻击者夺取的计算机进行了伴有按照通信时序的通信的攻击的情况下,也能够检测该攻击。
即使是来自远程终端以外的各种终端的攻击,监视控制装置100也能够检测经由网络的攻击。
监视控制装置100不使用状态通知分组而根据控制值和计测值的关系性来定义状态。
因此,实施方式1成为篡改状态通知分组这样的攻击的对策。
***其他结构***
监视控制装置100以外的装置也可以作为攻击检测装置发挥功能。
模型生成部112也可以根据控制数据131和计测数据132中的任意一方生成状态模型134。
具体而言,模型生成部112根据多个计测值生成状态模型134。该情况下,模型生成部112对多个计测值进行分组,按照每个组定义状态。
具体而言,模型生成部112根据多个控制值生成状态模型134。该情况下,模型生成部112对多个控制值进行分组,按照每个组定义状态。
例如,模型生成部112按照每个时段对多个计测值或多个控制值进行分组。
规则生成部113也可以根据控制数据131和计测数据132中的任意一方生成检测规则135。
具体而言,规则生成部113根据在得到多个计测值的时段内由监视对象202进行了通信的多个通信数据133生成检测规则135。该情况下,规则生成部113根据得到多个通信数据133的各通信数据133时的计测值,从状态模型134取得状态。进而,规则生成部113从各通信数据133取得通信信息。然后,规则生成部113将所取得的状态和所取得的通信信息相互对应起来登记在检测规则135中。
具体而言,规则生成部113根据在得到多个控制值的时段内由监视对象202进行了通信的多个通信数据133生成检测规则135。该情况下,规则生成部113根据得到多个通信数据133的各通信数据133时的控制值,从状态模型134取得状态。进而,规则生成部113从各通信数据133取得通信信息。然后,规则生成部113将所取得的状态和所取得的通信信息相互对应起来登记在检测规则135中。
实施方式2
关于利用与实施方式1中的方法不同的方法生成检测规则135的方式,根据图17~图20主要对与实施方式1不同之处进行说明。
***结构的说明***
监视控制系统200的结构与实施方式1中的结构相同(参照图1和图2)。
监视控制装置100的结构与实施方式1中的结构相同(参照图3)。
***动作的说明***
监视控制方法与实施方式1中的方法相同(参照图5和图6)。
根据图17对攻击检测方法进行说明。
在步骤S300中,模型生成部112利用与实施方式1中的方法相同的方法生成状态模型134。
此外,规则生成部113利用与实施方式1中的方法不同的方法生成检测规则135。
具体而言,规则生成部113如下生成检测规则135。
规则生成部113判定与从各通信数据133取得的通信信息相同的通信信息是否存在于通信信息列表136。通信信息列表136在后面叙述。
在与从各通信数据133取得的通信信息相同的通信信息存在于通信信息列表136的情况下,规则生成部113将所取得的状态和所取得的通信信息相互对应起来登记在检测规则135中。
步骤S220和步骤S230如实施方式1中说明的那样(参照图7)。
根据图18对生成处理(S300)进行说明。
在步骤S301中,操作员生成通信信息列表136,将生成的通信信息列表136输入到监视控制装置100。
受理部123受理通信信息列表136,数据管理部111将通信信息列表136存储在存储部121中。
在图19中示出通信信息列表136的一例。
通信信息列表136是合法的通信数据133的通信信息的列表。即,通信信息列表136是合法的通信信息的列表。
通信信息列表136相当于从检测规则135(参照图12)删除状态的栏而得到的数据。
在步骤S311中,受理部123受理被输入到监视控制装置100的关注种类。
步骤S311与实施方式1中的步骤S211相同(参照图8)。
在步骤S312中,模型生成部112从存储部121取得关注种类的当前的值对。
步骤S312与实施方式1中的步骤S212相同(参照图8)。
在步骤S313中,模型生成部112根据关注种类的当前的值对,对状态模型134进行更新。
步骤S313与实施方式1中的步骤S313相同(参照图8)。
在步骤S314中,规则生成部113从状态模型134取得当前的状态。
步骤S314与实施方式1中的步骤S214相同(参照图8)。
在步骤S315中,规则生成部113判定是否存在新的通信数据133。
步骤S315与实施方式1中的步骤S215相同(参照图8)。
在存在新的通信数据133的情况下,处理进入步骤S320。
在不存在新的通信数据133的情况下,处理进入步骤S316。
在步骤S320中,规则生成部113根据新的通信数据133和通信信息列表136对检测规则135进行更新。
步骤S320的顺序在后面叙述。
在步骤S316中,模型生成部112判定是否结束生成处理(S300)。
步骤S316与实施方式1中的步骤S218相同(参照图8)。
根据图20对检测规则生成处理(S320)的顺序进行说明。
在步骤S321中,规则生成部113从新的通信数据133取得通信信息。
具体而言,通信数据133具有设定有通信信息的头。然后,规则生成部113从通信数据133的头取得通信信息。
将在步骤S321中取得的通信信息称作新的通信数据133的通信信息。
在步骤S322中,规则生成部113检索通信信息列表136,由此判定与新的通信数据133的通信信息相同的通信信息是否存在于通信信息列表136。
在与新的通信数据133的通信信息相同的通信信息存在于通信信息列表136的情况下,处理进入步骤S323。
在与新的通信数据133的通信信息相同的通信信息不存在于通信信息列表136的情况下,处理进入步骤S324。
在步骤S323中,规则生成部113将新的通信数据133的通信信息与当前的状态对应起来登记在检测规则135中。
在步骤S324中,警告部116输出警告。
步骤S324与实施方式1中的步骤S236相同(参照图16)。
***实施方式2的效果***
监视控制装置100根据合法的通信信息,自动生成与状态对应的检测规则。由此,实现高精度的检测。
进而,监视控制装置100在生成检测规则时也能够检测攻击。
***实施方式的补充***
根据图21对监视控制装置100的硬件结构进行说明。
监视控制装置100具有处理电路109。
处理电路109是实现数据管理部111、模型生成部112、规则生成部113、统合部114、攻击检测部115、警告部116和存储部121的硬件。
处理电路109可以是专用硬件,也可以是执行存储器102中存储的程序的处理器101。
在处理电路109是专用硬件的情况下,处理电路109例如是单一电路、复合电路、程序化的处理器、并行程序化的处理器、ASIC、FPGA或它们的组合。
ASIC是Application Specific Integrated Circuit(面向特定用途的集成电路)的简称,FPGA是Field Programmable Gate Array(现场可编程门阵列)的简称。
监视控制装置100也可以具有代替处理电路109的多个处理电路。多个处理电路分担处理电路109的作用。
在监视控制装置100中,也可以是一部分功能通过专用硬件实现,其余功能通过软件或固件实现。
这样,处理电路109能够通过硬件、软件、固件或它们的组合实现。
实施方式只是优选方式的例示,并非意图限制本发明的技术范围。实施方式可以部分地实施,也可以与其他方式组合实施。使用流程图等说明的顺序可以适当变更。
标号说明
100:监视控制装置;101:处理器;102:存储器;103:辅助存储装置;104:通信装置;105:输入输出接口;109:处理电路;111:数据管理部;112:模型生成部;113:规则生成部;114:统合部;115:攻击检测部;116:警告部;121:存储部;122:通信部;123:受理部;124:显示部;131:控制数据;132:计测数据;133:通信数据;134:状态模型;135:检测规则;136:通信信息列表;141:散点图;142:线性模型;200:监视控制系统;201:网络;202:监视对象;210:工厂;211:控制器;212:现场网络;213:现场设备;221:信息系统网络;222:控制系统网络。
Claims (10)
1.一种攻击检测装置,该攻击检测装置具有:
模型生成部,其根据对监视对象进行计测而得到的多个计测值,生成表示所述监视对象的不同状态的计测值的状态模型;
规则生成部,其根据在得到所述多个计测值的时段内由所述监视对象进行了通信的多个通信数据,生成表示所述监视对象的不同状态的通信信息的检测规则;以及
攻击检测部,其使用所述状态模型和所述检测规则判定新的通信数据是否是攻击数据。
2.根据权利要求1所述的攻击检测装置,其中,
所述模型生成部对所述多个计测值进行分组,按照每个组定义状态,由此生成所述状态模型。
3.根据权利要求1所述的攻击检测装置,其中,
所述模型生成部根据所述多个计测值和针对所述监视对象的多个控制值生成所述状态模型,
所述规则生成部根据在得到所述多个控制值和所述多个计测值的时段内由所述监视对象进行了通信的多个通信数据生成所述检测规则。
4.根据权利要求3所述的攻击检测装置,其中,
所述模型生成部对根据所述多个控制值和所述多个计测值得到的多个值对进行分组,按照每个组定义状态,由此生成所述状态模型。
5.根据权利要求1~4中的任意一项所述的攻击检测装置,其中,
所述规则生成部根据得到所述多个通信数据的各通信数据时的计测值,从所述状态模型取得状态,从各通信数据取得通信信息,将所取得的状态和所取得的通信信息相互对应起来登记到所述检测规则中。
6.根据权利要求5所述的攻击检测装置,其中,
在通信信息列表中存在与所取得的通信信息相同的通信信息的情况下,所述规则生成部将所取得的状态和所取得的通信信息相互对应起来登记到所述检测规则中。
7.根据权利要求1~6中的任意一项所述的攻击检测装置,其中,
所述攻击检测部从所述状态模型中选择与在对所述新的通信数据进行了通信的时段内计测出的计测值对应的状态,从所述检测规则中选择与选择出的状态对应的通信信息,对选择出的通信信息和所述新的通信数据的通信信息进行比较,在所述新的通信数据的通信信息与所述选择出的通信信息不一致的情况下,判定为所述新的通信数据是所述攻击数据。
8.根据权利要求1~7中的任意一项所述的攻击检测装置,其中,
所述攻击检测装置具有统合部,在所述检测规则中存在通信信息相互一致的多个状态的情况下,该统合部在所述状态模型和所述检测规则中分别将所述多个状态统合成1个状态,
在所述多个状态被统合成所述1个状态的情况下,所述攻击检测部使用统合后的状态模型和统合后的检测规则检测所述攻击的通信数据。
9.一种攻击检测方法,其中,
模型生成部根据对监视对象进行计测而得到的多个计测值,生成表示所述监视对象的不同状态的计测值的状态模型,
规则生成部根据在得到所述多个计测值的时段内由所述监视对象进行了通信的多个通信数据,生成表示所述监视对象的不同状态的通信信息的检测规则,
攻击检测部使用所述状态模型和所述检测规则判定新的通信数据是否是攻击数据。
10.一种攻击检测程序,该攻击检测程序用于使计算机执行以下处理:
模型生成处理,根据对监视对象进行计测而得到的多个计测值,生成表示所述监视对象的不同状态的计测值的状态模型;
规则生成处理,根据在得到所述多个计测值的时段内由所述监视对象进行了通信的多个通信数据,生成表示所述监视对象的不同状态的通信信息的检测规则;以及攻击检测处理,使用所述状态模型和所述检测规则判定新的通信数据是否是攻击数据。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2018/001223 WO2019142264A1 (ja) | 2018-01-17 | 2018-01-17 | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111566643A true CN111566643A (zh) | 2020-08-21 |
CN111566643B CN111566643B (zh) | 2023-08-08 |
Family
ID=67301068
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880084979.1A Active CN111566643B (zh) | 2018-01-17 | 2018-01-17 | 攻击检测装置、攻击检测方法和计算机能读取的记录介质 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20200279174A1 (zh) |
EP (1) | EP3731122B1 (zh) |
JP (1) | JP6749508B2 (zh) |
KR (1) | KR102253213B1 (zh) |
CN (1) | CN111566643B (zh) |
WO (1) | WO2019142264A1 (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009211658A (ja) * | 2008-03-06 | 2009-09-17 | Nec Corp | 障害検知装置、障害検知方法及びそのプログラム |
US20100153316A1 (en) * | 2008-12-16 | 2010-06-17 | At&T Intellectual Property I, Lp | Systems and methods for rule-based anomaly detection on ip network flow |
JP2010191556A (ja) * | 2009-02-17 | 2010-09-02 | Hitachi Ltd | 異常検知方法及び異常検知システム |
JP2012089057A (ja) * | 2010-10-22 | 2012-05-10 | Hitachi Engineering & Services Co Ltd | 設備状態監視方法およびその装置並びに設備状態監視用プログラム |
US20130238543A1 (en) * | 2010-11-10 | 2013-09-12 | Commissariat A L'energie Atomique Et Aux Ene Alt | Sensor detection device, corresponding detection method and computer program |
WO2014155650A1 (ja) * | 2013-03-29 | 2014-10-02 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
JP5715288B1 (ja) * | 2014-08-26 | 2015-05-07 | 株式会社日立パワーソリューションズ | 動態監視装置及び動態監視方法 |
JP2015103218A (ja) * | 2013-11-28 | 2015-06-04 | 株式会社日立製作所 | プラントの診断装置及び診断方法 |
US20150267619A1 (en) * | 2012-02-15 | 2015-09-24 | Rolls-Royce Corporation | Gas turbine engine performance seeking control |
US20160094578A1 (en) * | 2014-09-30 | 2016-03-31 | Schneider Electric USA, Inc. | Scada intrusion detection systems |
CN106358286A (zh) * | 2016-08-31 | 2017-01-25 | 广西科技大学 | 基于声波和无线定位的移动目标检测方法 |
CN106405492A (zh) * | 2016-08-31 | 2017-02-15 | 广西科技大学 | 基于声波和无线定位的移动目标检测方法 |
CN107014531A (zh) * | 2015-12-09 | 2017-08-04 | 通用电气公司 | 校准的涡轮发动机轴转矩感测 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6026313B2 (ja) | 2013-02-18 | 2016-11-16 | 京楽産業.株式会社 | 遊技機 |
US10027699B2 (en) * | 2016-03-10 | 2018-07-17 | Siemens Aktiengesellschaft | Production process knowledge-based intrusion detection for industrial control systems |
WO2018193571A1 (ja) * | 2017-04-20 | 2018-10-25 | 日本電気株式会社 | 機器管理システム、モデル学習方法およびモデル学習プログラム |
US10805317B2 (en) * | 2017-06-15 | 2020-10-13 | Microsoft Technology Licensing, Llc | Implementing network security measures in response to a detected cyber attack |
-
2018
- 2018-01-17 WO PCT/JP2018/001223 patent/WO2019142264A1/ja unknown
- 2018-01-17 CN CN201880084979.1A patent/CN111566643B/zh active Active
- 2018-01-17 KR KR1020207019552A patent/KR102253213B1/ko active IP Right Grant
- 2018-01-17 EP EP18901608.2A patent/EP3731122B1/en active Active
- 2018-01-17 US US16/764,554 patent/US20200279174A1/en not_active Abandoned
- 2018-01-17 JP JP2019566030A patent/JP6749508B2/ja active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009211658A (ja) * | 2008-03-06 | 2009-09-17 | Nec Corp | 障害検知装置、障害検知方法及びそのプログラム |
US20100153316A1 (en) * | 2008-12-16 | 2010-06-17 | At&T Intellectual Property I, Lp | Systems and methods for rule-based anomaly detection on ip network flow |
JP2010191556A (ja) * | 2009-02-17 | 2010-09-02 | Hitachi Ltd | 異常検知方法及び異常検知システム |
JP2012089057A (ja) * | 2010-10-22 | 2012-05-10 | Hitachi Engineering & Services Co Ltd | 設備状態監視方法およびその装置並びに設備状態監視用プログラム |
US20130238543A1 (en) * | 2010-11-10 | 2013-09-12 | Commissariat A L'energie Atomique Et Aux Ene Alt | Sensor detection device, corresponding detection method and computer program |
US20150267619A1 (en) * | 2012-02-15 | 2015-09-24 | Rolls-Royce Corporation | Gas turbine engine performance seeking control |
US20160085237A1 (en) * | 2013-03-29 | 2016-03-24 | Hitachi, Ltd. | Information controller, information control system, and information control method |
WO2014155650A1 (ja) * | 2013-03-29 | 2014-10-02 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
JP2015103218A (ja) * | 2013-11-28 | 2015-06-04 | 株式会社日立製作所 | プラントの診断装置及び診断方法 |
JP5715288B1 (ja) * | 2014-08-26 | 2015-05-07 | 株式会社日立パワーソリューションズ | 動態監視装置及び動態監視方法 |
US20160094578A1 (en) * | 2014-09-30 | 2016-03-31 | Schneider Electric USA, Inc. | Scada intrusion detection systems |
CN107014531A (zh) * | 2015-12-09 | 2017-08-04 | 通用电气公司 | 校准的涡轮发动机轴转矩感测 |
CN106358286A (zh) * | 2016-08-31 | 2017-01-25 | 广西科技大学 | 基于声波和无线定位的移动目标检测方法 |
CN106405492A (zh) * | 2016-08-31 | 2017-02-15 | 广西科技大学 | 基于声波和无线定位的移动目标检测方法 |
Non-Patent Citations (2)
Title |
---|
周雪梅;吴简彤;: "基于多尺度随机动态模型的惯性器件数据融合估计", no. 02, pages 116 - 120 * |
郝耀辉;郭渊博;刘伟;李景锋;: "基于有限自动机的密码协议入侵检测方法", no. 01, pages 230 - 234 * |
Also Published As
Publication number | Publication date |
---|---|
EP3731122A4 (en) | 2020-12-09 |
KR20200088492A (ko) | 2020-07-22 |
JP6749508B2 (ja) | 2020-09-02 |
EP3731122B1 (en) | 2021-09-01 |
WO2019142264A1 (ja) | 2019-07-25 |
KR102253213B1 (ko) | 2021-05-17 |
US20200279174A1 (en) | 2020-09-03 |
JPWO2019142264A1 (ja) | 2020-05-28 |
EP3731122A1 (en) | 2020-10-28 |
CN111566643B (zh) | 2023-08-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2020004315A1 (ja) | 異常検知装置、および、異常検知方法 | |
US20200314130A1 (en) | Attack detection device, attack detection method, and computer readable medium | |
US20170331787A1 (en) | Unauthorized communication detection system and unauthorized communication detection method | |
JP2020071845A (ja) | 異常検知装置、異常検知方法および異常検知プログラム | |
US20200104503A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
CN111464513A (zh) | 数据检测方法、装置、服务器及存储介质 | |
US11297082B2 (en) | Protocol-independent anomaly detection | |
CN110930110B (zh) | 分布式流程监控方法、装置、存储介质及电子设备 | |
CN111159009B (zh) | 一种日志服务系统的压力测试方法及装置 | |
CN111566643B (zh) | 攻击检测装置、攻击检测方法和计算机能读取的记录介质 | |
US10051004B2 (en) | Evaluation system | |
CN117009963A (zh) | 用于基于机器学习的恶意软件检测的系统和方法 | |
CN109756472A (zh) | 用于监测连接对象的至少一个活动的方法和设备 | |
US20220182260A1 (en) | Detecting anomalies on a controller area network bus | |
CN114328080A (zh) | 一种固件状态检测的方法及装置、电子设备 | |
CN112307475A (zh) | 一种系统检测方法及装置 | |
CN115941358B (zh) | 漏洞挖掘方法、装置、终端设备及存储介质 | |
KR20210043925A (ko) | 하드웨어 수집기를 포함하는 데이터 수집 장치 | |
WO2022153415A1 (ja) | 改竄検知装置、改竄検知方法および改竄検知プログラム | |
CN117318616B (zh) | 一种光伏预警方法、系统、存储介质及电子设备 | |
WO2022153410A1 (ja) | 改竄検知装置、改竄検知方法および改竄検知プログラム | |
CN113868085B (zh) | 硬盘监控方法、装置及系统 | |
JPWO2019167225A1 (ja) | 情報処理装置、制御方法、及びプログラム | |
KR102006232B1 (ko) | 복수개의 디바이스 정보 종합 분석을 통한 디바이스 이상 징후 탐지 방법 및 그 장치 | |
CN116956306A (zh) | 作弊应用安装包的获取方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |