CN116057527A - 检测系统、检测方法、以及程序 - Google Patents
检测系统、检测方法、以及程序 Download PDFInfo
- Publication number
- CN116057527A CN116057527A CN202180061555.5A CN202180061555A CN116057527A CN 116057527 A CN116057527 A CN 116057527A CN 202180061555 A CN202180061555 A CN 202180061555A CN 116057527 A CN116057527 A CN 116057527A
- Authority
- CN
- China
- Prior art keywords
- network
- information
- log
- unit
- abnormality
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 345
- 230000005856 abnormality Effects 0.000 claims abstract description 168
- 238000004891 communication Methods 0.000 claims abstract description 111
- 230000002159 abnormal effect Effects 0.000 claims abstract description 23
- 238000000034 method Methods 0.000 claims description 48
- 238000012545 processing Methods 0.000 description 31
- 238000010586 diagram Methods 0.000 description 20
- 238000012986 modification Methods 0.000 description 11
- 230000004048 modification Effects 0.000 description 11
- 238000001914 filtration Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
检测系统(100A)具备:获得部(110A),获得第1日志,所述第1日志是第1网络中的通信的日志;判断部(120A),对获得部(110A)获得的第1日志中是否包括示出第2网络中的异常的通信的异常信息进行判断;以及控制部(130A),在判断部(120A)判断为第1日志包括异常信息的情况下,进行用于通知第2网络中的异常的控制。
Description
技术领域
本发明涉及检测系统、检测方法、以及程序。
背景技术
以往公开了一种监视控制装置,该监视控制装置的目的在于,以工业控制系统作为对象,迅速检测针对系统的来自外部的攻击(参照专利文献1)。
此外,还公开了一种数据判定装置,该数据判定装置能够检测在被定义为正常的通信中混入攻击通信的攻击(参照专利文献2)。
(现有技术文献)
(专利文献)
专利文献1:日本特开2018-22296号公报
专利文献2:国际公开第2016/114077号
发明内容
发明要解决的问题
然而出现这样的问题,即不能恰当地检测跨多个网络进行的网络攻击。
本发明提供一种检测系统,该检测系统能够恰当地检测跨多个网络进行的网络攻击。
解决问题所采用的手段
本发明的一个方案涉及的检测系统,具备:获得部,获得第1日志,所述第1日志是第1网络中的通信的日志;判断部,对所述获得部获得的所述第1日志中是否包括示出第2网络中的异常的通信的异常信息进行判断;以及控制部,在所述判断部判断为所述第1日志包括所述异常信息的情况下,进行用于通知所述第2网络中的异常的控制。
另外,这些概括的方案或者具体的方案,可以通过装置、方法、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质来实现,也可以任意组合装置、方法、集成电路、计算机程序以及记录介质来实现。
发明效果
本发明的检测系统,能够恰当地检测跨多个网络进行的网络攻击。
附图说明
图1是示出实施方式中的综合异常检测系统的结构的方框图。
图2是示出相关技术中的异常检测系统的结构的方框图。
图3是示出实施方式中的综合异常检测系统以及车载的网络等的关系的第1说明图。
图4是示出实施方式中的综合异常检测系统以及车载的网络等的关系的第2说明图。
图5是示出实施方式中的综合异常检测系统以及车载的网络等的关系的第3说明图。
图6是示出实施方式中的客户信息数据库的结构的说明图。
图7是示出实施方式中的ECHONET Lite(注册商标)的帧格式的说明图。
图8是示出实施方式中的BACnet(注册商标)的帧格式的说明图。
图9是示出本实施方式的日志的说明图。
图10是示出实施方式中的综合异常检测系统的处理的流程图。
图11是示出实施方式的变形例中的检测系统的结构的方框图。
图12是示出实施方式的变形例中的检测系统的处理的流程图。
具体实施方式
(作为本发明的基础的见解)
关于背景技术部分所记载的安全技术,发明人发现了会发生如下问题。
近几年工厂等的设备系统网络成为网络攻击的对象,被要求实施安全对策。此外,车辆或楼宇也与因特网连接,而且在家中IoT(Internet of Things:物联网)设备也与家庭内的网络连接,从而与设备系统网络同样地被要求实施安全对策。
在车载网络中,例如使用CAN(注册商标)(Controller Area Network:控制器局域网)的通信协议。在楼宇网络中,例如使用BACnet(注册商标)(Building Automation andControl Networking Protocol:楼宇自动控制网络协议)的通信协议。在家庭网络(也可以称为IoT设备的网络)中,例如使用ECHONET Lite(注册商标)的通信协议。这样在各个网络中使用独自的专用协议,而且有必要实施与各个专用协议对应的安全对策。
例如在专利文献1中公开了监视控制装置,该监视控制装置的目的在于,以工业控制系统作为对象,迅速检测针对系统的来自外部的攻击。监视控制装置是事先学习控制命令序列,进行监视,并且分析,从而高速地检测对监视控制装置的攻击,保护系统的装置。监视控制装置,通过监视针对控制对象的控制信号,从而检测针对系统的攻击或控制装置的异常。
例如在专利文献2中公开了数据判定装置、数据判定方法以及程序,尤其是对网络的攻击检测出入侵的数据判定装置、数据判定方法以及程序。在专利文献2中提供一种能够检测侵占被允许通信的服务器,并在被定义为正常的通信中混入攻击通信的攻击的数据判定装置。
今后仅在1个专用协议内进行安全对策是不充分的,被要求针对从1个专用协议跨到其他的专用协议的网络攻击进行安全对策。
例如作为网络攻击的一例,可以设想从用于办公楼等的IT(InformationTechnology:信息技术)网络向工厂为代表的OT(Operation Technology:操作技术)网络、以及车辆、住宅(家)及楼宇的网络进行的网络攻击。在该情况下,在IT网络与OT网络或车辆、住宅或者楼宇的网络能够进行通信的定时,开始对相符的网络进行攻击。
更具体而言,关于上述的攻击方法可以设想为如下,为了侵入到楼宇的网络,将攻破楼宇的网络的专用协议即BACnet(注册商标)的脆弱点的程序,通过车载网络下载到车辆中。然后车辆移动,与楼宇的网络连接时,从车辆经由车载网络对楼宇的网络进行攻击。
这样可以设想跨车辆、住宅或楼宇这样的多个领域的网络的网络攻击。
本发明提供一种恰当地检测网络攻击的检测系统。
在本检测系统中,并非对来自车辆、住宅或者楼宇等多个领域的网络的输入进行处理并且运用按每个领域而独立的异常检测系统,而是将异常检测系统的信息检测部、信息通知部分别进行合并,恰当地检测跨多个领域的网络进行的网络攻击。从而能够对网络攻击引起的损害防范于未然。
本发明的一个方案涉及的检测系统,具备:获得部,获得第1日志,所述第1日志是第1网络中的通信的日志;判断部,对所述获得部获得的所述第1日志中是否包括示出第2网络中的异常的通信的异常信息进行判断;以及控制部,在所述判断部判断为所述第1日志包括所述异常信息的情况下,进行用于通知所述第2网络中的异常的控制。
通过上述方案,检测系统,对第1网络中的通信的日志中,是否包括示出第2网络中的异常的通信的信息进行判断,所以能够检测从第2网络通过第1网络跨网络进行的网络攻击。因而,检测系统能够恰当地检测在包括第1网络以及第2网络的多个网络中跨网络进行的网络攻击。
例如可以是,所述获得部,将第1帧的日志作为所述第1日志来获得,所述第1帧是在所述第1网络中被传输的通信帧,所述判断部,将所述第1帧包括的示出数据的异常的信息用作所述异常信息,来进行所述判断。
通过上述方案,检测系统利用在第1网络中被传输的通信帧所包括的示出数据的异常的信息,能够检测网络攻击。因而,检测系统能够更容易并恰当地检测跨多个网络进行的网络攻击。
例如可以是,在示出所述数据的异常的所述信息中,包括示出所述第1帧包括如下的第2帧的信息,所述第2帧是在所述第2网络中被传输的通信帧,所述第2帧具有依照所述第2网络中所使用的通信协议的帧格式,并且在所述第2帧所包括的字段中具有与在该字段中使用的适当的数据不同的数据。
通过上述方案,检测系统通过对第1帧是否包括第2帧进行判断来检测网络攻击。在此第2帧具有在第2网络中被传输的帧格式,并且第2帧是具有不适当的数据的数据,通过对帧包括的数据进行判断处理可容易进行检测。因而,检测系统能够更容易并恰当地检测跨多个网络进行的网络攻击。
例如可以是,所述控制部,作为所述控制而进行将示出所述第2网络的异常的发生的图像显示在用于通知所述第2网络的异常的画面的控制。
通过上述方案,检测系统,在第1网络中检测出第2网络中的异常的通信的情况下,将用于通知第2网络的异常的通信的图像显示在画面上。第2网络的异常的通信,有时是由于对第2网络进行的网络攻击而产生的。在这个情况下,将第2网络的异常的通信发生之事,比起第1网络的监视者,优选的是告知给第2网络的监视者,能够通过上述的画面显示来告知给第2网络的监视者。因而,检测系统能够对如下做出贡献,恰当地检测跨多个网络进行的网络攻击,将该网络攻击发生之事告知给作为该网络攻击的对象的网络的监视者。
例如可以是,所述获得部进一步获得第2日志,所述第2日志是所述第2网络中的通信的日志,所述判断部,进一步对所述获得部获得的所述第2日志中是否包括示出第1网络中的异常的通信的异常信息进行判断,所述判断部具有共同检测部,所述共同检测部针对所述获得部获得的所述第1日志以及所述第2日志这双方进行拒绝服务攻击检测处理或签名型不正当检测处理,所述共同检测部在所述拒绝服务攻击检测处理中检测出拒绝服务攻击的情况下,或在所述签名型不正当检测处理中检测出不正当通信的情况下,所述判断部判断为所述日志包括所述异常信息。
通过上述方案,检测系统利用共同检测部,高效地一并执行应该在多个网络共同检测的攻击的检测处理(例如拒绝服务攻击检测处理或签名型不正当检测处理)。因而,检测系统能够更高效并恰当地检测跨多个网络进行的网络攻击。
例如可以是,所述第2网络包括一个以上的第2网络,所述判断部,按所述一个以上的第2网络的每一个具有个别检测部,所述个别检测部进行个别检测处理,所述个别检测处理为针对所述获得部获得的所述第1日志检测该第2网络中的异常的通信的处理,在所述一个以上的第2网络中按照所述第1日志的内容而被选择的第2网络的所述个别检测部,在所述个别检测处理中检测出所述异常的通信的情况下,所述判断部判断为所述第1日志包括所述异常信息。
通过上述方案,在检测系统中,由在多个网络的每一个网络中设置的个别检测部,分别执行应该在多个网络的每一个网络个别检测的攻击的检测处理。个别检测部,针对与该个别检测部对应的网络中可能发生的攻击,进行个别的处理,换句话说不需要进行与如下的攻击对应的处理,该攻击是其他的网络中进行的攻击但是该网络中不会进行的攻击,所以抑制执行的处理的处理量,从而效率更高。此外,也能够对功耗的抑制做出贡献。因而,检测系统能够更高效并恰当地检测跨多个网络进行的网络攻击。
例如可以是,所述第1网络是在车载网络、家庭网络以及楼宇网络中被选择的一个网络,所述第2网络是包括车载网络、家庭网络或楼宇网络中的一个以上的网络,并且是不包括所述第1网络的网络。
通过上述方案,检测系统以车载网络、家庭网络以及楼宇网络作为对象,能够恰当地检测跨多个网络进行的网络攻击。
例如可以是,在所述车载网络中进行依照CAN协议的通信,所述CAN是ControllerArea Network即控制器局域网,在所述家庭网络中进行依照ECHONET Lite协议的通信,所述ECHONET Lite为注册商标,在所述楼宇网络中进行依照BACnet协议的通信,所述BACnet为注册商标。
通过上述方案,检测系统以使用CAN协议的车载网络、使用ECHONET Lite(注册商标)协议的家庭网络、或使用BACnet(注册商标)协议的楼宇网络作为对象,能够恰当地检测跨多个网络进行的网络攻击。
例如可以是,所述控制部具有相关联信息,所述相关联信息示出所述第2网络与和所述第1网络的用户相同的用户建立了关联,在进行所述控制时,进行如下控制,对与如下的用户在所述相关联信息中建立了关联的所述第2网络进行确定,所述用户是与在所述相关联信息中和所述第1网络建立了关联的用户相同的用户,所述第1网络是与所述获得部获得的所述第1日志相关的网络,对已确定的所述第2网络中的异常进行通知。
通过上述方案,检测系统以在相关联信息中与相同的用户建立了关联的第1网络和第2网络作为对象,能够恰当地检测跨多个网络进行的网络攻击。
例如可以是,在所述第1网络或所述第2网络是车载网络的情况下,所述相关联信息包括具有所述车载网络的车辆的车辆识别信息、IP地址或电话号码,在所述第1网络或所述第2网络是家庭网络的情况下,所述相关联信息包括具有所述家庭网络的住宅的地址信息、IP地址、电子邮件地址、电话号码或传真号码,在所述第1网络或所述第2网络是楼宇网络的情况下,所述相关联信息包括具有所述楼宇网络的楼宇的地址信息、IP地址、电子邮件地址、电话号码或传真号码。
通过上述方案,检测系统利用车辆的识别信息、IP地址或电话号码、或者住宅或楼宇的地址信息、IP地址、电子邮件地址、电话号码或传真号码,来将车载网络、家庭网络以及楼宇网络建立了关联,从而更容易并恰当地检测跨多个网络进行的网络攻击。
另外,这些概括的方案或具体的方案,可以通过装置、方法、集成电路、计算机程序或计算机能够读取的CD-ROM等记录介质来实现,也可以任意组合装置、方法、集成电路、计算机程序或记录介质来实现。
以下针对实施方式,参照附图进行具体说明。
另外,以下说明的实施方式都是示出概括的例子或者具体的例子。以下的实施方式所示的数值、形状、材料、构成要素、构成要素的配置位置以及连接形态、步骤、步骤的顺序等均为一个例子,其主旨并非是对本发明进行限定。而且对于以下的实施方式的构成要素中没有记载在最上位概念的独立技术方案的构成要素,作为任意的构成要素来说明。
(实施方式)
在本实施方式中,对恰当地检测跨多个网络进行的网络攻击的检测系统进行说明。
<系统结构>
下面参照附图,对本实施方式进行说明。
图1是示出本实施方式中的综合异常检测系统100的结构图。在图1中,综合异常检测系统100是综合管理车辆、住宅或楼宇的安全性的综合系统。综合异常检测系统100相当于检测系统。
综合异常检测系统100具备信息收集部110、信息检测部120、以及信息通知部130,以作为功能部。综合异常检测系统100具备的功能部,可以由处理器(例如CPU(CentralProcessing Unit:中央处理器))(未图示)利用存储器(未图示)执行规定的程序来实现。
信息收集部110具备车辆信息收集部111、住宅信息收集部112、以及楼宇信息收集部113。
信息检测部120具备共同信息检测部121、车辆信息检测部122、住宅信息检测部123、楼宇信息检测部124、以及综合信息检测部125。车辆信息检测部122、住宅信息检测部123、以及楼宇信息检测部124分别相当于个别检测部。
信息通知部130具备综合信息通知部131、车辆信息通知部132、住宅信息通知部133、楼宇信息通知部134、客户信息数据库135。
信息收集部110是对由连接在网络的设备通过通信而生成的日志进行收集的功能部。信息收集部110将收集的日志传输给信息检测部120。
车辆信息收集部111收集由连接在车载网络的设备通过通信而生成的日志。另外,这里将车载网络的通信协议是CAN的情况为例进行说明,但也可以是其他的通信协议。在这个情况下,车辆信息收集部111收集的日志是具有CAN的通信协议的帧格式的帧的日志。
住宅信息收集部112收集由连接在家庭网络的设备通过通信而生成的日志。另外,这里将家庭网络的通信协议是ECHONET Lite(注册商标)的情况为例进行说明,但也可以是其他的通信协议。在这个情况下,住宅信息收集部112收集的日志是具有ECHONET Lite(注册商标)的协议的帧格式的帧的日志。
楼宇信息收集部113收集由连接在楼宇网络的设备通过通信而生成的日志。另外,这里将楼宇网络的通信协议是BACnet(注册商标)的情况为例进行说明,但也可以是其他的通信协议。在这个情况下,楼宇信息收集部113收集的日志例如是具有BACnet(注册商标)协议的帧格式的帧的日志。
另外,从车载网络、家庭网络以及楼宇网络中被选择的1个网络相当于第1网络。此外,在车载网络、家庭网络以及楼宇网络之中的与第1网络不同的网络,相当于第2网络。例如,在第1网络是车载网络的情况下,第2网络可以是家庭网络、楼宇网络、以及与第1网络不同的车载网络的其中任一个。第2网络也可以包括一个以上的第2网络。
而且,在第1网络中的通信的日志,换言之从车辆信息收集部111收集的日志、住宅信息收集部112收集的日志或楼宇信息收集部113收集的日志中被选择的1个,相当于第1日志。而且,在车辆信息收集部111收集的日志、住宅信息收集部112收集的日志或楼宇信息收集部113收集的日志中的不是第1日志的日志,相当于第2日志。
信息检测部120是监视从信息收集部110传输来的日志,检测安全异常的功能部。换句话说,信息检测部120,对信息收集部110获得的第1日志中是否包括示出在第2网络中的异常的通信的异常信息进行判断。异常信息例如是第1帧包括的示出数据的异常的信息。
异常信息可以包括示出第1帧包括第2帧的信息,该第2帧是在第2网络中被传输的通信帧。在该情况下,第2帧具有依照第2网络中所使用的通信协议的帧格式,并且在第2帧所包括的字段中具有与在该字段中使用的适当的数据不同的数据。在此关于该字段中使用的适当的数据,在包括固定值的字段时,该固定值成为该适当的数据。而且关于该字段中使用的适当的数据,在可取值受到限定的字段时,该可取值成为适当的数据。
综合信息检测部125起到调度的作用。综合信息检测部125,利用从信息收集部110传输来的日志,对通信数据中是否包括具有车辆、住宅以及楼宇中任一领域所使用的通信协议的帧格式的帧进行检查。而且,综合信息检测部125按照该检查结果,进行对共同信息检测部121、车辆信息检测部122、住宅信息检测部123以及楼宇信息检测部124中的任一个进行检测请求的控制。而且,在共同信息检测部121、车辆信息检测部122、住宅信息检测部123以及楼宇信息检测部124中的任一个检测出异常的情况下,信息检测部120,判断为上述日志包括异常信息。
具体而言,综合信息检测部125,对从信息收集部110传输来的日志中包括的通信协议的帧格式进行检查。
此外,综合信息检测部125,在判断为从信息收集部110传输来的日志中存在与CAN的通信协议的帧格式符合的数据时,将该日志提供给车辆信息检测部122,进行异常检测请求。
此外,综合信息检测部125,在判断为从信息收集部110传输来的日志中存在与ECHONET Lite(注册商标)的帧格式符合的数据时,将该日志提供给住宅信息检测部123,进行异常检测请求。
进而,综合信息检测部125,在检测为从信息收集部110传输来的日志中存在与BACnet(注册商标)的帧格式符合的数据时,将该日志提供给楼宇信息检测部124,进行异常检测请求。
综合信息检测部125,在判断为从信息收集部110传输来的日志中包括拒绝服务攻击等在车辆、住宅以及楼宇的网络中共同发生的有安全异常的可能性的信息的情况下,将该日志提供给共同信息检测部121,进行检测请求。
此外,综合信息检测部125,对信息通知部130进行安全异常的通知请求。在通知请求中,可以包括根据共同信息检测部121、车辆信息检测部122、住宅信息检测部123、或楼宇信息检测部124的检测结果来判断的示出车辆、住宅以及楼宇的哪一个成为攻击对象的信息(也可以称为对象信息)。此外,在通知请求中,可以包括为了防止恶意软件等引起的损害而应该追加的滤波处理等的设定信息。
共同信息检测部121进行如下的检测处理,该检测处理是拒绝服务攻击等在车辆、住宅或楼宇的全部网络中共同的安全异常的检测处理,或不管什么领域都共同的攻击安全的签名检测处理。共同信息检测部121,也可以称为共同检测部。
车辆信息检测部122进行与车载网络中使用的专用协议对应的安全异常检测。
住宅信息检测部123进行与家庭网络中使用的专用协议对应的安全异常检测。
楼宇信息检测部124进行与楼宇网络中使用的专用协议对应的安全异常检测。
信息通知部130是进行安全异常的警告通知的功能部。换句话说,信息通知部130,在由信息检测部120判断为第1日志包括异常信息的情况下,进行用于通知第2网络中的异常的控制。信息通知部130,作为上述控制,例如进行将示出第2网络的异常的发生的图像,显示在用于通知第2网络的异常的画面(未图示)的控制。上述画面例如可以设想为与第2网络连接的、第2网络的监视装置的显示画面,并由第2网络的监视者进行目视确认。
信息通知部130,具体而言从信息检测部120(换言之综合信息检测部125)接受通知请求,根据该通知请求进行控制,以进行与安全异常的警告有关的通知。信息通知部130具有被登记有使用异常检测系统的用户的车辆、住宅或楼宇的信息的客户信息数据库135。
客户信息数据库135包括相关联信息,该相关联信息示出与车载网络、家庭网络或楼宇网络建立了关联的用户。相关联信息,换句话说是示出第2网络与和第1网络的用户相同的用户建立了关联的相关联信息。
综合信息通知部131,向客户信息数据库135进行询问,获得示出安全异常的通知目的地的信息(也可以称为通知目的地信息)。综合信息通知部131进行如下控制,对在相关联信息中与如下的用户建立了关联的第2网络进行确定,所述用户是与在相关联信息中和第1网络建立了关联的用户相同的用户,所述第1网络是与信息收集部110收集的第1日志相关的网络,并且对已确定的第2网络中的异常进行通知。通过该控制,在用于通知被确定的第2网络的异常的画面上,显示异常的通知。
车辆信息通知部132,按照信息通知部130获得的通知目的地信息,向车辆进行通知。具体而言,车辆信息通知部132进行如下的控制,通过向车辆进行通知的接口(例如WebAPI)来发送通知信息,从而向用户进行与车辆有关的通知。通过该控制,在用于通知车载网络的异常的画面上,显示异常的通知。
住宅信息通知部133,按照信息通知部130获得的通知目的地信息,向住宅进行通知。具体而言,住宅信息通知部133进行如下的控制,通过向住宅进行通知的接口(例如WebAPI)来发送通知信息,从而向用户进行与住宅有关的通知。通过该控制,在用于通知家庭网络的异常的画面上,显示异常的通知。
楼宇信息通知部134,按照信息通知部130获得的通知目的地信息,向楼宇进行通知。具体而言,楼宇信息通知部134进行如下控制,通过向楼宇进行通知的接口(例如WebAPI)来发送通知信息,从而向用户进行与楼宇有关的通知。通过该控制,在用于通知楼宇网络的异常的画面上,显示异常的通知。
图2是示出相关技术中的异常检测系统900的结构的方框图。
如图2所示相关技术中的异常检测系统900具备车辆异常检测系统200、住宅异常检测系统210、以及楼宇异常检测系统220。
车辆异常检测系统200、住宅异常检测系统210、以及楼宇异常检测系统220,按照每个网络的领域各自独立地运用。
具体地说,车辆异常检测系统200具备车辆信息收集部201、车辆信息检测部202、以及车辆信息通知部203。住宅异常检测系统210具备住宅信息收集部211、住宅信息检测部212、以及住宅信息通知部213。楼宇异常检测系统220具备楼宇信息收集部221、楼宇信息检测部222、以及楼宇信息通知部223。这样各领域的异常检测系统具备:对由该领域的设备通过通信而生成的日志进行收集的信息收集部、对通过该通信所生成的日志进行监视,并检测安全异常的信息检测部、以及进行安全异常的通知的信息通知部,通过按每个领域独立地运用,从而运用异常检测系统900。
在异常检测系统900中,车辆异常检测系统200、住宅异常检测系统210以及楼宇异常检测系统220,在结构上不能检测跨车载、住宅以及楼宇的领域的网络攻击。因此,异常检测系统900不能对与上述网络攻击有关的安全异常进行通知。
下面利用具体例来说明本实施方式中的综合异常检测系统100检测攻击者进行的攻击的动作。
(1)经由车辆的对住宅的攻击
图3是示出本实施方式中的综合异常检测系统100以及车载网络等的关系的第1说明图。具体而言在图3示出了综合异常检测系统100、车辆301、住宅303、以及楼宇305。此外示出了攻击者307,该攻击者307想要经由车辆301攻击住宅303。
如图3所示,综合异常检测系统100,经由网络302与车辆301连接,经由网络304与住宅303连接,经由网络306与楼宇305连接。在综合异常检测系统100中,车辆301、住宅303、以及楼宇305与一个用户建立了关联。网络302、304以及306的一部分或全部可以被连接。
可以设想攻击者307,为了侵入住宅303的家庭网络,使车辆301下载用于攻破ECHONET Lite(注册商标)的脆弱点的程序(恶意软件)。在这个情况下,综合异常检测系统100,针对通过车辆301的通信而生成的日志,经由网络302进行收集并分析。
具体而言,在综合异常检测系统100中,车辆信息收集部111收集日志,将收集的日志传输给信息检测部120。在信息检测部120中,综合信息检测部125利用日志对通信数据进行检查,假设在日志中检测出与CAN的帧格式的内容符合的数据、以及在CAN的帧格式的有效负载中检测出与ECHONET Lite(注册商标)的帧格式的内容符合的数据。
综合信息检测部125,根据上述的检测结果,对车辆信息检测部122和住宅信息检测部123进行检测请求。具体而言,综合信息检测部125,将包括与CAN的帧格式的内容符合的数据的日志,提供给车辆信息检测部122,进行检测请求。而且,综合信息检测部125,将在CAN的帧格式的有效负载包括与ECHONET Lite(注册商标)的帧格式的内容符合的数据的日志,提供给住宅信息检测部123,进行检测请求。
车辆信息检测部122,对与CAN的帧格式的内容符合的数据,进行安全异常检测,将示出没有异常的检测结果返还给综合信息检测部125。
住宅信息检测部123,检测出在CAN的帧格式的有效负载中的与ECHONET Lite(注册商标)的帧格式的内容符合的数据,是由于攻破ECHONET Lite(注册商标)的脆弱点的恶意软件而引起的数据,将该检测结果返还给综合信息检测部125。
综合信息检测部125,从车辆信息检测部122和住宅信息检测部123的各自接受检测结果,将面向住宅303的安全异常的通知请求,发送给信息通知部130。
在信息通知部130中,综合信息通知部131,向客户信息数据库135询问,从客户信息数据库135将示出通知目的地的信息作为通知目的地信息来获得。
综合信息通知部131,从获得的通知目的地信息中,选择用于确定作为通知目的地的住宅303的信息,而且决定安全警告的内容。
综合信息通知部131,向住宅信息通知部133进行通知请求。住宅信息通知部133,将滤波处理等家庭网络中应该进行的设定内容,通知给从客户信息数据库135获得的通知目的地信息所示的通知目的地即住宅303。
住宅303,从综合异常检测系统100经由网络304接收安全警告的通知。接收了安全警告的通知的住宅303,按照该警告的内容,对住宅303的网络进行滤波处理等的设定。
之后车辆301向住宅303移动,与住宅303的家庭网络连接。此时,由攻击者307使车辆301下载的恶意软件会尝试侵入住宅303的家庭网络。针对该侵入,可以由上述设定的住宅303的家庭网络的滤波处理来防御。
如上所述,综合异常检测系统100,能够防御由攻击者307使车辆301下载的恶意软件来对住宅303进行的攻击。
(2)经由车辆的对楼宇的攻击
图4是示出本实施方式中的综合异常检测系统100以及车载网络等的关系的第2说明图。在图4中示出了综合异常检测系统100、车辆401、楼宇402、404以及406。此外示出了想要经由车辆401攻击楼宇402、404以及406中的任一个的攻击者408。
如图4所示,综合异常检测系统100,经由网络400与车辆401连接,经由网络403与楼宇402连接,经由网络405与楼宇404连接,经由网络407与楼宇406连接。在综合异常检测系统100中,车辆401、楼宇402、楼宇404、以及楼宇406与一个用户建立了关联。网络400、403、405以及407的一部分或全部可以被连接。
可以设想攻击者408为了侵入楼宇402、404或406的楼宇网络,使车辆401下载用于攻破BACnet(注册商标)的脆弱点的程序(恶意软件)。在这个情况下,综合异常检测系统100,针对通过车辆401的通信而生成的日志,经由网络400进行收集并分析。
具体而言,在综合异常检测系统100中,车辆信息收集部111收集日志,将收集的日志传输给信息检测部120。
在信息检测部120中,综合信息检测部125利用日志对通信数据进行检查,假设在日志中检测出与CAN的帧格式的内容符合的数据以及在CAN的帧格式的有效负载中检测出与BACnet(注册商标)的帧格式的内容符合的数据。
综合信息检测部125,根据上述检测结果,对车辆信息检测部122与楼宇信息检测部124进行检测请求。具体而言,综合信息检测部125,将包括与CAN的帧格式的内容符合的数据的日志提供给车辆信息检测部122,进行检测请求。而且,综合信息检测部125,将在CAN的帧格式的有效负载包括与BACnet(注册商标)的帧格式的内容符合的数据的日志,提供给楼宇信息检测部124,进行检测请求。
车辆信息检测部122,对与CAN的帧格式的内容符合的数据进行安全异常检测,将示出没有异常的检测结果返还给综合信息检测部125。
楼宇信息检测部124,检测出在CAN的帧格式的有效负载中的与BACnet(注册商标)的帧格式的内容符合的数据是由于攻破BACnet(注册商标)的脆弱点的恶意软件而引起的数据,将该检测结果返还给综合信息检测部125。
综合信息检测部125,从车辆信息检测部122和楼宇信息检测部124接受检测结果,将面向楼宇的安全异常的通知请求发送给信息通知部130。
在信息通知部130中,综合信息通知部131向客户信息数据库135进行询问,从客户信息数据库135将示出通知目的地的信息作为通知目的地信息来获得。
综合信息通知部131,从获得的通知目的地信息中,选择用于确定作为通知目的地的楼宇的信息,而且决定安全警告的内容。
综合信息通知部131,向楼宇信息通知部134进行通知请求。楼宇信息通知部134,将滤波处理等楼宇网络中应该进行的设定内容,通知给从客户信息数据库135获得的通知目的地信息所示的通知目的地,该通知目的地是楼宇402、楼宇404以及楼宇406。
楼宇402、楼宇404以及楼宇406,从综合异常检测系统100分别经由网络403、网络405以及网络407接收安全警告的通知。接收了安全警告的通知的楼宇402、楼宇404以及楼宇406,按照该警告的内容,对各自的楼宇网络进行滤波处理等的设定。
之后车辆401向楼宇402、楼宇404以及楼宇406中的任一个楼宇移动,与楼宇402、楼宇404或楼宇406的楼宇网络连接。此时,由攻击者408使车辆401下载的恶意软件会尝试侵入楼宇402、楼宇404以及楼宇406的楼宇网络。针对该侵入,可以由上述设定的楼宇网络的滤波处理来防御。
这样综合异常检测系统100,能够防御由攻击者408使车辆401下载的恶意软件来对楼宇402、楼宇404以及楼宇406进行的攻击。
(3)经由住宅以及车辆的对楼宇的攻击
图5是示出本实施方式中的综合异常检测系统100以及车载网络等的关系的第3说明图。在图5中示出了综合异常检测系统100、住宅501、车辆503、以及楼宇505。此外示出了想要经由住宅501向楼宇505进行攻击的攻击者507。网络502、504以及506的一部分或全部可以被连接。
如图5所示,综合异常检测系统100,经由网络502与住宅501连接,经由网络504与车辆503连接,经由网络506与楼宇505连接。在综合异常检测系统100中,住宅501、车辆503、以及楼宇505与一个用户建立了关联。
可以设想攻击者507为了侵入楼宇505的楼宇网络,使住宅501下载用于攻破BACnet(注册商标)的脆弱点的程序(恶意软件)。在这个情况下,综合异常检测系统100,针对通过住宅501的通信而生成的日志,经由网络502进行收集并分析。
具体而言,在综合异常检测系统100中,住宅信息收集部112收集日志,将收集的日志传输给信息检测部120。
在信息检测部120中,综合信息检测部125利用日志来检查通信数据,假设在日志中检测出与ECHONET Lite(注册商标)的帧格式的内容符合的数据以及在ECHONET Lite(注册商标)的帧格式的有效负载中检测出与BACnet(注册商标)的帧格式的内容符合的数据。
综合信息检测部125,根据上述检测结果,对住宅信息检测部123和楼宇信息检测部124进行检测请求。具体而言,综合信息检测部125,将包括与ECHONET Lite(注册商标)的帧格式的内容符合的数据的日志提供给住宅信息检测部123,进行检测请求。而且,综合信息检测部125,将在ECHONET Lite(注册商标)的帧格式的有效负载包括与BACnet(注册商标)的帧格式的内容符合的数据的日志提供给楼宇信息检测部124,进行检测请求。
住宅信息检测部123,对与ECHONET Lite(注册商标)的帧格式的内容符合的数据进行安全异常检测,将示出没有异常的检测结果返还给综合信息检测部125。
楼宇信息检测部124,检测出在ECHONET Lite(注册商标)的帧格式的有效负载中的与BACnet(注册商标)的帧格式的内容符合的数据是由于攻破BACnet(注册商标)的脆弱点的恶意软件而引起的数据,将该检测结果返还给综合信息检测部125。
综合信息检测部125,从住宅信息检测部123和楼宇信息检测部124接受检测结果,将面向楼宇的安全异常的通知请求发送给信息通知部130。
在信息通知部130中,综合信息通知部131向客户信息数据库135进行询问,从客户信息数据库135将示出通知目的地的信息作为通知目的地信息来获得。
综合信息通知部131,从获得的通知目的地信息中选择用于确定作为通知目的地的楼宇的信息,而且决定安全警告的内容。
综合信息通知部131,向楼宇信息通知部134进行通知请求。楼宇信息通知部134,将滤波处理等楼宇网络中应该进行的设定内容,通知给从客户信息数据库135获得的通知目的地信息所示的通知目的地,该通知目的地是楼宇505。
楼宇505,从综合异常检测系统100经由网络506接收安全警告的通知。接收了安全警告的通知的楼宇505,按照该警告的内容,对楼宇网络进行滤波处理等的设定。
在之后车辆503与住宅501的家庭网络连接时,车辆503有时会下载由攻击者507使住宅501下载的程序(恶意软件)。之后车辆503向楼宇505移动,与楼宇505的楼宇网络连接时,由攻击者507经由住宅501使车辆503下载的恶意软件,会尝试侵入楼宇505的楼宇网络。针对该侵入,可以由上述设定的楼宇网络的滤波处理来进行防御。
这样综合异常检测系统100,能够防御由攻击者507经由住宅501使车辆503下载的恶意软件对楼宇505进行的攻击。
图6是示出本实施方式中的客户信息数据库135的结构的说明图。
客户信息数据库135包括图6的(a)所示的相关联信息。相关联信息是按照每个客户,将客户编号、车辆登记编号、住宅登记编号、以及楼宇登记编号建立了关联的信息,客户编号是唯一地识别该客户的编号,车辆登记编号是唯一地识别与该客户建立关联的车辆的编号,住宅登记编号是唯一地识别与该客户建立关联的住宅的编号,楼宇登记编号是唯一地识别与该客户建立关联的楼宇的编号。
另外在与客户建立关联的车辆、住宅或楼宇有多个的情况下,在客户信息数据库135中,一个客户与多个车辆登记编号、多个住宅登记编号、或多个楼宇登记编号建立关联。
例如图6的(a)中示出了客户登记编号为00001的客户与车辆登记编号为C00001的车辆、住宅登记编号为H00001的住宅、以及楼宇登记编号为B00001的楼宇建立了关联。
此外,客户信息数据库135包括图6的(b)所示的车辆详细信息。车辆详细信息是按每个车辆,将车辆登记编号与车辆的车辆识别编号、IP地址或电话号码等建立了关联的信息,上述车辆的车辆识别编号、IP地址或电话号码等是向该车辆进行安全异常的警告的通知目的地的信息。
例如,在图6的(b)中示出了车辆登记编号为C00001的车辆,与车辆编号“品川599らNN-MM”、IP地址“210.160.XXX.XXX”、以及电话号码“090-5432-XXXX”建立了关联。
此外,客户信息数据库135包括图6的(c)所示的楼宇详细信息。楼宇详细信息是按每个楼宇,将楼宇登记编号与地址、IP地址、电子邮件地址、电话号码或FAX(传真)号码等建立了关联的信息,上述地址、IP地址、电子邮件地址、电话号码或FAX(传真)号码等是向该楼宇进行安全异常的警告的通知目的地的信息。
例如图6的(c)示出了楼宇登记编号为B00001的楼宇与地址“东京都中央区银座A-B-C”、IP地址“60.66.XXX.XXX”、电子邮件地址“admin@example.com”、电话号码“03-5148-XXXX”、以及FAX电话号码“03-5148-XXXX”建立了关联。
另外,客户信息数据库135可以包括住宅详细信息(未图示)。与上述的楼宇详细信息同样,住宅详细信息是按每个住宅,将住宅登记编号与地址、IP地址、电子邮件地址、电话号码、或FAX(传真)号码等建立了关联的信息,上述地址、IP地址、电子邮件地址、电话号码、或FAX(传真)号码等是向该住宅进行安全异常的警告的通知目的地的信息。
客户信息数据库135,换句话说相关联信息,在第1网络或第2网络是车载网络的情况下,只要包括具有车载网络的车辆的识别信息就可以。此外,在第1网络或第2网络是家庭网络的情况下,只要包括具有家庭网络的住宅的地址信息就可以。此外,在第1网络或第2网络是楼宇网络的情况下,只要包括具有楼宇网络的楼宇的地址信息就可以。
综合信息通知部131,根据确定客户的客户编号和车辆、住宅或楼宇的种类,能够获得用于向与该客户建立了关联的所有的车辆、住宅或楼宇进行安全异常的警告通知的信息。
图7是示出ECHONET Lite(注册商标)的帧格式的说明图。
如图7的(a)所示,ECHONET Lite(注册商标)的帧包括电文头部(EHD1,EHD2)、事务ID(TID)、发送源对象指定(SQOJ)、目的地对象指定(DEOJ)、服务码(ESV)、处理属性数(OPC)、属性编号(EPC)、属性值数据的字节数(PDC)、以及属性值数据(EDT)的字段(Field)。
这些字段可以是包括固定值的字段、或者可以是可取值受到限定的字段。
例如,电文头部(EHD1、EHD2)是包括固定值的字段。
例如,事务ID(TID)是多被设定为0x0000的字段。处理属性数(OPC)是通常情况下设定为0x01的字段。
车辆信息检测部122,在包括固定值的字段或可取值受到限定的字段的内容被包括在日志的数据中,则能够判别为包括ECHONET Lite(注册商标)的帧。
图8是示出BACnet的帧格式的说明图。
如图8的(a)所示,BACnet的帧由BVLL(BACnet Virtual Link Layer)头部、BACnet头部、以及BACnet APDU(Application Protocol Data Unit)来构成,BVLL头部包括BVLC(BACnet Virtual Link Control)型、BVLC功能、以及BVLC长度的字段。BACnet头部包括版本以及控制的字段。
这些字段可以是包括固定值的字段、或者可以是可取值受到限定的字段。
例如,BVLL头部的BVLC型、以及BACnet头部的版本的字段是包括固定值的字段。
例如,BVLL头部的BVLC功能、以及BACnet头部的控制的字段是可取值受到限定的字段。
楼宇信息检测部124,在包括固定值的字段、或可取值受到限定的字段的内容被包括在日志的数据中时,能够判别为包括BACnet的帧。
图9是示出本实施方式的日志的说明图。在图9所示的日志示出了信息收集部110(即车辆信息收集部111、住宅信息收集部112、或楼宇信息收集部113)收集的日志的例子。图9所示的1行表示日志包括的1个条目(Entry)。1个条目与1个帧(CAN的帧、ECHONET Lite(注册商标)的帧、或BACnet(注册商标)的帧)对应。
如图9所示,1个条目包括时刻信息、头部信息、以及有效负载信息。
时刻信息是示出接收了与该条目有关的帧的时刻的信息(图9所示的时刻信息T1,T2)。时刻信息,例如是将接收了与该条目有关的帧的时刻,以时分秒的形式来示出的信息,具体而言是“2021年1月1日12时12分12秒”这样的信息。
头部信息是示出与该条目有关的帧具有的头部(参照图7或图8)的信息(图9所示的头部信息H1,H2)。头部信息可以是从帧的头部所包括的一部分或全部的字段中读取的值,也可以是将头部的二进制数据原样包括。
有效负载信息是示出与该条目有关的帧具有的有效负载(该帧包括的数据,并且是位于头部之后的数据)(参照图7或图8)的信息(图9所示的有效负载信息P1,P2)。有效负载信息可以是从有效负载所包括的一部分或全部的字段中读取的值,也可以是将有效负载的二进制数据原样包括。例如,有效负载信息可以是仅提取了有效负载的前头的规定字节数的数据。
<处理流程图>
接下来说明如上所述构成的综合异常检测系统100的处理。
图10是示出本实施方式中的综合异常检测系统100的处理的流程图。
在图10中的处理示出综合异常检测系统100进行的如下的处理,即对车辆、住宅或楼宇通过通信而生成的日志进行收集,检测安全异常,而且对车辆、住宅或楼宇通知该异常。
在步骤S100中,信息收集部110(换言之车辆信息收集部111、住宅信息收集部112以及楼宇信息收集部113),接收示出通信数据的日志。
在步骤S101中,综合信息检测部125,利用在步骤S100中信息收集部110接收的日志,检查通信数据。
在步骤S102中,综合信息检测部125,根据步骤S101中的检查结果,尝试判别通信数据的协议。在通信数据的协议的判别成功的情况下(在步骤S102中的“是”),综合信息检测部125进行步骤S105的处理,在不是的情况下(在步骤S102中的“否”),综合信息检测部125进行步骤S103的处理。
在步骤S103中,综合信息检测部125,通过向所有的检测部(即共同信息检测部121、车辆信息检测部122、住宅信息检测部123以及楼宇信息检测部124,以下也相同)的各自提供日志,从而请求通信数据的异常检测。所有的检测部,按照上述请求,利用日志来执行通信数据的异常检测处理。
在步骤S104中,所有的检测部的各自,将在步骤S103执行的异常检测处理的结果,回复给综合信息检测部125。在步骤S104结束之后执行步骤S107。
在步骤S105中,综合信息检测部125,在所有的检测部中向与通信数据的协议对应的检测部提供日志,从而请求通信数据的异常检测。此时,综合信息检测部125,在所有的检测部中,针对与通信数据的协议对应的检测部以外的检测部不提供日志。与上述对应的检测部,按照上述请求,利用日志执行通信数据的异常检测处理。
在步骤S106中,由在步骤S105执行了异常检测处理的检测部,将在步骤S105执行而得到的异常检测处理的结果,回复给综合信息检测部125。
在步骤S107中,综合信息检测部125,根据在步骤S104或步骤S106所回复的检测结果,来生成安全异常的通知请求。在通知请求中,如上所述包括对象信息以及设定信息。
在步骤S108中,综合信息检测部125,将在步骤S107所生成的通知请求,提供给综合信息通知部131。综合信息通知部131获得被提供的通知请求。
在步骤S109中,综合信息通知部131,利用在步骤S108获得的通知请求所包括的对象信息,检索客户信息数据库135,获得通知目的地信息。
在步骤S110中,综合信息通知部131,向车辆信息通知部132、住宅信息通知部133以及楼宇信息通知部134中的在步骤S109所获得的通知目的地信息所示的通知部,提供通知请求。
在步骤S111中,在车辆信息通知部132、住宅信息通知部133以及楼宇信息通知部134中的在步骤S110接受了通知请求的通知部,针对作为通知目的地的车辆、住宅或楼宇执行安全警告的通知。
(实施方式的效果)
在实施方式中,不是在车辆、住宅以及楼宇的每个领域分别运用异常检测系统,而是将信息检测部和信息通知部合并,并且在综合信息检测部中根据从信息收集部收集的通信日志来确定需要检测的信息检测部。
通过本实施方式的构成,针对跨车辆、住宅以及楼宇的领域的网络攻击,以与每个领域独立运用的异常检测系统的情况同样的所需时间来检测,能够将损害防范于未然,能够实现迅速且高效的安全异常检测。
(实施方式的变形例)
在本变形例中,对恰当地检测跨多个网络进行的网络攻击的检测系统的其他的结构进行说明。
图11是示出本变形例中的检测系统100A的结构的方框图。
如图11所示,检测系统100A具备获得部110A、判断部120A、以及控制部130A以作为功能部。检测系统100A具备的功能部,能够通过由检测系统100A具备的处理器(例如CPU)(未图示),利用存储器(未图示)执行程序来实现。
获得部110A,获得第1网络中的通信的日志即第1日志。
判断部120A,对获得部110A获得的第1日志中,是否包括示出第2网络中的异常的通信的异常信息进行判断。
控制部130A,在判断部120A判断为第1日志包括异常信息的情况下,进行用于通知第2网络中的异常的控制。
在此获得部110A,相当于实施方式中的信息收集部110,更具体而言,相当于从车辆信息收集部111、住宅信息收集部112以及楼宇信息收集部113中被选择的一个。而且,在获得部110A是车辆信息收集部111的情况下,第1网络可以是车载网络,在获得部110A是住宅信息收集部112的情况下,第1网络可以是家庭网络,在获得部110A是楼宇信息收集部113的情况下,第1网络可以是楼宇网络。
判断部120A相当于实施方式中的信息检测部120。第2网络可以是车载网络、家庭网络以及楼宇网络中的与第1网络不同的网络。例如,在第1网络是车载网络的情况下,第2网络可以是家庭网络、楼宇网络、以及与第1网络不同的车载网络的其中任一个。
控制部130A,相当于实施方式中的信息通知部130。
例如可以是,获得部110A,将第1帧的日志作为第1日志来获得,第1帧是在第1网络中被传输的通信帧。在该情况下,判断部120A将第1帧包括的示出数据的异常的信息用作异常信息,来进行判断。
例如可以是,在示出上述数据的异常的信息中,包括示出第1帧包括如下的第2帧的信息,第2帧是在第2网络中被传输的通信帧,在该情况下,第2帧具有依照第2网络中所使用的通信协议的帧格式,并且在第2帧所包括的字段中具有与在该字段中使用的适当的数据不同的数据。
例如可以是,控制部130A,作为上述控制而进行将示出第2网络的异常的发生的图像显示在用于通知第2网络的异常的画面的控制。
例如可以是,获得部110A进一步获得第2日志,第2日志是第2网络中的通信的日志,在该情况下,判断部120A,进一步对获得部110A获得的第2日志中是否包括示出第1网络中的异常的通信的异常信息进行判断,判断部120A具有共同检测部,共同检测部针对获得部110A获得的第1日志以及第2日志这双方进行拒绝服务攻击检测处理或签名型不正当检测处理,共同检测部在拒绝服务攻击检测处理中检测出拒绝服务攻击的情况下,或在签名型不正当检测处理中检测出不正当通信的情况下,判断为日志包括异常信息。
例如可以是,第2网络包括一个以上的第2网络,而且,判断部120A,按上述一个以上的第2网络的每一个具有个别检测部,个别检测部进行个别检测处理,个别检测处理为针对获得部110A获得的第1日志检测该第2网络中的异常的通信的处理,在上述一个以上的第2网络中按照上述日志的内容而被选择的第2网络的个别检测部,在个别检测处理中检测出异常的通信的情况下,判断为第1日志包括异常信息。
例如,第1网络可以是在车载网络、家庭网络以及楼宇网络中被选择的一个网络。而且,第2网络可以包括车载网络、家庭网络或楼宇网络中的一个以上的网络,并且不包括第1网络。
例如可以是,在车载网络中进行依照CAN协议的通信,上述CAN是Controller AreaNetwork即控制器局域网,在家庭网络中进行依照ECHONET Lite协议的通信,上述ECHONETLite为注册商标,在楼宇网络中进行依照BACnet协议的通信,上述BACnet为注册商标。
例如可以是,控制部130A具有相关联信息,上述相关联信息示出第2网络与和第1网络的用户相同的用户建立了关联。在该情况下,控制部130A,在进行控制时,进行如下控制,对与如下的用户在相关联信息中建立了关联的第2网络进行确定,上述用户是与在相关联信息中和第1网络建立了关联的用户相同的用户,第1网络是与获得部110A获得的第1日志相关的网络,对已确定的第2网络中的异常进行通知。
例如可以是,在第1网络或第2网络是车载网络的情况下,相关联信息包括具有车载网络的车辆的识别信息,在第1网络或第2网络是家庭网络的情况下,相关联信息包括具有家庭网络的住宅的地址信息,在第1网络或第2网络是楼宇网络的情况下,相关联信息包括具有楼宇网络的楼宇的地址信息。
图12是示出本变形例中的检测系统100A的处理的流程图。
如图12所示,在步骤S201中,检测系统100A(获得部110A),获得第1日志,该第1日志是第1网络中的通信的日志。
在步骤S202中,检测系统100A(判断部120A),对获得的第1日志中是否包括示出第2网络中的异常的通信的异常信息进行判断。
在步骤S203中,检测系统100A(控制部130A),在判断为第1日志包括异常信息的情况下,进行用于通知第2网络中的异常的控制。
从而,检测系统100A能够恰当地检测跨多个网络进行的网络攻击。
(其他变形例)
另外,以上根据上述各个实施方式对本发明进行了说明,但是本发明当然不被限定为上述各个实施方式。本发明也包括以下的情况。
(1)在上述实施方式中,异常检测系统以车辆、住宅或楼宇作为对象,但是这只是本发明中的异常检测系统的一个方案,并不限定于车辆、住宅或楼宇的三个种类,也可以将使用Modbus等专用协议的工厂等其他的网络领域作为对象。
(2)在上述实施方式中,异常检测系统的信息通知部,向车辆、住宅以及楼宇中的最终成为网络攻击的对象的住宅或者楼宇进行警告通知,但是也可以对持有进行攻击的程序(恶意软件)的车辆进行警告通知。
(3)在上述实施方式中,异常检测系统的信息通知部,向车辆,住宅或楼宇进行用于防御网络攻击的警告通知,然而成为该警告通知的内容的滤波处理信息可以是与成为攻击源的车辆有关的信息,也可以是与成为攻击内容的程序(恶意软件)有关的信息。
(4)在上述实施方式中,在异常检测系统的客户信息数据库中,与车辆有关的登记信息以车辆的车辆识别编号、IP地址、以及电话号码为例,但是只要是能够作为车辆的识别或通知目的地来使用的信息,也可以采用上述以外的识别信息。
(5)在上述实施方式中,在异常检测系统的客户信息数据库中,与住宅或楼宇有关的登记信息以地址、IP地址、电子邮件地址、电话号码、FAX号码为例,但是只要是能够作为住宅或楼宇的识别或者通知目的地来使用的信息,也可以采用上述以外的识别信息。
(6)在上述实施方式中,异常检测系统的信息通知部向车辆、住宅以及楼宇以WebAPI来通知安全异常,但是以Web API来通知的形式不限于JSON(JavaScript(注册商标)Object Notation:JS对象简谱)等的数据描述语言、以及XML(Extensible MarkupLanguage:可扩展标记语言)等的标记语言等的种类,也可以采用Web API以外的电子邮件等通知方式。
(7)在上述实施方式中,作为在车载网络中使用的通信协议,以CAN为例,但也可以将车载以太网等的其他的面向车载的通信协议作为对象。
(8)在上述实施方式中,作为在家庭网络中使用的通信协议,以ECHONET Lite(注册商标)为例,但也可以将DLNA(注册商标)(Digital Living Network Alliance:数字生活网络联盟)等的其他的面向住宅的通信协议作为对象。
(9)在上述实施方式中,作为在楼宇网络中使用的通信协议,以BACnet(注册商标)为例,但也可以将LONWORKS等的其他的面向楼宇的通信协议作为对象。
如上所述,上述实施方式或上述变形例涉及的检测系统,对第1网络中的通信的日志中是否包括示出第2网络中的异常的通信的信息进行判断,所以能够检测从第2网络通过第1网络跨网络进行的网络攻击。通过上述,检测系统,能够恰当地检测包括第1网络以及第2网络的多个网络中跨网络进行的网络攻击。
此外,检测系统,能够利用在第1网络中被传输的通信帧所包括的示出数据的异常的信息,来检测网络攻击。从而,检测系统能够更容易并恰当地检测跨多个网络进行的网络攻击。
此外,检测系统通过判断第1帧是否包括第2帧,来检测网络攻击。在此,第2帧是不但具有在第2网络中被传输的帧的格式,而且具有不适当的数据的数据,通过对帧所包括的数据进行判断处理从而能够容易检测。因而,检测系统能够更容易并恰当地检测跨多个网络进行的网络攻击。
此外,检测系统,在第1网络中检测出第2网络中的异常的通信的情况下,将通知第2网络的异常的通信的图像显示在画面上。第2网络的异常的通信有时是由于针对第2网络的网络攻击的发生而出现的。在这个情况下,针对第2网络的异常的通信的发生,与告知给第1网络的监视者相比,优选的是告知给第2网络的监视者,通过上述的画面显示,能够向第2网络的监视者进行告知。从而检测系统能够对如下做出贡献,恰当地检测跨多个网络进行的网络攻击,将该网络攻击发生之事,告知给作为该网络攻击的对象的网络的监视者。
此外,检测系统利用共同检测部,高效地一并执行应该在多个网络共同检测的攻击的检测处理(例如拒绝服务攻击检测处理或签名型不正当检测处理)。因而,检测系统能够更加高效并恰当地检测跨多个网络进行的网络攻击。
此外,在检测系统中,由在多个网络的各自中设置的个别检测部,分别执行应该由多个网络的各自个别检测的攻击的检测处理。个别检测部,针对与该个别检测部对应的网络中可能发生的攻击进行个别的处理,换句话说不需要进行与如下的攻击对应的处理,该攻击是在其他的网络中进行的攻击但是在该网络中不会进行的攻击,所以抑制执行的处理的处理量,从而效果更高。此外,也能够对抑制功耗做出贡献。从而,检测系统能够更加高效并恰当地检测跨多个网络进行的网络攻击。
此外,检测系统将车载网络、家庭网络以及楼宇网络作为对象,能够对跨多个网络进行的网络攻击进行恰当地检测。
此外,检测系统将使用CAN协议的车载网络、使用ECHONET Lite(注册商标)协议的家庭网络、或使用BACnet(注册商标)协议的楼宇网络作为对象,能够对跨多个网络进行的网络攻击进行恰当地检测。
此外,检测系统将通过相关联信息与相同的用户建立了关联的第1网络和第2网络作为对象,能够对跨多个网络进行的网络攻击进行恰当地检测。
此外,检测系统利用车辆的识别信息、IP地址或电话号码、或者住宅或楼宇的地址信息、IP地址、电子邮件地址、电话号码或者传真号码,将车载网络、家庭网络以及楼宇网络建立关联,从而更容易并恰当地检测跨多个网络进行的网络攻击。
另外,在上述实施方式或上述变形例中,各个构成要素可以由专用的硬件构成,或者由执行适合各个构成要素的软件程序来实现。各个构成要素也可以由CPU或者处理器等的程序执行部,读出并执行在硬盘或者半导体存储器等记录介质中记录的软件程序来实现。在此,用于实现上述实施方式或上述变形例的检测系统等的软件是如下的程序。
即该程序是使计算机执行如下的检测方法的程序,在上述检测方法中,获得第1日志,第1日志是第1网络中的通信的日志,对获得的第1日志中是否包括示出第2网络中的异常的通信的异常信息进行判断,在判断为上述第1日志包括异常信息的情况下,进行用于通知上述第2网络中的异常的控制。
以上对一个或多个方案涉及的检测系统等,根据实施方式进行了说明,但是本发明并不限定于该实施方式。在不超出本发明的主旨的范围内,将本领域技术人员所能够想到的各种变形执行于本实施方式而得到的方案、对不同的实施方式中的构成要素进行组合而构成的方案也包括在本发明的一个或多个方案的范围内。
工业实用性
通过本发明涉及的异常检测系统及其方法,能够对跨多个领域的网络的网络攻击的损害防范于未然,迅速且高效地进行安全异常检测为目的的异常检测系统的开发做出贡献。
符号说明
100综合异常检测系统
100A检测系统
110信息收集部
110A获得部
111,201车辆信息收集部
112,211住宅信息收集部
113,221楼宇信息收集部
120信息检测部
120A判断部
121共同信息检测部
122,202车辆信息检测部
123,212住宅信息检测部
124,222楼宇信息检测部
125 综合信息检测部
130 信息通知部
130A控制部
131 综合信息通知部
132,203车辆信息通知部
133,213住宅信息通知部
134,223楼宇信息通知部
135 客户信息数据库
200 车辆异常检测系统
210 住宅异常检测系统
220 楼宇异常检测系统
301,401,503车辆
302,304,306,400,403,405,407,502,504,506网络
303,501住宅
305,402,404,406,505楼宇
307,408,507攻击者
900异常检测系统
Claims (12)
1.一种检测系统,具备:
获得部,获得第1日志,所述第1日志是第1网络中的通信的日志;
判断部,对所述获得部获得的所述第1日志中是否包括示出第2网络中的异常的通信的异常信息进行判断;以及
控制部,在所述判断部判断为所述第1日志包括所述异常信息的情况下,进行用于通知所述第2网络中的异常的控制。
2.如权利要求1所述的检测系统,
所述获得部,将第1帧的日志作为所述第1日志来获得,所述第1帧是在所述第1网络中被传输的通信帧,
所述判断部,将所述第1帧包括的示出数据的异常的信息用作所述异常信息,来进行所述判断。
3.如权利要求2所述的检测系统,
在示出所述数据的异常的所述信息中,包括示出所述第1帧包括如下的第2帧的信息,所述第2帧是在所述第2网络中被传输的通信帧,所述第2帧具有依照所述第2网络中所使用的通信协议的帧格式,并且在所述第2帧所包括的字段中具有与在该字段中使用的适当的数据不同的数据。
4.如权利要求1至3的任一项所述的检测系统,
所述控制部,作为所述控制而进行将示出所述第2网络的异常的发生的图像显示在用于通知所述第2网络的异常的画面的控制。
5.如权利要求1至4的任一项所述的检测系统,
所述获得部进一步获得第2日志,所述第2日志是所述第2网络中的通信的日志,
所述判断部,进一步对所述获得部获得的所述第2日志中是否包括示出第1网络中的异常的通信的异常信息进行判断,
所述判断部具有共同检测部,所述共同检测部针对所述获得部获得的所述第1日志以及所述第2日志这双方进行拒绝服务攻击检测处理或签名型不正当检测处理,
所述共同检测部在所述拒绝服务攻击检测处理中检测出拒绝服务攻击的情况下,或在所述签名型不正当检测处理中检测出不正当通信的情况下,所述判断部判断为所述日志包括所述异常信息。
6.如权利要求1至5的任一项所述的检测系统,
所述第2网络包括一个以上的第2网络,
所述判断部,
按所述一个以上的第2网络的每一个具有个别检测部,所述个别检测部进行个别检测处理,所述个别检测处理为针对所述获得部获得的所述第1日志检测该第2网络中的异常的通信的处理,
在所述一个以上的第2网络中按照所述第1日志的内容而被选择的第2网络的所述个别检测部,在所述个别检测处理中检测出所述异常的通信的情况下,所述判断部判断为所述第1日志包括所述异常信息。
7.如权利要求1至6的任一项所述的检测系统,
所述第1网络是在车载网络、家庭网络以及楼宇网络中被选择的一个网络,
所述第2网络是包括车载网络、家庭网络或楼宇网络中的一个以上的网络,并且是不包括所述第1网络的网络。
8.如权利要求7所述的检测系统,
在所述车载网络中进行依照CAN协议的通信,所述CAN是Controller Area Network即控制器局域网,
在所述家庭网络中进行依照ECHONET Lite协议的通信,所述ECHONET Lite为注册商标,
在所述楼宇网络中进行依照BACnet协议的通信,所述BACnet为注册商标。
9.如权利要求1至8的任一项所述的检测系统,
所述控制部具有相关联信息,所述相关联信息示出所述第2网络与和所述第1网络的用户相同的用户建立了关联,
在进行所述控制时,进行如下控制,
对与如下的用户在所述相关联信息中建立了关联的所述第2网络进行确定,所述用户是与在所述相关联信息中和所述第1网络建立了关联的用户相同的用户,所述第1网络是与所述获得部获得的所述第1日志相关的网络,
对已确定的所述第2网络中的异常进行通知。
10.如权利要求9所述的检测系统,
在所述第1网络或所述第2网络是车载网络的情况下,所述相关联信息包括具有所述车载网络的车辆的车辆识别信息、IP地址或电话号码,
在所述第1网络或所述第2网络是家庭网络的情况下,所述相关联信息包括具有所述家庭网络的住宅的地址信息、IP地址、电子邮件地址、电话号码或传真号码,
在所述第1网络或所述第2网络是楼宇网络的情况下,所述相关联信息包括具有所述楼宇网络的楼宇的地址信息、IP地址、电子邮件地址、电话号码或传真号码。
11.一种检测方法,在所述检测方法中,
获得第1日志,所述第1日志是第1网络中的通信的日志,
对获得的所述第1日志中是否包括示出第2网络中的异常的通信的异常信息进行判断,
在判断为所述第1日志包括所述异常信息的情况下,进行用于通知所述第2网络中的异常的控制。
12.一种程序,是用于使计算机执行权利要求11所述的检测方法的程序。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020-155938 | 2020-09-17 | ||
| JP2020155938 | 2020-09-17 | ||
| PCT/JP2021/026852 WO2022059328A1 (ja) | 2020-09-17 | 2021-07-16 | 検知システム、検知方法、および、プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116057527A true CN116057527A (zh) | 2023-05-02 |
Family
ID=80775786
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180061555.5A Pending CN116057527A (zh) | 2020-09-17 | 2021-07-16 | 检测系统、检测方法、以及程序 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20230216873A1 (zh) |
| EP (1) | EP4216086A4 (zh) |
| JP (1) | JPWO2022059328A1 (zh) |
| CN (1) | CN116057527A (zh) |
| WO (1) | WO2022059328A1 (zh) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1297440B1 (en) * | 2000-05-12 | 2008-08-27 | Niksun, Inc. | Security camera for a network |
| KR20080057161A (ko) * | 2006-12-19 | 2008-06-24 | 주식회사 케이티프리텔 | 점대점 터널링 통신을 위한 침입 방지 장치 및 방법 |
| WO2016113911A1 (ja) | 2015-01-16 | 2016-07-21 | 三菱電機株式会社 | データ判定装置、データ判定方法及びプログラム |
| JP2018022296A (ja) | 2016-08-02 | 2018-02-08 | 株式会社日立製作所 | 監視制御装置 |
| JP7033499B2 (ja) * | 2017-07-26 | 2022-03-10 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知装置および異常検知方法 |
| JP7071998B2 (ja) * | 2017-12-15 | 2022-05-19 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法 |
-
2021
- 2021-07-16 CN CN202180061555.5A patent/CN116057527A/zh active Pending
- 2021-07-16 JP JP2022550380A patent/JPWO2022059328A1/ja active Pending
- 2021-07-16 EP EP21869015.4A patent/EP4216086A4/en active Pending
- 2021-07-16 WO PCT/JP2021/026852 patent/WO2022059328A1/ja unknown
-
2023
- 2023-03-01 US US18/116,152 patent/US20230216873A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230216873A1 (en) | 2023-07-06 |
| WO2022059328A1 (ja) | 2022-03-24 |
| JPWO2022059328A1 (zh) | 2022-03-24 |
| EP4216086A4 (en) | 2024-03-20 |
| EP4216086A1 (en) | 2023-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9306974B1 (en) | System, apparatus and method for automatically verifying exploits within suspect objects and highlighting the display information associated with the verified exploits | |
| US8321943B1 (en) | Programmatic communication in the event of host malware infection | |
| US7752668B2 (en) | Network virus activity detecting system, method, and program, and storage medium storing said program | |
| US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
| EP2835948B1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
| JP6442051B2 (ja) | コンピュータネットワークへの攻撃を検出する方法 | |
| US20100325685A1 (en) | Security Integration System and Device | |
| JP2007094997A (ja) | Idsのイベント解析及び警告システム | |
| US20110307936A1 (en) | Network analysis | |
| JPH09269930A (ja) | ネットワークシステムの防疫方法及びその装置 | |
| CN114095258B (zh) | 攻击防御方法、装置、电子设备及存储介质 | |
| JP2019174426A (ja) | 異常検知装置、異常検知方法およびプログラム | |
| US11924238B2 (en) | Cyber threat defense system, components, and a method for using artificial intelligence models trained on a normal pattern of life for systems with unusual data sources | |
| CN111556473A (zh) | 一种异常访问行为检测方法及装置 | |
| US8763121B2 (en) | Mitigating multiple advanced evasion technique attacks | |
| JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
| JP2008022498A (ja) | ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム | |
| CN116057527A (zh) | 检测系统、检测方法、以及程序 | |
| CN114338189B (zh) | 基于节点拓扑关系链的态势感知防御方法、装置及系统 | |
| CN114285633B (zh) | 一种计算机网络安全监控方法及系统 | |
| CN112564982A (zh) | 安全风险自动通报方法及系统 | |
| CN113127856A (zh) | 网络安全运维管理方法、装置、计算设备及存储介质 | |
| JP2006018766A (ja) | ネットワーク接続管理システム | |
| WO2023233711A1 (ja) | 情報処理方法、異常判定方法、および、情報処理装置 | |
| CN113868643B (zh) | 运行资源的安全检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |