DE112018008071B4 - Angriffsdetektionsvorrichtung, angriffsdetektionsverfahren und angriffsdetektionsprogramm - Google Patents

Angriffsdetektionsvorrichtung, angriffsdetektionsverfahren und angriffsdetektionsprogramm Download PDF

Info

Publication number
DE112018008071B4
DE112018008071B4 DE112018008071.4T DE112018008071T DE112018008071B4 DE 112018008071 B4 DE112018008071 B4 DE 112018008071B4 DE 112018008071 T DE112018008071 T DE 112018008071T DE 112018008071 B4 DE112018008071 B4 DE 112018008071B4
Authority
DE
Germany
Prior art keywords
attack
correction
anomaly
operations
facility
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112018008071.4T
Other languages
English (en)
Other versions
DE112018008071T5 (de
Inventor
Masashi TATEDOKO
Tsuyoshi Higuchi
Kiyoto Kawauchi
Takeshi Yoneda
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112018008071T5 publication Critical patent/DE112018008071T5/de
Application granted granted Critical
Publication of DE112018008071B4 publication Critical patent/DE112018008071B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/41815Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the cooperation between machine tools, manipulators and conveyor or other workpiece supply system, workcell
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q9/00Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Signal Processing (AREA)
  • Manufacturing & Machinery (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Selective Calling Equipment (AREA)

Abstract

Angriffsdetektionsvorrichtung (101, 801), umfassend:eine Anomaliedetektionseinheit (111, 811), die dafür ausgelegt ist, durch Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID (212, 612, 912, 921) zur Identifizierung einer Einrichtung einschließt, das Auftreten einer Anomalie in einer mit der Einrichtungs-ID (212, 612, 912, 921) assoziierten Einrichtung zu detektieren; undeine Angriffsfeststellungseinheit (112, 812), die dafür ausgelegt ist, durch eine auf der Einrichtungs-ID (212, 612, 912, 921) basierende Ermittlung einer Frequenz von Korrekturvorgängen, mittels derer detektierte Anomalien in der mit der Einrichtungs-ID (212, 612, 912, 921) assoziierten Einrichtung korrigiert wurden, aus Korrekturverlaufsdaten (121, 821) festzustellen, dass die Einrichtung, die mit der in dem von der Anomaliedetektionseinheit (111, 811) gesendeten Anomalieergebnis enthaltenen Einrichtungs-ID assoziiert (212, 612, 912, 921) ist, einem Angriff ausgesetzt ist, wenn die Zahl der Korrekturvorgänge eine zulässige Zahl von Vorgängen (923) überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten (121, 821) die Einrichtungs-ID (212, 612, 912, 921) mit einer Korrekturzeit (211, 911) assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird, und wobei die zulässige Zahl von Vorgängen (923) auf Basis der Verschlechterungstendenz der Einrichtung erhöht wird.

Description

  • Gebiet der Technik
  • Die vorliegenden Ergebnisse betrifft eine Angriffsdetektionsvorrichtung, ein Angriffsdetektionsverfahren und ein Angriffsdetektionsprogramm, mit denen ein Cyberangriff auf eine Einrichtung, beispielsweise einer Fabrik oder eines Werks, detektiert wird.
  • Allgemeiner technischer Hintergrund
  • Es gibt ein Verfahren zum Detektieren einer Anomalie, die in einer Einrichtung, beispielsweise einer Fabrik oder eines Werks, auftritt, wenn ein Normalzustand oder ein Fehlerzustand der Einrichtung bekannt ist, durch Vergleichen eines früheren Protokolls und eines aktuellen Verhaltens und durch Verwenden eines Grades einer Abweichung auf Basis eines Ergebnisses des Vergleichs (siehe beispielsweise Patentdokument 1 und Patentdokument 2).
  • Es gibt außerdem ein Verfahren zum Schätzen eines Normalzustand einer Einrichtung durch Adaptierung aus einem früheren Protokoll, wenn der Normalzustand der Einrichtung nicht vorab definiert werden kann (siehe beispielsweise Patentdokument 3).
  • Diese Verfahren der verwandten Technik sind wirksam für die Erfassung einer Anomalie, die in einer Einrichtung, beispielsweise einer Fabrik oder eines Werks, aufgetreten ist. Das Patentdokument 4 betrifft eine aus dem Stand der Technik bekannte Lösung zum Drosseln der Zugänglichkeit von Nutzerkonten auf Basis von Authentifizierungsprozessen.
  • Liste der Anführungen
  • Patentliteratur
    • [Patentdokument 1] JP 6148316 B2
    • [Patentdokument 2] JP 2018-073258 A
    • [Patentdokument 3] JP H08-014955 A
    • [Patentdokument 4] US 8 904 506 B1
  • Kurzfassung der Erfindung
  • Technisches Problem
  • Jedoch ist eine Feststellung, ob die detektierte Anomalie durch ein Versagen oder eine Verschlechterung der Einrichtung selbst oder durch einen Cyberangriff von außen verursacht wird, mit jedem der oben beschriebenen Verfahren der verwandten Technik schwierig.
  • Die Die vorliegende Erfindung wurde gemacht, um das oben genannte Problem zu lösen, und ein Ziel der vorliegenden Erfindung ist daher die Schaffung einer Angriffsdetektionsvorrichtung, eines Angriffsdetektionsverfahrens und eines Angriffsdetektionsprogramms, mit denen festgestellt werden kann, ob oder ob nicht ein Cyberangriff eine Ursache einer detektierten Anomalie in einer Einrichtung ist.
  • Problemlösung
  • Die Erfindung ist in den unabhängigen Patentansprüchen definiert. Gemäß einer Ausführungsform der vorliegenden Erfindung wird eine Angriffsdetektionsvorrichtung angegeben, die insbesondere aufweist: eine Anomaliedetektionseinheit, die dafür ausgelegt ist, durch Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID einschließt, die eine Einrichtung identifiziert, das Auftreten einer Anomalie in einer Einrichtung, die mit der Einrichtungs-ID assoziiert ist, zu detektieren; und eine Angriffsfeststellungseinheit, die dafür ausgelegt ist, durch eine auf der Einrichtungs-ID basierende Ermittlung einer Frequenz von Korrekturvorgängen der mit der Einrichtungs-ID assoziierten Einrichtung aus Korrekturverlaufsdaten festzustellen, dass es einen Angriff auf die Einrichtung gibt, die mit der Einrichtungs-ID assoziiert ist, die in dem von der Anomaliedetektionseinheit gesendeten Anomalieergebnis enthalten ist, wenn die Zahl der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten die Einrichtungs-ID mit einer Korrekturzeit assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird.
  • Ferner wird gemäß einer Ausführungsform der vorliegenden Erfindung ein Angriffsdetektionsverfahren angegeben, das insbesondere einschließt: einen Anomaliedetektionsschritt, um durch Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID einschließt, die eine Einrichtung identifiziert, das Auftreten einer Anomalie in einer Einrichtung, die mit der Einrichtungs-ID assoziiert ist, zu detektieren und das Anomaliedetektionsergebnis zu versenden; und einen Angriffsfeststellungsschritt, um durch eine auf der Einrichtungs-ID basierende Ermittlung einer Frequenz von Korrekturvorgängen der mit der Einrichtungs-ID assoziierten Einrichtung aus Korrekturverlaufsdaten festzustellen, dass es einen Angriff auf die Einrichtung gibt, die mit der Einrichtungs-ID assoziiert ist, die in dem von der Anomaliedetektionseinheit gesendeten Anomalieergebnis enthalten ist, wenn die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten die Einrichtungs-ID mit einer Korrekturzeit assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird.
  • Ferner wird gemäß einer Ausführungsform der vorliegenden Erfindung ein Angriffsdetektionsprogramm angegeben, das einen Computer veranlasst, insbesondere folgendes auszuführen: einen Anomaliedetektionsschritt, um durch Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID einschließt, die eine Einrichtung identifiziert, das Auftreten einer Anomalie in einer Einrichtung, die mit der Einrichtungs-ID assoziiert ist, zu detektieren und das Anomaliedetektionsergebnis zu versenden; und einen Angriffsfeststellungsschritt, um durch eine auf der Einrichtungs-ID basierende Ermittlung einer Frequenz von Korrekturvorgängen der mit der Einrichtungs-ID assoziierten Einrichtung aus Korrekturverlaufsdaten festzustellen, dass es einen Angriff auf die Einrichtung gibt, die mit der Einrichtungs-ID assoziiert ist, die in dem von der Anomaliedetektionseinheit gesendeten Anomalieergebnis enthalten ist, wenn die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten die Einrichtungs-ID mit einer Korrekturzeit assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird.
  • Vorteilhafte Wirkungen der Erfindung
  • Gemäß der Angriffsdetektionsvorrichtung, dem Angriffsdetektionsverfahren und dem Angriffsdetektionsprogramm der vorliegenden Erfindung kann festgestellt werden, ob oder ob nicht der Cyberangriff ein Grund für die detektierte Anomalie in der Einrichtung ist.
  • Figurenliste
    • 1 ist ein Konfigurationsdiagramm eines Detektionsservers gemäß einer ersten Ausführungsform der vorliegenden Erfindung.
    • 2 ist eine Skizze zur Darstellung einer Datenkonfiguration von Korrekturverlaufsdaten, die in einer Speichereinheit in der ersten Ausführungsform der vorliegenden Erfindung zu speichern sind.
    • 3 ist eine Skizze zur Darstellung einer Konfiguration einer Verbindung zwischen dem Detektionsserver und einer Anomaliedetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung.
    • 4 ist eine Skizze zur Darstellung eines Beispiels für eine Hardware-Konfiguration, die sowohl den Detektionsserver als auch die Anomaliedetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung betrifft.
    • 5 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Angriffsdetektionsverarbeitung, die in einer Anomaliedetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung auszuführen ist.
    • 6 ist eine Tabelle, die ein Beispiel für Informationen zeigt, die in der Speichereinheit in der ersten Ausführungsform der vorliegenden Erfindung zu speichern ist.
    • 7 ist eine Skizze, die Korrekturverlaufsdaten in Form eines Graphen in der ersten Ausführungsform der vorliegenden Erfindung zeigt.
    • 8 ist ein Konfigurationsdiagramm eines Detektionsservers gemäß einer zweiten Ausführungsform der vorliegenden Erfindung.
    • 9 ist eine Skizze zur Darstellung von Datenkonfigurationen von Korrekturverlaufsdaten und einen zulässigen Bereich betreffenden Daten, die in einer Speichereinheit in der zweiten Ausführungsform der vorliegenden Erfindung zu speichern sind.
    • 10 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Angriffsdetektionsverarbeitung, die in einer Anomaliedetektionsvorrichtung gemäß der zweiten Ausführungsform der vorliegenden Erfindung auszuführen ist.
    • 11 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Lernverarbeitung, die für eine Fensterbreite durchzuführen sind, und einer zulässigen Zahl von Vorgängen in der Anomaliedetektionsvorrichtung gemäß der zweiten Ausführungsform der vorliegenden Erfindung.
  • Beschreibung von Ausführungsformen
  • Nun wird eine Beschreibung einer Angriffsdetektionsvorrichtung, eines Angriffsdetektionsverfahrens und eines Angriffsdetektionsprogramms gemäß bevorzugten Ausführungsformen der vorliegenden Erfindung unter Bezugnahme auf die begleitenden Zeichnungen gegeben. In den folgenden Ausführungsformen wird eine detaillierte Beschreibung einer Technologie gegeben, mit der ein Cyberangriff detektiert werden kann, durch Ermitteln einer Frequenz von Korrekturvorgängen für jede Einrichtung aus einem Anomalieverlauf, der für jede Einrichtung in einem festgestellten festen Zeitraum detektiert worden ist, und durch Feststellen, ob oder ob nicht die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet. In der folgenden Beschreibung wird ein Cyberangriff einfach als „Angriff“ bezeichnet.
  • Erste Ausführungsform
  • 1 ist ein Konfigurationsdiagramm eines Detektionsservers 101 gemäß einer ersten Ausführungsform der vorliegenden Erfindung. Der Detektionsserver 101 ist ein Beispiel für die Angriffsdetektionsvorrichtung. Der in 1 dargestellte Detektionsserver 101 weist eine Anomaliedetektionseinheit 111, eine Angriffsfeststellungseinheit 112 und eine Speichereinheit 120 auf. Die Speichereinheit 120 speichert Korrekturverlaufsdaten 121.
  • 2 ist eine Darstellung eines Beispiels für eine Datenkonfiguration der Korrekturverlaufsdaten 121, die in der Speichereinheit 120 in der ersten Ausführungsform der vorliegenden Erfindung zu speichern sind. Wie in 2 dargestellt ist, sind die Korrekturverlaufsdaten 121 so konfiguriert, dass sie Gegenstände, bei denen es sich um eine Korrekturzeit 211, eine Einrichtungs-ID 212 und Korrekturinhalte 213 handelt, miteinander assoziieren. Die Korrekturverlaufsdaten 121 sind nicht auf die Konfiguration von 2 beschränkt und können eine Konfiguration aufweisen, in der nur zwei Gegenstände, bei denen es sich um die Korrekturzeit 211 und die Einrichtungs-ID 212 handelt, miteinander assoziiert sind.
  • 3 ist eine Skizze zur Darstellung einer Konfiguration einer Verbindung zwischen dem Detektionsserver 101 und einer Anomaliedetektionsvorrichtung 301 gemäß der ersten Ausführungsform der vorliegenden Erfindung. Wie in 3 dargestellt ist, sind der Detektionsserver 101 und die Anomaliedetektionsvorrichtung 301 durch eine Kabelverbindung oder eine kabellose Verbindung verbunden, um eine Kommunikation zu- und voneinander aufrechtzuerhalten. Die Anomaliedetektionsvorrichtung 301 ist beispielsweise in einer Fabrik installiert und hat die Aufgabe, eine Anomalie zu detektieren, die in einer Einrichtung innerhalb der Fabrik stattfindet. Die Anomaliedetektionsvorrichtung 301 weist eine Anomaliedetektionseinheit 302 auf, die dafür ausgelegt ist, eine Anomalie einer Einrichtung zu detektieren.
  • Es kann eine Konfiguration verwendet werden, in der eine Mehrzahl von Anomaliedetektionsvorrichtungen 301 mit dem Detektionsserver 101 verbunden sind. Eine Mehrzahl von Anomaliedetektionsvorrichtungen 301, die als Netz konfiguriert sind, das eine Mehrzahl von Schichten aufweist, kann mit dem Detektionsserver 101 verbunden sein. Die Anomaliedetektionsvorrichtung 301 kann innerhalb des Detektionsservers 101 enthalten sein.
  • Der Detektionsserver 101 und die Anomaliedetektionsvorrichtung 301 weisen jeweils einen Computer auf, der eine zentrale Verarbeitungseinheit (CPU) aufweist. Funktionen der Anomaliedetektionseinheit 111 und der Angriffsfeststellungseinheit 112, die Komponenten des Detektionsservers 101 sind, werden von der CPU durch Ausführen eines Programms implementiert. Ebenso wird eine Funktion der Anomaliedetektionseinheit 302, die eine Komponente der Anomaliedetektionsvorrichtung 301 ist, von der CPU durch Ausführen eines Programms implementiert.
  • Ein Programm zum Ausführen einer Verarbeitung einer Komponente kann dafür ausgelegt sein, in einem Speichermedium gespeichert und von der CPU aus dem Speichermedium ausgelesen zu werden.
  • 4 ist eine Skizze zur Darstellung eines Beispiels für eine Hardware-Konfiguration, die sowohl den Detektionsserver 101 als auch die Anomaliedetektionsvorrichtung 301 gemäß der ersten Ausführungsform der vorliegenden Erfindung betrifft. Eine Rechenvorrichtung 401, eine externe Speichervorrichtung 402, eine Hauptspeichervorrichtung 403 und eine Kommunikationsvorrichtung 404 sind über einen Bus 405 miteinander verbunden.
  • Die Rechenvorrichtung 401 ist eine CPU, die dafür ausgelegt ist, ein Programm auszuführen. Die externe Speichervorrichtung 402 ist zum Beispiel ein Nur-Lese-Speicher (ROM) oder eine Festplatte. Die Hauptspeichervorrichtung 403 ist im Allgemeinen ein Direktzugriffsspeicher (Random Access Memory, RAM). Die Kommunikationsvorrichtung 404 ist im Allgemeinen eine Kommunikationskarte, die für das Ethernet (Warenzeichen) eingerichtet ist.
  • Programme werden im Allgemeinen in der externen Speichervorrichtung 402 gespeichert und nacheinander von der Rechenvorrichtung 401 ausgelesen, und eine Verarbeitung wird in einem Zustand ausgeführt, in dem diese Programm in die Hauptspeichervorrichtung 403 geladen worden sind. Die Programme implementieren Funktionen wie die „Anomaliedetektionseinheit 111“ und die „Angriffsfeststellungseinheit 112“, die in 1 dargestellt sind.
  • Die Speichereinheit 120, die in 1 dargestellt ist, wird beispielsweise von der externen Speichervorrichtung 402 implementiert. Die externe Speichervorrichtung 402 speichert außerdem ein Betriebssystem (im Folgenden auch als „OS“ bezeichnet), und zumindest ein Teil des OS wird in die Hauptspeichervorrichtung 403 geladen. Die Rechenvorrichtung 401 führt das OS aus und führt gleichzeitig die Programme aus, welche die Funktionen der in 1 dargestellten „Anomaliedetektionseinheit 111“ und der „Angriffsfeststellungseinheit 112“ implementieren.
  • Ferner werden in der Beschreibung der ersten Ausführungsform die Informationen, die Daten, ein Signalwert und ein Variablenwert, der ein Ergebnis der Verarbeitung angibt, jeweils in der Hauptspeichervorrichtung 403 als Datei gespeichert.
  • Die Konfiguration von 4 ist nur ein Beispiel für eine Hardware-Konfiguration von sowohl dem Detektionsserver 101 als auch der Anomaliedetektionsvorrichtung 301. Die Hardware-Konfiguration des Detektionsservers 101 und der Anomaliedetektionsvorrichtung 301 ist daher nicht auf die Darstellung von 4 beschränkt, und es kann auch eine andere Konfiguration verwendet werden. Zum Beispiel kann eine Anzeige oder können andere Ausgabevorrichtungen oder eine Maus, eine Tastatur oder andere Eingabevorrichtungen mit dem Bus 405 verbunden sein.
  • Der Detektionsserver 101 kann Informationsverarbeitungsverfahren in den Ausführungsformen der vorliegenden Erfindung implementieren, die in den Ausführungsformen unter Bezugnahme auf Ablaufschemata anhand von Schritten beschrieben sind.
  • Nun werden Operationen des Detektionsservers 101 unter Bezugnahme auf 1 bis 3 beschrieben. Einzelheiten der einzelnen Operationen werden weiter unten unter Bezugnahme auf ein Ablaufschema beschrieben.
  • Die Anomaliedetektionseinheit 111 erfasst ein Anomaliedetektionsergebnis, das von der Anomaliedetektionsvorrichtung 301 versendet wird. Das Anomaliedetektionsergebnis kann anhand beliebiger Verfahren erfasst werden, solange der Inhalt, der mit dem Verfahren erfasst wird, eine Anomaliedetektionszeit und eine Einrichtungs-ID einschließt.
  • Die Angriffsfeststellungseinheit 112 verwendet die Korrekturverlaufsdaten 121, die in der Speichereinheit 120 gespeichert sind, um eine Frequenz von Korrekturvorgängen in einem Zeitfenster zu ermitteln, das für jede Einrichtung separat eingestellt wird. Die Angriffsfeststellungseinheit 112 stellt ferner für jede Einrichtung separat fest, ob oder ob nicht die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, um dadurch zu detektieren, dass die Einrichtung angegriffen worden ist. Die zulässige Zahl von Vorgängen kann ein Schwellenwert sein, der vorab eingestellt worden ist, oder kann durch eine Adaptierung aus einem früheren Korrekturverlauf eingestellt werden. Das Verfahren zum Feststellen der zulässigen Zahl von Vorgängen ist nicht beschränkt.
  • Nun wird eine Datenstruktur der Korrekturverlaufsdaten 121, die in der ersten Ausführungsform verwendet wird, unter Bezugnahme auf 2 beschrieben. Die Korrekturverlaufsdaten von 2 sind ein Beispiel für ein Format, das verwendet wird, um einen Korrekturverlauf zu speichern.
  • In 2 ist die Korrekturzeit 211 eine Informationen zur Identifizierung einer Zeit, zu der eine Anomalie korrigiert wurde, die in einer mit der Einrichtungs-ID assoziierten Einrichtung aufgetreten ist. Bei der Korrekturzeit 211 kann es sich um Daten handeln, die ein beliebiges Format aufweisen, solange die Daten als Datum und Uhrzeit erkennbar sind.
  • Die Einrichtungs-ID 212 ist eine eindeutige Kennung zum Identifizieren der Einrichtung, in der die Anomalie aufgetreten ist und korrigiert wurde.
  • Bei dem Korrekturinhalt 213 handelt es sich um Daten, die auf bestimmte Weise die ausgeführte Korrektur schildern.
  • 5 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Angriffsdetektionsverarbeitung, die in der Anomaliedetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung auszuführen ist. Die Angriffsdetektionsverarbeitung durch die Anomaliedetektionseinheit 111 und die Angriffsfeststellungseinheit 112, die im Detektionsserver 101 enthalten sind, wird weiter unten unter Bezugnahme auf das in 5 dargestellte Ablaufschema beschrieben. Hierbei wird angenommen, dass die Anomalie, die in einer Einrichtung aufgetreten ist, von der Anomaliedetektionsvorrichtung 301 bereits detektiert worden ist.
  • In Schritt S501 erfasst die Anomaliedetektionseinheit 111 ein Anomaliedetektionsergebnis zu der von der Anomaliedetektionsvorrichtung 301 detektierten Anomalie.
  • In Schritt S502 nimmt die Angriffsfeststellungseinheit 112 auf Basis der Einrichtungs-ID einer Einrichtung, an der in Schritt S501 die Anomalie detektiert worden ist, Bezug auf Korrekturverlaufsdaten 121, um die jüngste Frequenz von Korrekturvorgängen in einem eingestellten Zeitfenster zu erfassen.
  • In Schritt S503 vergleicht die Angriffsfeststellungseinheit 112 die in Schritt S502 erfasste jüngste Frequenz von Korrekturvorgängen mit einer zulässigen Zahl für die Frequenz von Korrekturvorgängen. Die Angriffsfeststellungseinheit 112 geht zu Schritt S504 weiter, wenn die in Schritt S502 erfasste jüngste Frequenz von Korrekturvorgängen die zulässige Zahl von Vorgängen überschreitet, und geht zu Schritt S505 weiter, wenn die erfasste jüngste Frequenz von Korrekturvorgängen die zulässige Zahl von Vorgängen nicht überschreitet.
  • Im Falle von Schritt S504 stellt die Angriffsfeststellungseinheit 112 fest, dass die Einrichtung, an der die Anomalie detektiert worden ist, möglicherweise angegriffen worden ist, und führt eine Meldung aus, um eine eingehende Untersuchung der Einrichtung anzufordern. Das Verfahren zum Anfordern einer eingehenden Untersuchung kann eine Meldung an eine Person sein, die auf einem Bildschirm angezeigt wird, eine automatisch versendete Nachricht oder irgendein anderes Verfahren, durch das der Beginn einer eingehenden Untersuchung der Einrichtung gemeldet werden kann.
  • Im Falle von Schritt S505 führt die Angriffsfeststellungseinheit 112 dagegen eine Meldung aus, um eine Korrektur anzufordern, mit der die Anomalie in einer Einrichtung, die in Schritt S501 detektiert wurde, behandelt werden soll, und zeichnet ein Korrekturergebnis einschließlich einer Korrekturzeit als Korrekturverlaufsdaten 121 auf. Das Verfahren zum Anfordern der Korrektur kann eine Meldung an eine Person sein, die als Nachricht, mit der die Korrektur angefordert wird, auf einem Bildschirm angezeigt wird, eine automatisch versendete Nachricht, mit der die Korrektur angeordert wird, oder irgendein anderes Verfahren, durch das der Beginn einer Korrektur der Einrichtung gemeldet werden kann.
  • Sowohl im Falle von Schritt S504 als auch im Falle von S505 erfasst die Angriffsfeststellungseinheit 112 die Zeit der Ausführung der Korrektur als Korrekturzeit, wenn die Einrichtung, an der die Anomalie aufgetreten ist, als Reaktion auf die von der Angriffsfeststellungseinheit 112 ausgeführte Meldung korrigiert wird. Die Angriffsfeststellungseinheit 112 speichert außerdem neue Daten, welche die erfasste Korrekturzeit und die Einrichtungs-ID miteinander assoziieren, in der Speichereinheit 120, um dadurch die Korrekturverlaufsdaten 121 zu aktualisieren.
  • 6 ist eine Skizze, in der ein Beispiel für die Korrekturverlaufsdaten 121, die in der Speichereinheit 120 in der ersten Ausführungsform der vorliegenden Erfindung zu speichern sind, als Korrekturverlaufsdaten 610 dargestellt sind. Ein konkretes Beispiel für die Detektion eines Angriffs wird nachstehend unter Bezugnahme auf 6 beschrieben.
  • Zunächst wird zuerst das Beispiel der Korrekturverlaufsdaten 610 beschrieben, die in 6 dargestellt sind. In 6 sind bereits zehn Korrekturverlaufseinträge als Korrekturverlaufsdaten 610 gespeichert worden. Der Inhalt jeder Zeile der Korrekturverlaufsdaten 610 schließt eine Zeit 611, eine Einrichtungs-ID 612 und einen Korrekturinhalt 613 ein.
  • 7 ist eine Skizze, welche die Korrekturverlaufsdaten 610 in Form eines Graphen 710 in der ersten Ausführungsform der vorliegenden Erfindung zeigt. Die Frequenz der Korrekturvorgänge wird unter Bezugnahme auf den Graphen 710 beschrieben. Eine vertikale Achse 711 des Graphen 710 gibt den Typ einer Fertigungseinrichtung an und entspricht der Einrichtungs-ID 612. Eine horizontale Achse 712 des Graphen 710 gibt die abgelaufene Zeit an und entspricht der Zeit 611. Die Zeit 611 und die Einrichtungs-ID 612, die in jeder Zeile der Korrekturverlaufsdaten 610 enthalten sind, entsprechen einem von Punkten 721, die auf dem Graphen 710 gezeigt sind.
  • Die Angriffsfeststellungseinheit 112 identifiziert einen Abschnitt 722, in dem Korrektureinträge auf dem in 7 gezeigten Graphen 710 häufig erscheinen. Wenn die Frequenz der Korrekturvorgänge in dem Abschnitt 722, in dem häufig Korrektureinträge erscheinen, eine zulässige Zahl von Vorgängen überschreitet, stellt die Angriffsfeststellungseinheit 112 fest, dass die Einrichtung möglicherweise angegriffen worden ist. Die zulässige Zahl der Vorgänge kann ein gemeinsamer Wert sein, der unabhängig ist von der Einrichtungs-ID 612, oder ein Wert, der für jede Einrichtungs-ID 612 anders ist.
  • Die Angriffsfeststellungseinheit 112 der Angriffsdetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung beginnt somit eine Angriffsdetektionsverarbeitung mit dem Anomaliedetektionsergebnis, das von der Anomaliedetektionseinheit 111 erfasst worden ist, als Ausgangspunkt. Die Angriffsfeststellungseinheit 112 verwendet dann die in der Speichereinheit 120 gespeicherten Korrekturverlaufsdaten 121, um für den Abschnitt, in dem häufig Korrektureinträge erscheinen, eine Frequenz von Korrekturvorgängen in einem eingestellten Zeitfenster zu ermitteln. Die Angriffsfeststellungseinheit 112 vergleicht die ermittelte Frequenz der Korrekturvorgänge und die zulässige Zahl von Vorgängen, um dadurch festzustellen, ob oder ob nicht die Einrichtung möglicherweise angegriffen worden ist. Das heißt, die Angriffsfeststellungseinheit 112 kann auf Basis der Frequenz einer Detektion einer Einrichtungsanomalie bestimmen, ob oder ob nicht ein Cyberangriff stattgefunden hat.
  • Die Verfahren des Standes der Technik sind auf die Detektion einer Anomalie beschränkt, die ein Zustand ist, der von einem bekannten Normalzustand verschieden ist. Die Verwendung der Angriffsdetektionsverarbeitung, die von der Angriffsdetektionsvorrichtung gemäß der zweiten Ausführungsform ausgeführt wird, bietet eine vorteilhafte Wirkung dahingehend, dass detektierbar ist, ob oder ob nicht ein Angriff eine Ursache der detektierten Anomalie ist.
  • Zweite Ausführungsform
  • In einer zweiten Ausführungsform der vorliegenden Erfindung wird ein Fall beschrieben, in dem eine Angriffsdetektionsvorrichtung eine Fensterbreite und eine zulässige Zahl von Vorgängen lernt, und die Fensterbreite und die zulässige Zahl von Vorgängen, die mit dem Ergebnis des Lernens aktualisiert worden sind, verwendet werden, um einen Detektionsserver zu implementieren, der in der Lage ist, durch Adaptierung einen Angriff zu detektieren.
  • 8 ist ein Konfigurationsdiagramm eines Detektionsservers 801 gemäß der zweiten Ausführungsform der vorliegenden Erfindung. Der Detektionsserver 801 ist ein Beispiel für die Angriffsdetektionsvorrichtung. Der in 8 dargestellte Detektionsserver 801 weist eine Anomaliedetektionseinheit 811, eine Angriffsfeststellungseinheit 812, eine Einheit 813 zum Lernen eines zulässigen Bereichs, die als Lerneinheit dient, und eine Speichereinheit 820 auf. Der Detektionsserver 801 von 8 wird konfiguriert durch Hinzufügen der Einheit 813 zum Lernen eines zulässigen Bereichs und von einen zulässigen Bereich betreffenden Daten 822 innerhalb der Speichereinheit 820 zum Detektionsserver 101 gemäß der vorangehenden ersten Ausführungsform. Die folgende Beschreibung ist auf diese neu hinzugefügten Komponenten gerichtet.
  • 9 ist eine Skizze zur Darstellung von Datenkonfigurationen von Korrekturverlaufsdaten 821 und den einen zulässigen Bereich betreffenden Daten 822, die in der Speichereinheit 820 in der zweiten Ausführungsform der vorliegenden Erfindung zu speichern sind. Die Korrekturverlaufsdaten 821 schließen eine Korrekturzeit 911, eine Einrichtungs-ID 912 und einen Korrekturinhalt 913 ein und weisen eine Konfiguration auf, die derjenigen der Korrekturverlaufsdaten 121 in der vorangehenden ersten Ausführungsform gleich ist. Auf die Beschreibung der Korrekturverlaufsdaten 821 wird daher verzichtet. Wie in 9 dargestellt ist, sind die einen zulässigen Bereich betreffenden Daten 822 so konfiguriert, dass sie Gegenstände, bei denen es sich um eine Einrichtungs-ID 921, eine Fensterbreite 922, eine zulässige Zahl von Vorgängen 923, eine Anwendungsstartzeit 924 und eine Anwendungsendzeit 925 handelt, miteinander assoziieren.
  • Operationen einer Lernfunktion durch den Detektionsserver 801 werden nachstehend unter Bezugnahme auf 8 beschrieben. Einzelheiten der Operationen werden weiter unten unter Bezugnahme auf ein Ablaufschema beschrieben. Die Operation der Anomaliedetektionseinheit 811 und die Operation der Angriffsfeststellungseinheit 812 sind denen der Anomaliedetektionseinheit 111 und der Angriffsfeststellungseinheit 112, die in der vorangehenden ersten Ausführungsform beschrieben worden sind, gleich, und somit wird auf ihre Beschreibung verzichtet.
  • Die Einheit 813 zum Lernen eines zulässigen Bereichs ist dafür ausgelegt, das Ergebnis der von einer Person oder eine Maschine durchgeführten Untersuchung aufgrund eines Angriffsfeststellungsergebnisses, das von der Angriffsfeststellungseinheit 812 geliefert wurde, in die einen zulässigen Bereich betreffenden Daten 822 zurückzukoppeln. Die Rückkopplung an die einen zulässigen Bereich betreffenden Daten 822 kann nach der Untersuchung wiedergegeben werden oder kann regelmäßig wiedergegeben werden.
  • Nun wird eine Datenstruktur, die in der zweiten Ausführungsform verwendet wird, unter Bezugnahme auf 9 beschrieben. Die Korrekturverlaufsdaten 821 von 9 sind den in der ersten Ausführungsform beschriebenen Korrekturverlaufsdaten 121 gleich, und daher wird auf ihre Beschreibung verzichtet.
  • Die Korrekturverlaufsdaten 822 von 9 sind ein Beispiel für ein Format, das verwendet wird, um einen zulässigen Bereich zu speichern.
  • Die Einrichtungs-ID 921 ist eine eindeutige Kennung zum Identifizieren einer Einrichtung, an der eine Korrektur ausgeführt worden ist.
  • Die Fensterbreite 922 ist eine Fensterbreite, die einem Zeitfenster entspricht, das verwendet wird, um eine Frequenz von Vorgängen in einem Korrekturverlauf für eine Angriffsfestzustellung zu zählen.
  • Die zulässige Zahl von Vorgängen 923 entspricht einem zulässigen oberen Grenzwert der Frequenz in dem Korrekturverlauf innerhalb der Fensterbreite 922.
  • Die Anwendungsstartzeit 924 ist eine Zeit, zu der eine Anwendung der Fensterbreite 922 und der zulässigen Zahl der Vorgänge 923 auf die Einrichtungs-ID 921 gestartet wird. Die Anwendungsstartzeit 924 kann in Form von Daten gespeichert werden, die ein beliebiges Format aufweisen, solange die Daten als Datum und Uhrzeit erkennbar sind.
  • Die Anwendungsendzeit 925 ist eine Zeit, zu der eine Anwendung der Fensterbreite 922 und der zulässigen Zahl von Vorgängen 923 auf die Einrichtungs-ID 921 beendet wird. Die Einstellung der Anwendungsendzeit 925 entfällt, wenn ein Abschaltpunkt für die Anwendung nicht klar ist, um dadurch alle Zeiten, die auf die Anwendungsstartzeit 924 folgen, als Lernziel einzuschließen. Bei der Anwendungsendzeit 925 kann es sich um Daten handeln, die ein beliebiges Format aufweisen, solange sie als Datum und Uhrzeit erkennbar sind und der Fall, in dem der Abschaltpunkt unklar ist, unterscheidbar ist.
  • 10 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Angriffsdetektionsverarbeitung, die in der Anomaliedetektionsvorrichtung gemäß der zweiten Ausführungsform der vorliegenden Erfindung auszuführen ist. Die Angriffsdetektionsverarbeitung durch die Anomaliedetektionseinheit 811 und die Angriffsfeststellungseinheit 812, die im Detektionsserver 801 enthalten sind, werden weiter unten unter Bezugnahme auf das in 10 dargestellte Ablaufschema beschrieben. Hierbei wird angenommen, dass die Anomalie, die in einer Einrichtung aufgetreten ist, von der Anomaliedetektionsvorrichtung 301 bereits detektiert worden ist.
  • Das in 10 dargestellte Ablaufschema ist das Ablaufschema, das in der vorangehenden ersten Ausführungsform unter Bezugnahme auf 5 beschrieben wurde, dem eine Feststellungsverarbeitung hinzugefügt wurde, die eine erlernte zulässige Zahl von Vorgängen verwendet.
  • In einem Schritt S1001 erfasst die Anomaliedetektionseinheit 811 ein Anomaliedetektionsergebnis zu der von der Anomaliedetektionsvorrichtung 301 detektierten Anomalie.
  • In einem Schritt S1002 nimmt die Angriffsfeststellungseinheit 812 Bezug auf die einen zulässigen Bereich betreffenden Daten 822 auf Basis einer Einrichtungs-ID einer Einrichtung, an der die Anomalie in Schritt S1001 detektiert wurde, um eine Fensterbreite und eine zulässige Zahl von Vorgängen in einer Zeile zu erfassen, in der die Zeit der Detektierung der Anomalie nach der Operationsstartzeit und vor der Anwendungsstartzeit liegt oder die Zeit der Detektierung der Anomalie nach der Anwendungsstartzeit liegt und die Anwendungsendzeit leer ist.
  • In einem Schritt S1003 nimmt die Angriffsfeststellungseinheit 812 auf Basis der Einrichtungs-ID der Einrichtung, an der in Schritt S1001 die Anomalie detektiert worden ist, Bezug auf Korrekturverlaufsdaten 821, um die jüngste Frequenz von Korrekturvorgängen zu erfassen. Die Angriffsfeststellungseinheit 812 verwendet die in Schritt S1002 erfasste Fensterbreite, um die jüngste Frequenz von Korrekturvorgängen der Einrichtung zu zählen, die in einem Zeitfenster liegt, das von der erfassten Fensterbreite angegeben wird. Genauer zählt die Angriffsfeststellungseinheit 812, wenn die Fensterbreite 3 Stunden beträgt, die Zahl der in den letzten 3 Stunden ausgeführten Korrekturvorgänge als die Frequenz der Korrekturvorgänge.
  • In einem Schritt S1004 vergleicht die Angriffsfeststellungseinheit 812 die zulässige Zahl von Vorgängen, die in Schritt S1002 erfasst wurde, mit der in Schritt S1003 erfassten jüngsten Frequenz von Korrekturvorgängen. Die Angriffsfeststellungseinheit 812 geht zu Schritt S1005 weiter, wenn die jüngste Frequenz von Korrekturvorgängen die zulässige Zahl von Vorgängen überschreitet, und geht zu Schritt S1006 weiter, wenn die erfasste jüngste Frequenz von Korrekturvorgängen die zulässige Zahl von Vorgängen nicht überschreitet.
  • Im Falle von Schritt S1005 stellt die Angriffsfeststellungseinheit 812 fest, dass die Einrichtung, an der die Anomalie detektiert worden ist, möglicherweise angegriffen worden ist, und führt eine Meldung aus, um eine eingehende Untersuchung der Einrichtung anzufordern. Das Verfahren zum Anfordern einer eingehenden Untersuchung kann eine Meldung an eine Person sein, die auf einem Bildschirm angezeigt wird, eine automatisch versendete Nachricht oder irgendein anderes Verfahren, durch das der Beginn einer eingehenden Untersuchung der Einrichtung gemeldet werden kann.
  • Im Falle von Schritt S1006 führt die Angriffsfeststellungseinheit 812 dagegen eine Meldung aus, um eine Korrektur anzufordern, mit der die Anomalie in einer Einrichtung, die in Schritt S1001 detektiert wurde, behandelt wird, und zeichnet ein Korrekturergebnis als Korrekturverlaufsdaten 821 auf. Das Verfahren zum Anfordern der Korrektur kann eine Meldung an eine Person sein, die als Nachricht, mit der die Korrektur angefordert wird, auf einem Bildschirm angezeigt wird, eine automatisch versendete Nachricht, mit der die Korrektur angeordert wird, oder irgendein anderes Verfahren, durch das der Beginn einer Korrektur der Einrichtung gemeldet werden kann.
  • 11 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Lernverarbeitung, die für eine Fensterbreite durchzuführen sind, und einer zulässigen Zahl von Vorgängen in der Anomaliedetektionsvorrichtung gemäß der zweiten Ausführungsform der vorliegenden Erfindung.
  • In einem Schritt S1101 erfasst die Einheit 813 zum Lernen eines zulässigen Bereichs eine Einrichtungs-ID einer Fertigungseinrichtung, die ein Lernziel ist. Die Einheit 813 zum Lernen eines zulässigen Bereichs kann die Einrichtungs-ID durch manuelle Eingabe, Wiedergabe eines Ergebnisses einer maschinell ausgeführten Untersuchung oder anhand irgendeines anderen Verfahrens erfassen, solange die Einrichtungs-ID, die anhand des Verfahrens erfasst wird, erkennbar ist.
  • In Schritt S1102 bezeichnet die Einheit 813 zum Lernen eines zulässigen Bereichs die einen zulässigen Bereich betreffenden Daten 822 auf Basis der in Schritt S1101 erfassten Einrichtungs-ID, um eine Fensterbreite und eine zulässige Zahl von Vorgängen zu erfassen, die in einer Zeile eingestellt sind, in der die jüngste Anwendungsstartzeit steht.
  • In einem Schritt S1103 lernt die Einheit 813 zum Lernen eines zulässigen Bereichs die Fensterbreite und die zulässige Zahl von Vorgängen, die in Schritt S1102 erfasst wurde, und überarbeitet die Fensterbreite und die zulässige Zahl von Vorgängen auf Basis des Ergebnisses der Feststellung durch die Angriffsfeststellungseinheit 812. Beispiele für ein konkretes Verfahren der Überarbeitung der Fensterbreite und der zulässigen Zahl von Vorgängen schließen ein: ein Verfahren, in dem die Fensterbreite und die zulässige Zahl von Vorgängen in einem Anfangszeitraum der Installation einer neuen Einrichtung klein eingestellt werden und dann auf Basis einer tatsächlichen Frequenz von Korrekturvorgängen geändert werden; ein Verfahren, in dem die Fensterbreite und die zulässige Zahl von Vorgängen auf Basis einer tatsächlichen Frequenz von Korrekturvorgängen geändert werden, wenn die Art eines gefertigten Produkts sich erheblich ändert; und ein Verfahren, in dem die zulässige Zahl von Vorgängen auf Basis der Verschlechterungstendenz der Einrichtung erhöht wird. Die Einheit 813 zum Lernen eines zulässigen Bereichs kann die Fensterbreite und die zulässige Zahl von Vorgängen durch ein statistisches Verfahren auf Basis eines früheren Verlaufs, eines Verfahrens, das maschinelles Lernen verwendet, oder anhand irgendwelcher anderer Verfahren überarbeiten, solange die Fensterbreite und die zulässige Zahl von Vorgängen durch das Verfahren quantifizierbar sind.
  • In einem Schritt S1104 aktualisiert die Einheit 813 zum Lernen eines zulässigen Bereichs die Anwendungsendzeit in der Zeile, auf die in Schritt S1102 Bezug genommen wird, mit einer Zeit zum Starten der Anwendung der Fensterbreite und der zulässigen Zahl von Vorgängen, die in Schritt S1103 überarbeitet worden sind. Die Einheit 813 zum Lernen eines zulässigen Bereichs fügt außerdem durch Einstellen dieser Zeit als Anwendungsstartzeit und Verwenden der Fensterbreite und der zulässigen Zahl von Vorgängen, die in Schritt S1103 überarbeitet worden sind, eine neue Zeile zu den einen zulässigen Bereich betreffenden Daten 822 hinzu.
  • In der neu hinzugefügten Zeile ist die Anwendungsendzeit „leer“ und die Einrichtungs-ID ist die Einrichtungs-ID, die in Schritt S1101 erfasst worden ist. Eine neue Zeile, in der die Fensterbreite und die zulässige Zahl von Vorgängen überarbeitet worden sind, kann für eine Einrichtung, die ein Lernziel ist, durch Ausführen dieser Reihe von Schritten oder Verarbeitungen hinzugefügt werden.
  • In der zweiten Ausführungsform bewirkt somit der Detektionsserver 801, dass die Einheit 813 zum Lernen eines zulässigen Bereichs die einen zulässigen Bereich betreffenden Daten 822, die in der Speichereinheit 120 gespeichert sind, auf Basis eines tatsächlichen Verhaltens von Einrichtungen lernt, um dadurch die einen zulässigen Bereich betreffenden Daten 822 für jede Einrichtung nacheinander mit einer geeigneten Fensterbreite und einer geeigneten zulässigen Zahl von Vorgängen zu aktualisieren. Infolgedessen wird die Präzision einer Angriffsfestzustellen noch mehr erhöht.
  • Dies stellt zusätzlich zu der Wirkung, die in der ersten Ausführungsform erzielt wird, eine zusätzliche Wirkung dahingehend bereit, dass ein Angriff mit hoher Präzision auch in solchen Fällen detektiert werden kann, wenn sich der Typ eines gefertigten Produkts erheblich ändert und wenn sich die Korrekturfrequenz aufgrund einer Verschlechterung allmählich ändert.
  • In der oben beschriebenen ersten Ausführungsform weist der Detektionsserver 101 die Speichereinheit 120 auf. Jedoch ist die Konfiguration nicht darauf beschränkt, und statt als Komponente des Detektionsservers 101 kann die Speichereinheit 120 außerhalb des Detektionsservers 101 als Komponente einer externen Vorrichtung bereitgestellt werden. In einem Beispiel einer Konfiguration für diesen Fall ist die Speichereinheit 120 in einer externen Vorrichtung bereitgestellt, die ein Server oder dergleichen ist, der außerhalb des Detektionsservers 101 installiert ist. Der Detektionsserver 101 erfasst aus dieser externen Vorrichtung die Korrekturverlaufsdaten 121, die in der Speichereinheit 120 der externen Vorrichtung akkumuliert sind, um festzustellen, ob oder ob nicht eine Einrichtung angegriffen worden ist. Das gleiche gilt für die Speichereinheit 820 des Detektionsservers 801 der zweiten Ausführungsform. Das heißt, statt als Komponente des Detektionsservers 801 kann die Speichereinheit 820 außerhalb des Detektionsservers 801 als Komponente einer externen Vorrichtung bereitgestellt werden. In diesem Fall können der Detektionsserver 801 und die Speichereinheit 820 beispielsweise die gleichen Konfigurationen aufweisen wie diejenigen des Detektionsservers 101 und der Speichereinheit 120, und auf ihre Beschreibung wird somit hier verzichtet.
  • Bezugszeichenliste
    • 101
    Detektionsserver (Angriffsdetektionsvorrichtung),
    111
    Anomaliedetektionseinheit,
    112
    Angriffsfeststellungseinheit,
    120
    Speichereinheit,
    121
    Korrekturverlaufsdaten,
    301
    Anomaliedetektionsvorrichtung,
    302
    Anomaliedetektionseinheit,
    401
    Rechenvorrichtung,
    402
    externe Speichervorrichtung,
    403
    Hauptspeichervorrichtung,
    404
    Kommunikationsvorrichtung,
    405
    Bus,
    801
    Detektionsserver (Angriffsdetektionsvorrichtung),
    811
    Anomaliedetektionseinheit,
    812
    Angriffsfeststellungseinheit,
    813
    Einheit zum Lernen eines zulässigen Bereichs (Lerneinheit),
    820
    Speichereinheit,
    821
    Korrekturverlaufsdaten,
    822
    einen zulässigen Bereich betreffende Daten

Claims (7)

  1. Angriffsdetektionsvorrichtung (101, 801), umfassend: eine Anomaliedetektionseinheit (111, 811), die dafür ausgelegt ist, durch Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID (212, 612, 912, 921) zur Identifizierung einer Einrichtung einschließt, das Auftreten einer Anomalie in einer mit der Einrichtungs-ID (212, 612, 912, 921) assoziierten Einrichtung zu detektieren; und eine Angriffsfeststellungseinheit (112, 812), die dafür ausgelegt ist, durch eine auf der Einrichtungs-ID (212, 612, 912, 921) basierende Ermittlung einer Frequenz von Korrekturvorgängen, mittels derer detektierte Anomalien in der mit der Einrichtungs-ID (212, 612, 912, 921) assoziierten Einrichtung korrigiert wurden, aus Korrekturverlaufsdaten (121, 821) festzustellen, dass die Einrichtung, die mit der in dem von der Anomaliedetektionseinheit (111, 811) gesendeten Anomalieergebnis enthaltenen Einrichtungs-ID assoziiert (212, 612, 912, 921) ist, einem Angriff ausgesetzt ist, wenn die Zahl der Korrekturvorgänge eine zulässige Zahl von Vorgängen (923) überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten (121, 821) die Einrichtungs-ID (212, 612, 912, 921) mit einer Korrekturzeit (211, 911) assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird, und wobei die zulässige Zahl von Vorgängen (923) auf Basis der Verschlechterungstendenz der Einrichtung erhöht wird.
  2. Angriffsdetektionsvorrichtung (101, 801), nach Anspruch 1, ferner eine Speichereinheit (120, 820) umfassend, die dafür ausgelegt ist, die Korrekturverlaufsdaten (121, 821) zu speichern.
  3. Angriffsdetektionsvorrichtung (101, 801) nach Anspruch 1 oder 2, wobei die Angriffsfeststellungseinheit (112, 812) ausgelegt ist zum: Identifizieren der Einrichtung, die mit der in dem Anomaliedetektionsergebnis enthaltenen Einrichtungs-ID (212, 612, 912, 921) assoziiert ist, durch Erfassen des Anomaliedetektionsergebnisses aus der Anomaliedetektionseinheit (111, 811), und Melden, dass für die identifizierte Einrichtung eine Korrektur erforderlich ist; Erfassen einer Zeit, zu der die Einrichtung, in der die Anomalie aufgetreten ist, als Reaktion auf die Meldung korrigiert wird, als Korrekturzeit (211, 911); und Aktualisieren der Korrekturverlaufsdaten (121, 821) durch Speichern neuer Daten, welche die Einrichtungs-ID (212, 612, 912, 921) und die Korrekturzeit (211, 911) miteinander assoziieren, in der Speichereinheit (120, 820).
  4. Angriffsdetektionsvorrichtung (101, 801) nach einem der Ansprüche 1 bis 3, wobei die Speichereinheit (120, 820) dafür ausgelegt ist, ferner einen zulässigen Bereich betreffende Daten (822), die ein Zeitfenster für die Ermittlung der Frequenz von Korrekturvorgängen für jede Einrichtungs-ID (212, 612, 912, 921) einschließen, und die zulässige Zahl von Vorgängen (923) zu speichern, und wobei die Angriffsfeststellungseinheit (112, 812) dafür ausgelegt ist, festzustellen, dass es einen Angriff auf die Einrichtung gibt, wenn eine Frequenz von Korrekturvorgängen innerhalb des Zeitfensters ermittelt wird und die ermittelte Frequenz von Korrekturvorgängen die zulässige Zahl von Vorgängen (923) überschreitet.
  5. Angriffsdetektionsvorrichtung (101, 801) nach Anspruch 4, ferner eine Lerneinheit (813) umfassend, die dafür ausgelegt ist, das Zeitfenster und die zulässige Zahl von Vorgängen (923), die assoziiert mit der Einrichtungs-ID (212, 612, 912, 921) in der Speichereinheit (120, 820) gespeichert sind, auf Basis eines Verlaufs von Ergebnissen einer Feststellung durch die Angriffsfeststellungseinheit (112, 812) zu lernen und die einen zulässigen Bereich betreffenden Daten (822) auf Basis eines Ergebnisses des Lernens zu aktualisieren.
  6. Angriffsdetektionsverfahren, umfassend: einen Anomaliedetektionsschritt zum Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID (212, 612, 912, 921) zur Identifizierung einer Einrichtung einschließt, und dadurch Detektieren des Auftretens einer Anomalie in einer Einrichtung, die mit der Einrichtungs-ID (212, 612, 912, 921) assoziiert ist, und zum Versenden des Anomaliedetektionsergebnisses; und einen Angriffsfeststellungsschritt, um durch eine auf der Einrichtungs-ID (212, 612, 912, 921) basierende Ermittlung einer Frequenz von Korrekturvorgängen, mittels derer detektierte Anomalien in der mit der Einrichtungs-ID (212, 612, 912, 921) assoziierten Einrichtung korrigiert wurden, aus Korrekturverlaufsdaten (211, 821) festzustellen, dass die Einrichtung, die mit der Einrichtungs-ID (212, 612, 912, 921) assoziiert ist, die in dem in dem Anomaliedetektionsschritt gesendeten Anomalieergebnis enthalten ist, einem Angriff ausgesetzt ist, wenn die Zahl der Korrekturvorgänge eine zulässige Zahl von Vorgängen (923) überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten (121, 821) die Einrichtungs-ID (212, 612, 912, 921) mit einer Korrekturzeit (211, 911) assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird, und wobei die zulässige Zahl von Vorgängen (923) auf Basis der Verschlechterungstendenz der Einrichtung erhöht wird.
  7. Angriffsdetektionsprogramm, um einen Computer zu veranlassen, folgendes auszuführen: einen Anomaliedetektionsschritt zum Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID (212, 612, 912, 921) zur Identifizierung einer Einrichtung einschließt, und dadurch Detektieren des Auftretens einer Anomalie in einer Einrichtung, die mit der Einrichtungs-ID (212, 612, 912, 921) assoziiert ist, und zum Versenden des Anomaliedetektionsergebnisses; und einen Angriffsfeststellungsschritt, um durch eine auf der Einrichtungs-ID (212, 612, 912, 921) basierende Ermittlung einer Frequenz von Korrekturvorgängen, mittels derer detektierte Anomalien in der mit der Einrichtungs-ID (212, 612, 912, 921) assoziierten Einrichtung korrigiert wurden, aus Korrekturverlaufsdaten (121, 821) festzustellen, dass es einen Angriff auf die Einrichtung gibt, die mit der Einrichtungs-ID (212, 612, 912, 921) assoziiert ist, die in dem in dem Anomaliedetektionsschritt gesendeten Anomalieergebnis enthalten ist, wenn die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen (923) überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten (121, 821) die Einrichtungs-ID (212, 612, 912, 921) mit einer Korrekturzeit (211, 911) assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird, und wobei die zulässige Zahl von Vorgängen (923) auf Basis der Verschlechterungstendenz der Einrichtung erhöht wird.
DE112018008071.4T 2018-11-16 2018-11-16 Angriffsdetektionsvorrichtung, angriffsdetektionsverfahren und angriffsdetektionsprogramm Active DE112018008071B4 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/042550 WO2020100307A1 (ja) 2018-11-16 2018-11-16 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム

Publications (2)

Publication Number Publication Date
DE112018008071T5 DE112018008071T5 (de) 2021-07-01
DE112018008071B4 true DE112018008071B4 (de) 2023-08-31

Family

ID=70731441

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018008071.4T Active DE112018008071B4 (de) 2018-11-16 2018-11-16 Angriffsdetektionsvorrichtung, angriffsdetektionsverfahren und angriffsdetektionsprogramm

Country Status (7)

Country Link
US (1) US20210232686A1 (de)
JP (1) JP6862615B2 (de)
KR (1) KR102382134B1 (de)
CN (1) CN112997177A (de)
DE (1) DE112018008071B4 (de)
TW (1) TWI712911B (de)
WO (1) WO2020100307A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230290193A1 (en) 2022-03-08 2023-09-14 Denso Corporation Detecting tampering of an electronic device

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8904506B1 (en) 2011-11-23 2014-12-02 Amazon Technologies, Inc. Dynamic account throttling

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS54148428A (en) 1978-05-15 1979-11-20 Nec Corp Phase converter circuit
JPH0814955A (ja) 1994-07-01 1996-01-19 Nissan Motor Co Ltd 設備異常診断装置およびその方法
JP4940220B2 (ja) * 2008-10-15 2012-05-30 株式会社東芝 異常動作検出装置及びプログラム
KR20100078081A (ko) * 2008-12-30 2010-07-08 (주) 세인트 시큐리티 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법
US8375450B1 (en) * 2009-10-05 2013-02-12 Trend Micro, Inc. Zero day malware scanner
JP5689333B2 (ja) * 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
WO2012132527A1 (ja) * 2011-03-28 2012-10-04 インターナショナル・ビジネス・マシーンズ・コーポレーション 異常検知システム、異常検知方法、およびそのプログラム
US8732523B2 (en) * 2011-10-24 2014-05-20 Arm Limited Data processing apparatus and method for analysing transient faults occurring within storage elements of the data processing apparatus
CN102413127A (zh) * 2011-11-09 2012-04-11 中国电力科学研究院 一种数据库综合安全防护方法
WO2015029150A1 (ja) * 2013-08-28 2015-03-05 株式会社 日立製作所 保守サービス方法および保守サービスシステム
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
CN105303373B (zh) * 2015-09-22 2019-03-26 深圳市新国都支付技术有限公司 一种频率防探测电路和方法
JP6684690B2 (ja) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
JP6606050B2 (ja) 2016-11-02 2019-11-13 日本電信電話株式会社 検知装置、検知方法および検知プログラム
US11405411B2 (en) * 2017-03-31 2022-08-02 Nec Corporation Extraction apparatus, extraction method, computer readable medium

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8904506B1 (en) 2011-11-23 2014-12-02 Amazon Technologies, Inc. Dynamic account throttling

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Cloud manufacturing. In: Wikipedia, the free encyclopedia. Bearbeitungsstand: 10.02.2018. URL: https://en.wikipedia.org/w/index.php?title=Cloud_manufacturing&oldid=824965764 [abgerufen am 01.03.2023]
Throttling login attempts. In: Stack Overflow. URL: https://stackoverflow.com/questions/570160/throttling-login-attemptsArchiviert in https://web.archive.org am 21.03.2017 [abgerufen am 07.12.2021]

Also Published As

Publication number Publication date
DE112018008071T5 (de) 2021-07-01
JPWO2020100307A1 (ja) 2021-02-25
JP6862615B2 (ja) 2021-04-21
CN112997177A (zh) 2021-06-18
KR20210057194A (ko) 2021-05-20
KR102382134B1 (ko) 2022-04-01
TWI712911B (zh) 2020-12-11
US20210232686A1 (en) 2021-07-29
TW202020709A (zh) 2020-06-01
WO2020100307A1 (ja) 2020-05-22

Similar Documents

Publication Publication Date Title
DE102005049055A1 (de) Verfahren, um Ereignisse in einem Systemereignisprotokoll in eine Reihenfolge zu bringen
DE102018107233A1 (de) Verfahren zur automatischen Prozessüberwachung und Prozessdiagnose eines stückbasierten Prozesses (batch-Fertigung), insbesondere eines Spritzgießprozesses und eine den Prozess durchführende Maschine oder ein den Prozess durchführender Maschinenpark
EP2800307B1 (de) Verfahren zur feststellung von abweichungen von einem vorgegebenen normalzustand
DE112018008071B4 (de) Angriffsdetektionsvorrichtung, angriffsdetektionsverfahren und angriffsdetektionsprogramm
DE102017222327A1 (de) Verfahren zur automatisierten Prozesskontrolle einer Digitaldruckmaschine
EP3598255B1 (de) Anordnung mit operator-servern und mit operator-clients
DE112018005937T5 (de) Messlösungsdienstleistungssystem
DE112013006686T5 (de) Programmierbare Steuerung, programmierbares Steuersystem und Verfahren zum Erzeugen einer Ausführungsfehlerinformation
DE60217729T2 (de) Verfahren zum erkennen eines elektronischen geräts in einem mehrfachsteuersystem
DE10259794A1 (de) Verfahren und Vorrichtung für das Event Management
WO1999017192A1 (de) Konfigurierungsverfahren für datenverarbeitungsanlagen
DE112017006528T5 (de) Angriff/abnormalität-detektionsvorrichtung, angriff/abnormalität-detektionsverfahren und angriff/abnormalität-detektionsprogramm
DE112018007194T5 (de) Datenverarbeitungsgerät
EP2021922B1 (de) Verfahren und vorrichtung für ein fehlertoleranzmanagement einer softwarekomponente
DE112016006818T5 (de) Vor-ort-system
DE112018006856T5 (de) Fehlererkennungsvorrichtung, Überwachungssteuerungssystem und Fehlererkennungsverfahren
EP3696757A1 (de) Verfahren und system zur automatischen bewertung von errichterunternehmen für feuerlöschanlagen
EP2224340A1 (de) Verfahren und Managementsystem zum Konfigurieren eines dynamischen Informationssystems sowie Computerprogrammprodukt
DE102018130289A1 (de) Verfahren zur Anzeige von Nachrichten eines Nachrichtensystems
DE112018000259T5 (de) Numerische Steuervorrichtung und Informationsverarbeitungsvorrichtung
AT523829B1 (de) Verfahren zur Detektion von anomalen Betriebszuständen eines Computersystems
EP4332807A1 (de) Verfahren zum überwachen eines steuerprogramms zumindest einer funktionseinheit einer maschinenanlage, computerprogrammprodukt, computerlesbares speichermedium sowie elektronische recheneinrichtung
DE102009043286A1 (de) Verfahren und Vorrichtung zur Überprüfung der Konfigurierung eines Computersystems
DE102012020760A1 (de) Einstellungsabhängige Releasenote
DE112016007465T5 (de) Programmentwicklungsunterstützungsvorrichtung und Verfahren zur Verwaltung von Programmkomponenten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division