DE112020006533T5 - Relais-einheit und relais-verfahren - Google Patents

Relais-einheit und relais-verfahren Download PDF

Info

Publication number
DE112020006533T5
DE112020006533T5 DE112020006533.2T DE112020006533T DE112020006533T5 DE 112020006533 T5 DE112020006533 T5 DE 112020006533T5 DE 112020006533 T DE112020006533 T DE 112020006533T DE 112020006533 T5 DE112020006533 T5 DE 112020006533T5
Authority
DE
Germany
Prior art keywords
recognition
unit
rules
input
selection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112020006533.2T
Other languages
English (en)
Inventor
Tatsunori Minami
Teruyoshi Yamaguchi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112020006533T5 publication Critical patent/DE112020006533T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Emergency Protection Circuit Devices (AREA)
  • Input Circuits Of Receivers And Coupling Of Receivers And Audio Equipment (AREA)

Abstract

Eine Relais-Einheit weist eine erste Eingabe-/Ausgabeeinheit (111), eine zweite Eingabe-/Ausgabeeinheit (112), eine Sicherheitsüberwachungseinheit (121), die bestimmt, ob ein in die erste Eingabe-/Ausgabeeinheit (111) oder die zweite Eingabe-/Ausgabeeinheit (112) eingegebenes Datenpaket normal ist oder nicht, sowie eine Relais-Einheit (113) auf, die ein Datenpaket, das von der Sicherheitsüberwachungseinheit (121) als normal bestimmt wurde, aus der ersten Eingabe-/Ausgabeeinheit (111) oder der zweiten Eingabe-/Ausgabeeinheit (112) ausgibt; wobei die Sicherheitsüberwachungseinheit (121) eine Whitelist verwendet, um eine auf einer Whitelist basierende Angriffserkennung durchzuführen, um zu bestimmen, ob ein Datenpaket normal ist oder nicht, und ein durch einen maschinellen Lernprozess erlerntes Lernprozess-Modell verwendet, um eine auf einem maschinellen Lernprozess basierende Angriffserkennung in Bezug auf ein Paket durchzuführen, das durch die auf einer Whitelist basierende Angriffserkennung nicht als normal bestimmt wurde, um zu bestimmen, ob das Datenpaket normal ist oder nicht.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung bezieht sich auf eine Relais-Einheit und auf ein Relais-Verfahren.
  • STAND DER TECHNIK
  • Eine herkömmliche netzwerkbasierte Angriffserkennung für Steuersysteme weist eine auf einer Whitelist basierende Angriffserkennung auf, die vorab definierte Erkennungsregeln für ein Erkennen von Paketen verwendet, die keine Vorsicht erfordern, und Pakete, die nicht unter die Regeln fallen, als Angriffe bestimmt. (siehe zum Beispiel Patentliteratur 1).
  • LITERATUR DES STANDS DER TECHNIK
  • Patentliteratur
  • Patentliteratur 1: Japanische Patentanmeldungsveröffentlichung JP 2001-034 553 A
  • KURZBESCHREIBUNG DER ERFINDUNG
  • Mit der Erfindung zu lösendes Problem
  • Für eine herkömmliche auf einer Whitelist basierende Angriffserkennung müssen Erkennungsregeln auch für Pakete konzipiert werden, die selten übermittelt werden. In einigen Fällen erfordert eine derartige Konzeption, dass eine große Anzahl von Erkennungsregeln verfasst wird, und dies kann zu erhöhten Erstellungskosten und einem verringerten Leistungsvermögen führen.
  • Dementsprechend besteht eine Aufgabe der Erfindung darin, eine Erhöhung der Erstellungskosten für Erkennungsregeln zu verhindern.
  • Mittel zum Lösen des Problems
  • Eine Relais-Einheit gemäß einem Aspekt der Erfindung weist Folgendes auf: eine erste Eingabe-/Ausgabeeinheit, die mit einem ersten Netzwerk verbunden ist; eine zweite Eingabe-/Ausgabeeinheit, die mit einem zweiten Netzwerk verbunden ist; eine Überwachungseinheit, die so konfiguriert ist, dass sie bestimmt, ob ein in die erste Eingabe-/Ausgabeeinheit oder die zweite Eingabe-/Ausgabeeinheit eingegebenes Datenpaket normal ist oder nicht; sowie eine Relais-Einheit, die so konfiguriert ist, dass sie ein Datenpaket, das von der Überwachungseinheit als normal bestimmt wurde, an die erste Eingabe-/Ausgabeeinheit oder die zweite Eingabe-/Ausgabeeinheit ausgibt, wobei die Überwachungseinheit eine Whitelist verwendet, um eine auf einer Whitelist basierende Angriffserkennung durchzuführen, um zu bestimmen, ob das in die erste Eingabe-/Ausgabeeinheit oder die zweite Eingabe-/Ausgabeeinheit eingegebene Datenpakt normal ist oder nicht, und ein durch einen maschinellen Lernprozess erlerntes Lernprozess-Modell verwendet, um eine auf einem maschinellen Lernprozess basierende Angriffserkennung in Bezug auf ein Datenpaket durchzuführen, das durch die auf einer Whitelist basierende Angriffserkennung nicht als normal bestimmt wurde, um zu bestimmen, ob das Datenpaket normal ist oder nicht, wobei es sich bei der Whitelist um eine Liste von Erkennungsregeln handelt, die Elemente, die eine Bestimmung in Bezug auf die Normalität des Datenpakets ermöglichen, von Elementen eines Merkmals des Datenpakets angibt.
  • Ein Relais-Verfahren gemäß einem Aspekt der Erfindung weist Folgendes auf: Eingeben eines Datenpakets in eine erste Eingabe-/Ausgabeeinheit, die mit einem ersten Netzwerk verbunden ist, oder in eine zweite Eingabe-/Ausgabeeinheit, die mit einem zweiten Netzwerk verbunden ist, Bestimmen, ob ein in die erste Eingabe-/Ausgabeeinheit oder die zweite Eingabe-/Ausgabeeinheit eingegebenes Datenpaket normal ist oder nicht; sowie Ausgeben eines Datenpakets, das als normal bestimmt wurde, aus der ersten Eingabe-/Ausgabeeinheit oder der zweiten Eingabe-/Ausgabeeinheit, wobei, wenn zu bestimmen ist, ob das in die erste Eingabe-/Ausgabeeinheit oder die zweite Eingabe-/Ausgabeeinheit eingegebene Datenpaket normal ist oder nicht, eine Whitelist verwendet wird, um eine auf einer Whitelist basierende Angriffserkennung durchzuführen, um zu bestimmen, ob das in die erste Eingabe-/Ausgabeeinheit oder die zweite Eingabe-/Ausgabeeinheit eingegebene Datenpaket normal ist oder nicht, und ein durch einen maschinellen Lernprozess erlerntes Lernprozess-Modell verwendet wird, um eine auf einem maschinellen Lernprozess basierende Angriffserkennung durchzuführen, um zu bestimmen, ob ein Datenpaket, das durch die auf der Whitelist basierende Angriffserkennung nicht als normal bestimmt wurde, normal ist oder nicht, wobei es sich bei der Whitelist um eine Liste von Erkennungsregeln handelt, die Elemente, die eine Bestimmung in Bezug auf die Normalität ermöglichen, von Elementen eines Merkmals des Datenpakets angibt.
  • Effekte der Erfindung
  • Gemäß einem oder mehreren Aspekten der Erfindung kann eine Erhöhung der Erstellungskosten von Erkennungsregeln verhindert werden.
  • Figurenliste
  • In den Figuren zeigen:
    • 1 ein Blockschaubild, das die Konfiguration eines Netzwerksystems schematisch darstellt, die eine Erzeugungseinheit für Erkennungsregeln gemäß einer ersten bis dritten Ausführungsform aufweist;
    • 2 ein Blockschaubild, das die Funktionen der Erzeugungseinheit für Erkennungsregeln gemäß der ersten und zweiten Ausführungsform schematisch darstellt;
    • 3 ein Blockschaubild, das ein Beispiel für eine Hardware-Konfiguration darstellt;
    • 4 ein Flussdiagramm, das den Prozessablauf darstellt, der ausgeführt wird, wenn die Erzeugungseinheit für Erkennungsregeln gemäß der ersten Ausführungsform Erkennungsregeln auswählt;
    • 5 ein schematisches Schaubild zur Erläuterung der Darstellung des Prozessablaufs für ein Erzeugen von Erkennungsregeln vor der Auswahl durch eine Erzeugungseinheit für Erkennungsregeln;
    • 6 ein schematisches Schaubild zur Erläuterung eines beispielhaften Prozessablaufs, der ausgeführt wird, wenn eine Wähleinheit für Erkennungsregeln gemäß der ersten Ausführungsform Erkennungsregeln auswählt;
    • 7 ein Flussdiagramm, das einen Prozessablauf darstellt, der ausgeführt wird, wenn die Erzeugungseinheit für Erkennungsregeln gemäß der zweiten Ausführungsform Erkennungsregeln auswählt;
    • 8 ein schematisches Schaubild zur Erläuterung eines beispielhaften Prozessablaufs, der ausgeführt wird, wenn eine Wähleinheit für Erkennungsregeln gemäß der zweiten Ausführungsform Erkennungsregeln auswählt;
    • 9 ein Blockschaubild, das die Funktionen einer Erzeugungseinheit für Erkennungsregeln gemäß einer dritten Ausführungsform schematisch darstellt;
    • 10 ein Flussdiagramm, das einen Prozessablauf darstellt, der ausgeführt wird, wenn die Erzeugungseinheit für Erkennungsregeln gemäß der dritten Ausführungsform die ausgewählten Erkennungsregeln aktualisiert;
    • 11 ein schematisches Schaubild zur Erläuterung eines beispielhaften Prozessablaufs, der ausgeführt wird, wenn eine Wähleinheit für Erkennungsregeln gemäß der dritten Ausführungsform Erkennungsregeln nach der Auswahl aktualisiert.
  • ART FÜR EINE REALISIERUNG DER ERFINDUNG
  • Erste Ausführungsform
  • 1 ist ein Blockschaubild, das die Konfiguration eines Netzwerksystems 100 schematisch darstellt, das eine Relais-Einheit oder eine Erzeugungseinheit für Erkennungsregeln 110 gemäß einer ersten Ausführungsform aufweist.
  • Das Netzwerksystem 100 weist einen Personalcomputer (PC) 101, einen Router 102, eine Erzeugungseinheit für Erkennungsregeln 110, eine Klimaanlagen-Ausrüstung 103, ein Beleuchtungs-Ausrüstung 104 sowie eine Sicherheits-Ausrüstung 105 auf.
  • Der PC 101 ist über den Router 102 mit einem ersten Netzwerk oder dem Internet 106 verbunden. Bei dem Internet 106 handelt es sich um ein globales Netzwerk.
  • Die Erzeugungseinheit für Erkennungsregeln 110 ist mit dem Internet 106 und einem zweiten Netzwerk oder einem lokalen Netzwerk (LAN) 107 verbunden.
  • Die Klimaanlagen-Ausrüstung 103, die Beleuchtungs-Ausrüstung 104 sowie die Sicherheits-Ausrüstung 105, bei denen es sich um Ziel-Betriebsvorrichtungen handelt, die mit dem PC 101 zu betreiben sind, sind mit dem LAN 107 verbunden, die Ziel-Betriebsvorrichtungen sind jedoch nicht auf eine derartige Ausrüstung beschränkt. Es ist anzumerken, dass die Ziel-Betriebsvorrichtungen, die mit dem LAN 107 verbunden sind, ein Ziel-Betriebssystem 108 bilden.
  • Bei dem PC 101 handelt es sich um eine Betriebseinheit, die für ein Betreiben der Ziel-Betriebsausrüstung in dem Ziel-Betriebssystem 108 verwendet wird.
  • Bei dem Router 102 handelt es sich um eine Relais-Einheit, die Daten zwischen einem (nicht dargestellten) LAN, mit dem der PC 101 verbunden ist, und dem Internet 106 weiterleitet.
  • Die Erzeugungseinheit für Erkennungsregeln 110 fungiert als eine Relais-Einheit, die Daten zwischen dem Internet 106 und dem LAN 107 weiterleitet. Die Erzeugungseinheit für Erkennungsregeln 110 leitet zum Beispiel Datenpakete von dem Internet 106 zu dem LAN 107 weiter.
  • Indem so verfahren wird, sammelt die Erzeugungseinheit für Erkennungsregeln 110 die Datenpakete, die von dem PC 101 über den Router 102 und das Internet 106 übermittelt werden, über eine vorgegebene Zeitspanne hinweg, um Erkennungsregeln zu erzeugen, und setzt die erzeugten Erkennungsregeln bei der Erzeugungseinheit für Erkennungsregeln 110 oder einer anderen netzwerkbasierten Angriffserkennungseinheit ein. Hierbei wird auf die vorgegebene Zeitspanne auch als eine erste Zeitspanne Bezug genommen.
  • Die Klimaanlagen-Ausrüstung 103 regelt die Klimatisierung innerhalb der mit dem LAN 107 versehenen Organisation.
  • Die Beleuchtungs-Ausrüstung 104 beleuchtet einen Raum in der mit dem LAN-107 versehenen Organisation.
  • Bei der Sicherheits-Ausrüstung 105 handelt es sich um eine Überwachungskamera oder dergleichen in der mit dem LAN 107 versehenen Organisation.
  • 2 ist ein Blockschaubild, das die Funktionen der Erzeugungseinheit für Erkennungsregeln 110 schematisch darstellt.
  • Die Erzeugungseinheit für Erkennungsregeln 110 weist Folgendes auf: eine erste Eingabe-/Ausgabeeinheit 111, eine zweite Eingabe-/Ausgabeeinheit 112, eine Relais-Einheit 113, eine Erzeugungseinheit für Erkennungsregeln 114, eine Speichereinheit 115 für Regeln vor der Vorauswahl, eine Recheneinheit 116 für Datenübertragungsstatistik, eine Recheneinheit 117 für Erkennungsregelstatistik, eine Recheneinheit 118 für Erkennungsregeleffizienz, eine Wähleinheit 119 für Erkennungsregeln, eine Speichereinheit 120 für Regeln nach der Auswahl sowie eine Sicherheitsüberwachungseinheit 121.
  • Die erste Eingabe-/Ausgabeeinheit 111 ist mit dem Internet 106 verbunden und überträgt Daten durch das Internet 106.
  • Die zweite Eingabe-/Ausgabeeinheit 112 ist mit dem LAN 107 verbunden und überträgt Daten durch das LAN 107.
  • Die Relais-Einheit 113 führt der Sicherheitsüberwachungseinheit 121 die von der ersten Eingabe-/Ausgabeeinheit 111 oder der zweiten Eingabe-/Ausgabeeinheit 112 empfangenen Datenpakete zu und leitet die Datenpakete weiter, die von der Sicherheitsüberwachungseinheit 121 als normal bestimmt wurden, so dass die normalen Datenpakete aus der ersten Eingabe-/Ausgabeeinheit 111 oder der zweiten Eingabe-/Ausgabeeinheit 112 ausgegeben werden können.
  • Darüber hinaus führt die Relais-Einheit 113 der Erzeugungseinheit 114 für Erkennungsregeln und der Recheneinheit 116 für Datenübertragungsstatistik über eine vorgegebene Zeitspanne hinweg in Reaktion auf eine Anweisung von einem Betreiber oder dergleichen der Erzeugungseinheit 110 für Erkennungsregeln die von der ersten Eingabe-/Ausgabeeinheit 111 empfangenen Datenpakete zu.
  • Die Erzeugungseinheit 114 für Erkennungsregeln erzeugt Erkennungsregeln basierend auf den von der Relais-Einheit 113 zugeführten Datenpaketen. Die Erzeugungseinheit 114 für Erkennungsregeln speichert die erzeugten Erkennungsregeln in der Speichereinheit 115 für Regeln vor der Auswahl als Erkennungsregeln vor der Auswahl.
  • Die Speichereinheit 115 für Regeln vor der Auswahl speichert die Erkennungsregeln vor der Auswahl.
  • Hierbei handelt es sich bei den Erkennungsregeln vor der Auswahl um sämtliche Erkennungsregel-Kandidaten für eine Auswahl der Erkennungsregeln, die in einer Whitelist enthalten sein sollen, die bei einer auf einer Whitelist basierenden Angriffserkennung verwendet wird.
  • Die Recheneinheit 116 für Datenübertragungsstatistik berechnet aus den von der Relais-Einheit 113 zugeführten Datenpaketen einen statistischen Wert von Datenübertragungen, bei dem es sich um den statistischen Wert von Datenübertragungen für jedes Element eines vorgegebenen Merkmals handelt. Der statistische Wert von Datenübertragungen gibt für jedes Element einen Umfang von Datenpaketen an, die das entsprechende Element enthalten. Als statistischer Wert von Datenübertragungen wird zum Beispiel ein Volumenverhältnis von Datenübertragungen berechnet. Bei dem Volumenverhältnis von Datenübertragungen handelt es sich um das Verhältnis der Anzahl von Datenpaketen, bei denen ein entsprechendes Element involviert ist, zu der Anzahl von Datenpaketen, die von der Relais-Einheit 113 zugeführt werden. Der berechnete statistische Wert von Datenübertragungen wird der Recheneinheit 118 für Erkennungsregeleffizienz zugeführt.
  • Die Recheneinheit 117 für Erkennungsregelstatistik berechnet aus den in der Speichereinheit 115 für Regeln vor der Auswahl gespeicherten Erkennungsregeln vor der Auswahl einen statistischen Wert von Erkennungsregeln, bei dem es sich um einen statistischen Wert von Erkennungsregeln für jedes Element eines vorgegebenen Merkmals handelt. Der statistische Wert von Erkennungsregeln gibt für jedes Element einen Umfang von Erkennungsregeln an, bei denen das Element involviert ist. Zum Beispiel wird eine Erkennungsregelanzahl oder das Erkennungsregelanzahl-Verhältnis als der statistische Wert von Erkennungsregeln berechnet. Bei der Erkennungsregelanzahl handelt es sich um die Anzahl von Erkennungsregeln, bei denen ein entsprechendes Element involviert ist, das in den Erkennungsregeln vor der Auswahl enthalten ist. Bei dem Erkennungsregelanzahl-Verhältnis handelt es sich um das Verhältnis der Anzahl von Erkennungsregeln, bei denen ein entsprechendes Element involviert ist, zu der Anzahl von Erkennungsregeln vor der Auswahl. Der berechnete statistische Wert von Erkennungsregeln wird der Recheneinheit 118 für Erkennungsregeleffizienz zugeführt.
  • Die Recheneinheit 118 für Erkennungsregeleffizienz berechnet aus dem statistischen Wert von Datenübertragungen und dem statistischen Wert von Erkennungsregeln einen Wert der Erkennungsregeleffizienz für jedes Element eines vorgegebenen Merkmals. Hierbei handelt es sich bei dem Wert der Erkennungsregeleffizienz um einen Wert für eine Evaluierung der Datenübertragungsfrequenz der Erkennungsregeln; die Erkennungsregeleffizienz wird so bestimmt, dass sie hoch ist, wenn Datenpakete mit einer hohen Datenübertragungsfrequenz mit einer geringen Erkennungsregelanzahl erkannt werden. Bei dem Wert der Erkennungsregeleffizienz handelt es sich um einen Wert, der durch Dividieren des statistischen Werts von Datenübertragungen durch den statischen Wert von Erkennungsregeln für jedes Element erhalten wird. Insbesondere wird der Wert der Erkennungsregeleffizienz berechnet als: (Volumenverhältnis von Datenübertragungen) : (Erkennungsregelanzahl) oder (Volumenverhältnis von Datenübertragungen) : (Erkennungsregelanzahl-Verhältnis). Die berechneten Werte der Erkennungsregeleffizienz werden der Wähleinheit 119 für Erkennungsregeln zugeführt.
  • Bei der Wähleinheit 119 für Erkennungsregeln handelt es sich um eine Wähleinheit, welche die Erkennungsregeln, die in der Whitelist aufgenommen werden sollen, aus den Erkennungsregeln vor der Auswahl auswählt, die in der Speichereinheit 115 für Regeln vor der Auswahl gespeichert sind. Die Wähleinheit 119 für Erkennungsregeln verwendet die Werte der Erkennungsregeleffizienz, die durch die Recheneinheit 118 für Erkennungsregeleffizienz berechnet werden, um die Erkennungsregeln mit hohen Erkennungsregeleffizienzen aus den in der Speichereinheit 115 für Regeln vor der Auswahl gespeicherten Erkennungsregeln vor der Auswahl als die Erkennungsregeln auszuwählen, die in einer Whitelist zu belassen sind. Die Wähleinheit 119 für Erkennungsregeln speichert dann die ausgewählten Erkennungsregeln in der Speichereinheit 120 für Regeln nach der Auswahl als Erkennungsregeln nach der Auswahl.
  • Die Speichereinheit 120 für Regeln nach der Auswahl speichert Erkennungsregeln nach der Auswahl. Bei den Erkennungsregeln nach der Auswahl handelt es sich um Erkennungsregeln, die in einer Whitelist belassen wurden.
  • Bei der Sicherheitsüberwachungseinheit 121 handelt es sich um eine Überwachungseinheit, die bestimmt, ob ein von der ersten Eingabe-/Ausgabeeinheit 111 oder der zweiten Eingabe-/Ausgabeeinheit 112 empfangenes Datenpaket normal ist oder nicht.
  • Die Sicherheitsüberwachungseinheit 121 verwendet zum Beispiel eine Whitelist, bei der es sich um eine Liste von Erkennungsregeln handelt, die Elemente, welche die Bestimmung einer Normalität ermöglichen, von den Elementen eines Merkmals angibt, die in den Datenpaketen enthalten sind, um eine auf einer Whitelist basierende Angriffserkennung durchzuführen, um zu bestimmen, ob die in die erste Eingabe-/Ausgabeeinheit 111 oder die zweite Eingabe-/Ausgabeeinheit 112 eingegebenen Datenpakete normal sind. Die Sicherheitsüberwachungseinheit 121 verwendet dann ein durch einen maschinellen Lernprozess erlerntes Lernprozess-Modell, um eine auf einem maschinellen Lernprozess basierende Angriffserkennung durchzuführen, um zu bestimmen, ob ein Datenpaket bei den Datenpaketen, die durch die auf einer Whitelist basierende Angriffserkennung nicht als normal bestimmt wurden, normal ist oder nicht.
  • Insbesondere führt die Sicherheitsüberwachungseinheit 121 eine auf einer Whitelist basierende Angriffserkennung in Bezug auf die Datenpakete aus, die von der Relais-Einheit 113 zugeführt wurden, wobei die in der Speichereinheit 120 für Regeln nach der Auswahl gespeicherten Erkennungsregeln nach der Auswahl als eine Whitelist verwendet werden.
  • Wenn ein von der Relais-Einheit 113 zugeführtes Datenpaket nicht unter die Erkennungsregeln fällt, die in der Whitelist enthalten sind, führt die Sicherheitsüberwachungseinheit 121 in Bezug auf das Datenpaket eine auf einem maschinellen Lernprozess basierende Angriffserkennung aus, bei der Merkmalswerte von normalen Datenpaketen aus früheren Datenpaketen vorher erlernt werden und Datenpakete, die von den erlernten Merkmalswerten abweichen, als Angriffe erkannt werden.
  • Bei der auf einer Whitelist basierenden Angriffserkennung und der auf einem maschinellen Lernprozess basierenden Angriffserkennung kann es sich um jene von bekannten Techniken handeln, und somit werden detaillierte Beschreibungen derselben hier weggelassen.
  • 3 ist ein Blockschaubild, das ein Beispiel für eine Hardware-Konfiguration der Erzeugungseinheit 110 für Erkennungsregeln darstellt.
  • Die Erzeugungseinheit 110 für Erkennungsregeln weist eine erste Datenübertragungsschnittstelle (I/F) 130, eine zweite Datenübertragungs-I/F 131, einen Hilfsspeicher 132, einen Hauptspeicher 133 sowie eine CPU 134 auf.
  • Die erste Datenübertragungs-I/F 130 kommuniziert mit dem Internet 106.
  • Die zweite Datenübertragungs-1/F 131 kommuniziert mit dem LAN 107.
  • Der Hilfsspeicher 132 speichert Informationen und Programme, die für die Erzeugungseinheit 110 für Erkennungsregeln notwendig sind. Der Hilfsspeicher 132 speichert zum Beispiel die Programme, die von der CPU 134 ausgeführt werden. Der Hilfsspeicher 132 speichert außerdem die Berechnungsresultate der CPU 134.
  • Der Hauptspeicher 133 bietet einen Arbeitsbereich für die CPU 134. Die CPU 134 liest zum Beispiel ein in dem Hilfsspeicher 132 gespeichertes Programm in den Hauptspeicher 133 aus und führt das Programm aus. Die CPU 134 lädt die von der ersten Datenübertragungs-I/F 130 empfangenen Datenpakete in den Hauptspeicher 133.
  • Die CPU 134 liest ein in dem Hilfsspeicher 132 gespeichertes Programm in den Hauptspeicher 133 aus und führt das Programm aus, um den Prozessablauf von der Erzeugungseinheit 110 für Erkennungsregeln auszuführen. Die CPU 134 führt zum Beispiel eine Berechnung zur Erzeugung von Erkennungsregeln basierend auf den von der ersten Datenübertragungs-I/F 130 in den Hauptspeicher 133 geladenen Datenpaketen durch.
  • Die erste Eingabe-/Ausgabeeinheit 111 kann zum Beispiel durch die erste Datenübertragungs-I/F 130 realisiert werden, und die zweite Eingabe-/Ausgabeeinheit 112 kann durch die zweite Datenübertragungs-I/F 131 realisiert werden.
  • Die Speichereinheit 115 für Regeln vor der Auswahl und die Speichereinheit 120 für Regeln nach der Auswahl können durch den Hilfsspeicher 132 realisiert werden.
  • Die Relais-Einheit 113, die Erzeugungseinheit 114 für Erkennungsregeln, die Recheneinheit 116 für Datenübertragungsstatistik, die Recheneinheit 117 für Erkennungsregelstatistik, die Recheneinheit 118 für Erkennungsregeleffizienz, die Wähleinheit 119 für Erkennungsregeln sowie die Sicherheitsüberwachungseinheit 121 können durch die CPU 134 realisiert werden.
  • Die vorstehend beschriebenen Programme können über ein Netzwerk zur Verfügung gestellt werden oder können aufgezeichnet und auf einem Aufzeichnungsmedium zur Verfügung gestellt werden. Das heißt, derartige Programme können zum Beispiel als Programmprodukte zur Verfügung gestellt werden.
  • 4 ist ein Flussdiagramm, das den Prozessablauf darstellt, der ausgeführt wird, wenn die Erzeugungseinheit 110 für Erkennungsregeln gemäß der ersten Ausführungsform Erkennungsregeln auswählt.
  • Zunächst führt die Relais-Einheit 113 die von der ersten Eingabe-/Ausgabeeinheit 111 empfangenen Datenpakete während einer vorgegebenen Zeitspanne der Erzeugungseinheit 114 für Erkennungsregeln und der Recheneinheit 116 für Datenübertragungsstatistik zu (Schritt S10). Es ist anzumerken, dass angenommen wird, dass die in diesem Stadium empfangenen Datenpakete keine Angriffsdatenpakete enthalten.
  • Die Recheneinheit 116 für Datenübertragungsstatistik berechnet dann einen statistischen Wert von Datenübertragungen für jedes Element eines vorgegebenen Merkmals aus den Datenpaketen, die von der Relais-Einheit 113 zugeführt werden (Schritt S11). Der hier berechnete statistische Wert von Datenübertragungen wird der Recheneinheit 118 für Erkennungsregeleffizienz zugeführt. Wie später beschrieben wird, wird hierbei jeder der verschiedenen Datenübertragungsbefehle des Building-Automation- and Control-Networking-Protokolls (BACnet) dazu verwendet, das Verhältnis der Anzahl von Datenpaketen, die den entsprechenden Befehl enthalten, zu der Anzahl von Datenpaketen, die in einer vorgegebenen Zeitspanne empfangen werden, als einen statistischen Wert von Datenübertragungen zu berechnen.
  • Die Erzeugungseinheit 114 für Erkennungsregeln erzeugt Erkennungsregeln vor der Auswahl, bei denen es sich um Kandidaten dafür handelt, als eine Whitelist übernommen zu werden, auf der Basis der von der Relais-Einheit 113 zugeführten Datenpakete (Schritt S12).
  • 5 ist ein schematisches Schaubild zur Erläuterung der Darstellung des Prozessablaufs, bei dem durch die Erzeugungseinheit 114 für Erkennungsregeln Erkennungsregeln vor der Auswahl erzeugt werden.
  • Hierbei werden BACnet-Datenübertragungspakete als ein Beispiel beschrieben.
  • Die Erzeugungseinheit 114 für Erkennungsregeln gewinnt ein Merkmal aus den von der Relais-Einheit 113 zugeführten Datenpaketen. Bei dem Beispiel von 5 gewinnt die Erzeugungseinheit 114 für Erkennungsregeln die Quelle IP, das Ziel IP, den BACnet-Datenübertragungsbefehl sowie die ID der BACnet-Datenübertragungseinheit als Merkmale aus den BACnet-Datenübertragungspaketen.
  • Es ist anzumerken, dass in der in 5 dargestellten Tabelle das erste Datenpaket in der Spalte „Nr.“ eine Erkennungsregel für einen who-Is-Befehl angibt, bei dem es sich um ein Befehlselement handelt. Bei dem zweiten bis vierten Datenpaket in der Spalte „Nr.“ handelt es sich um Erkennungsregeln für einen i-Am-Befehl, bei dem es sich um ein Befehlselement handelt. Somit ist die Erkennungsregelanzahl für einen who-Is-Befehl gleich eins, und die Erkennungsregelanzahl für einen i-Am-Befehl ist gleich drei. Die Erkennungsregeln vor der Auswahl werden auf der Basis der Elemente vorgegebener Merkmale von den auf diese Weise gewonnenen Merkmalen erzeugt. Die erzeugten Erkennungsregeln vor der Auswahl werden in der Speichereinheit 115 für Regeln vor der Auswahl gespeichert.
  • Zu 4 zurückkehrend berechnet die Recheneinheit 117 für Erkennungsregelstatistik aus den in der Speichereinheit 115 für Regeln vor der Auswahl gespeicherten Erkennungsregeln vor der Auswahl statistische Werte von Erkennungsregeln für die jeweiligen Elemente der vorgegebenen Merkmale (Schritt S13). Die berechneten statistischen Werte von Erkennungsregeln werden der Recheneinheit 118 für Erkennungsregeleffizienz zugeführt.
  • Die Recheneinheit 118 für Erkennungsregeleffizienz verwendet die von der Recheneinheit 116 für Datenübertragungsstatistik zugeführten statistischen Werte von Datenübertragungen für die jeweiligen Elemente und die von der Recheneinheit 117 für Erkennungsregelstatistik zugeführten statistischen Werte von Erkennungsregeln für die jeweiligen Elemente, um Werte für die Erkennungsregeleffizienz für die jeweiligen Elemente der vorgegebenen Merkmale zu berechnen (Schritt S14). Die berechneten Werte für die Erkennungsregeleffizienz werden der Wähleinheit 119 für Erkennungsregeln zugeführt.
  • Die Wähleinheit 119 für Erkennungsregeln spezifiziert einen Wert der Erkennungsregeleffizienz, der bei den von der Recheneinheit 118 für Erkennungsregeleffizienz zugeführten Werten der Erkennungsregeleffizienz für die jeweiligen Elemente noch nicht spezifiziert wurde (Schritt S15).
  • Die Wähleinheit 119 für Erkennungsregeln bestimmt dann, ob der spezifizierte Wert der Erkennungsregeleffizienz gleich einem Schwellenwert oder höher als dieser ist oder nicht (Schritt S16). Wenn der spezifizierte Wert der Erkennungsregeleffizienz gleich dem Schwellenwert oder höher als dieser ist (JA in Schritt S16), rückt der Prozessablauf zu Schritt S17 vor, und wenn die spezifizierte Erkennungsregeleffizienz niedriger als der Schwellenwert ist (NEIN in Schritt S16), rückt der Prozessablauf zu Schritt S18 vor.
  • In Schritt S17 wird die Erkennungsregel, bei der ein Element involviert ist, das einen Wert der Erkennungsregeleffizienz aufweist, der gleich dem Schwellenwert oder höher als dieser ist, als eine Erkennungsregel ausgewählt, die in der Whitelist zu belassen ist. Der Prozessablauf rückt dann zu Schritt S18 vor.
  • In Schritt S18 wird bestimmt, ob der Wert der Erkennungsregeleffizienz, der in Schritt S15 nicht spezifiziert wurde, in den Erkennungsregeleffizienzen für die jeweiligen Elemente der vorgegebenen Merkmale verbleibt oder nicht. Wenn es einen nicht spezifizierten Wert der Erkennungsregeleffizienz gibt (JA in Schritt S18), kehrt der Prozessablauf zu Schritt S15 zurück, und wenn es keinen nicht spezifizierten Wert der Erkennungsregeleffizienz gibt (NEIN in Schritt S18), endet der Prozessablauf.
  • 6 ist ein schematisches Schaubild zur Erläuterung eines beispielhaften Prozessablaufs, der ausgeführt wird, wenn die Wähleinheit 119 für Erkennungsregeln Erkennungsregeln auswählt.
  • Bei dem beispielhaften Prozessablauf werden BACnet-Protokolle aus den Datenpaket-Dump-Daten der Datenpakete gewonnen, die von der Erzeugungseinheit 110 für Erkennungsregeln empfangen wurden, und der Prozessablauf wird auf der Basis von BACnet-Datenübertragungspaketen ausgeführt.
  • Durch die BACnet-Datenübertragung laufen verschiedene Befehle. Bei diesem Beispiel handelt es sich bei den BACnet-Befehlen um die Elemente eines vorgegebenen Merkmals.
    Mit den in einer vorgegebenen Zeitspanne von der Erzeugungseinheit 110 für Erkennungsregeln empfangenen Datenpaketen werden Erkennungsregeln vor der Auswahl erzeugt, und die Erkennungsregelanzahl oder die Anzahl von Erkennungsregeln, bei denen entsprechende Befehle involviert sind, und das Erkennungsregelanzahl-Verhältnis oder das Verhältnis der Erkennungsregelanzahl zu der Anzahl sämtlicher Erkennungsregeln werden für jeden Befehl berechnet. Hierbei handelt es sich bei dem Erkennungsregelanzahl-Verhältnis um den statistischen Wert von Erkennungsregeln.
  • Dann wird das Volumenverhältnis von Datenübertragungen oder das Verhältnis des Datenübertragungsvolumens für jeden Befehl als der statistische Wert von Datenübertragungen für die Datenpakete berechnet.
  • Das Volumenverhältnis von Datenübertragungen wird durch das Erkennungsregelanzahl-Verhältnis dividiert, um den Wert der Erkennungsregeleffizienz zu berechnen. Wenn der Wert der Erkennungsregeleffizienz, der wie vorstehend berechnet wurde, gleich einem Schwellenwert oder höher als dieser ist (hier ist der Schwellenwert gleich 1,00), wählt die Wähleinheit 119 für Erkennungsregeln die Erkennungsregel, bei welcher der entsprechende Befehl involviert ist, als eine Erkennungsregel aus, die in der Whitelist zu belassen ist.
  • Gemäß der ersten Ausführungsform, wie vorstehend beschrieben, können Erkennungsregeln, die eine hohe Effizienz aufweisen, in einer Whitelist aufgenommen sein, da die Erkennungsregeln mit einem Wert der Erkennungsregeleffizienz, der gleich einem Schwellenwert oder höher als dieser ist, in einer Whitelist belassen werden. Somit können die Datenpakete, die nicht unter die Erkennungsregeln in der Whitelist fallen, für einen maschinellen Lernprozess verwendet werden, so dass die für eine Angriffserkennung erforderliche Gesamtprozesszeit niedrig gehalten werden kann.
  • Da der Wert der Erkennungsregeleffizienz für jedes Element berechnet wird, kann der Speicherbereich für ein Speichern des Volumenverhältnisses von Datenübertragungen etc. reduziert werden.
  • Die Erzeugungseinheit 110 für Erkennungsregeln gemäß der ersten Ausführungsform ist nicht nur bei einem Building-Automation(BA)-System, das eine BACnet-Datenübertragung durchführt, wie vorstehend beschrieben, sondern auch bei einem Steuersystem im Allgemeinen einsetzbar, bei dem festgelegte Datenpakete übertragen werden, wie beispielsweise bei einem Anlagensteuerungssystem. Alternativ können die Erkennungsregeln durch eine andere Einheit als die Erzeugungseinheit 110 für Erkennungsregeln erzeugt werden. Die Einheit, welche die Erkennungsregeln erzeugt, kann in dem Netzwerksystem 100 enthalten sein oder nicht.
  • Bei der vorstehend beschriebenen ersten Ausführungsform wird der Wert der Erkennungsregeleffizienz für jedes Element berechnet, alternativ kann jedoch die Erkennungsregeleffizienz für jede Erkennungsregel berechnet werden.
  • Bei dem Volumenverhältnis von Datenübertragungen kann es sich zum Beispiel um das Verhältnis der Anzahl von Datenpaketen, bei denen eine entsprechende Erkennungsregel involviert ist, zu der Anzahl von Datenpaketen handeln, die von der Relais-Einheit 113 zugeführt werden. Bei der Erkennungsregelanzahl kann es sich um die Anzahl von entsprechenden Erkennungsregeln bei den Erkennungsregeln vor der Auswahl handeln. Bei dem Erkennungsregelanzahl-Verhältnis kann es sich um das Verhältnis der Anzahl von entsprechenden Erkennungsregeln zu der Anzahl von Erkennungsregeln vor der Auswahl handeln.
  • Zweite Ausführungsform
  • Wie in 1 dargestellt, weist ein Netzwerksystem 200, das eine Erzeugungseinheit 210 für Erkennungsregeln gemäß einer zweiten Ausführungsform aufweist, einen PC 101, einen Router 102, eine Erzeugungseinheit 210 für Erkennungsregeln, eine Klimaanlagen-Ausrüstung 103, eine Beleuchtungs-Ausrüstung 104 sowie eine Sicherheits-Ausrüstung 105 auf.
  • Der PC 101, der Router 102, die Klimaanlagen-Ausrüstung 103, die Beleuchtungs-Ausrüstung 104 und die Sicherheits-Ausrüstung 105 des Netzwerksystems 200 gemäß der zweiten Ausführungsform sind die gleichen wie der PC 101, der Router 102, die Klimaanlagen-Ausrüstung 103, die Beleuchtungs-Ausrüstung 104 beziehungsweise die Sicherheits-Ausrüstung 105 des Netzwerksystems 100 gemäß der ersten Ausführungsform.
  • Wie in 2 dargestellt, weist die Erzeugungseinheit 210 für Erkennungsregeln gemäß der zweiten Ausführungsform eine erste Eingabe-/Ausgabeeinheit 111, eine zweite Eingabe-/Ausgabeeinheit 112, eine Relais-Einheit 113, eine Erzeugungseinheit 114 für Erkennungsregeln, eine Speichereinheit 115 für Regeln vor der Auswahl, eine Recheneinheit 116 für Datenübertragungsstatistik, eine Recheneinheit 117 für Erkennungsregelstatistik, eine Recheneinheit 118 für Erkennungsregeleffizienz, eine Wähleinheit 219 für Erkennungsregeln, eine Speichereinheit 120 für Regeln nach der Auswahl sowie eine Sicherheitsüberwachungseinheit 121 auf.
  • Die erste Eingabe-/Ausgabeeinheit 111, die zweite Eingabe-/Ausgabeeinheit 112, die Relais-Einheit 113, die Erzeugungseinheit 114 für Erkennungsregeln, die Speichereinheit 115 für Regeln vor der Auswahl, die Recheneinheit 116 für Datenübertragungsstatistik, die Recheneinheit 117 für Erkennungsregelstatistik, die Recheneinheit 118 für Erkennungsregeleffizienz, die Speichereinheit 120 für Regeln nach der Auswahl sowie die Sicherheitsüberwachungseinheit 121 der Erzeugungseinheit 210 für Erkennungsregeln gemäß der zweiten Ausführungsform sind die gleichen wie die erste Eingabe-/Ausgabeeinheit 111, die zweite Eingabe-/Ausgabeeinheit 112, die Relais-Einheit 113, die Erzeugungseinheit 114 für Erkennungsregeln, die Speichereinheit 115 für Regeln vor der Auswahl, die Recheneinheit 116 für Datenübertragungsstatistik, die Recheneinheit 117 für Erkennungsregelstatistik, die Recheneinheit 118 für Erkennungsregeleffizienz, die Speichereinheit 120 für Regeln nach der Auswahl beziehungsweise die Sicherheitsüberwachungseinheit 121 der Erzeugungseinheit 110 für Erkennungsregeln gemäß der ersten Ausführungsform.
  • Die Wähleinheit 219 für Erkennungsregeln wählt Erkennungsregeln, die einen hohen Wert der Erkennungsregeleffizienz aufweisen, als Erkennungsregeln, die in einer Whitelist zu belassen sind, aus den in der Speichereinheit 115 für Regeln vor der Auswahl gespeicherten Erkennungsregeln vor der Auswahl aus. Bei der ersten Ausführungsform wählt die Wähleinheit 119 für Erkennungsregeln Erkennungsregeln, die einen hohen Wert der Erkennungsregeleffizienz aufweisen, durch Vergleich mit einem Schwellenwert aus, bei der zweiten Ausführungsform ordnet die Wähleinheit 219 für Erkennungsregeln jedoch die Elemente eines vorgegebenen Merkmals der Erkennungsregeln vor der Auswahl in absteigender Reihenfolge der Erkennungsregeleffizienz ein. Die Wähleinheit 219 für Erkennungsregeln wählt dann die Erkennungsregeln, die in der Whitelist zu belassen sind, aus den Erkennungsregeln vor der Auswahl in absteigender Reihenfolge der Einordnung des Elements aus.
  • Die Wähleinheit 219 für Erkennungsregeln speichert dann die ausgewählten Erkennungsregeln in der Speichereinheit 120 für Regeln nach der Auswahl als Erkennungsregeln nach der Auswahl.
  • 7 ist ein Flussdiagramm, das den Prozessablauf darstellt, der ausgeführt wird, wenn die Erzeugungseinheit 210 für Erkennungsregeln gemäß der zweiten Ausführungsform Erkennungsregeln auswählt.
  • Von den Schritten, die in dem in 7 dargestellten Flussdiagramm enthalten sind, sind die Schritte, welche die gleichen wie jene in 4 sind, mit den gleichen Bezugszeichen wie jenen in 4 bezeichnet, und detaillierte Beschreibungen derselben werden weggelassen.
  • Der Prozessablauf mit den Schritten S10 bis S14 in 7 ist der gleiche wie der Prozessablauf mit den Schritten S10 bis S14 in 4. In 7 rückt der Prozessablauf jedoch nach dem Prozessablauf von Schritt S14 zu Schritt S25 vor.
  • In Schritt S25 ordnet die Wähleinheit 219 für Erkennungsregeln die von der Recheneinheit 118 für Erkennungsregeleffizienz zugeführten Elemente in absteigender Reihenfolge des Werts der Erkennungsregeleffizienz ein.
  • Als nächstes berechnet die Wähleinheit 219 für Erkennungsregeln durch ein vorgegebenes Verfahren einen Schwellenwert für die Erkennungsregelanzahl, die für eine Verarbeitung durch die auf einer Whitelist basierende Angriffserkennung geeignet ist, und wählt die Erkennungsregeln, die in der Whitelist zu belassen sind, aus den Erkennungsregeln vor der Auswahl, bei denen hoch eingeordnete Elemente involviert sind, in absteigender Reihenfolge der Einordnung aus (Schritt S26). Es ist anzumerken, dass der Schwellenwert vorher bestimmt werden kann.
  • 8 ist ein schematisches Schaubild zur Erläuterung eines beispielhaften Prozessablaufs, der ausgeführt wird, wenn die Wähleinheit 119 für Erkennungsregeln Erkennungsregeln auswählt.
  • Bei dem beispielhaften Prozessablauf werden BACnet-Protokolle aus Datenpaket-Dump-Daten der Datenpakete gewonnen, die von der Erzeugungseinheit 210 für Erkennungsregeln empfangen werden, und der Prozessablauf wird auf der Basis von BACnet-Datenübertragungspaketen ausgeführt.
  • Die Erkennungsregeln vor der Auswahl werden mit den in einer vorgegebenen Zeitspanne von der Erzeugungseinheit 210 für Erkennungsregeln empfangenen Datenpaketen erzeugt, und die Erkennungsregelanzahl oder die Anzahl von Erkennungsregeln, bei denen entsprechende Befehle involviert sind, sowie das Erkennungsregelanzahl-Verhältnis oder das Verhältnis der Erkennungsregelanzahl zu der Anzahl sämtlicher Erkennungsregeln werden für jeden Befehl berechnet. Hierbei handelt es sich bei dem Erkennungsregelanzahl-Verhältnis um den statistischen Wert von Erkennungsregeln.
  • Dann wird das Volumenverhältnis von Datenübertragungen oder das Verhältnis des Datenübertragungsvolumens für jeden Befehl als der statistische Wert von Datenübertragungen aus den Datenpaketen berechnet.
  • Das Volumenverhältnis von Datenübertragungen wird durch das Erkennungsregelanzahl-Verhältnis dividiert, um den Wert der Erkennungsregeleffizienz zu berechnen.
  • Bei dem in 8 dargestellten Beispiel ordnet die Wähleinheit 219 für Erkennungsregeln die Befehle in absteigender Reihenfolge des Werts der Erkennungsregeleffizienz ein, der durch die Recheneinheit 118 für Erkennungsregeleffizienz berechnet wird.
  • Die Wähleinheit 219 für Erkennungsregeln wählt Erkennungsregeln vor der Auswahl, bei denen die Befehle involviert sind, in absteigender Reihenfolge der Einordnung der Befehle aus.
  • Die Wähleinheit 219 für Erkennungsregeln wählt eine Anzahl von Erkennungsregeln aus, die einem Schwellenwert genügt (der in diesem Fall gleich 4500 ist). Bei dem in 8 dargestellten Beispiel erreicht die Anzahl von ausgewählten Erkennungsregeln „3160“, wenn die Detektionsregeln ausgewählt werden, bei denen der an neunter Stelle eingeordnete Befehl „writePropertyMultiple(REQ)“ involviert ist. Wenn die Erkennungsregeln ausgewählt werden, bei denen der an zehnter Stelle eingeordnete Befehl „readRange(ACK)“ involviert ist, erreicht die Anzahl von ausgewählten Erkennungsregeln in diesem Fall „8160“ und überschreitet den Schwellenwert; somit wählt die Wähleinheit 219 für Erkennungsregeln die Erkennungsregeln aus, bei denen der nachfolgende Befehl „writePropertyMultiple(REQ)“ involviert ist, der an elfter Stelle eingeordnet ist.
  • Wenn hierbei das Auswählen von Erkennungsregeln, bei denen ein Element mit einer bestimmten Einordnung involviert ist, bewirkt, dass der Schwellenwert überschritten wird, senkt die Wähleinheit 219 für Erkennungsregeln die Einordnung ab, so dass die Anzahl von ausgewählten Erkennungsregeln innerhalb des Schwellenwerts maximiert werden kann. Die zweite Ausführungsform ist jedoch nicht auf ein derartiges Beispiel beschränkt. Wenn zum Beispiel das Auswählen von Erkennungsregeln, bei denen ein Element einer bestimmten Einordnung involviert ist, bewirkt, dass der Schwellenwert überschritten wird, kann die Wähleinheit 219 für Erkennungsregeln die Auswahl von Erkennungsregeln bei der vorherigen Einordnung beenden.
  • Gemäß der zweiten Ausführungsform, wie vorstehend beschrieben, kann die Anzahl von Erkennungsregeln, die in einer Whitelist belassen werden, niedrig gehalten werden, da die Erkennungsregeln bis zu einer Anzahl nahe bei dem vorgegebenen Schwellenwert ausgewählt werden.
  • Es ist anzumerken, dass ein Wert der Erkennungsregeleffizienz bei der zweiten Ausführungsform wie bei der ersten Ausführungsform für jede Erkennungsregel berechnet werden kann.
  • Dritte Ausführungsform
  • Wie in 1 dargestellt, weist ein Netzwerksystem 300, das eine Erzeugungseinheit 310 für Erkennungsregeln gemäß einer dritten Ausführungsform aufweist, einen PC 101, einen Router 102, eine Erzeugungseinheit 310 für Erkennungsregeln, eine Klimaanalgen-Ausrüstung 103, eine Beleuchtungs-Ausrüstung 104 sowie eine Sicherheits-Ausrüstung 105 auf.
  • Der PC 101, der Router 102, die Klimaanlagen-Ausrüstung 103, die Beleuchtungs-Ausrüstung 104 sowie die Sicherheits-Ausrüstung 105 des Netzwerksystems 300 gemäß der dritten Ausführungsform sind die gleichen wie der PC 101, der Router 102, die Klimaanlagen-Ausrüstung 103, die Beleuchtungs-Ausrüstung 104 beziehungsweise die Sicherheits-Ausrüstung 105 des Netzwerksystems 100 gemäß der ersten Ausführungsform.
  • 9 ist ein Blockschaubild, das die Funktionen der Erzeugungseinheit 310 für Erkennungsregeln gemäß der dritten Ausführungsform schematisch darstellt.
  • Die Erzeugungseinheit 310 für Erkennungsregeln weist Folgendes auf: eine erste Eingabe-/Ausgabeeinheit 111, eine zweite Eingabe-/Ausgabeeinheit 112, eine Relais-Einheit 313, eine Erzeugungseinheit 314 für Erkennungsregeln, eine Speichereinheit 315 für Regeln vor der Auswahl, eine Recheneinheit 316 für Datenübertragungsstatistik, eine Recheneinheit 317 für Erkennungsregelstatistik, eine Recheneinheit 318 für Erkennungsregeleffizienz, eine Wähleinheit 319 für Erkennungsregeln, eine Speichereinheit 320 für Regeln nach der Auswahl, eine Sicherheitsüberwachungseinheit 121, eine Hinzufügungseinheit 322 für Erkennungsregeln sowie eine Speichereinheit 323 für Datenübertragungs-Statistiken.
  • Die erste Eingabe-/Ausgabeeinheit 111, die zweite Eingabe-/Ausgabeeinheit 112 sowie die Sicherheitsüberwachungseinheit 121 der Erzeugungseinheit 310 für Erkennungsregeln gemäß der dritten Ausführungsform sind die gleichen wie die erste Eingabe-/Ausgabeeinheit 111, die zweite Eingabe-/Ausgabeeinheit 112 beziehungsweise die Sicherheitsüberwachungseinheit 121 der Erzeugungseinheit 110 für Erkennungsregeln gemäß der ersten Ausführungsform.
  • Die Relais-Einheit 313 führt den gleichen Prozessablauf wie jenen der ersten Ausführungsform durch und führt die von der ersten Eingabe-/Ausgabeeinheit 111 empfangenen Datenpakte nach der Auswahl der in der Whitelist zu belassenden Erkennungsregeln der Erzeugungseinheit 314 für Erkennungsregeln und der Recheneinheit 316 für Datenübertragungsstatistik während einer vorgegebenen Zeitspanne zum Beispiel in Reaktion auf eine Anweisung von einer Bedienperson oder dergleichen der Erzeugungseinheit 310 für Erkennungsregeln zu. Hierbei wird auf die vorgegebene Zeitspanne auch als eine zweite Zeitspanne Bezug genommen.
  • Die Erzeugungseinheit 314 für Erkennungsregeln führt den gleichen Prozessablauf wie jenen der ersten Ausführungsform durch und erzeugt Erkennungsregeln aus den Datenpaketen, die von der Relais-Einheit 313 zugeführt werden, nachdem die in der Whitelist zu belassenden Erkennungsregeln ausgewählt wurden. Wenn die in der Whitelist zu belassenden Erkennungsregeln ausgewählt sind, führt die Erzeugungseinheit 314 für Erkennungsregeln der Hinzufügungseinheit 322 für Erkennungsregeln die erzeugten Erkennungsregeln zu.
  • Die Hinzufügungseinheit 322 für Erkennungsregeln fügt die von der Erzeugungseinheit 314 für Erkennungsregeln zugeführten Erkennungsregeln zu der Speichereinheit 315 für Regeln vor der Auswahl hinzu. Die Hinzufügungseinheit 322 für Erkennungsregeln speichert die von der Erzeugungseinheit 314 für Erkennungsregeln zugeführten Erkennungsregeln in der Speichereinheit 315 für Regeln vor der Auswahl als Erkennungsregeln vor der Auswahl ohne eine Überlappung mit den Erkennungsregeln vor der Auswahl, die bereits in der Speichereinheit 315 für Regeln vor der Auswahl gespeichert sind. Hierbei wird auf die Erkennungsregeln vor der Auswahl nach der Hinzufügung der Erkennungsregeln durch die Hinzufügungseinheit 322 für Erkennungsregeln auch als zusätzliche Erkennungsregeln vor der Auswahl Bezug genommen.
  • Die Speichereinheit 315 für Regeln vor der Auswahl speichert die Erkennungsregeln vor der Auswahl oder die zusätzlichen Erkennungsregeln vor der Auswahl.
  • Bevor die in der Whitelist zu belassenden Erkennungsregeln ausgewählt werden, berechnet die Recheneinheit 316 für Datenübertragungsstatistik aus den von der Relais-Einheit 313 zugeführten Datenpaketen statistische Werte von Datenübertragungen, bei denen es sich um statistische Werte für die Datenübertragung der jeweiligen Elemente eines vorgegebenen Merkmals handelt, in der gleichen Weise wie bei der ersten Ausführungsform. Die Recheneinheit 316 für Datenübertragungsstatistik führt der Recheneinheit 318 für Erkennungsregeleffizienz die berechneten statistischen Werte von Datenübertragungen zu, wobei sie in der Speichereinheit 323 für Datenübertragungs-Statistiken gespeichert werden.
  • Nach der Auswahl der in der Whitelist zu belassenden Erkennungsregeln berechnet die Recheneinheit 316 für Datenübertragungsstatistik aus den von der Relais-Einheit 313 zugeführten Datenpaketen die statistischen Werte von Datenübertragungen, bei denen es sich um statistische Werte für die Datenübertragung der jeweiligen Elemente eines vorgegebenen Merkmals handelt, und fügt die berechneten statistischen Werte von Datenübertragungen zu den in der Speichereinheit 323 für Datenübertragungs-Statistiken gespeicherten statistischen Werte von Datenübertragungen hinzu. Die Recheneinheit 316 für Datenübertragungsstatistik führt die kombinierten statistischen Werte von Datenübertragungen der Recheneinheit 318 für Erkennungsregeleffizienz zu und speichert die berechneten statistischen Werte von Datenübertragungen in der Speichereinheit 323 für Datenübertragungs-Statistiken.
  • Die Recheneinheit 317 für Erkennungsregelstatistik führt den gleichen Prozessablauf wie jenen der ersten Ausführungsform durch und berechnet nach einer Auswahl der in der Whitelist zu belassenden Erkennungsregeln statistische Werte von Erkennungsregeln, bei denen es sich um statistische Werte von Erkennungsregeln für die jeweiligen Elemente eines vorgegebenen Merkmals handelt, aus den in der Speichereinheit 315 für Regeln vor der Auswahl gespeicherten zusätzlichen Erkennungsregeln vor der Auswahl. Hierbei wird auf die berechneten statistischen Werte von Erkennungsregeln auch als aktualisierte statistische Werte von Erkennungsregeln Bezug genommen.
  • Die Recheneinheit 318 für Erkennungsregeleffizienz führt den gleichen Prozessablauf wie jenen der ersten Ausführungsform durch und berechnet nach einer Auswahl der in der Whitelist zu belassenden Erkennungsregeln aktualisierte Werte der Erkennungsregeleffizienz, bei denen es sich um die Erkennungsregeleffizienzen der jeweiligen Elemente eines vorgegebenen Merkmals handelt, aus den kombinierten statistischen Werten von Datenübertragungen und den aktualisierten statistischen Werten von Erkennungsregeln. Die berechneten aktualisierten Werte der Erkennungsregeleffizienz werden der Wähleinheit 319 für Erkennungsregeln zugeführt.
  • Die Wähleinheit 319 für Erkennungsregeln führt den gleichen Prozessablauf wie jenen der ersten oder der zweiten Ausführungsform durch und wählt nach einer Auswahl der in der Whitelist zu belassenden Erkennungsregeln Erkennungsregeln mit hohen aktualisierten Werten der Erkennungsregeleffizienz als die in der Whitelist zu belassenden Erkennungsregeln aus den zusätzlichen Erkennungsregeln vor der Auswahl aus, die in der Speichereinheit 315 für Regeln vor der Auswahl gespeichert sind. Bei dem Auswahlverfahren kann es sich um das gleiche wie jenes bei der ersten oder der zweiten Ausführungsform handeln. Die Wähleinheit 319 für Erkennungsregeln speichert dann die ausgewählten Erkennungsregeln als Erkennungsregeln nach der Auswahl in der Speichereinheit 320 für Regeln nach der Auswahl. Auf die hier gespeicherten Erkennungsregeln nach der Auswahl kann auch als aktualisierte Erkennungsregeln nach der Auswahl Bezug genommen werden.
  • Anschließend führt die Sicherheitsüberwachungseinheit 121 eine auf einer Whitelist basierende Angriffserkennung aus, indem die aktualisierten Erkennungsregeln nach der Auswahl, die in der Speichereinheit 320 für Regeln nach der Auswahl gespeichert sind, als eine Whitelist in Bezug auf die von der Relais-Einheit 113 zugeführten Datenpakete verwendet wird.
  • Es ist anzumerken, dass die Speichereinheit 232 für Datenübertragungs-Statistiken durch den in 3 dargestellten Hilfsspeicher 132 realisiert werden kann.
  • Die Hinzufügungseinheit 322 für Erkennungsregeln kann durch die in 3 dargestellte CPU 134 realisiert werden.
  • 10 ist ein Flussdiagramm, das den Prozessablauf darstellt, der ausgeführt wird, wenn die Erzeugungseinheit 310 für Erkennungsregeln gemäß der dritten Ausführungsform ausgewählte Erkennungsregeln aktualisiert.
  • Zunächst führt die Relais-Einheit 313 die von der ersten Eingabe-/Ausgabeeinheit 111 während einer vorgegebenen Zeitspanne empfangenen Datenpakete der Erzeugungseinheit 314 für Erkennungsregeln und der Recheneinheit 316 für Datenübertragungsstatistik zu (Schritt S30).
  • Die Recheneinheit 316 für Datenübertragungsstatistik berechnet dann die statistischen Werte von Datenübertragungen für die jeweiligen Elemente eines vorgegebenen Merkmals aus den von der Relais-Einheit 313 zugeführten Datenpaketen und fügt die berechneten statistischen Werte von Datenübertragungen zu den in der Speichereinheit 323 für Datenübertragungs-Statistiken gespeicherten statistischen Werte von Datenübertragungen hinzu (Schritt S31). Die kombinierten statistischen Werte von Datenübertragungen, die hier kombiniert wurden, werden der Recheneinheit 318 für Erkennungsregeleffizienz zugeführt und in der Speichereinheit 323 für Datenübertragungs-Statistiken gespeichert.
  • Die Erzeugungseinheit 314 für Erkennungsregeln erzeugt Erkennungsregeln auf der Basis der von der Relais-Einheit 313 zugeführten Datenpakete (Schritt S32). Die erzeugten Erkennungsregeln werden der Hinzufügungseinheit 322 für Erkennungsregeln zugeführt.
  • Die Hinzufügungseinheit 322 für Erkennungsregeln fügt die von der Erzeugungseinheit 314 für Erkennungsregeln zugeführten Erkennungsregeln der Speichereinheit 315 für Regeln vor der Auswahl so zu, dass sie nicht mit den Erkennungsregeln vor der Auswahl überlappen, die bereits in der Speichereinheit 315 für Regeln vor der Auswahl gespeichert sind (Schritt S33).
  • Die Recheneinheit 317 für Erkennungsregelstatistik berechnet aus den zusätzlichen Erkennungsregeln vor der Auswahl, die in der Speichereinheit 315 für Regeln vor der Auswahl gespeichert sind, statistische Werte von Erkennungsregeln für die jeweiligen Elemente eines vorgegebenen Merkmals als aktualisierte statistische Werte von Erkennungsregeln (Schritt S34). Die berechneten aktualisierten statistischen Werte von Erkennungsregeln werden der Recheneinheit 318 für Erkennungsregeleffizienz zugeführt.
  • Die Recheneinheit 318 für Erkennungsregeleffizienz verwendet die kombinierten statistischen Werte von Datenübertragungen, die von der Recheneinheit 316 für Datenübertragungsstatistik zugeführt werden, und die aktualisierten statistischen Werte von Erkennungsregeln, die von der Recheneinheit 317 für Erkennungsregelstatistik zugeführt werden, um die aktualisierten Werte der Erkennungsregeleffizienz zu berechnen, bei denen es sich um Erkennungsregeleffizienzen für die jeweiligen Elemente eines vorgegebenen Merkmals handelt (Schritt S35). Die berechneten aktualisierten Werte der Erkennungsregeleffizienz werden der Wähleinheit 319 für Erkennungsregeln zugeführt.
  • Die Wähleinheit 319 für Erkennungsregeln verwendet die aktualisierten Werte der Erkennungsregeleffizienz, die von der Recheneinheit 318 für Erkennungsregeleffizienz zugeführt werden, um aus den zusätzlichen Erkennungsregeln vor der Auswahl, die in der Speichereinheit 315 für Regeln vor der Auswahl gespeichert sind, die in der Whitelist zu belassenden Erkennungsregeln als aktualisierte Erkennungsregeln nach der Auswahl auszuwählen (Schritt S36). Bei diesem Auswahlverfahren können die aktualisierten Werte der Erkennungsregeleffizienz wie bei der ersten Ausführungsform mit einem Schwellenwert verglichen werden, und die Erkennungsregeln können wie bei der zweiten Ausführungsform in absteigender Reihenfolge von aktualisierten Erkennungsregeleffizienzen ausgewählt werden.
  • 11 ist ein schematisches Schaubild zur Erläuterung eines beispielhaften Prozessablaufs, der ausgeführt wird, wenn die Wähleinheit 319 für Erkennungsregeln die Erkennungsregeln nach der Auswahl aktualisiert.
  • Bei dem beispielhaften Prozessablauf werden BACnet-Protokolle aus Datenpaket-Dump-Daten der von der Erzeugungseinheit 310 für Erkennungsregeln empfangenen Datenpakete gewonnen, und der Prozessablauf wird auf der Basis von BACnet-Datenübertragungspaketen ausgeführt.
  • Die Erkennungsregeln, die aus den von der Erzeugungseinheit 310 für Erkennungsregeln in einer vorgegebenen Zeitspanne empfangenen Datenpaketen erzeugt werden, werden zu den Erkennungsregeln vor der Auswahl hinzugefügt, und die Erkennungsregelanzahl oder die Anzahl von Erkennungsregeln, bei denen entsprechende Befehle involviert sind, und das Erkennungsregelanzahl-Verhältnis oder das Verhältnis der Erkennungsregelanzahl zu der Anzahl sämtlicher Erkennungsregeln werden für jeden Befehl berechnet. Hierbei handelt es sich bei dem Erkennungsregelanzahl-Verhältnis um einen aktualisierten statistischen Wert von Erkennungsregeln.
  • Dann wird das Volumenverhältnis von Datenübertragungen, bei dem es sich um das Verhältnis des Datenübertragungsvolumens für jeden Befehl handelt, als ein statistischer Wert von Datenübertragungen aus den Datenpaketen berechnet und zu dem entsprechenden, bereits gespeicherten statistischen Wert von Datenübertragungen hinzugefügt.
  • Das kombinierte Volumenverhältnis von Datenübertragungen wird durch das aktualisierte Erkennungsregelanzahl-Verhältnis dividiert, um den aktualisierten Wert der Erkennungsregeleffizienz zu berechnen.
  • Die Wähleinheit 319 für Erkennungsregeln wählt die zusätzlichen Erkennungsregeln vor der Auswahl aus, bei denen Befehle mit hohen aktualisierten Werten der Erkennungsregeleffizienz involviert sind.
  • Wie vorstehend beschrieben, kann gemäß der dritten Ausführungsform, auch nachdem eine Erkennungsregel einmal ausgewählt wurde, eine geeignete Erkennungsregel erneut ausgewählt werden, indem ein neues Datenpaket hinzugefügt wird. Daher kann die Genauigkeit der Whitelist verbessert werden.
  • Es ist anzumerken, dass der aktualisierte Wert der Erkennungsregeleffizienz bei der dritten Ausführungsform wie bei der ersten Ausführungsform für jede Erkennungsregel berechnet werden kann.
  • Bezugszeichenliste
    • 100, 200, 300
    Netzwerksystem
    101
    PC
    102
    Router
    103
    Klimaanlagen-Ausrüstung
    104
    Beleuchtungs-Ausrüstung
    105
    Sicherheits-Ausrüstung;
    106
    Internet
    107
    LAN
    110, 210, 310
    Erzeugungseinheit für Erkennungsregeln
    111
    erste Eingabe-/Ausgabeeinheit
    112
    zweite Eingabe-/Ausgabeeinheit
    113, 313
    Relais-Einheit
    114, 314
    Erzeugungseinheit für Erkennungsregeln
    115, 315
    Speichereinheit für Regeln vor der Auswahl
    116, 316
    Recheneinheit für Datenübertragungsstatistik
    117, 317
    Recheneinheit für Erkennungsregelstatistik
    118, 318
    Recheneinheit für Erkennungsregeleffizienz
    119, 219, 319
    Wähleinheit für Erkennungsregeln
    120, 320
    Speichereinheit für Regeln nach der Auswahl
    121
    Sicherheitsüberwachungseinheit
    322
    Hinzufügungseinheit für Erkennungsregeln;
    323
    Speichereinheit für Datenübertragungs-Statistiken
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2001034553 A [0003]

Claims (12)

  1. Relais-Einheit, die Folgendes aufweist: - eine erste Eingabe-/Ausgabeeinheit, die mit einem ersten Netzwerk verbunden ist, - eine zweite Eingabe-/Ausgabeeinheit, die mit einem zweiten Netzwerk verbunden ist, - eine Überwachungseinheit, die so konfiguriert ist, dass sie bestimmt, ob ein in die erste Eingabe-/Ausgabeeinheit oder die zweite Eingabe-/Ausgabeeinheit eingegebenes Datenpaket normal ist oder nicht; und - eine Relais-Einheit, die so konfiguriert ist, dass sie ein Datenpaket, das durch die Überwachungseinheit als normal bestimmt wurde, an die erste Eingabe-/Ausgabeeinheit oder die zweite Eingabe-/Ausgabeeinheit ausgibt, wobei die Überwachungseinheit eine Whitelist verwendet, um eine auf einer Whitelist basierende Angriffserkennung durchzuführen, um zu bestimmen, ob das in die erste Eingabe-/Ausgabeeinheit oder die zweite Eingabe-/Ausgabeeinheit eingegebene Datenpaket normal ist oder nicht, und ein Lernprozess-Modell verwendet, das durch einen maschinellen Lernprozess erlernt wird, um eine auf einem maschinellen Lernprozess basierende Angriffserkennung durchzuführen, um zu bestimmen, ob ein Datenpaket, das durch die auf der Whitelist basierende Angriffserkennung nicht als normal bestimmt wurde, normal ist oder nicht, wobei es sich bei der Whitelist um eine Liste von Erkennungsregeln handelt, die Elemente, die eine Bestimmung der Normalität des Datenpakets ermöglichen, von Elementen eines Merkmals des Datenpakets angibt.
  2. Relais-Einheit nach Anspruch 1, die ferner Folgendes aufweist: - eine Erzeugungseinheit für Erkennungsregeln, die so konfiguriert ist, dass sie eine Mehrzahl von Erkennungsregeln als eine Mehrzahl von Erkennungsregeln vor der Auswahl aus einer Mehrzahl von Datenpaketen erzeugt, die während einer vorgegebenen ersten Zeitspanne in die erste Eingabe-/Ausgabeeinheit eingegeben werden; und - eine Wähleinheit, die so konfiguriert ist, dass sie eine Erkennungsregel, die in der Whitelist aufgenommen werden soll, aus der Mehrzahl von Erkennungsregeln vor der Auswahl auswählt.
  3. Relais-Einheit nach Anspruch 2, die ferner Folgendes aufweist: - eine Recheneinheit für Erkennungsregelstatistik, die so konfiguriert ist, dass sie aus der Mehrzahl von Erkennungsregeln vor der Auswahl für jedes Element eines vorgegebenen Merkmals einen statistischen Wert von Erkennungsregeln berechnet, der einen Umfang von Erkennungsregeln, bei denen ein entsprechendes Element involviert ist, in der Mehrzahl von Erkennungsregeln vor der Auswahl angibt; - eine Recheneinheit für Datenübertragungsstatistik, die so konfiguriert ist, dass sie für jedes Element des vorgegebenen Merkmals einen statistischen Wert von Datenübertragungen berechnet, der einen Umfang von Datenpaketen, bei denen das entsprechende Element involviert ist, in der Mehrzahl von Datenpaketen angibt; und - eine Recheneinheit für Erkennungsregeleffizienz, die so konfiguriert ist, dass sie für jedes Element des vorgegebenen Merkmals einen Wert der Erkennungsregeleffizienz berechnet, der durch Dividieren des statistischen Werts von Datenübertragungen durch den statistischen Wert von Erkennungsregeln erhalten wird, - wobei die Wähleinheit die Auswahl durch Verwenden des Werts der Erkennungsregeleffizienz durchführt.
  4. Relais-Einheit nach Anspruch 3, wobei es sich bei dem statistischen Wert von Erkennungsregeln um ein Verhältnis von Erkennungsregeln, bei denen das entsprechende Element involviert ist, zu der Mehrzahl von Erkennungsregeln vor der Auswahl oder der Anzahl von Erkennungsregeln handelt, bei denen das entsprechende Element involviert ist.
  5. Relais-Einheit nach Anspruch 3 oder 4, wobei es sich bei dem statistischen Wert von Datenübertragungen um ein Verhältnis von Datenpaketen, bei denen das entsprechende Element involviert ist, zu der Mehrzahl von Datenpaketen handelt.
  6. Relais-Einheit nach Anspruch 2, die ferner Folgendes aufweist: - eine Recheneinheit für Erkennungsregelstatistik, die so konfiguriert ist, dass sie für jede Erkennungsregel, die in der Mehrzahl von Erkennungsregeln vor der Auswahl enthalten ist, einen statistischen Wert von Erkennungsregeln berechnet, der einen Umfang von entsprechenden Erkennungsregeln in der Mehrzahl von Erkennungsregeln vor der Auswahl angibt; - eine Recheneinheit für Datenübertragungsstatistik, die so konfiguriert ist, dass sie für jede Erkennungsregel, die in der Mehrzahl von Erkennungsregeln vor der Auswahl enthalten ist, einen statistischen Wert von Datenübertragungen berechnet, der einen Umfang von entsprechenden Erkennungsregeln in der Mehrzahl von Datenpaketen angibt; und - eine Recheneinheit für Erkennungsregeleffizienz, die so konfiguriert ist, dass sie für jedes Element des vorgegebenen Merkmals einen Wert der Erkennungsregeleffizienz berechnet, der durch Dividieren des statistischen Werts von Erkennungsregeln durch den statistischen Wert von Erkennungsregeln erhalten wird, wobei die Wähleinheit die Auswahl durch Verwenden des Werts der Erkennungsregeleffizienz durchführt.
  7. Relais-Einheit nach Anspruch 6, wobei es sich bei dem statistischen Wert von Erkennungsregeln um ein Verhältnis der entsprechenden Erkennungsregeln zu der Mehrzahl von Erkennungsregeln vor der Auswahl oder der Anzahl von entsprechenden Erkennungsregeln in der Mehrzahl von Erkennungsregeln vor der Auswahl handelt.
  8. Relais-Einheit nach Anspruch 6 oder 7, wobei es sich bei dem statistischen Wert von Datenübertragungen um ein Verhältnis von Datenpaketen, bei denen die entsprechenden Erkennungsregeln involviert sind, zu der Mehrzahl von Datenpaketen handelt.
  9. Relais-Einheit nach einem der Ansprüche 3 bis 8, wobei die Wähleinheit die Auswahl durch Vergleichen des Werts der Erkennungsregeleffizienz mit einem vorgegebenen Schwellenwert durchführt.
  10. Relais-Einheit nach einem der Anspruche 3 bis 8, wobei die Wähleinheit die Auswahl in absteigender Reihenfolge der Werte der Erkennungsregeleffizienz durchführt.
  11. Relais-Einheit nach Anspruch 2, - wobei die Erzeugungseinheit für Erkennungsregeln eine Mehrzahl von Erkennungsregeln aus einer Mehrzahl von Datenpaketen erzeugt, die während einer vorgegebenen zweiten Zeitspanne in die erste Eingabe-/Ausgabeeinheit eingegeben werden, und eine Mehrzahl von zusätzlichen Erkennungsregeln vor der Auswahl erzeugt, indem sie die Mehrzahl von Erkennungsregeln zu der Mehrzahl von Erkennungsregeln vor der Auswahl ohne ein Überlappen hinzufügt, und - wobei die Wähleinheit eine Erkennungsregel, die in die Whitelist aufgenommen werden soll, aus der Mehrzahl von zusätzlichen Erkennungsregeln vor der Auswahl auswählt.
  12. Relais-Verfahren, das Folgendes aufweist: - Eingeben eines Datenpakets in eine erste Eingabe-/Ausgabeeinheit, die mit einem ersten Netzwerk verbunden ist, oder eine zweite Eingabe-/Ausgabeeinheit, die mit einem zweiten Netzwerk verbunden ist; - Bestimmen, ob ein in die erste Eingabe-/Ausgabeeinheit oder die zweite Eingabe-/Ausgabeeinheit eingegebenes Datenpaket normal ist oder nicht; und - Ausgeben eines Datenpakets, das als normal bestimmt wurde, aus der ersten Eingabe-/Ausgabeeinheit oder der zweiten Eingabe-/Ausgabeeinheit, wobei, wenn das in die erste Eingabe-/Ausgabeeinheit oder die zweite Eingabe-/Ausgabeeinheit eingegebene Datenpaket als normal oder nicht normal zu bestimmen ist, eine Whitelist verwendet wird, um eine auf der Whitelist basierende Angriffserkennung durchzuführen, um zu bestimmen, ob das in die erste Eingabe-/Ausgabeeinheit oder die zweite Eingabe-/Ausgabeeinheit eingegebene Datenpaket normal ist oder nicht, und ein durch einen maschinellen Lernprozess erlerntes Lernprozess-Modell verwendet wird, um eine auf einem maschinellen Lernprozess basierende Angriffserkennung durchzuführen, um zu bestimmen, ob ein Datenpaket, das durch die auf der Whitelist basierende Angriffserkennung nicht als normal bestimmt wurde, normal ist oder nicht, wobei es sich bei der Whitelist um eine Liste von Erkennungsregeln handelt, die Elemente, die eine Bestimmung der Normalität ermöglichen, von Elementen eines Merkmals des Datenpakets angibt.
DE112020006533.2T 2020-01-15 2020-01-15 Relais-einheit und relais-verfahren Pending DE112020006533T5 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/001045 WO2021144880A1 (ja) 2020-01-15 2020-01-15 中継装置及び中継方法

Publications (1)

Publication Number Publication Date
DE112020006533T5 true DE112020006533T5 (de) 2022-11-17

Family

ID=76864365

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112020006533.2T Pending DE112020006533T5 (de) 2020-01-15 2020-01-15 Relais-einheit und relais-verfahren

Country Status (6)

Country Link
US (1) US20230007019A1 (de)
JP (1) JP7301169B2 (de)
CN (1) CN114902615A (de)
DE (1) DE112020006533T5 (de)
TW (1) TWI780553B (de)
WO (1) WO2021144880A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001034553A (ja) 1999-07-26 2001-02-09 Hitachi Ltd ネットワークアクセス制御方法及びその装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100370757C (zh) * 2004-07-09 2008-02-20 国际商业机器公司 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统
JP2008017179A (ja) 2006-07-06 2008-01-24 Nec Corp アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム
JP6320329B2 (ja) * 2015-03-12 2018-05-09 株式会社東芝 ホワイトリスト作成装置
JP6454224B2 (ja) 2015-06-08 2019-01-16 アラクサラネットワークス株式会社 通信装置
CN106559382B (zh) * 2015-09-25 2019-10-11 北京计算机技术及应用研究所 基于opc协议的安全网关防护系统访问控制方法
CN105530255B (zh) * 2015-12-16 2019-03-29 网宿科技股份有限公司 验证请求数据的方法及装置
CN107347057B (zh) * 2016-05-06 2021-03-02 阿里巴巴集团控股有限公司 入侵检测方法、检测规则生成方法、装置及系统
CN108111472A (zh) * 2016-11-24 2018-06-01 腾讯科技(深圳)有限公司 一种攻击特征检测方法及装置
EP4422131A2 (de) * 2017-07-19 2024-08-28 Panasonic Intellectual Property Corporation of America Fahrzeugmontierte relaisvorrichtung, relaisverfahren und programm
JP6904307B2 (ja) 2018-05-25 2021-07-14 日本電信電話株式会社 特定装置、特定方法及び特定プログラム
WO2019240020A1 (ja) 2018-06-13 2019-12-19 パナソニックIpマネジメント株式会社 不正通信検知装置、不正通信検知方法及び製造システム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001034553A (ja) 1999-07-26 2001-02-09 Hitachi Ltd ネットワークアクセス制御方法及びその装置

Also Published As

Publication number Publication date
JPWO2021144880A1 (de) 2021-07-22
TW202130208A (zh) 2021-08-01
JP7301169B2 (ja) 2023-06-30
US20230007019A1 (en) 2023-01-05
CN114902615A (zh) 2022-08-12
WO2021144880A1 (ja) 2021-07-22
TWI780553B (zh) 2022-10-11

Similar Documents

Publication Publication Date Title
DE69829645T2 (de) Verfahren zur Änderung von dynamischen Entscheidungsbäume
DE3855860T2 (de) Schaltungsveränderungssystem und -verfahren, Verfahren zur Erzeugung von invertierter Logik und Logikentwurfssystem
DE69832140T2 (de) Verkehrswegesucher in einem Kommunikationsnetz
DE69228166T2 (de) Ereignisbehandlungsvorrichtung mit Filterverfahren und mit Einwirkungassoziationsverfahren
DE112016005536T5 (de) Bestimmen von reihenfolgen einer ausführung eines neuronalen netzes
DE602004011890T2 (de) Verfahren zur Neuverteilung von Objekten an Recheneinheiten
DE112010003099B4 (de) Erkennung gering ausgelasteter netzeinheiten
DE69620057T2 (de) Optimierer
DE102015111820B4 (de) Auswählen eines Netzwerkes
DE112016005266T5 (de) Schnelle Musterentdeckung für Protokollanalyse
DE10039538A1 (de) Vorrichtung und Methode zum Analysieren der Leistung eines Computerprogramms
DE112018007468T5 (de) Geheime-Suche-Einrichtung und Geheime-Suche-Verfahren
WO2018095547A1 (de) Verfahren und system zum anonymisieren von datenbeständen
DE102019001129A1 (de) Numerische Steuervorrichtung
DE102018212297A1 (de) Verwendung von programmierbaren Switching-Chips als künstliche neuronale Netzwerk Module
DE3855574T2 (de) Schnelles Verfahren zur bidirektionalen Inferenz-Strategie
DE19513960A1 (de) Abbildung eines Graphen in einen Speicher
DE102021118771A1 (de) Verfahren zur Bereitstellung mindestens einer Auslegungskonfiguration einer Druckluftanlage
DE60217729T2 (de) Verfahren zum erkennen eines elektronischen geräts in einem mehrfachsteuersystem
DE112020006533T5 (de) Relais-einheit und relais-verfahren
DE112018006331B4 (de) Testfallgenerierungsvorrichtung, Testfallgenerierungsverfahren und Testfallgenerierungsprogramm
DE112013004307T5 (de) Systeme und Verfahren für eine zustandsbasierte Testfallgenerierung zur Software-Validierung
DE10332203A1 (de) Verteiltes Bayesnetz-basiertes Expertensystem zur Fahrzeugdiagnose und Funktions-Wiederherstellung
DE60108680T2 (de) Dynamische Regelsätze für erzeugte Logbücher in einem Netz
DE112018007194T5 (de) Datenverarbeitungsgerät

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence