JP2009130664A - 不正侵入検出システムおよび不正侵入検出方法 - Google Patents
不正侵入検出システムおよび不正侵入検出方法 Download PDFInfo
- Publication number
- JP2009130664A JP2009130664A JP2007304011A JP2007304011A JP2009130664A JP 2009130664 A JP2009130664 A JP 2009130664A JP 2007304011 A JP2007304011 A JP 2007304011A JP 2007304011 A JP2007304011 A JP 2007304011A JP 2009130664 A JP2009130664 A JP 2009130664A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- unauthorized intrusion
- collection
- intrusion detection
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 不正侵入検出の信頼性向上を図るとともに、システムとしての柔軟性を改善する。
【解決手段】ネットワークを介して伝送されるトラフィックパケットを生成するトラフィック生成層と、前記ネットワークを介して伝送されるトラフィックパケットを収集するトラフィック収集層と、このトラフィック収集層で収集されたトラフィックパケットを解析して不正侵入を検出するトラフィック解析層とで構成され、前記トラフィック解析層は、不正侵入検出結果に基づき、前記トラフィック収集層におけるサンプリング収集とミラーリング収集を切り替えることを特徴とする。
【選択図】 図1
【解決手段】ネットワークを介して伝送されるトラフィックパケットを生成するトラフィック生成層と、前記ネットワークを介して伝送されるトラフィックパケットを収集するトラフィック収集層と、このトラフィック収集層で収集されたトラフィックパケットを解析して不正侵入を検出するトラフィック解析層とで構成され、前記トラフィック解析層は、不正侵入検出結果に基づき、前記トラフィック収集層におけるサンプリング収集とミラーリング収集を切り替えることを特徴とする。
【選択図】 図1
Description
本発明は、不正侵入検出システムおよび不正侵入検出方法に関し、詳しくは、システムの信頼性の向上に関するものである。
従来から、IP(Internet Protocol)ネットワークを利用した情報システムの構築にあたっては、情報システムを安全に動作させるために、不正アクセスやシステム侵入などを阻止する対策を講じておく必要があり、ネットワークを流れるトラフィックパケットを収集・分析して不正アクセスやシステム侵入を検出する不正侵入検出システムが提案されている。
従来の不正侵入検出システムに関連する先行技術文献には、次のようなものがある。
図5は従来の不正侵入検出システムのブロック図であり、トラフィック生成層1とトラフィック収集層2とトラフィック解析層3の三層で構成されている。
トラフィック生成層1は、たとえば通信デバイス11〜14で構成され、実際にトラフィックパケットを生成して他の通信デバイスと通信を行う。
トラフィック収集層2は、トラフィック転送部21とトラフィック収集部22とトラフィック保存データベース23で構成されていて、トラフィック転送部21とトラフィック収集部22はネットワークスイッチ24を構成している。トラフィック転送部21には、ポート21a〜21eが設けられている。トラフィック収集部22には、サンプリング収集部22aまたはミラーリング収集部22bが設けられるものであり、図5ではサンプリング収集部22aが設けられている。
ネットワークスイッチ24は、通信デバイス11〜14が生成するトラフィックパケットを収集してトラフィック保存データベース23に保存する。具体的には、通信デバイス11〜14が生成するトラフィックパケットはポート21b〜21eを介してサンプリング収集部22aに収集され、サンプリング収集部22aに収集されたトラフィックパケットはポート21aを介してトラフィック保存データベース23に保存される。
トラフィック解析層3は、たとえばトラフィック解析サーバ31で構成され、トラフィック保存データベース23に保存されたトラフィックパケットを解析して不正侵入の有無を検出する。トラフィック解析サーバ31は、あらかじめ設定された不正侵入検出ルール(たとえばトラフィック転送部21が受信するパケットの閾値やパケットを受信する際の転送速度の閾値など)を記憶する不正侵入検出ルール記憶部31aと、この不正侵入検出ルール記憶部31aに記憶されている不正侵入検出ルールに基づきトラフィック保存データベース23に保存されているトラフィックパケットを解析して不正侵入検出の有無を検出する不正侵入検出部31bと、不正侵入を検出した場合に警報を出力する警報出力部31cで構成されている。
図6は図5の動作を説明するフローチャートである。はじめに、通信デバイス11〜14は、トラフィックパケットを生成し、ネットワークスイッチ24経由で通信相手に送信する(ステップSP1)。
ネットワークスイッチ24は、自分を通して流れるトラフィックパケットを、トラフィック転送部21より転送するが、その際に、トラフィック収集部22によりトラフィックパケットをキャプチャし、トラフィック保存データベース23宛に送信する(ステップSP2)。
トラフィック保存データベース23は、自分宛に届いてきたパケットを保存する(ステップSP3)。
トラフィック解析サーバ31の不正侵入検出部31bは、不正侵入検出ルール記憶部31aに記憶されている不正侵入検出ルールに従ってトラフィック保存データベース23に保存されているトラフィックパケットを解析し、不正侵入の有無を検出する(ステップSP4)。不正侵入が検出された場合は、警報出力部31cを起動して警報を出力する(ステップSP5)とともに、ステップSP1に戻って不正侵入検出作業を繰り返して実行する。不正侵入が検出されなかった場合は、直ちにステップSP1に戻って不正侵入検出作業を繰り返して実行する。
ところで、ネットワークスイッチ24には、自分を流れるパケットをあらかじめ定められたサンプリングレート(たとえば10μ秒ごと)でサンプリングして収集するサンプリング収集部22aまたはミラーポート(たとえばポート21a)を利用して自分を流れる全てのパケットを収集するミラーリング収集部22bが設けられるが、従来のシステムではいずれか一つしか実装されていない(図5ではサンプリング収集部22a)ので、複雑なネットワーク通信に対応できない場合がある。
たとえばサンプリング収集部22aは、確率的にトラフィックを収集するので、重要なデータを取りこぼす可能性がある。
これに対し、ミラーリング収集部22bは、全てのトラフィックを収集するので、取り扱うトラフィック量は莫大であり、不正侵入検出システムへの負荷が重すぎる。
しかし、従来のシステムでは、一旦トラフィック収集部の動作に関わる設定(たとえばサンプリングレートなどのパラメータの設定)が行われると自動チューニングができない構成であることから、柔軟性に欠けるという問題がある。
また、不正侵入を検出すると警報は出すものの、不正侵入検出の検証を行わないので誤報が多くなるという問題もある。
本発明は、これらの問題を解決するものであり、その目的は、不正侵入検出の信頼性向上を図るとともに、システムとしての柔軟性を改善することにある。
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークを介して伝送されるトラフィックパケットを生成するトラフィック生成層と、前記ネットワークを介して伝送されるトラフィックパケットを収集するトラフィック収集層と、このトラフィック収集層で収集されたトラフィックパケットを解析して不正侵入を検出するトラフィック解析層とで構成され、
前記トラフィック解析層は、不正侵入検出結果に基づき、前記トラフィック収集層におけるサンプリング収集とミラーリング収集を切り替えることを特徴とする。
ネットワークを介して伝送されるトラフィックパケットを生成するトラフィック生成層と、前記ネットワークを介して伝送されるトラフィックパケットを収集するトラフィック収集層と、このトラフィック収集層で収集されたトラフィックパケットを解析して不正侵入を検出するトラフィック解析層とで構成され、
前記トラフィック解析層は、不正侵入検出結果に基づき、前記トラフィック収集層におけるサンプリング収集とミラーリング収集を切り替えることを特徴とする。
請求項2記載の発明は、
請求項1記載の不正侵入検出システムにおいて、
サンプリング収集したトラフィックパケットに基づき一次の不正侵入検出を行い、不正侵入を検出するとミラーリング収集に切り替え、前記ミラーリング収集したトラフィックパケットに基づき二次の不正侵入検出を行い、これら一次および二次検出の結果を比較し前記一次検出の精度が許容範囲外であれば許容範囲内に収束するように前記サンプリング収集のサンプリングパラメータを調整することを特徴とする。
請求項1記載の不正侵入検出システムにおいて、
サンプリング収集したトラフィックパケットに基づき一次の不正侵入検出を行い、不正侵入を検出するとミラーリング収集に切り替え、前記ミラーリング収集したトラフィックパケットに基づき二次の不正侵入検出を行い、これら一次および二次検出の結果を比較し前記一次検出の精度が許容範囲外であれば許容範囲内に収束するように前記サンプリング収集のサンプリングパラメータを調整することを特徴とする。
請求項3記載の発明は、
請求項2記載の不正侵入検出システムにおいて、
前記トラフィック解析層は、前記一次検出で不正侵入を検出することにより警報情報を送信し、前記二次検出で不正侵入を検出することにより前記一次検出と前記二次検出の結果を比較し、前記二次検出で検出した不正侵入が前記一次検出で検出した不正侵入よりも警報レベルが高い場合は前記警報情報の警報レベルを調整することを特徴とする。
請求項2記載の不正侵入検出システムにおいて、
前記トラフィック解析層は、前記一次検出で不正侵入を検出することにより警報情報を送信し、前記二次検出で不正侵入を検出することにより前記一次検出と前記二次検出の結果を比較し、前記二次検出で検出した不正侵入が前記一次検出で検出した不正侵入よりも警報レベルが高い場合は前記警報情報の警報レベルを調整することを特徴とする。
請求項4記載の発明は、
ネットワークを介して伝送されるトラフィックパケットを収集して不正侵入を検出する不正侵入検出方法であって、
サンプリング収集で得たトラフィックパケットに基づき不正侵入を検出する第1のステップと、ミラーリング収集で得たトラフィックパケットに基づき不正侵入を検出する第2のステップ、を含むことを特徴とする。
ネットワークを介して伝送されるトラフィックパケットを収集して不正侵入を検出する不正侵入検出方法であって、
サンプリング収集で得たトラフィックパケットに基づき不正侵入を検出する第1のステップと、ミラーリング収集で得たトラフィックパケットに基づき不正侵入を検出する第2のステップ、を含むことを特徴とする。
請求項5記載の発明は、
請求項4記載の不正侵入検出方法であって、
前記第1のステップによる不正侵入検出結果と前記第2のステップによる不正侵入検出結果を比較し、サンプリング収集による不正侵入検出の精度が許容範囲外であれば前記サンプリング収集のサンプリングパラメータを前記精度が前記許容範囲内に収束するように調整する第3のステップ、を含むことを特徴とする。
請求項4記載の不正侵入検出方法であって、
前記第1のステップによる不正侵入検出結果と前記第2のステップによる不正侵入検出結果を比較し、サンプリング収集による不正侵入検出の精度が許容範囲外であれば前記サンプリング収集のサンプリングパラメータを前記精度が前記許容範囲内に収束するように調整する第3のステップ、を含むことを特徴とする。
請求項6記載の発明は、
請求項4または請求項5記載の不正侵入検出方法であって、
前記第1のステップは、不正侵入を検出した場合は警報情報を送信し、前記第2のステップで不正侵入を検出した場合は前記第1のステップによる不正侵入検出結果と前記第2のステップによる不正侵入検出結果を比較して前記第2のステップで検出した不正侵入が前記第1のステップで検出した不正侵入よりも警報レベルが高い場合は前記警報情報の警報レベルを調整する第4のステップ、を含むことを特徴とする。
請求項4または請求項5記載の不正侵入検出方法であって、
前記第1のステップは、不正侵入を検出した場合は警報情報を送信し、前記第2のステップで不正侵入を検出した場合は前記第1のステップによる不正侵入検出結果と前記第2のステップによる不正侵入検出結果を比較して前記第2のステップで検出した不正侵入が前記第1のステップで検出した不正侵入よりも警報レベルが高い場合は前記警報情報の警報レベルを調整する第4のステップ、を含むことを特徴とする。
本発明によれば、不正侵入検出の信頼性向上を図るとともに、システムとしての柔軟性を改善できる。
図1は、本発明に係る不正侵入検出システムの一実施例を示すブロック図であり、トラフィック生成層4とトラフィック収集層5とトラフィック解析層6の三層で構成されている。
トラフィック生成層4は、たとえば通信デバイス41〜44で構成され、実際にトラフィックパケットを生成して他の通信デバイスと通信を行う。
トラフィック収集層5は、トラフィック転送部51とトラフィック収集部52とサンプリングトラフィック保存データベース53とミラーリングトラフィック保存データベース54で構成されていて、トラフィック転送部51とトラフィック収集部52はネットワークスイッチ55を構成している。トラフィック転送部51には、ポート51a〜51gが設けられている。トラフィック収集部52には、サンプリング収集部52aとミラーリング収集部52bが設けられている。
ネットワークスイッチ55は、通信デバイス41〜44が生成するトラフィックパケットを収集して、サンプリングトラフィック保存データベース53またはミラーリングトラフィック保存データベース54に保存する。具体的には、通信デバイス41〜44が生成するトラフィックパケットはポート41b〜41eを介してサンプリング収集部52aまたはミラーリング収集部52bに収集される。サンプリング収集部52aに収集されたトラフィックパケットはポート21aを介してトラフィック保存データベース23に保存され、ミラーリング収集部52bに収集されたトラフィックパケットはポート21fを介してミラーリングトラフィック保存データベース54に保存される。なおネットワークスイッチ55は、トラフィックパケットの収集および各機器からの情報を伝送することが可能であればどのような中継機器であってもよい。
トラフィック解析層6は、たとえばトラフィック解析サーバ61で構成され、実際に不正侵入を検出する。
また、トラフィック解析サーバ61において、不正侵入検出ルール記憶部61aは、あらかじめ設定された不正侵入検出ルール(たとえばポート51a〜51fが受信するパケットの閾値やポート51a〜51fがパケットを受信する際の転送速度の閾値など)を記憶する。不正侵入検出部61bは、不正侵入検出ルール記憶部61aに記憶されている不正侵入検出ルールに基づき、サンプリングトラフィック保存データベース53とミラーリングトラフィック保存データベース54に保存されているトラフィックパケットを解析して不正侵入検出の有無を検出する。警報出力部61cは、不正侵入検出部61bが不正侵入を検出した場合に警報を出力する。
収集機能切り替え部61dは、不正侵入検出部61bの検出結果に基づき、ネットワークスイッチ55のトラフィックの収集方法を、ポート51gを介してサンプリング収集部52aによる収集とミラーリング収集部52bによる収集に切り替える。サンプリングパラメータ調整部61eは、ポート51gを介してサンプリング収集部52aのパラメータ(たとえばサンプリングレート)を変更する。警報レベル調整部61fは、不正侵入検出部61bの検出結果に基づいて緊急度などの警報レベルを変更する。不正検出結果記憶部61gは、不正侵入検出部61bの検出結果を記憶する。
なおネットワークスイッチ55、通信デバイス41〜44、サンプリングトラフィック保存データベース53、ミラーリングトラフィック保存データベース54、トラフィック解析サーバ61は、OS(Operating System)や各機器として動作するためのプログラムやアプリケーション、各種情報などを格納する記憶部、各部の動作を制御する演算制御部(たとえばCPU)、各機器間で通信を行う通信部などのハードウェアから構成される。
また、ネットワークスイッチ55、通信デバイス41〜44、サンプリングトラフィック保存データベース53、ミラーリングトラフィック保存データベース54、トラフィック解析サーバ61の演算制御部は、記憶部に格納されているOSなどを起動し、このOS上で格納されたプログラムを読み出し実行することにより、各機器全体を制御し、各機器固有の動作を行う。なお、各機器の演算制御部が記憶部に格納されたプログラムを読み出し実行して各部を制御する動作については、以下省略する。
図2は図1の動作を説明するフローチャートである。はじめに、通信デバイス41〜44は、トラフィックパケットを生成し、ネットワークスイッチ55経由で通信相手に送信する(ステップSP1)。
ネットワークスイッチ55は、自分を通して流れるトラフィックパケットを、トラフィック転送部51により転送するが、その際に、トラフィック収集部52のサンプリング収集部52aによりトラフィックパケットをキャプチャし、サンプリングトラフィック保存データベース53宛に送信する(ステップSP2)。
サンプリングトラフィック保存データベース53は、ネットワークスイッチ55からポート51aを介して自分宛に届いてきたパケットを保存する(ステップSP3)。
トラフィック解析サーバ61の不正侵入検出部61bは、不正侵入検出ルール記憶部61aに記憶されている不正侵入検出ルールに従ってサンプリングトラフィック保存データベース53に保存されているトラフィックパケットを解析し、不正侵入の有無を検出(以下一次検出という)する(ステップSP4)。このとき不正検出結果記憶部61gは一次検出の判定結果を記憶する。
不正侵入が検出されると、トラフィック解析サーバ61は警報出力部61cを起動してあらかじめ定められた警報レベル(たとえば警報レベル「低」)で警報(以下一次警報という)を出力するとともに(ステップSP5)、収集機能切り替え部61dを起動してネットワークスイッチ55におけるトラフィック収集方法をサンプリング収集部52aによる収集からミラーリング収集部52bによる収集へ切り替える(ステップSP6)。
不正侵入が検出されなかった場合(ステップSP4)は、直ちにステップSP2に戻り不正侵入検出作業を繰り返して実行する。
具体的には、収集機能切り替え部61dはネットワークスイッチ55のポート51gを介してトラフィック収集方法の切り替えパケットを送信し、ネットワークスイッチ55は切り替えパケットに基づいてトラフィック収集をサンプリング収集部52aによる収集からミラーリング収集部52bによる収集へと切り替える(ステップSP6)。
ネットワークスイッチ55のトラフィック収集部52は、ミラーリング収集部52bを起動して自機を通して流れるトラフィックパケットをキャプチャし、ミラーリングトラフィック保存データベース54宛に送信する(ステップSP7)。
たとえば、ミラーリング収集部52bは、ポート51fを制御してミラーポートとし、ネットワークスイッチ55を通して流れる全てのトラフィックパケットを収集する。このとき、トラフィック収集部52は、各ポートのポート識別番号を取得し、この通信ポートが受信したパケット数およびパケットを受信した際の転送速度に関する情報を取得する。
ミラーリングトラフィック保存データベース54は、ネットワークスイッチ55からポート51fを介して自分宛に届いてきたパケットを保存する(ステップSP8)。
不正侵入検出部61bは、不正侵入検出ルール記憶部61aに記憶されている不正侵入検出ルールに従ってミラーリングトラフィック保存データベース54に保存されているトラフィックパケットを解析し、不正侵入の有無を検出(以下二次検出という)する(ステップSP9)。このとき不正検出結果記憶部61gは一次検出の判定結果を記憶する。
ステップSP9において不正侵入が検出されると、不正侵入検出部61bは不正検出結果記憶部61gに記憶されている一次検出の結果と二次検出の結果とを比較し、一次検出の精度が許容できる範囲内であるか否かを判定するとともに(ステップSP10)、警報レベル調整部61fを起動して、警報の警報レベルを調整する必要があるか否かを判定する(ステップSP12)。
これは一次検出結果と二次検出結果の比較結果に基づき、一次検出結果と二次検出結果の値が異なる場合は警報レベルの調整が必要であるからである。たとえば、二次検出で検出した不正侵入が一次検出で検出した不正侵入よりもシステム全体に与える影響が高い場合などは、警報レベルを高くしてその旨を周知すべきである。
一次検出の精度が許容できる範囲であると判断した場合は(ステップSP10)、収集機能切り替え部61dを起動してネットワークスイッチ55におけるトラフィックの収集方法をミラーリング収集部52bによる収集からサンプリング収集部52aによる収集へと切り替える(ステップSP15)。その後ステップSP2に戻り、サンプリング収集による不正侵入検出作業を繰り返して実行する。
これはサンプリング収集部52aによって得られたトラフィックパケットによる不正侵入検出(一次検出)の精度で十分に正確であるので、サンプリング収集に戻してシステム全体の負荷を低減するためである。
一次検出の精度が許容できる範囲ではない判断すると(ステップSP10)、トラフィック解析サーバ61はサンプリングパラメータ調整部61eを起動して一次検出の精度があらかじめ定められた許容できる範囲内に収束するようにネットワークスイッチ55のサンプリング収集部52aにおけるサンプリングのパラメータを設定する(ステップSP11)。その後ステップSP7に戻り、ミラーリング収集による不正侵入検出作業を繰り返して実行する。
一方、警報レベルを調整する必要があると判断すると(ステップSP12)、警報レベル調整部61fは警報レベルを高いレベル(たとえば警報レベル「高」)に設定し(ステップSP13)、警報出力部61cを起動して調整された警報レベルで警報(以下二次警報という)を図示しない上位システムなどに出力する(ステップSP14)。
そして、図示しない上位システムは警報出力部61cから出力される警報に基づいて不正侵入に対する対応を実行する。
他方、二次検出において不正侵入が検出されなかった場合は(ステップSP9)、警報出力部61cを起動して警報(一次警報)を停止し(ステップSP16)、収集機能切り替え部61dを起動してネットワークスイッチ55におけるトラフィックの収集方法をミラーリング収集部52bによる収集からサンプリング収集部52aによる収集に切り替える(ステップSP17)。その後ステップSP2に戻り、不正侵入検出作業を繰り返して実行する。
このように、一次検出結果と二次検出結果に基づいてサンプリング収集とミラーリング収集を切り替え、一次検出結果と二次検出結果を比較してサンプリングパラメータを調整することで、不正侵入検出の信頼性が向上し、システムとしての柔軟性が改善できる。
なお、本発明の不正侵入検出システムをインダストリアルオートメーションなどにおけるフィールド制御システムに導入するものであっても構わない。ここでフィールド制御システムは、フィードバック制御ループを構成する流量計や温度計などのセンサ、アクチュエータ、コントローラを含むフィールドデバイスがネットワークを介して接続し、プラントの運転を支援するものである。
図3は不正侵入検出システムをフィールド制御システムに導入した場合の構成ブロック図であり、図1と共通する部分には同一の符号を付けている。図3と図1の違いは、トラフィック生成層4に通信デバイス41〜44の代わりにフィールド機器45〜48が設置され、トラフィック解析層6にフィールド機器保全サーバ62が設置されていることである。
フィールド機器保全サーバ62は、フィールド機器45〜48の動作設定を行うものであり、フィールド機器45〜48の論理的な名前である機器タグや機能ブロックタグなどの構成情報やフィールド制御システムの動作を保持するために重要なフィールド機器の動作をランク付けした重要度情報、その他情報を記憶する構成情報管理部61aとフィールド機器45〜48の構成を設定するフィールド機器設定部61bから構成される。なお、フィールド機器保全サーバ62はネットワークスイッチ55およびトラフィック解析サーバ61に相互に接続される。
フィールド機器45〜48は、プロセス制御システムに使われるセンサ、コントローラ、アクチュエータなどの制御機器であり、AI(アナログ信号入力)、AO(アナログ信号入出力)、PID演算(比例、積分、微分演算)などのフィールド機器固有の機能ブロックを実行する機能、ネットワークスイッチ55を介してデータ通信を行う通信機能を有する。
図4は図3の不正侵入検出システムの動作説明図である。トラフィックの収集やサンプリングパラメータの調整、警報レベルの調整などの動作は図2とほぼ同等であるので省略し、フィールド機器保全サーバ62がトラフィック解析サーバ61の不正侵入検出結果に基づいてフィールド機器45〜48を制御する動作について説明する。
ここで不正検出ルール記憶部61aは、フィールド機器保全サーバ62の構成情報管理部61aの構成情報をベースに設定された不正侵入検出ルールを記憶する。たとえば不正侵入検出ルールは、あらかじめ定められたフィールド機器45〜48間で行われる機能ブロック間通信やその他のデータ通信などの通信量の閾値や各フィールド機器における通信の振る舞いのパターンに基づいて不正侵入を検出するものである。
不正侵入検出部61bが二次不正侵入を検出した場合、トラフィック解析サーバ61の警報出力部61cは、各フィールド機器45〜48の不正侵入対策を指示するためにフィールド機器保全サーバ62に警報情報を送信する。
フィールド機器保全サーバ62は、トラフィック解析サーバ61からの警報情報を受信するとフィールド機器保全サーバ62の構成情報管理部61aの構成情報およびフィールド機器45〜48の重要度などに基づいて、フィールド機器設定部61bを制御してフィールド機器の構成を設定し不正侵入対策を行う。
たとえば、トラフィック解析サーバ61はフィールド機器45からフィールド機器46への不正な通信を検出して警報情報をフィールド機器保全サーバ62に送信する場合、フィールド機器保全サーバ62は構成情報管理部61aの構成情報およびフィールド機器の重要度に基づいて、ネットワークスイッチ55を介してフィールド機器45の不正・不要なサービスを停止するなど不正侵入対策のための設定を行う。
このように、本発明の不正侵入検出システムが各フィールド機器の構成情報を踏まえた不正侵入ルールに基づいて不正検出を行い、フィールド機器保全サーバがトラフィック解析サーバからの警報に基づき各フィールド機器に応じた不正侵入対策を講ずることができるためシステムの信頼性は向上する。
また、上記実施例では図2のステップSP10において、不正侵入検出部61bは一次検出の精度が許容できる範囲内であるか否かを判定するとしているが、不正侵入検出部61bは一次検出結果と二次検出結果の比率が、あらかじめ定められた許容範囲を表す許容定数「γ0〜γ1」の範囲内であるか否かを判定するものであってもよい。
たとえば信頼性点数が0のときは不正侵入(Pi)は絶対に発生しないことを意味し、信頼性点数が1のときは不正侵入(Pi)は必ず発生することを意味している。また信頼性点数は大きければ大きいほど不正侵入(Pi)が発生する可能性が高いことを意味している。
たとえば警報レベル調整部61fは、あらかじめ定められた複数の不正侵入のパターン(Pi)ごとに、ある不正侵入パターンによる被害の大きさを表す指標である「危険性の重み係数αi」と、ある不正侵入パターンがどの程度の被害を与えるかを示す指標である「致死性の重み係数βi」と、ある不正侵入パターンに対して現状のシステムがどの程度の防衛対策をとれているかを表す指標である「対策値ω」とを有しているものとする。信頼性点数「αi」、「βi」、「ω」は0以上1以下の数値である。
たとえば、不正侵入パターンとしてPortScanやHostScanを設定する場合では、PortScanやHostScanは広範囲に渡るネットワーク機器に実行できるものの実際にネットワーク機器に与えられる被害の程度は低いため、「αi」は「βi」よりも大きい値に設定されることになる。
このように、不正侵入検出システムは、一次検出結果と二次検出結果とに基づいてサンプリング収集とミラーリング収集を切り替え、一次検出結果と二次検出結果とを比較してサンプリングパラメータを調整することにより、不正侵入検出の信頼性が向上し、システムとしての柔軟性が改善する。
また、上記実施例では図2のステップSP10において、不正侵入検出部61bは、一次検出の精度が許容できる範囲内であるか否かを判定するとしているが、サンプリングパラメータの調整により一次検出精度は許容範囲に収束できるか否かを判定するものであってもよい。このとき、サンプリングパラメータの調整により許容精度範囲に収束させることができると判断する場合はサンプリングモードのパラメータ調整を行い(SP11)、既に精度範囲内であって調整の必要がない場合は収集機能の切り替えを行うものであってもよい(SP15)。またサンプリングパラメータの調整により許容精度範囲に収束させることができないと判断する場合は、いくらサンプリングパラメータを調整しも許容精度範囲に収束しないのでミラーリング収集を行うステップSP7に移行するものであってもよい。
1、4 トラフィック生成層
2、5 トラフィック収集層
3、6 トラフィック解析層
10、11、12、13、41、42、43、44 通信デバイス
21、51 トラフィック転送部
21a、21b、21c、21d、21e、51a、51b、51c、51d、51e、51f、51g、51h ポート
22、52 トラフィック収集部
22a、52a サンプリング収集部
22b、52b ミラーリング収集部
23 トラフィック保存データベース
31、61 トラフィック解析サーバ
31a、61a 不正検出ルール記憶部
31b、61b 不正侵入検出部
31c、61c 警報出力部
53 サンプリングトラフィック保存データベース
54 ミラーリングトラフィック保存データベース
61d 収集機能切り替え部
61e サンプリングパラメータ調整部
61f 警報レベル調整部
61g 不正検出結果記憶部
62 フィールド機器保全サーバ
62a 構成情報管理部
62b フィールド機器設定部
2、5 トラフィック収集層
3、6 トラフィック解析層
10、11、12、13、41、42、43、44 通信デバイス
21、51 トラフィック転送部
21a、21b、21c、21d、21e、51a、51b、51c、51d、51e、51f、51g、51h ポート
22、52 トラフィック収集部
22a、52a サンプリング収集部
22b、52b ミラーリング収集部
23 トラフィック保存データベース
31、61 トラフィック解析サーバ
31a、61a 不正検出ルール記憶部
31b、61b 不正侵入検出部
31c、61c 警報出力部
53 サンプリングトラフィック保存データベース
54 ミラーリングトラフィック保存データベース
61d 収集機能切り替え部
61e サンプリングパラメータ調整部
61f 警報レベル調整部
61g 不正検出結果記憶部
62 フィールド機器保全サーバ
62a 構成情報管理部
62b フィールド機器設定部
Claims (6)
- ネットワークを介して伝送されるトラフィックパケットを生成するトラフィック生成層と、前記ネットワークを介して伝送されるトラフィックパケットを収集するトラフィック収集層と、このトラフィック収集層で収集されたトラフィックパケットを解析して不正侵入を検出するトラフィック解析層とで構成され、
前記トラフィック解析層は、不正侵入検出結果に基づき、前記トラフィック収集層におけるサンプリング収集とミラーリング収集を切り替えることを特徴とする不正侵入検出システム。 - 前記トラフィック解析層は、
サンプリング収集したトラフィックパケットに対して一次の不正侵入検出を行い、不正侵入を検出するとミラーリング収集に切り替え、前記ミラーリング収集したトラフィックパケットに対して二次の不正侵入検出を行い、これら一次および二次検出の結果を比較し前記一次検出の精度が許容範囲外であれば許容範囲内に収束するように前記サンプリング収集のサンプリングパラメータを調整することを特徴とする
請求項1記載の不正侵入検出システム。 - 前記トラフィック解析層は、
前記一次検出で不正侵入を検出することにより警報情報を送信し、前記二次検出で不正侵入を検出することにより前記一次検出と前記二次検出の結果を比較し、前記二次検出で検出した不正侵入が前記一次検出で検出した不正侵入よりも警報レベルが高い場合は前記警報情報の警報レベルを調整することを特徴とする
請求項2記載の不正侵入検出システム。 - ネットワークを介して伝送されるトラフィックパケットを収集して不正侵入を検出する不正侵入検出方法であって、
サンプリング収集で得たトラフィックパケットに基づき不正侵入を検出する第1のステップと、
ミラーリング収集で得たトラフィックパケットに基づき不正侵入を検出する第2のステップ、
を含むことを特徴とする不正侵入検出方法。 - 前記第1のステップによる不正侵入検出結果と前記第2のステップによる不正侵入検出結果を比較し、サンプリング収集による不正侵入検出の精度が許容範囲外であれば前記サンプリング収集のサンプリングパラメータを前記精度が前記許容範囲内に収束するように調整する第3のステップ、を含むことを特徴とする
請求項4記載の不正侵入検出方法。 - 不正侵入を検出した場合は警報情報を送信する前記第1のステップと、
前記第2のステップで不正侵入を検出した場合は前記第1のステップによる不正侵入検出結果と前記第2のステップによる不正侵入検出結果を比較して前記第2のステップで検出した不正侵入が前記第1のステップで検出した不正侵入よりも警報レベルが高い場合は前記警報情報の警報レベルを調整する第4のステップ、を含むことを特徴とする
請求項4または請求項5記載の不正侵入検出方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007304011A JP2009130664A (ja) | 2007-11-26 | 2007-11-26 | 不正侵入検出システムおよび不正侵入検出方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007304011A JP2009130664A (ja) | 2007-11-26 | 2007-11-26 | 不正侵入検出システムおよび不正侵入検出方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009130664A true JP2009130664A (ja) | 2009-06-11 |
Family
ID=40821140
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007304011A Pending JP2009130664A (ja) | 2007-11-26 | 2007-11-26 | 不正侵入検出システムおよび不正侵入検出方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009130664A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013503552A (ja) * | 2009-08-25 | 2013-01-31 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 電気通信ネットワークにおいて不正を検出するための方法および装置 |
| JP2019106621A (ja) * | 2017-12-12 | 2019-06-27 | 日本電信電話株式会社 | 異常検知システム、異常検知方法、および、異常検知プログラム |
| CN117118707A (zh) * | 2023-08-25 | 2023-11-24 | 国网山东省电力公司泰安供电公司 | 一种变电站的恶意网络入侵检测方法、系统、设备及介质 |
-
2007
- 2007-11-26 JP JP2007304011A patent/JP2009130664A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013503552A (ja) * | 2009-08-25 | 2013-01-31 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 電気通信ネットワークにおいて不正を検出するための方法および装置 |
| US9088602B2 (en) | 2009-08-25 | 2015-07-21 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for detecting fraud in telecommunication networks |
| JP2019106621A (ja) * | 2017-12-12 | 2019-06-27 | 日本電信電話株式会社 | 異常検知システム、異常検知方法、および、異常検知プログラム |
| CN117118707A (zh) * | 2023-08-25 | 2023-11-24 | 国网山东省电力公司泰安供电公司 | 一种变电站的恶意网络入侵检测方法、系统、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8850582B2 (en) | Security monitoring system and security monitoring method | |
| CN106164991B (zh) | 为识别未授权人的感官输入的相关 | |
| US20160330225A1 (en) | Systems, Methods, and Devices for Detecting Anomalies in an Industrial Control System | |
| US11543786B2 (en) | Inference server and environment controller for inferring via a neural network one or more commands for controlling an appliance | |
| WO2020046260A1 (en) | Process semantic based causal mapping for security monitoring and assessment of control networks | |
| KR101645598B1 (ko) | 네트워크에서의 침입 탐지 방법 | |
| JP4089719B2 (ja) | 異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム | |
| WO2017213918A1 (en) | Method and apparatus for increasing the density of data surrounding an event | |
| US20140189860A1 (en) | Control system cyber security | |
| JP5960978B2 (ja) | 通信ネットワーク内のメッセージのレイテンシを制御することによって重要システム内のサイバー攻撃を軽減するための知的なシステムおよび方法 | |
| CN111181971B (zh) | 一种自动检测工业网络攻击的系统 | |
| KR101563511B1 (ko) | 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법 | |
| CN105684397A (zh) | 用于调节计算负载的过滤方法 | |
| Sheikh et al. | Cyber attack and fault identification of hvac system in building management systems | |
| JP6711710B2 (ja) | 監視装置、監視方法および監視プログラム | |
| CN112840616A (zh) | 用于工业控制系统入侵检测的混合无监督机器学习框架 | |
| US20210089661A1 (en) | Anomaly Detection for Cyber-Physical Systems | |
| US11916940B2 (en) | Attack detection and localization with adaptive thresholding | |
| JP2009130664A (ja) | 不正侵入検出システムおよび不正侵入検出方法 | |
| WO2017161078A1 (en) | Method and apparatus for tiered analytics in a multi-sensor environment | |
| KR101630850B1 (ko) | 종합분석 기법을 기반으로 한 실시간 가스설비 자동 긴급차단장치 | |
| Madhawa et al. | Roll forward validation based decision tree classification for detecting data integrity attacks in industrial internet of things | |
| KR101573500B1 (ko) | 무선통신 데이터 로거 및 이를 이용한 플랜트 모니터링 시스템 및 방법 | |
| Madhawa et al. | Employing invariants for anomaly detection in software defined networking based industrial internet of things | |
| WO2018193571A1 (ja) | 機器管理システム、モデル学習方法およびモデル学習プログラム |